Taggat med: Dropbox

Efter LOLBAS kommer LOLAPPS

LOLBAS som står för Living Off The Land Binaries, Scripts and Libraries är ett projekt som funnits i många år nu. Projektet LOLBAS går ut på att lista ”dual use” binärer, script och bibliotek som gör att en angripare som vill försvåra upptäckt eller inte har verktyg installerade på en hackad enhet kan använda sig av sådant som redan är befintligt installerade (tidigare hette projektet LOLBIN). För Unix-system så finns även projektet GTFOBins.

För några veckor sedan så släpptes projektet LOLAPPS som är snarlikt men istället listar mjukvaror eller ”appar” som också går att använda för illasinnade funktioner såsom att ladda ner- eller exekvera kod.

Initiativtagare bakom LOLAPPS är John Jackson aka ”Mr Hacking”.

Redan nu finns det ett antal mjukvaror listade såsom:

LOLAPPS hittar du här:

Och Github-sidan med templates för den som vill bidra kan hittas här:

Så lagrar Dropbox ditt lösenord

Att Dropbox blev hackade och samtliga lösenord hamnade på vift 2012 är något som är välkänt. Av analys visade det sig att hälften av lösenorden var SHA1-hashade och andra hälften använde sig av bcrypt-hash. Detta troligtvis pga en pågående övergång från SHA1 till bcrypt.

Det har hänt en hel del sedan 2012 och Dropbox avslöjade nyligen hur de lagrar sina lösenord på ett säkert sätt.

Först och främst använder Dropbox precis som Facebook (se nedan) flertalet lager, som en lök. Att använda SHA512 före bcrypt är främst av två anledningar: överbelastningsattack om långa lösenord används samt att vissa implementationer av bcrypt kortar ner lösenordet till 72 bytes.

bcrypt används med en cost på 10 (arbetsfaktor/work factor) samt en unik salt för varje användare. Detta steg tar ungefär 100ms på Dropbox servrar.

Sista steget är AES256 med en global nyckel som är samma för alla hashar. Detta är för att om hela databasen blir snodd eller servern där lösenorden lagras så finns det ett extra skydd med en nyckel som är svår att hitta.

Även Facebook använder flertalet lager för sina lösenord (läs mer här):

Dropbox har sedan tidigare utvecklat zxcvbn som ser till att användarna väljer bra lösenord först och främst. Även så kan vi anta att Dropbox kontinuerligt bevakar läckage av lösenord på nätet och informerar användare om just deras lösenord finns med eller går att knäcka.

Givetvis kan man alltid argumentera att det nu finns säkrare alternativ till bcrypt såsom argon2 och scrypt. Men bcrypt har bra stöd i många programbibliotek och har funnits ända sedan 1999. Dock uppger Dropbox att de har mer erfarenhet av bcrypt men kommer troligtvis att uppgradera till argon2.

Även uppger Dropbox att de kommer i framtiden att överväga att använda en HSM (kanske CrypTech?) för att lagra den globala nyckeln. Denna nyckel roteras också regelbundet uppger de på sin blogg.

Kanariefåglar inom IT-säkerhet

Kanariefåglar är det nya svarta inom IT-säkerhet. Med hjälp av kanariefåglar i din IT-infrastruktur så kan du minska bruset när det gäller intrångslarm och identifiera möjliga antagonister.

Idéen är enkel och effektiv samt kräver minimalt med underhåll. Du sätter upp ett antal system som någon aldrig kommer att använda eller röras och så fort någon gör det så larmar du. Det kan även vara i form av text-strängar eller länkar som inte ska förekomma.

Säg exempelvis att du skapar ett antal olika dokument på olika servrar med en länk som går till en webbsida som larmar så fort någon klickar på dessa, eller att du mailar dig själv inom eller utom organisationen ett antal länkar som ingen ska besöka eller klicka på. Och om någon följer dessa länkar så har troligtvis ett intrång eller exfiltration genomförts.

Likheter finnes även med det som förr kallades för HoneyTokens men även Honeypots. Det kan även röra sig om webbsidor/html-filer som ingen ska komma åt och gör någon det så laddas det en 1×1-pixel som lamar, denna kan du exempelvis placera på Dropbox eller andra molntjänster. Men observera att många molntjänster har automatisk genomsökning efter skadlig kod som eventuellt kan trigga igång larmen.

Flertalet mjukvaror läcker information externt såsom Adobe Reader som gör en pre-flight DNS-uppslagning på externt innehåll, även om du väljer att blockera innehållet med hjälp av dialogrutan som dyker upp. Med hjälp av denna uppslagning så kan du skicka ett larm.

Sammanfattningsvis

Honeypots tar lång tid att sätta upp och bevaka. Använd istället kanariefåglar i form av öppna tjänster internt på nätverket eller andra typer av mineringar som ingen hittar eller rör förutom en eventuell antagonist som komprometterat IT-infrastrukturen eller delar av den.

Denna typ av fiktiva tjänster kan även hjälpa till att uppehålla en angripare och dra ut på processen under tiden du får larm och vidtar åtgärder.

Förslag på tjänster eller tokens där larm kan skicka direkt:

  • PDF-fil i administratörsmapp på central server med namn Passwords.pdf
  • Internt mail mellan ledningspersonal eller styrelse med länk
  • FTP, SSH eller MySQL-server på DMZ och internt

Vidare läsning

SpiderOak uppdaterar klienten

SpiderOak fick stor uppmärksamhet i samband med att visselblåsaren Edward Snowden rekommenderade dem. SpiderOak är ett alternativ till Dropbox för den som vill lagra filer i molnet och dela mellan olika enheter. Skillnaden mellan Dropbox och SpiderOak är att SpiderOak använder så kallad zero-knowledge, vilket gör att SpiderOak inte kan tjuvkika på din lagrade data.

SpiderOak har nu släppt en ny klient och kallar denna för SpiderOakONE och får versionsnummer 6.0

Förutom ett nytt gränssnitt som ser ut enligt nedan så har ett stort antal olika buggar åtgärdats.

För samtliga förändringar i nya klienten, se här:

Apple börjar med tvåfaktorsautentisering

Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.

Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.

Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:

Dropbox kryptering

De senaste veckorna har det varit många diskussioner och debatter runt molnlagringstjänsten Dropbox och dess olika svagheter. En observant läsare av dess forum upptäckte att filer med samma checksumma som laddas upp till Dropbox gick på några få sekunder. Detta på grund av en teknik som gör att samma fil ej lagras två gånger, oavsett användare hos Dropbox. Detta går dock emot det som företaget hävdar på sin förstasida:

”[a]ll files stored on Dropbox servers are encrypted (AES-256) and are inaccessible without your account password.”

Detta har man nu ändrat till:

”All files stored on Dropbox are encrypted (AES-256).”

Det som många istället rekommenderar är att exempelvis använda TrueCrypt och göra en container som placeras i den mapp som ligger hos Dropbox.