Taggat med: HUMINT

CIA Vault7 läcka från Wikileaks

Jag tänkte kommentera gällande den senaste läckan från Wikileaks som inkluderar en stor mängd olika cyber-relaterade verktyg, metoder etc från vad som sägs är CIA.

Läckan ser ut att komma från något inom CIA som heter devlan.net och är troligtvis ett utvecklingsnätverk för cybervapen. Eftersom CIA till skillnad från NSA bedriver HUMINT så kräver majoriteten av verktygen fysisk access till enheten.

Det ser inte ut att finnas några överdrivna referenser till zero-days och generellt håller det som är läckt inte den högsta tekniska förmågan. Läckan innehåller även referenser till skadlig kod som CIA troligtvis installerar och antivirus-företagen är redan på att skriva signaturer för att identifiera CIA:s verktyg.

Viktigt också att tillägga är att om du kan ta dig in på en mobiltelefon genom att utnyttja sårbarheter så kommer du givetvis också åt applikationer såsom WhatsApp och Signal.

Även så finns det referenser till att CIA kan installera verktyg för att avlyssna via en vanlig Samsung Smart-TV. Och även detta kräver troligtvis fysisk access till TV:n innan eller när den införskaffas.

Läckan inträffade under förra året och de läcka filterna troligtvis varit tillgänglig för andra sedan tidigare. Den innehåller 8761 dokument och filer men inte så många binärer annat än ett fåtal exe-filer och python-kod.

Kommentar som återfinnes i läckan:

What did Equation do wrong, and how can we avoid doing the same?

Så cyberspionerar främmande makt på Sverige

cyberspionage

Hur går det egentligen till när antagonister genomför cyberattacker mot Svenska intressen? Jag kommer nedan redogöra ett antal metoder som gör att stater med mycket kapacitet kan infiltrera svenska företag och myndigheter för att sedan stjäla klassificerad information med hjälp av exfiltration.

cyberspionage tidslinje

1. Planeringsfas

Operationer på cyberarenan är välplanerade och därför är samtliga steg är planerade i minsta detalj. Men även även den bästa kan göra fel och avslöja eller läcka information. Det kan röra sig om utveckling av skadlig kod där metadata finns kvar som avslöjar sökvägar eller tidszoner.

Planeringen handlar även om hur mycket resurser som behövs och eventuell programvara som utvecklas eller införskaffas för operationen.

Även så kan flertalet avdelningar koordineras innan, ska HUMINT och SIGINT användas innan så måste detta även planeras i förväg.

2. Kartläggningsfas

Här kartläggs individer, datornätverk, leverantörer, konsulter och nyckelpersoner på Cyberkartläggningorganisationen. Vilka resor är planerade och vilka resebolag används, kan en inresa i landet nyttjas för att tömma en laptop på information eller planera avlyssningsutrustning i tangentbordet exempelvis.

Nyckelpersoners personliga nätverk kartläggs och förehavanden av dessa i sociala medier söks av efter förekomster av intressant information. Används LinkedIn av medarbetar och hur ansluts organisationen till Internet samt används VPN-anslutningar.

Finns det partnerorganisationer som kan tänkas ansluta mot målet eller har organisationen filialer eller annan verksamhet som är på annan ort som inte är lika skyddad.

Företag i Sverige skyltar gärna med att dom har säkerhetsskyddsavtal med FMV och några frågor till respektive registratorfunktion hos några myndigheter så kan mycket information inhämtas med stöd av offentlighetsprincipen.

3. Implantat

USBG-1680Skadlig kod och specialskriven zero-days används troligtvis för att genomföra intrång och erhålla ett fotfäste i organisationen. CD/DVD-Skivor eller USB-minnen med mjukvaruuppdateringar som innehåller bakdörrar kan skickas till organisationen efter att tidigare offentliga upphandlingar granskas. Även kan tangentbord, möss, hårddiskar eller annat innehålla bakdörrar redan vid leverans från leverantör.

Även kan trådlösa nätverk knäckas hemmavid där stor datorkapacitet finnes, och detta gäller inte enbart trådlösa nätverk ute hos målorganisationen men även på hemmanätverk hos personal som jobbar på organisationen. Eller varför knäcka lösenordet när en mobiltelefon eller annan enhet som innehåller Wifi-lösenordet kan temporärt lånas.

Riktad skadlig kod skickas även till respektive familjemedlem som kanske även använder den dator som sedan kopplas upp mot organisationens nätverk. Phishing som ser ut att komma från någon välkänd tjänst som den enskilde använder såsom LinkedIn, Facebook eller liknande.

Observera att dessa fyra faser kan pågå under flera år, upp till 10 års tid har undersökningar av skadlig kod påvisat.

Även kan främmande staters signalspaningsmyndighet användas för att leverera implantat när exempelvis mjukvara laddas ner från Internet som ej kontrolleras med signatur eller checksumma i efterhand.

4. Exfiltration

Denna fas handlar om att skicka ut information ur organisationens nätverk. Troligtvis klassificerad information men detta genomförs ej i första steg. Den första informationen som exfiltreras innefattar sådant som kan behövas för att kartlägga organisationen ytterligare. Det kan vara datornamn, IP-adresser och sådant som kan ligga till grund för en djupare penetrering av IT-infrastrukturen.

Den specialskrivna mjukvara som står för exfiltrationen har troligtvis ett antal moduler som testar olika sätt att skicka ut information såsom Dropbox, FTP, DNS, HTTPS och E-post via kända E-postprogram.

Mjukvaran har även en funktion som kan detektera om den är på ett nätverk som är fysiskt åtskilt från Internet och då kan nyttja metoder för att ”hoppa över luftgap” (USB-minne, högtalare/mikrofon etc).

5. Upprensning

Att dölja spår är viktigt för att undanröja modus operandi. För alla steg ovan avslöjar små detaljer om antagonisten som kan användas vid IT-forensiska undersökningar och reverse-engineering.

upprensningNågra metoder som används är att individuellt kryptera olika moduler med olika algoritmer och krypteringsnycklar som enbart dekrypteras när speciella fall uppfylls. Såsom att en viss mjukvara finnes installerad på måldatorn på en viss sökväg (detta kommer från kartläggningsfasen).

Servrar som placeras ut på Internet som sköter Command and Control (C2C) måste vara förberedda för att snabbt destrueras (läs om digitala sprängkistor).

Sammanfattningsvis

Med hjälp av ovan steg så skulle jag påstå att samtliga organisationers skydd skulle brista förr eller senare. Som vanligt gäller det att använda lökprincipen och försöka minimera eventuell skada i tidigt skede.

Av stor vikt är även att det finns väl fungerade intrångsskydd och spårbarhet finns på alla ställen. Fysiskt separerade nätverk och skydd mot röjande signaler (RÖS/TEMPEST) kan givetvis också hjälpa samt kanariefåglar utplacerade.

Och största skillnaden mellan cyberangrepp från just en främmande stat och hackers, organiserad brottslighet etc är resurserna. I form av antalet zero-days, beräkningskraft, SIGINT och uthållighet. Men det kan även hända att stater anlitar hackergrupper för informationsstölder, vilket gör det svårt att urskilja bakomliggande aktör.

Förmiddagen IDG TechWorld NGT 2014

Här kommer en sammanställning av förmiddagen under IT-säkerhetskonferensen Next Generation Threats 2014 som anordnas av IDG TechWorld. Du kan läsa om eftermiddagen här.

Christopher Soghoian, Blinding The Surveillance State

Säkerhet i mobiltelefoner

Skillnaden i säkerhet mellan iOS och Android. Få slutanvändare som förstår skillnaden. Slutkonsumenterna står alltid inför ett val i butiken. Apple beskriver säkerheten i iOS mycket bra i diverse dokument som publicerats på dess webbsida.

Android krypterade ej som standard tidigare. Men detta har nu ändrats. Svårt att slå igång kryptering på Android samt tar det tid.

Få använder funktioner som inte är på som standard. Boken Nudge, the power of default settings. Patternlösenord visar på att diskkryptering i Android används (inte tillräckligt med entropi).

Apple hade möjligghet att dekryptera vissa delar från iPhones. Telefonen var tvungen att skickas till Apple för dekryptering.

Tim Cook gick nu ut med ett meddelande att Apple nu ej längre kan dekryptera innehållet i iPhones från och med iOS 8. Google svarar med att meddela att nästa version
av Android kommer att inneha diskkryptering som standard.

Tyvärr kommer människor att välja dåliga PIN-koder vilket krypteringen baseras på. Detta för att vi är bekväma och att ange en lång PIN-kod flera gånger om dagen är ingen som gör.

Oklart om Google Hangouts går att avlyssna. Bra med iMessage är att det är kryptering som standard. Flertalet myndigheter klagar på att det ej går att erhålla data från iMessage via Apple.

Hårddiskkryptering

Apple Mac OS X filevault skickar som standard backup-nyckel till Apple. Går att ställa in dock.

Microsoft säljer flertalet olika versioner av Windows och Bitlocker är inte med på många av dessa. Finns inget sätt i dagsläget att slå på kryptering av hårddisken utan att MS tar del av din nyckel. Windows 8.1 har nu ändrat detta och hd-kryptering följer med och kan aktiveras med viss hårdvara.

Han berättar även om Truecrypt och hur beroende vi är/var av TC för att kryptera hårddisken.

Ett problem som föreläsaren belyser är att rika får bättre säkerhet och kryptering. Det är inte alla som har råd att köpa en Mac eller iPhone. Den dator du köper för 1500kr har ingen säkerhet eller kryptering. Bra säkerhet har blivit en klassfråga.

Affärsmodellen för många företag förhindrar att kryptering används. Han tar upp som exempel med Gmail och att reklamen som visas måste söka igenom din E-post efter nyckelord.

Företag som tjänar pengar direkt på sina användare istället för data har lättare att använda kryptering som standard.

En fråga från publiken gällande fingeravtryck och vad föreläsaren tycker om det. Han tycker att det är en bra övervägning som Apple har genom att både ha möjlighet att ha ett jättelångt lösenord som du enbart använder när telefonen startar om men annars använder du fingeravtryck. Polisen kan tvinga dig dock att låsa upp telefonen med ett fingeravtryck (precis som med lösenord).

En fråga gällande bakdörrar som implementeras i mjukvara såsom Skype. Nämner även warrant canaries och hur det fungerer. Säkerhet är inte den främsta orsaken till att Skype används, det är att inneha möjlighet att prata med sina nära och kära utan att betala dyra pengar.

Runa A Sandvik, Privacy Snakeoil: secret systems, technobabble and unbreakable things

Berättar om att hon jobbar för freedom of the press samt hjälper nyhetsredaktioner och journalister. Berättar om Securedrop och att de hjälper exempelvis Tor och Wikileaks.

NSA-proof har blivit ett ord som numera är vanligt och beskriva system eller produkter.

Få vet dock vad det innebär bara att dom vill vara/ha det, troligtvis eftersom många inte är så tekniskt bevandrade.

Berättar om Secret, Wickr, Telegram, Whisper Systems samt andra mobilappar som ska tillhandahålla säker kommunikation. Hon berättar även om det språkbruk som används på tjänsternas webbsidor.

Att beskriva produkter med tekniska ord skrämmer eventuellt iväg användare så därför används ord såsom military grade encryption och NSA-proof. Christopher säger att troligtvis bedöms produkten utifrån hur webbsidan ser ut. Även när alla använder samma beskrivningar av sina produkter så är det svårt att veta om dom verkligen är säkra eller hur kryptonycklar hanteras. Vi behöver oberoende granskning som kan ge bedömningar om vilka produkter som är bra och vilka som är dåliga.

Det vore bra med ett poängsystem eller liknande för att gradera appar/produkter säger Christopher.

Morgan Marquis-Boire, Senior Researcher and Technical Advisor

Berättar att han jobbade på Google då nyheten att NSA avlyssnade dem dök upp. Går in på att det kostar att skydda sig mot angripare och vilken nivå ska man lägga sig på. Det handlar om att öka kostnaden för massövervakning genom att hela tiden höja ribban.

Hur ser aktörerna ut? Är det kinesiska APT 1 som Mandiant fick stora rubriker genom att upptäcka eller är det NSA som ingår i hotbilden? Andra statliga aktörer man bör akta sig för är exempelvis Ryssland, Israel och FVEY (five eyes).

Nämner även FinFisher och att det nu finns en marknad runt att sälja denna typ av mjukvara till stater. HackingTeam är ett företag som är baserat i Italien och att dom sålt till 36 olika länder.

Morgan berättar om företag som utför etisk hacking åt myndigheter och stater. Det ska kosta att använda exploits och zero-days för att lägga in bakdörrar (implants).

Det är billigare med CNE än med HUMINT, insider etc. Stor del av internets användare tittar på kattfilmer på Youtube och videoströmmen går i klartext vilket öppnar upp för att injicera skadlig kod riktad mot just videoströmmen.

Finns att köpa proxyservrar som är specialsydda för att infektera datorer i exempelvis diktaturer såsom turkmenistan eller bahrain.

Christopher berättar även under frågestunden att vi är dåliga på att bygga funktioner för lösenordsåterställning. Frågor som är publikt tillgängliga är inte bra att använda.