Taggat med: IoT

Ny spännande startup: Debricked

Jag tog ett snack med Daniel Wisenhoff som är en av grundarna till en ny svensk säkerhetsstartup vid namn Debricked. Startupen är en spinoff från Lunds Universitet och ett projekt som forskat inom software component analysis (SCA).

Forskningen som ligger till grund för Debricked har även erhållit forskningsbidrag från Vinnova samt medverkar i ett nytt projekt vid namn HATCH som du kan läsa mer om här.

Berätta om hur idén till produkten föddes?

Under forskningsprojektet SECONDS som bedrevs på LTH från ~2015-2018 där vi tittade på hur man kan på ett effektivt jobba med säkerhet inom produktutveckling.
Detta med fokus på IoT (SECONDS, Secure Connected Devices).

Vad ser ni för behov på marknaden för Er tjänst/produkt?

Open Source Vulnerability Management, som är vårt första produkt bygger på det faktum att de allra flesta bolag idag använder någon form utav öppen källkod. Vi har då tagit fram ett verktyg som automatiserar och effektiviserar processen med att hålla koll på sin open source och vilka sårbarheter som finns i denna. Det som skiljer oss här är väl det att vi försöker automatisera så mycket som möjligt kring inhämtning av data och använder bland annat AI såsom Natural Language Processing (språkigenkänning) för att hitta bra information.

”Det som skiljer oss här är väl det att vi försöker automatisera så mycket som möjligt kring inhämtning avdata och använder bland annat AI och igenkänning med mera för att hitta bra information.”

Vilka är du/ni som står bakom produkten?

Daniel Wisenhoff, jag. Medgrundare av Debricked och tidigare grundare av forumet techsweden samt deltidsjobb på Axis samt Adsensus under tiden som jag studerade på LTH.

Oscar Reimer CTO, en gammal vän till mig och vi har drivit företag tillsammans. Bl.a Techsweden.org som på sin tid var en av Sveriges största entusiast communitys för PC-hårdvara. Därefter har han frilansat en hel del inom utveckling och e-handel.

Martin Hell, disputerad på LTH inom informationssäkerhet. Var projektledare tidigare på SECONDS projektet och även nu co-founder och senior advisor till Debricked. Det är i huvudsak Martin som står för den tekniska höjden i produkten och säkerhetskompetensen.

Vilka ser ni som era primära kunder?

Just nu håller vi på att testa marknaden och se var vi bäst får napp.

Hur ser prismodellen ut?

På samma vis som ovan, så håller vi på att testa olika modeller. Men vi tänker oss att vi är ett SaaS bolag med tillhörande modeller för betalning.

Skärmdump från produkten Open Source Vulnerability Management:

MSB släpper tre faktablad om IoT-säkerhet

Myndigheten för samhällsskydd och beredskap (MSB) har släppt tre stycken faktablad gällande säkerhet inom Internet of Things-området (IoT).

Stöd Kryptera.se ekonomiskt via Patreon!

Faktabladen är uppdelade på följande områden:

Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:

”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”

Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:

MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde

Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.

Biljetterna till SecurityFest är nu släppta

Biljetterna till säkerhetskonferensen SecurityFest som går av stapeln i Göteborg är nu släppta. Det datum som gäller är 1:a Juni 2018 samt lokalen som är Eriksbergshallen.

Inga talare är ännu utannonserade men däremot finns det möjlighet att gå två stycken kurser dagen innan konferensen. Kurserna är begränsade till 10 personer och de två kurserna är:

För konferensbiljett och utbildning en dag hamnar priset på 10000kr. Om du enbart vill gå på konferensen så blir priset 3125kr ink moms. Och för studenter så blir konferenspriset 1000kr.

Jag har själv inte varit på SecurityFest men tittar jag på förgående års talare så har det varit en otroligt bra line-up.

Ny trådlös attack som använder Bluetooth: BlueBorne

BlueBorne är samlingsnamnet på en ny uppsjö av säkerhetsbuggar som identifierats i den trådlösa standarden Bluetooth och kan potentiellt drabba 5.3 miljarder enheter världen över.

Säkerhetsbuggarna har identifierats av företaget Armis som jobbar just med IoT-säkerhet. Att säkerhetsbuggarna kan drabba så pass många enheter beror på att flertalet sårbarheter har identifierats i många av de mjukvaror som implementerar Bluetooth-standarden.

Följande sårbarheter har identifierats i plattformarna Android, Windows, Linux och iOS:

  • Linux kernel RCE vulnerability – CVE-2017-1000251
  • Linux Bluetooth stack (BlueZ) information leak vulnerability – CVE-2017-1000250
  • Android information leak vulnerability – CVE-2017-0785
  • Android RCE vulnerabilities CVE-2017-0781 & CVE-2017-0782
  • The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
  • The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
  • Apple Low Energy Audio Protocol RCE vulnerability – CVE-2017-14315

Den enhet som attackeras behöver inte ställas i synligt-läge och några behörigheter behöver inte användas för att nyttja någon av ovan attacker enligt Armis.

Demonstration av attacken finner du här:

Här kan du ladda hem ett tekniskt papper i PDF-format:

Kryptering och Internet of Things – Ny sårbarhet uppdagad

 

Internet of Things säkerhet

Ett antal forskare undersökte de kryptografiska funktionerna i protokollet Open Smart Grid Protocol (OSGP) som är väl använt inom IoT (Internet of Things). Nu har dock allvarliga brister uppdagats i detta protokoll som är baserat på RC4(!) samt en egen MAC (OMA digest).

OSGP-protokollet är en standard enligt Telecommunications Standards Institute (ETSI) sedan 2012 och har utvecklats av Energy Service Network Association (ESNA). Ungefär fyra miljoner IoT-enheter använder OSGP-protokollet.

Några av de angreppsmetoder som används är:IoT Crypto

  • Chosen-Plaintext Key Recovery Attacks
  • Known-Plaintext Key Recovery Attack
  • Forgeries and a Third Key-Recovery Attack

Även så tog forskarna fram Proof-of-concept kod i Python för att demonstrera några av sårbarheterna.

Och för att citera Bruce Schneier:

Anyone can design a cipher that he himself cannot break. This is why you should uniformly distrust amateur cryptography, and why you should only use published algorithms that have withstood broad cryptanalysis. All cryptographers know this, but non-cryptographers do not.

DNP3 Secure Authentication som också är ett protokoll som används inom IoT använder sig av HMAC-SHA256 samt AES-GMAC vilket anses säkert.

Så vad har vi lärt oss? Försök inte att utveckla ett eget krypto.