Taggat med: Moxie Marlinspike

Web3 och säkerhetsproblem

Web3 (eller web 3, web 3.0) beskrivs som en decentraliserad form av internet som baseras på blockkedjeteknik. Men länge har det ifrågasatts hur decentraliserad web3 egentligen är, bl.a. genom ett blogginlägg av Signals grundare Moxie Marlinspike.

Själva grundstommen i web 3 består av marknadsplatser såsom OpenSea och Rarible där webbläsar-tillägg såsom Metamask och TrustWallet används (dApps) och decentralized finance (DeFi) är också ett begrepp som cirkulerar. Men bara för att det är tillägg till webbläsaren och du själv sitter på dina privata nycklar så används olika centraliserade API:er.

Metamask

Senaste dagarna så har även phishingen ökat markant, speciellt eftersom få läser igenom de smarta Ethereum-kontrakt som man godkänner via sin webbläsar-plånbok. Det har även visat sig att det går att skapa kontrakt där ett enda godkännande kan användas för att stjäla samtliga NFT:er som någon äger. Och för den som inte är insatt så står NFT för Non-fungible token och används främst för att köpa och sälja digital konst.

Bild på hur phishing kan se ut via E-post där någon utger sig för att vara marknadsplatsen OpenSea:

Och förutom E-post så används även Discord i stor utsträckning. Även så förekommer andra sociala medier såsom Twitter:

Och att bli av med en eller NFT:er kan innebära stora summor. Den senaste Bored Ape Yacht Club (BAYC) såldes för 2.3 miljoner kronor. Men jag är dock positiv till hela rörelsen med Web 3 och anser att det vi ser nu är bara initiala problem. För flertalet problem har redan lösts eller håller på att lösa sig såsom att många NFT:er förlitar sig på centrala servrar eller IPFS-pekare som är single point of failures. Därför har flertalet projekt nu konverterat till NFT on-chain.

Phishingen är dock inte lika enkel att lösa rent tekniskt: Framförallt gäller det att begränsa vilka sajter man godkänner i MetaMask samt se över vilka godkännande man har, se exempelvis Etherscan Token Approval Checker. Att använda sig av flertalet wallets såsom en ”burner wallet”, men inte lika enkelt då gas fees (transaktionsavgifterna) är relativt höga på Ethereum-nätverket.

Och har man blivit av med en NFT eller kryptovaluta så är det svårt att få tillbaka dessa. Just för att det inte finns någon central styrning. Men att använda stulen kryptovaluta eller NFT:er måste någon gång omsättas och då finns det skydd på de flesta centrala handelsplatserna och därför använder kriminella exempelvis over-the-counter transaktioner (OTC) eller Tornado Cash mixer.

Sammanfattning

Jag tror Web3 är här för att stanna och problemen vi ser just nu bara är initiala problem och växtvärk. Oavsett vilken bransch man verkar inom så är phishing svårt att förbygga men det går, bl.a. genom tekniska lösningar och utbildning.

Skulle det inte vara möjligt för Metamask och andra att ge någon slags fingervisning vad kontraktet man godkänner verkligen innehåller?

Givetvis så har även marknadsplatserna en hel del att lära och utveckla:

Wyvern (ERC20, ERC721) är ett av de protokoll som smarta kontrakt som Ethereum använder sig av.

Facebook Messenger blir krypterat

Facebook börjar nu sakta men säkert att rulla ut kryptering direkt mellan användare, så kallad end-to-end kryptering. Tidigare har enbart meddelanden mellan användaren och Facebooks servrar varit krypterade (med MQTT + över TLS?).

Enligt en källa till Wired så baseras den nya krypteringstekniken på Signal-protokollet som är utvecklat av Moxie Marlinspike och Open Whisper Systems.

Tyvärr så måste användaren själv göra ett aktivt val för varje konversation att End-to-end kryptering ska användas.

Men självklart ett steg i rätt riktning för Facebook Messengers alla 900 miljoner användare. Även så släppte Google sin nya app Allo som fungerar på liknande sätt där Google mixar end-to-end kryptering i en och samma app vilket kan göra det svårt för användare att urskilja om kryptering verkligen används.

Att Facebook väljer att göra det till ett val för användaren att slå på kryptering beror troligtvis på att företaget inte vill ha problem med amerikanska myndigheter.

Nätaktivisten och säkerhetsforskaren Christopher Soghoian skriver på Twitter:

Eftermiddagen Next Generation Threats 2014

Detta är del två av vår sammanfattning av konferensen Next Generation Threats som anordnas av IDG TechWorld. Del ett kan du läsa här.

Marion Marschalek, How would you find what you can’t see?

Börjar med att berätta om malware-historia och olika typer av malware såsom trojaner, virus, maskar etc. Sedan om historien för att upptäcka malware genom exempelvis checksummor. Efter ett tag så lämnade man checksummor och gick över till signaturer som identifierade delar av filer och nu används en mängd olika metoder såsom vitlistning, heuristik, beteenden och information från molnet.

Endpoint-säkerhet i antivirus-produkter blir allt bättre och kontrollerar USB-minnen, URL:er och E-post exempelvis. Klientsystem blir uppkopplade och kontrollerar information i realtid mot molnet.

Marion berättar att Zeus är hennes favorit inom skadlig kod ”old but gold”. Hon berättar att antivirus har en detection-rate på cirka 40% i dagsläget vilket är lågt.

Det finns ingen universiell lösning utan det är flertalet saker som måste tänkas på. Minimalistiska system, håll koll på loggar och anslut inte överallt på internet.
Håll koll på alla anslutningar i ditt nätverk. Att antivirus skulle vara dött tycker Marion inte stämmer.

Robin Blokker, VIP security, digital attacks and defenses

Berättar om att FRA jobbar med informationssäkerhet samt signalspaning. Robin jobbar på en avdelning som testar säkerheten i samhällskritiska system på uppdrag av myndigheter och statligt ägda bolag.

FRA försöker att göra säkerheten i Sverige bättre. Det är inte lätt men några små steg i taget så blir det bättre och bättre med åren. Om det är en sak som Robin
rekommenderar så är det att sätta på utlåsning av konton vid misslyckade lösenordsförsök.

Organiserad brottslighet står bakom det mesta dåliga som syns på internet såsom spam och liknande. Det FRA är oroliga över är dock statliga aktörer som är svårare att upptäcka.

Hur genomförs attackerna?

Genom exempelvis waterhole, återanvändning eller stöld av behörigheter. Spårning och identifiering av administratörer på nätverk. Skapa en fälla genom att exempelvis gå till en administratör med en trasig dator eller liknande och berätta att det ej går att logga in. Då försöker administratören logga in med admin-behörigheter som du kan spara undan.

FRA varnar för administratörer: Alla måste byta lösenord ofta utan admins.

Gränsen mellan företagets datorer och dina privata suddas ut.

Använd inte admin-konton överallt. Upprätta ett administratörnätverk där det finns klienter för administration och att enbart dessa används. Vore bra om alla använde biometri istället för lösenord eller 2FA men Robin är nöjd om användare börjar med passphrases istället för passwords.

Moxie Marlinspike, End to end encryption for everyone

Börjar med att berätta om amerikanska actionfilmer och att amerikanerna är underdogs i filmer såsom Rocky, Hunt for red october och Top Gun. Poängen verkar vara ”power vs people” där NSA är onda i exempelvis filmen Enemy of the state. Sen på 2000-talet så börjar det handla om terrorister och det blir mer åt ”vi mot dem” hållet igen.

Hackers DNA kommer från filmer och tittar vi på filmer som släppts nyligen så handlar det mycket om ”power vs people” samt så nämner han Hunger games.

När Moxie började utveckla mjukvara för säker kommunikation så tittade han på PGP vs. OTR. Svårt att använda kryptomjukvara såsom PGP där manualer är ofantligt stora
och krångliga för nybörjare.

Vi måste titta mot OTR men det blir problem såsom flertalet enheter samt extra handskakning. Sessioner är flera år långa och det ställer till problem.

Axolotl är ett nytt protokoll som dom har tagit fram som gör en trippel Diffie-Hellman. Det finns inga power-users, det är inte som PGP samt användaren behöver inte veta vad en nyckel är.

Allt som Open WhisperSystems utvecklar är öppen källkod.

Diskussioner om Truecrypt uppstår och Runa A Sandvik säger att projektet är temporärt dött, många i publiken verkar fortfarande använda det. Moxie vill rätta sig
angående att PGP är utdött och säger att det är bra för att skicka krypterade filer.

Åsa Schwarz, Into the future of IT security

Tid att upptäcka intrång i organisationer blir inte snabbare men tiden det tar att göra intrång går snabbare. Detta beror på att vi är människor och vi ser olika på
säkerhet. Exempelvis så ser en tekniker och en säljare olika på säkerhet.

Säkerhet måste finnas med i utvecklingsspåret samt risk managment. Användare är för snabba och företagen hänger inte riktigt med: nya appar och telefoner etc hela tiden.

Säkerhet måste även vara användarvänligt och stödja affären.

Windows 8 lösenord, RC4, Google Wallet och MSB

Vi sammanfattar här några av de nyhterna vi tweetat ut de senaste dagarna:

Du följer väl oss på Twitter? https://twitter.com/kryptera

Kryptering till Android

Uppdatering: Företaget Whisper Systems finns ej längre utan går under namnet Open Whisper Systems: https://whispersystems.org/

Företaget Whisper Systems släppte nyligen sin produkt WhisperCore som krypterar den hårddisk (flashminne?) som återfinnes i Android-telefoner. Moxie Marlinspike som är medgrundare till företaget samt chefstekniker berättar att denna första betaversion av WhisperCore enbart fungerar på Nexus S.

WhisperCore användare AES (Advanced Encryption Standard) med 256-bit nycklar i XTS-läge, på samma sätt fungerar PC-hårddiskkrypton såsom TrueCrypt eller LUKS (Linux Unified Key Setup) säger Moxie.

WhisperCore är den första mjukvara som krypterar Android-telefonens innehåll. Sedan tidigare så erbjuder företaget även produkten RedPhone som gör att du kan ringa krypterade telefonsamtal via mobiltelefonen.

Krypterade mobilsamtal med Android

Mobiltelefoner som stödjer operativsystemet Android kan nu nyttja en ny programvara som gör det möjligt att göra end-to-end kryptering över mobilnätet.

Programmvaran heter RedPhone och är utvecklad av Whisper Systems med hjälp av Moxie Marlinspike i spetsen. Moxie är känd sedan tidigare för sitt arbete med att bl.a. hitta sårbarheter i SSL-protokollet samt Googlesharing.

RedPhone använder kryptot ZRTP som är utvecklat av PGP-skaparen Phil Zimmerman.

Se Whisper Systems hemsida: https://whispersystems.org/

Uppdatering: Ändrade länken till whisper systems