NSA MAC-adress 00:20:91
Om du ska ändra din MAC-adress till något kul. Ta något som börjar på 00:20:91 för det är NSA:S OUI (Organizationally Unique Identifier).
Via Twitter
Om du ska ändra din MAC-adress till något kul. Ta något som börjar på 00:20:91 för det är NSA:S OUI (Organizationally Unique Identifier).
Via Twitter
Nyligen så genomförde chefen den operativa enheten Tailored Access Operations (TAO) en offentlig presentation. Denna presentation var intressant och innehöll en hel del godbitar som vi kan lära oss av, presentationen gick av stapeln under USENIX Enigma. Och chefen i fråga heter Rob Joyce och har varit chef för TAO sedan 2003.
Även om du jobbar med IT-säkerhetsgranskning eller skydd av nätverk och system så kan du lära dig från Robs råd. Jag har sammanfattat och tolkat hans presentation nedan.
EMET: everybody should be turning that on, it makes our job harder” – Rob Joyce, NSA TAO Chef.
TAO har en uthållighet som kan sträcka sig under lång tid. Och de lär känna nätverket väl, bättre än eventuella systemadministratörer. Troligtvis kan de även använda SIGINT (signalspanade) uppgifter för att kartlägga nätverket ytterligare, exempelvis med hjälp av metadata som avslöjar programvaror och versioner.
En annan intressant sak som han sa var att NSA kan få fotfäste och köra fast, men kan då vänta ut tills de hittar en sårbarhet som de kan utnyttja. Tänk exempelvis följande scenario: år ett får de fotfäste internt men kan ej eskalera behörigheter till administratör. År två dyker en ny sårbarhet upp som de kan utnyttja och således avancera ytterligare in i nätverket.
Rob nämner att de försöker att identifiera enheter som finns på nätverket som de angriper. Och nämner IoT, BYOD, molntjänster och enheter som är fysiskt utanför organisationen men inom nätverksdomänen. Även så litar vi mer och mer på våra enheter, telefoner samt på partners.
Även anser NSA att nyttan av nolldagars-sårbarheter är överreklamerad. För i de flesta attacker så behövs inte dessa utnyttjas och att använda noll-dagars innebär även en risk, dels för att själva exploiten misslyckas och dels för att hålet röjs. Även kan en exploit säga en hel del om angriparen och modus operandi (MO).
Det första intrånget sker främst genom något av följande tre sätt:
För att göra TAO:s jobb svårare så rekommenderar Rob en mängd olika saker. Såsom EMET samt att nyttja lägsta behörigheter som en användare eller administratör behöver. Även bevaka och titta efter anomalier som avviker från normala mönster. Se även till att segmentera upp nätverket.
Undvik att hårdkoda in lösenord eller liknande i shellscript. Och se till att använda loggning, exempelvis nätverkstappar och titta och förstå trafiken som flödar i nätverket.
Även så berättar Rob att vitlistning gör deras jobb svårt samt mjukvaror som automatiskt uppdaterar när det kommer buggfixar.
Behöver din organisation hjälp med cybersäkerhet? Kontakta Triop AB >
En annan sak som han nämner att många tänker att det är dåligt att bli av med data, men glömmer lätt att data även kan förvanskas eller helt enkelt raderas. Därför är det viktigt med offsite backuper. Se min presentation om exfiltration från Internetdagarna 2014 här.
Här kan du se presentationen i sin helhet:
Eller rättare skrivet så gick den amerikanska myndigheten NSA ut för några dagar sedan och varnade för att många av nutidens algoritmer som används bör uppgraderas för att motstå beräkningar utförda av kvantdatorer.
Det rör framförallt RSA där nyckelstorlekar är under 4096 bitar, men även elliptiska kurvor kan ligga dåligt till eftersom en variant av Shors algoritm kan användas. Eller som NSA uttrycker det:
Minimum 3072 bit-modulus to protect up to TOP SECRET.
Intressant också är gällande hashalgoritmer så rekommenderas minst SHA384, vilket i praktiken innebär SHA512.
Nu innebär detta inte att alla måste byta över en natt utan NSA rekommenderar att leverantörer slutar att leverera och tillverka produkter eller mjukvaror som implementerar algoritmer som ej kan motstå beräkningar utförda av kvantdatorer.
Och förutom RSA och SHA så rekommenderas ECDH (Elliptic Curve Diffie–Hellman) med med minst 384 bitar.
Personligen så föredrar jag Curve25519 av Daniel J Bernstein etc, se SafeCurves. Bitcoin exempelvis använder sig av secp256k1.
The RSA-2048 Challenge Problem would take 1 billion years with a classical computer. A quantum computer could do it in 100 seconds
– Dr. Krysta Svore, Microsoft Research
Uppdatering: Obs Curve25519 hjälper inte mot beräkningar utförda av en kvantdator.
Operation IVY BELLS var en avlyssningoperation utförd av amerikanska marinen, NSA samt CIA tillsammans. Målet var att avlyssna en undervattenskabel som gick i Ochotska sjön till marinbasen i Petropavlovsk. Detta låter kanske som någon nyligen utförd operation men denna operation påbörjades i början av 1970-talet.
Installationen genomfördes på 120 meters djup från ubåten USS Halibut och den specialutvecklade avlyssningsutrustningen var 6 meter lång och vägde 6 ton utvecklad av Bell Labs.
Till amerikanarnas förvåning var nästan all kommunikation okrypterad och flertalet avlyssningstappar installerades från ubåtar som modifierades för syftet.
Varje månad fick även ubåten besöka avlyssningstappen för att byta ut de band som spelade in kommunikationen. Även så konstruerades tappen på ett sådant sätt att den skulle automatiskt släppa om kabeln togs upp för reparation.
Just denna tapp var borta vid ett av ubåtens besök tio år senare och det visade sig att NSA hade en läcka vid namn Ronald Pelton. Satellitbilder visade då på att ett antal ryska fartyg hade befunnit sig på platsen ovanför tappen.
Under dessa tio år som tappen var installerade gav den amerikanarna stor inblick i den ryska marina kommunikationen.
Tappen återfinnes i dagsläget på ett KGB museum i Moskva och Ronald Pelton som sålde informationen om tappen till ryssarna för 35000$ blev senare avslöjad då hans KGB-kontaktperson Vitaly Yurchenko hoppade av och flyttade till USA (temporärt?).
Att det tog så lång tid att avslöja tappen beror enligt vissa på att den nyttjades till att förse NSA med desinformation.
Nyligen så uppdagades en ny attack mot SSL/TLS vid namn SMACK. Denna attack nyttjar det faktum att många webbsajter i dagsläget erbjuder gamla krypteringsalgoritmer där bl.a. RSA 512 bitar finns med samt en sårbarhet i klienter.
Att faktorisera 512 bitar RSA går relativt snabbt med hjälp av ett kluster hos exempelvis Amazon EC2. Och med hjälp av 75 st servrar hos Amazon tar det cirka 7h och kostar runt 800 SEK. Och verktyget som användes för detta är bl.a. cado-nfs (eller så kan även ggnfs + msieve användas).
Men hur utbrett är problemet eg. med dessa korta nyckellängder på serversidan? Jo, av 14 miljoner sajter som stödjer SSL/TLS så har 36.7% detta problem. Och problemet i detalj består i att om en klient såsom OpenSSL eller Apples SecureTransport får tillbaka ett svar som inkluderar export-grade RSA så kommer dessa klienter att acceptera svaret, även om de ej frågat efter export-grade RSA.
Förfarandet steg för steg:
Demonstration av hur attacken kan nyttjas mot NSA (eller rättare skrivet, Akamai):
Gårdagens stora nyhetshändelse i framförallt tyska medier var att programkod från XKEYSCORE läckt. Att XKEYSCORE är kodord för den del av NSA som sköter övervakning av datatrafik är något som har visat sig från tidigare läckor från Edward Snowden.
Att just NSA skulle inrikta sig mot att försöka avlyssna delar av Tor-nätverket är ingen direkt nyhet och om nu denna läcka är från NSA så kan vi bara anta att inriktningen mot Tor bara är en bråkdel av allt som finnes.
Programkoden som har läckt är regler för vad XKEYSCORE ska titta närmare på, bl.a. så tittar man på TLS-certifikatdelen x509 subject eller DNS-namn som tillhör bridges.torproject.org. Även så söker man efter LinuxJournal, MixMinion samt Tails.
Programspråket C++ finnes inbäddat samt så används Boost och mapreduce (troligtvis Apache Accumulo).
Frågan är dock om detta verkligen kommer från NSA då det finns en del som talar emot detta, bl.a. kommentarer från utvecklare/analytiker om personliga åsikter samt så finns regler för ”five eyes” (FVEY) vilket också är publik information som läckt tidigare.
Sen är det även ett godtagbart mål då USA troligtvis aldrig kommer att bekräfta eller förneka att dessa regler existerar.
Programmeringsmässigt så innehåller koden massvis av fel i regexpar, felstavningar samt så blandas kod med regler.
En av de IP-adresser som förekommer i regelverket tillhör grannlandet Norge: AS2119 Telenor Norge AS.
Vi ska försöka att sammanfatta det vi tror kommer att hända och utvecklas under året 2014. Vilka trender inom IT-säkerhet är det vi ser och kommer att öka?
Utan inbördes ordning:
Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:
Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:
Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:
McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.
Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.
Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.
Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.
Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.
Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.
Den amerikanska signalspaningsmyndigheten NSA (SIGINT) har sedan en tid tillbaka en sida riktad till barn som vill lära sig om kryptoforcering/kodknäckning. Sidan går under namnet Cryptokids och har ett antal karaktärer enligt följande bild:
På sidan kan barn bl.a. spela spel och lära sig substitutionskryptering, morse samt hur man säger hej på olika språk.
Uppdatering: Vi glömde länken till sajten: http://www.nsa.gov/kids/