Taggat med: tor

Tor

Tails 1.3 samt Tor Browser 4.0.4

Det händer en hel del i Tor-världen just nu. Det släpptes just en ny version av Tor Browser men även så släpptes Tails 1.3 igår. Vi försöker sammanfatta nyheterna nedan:

Tails 1.3

Tails har nu förstärkt skyddet i den webbläsare som följer med operativsystemet. Denna härdning använder sig av AppArmor och ser till att webbläsaren enbart får tillgång till vissa valda delar, detta kallas för MAC (mandatory access control).

ElectrumFör att öka stödet gällande kryptovalutor så är nu även Electrum installerat. Electrum är en så kallad wallet eller plånbok där du kan lagra dina Bitcoins säkert(?). För att informationen inte ska försvinna så bör du även nyttja funktionen för persistens.

Även så skeppas en ny proxy med kallad obfs4 som är en vidareutveckling på ScrambleSuite. Denna proxy försvårar för diktaturer eller filtreringsfunktioner såsom DPE (deep-packet-inspection) att detektera att det är just Tor som går på nätverkstrafiken.

Mjukvaran Keyringer finns installerad och denna mjukvara använder sig av GnuPG för att kryptera och distribuera hemligheter:

Keyringer lets you manage and share secrets using GnuPG and Git with custom commands to encrypt, decrypt, recrypt, create key pairs, etc.

Här kan du ladda hem Tails: https://tails.boum.org/download/index.en.html

Tor Browser 4.0.4

Detta är enbart en underhållsuppgradering där åtskilliga komponenter rättas till:

  • Uppdatera Firefox till 31.5.0esr
  • Uppdatera OpenSSL till 1.0.1l
  • Uppdatera NoScript till 2.6.9.15
  • Uppdatera HTTPS-Everywhere till 4.0.3
  • Bugg 14203: Prevent meek from displaying an extra update notification
  • Bug g14849: Remove new NoScript menu option to make permissions permanent
  • Bug g14851: Set NoScript pref to disable permanent permissions

Och Tor Browser Bundle laddar du hem här:

RansomCryptB

Ny krypto-ransomware

Krypto-ransomware är en typ av skadlig kod som krypterar dina filer och håller dem som gissla, därav ordet ransom (gissla). Ransomware har förekommit under några år men börjar på senare tid bli mer avancerade och innehåller mindre sårbarheter.

Tidigare ransomware som krypterade filer innehöll brister som gjorde det möjligt att relativt enkelt dekyptera filer som krypterats.

Senaste dagarna har Trj/RansomCrypt.B eller även känd som CTB-Locker börjat att infektera målsystem. Oklart om det var detta rasomware som infekterade Skolverket och krypterade 20 miljoner filer(?).

CTB-Locker sprids framförallt som bifogade filer i E-post där filändelsen är .scr (screensaver) och vid infektion visas nedan meddelande som hänvisar till en Tor Hidden Services adress.

 

RansomCryptBBästa sättet att skydda sig mot denna typ av skadlig kod är att se till att det finns backup men även i fallet med Skolverket så tar det tid att återställa många filer.

Se även till att hålla antivirus uppdaterat och blockera suspekta filändelser i perimeterskyddet.

 

Ny version av Tor Browser samt Tails

Angrepp mot TorEn ny version av Tor Browser samt Tails släpptes nyss. Denna version åtgärdar ett antal säkerhetsbrister som uppdagats i Firefox.

Följande säkerhetsbrister åtgärdas i Firefox:

  • 2014-90 Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
  • 2014-89 Bad casting from the BasicThebesLayer to BasicContainerLayer
  • 2014-88 Buffer overflow while parsing media content
  • 2014-87 Use-after-free during HTML5 parsing
  • 2014-85 XMLHttpRequest crashes with some input streams
  • 2014-83 Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)

Du kan som vanligt ladda hem Tor Browser här:

Tor attack

Två nya attacker mot Tor

Två nya attacker mot Tor har uppdagats. Den ena upptäcktes genom att en person sökte aktivt efter noder som ändrade .EXE-bnärer och efter att undersökt 1110 noder så identifierades en Exit-nod. Denna nod återfanns i ryssland och modifierade nedladdade binärer på så sätt som beskrivs i denna rapport och la till skadlig kod. Modifieringen kan även ha genomförts uppåt i flödet från exit-noden såsom en ISP. Denna skadliga kod har fått namnet OnionDuke och har analyserats av F-Secure.

Just denna typ av attack demonstrerades på IT-säkerhetskonferensen DerbyCon tidigare i år och har implementerarats i verktyget BDFProxy. Det finns nu ett verktyg som automatiskt kontrollerar om exit-noder modifierar nedladdade filer vid namn patchingCheck.py, men denna kontroll är dock inte helt pålitlig då den enbart kontrollerar de binärer som användaren själv anger.

För att skydda sig bör binärer laddas hem via https och signaturer verifieras.

Trafikanalys

Den andra attacken använder NetFlow-data som kan samlas in i routrar och sedan används denna data vid ingång samt ugång för att para ihop en anslutning. Denna attack har 81% chans att lyckas uppger forskarna. Att denna attack går att utför är dock inte speciellt häpnandsväckande eftersom Tor sedan länge framför att Tor ej skyddar mot trafikanalys.

Det finns lite olika sätt att förmildra denna typ av attack såsom slumpmässiga fördröjningar och tillsättning av extradata. Troligtvis kan ScrambleSuite försvåra denna trafikanalys.

Båda attackerna kan leda till att användarens identitet röjs. Att dessa attacker publicerats bidrar till att Tor blir säkrare att använda.

Tor trafikanalys

Här kan du ladda hem forskningsrapporten:

Kryptotrender 2015

Vi spår Kryptotrender 2015

Vad händer inom krypteringsvärlden? Vad är nytt och vad är på gång? Generellt kan man säga att anonymitet och personlig integritet är otroligt populärt och då söker sig många per automatik till olika mjukvaror som är starkt beroende av kryptering på ett eller annat sätt. Faktum är att det finns väldigt få mjukvaror som inte innehåller någon slags kryptografi.

Kryptotrender 2015

Nedan finner du sådant som jag ser i spåkulan som kommer att inträffa under nästkommande år:

  • Fler publika granskningar liknande Open Crypto Audit Project
  • Minst en sårbarhet kommer att uppdagas i en TLS-implementation
  • Utbredningen av Off-the-Record (OTR) meddelandeappar kommer att fortgå
  • Google kommer att ansluta till Tor
  • Fler butiker och handlare kommer att ta emot kryptovalutan Bitcoin (taxibolaget Uber?, Klarna)
  • Skadlig kod blir bättre på att använda kryptering, tyvärr. I form av obfuskering som Gauss-payload och ransomware där dina filer krypteras och hålls som gisslan
  • Fler företag väljer att göra kryptering som standard såsom Apple och dess hårddiskkryptering. Seamless (sömlös?) är ett bra ord

Vad tror du? Kommer Bitcoin att floppa, Tor att upphöra? Lämna gärna en kommentar om just dina spådomar inför framtiden.

Följ Kryptera.se i sociala medier på Facebook eller Twitter.

Facebook Tor

Facebook nu på anonymitetsnätverket Tor

Facebook har nu satt upp en egen anslutning direkt till Tor via en såkallad gömd tjänst (hidden services) som gör att du som ansluter via Tor aldrig behöver gå ut via en extern anslutning (exitnod) vilket kan kompromettera din anslutning mot Facebook.

För Facebook var det inte helt trivialt att implementera detta eftersom tjänstens inbyggda säkerhetslösningar larmar om en användare ansluter från olika världsdelar inom kort intervall vilket kan indiktera ett bot-nät.

Tor återfinnes enligt nedan URL med ett giltigt SSL-Certifikat. Den trevliga .onion-adressen är troligtvis framtagen med ett beräkningsverktyg såsom Scallion eller liknande:

https://facebookcorewwwi.onion/

OBS, ovan länk fungerar enbart om du ansluter via Tor. Exempelvis via Tor Browser som vi rekommenderar.

För den som är intresserad kan vi rekommenderar följande läsning om hur Tor fungerar:

Tor Browser 4.0 och Tails 1.2

Nyligen så släpptes en ny version av Tor Browser samt det anonyma och säkra operativsystemet Tails. Dessa två uppdateringar åtgärdar ett antal sårbarheter såsom POODLE. Även så använder man sig numera av Firefox 31-ESR (här kan du läsa mer om ESR).

Tor har även ny metod att kringgå censurering såsom Kinas brandvägg, denna nya metod har fått namnet Meek och kan beskrivas genom följande diagram:

Tor Meek transport

Kortfattat kan man säga att Meek kan använda sig av molntjänster såsom Google App Engine, Amazon CloudFront eller Microsoft Azure för att genomföra vidarekoppling av trafik.

Eftersom dessa tjänster används av otroligt många sajter på nätet så är det svårt för DPI-produkter att urskilja Tor-trafik och således censurera denna trafik.

darknet

Vad är darknets bra för?

Det diskuteras mycket just nu om darknets och att detta skyddar mot myndigheters övervakning samt tillhandahåller anonymitet. Även så framgår det att mycket illegal verksamhet bedrivs på dessa (djupwebbar?) darknets såsom Tor och I2P.

Men är det verkligen annorlunda brottslighet som inte förekommer utanför darknets? För jag tror att många av dom sajterna som återfinnes i darknets även finnes på vanliga internet.

Det finns trots allt människor som sätter i pengar på de här sajterna. I och med att det finns pengar i potten så är jag säker på att det någonstans attraherar någon att förr eller senare genomföra dåden, varnar Stefan S, spaningsledare hos Malmöpolisen och en av de få som arbetar med Darknetbrottslighet.

Myndigheter kan med tillräckligt med resurser ändå avanonymisera sajter som använder sig av exempelvis .onion vilket hände för Silk Road eller som forskarna vid CERT förevisade. Eller klienter som när FBI nyttjade en sårbarhet i Firefox som var några veckor gammal.

Anonymiseringsnät fyller även en viktig funktion i diktaturer där befolkningen ej kan uttrycka sina åsikter utan påföljder. Det jag tror att vi ser är bara en naturlig vidareutveckling av internet som stärker nätet successivt.

För det är så att vi människor kommer alltid ha ett behov av att kommunicera anonymt, vare sig det är papper vi använder eller darknets. Det som händer nu är att kostnaden för att utbyta information anonymt går ner men priset för att avslöja den som utbyter information anonymt går upp.

TV4 Kalla Fakta sänder ikväll ett reportage om när dom granskar det mörka nätet som dom kallar det. Intressant också att myndigheten Sida stöttar Tor med bl.a.. finansiella medel.

NGT 2014

Förmiddagen IDG TechWorld NGT 2014

Här kommer en sammanställning av förmiddagen under IT-säkerhetskonferensen Next Generation Threats 2014 som anordnas av IDG TechWorld.

Christopher Soghoian, Blinding The Surveillance State

Säkerhet i mobiltelefoner

Skillnaden i säkerhet mellan iOS och Android. Få slutanvändare som förstår skillnaden. Slutkonsumenterna står alltid inför ett val i butiken. Apple beskriver säkerheten i iOS mycket bra i diverse dokument som publicerats på dess webbsida.

Android krypterade ej som standard tidigare. Men detta har nu ändrats. Svårt att slå igång kryptering på Android samt tar det tid.

Få använder funktioner som inte är på som standard. Boken Nudge, the power of default settings. Patternlösenord visar på att diskkryptering i Android används (inte tillräckligt med entropi).

Apple hade möjligghet att dekryptera vissa delar från iPhones. Telefonen var tvungen att skickas till Apple för dekryptering.

Tim Cook gick nu ut med ett meddelande att Apple nu ej längre kan dekryptera innehållet i iPhones från och med iOS 8. Google svarar med att meddela att nästa version
av Android kommer att inneha diskkryptering som standard.

Tyvärr kommer människor att välja dåliga PIN-koder vilket krypteringen baseras på. Detta för att vi är bekväma och att ange en lång PIN-kod flera gånger om dagen är ingen som gör.

Oklart om Google Hangouts går att avlyssna. Bra med iMessage är att det är kryptering som standard. Flertalet myndigheter klagar på att det ej går att erhålla data från iMessage via Apple.

Hårddiskkryptering

Apple Mac OS X filevault skickar som standard backup-nyckel till Apple. Går att ställa in dock.

Microsoft säljer flertalet olika versioner av Windows och Bitlocker är inte med på många av dessa. Finns inget sätt i dagsläget att slå på kryptering av hårddisken utan att MS tar del av din nyckel. Windows 8.1 har nu ändrat detta och hd-kryptering följer med och kan aktiveras med viss hårdvara.

Han berättar även om Truecrypt och hur beroende vi är/var av TC för att kryptera hårddisken.

Ett problem som föreläsaren belyser är att rika får bättre säkerhet och kryptering. Det är inte alla som har råd att köpa en Mac eller iPhone. Den dator du köper för 1500kr har ingen säkerhet eller kryptering. Bra säkerhet har blivit en klassfråga.

Affärsmodellen för många företag förhindrar att kryptering används. Han tar upp som exempel med Gmail och att reklamen som visas måste söka igenom din E-post efter nyckelord.

Företag som tjänar pengar direkt på sina användare istället för data har lättare att använda kryptering som standard.

En fråga från publiken gällande fingeravtryck och vad föreläsaren tycker om det. Han tycker att det är en bra övervägning som Apple har genom att både ha möjlighet att ha ett jättelångt lösenord som du enbart använder när telefonen startar om men annars använder du fingeravtryck. Polisen kan tvinga dig dock att låsa upp telefonen med ett fingeravtryck (precis som med lösenord).

En fråga gällande bakdörrar som implementeras i mjukvara såsom Skype. Nämner även warrant canaries och hur det fungerer. Säkerhet är inte den främsta orsaken till att Skype används, det är att inneha möjlighet att prata med sina nära och kära utan att betala dyra pengar.

Runa A Sandvik, Privacy Snakeoil: secret systems, technobabble and unbreakable things

Berättar om att hon jobbar för freedom of the press samt hjälper nyhetsredaktioner och journalister. Berättar om Securedrop och att de hjälper exempelvis Tor och Wikileaks.

NSA-proof har blivit ett ord som numera är vanligt och beskriva system eller produkter.

Få vet dock vad det innebär bara att dom vill vara/ha det, troligtvis eftersom många inte är så tekniskt bevandrade.

Berättar om Secret, Wickr, Telegram, Whisper Systems samt andra mobilappar som ska tillhandahålla säker kommunikation. Hon berättar även om det språkbruk som används på tjänsternas webbsidor.

Att beskriva produkter med tekniska ord skrämmer eventuellt iväg användare så därför används ord såsom military grade encryption och NSA-proof. Christopher säger att troligtvis bedöms produkten utifrån hur webbsidan ser ut. Även när alla använder samma beskrivningar av sina produkter så är det svårt att veta om dom verkligen är säkra eller hur kryptonycklar hanteras. Vi behöver oberoende granskning som kan ge bedömningar om vilka produkter som är bra och vilka som är dåliga.

Det vore bra med ett poängsystem eller liknande för att gradera appar/produkter säger Christopher.

Morgan Marquis-Boire, Senior Researcher and Technical Advisor

Berättar att han jobbade på Google då nyheten att NSA avlyssnade dem dök upp. Går in på att det kostar att skydda sig mot angripare och vilken nivå ska man lägga sig på. Det handlar om att öka kostnaden för massövervakning genom att hela tiden höja ribban.

Hur ser aktörerna ut? Är det kinesiska APT 1 som Mandiant fick stora rubriker genom att upptäcka eller är det NSA som ingår i hotbilden? Andra statliga aktörer man bör akta sig för är exempelvis Ryssland, Israel och FVEY (five eyes).

Nämner även FinFisher och att det nu finns en marknad runt att sälja denna typ av mjukvara till stater. HackingTeam är ett företag som är baserat i Italien och att dom sålt till 36 olika länder.

Morgan berättar om företag som utför etisk hacking åt myndigheter och stater. Det ska kosta att använda exploits och zero-days för att lägga in bakdörrar (implants).

Det är billigare med CNE än med HUMINT, insider etc. Stor del av internets användare tittar på kattfilmer på Youtube och videoströmmen går i klartext vilket öppnar upp för att injicera skadlig kod riktad mot just videoströmmen.

Finns att köpa proxyservrar som är specialsydda för att infektera datorer i exempelvis diktaturer såsom turkmenistan eller bahrain.

Christopher berättar även under frågestunden att vi är dåliga på att bygga funktioner för lösenordsåterställning. Frågor som är publikt tillgängliga är inte bra att använda.

Tails 1.1.1 ute

Nu har version 1.1.1 av det säkra och anonyma live-operativsystemet Tails släppts. Tails har bl.a. finansiellt stöd från sverige genom myndigheten Sida.

Främst har ett antal säkerhetsbrister åtgärdats där den allvarligaste kan avanonymisera en användare av Tails genom att använda en brist i I2P.

Denna sårbarhet uppdagades av företaget Exodus Intel och beskrivs i detalj i blogginlägget Tails from the Cri2p:

Tails sårbarhet

Även så komprimeras livesystemet bättre (SquashFS) och brandväggsreglerna snävas ytterligare åt.

För samtliga ändringar se här: git-tails.immerda.ch/tails/plain/debian/changelog