Taggat med: wifi

Begränsa attackytan mot Er organisation

Begränsa attackytan mot Er organisation

Inom cybersäkerhet så har det på senare tid blivit populärt att prata om hur man kan analysera och begränsa attackytan, engelska: Attack surface reduction (ASR). Och jag har som vanligt funderat en hel del på området: Det är av stor vikt att organisationer har en insikt och förmåga att förstå sin attackyta.

Tittar man först och främst från internet där majoriteten av alla cyberattacker sker från så ser attackytan ut enligt följande:

  • Tjänster, servrar och enheter som är exponerade mot internet
  • Annan utrustning som kopplas upp såsom switchar, kopiator/scanner, laptops och mobiltelefoner
  • Indirekt attackyta, dvs sådant som kan bifogas med E-post och hamna hos en anställd. Eller när en anställd surfar ut eller på annat sätt ansluter utåt
  • Supply Chain. Mjukvaruppdateringar, hårdvara som köps in, firmware osv
  • Via en annan leverantör eller kund. Tänk exempelvis delad hosting
  • WiFi, bluetooth och andra uppkopplingar såsom VPN
  • Via molntjänster eller molnleverantörer
Alice i Underlandet

Finns säkert fler sätt än ovan som attacker kan ske men viktiga här är att begränsa och isolera samtliga områden där attacker kan genomföras. Ni som organisation måste förstå i detalj vad det innebär att exponera tjänster såsom Apache, Nginx eller Microsoft IIS.

Är det så att ni exponerar en webbserver, vad har den för TCP/IP-stack, TLS-implementation osv? Och kollar vi längre upp i lagret, vad har ni för API:er exponerade? Har ni köpt en on-premise appliance eller någon annan form av magisk låda, så har denna troligtvis en hel del funktioner så ni inte känner till som exponeras utåt.

För det är inte en fråga om ni kommer att bli hackade, utan en fråga om när. Och då måste ni ha verktyg att upptäcka denna attack. Övervaka därför samtliga kanaler på både insida och utsida och titta efter avvikande mönster. Om webbservern pratar TLS 100% av fallen så ska inte helt plötsligt förekomma klartext (annat än just sådant som kan förekomma i protokollet).

Jag gillar OpenBSD-teamets filosofi där allt ska vara avstängt från start och behöver du någon funktion eller tjänst så måste du aktivt aktivera denna ”secure by default”.

På klienter som används mot internet bör därför så lite funktioner, applikationer och dylikt användas. Tittar man på en standard Windows-installation så stödjer denna runt 600-700 olika filformat där många kan användas för att utnyttja eventuella sårbarheter.

Sammanfattning

Tänk så här: Desto mindre rader kod ni exponerar direkt eller indirekt mot internet eller andra attackvägar in mot Er organisation, desto säkrare blir ni. Bryt ner attackytan även mot individuella tjänster och portar som exponeras.

Isolera servrar, tjänster och annat som går att nå direkt från internet. Övervaka dessa tjänster och titta efter avvikande beteenden. Förändringar i attackytan över tid är också viktig att uppmärksamma.

Om någon lyckas få åtkomst till Er mail från internet, eller VPN eller annat som används remote. Vad får det för konsekvenser? Testa och granska, med exempelvis penetrationstester eller red-teaming.

Därför ska du inte använda VPN ⚠️

Att använda VPN har blivit otroligt populärt på senare år men det finns anledningar att se upp och tänka efter en extra gång om du verkligen behöver använda ett VPN.

Så därför tänkte jag vara djävulens advokat och gå igenom några anledningar att inte använda ett VPN. Denna artikel gäller främst VPN-tjänster för hemmabruk/personligt bruk (som används för anonymisering).

Öppnar upp för nya sårbarheter

Klienter eller plugins som du installerar för att använda en VPN-tjänst kan innehålla sårbarheter och därmed kan sänka säkerheten på din dator. Det gäller givetvis all mjukvara du installerar såsom antivirus-program. Du bör även se upp om din VPN-leverantör bara stöder protokollet PPTP som sedan länge är osäkert.

Om du vanligtvis sitter skyddad bakom en brandvägg kan VPN-klienten eller -pluginet dessutom utan din vetskap öppna upp för inkommande anslutningar från internet eller andra VPN-användare.

Lämnar ut loggar

Det har förekommit att VPN-leverantörer loggar vem som anslutit när och kan då lämna ut uppgifterna till myndigheter som efterfrågar dessa. HideMyAss är exempelvis en leverantör som sparar loggar och lämnar ut dessa.

Har du dessutom betalt med kreditkort eller liknande så finns det stora möjligheter att koppla VPN-användaren till dig.

Leverantören Hotspot Shield loggar din data och kan även sälja den vidare till tredje part. De injicerar även JavaScript-kod i din okrypterade surftrafik.

VPN-tjänsten Hola som fungerade via en Chrome-proxy sålde användares bandbredd vidare till andra.

Hotbilden

Har du en stat som ingår i din hotbild som du försöker gömma dig för? Inget VPN i världen kommer troligtvis att skydda dig. Många VPN-leverantörer har en ingång och en utgång på samma server/IP etc och en myndighet eller signalspaningstjänst kan då koppla ihop utgången med ingångstrafiken.

Tänk även på att om du använder en VPN-anslutning mynnar ut i ett annat land så kommer detta lands signalspaningstjänst att se din trafik och eventuellt alla länder på vägen dit och mot din destination.

Din trafik kan även sticka ut om du försöker smälta in i normalbilden.

Överföringskapacitet

Din bandbredd och fördröjning kommer att påverkas negativt när du använder VPN. Testa att köra Bredbandskollen från Internetstsiftelsen före och efter du är uppkopplad via VPN så får du en uppfattning om ungefär hur stor skillnad det är. Det kan även vara bra att testa vid några olika tidpunkter på dygnet.

Det även vara så att din VPN-leverantör blockerar viss typ av trafik såsom peer-to-peer-protokoll eller e-post (SMTP).

Avslutande ord

Det finns absolut tillfällen då du kan överväga att använda ett VPN. Sådana kan vara när du sitter på ett internetcafé eller annat ställe där det tillhandahålls ett öppet WiFi eller att du litar mer på en VPN-leverantör än din internetleverantör.

Glöm inte heller att det finns tjänster såsom Tor som kan vara bättre att använda i vissa fall. Och framförallt så tänk på vad och hur du surfar när du använder tjänster såsom Tor eller ett VPN.

I ett annat inlägg finns det mer matnyttig information gällande OPSEC.

Tom Hanks Nobody Is Safe GIF - Find & Share on GIPHY

Stort tack till alla på LinkedIn som hjälpt till med innehåll till denna artikel.

Sårbarhet i WPA2

Det har nu uppdagats att säkerhetsforskaren Md Sohail Ahmad kommer att visa upp en ny sårbarhet i WPA2 på IT-säkerhetskonferensen Decfcon som går av stapeln i Las Vegas nästa vecka. Mer detaljerat så rör det sig om en specifik konfiguration där WPA Enterprise används:

The problem appears restricted to WPA Enterprise (802.1X with TKIP/AES-CCMP) in practical terms, because a malicious user must have legitimate credentials to gain access to the network to exploit the flaw. With WPA/WPA2 Personal (preshared key), everyone on the network ostensibly can sniff for other users’ data.

Läs även på WiFiNetnews.com