onsdag 21 december 2011

Att avslöja allt - modifierat H5N1-virus under luppen

Frågan om full disclosure, att avslöja allt eller inte, har under åtminstone 20 år pågått på IT-säkerhetsscenen. Det handlar om man som forskare skall avslöja sådant som kan hjälpa "the bad guys". Från den sidan som propagerar för full disclosure använder man två argument:

  1. Utan att sårbarheten är allmänt känd kommer leverantören inte åtgärda den (inom rimlig tid)
  2. Utan att känna till sårbarheten kan man inte skydda sig mot den

På punkt 2 skrev jag 2006 ett inlägg på daily-dave som förklarade min syn på det då Microsoft valde att i tysthet patcha ett säkerhetshål tillsammans med andra patchar.

På punkt 1 finns åtskilliga historier, men i princip så ser vi samma sak spela upp sig på andra områden där IT nu gjort och gör intåg, som vi såg för 10-20 år sedan inom den generella IT-sfären. Leverantören går in i förnekelseläge och blir arg på den som hittat deras smuts under mattan, kallar den som publicerar info om smutsen som oansvarig och lägger all skuld på denne ifall något skulle inträffa. (Ja, skitsamma om sårbarheten finns där på grund av leverantörens slarv, ifall ingen känner till det så finns den ju inte? Och ifall inte välmenande säkerhetsforskare letar, så skulle ingen annan heller leta...)

För en månad sedan har den här full disclosure-debatten tagit ett saftigt steg in i "verkligheten" då holländska forskare har labbat fram en variant av influensa (H5N1, som både fågelinfluensan och svininfluensan tillhör) som sprider sig lätt mellan människor. Forskarna vill publicera sin metod för att ta fram den smittsamma versionen, men det finns en stor oro för vad det kommer innebära. Ska man verkligen ge den informationen till "the bad guys" sådär öppet?

Men i det här fallet försvinner ett argument. Vi har inte så himla lätt att patcha människan, även om vaccin skulle kunna liknas vid det. Alla har inte tillgång till vaccin, det är inte ett 100-procentigt skydd och det är definitivt inte gratis. Å andra sidan har vi den här gången också en tydlig antagonistisk motståndare - det är en rätt hög risk att det förr eller senare kommer ett virus som sprider sig på det här sättet och då har vi mycket att vinna på att vara beredda.

En anledning till att man på IT-säk sidan valde full disclosure var att alla sårbarheter inte är så enkla att fixa på kort tid. Så är fallet även här - vi kan inte ta fram ett bra vaccin på 0-tid.

Lösningen borde därför vara densamma även här. Ge tillgång till information om hur viruset framställs enbart till de som har en historia av att forska och tillverka vaccin. Gå inte ut med det publikt förrän ett vaccin är klart, och i det här fallet så behövs ju faktiskt inte ens det - vaccinet finns ju redan och vi vill inte utsätta jordens befolkning för onödig risk, allra minst de som inte har råd med vaccinet.

Och i annat fall borde vi luta oss mer åt hållet att inte avslöja just eftersom det är så svårt att "patcha" människan.

fredag 16 december 2011

Drönaren kapades med hjälp av GPS-spoofing

Allt tyder nu på att Iran stal den amerikanska drönaren genom att spoofa GPS-positionen. Det hävdas åtminstone i en artikel där man säger sig ha pratat med en icke-namngiven Iransk ingenjör. Genom att störa ut planets kommunikation med kommandocentralen och sedan lura planet att tro att det var på andra koordinator så lyckades man få en näst intill intakt Drone att landa på en plats i Iran när planet i själva verket trodde att det hade flugit hem till sin ordinarie bas.


Samtidigt har det läckt ut en rapport från april 2011 som innehåller citat som verkar bekräfta att amerikanerna känner till hur sårbara drönarna är för just spoofingattacker:
Spoofing or hijacking links can lead to damaging missions, or even to platform loss.
Ja, det verkar onekligen så. Jag måste erkänna att den här teorin ter sig klart mer trovärdig än min foliehatt-teori från igår :) Men de som gillar att spekulera har fortfarande massor med brickor att spela med. Chanserna för en sån här attack att först bli kläckt och sedan lyckas är grymt mycket större om man på förhand vetat hur planet reagerar i olika situationer och att man känner till dess svagheter. Förutom det direkta virusangreppet mot drönarnätverket har det också börjat spekuleras i en Iransk inblandning i intrågen mot RSA och Lockheed-Martin.

Det är svårt att få allt bekräftat, men jag får själv känslan av att vi nu kan se vissa inriktningar när det kommer till cyberkrig. Det framstår som allt tydligare att den som inte hänger med i det här kommer hamna så rejält på efterkälken att fiendens informationsövertag kommer räcka för att göra den överlägsen. Kanske att det till och med kommer gå att använda ägarens vapen mot ägaren själv.

onsdag 14 december 2011

Amerikanska drönare går i backen - utslagna av virus?

För cirka en vecka sedan hamnade en amerikansk RQ-170 spaningsdrönare på Iransk mark. Hur det gick till? Iran hävdar att det var genom en cyberattack. Från amerikanska sidan är man skeptisk till det. Pentagon säger att "”If this happened, it is a 95 percent chance that it just malfunctioned,". Och Iran har all anledning att säga att de har stora cyberfärdigheter med tanke på att de blivit utsatta för angrepp tidigare. Klart är i alla fall att Iran fick vantarna på en intakt drönare.


Nu har ett andra plan gått i backen, och jag kan inte annat än att fundera på om dessa incidenter har något samröre med det virusangrepp som drönarna brottades med tidigare i höst. Enligt det amerikanska flygvapnet så var det virusangreppet designat för att stjäla inloggningsuppgifter, och enligt en inofficiell källa till AP sades det att det var riktat mot spel som pokersajter och Mafia Wars (sic).

Kanske gav flygvapnet en sanning med modifikation. De tidigare läckta uppgifterna vittnade om lite kaotiskt, men flygvapnet hävdade att allt var lugnt. Om de läckta uppgifterna stämde kanske det vore så illa som att det stals "inloggningsuppgfiter" i form av exempelvis kryptonycklar.

Nu åker foliehatten på, men för allt vi vet så kan det här vara en tredje part som lyckats stjäla kryptonycklarna och nu försöker profitera på det. Till exempel genom att först sälja en RQ-170 till Iran, och sedan landa en drönare på en säker plats för att sedan övertyga en andra köpare (eller USA?) om att denna part verkligen HAR kontroll över drönarna.

En annan teori är att det faktiskt är Iran som ligger bakom det hela, att de plockade hem RQ-170:an och när man från amerikansk sida tvivlade på att det var en cyberattack skickade man tillbaka en signal om att så verkligen var fallet. Att man inte stal även det andra planet kan förklaras med att det skulle vara svårt för allmänheten att inte se en andra stöld av ett plan som en krigshandling, till skillnad från det första planet som "råkade" vara över Iranskt territorium när det plockades ner. Tänk bara vilken avskräckande effekt det skulle ha för att Iran skulle utsättas för fler cyberattacker: "Ni kan störa vårt kärnvapenprogram, men vi kan stjäla era drönare. Håll er borta, OK?".

Vad vi vet med säkerhet är att säkerhetsvärlden står frågande och undrar vad sjutton det är som händer och hur det alls kan hända. Att någon stulit kryptonycklarna skulle förklara allt.

söndag 4 december 2011

MSBs utredning av Tieto-incidenten är meningslös?

Ingen kan väl vid det här laget ha undgått det stora haveriet hos Tieto. Det har påverkat mångas vardagsliv när system för instanser som apoteken (alla) och bilprovningen plötsligt får stora problem som i sin tur som propagerar ut sig till slutkunderna.

Olikt för mig så har jag hittills varit rätt tyst om det, för mig har det här inte varit några nyheter och jag har ställt mig vid sidan av för att se på spektaklet och vad omvärlden kommer fram till. Men efter dagens artikel i DN kan jag bara inte hålla mig längre från att säga någonting.

Flera parter har i samband med haveriet börjat skriva om att MSB nu utreder haveriet som om det vore något förmildrande. För läsare kan det också tyckas att "å så bra att någon gör något!". Låt mig då framföra en motsatt spekulation i den frågan. Att MSB utreder det här kommer resultera i ... ingenting. Inget nytt kommer komma fram. MSBs rekommendationer före incidenten kommer vara exakt de samma som efter. MSBs krav på myndigheter likaså. Vad utredningen kommer säga är att det är viktigt att tänka på riskerna när man lägger ut sin data, vilket (you guessed it) inte är några nyheter!


MSBs stora problem är nämligen att de inte når ut i verkligheten. Jag har skrivit om det tidigare, och kommer sannolikt få skriva om det igen eftersom man från myndighetshåll visat sig tvärdöva för den kritiken. Mitt favoritexempel på det är från i somras då Fredrik Sand och Patrik Fältström i en debatt gång på gång berättar att nuvarande arbete inte når ut, nuvarande krav inte följs och på mottagarsidan i den debatten sitter Marita Ljung från näringsdepartementet och Richard Oehme, chef för enheten för samhällets informationssäkerhet. Ifall ni inte vill se hela, kolla från 29 minuter in och framåt (särskilt 53.30 in är också intressant). Från myndighetssidan bemöts inte det här misslyckandet med annat än en attityd av att "jaja, det tar ju tid" och "det måste varje myndighet följa, det är inte upp till oss", men avsaknaden av handling är påtaglig.

Istället kan skönjas en förnekelse av att det ens finns några problem. Exempel: I sammanhanget att säkerhetsarbetet bland myndigheterna är en stor soppa med alldeles för många kockar som har oklara uppgifter, säger Marita bland annat att "Det viktiga är väl att vi upptäcker de hot som finns och kan identifiera de hot som finns". Jag håller inte med. Det viktiga är att riskerna identifieras, riskerna omhändertas, att det vidtas åtgärder och att det finns uppföljning. Det hela är mycket symtomatiskt för hur långt efter myndigheterna ligger i det här tänket. Att känna till hot som man varken värderar eller agerar på är ... inte särskilt mycket värt.

Och sedan konferensen i somras har MSB fortsatt i sitt spår att skriva dokument som är enkla att förkasta eftersom de är fortsatt verklighetsfrämmande och inte gör vad som behövs för att de ska vara underlättande för säkerhetsarbetet. Jag har framfört mina synpunkter om vad jag anser skulle underlätta, men håller inte andan för att de omhändertas, just med tanke på MSBs historik av att gräva ner sig i sin position och vara döva för synpunkter utifrån.

Och det är tyvärr i allt det här problemet ligger. Från departements och styrningshåll tycker man att allt är bra - trots att det uppenbart saknas åtgärder, trots att det uppenbart saknas uppföljning, trots att det uppenbart saknas konsekvenser för ledningen som inte omhändertar de risker som finns.

Som medborgare är jag inte alls nöjd över hur informationssäkerhetsarbetet bland svenska myndigheter bedrivs.

För det privata så anser jag som tidigare att det skall sköta sig självt. Om ett företag vill ta riskfyllda beslut skall det vara fritt fram att göra det. Men myndigheter måste ha en gräns för hur oförsiktiga de får vara, det måste finnas krav för hur man ska bygga samhällskritiska system och jag vet inte hur mycket det behöver fumlas bland myndigheterna innan det framstår som självklart.

Till MSB: jag vet att ni läser, och jag skulle bli glad om ni visar att jag har missuppfattat situationen. Kom fram och kommunicera!

måndag 28 november 2011

Det privata skall sköta sig självt

Hotbilden mot svenska företag och myndigheter är mycket påtaglig, men staten skall inte lägga sig i hur det privata hanterar de hot som finns. Vill regeringen visa vägen skall det göras främst för de egna myndigheterna.

Det är tveklöst så som John Daniels skriver i DI-debatt 21/11, att det idag bedrivs verksamheter som är direkta hot mot Sveriges välstånd. Det behöver vi bekräfta på ett tydligare sätt. Men inom cyberområdet finns det flera egenskaper som gör det direkt olämpligt för staten att gå in och ta på sig en skyddande roll. Risken är enorm att man istället för att ha någon verklig effekt istället börjar jaga hägringar.

Det jag vill se från statligt håll är främst tre saker:

Carl-Johan BostorpFör det första behövs ett lagstiftande som lägger kostnaden för intrången hos den som brustit i skyddet. För att exemplifiera varför det behövs så kan man se på hur halkbekämpningen fungerat de senaste vintrarna. Kostnaden av en otillräcklig halkbekämpning bärs av helt andra aktörer än de som har hand om halkbekämpningen. Hade kostnaden burits av de som kunnat förbättra halkbekämpningen hade dessa haft starka ekonomiska incitament att göra ett bättre jobb. Det handlar om miljarder i extra samhällskostnader. Därför anser jag det vara mycket viktigt att skapa den situationen kring all säkerhet – oavsett om det gäller halkrisk eller informationsskydd.

För det anrdra efterfrågar jag att incidenter offentliggörs. Vårt största problem idag är nämligen att hotbilden bara ses som ett spöke som någon drar fram i budgettider, men som inte så många egentligen tror på. Medvetenheten om hotbilden hos svenska företag och myndigheter ÄR låg, men den är det för att det lilla som sipprar fram inte känns relevant. Exempelvis producerar redan myndigheten för samhällsskydd och beredskap (MSB) information, men den har varken formatet eller tyngden som gör att tillräckligt många beslutsfattare anser den användbar.

För det tredje anser jag det nödvändigt att man ställer säkerhetskrav på samhällskritiska system. Idag är det upp till varje aktör att följa sitt eget godtycke efter befintlig förmåga, och det är inte tillräckligt när det byggs system med livslängder på 15-30 år. Ser man bara 10 år bakåt i tiden inser man hur snabbt hotbilden förändras, och jag kan garantera att förändringen av de samhällskritiska systemen inte hänger med i det tempot vi nu ser. Idag är det fritt fram att köpa in system som tillverkaren vet har säkerhetsbrister som är så allvarliga de kan bli, men där tillverkaren varken åtgärdar ellersäger ett knyst om det till sina kunder. Det skall vara självklart att våra samhällskritiska system inte skall byggas på sådant skräp.

Svenska myndigheter måste sedan låta det privata sköta sig självt. Visst vill vi att brott som sträcker sig över landsgränder fortsätter bekämpas, men när det kommer till skyddet vill vi inte ha en tung statlig apparat som jagar hägringar. Vill regeringen visa sin duglighet får de börja med sina myndigheter. Först när man hittat ett bra recept för att säkra upp dem är det läge att vända sig till det privata.

fredag 18 november 2011

EU förbjuder hälsofarlig "säkerhet" - NEJ till helkroppsröntgen

Jag har tidigare varit kritisk till användandet av de helkroppsskanners som används på vissa (främst amerikanska) flygplatser. Främst för att jag menat att pengarna kunnat användas mycket bättre, kostnaden för dessa maskiner är hög och det har inte kommit fram några siffror på hur många incidenter man anser att dessa förhindrat. Övriga "kostnadsaspekter" (privacy, hälsa) kan också vägas in i dessa beslut.

Nu har EU-kommisionen varit vänliga nog att förbjuda en typ av helkroppsskanners på samtliga flygplatser i Europa, och gör så med hänvisning till hälsoskäl. Väv in min teori i det och få fram (tillspetsat): vill ni slösa pengar så lägger vi oss inte i, men ni får inte äventyra medborgarnas liv medan ni gör det.


Skönt att någon drar en gräns till slut, även om jag kan tycka att gränsen dras rätt långt bort ifall den placeras först där människor dör. Samtidigt är det talande att det alls behöver göras. Att det här behöver göras på EU-nivå är ju på grund av att det finns för många på lokal nivå som har ett sådant tunnelseende att de inte ser att vad de håller på med är sjabbig, ineffektiv säkerhet som förutom sin höga kostnad i andra aspekter, dessutom kostar fler liv än det räddar.

tisdag 15 november 2011

Duqu dropper väntade tills användaren gick ifrån datorn

Informationen om Duqu fortsätter rulla in. Tidigare inlägg om hur Duqu installerats får därför ännu ett tillägg nu. Duqu har inte bara installerats med begränsningar om när i kalendertiden, utan även hur länge användaren varit inaktiv. Då worddokumentet öppnats har koden bara lagt sig i minnet, och därefter väntat på att användaren skall vara inaktiv i 10 minuter innan ändringar börjar skrivas till olika permanenta delar av systemet. Alltså ännu ett exempel på hur det designat för att försvåra upptäckt.


Vid det här laget har det också ansamlats tillräckligt mycket indicier för att på goda grunder dra slutsatsen att det var Duqu som Iran hade hittade tidigare i år, det "virus" som de kallade för "Stars". Både namn och datum matchar väldigt väl vad man hittat för Duqu:
The dates of the incident correlate with the history of discovery in Iran of a virus called Stars. At that time Iranian specialists didn’t share samples of the discovered virus with any of the anti-virus companies, and this, it has to be said, was a serious mistake, which gave rise to all subsequent events in this saga. Most probably, the Iranians found a keylogger module that had been loaded onto a system and which contained a photo of the NGC 6745 galaxy. This could explain the title Stars given to it.

Intressant är ju också konstaterandet att eftersom den här informationen inte delades, så drabbades inte bara andra stater och organisationer fortsättningsvis, utan även Iran. D'oh!? Ibland blir hemlighetsmakeriet för stort då de som har behov av informationen för att skydda sina system inte får den.

Min syn på frågan är att det nästan alltid är den defensiva sidan som tjänar på en stark informationsdelning, Risken är naturligtvis att om man delar allt man hittar, så ligger det viktig information i vad som INTE delas, eftersom en angripare då kan dra slutsatser om vad som inte upptäckts. Så det är inte helt uppenbart...

fredag 11 november 2011

Steam databasen stulen - 35 miljoner gamerkonton påverkas

Just nu håller omfattning på intrånget mot Steam forums på att rulla upp. Intrånget på forumen konstaterades redan i söndags, men nu har Valve gått ut och sagt att hela Steam databasen har tagits av hackare.
We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.




Precis som i fallet med Sony's Playstation Network har formulering valts som att man säger att man inte hittat några tecken på... alltså inte "det är inte så" utan "vi har inte sett att det skulle vara så". Det gör det svårbedömt, för man kan undra vilken motivation Valve själva har till att hitta om det vore så.

Ett exempel på några andra som också formulerade sig på detta vis var DigiNotar, där det efter att ett andra extern forensicsteam varit inne uppdagades att omfattning var väldigt mycket större än vad man först upptäckt. DigiNotar lades efter det intrånget ner, eftersom förtroendet i och med intrånget var helt förbrukat och deras certifikat plockade bort från de stora webbläsarna.

Konsekvenserna i det här fallet kommer förstås inte vara lika allvarliga. Steam användare har ända sedan i mars kunnat använda sig av Steam Guard för att förhindra angrepp mot just deras konton. Steam har också sin sida med Account Security Recommendations. Men det här är förstås en stor händelse. Samtidigt kan man undra varför angriparna valde att defacea forumet, när de hade kunnat ta konton från databasen och sälja dem för upp till 1000 dollar styck. Lite märkligt...

tisdag 8 november 2011

Åtgärda sårbarheterna? Nix, kostar pengar och är jobbigt...

DigitalBond har uppmärksammat ett ärende hos ICS-CERT, där en tillverkare av ett industrisystem har sagt att de inte tänker åtgärda en sårbarhet trots att det finns en färdig exploit för att köra kod.

Jaha, och vad gör man då om man nu sitter med nyköpta grejer som man budgeterat skall hålla i 15 år? Verkar ju uppenbarligen som att man får leva med sårbarheten i 15 år också då. Vad än värre - att de fortsätter sälja produkten utan någon som helst information om sårbarheten.

Läsarfrågan: Tycker du att det är ok att vi i Sverige köper in och installerar sådan utrustning i samhällskritisk infrastruktur?

Om inte så kanske du som jag tycker att det ligger på MSB att använda sitt bemyndigande enligt 2006:942, 34 §, och kräva att så inte sker.

fredag 4 november 2011

Duqu installatör mer än bara zero day i Windows

De senaste dagarna har nyhetsflödet kring Duqu fått en nytändning i och med att även installationsprogrammet hittats. Duqu levererades via ett Word-dokument som var tydligt skräddarsytt för exakt den organisationen som drabbades, och använde sig av en 0-day sårbarhet i Windowskärnans TrueType fontparsning.Symantec levererade ett blogginlägg som mer ingående beskrev hur installationen gick till.

Bäst rapportering i övrigt har F-Secure i sin Duqu Q&A, men jag upplever att man ändå har missat en aspekt som jag själv tycker är väldigt intressant. Visst, användandet av en 0-day sårbarhet i Windowskärnan är klart anmärkningsvärd, och sammantaget med det väldigt fåtalet organisationer som har bekräftats drabbade gör att det inte finns något rimligt tvivel om att en nation ligger bakom Duqu. Men det är några andra saker som Symantec skrev om som jag anser förtjänar lite extra uppmärksamhet.
  1. Exploiten skulle bara installera Duqu under en 8-dagars period. Skulle man därefter försöka analysera dokumentet med diverse metoder (Virtuella maskiner, Minnesallokeringar, etc.) skulle man inte hitta ett smack! Det är i min bok mycket anmärkningsvärt och det första publika exemplet av sitt slag.
  2. Duqu skulle inte nödvändigtvis kommunicera med en C&C server ute på Internet. Flera installationer konfigurerades att kommunicera med en servern intern på nätverket. Även detta är mig veterligen ett första publikt exempel.
  3. Duqu skulle avinstallera sig själv efter 30 dagar, såvida inte C&C servern sa till den något annat. Om mitt minne servar mig korrekt så var Stuxnet uppsatt likadan.
Sammantaget visar det på att Duqu designades för att vara "stealth" utöver det vanliga. Man skulle in, samla informationen, sedan ut igen, och det var väsentligt att ingen upptäckte det. Ändå upptäcktes den, och exakt hur det gick till lär det dröja innan vi får veta. Tummen upp för ännu ett klockrent exempel på vad statsaktörer håller på med på området!

lördag 29 oktober 2011

Larminstallatör OCH hälare? Så får man ju inte göra!

Idag kablar TT ut en notis om att en larminstallatör har blivit häktad misstänkt för att i flera år haft en sidoverksamhet i form av häleri.

Ja, i ljuset av det kanske det är värt att återaktualisera min fundering från i maj: Lägg extranycklarna hos en främling och bli säkrare?

torsdag 20 oktober 2011

IT-säkerhet som gör skillnad, att hjälpa och inte stjälpa

När man arbetar på den defensiva sidan av säkerhet upptäcker man att det inte bara är sårbarheterna som räknas. Faktum är att sårbarheterna spelar en ganska liten roll, så länge sannolikheten att de utnyttjas är låg och konsekvenserna också är små, behöver vi helt enkelt inte bry oss. Vad man behöver tänka på handlar alltså om risk, som ska balanseras mot verksamhetsnytta och kostnad att åtgärda risken.

Som säkerhetsgranskare kan risktänket vara lätt att glömma bort. Med en stark detaljorientering ser man sårbarheterna och vad det skulle kunna leda till om bara någon som var i samma position som man själv skulle vilja göra något. Det är ett önskvärt synsätt för att hitta sårbarheter - och utan det har risksynen inte något vettigt att fatta beslut på - men när det sedan ska komma något som verkligen har påverkan gör man gott i att omedelbart gå över till risksynen.

För att illustrera vad jag menar tänker jag använda mig av myndigheten för samhällsskydd och beredskap (MSB) och deras vägledning för smarta telefoner och surfplattor. Det är i skrivande stund ett dokument de önskar synpunkter på, så ha lite kul, läs igenom, och om du håller med om vad jag skriver härnäst: låt MSB få höra samma sak från dig!

Att jag väljer det dokumentet är inte ur det blå. För lite mindre än ett år sedan kom nämligen ENISA ut med en rapport om top 10 risker för smartphones. ENISA hade bedömt risken för olika sårbarheter, och då också tagit hänsyn till att risken är olika stor beroende på vilken angripare du kan tänkas ha. HMMM! Låter rätt förnuftigt skulle jag säga. Må hända kan det ha kommit med inspiration från OWASP Top 10 2010 som mycket tydligt visar att det handlar om en topp 10 lista för störst risk, inte värst konsekvens.

MSB har däremot kört in på ett helt annat spår. Deras vägledning blandar högt och lågt och det är minst sagt oklart vilken målgrupp de riktar sig till.

Här är några av de rekommendationer som ges för användarna av privata enheter anslutna till företagsnätet:
  • Lösenordskydda enheterna så att de är låsta när skärmsläckaren är aktiv.
    Använd starka lösenord.
  • Undvik att använda telefonen för att surfa på osäkra Internetsidor.
Här blandas verkligen högt och lågt. Det självklara som vem som helst förstår, blandas med att användaren ska kunna avgöra om en sida är "osäker". Say what? Hur ska Bert 37 år kunna avgöra om en sida är osäker? Jag är inte ens övertygad om att lösenordet behöver vara "starkt", så länge det inte är uppenbart är det OK i min bok. För vem skyddar man sig mot och i vilka scenarion? Vidare till nästa exempel...
  • Stäng av de tjänster du inte behöver för stunden, t.ex. WLAN, Bluetooth, GPS, Datatrafik etc. Detta minskar telefonen och surfplattas exponering och sparar dessutom batteri.
Återigen, vem riktar man sig till och har man över huvud taget funderat över risken? Visst, stänga av funktioner minskar angreppsytan, men hur många angrepp per år händer på det här sättet i HELA VÄRLDEN?? Är det verkligen värt att be om uppmärksamhet för så små risker när det finns gapande hål på annat håll? För ett litet, litet antal personer är det här rådet förmodligen värt något, men för en förkrossande majoritet av MSB:s målgrupp är det bara obskyrt. Vidare till nästa exempel...
  • Installera inga applikationer (appar) som det inte finns något behov av.
    Stäm av med IT-avdelningen vilka applikationer som är godkända att
    använda. Ladda endast ned applikationer från kända och välrenommerade
    bibliotek. Undvik reklamfinansierade applikationer och var medveten om
    vilken information applikationer kräver tillgång till.
Slösa IT-avdelningens resurser på att gå igenom vilka appar som är ok för någon användare att ha installerat på sin privata telefon? Tror inte MSB har stämt av detta med NÅGON IT-avdelning, inte ens deras egna.
  • Koppla inte upp enheten mot okända oskyddade trådlösa nätverk.
Mitt förslag: Koppla bara upp enheten mot kända trådlösa nätverk som har WPA2-skydd.


... och så vidare. Enligt min mening har MSB helt missat målet. Säkerhetsråd skall finnas till för att hjälpa människor göra säkra och förnuftiga beslut. Har man dyra, krångliga åtgärder så kommer de med rätta avvisa det med minskat förtroende för källan som konsekvens. Min rekommendation till MSB är att ta ett steg bakåt, ta några djupa andetag och fundera igenom vilka realiserbara råd som ska ges till vem och varför. Ett dåligt dokument gör mer skada än vad saknaden av ett dokument gör. Ett par hjälpsamma frågor som ett dokument skall kunna svara på:
  • Vilka 5 risker bör bemötas först?
  • Var finns brytpunkten där åtgärderna börjar bli "dyra" i förhållande till deras riskreducering?
  • Vad baserar sig sannolikhetsbedömningen på? Finns det verkliga siffror? Är det uppskattningar? Är det kopplat till svenskt territorium?
  • Vad baserar sig konsekvensbedömningen på? Uppskattat worst-case scenario? Verkliga angrepp? Vad som är enkelt att automatisera och profitera på?
Ser mycket gärna att dessa frågor även besvaras för det andra dokumentet MSB nu har ute som de önskar synpunkter på, vägledning för USB minnen. Det finns ett stort behov av vägledning på dessa områden, så jag hoppas att MSB kan göra något bra för det.

måndag 17 oktober 2011

DHS: Anonymous intresserar sig för industrikontrollsystemen

Den löst sammansatta gruppen "Anonymous", som tidigare tagit på sig ansvaret för en mängd IT-angrepp, har nu börjat intressera sig för industrikontrollsystem. Det säger en bulletin från ICS-CERT, en del av DHS (Department of Homeland Security, USA).


Mina tidigare inlägg har poängterat just vad den här bulletinen nu aktualiserar (men inte nämner ett ord om): hotbilden kan snabbt förändra sig, och vad gör man då? Sådana här system köps med ett tidsperspektiv på kanske 20-30 år, det finns inte på kartan att byta ut dem och de kan hantera processer som är av yttersta betydelse för dess ägare - något man mycket ogärna pillar på alltså.

Just system som inte byts ut eller uppdateras så lätt behöver göras säkra från början. Är det en privat aktör som köper in osäkra system så är det upp till var och en. För samhällskritiska system bör det dock finnas regler. Myndigheten för samhällsskydd och beredskap(MSB) är den solklara mottagaren för en sådan uppgift, men MSB har tidigare bara visat oförståelse för att det inte går att höja säkerheten på en dag.

Med det sagt så anser jag ändå att det är MSB som bör ta på sig uppgiften, och implicit har de redan fått den. För stunden kanske MSB prioriterar sina resurser annorlunda, och i mina ögon så är det inte så konstigt. MSB ligger helt enkelt efter på flera frågor, och prioriteringen måste vara att släcka bränderna först, planera för brandskydd senare. Mer resurser behöver till, men man ska naturligtvis vara försiktigt med att ge mer resurser om man anser att de resurser som redan ges inte resulterat i mycket valuta för pengarna. Hade varit intressant att höra hur diskussionerna går i de där kretsarna...

måndag 10 oktober 2011

Drönarna har fått virus - Incidenthantering the Wrong Way

USA har på senare tid använt sig allt flitigare av drönarflyg för att spana och angripa specifika mål. Dessa fjärrstyrs från bland annat ett litet ställe i Nevada. Fjärrstyrningen tycks ske bland annat med hjälp av VNC, och av allt att döma så kör systemen Microsoft Windows.


Obekräftade uppgifter hävdar nu att drönarna har hamnat i strid med ett virus, som DoD inte är riktigt säkra på varken var det kommer ifrån eller vad det gör. Och av rapporterna att döma inte heller hur det sprids. Faktum är att rapporteringen som kommit hittills gör att de framstår som amatörer i sin hantering av situationen. Eller vad sägs om följande "godbitar":
“We keep wiping it off, and it keeps coming back,” says a source familiar with the network infection, one of three that told Danger Room about the virus. “We think it’s benign. But we just don’t know.”

...

At first, they followed removal instructions posted on the website of the Kaspersky security firm. “But the virus kept coming back,” a source familiar with the infection says. Eventually, the technicians had to use a software tool called BCWipe to completely erase the GCS’ internal hard drives. “That meant rebuilding them from scratch” — a time-consuming effort.

Jag har tidigare skrivit om hur otroligt svårt det är att kasta ut malware, och framhållit de som rensar ordentligt som föredömen. Vad som verkar ske kring den här incidenten är att massor med saker som görs fel, inklusive informationsläckan som visar allt kaos. Att man har en period av osäkerhet då man inte vet hur viruset beter sig är normalt, men den perioden skall vara kort och hållas intern. Att man sedan plötsligt börjar rensa diskarna utan att ha kommit fram till VARFÖR viruset kommer tillbaka gång på gång är ... ineffektivt. Vad väntar de sig kommer hända när de ansluter den färskinstallerade datorn på nytt?

Jag tror att det inte är riktigt så illa som media framställer det. Jag tror de har något bättre koll än vad som kommit fram. Men det skapar knappast förtroende när debatten rasar vild om hur de här drönarna används - att de sedan inte är säkra nog och att incidenter hanteras på sättet det gör... inte så lyckat.

En twist på det är att det finns indikationer på att det här spridit sig genom informationsdelning mellan olika nätverk. Well, vad som mer hände i helgen var att president Obama har beordrat en ny organisation för att hantera "responsible sharing and safeguarding of classified information". Inga lätta frågor det inte...

måndag 3 oktober 2011

iPad och smartphones för militära tillämpningar

iPad blev tidigare i år godkänd av amerikanska luftfartsmyndigheten för att ersätta kartor i flygplan. Något som även har hänt inom amerikanska militären visar det sig. En helikopterpilot berättar i en artikel om hur han började använda sin personliga iPad för att plocka fram kartor, och tiden för att hitta målet minskade från 3 minuter till 30 sekunder. Det är en signifikant tidsperiod när liv står på spel.


Som säkerhetsmänniskor är det viktigt att vi har en konstruktiv, hjälpande dialog snarare än den klassiska hindrande synen. Ja, det kommer med risker men det kommer också med vinster. Just att kunna få fram kartor snabbt i stridens hetta lär vara värt risken alla gånger - ens om fienden ser var du tar fram är skadan liten. Bruce Schneier skrev om det här för ett par år sedan när det var rubriker om att videoströmmarna från obemannade övervakningsplan sändes ut i klartext.

Men om risken är värd att ta beror förstås också på användningen. Ifall samma appar skulle användas i planeringssyften kan det läcka information som ger betydlig allvarligare konsekvenser. För att inte nämna risken för avlyssning! Och för att vara tydlig: säkerhet säljer inte många iPad och lär därför inte vara någon prioritering hos Apple. Så det är inte undra på att det finns oro bland militärens strateger:
There are concerns among military strategists about passing military secrets on a device that can easily be hacked.
Exempelvis skulle jag tänka mig för både en, två och tre gånger innan jag rekommenderade att någon sån här lösning kör på en iPad (eller smartphone):
"Imagine that you're dropped in an unknown location on a moonless night," McCarthy said. "You open this app, and through its GPS coordinates it shows you where you are. It shows you where your adjacent units are."
Men behoven finns onekligen där, och innovation skall man naturligtvis uppmuntra och ta till vara på. Som säkerhetsrådgivare är uppdraget att göra idéerna möjliga, på ett säkert sätt.

onsdag 28 september 2011

DHS: SCADA-säkerheten så dålig att vi inte längre kan larma om allt

Industriella kontrollsystem har så dålig säkerhet kring sig att amerikanska Department of Homeland Security (DHS) nu byter strategi hur de informerar om sårbarheterna. De anser att de inte längre kan skicka larm om den kategorin problem som är så osäkra och djupt invävda att tillverkaren inte snabbt kan åtgärda dem. Vilket enligt experter är upp emot 90% av problemen.


Jag stämmer in delvis i den siffran. Som jag skrev i måndags så är tillverkare av industrisystem ofta så brutalt okunniga att även enkla saker som autentisering är raketforskning för dem. Men jag tror också att på grund av att sårbarheterna är på en sådan simpel nivå, så kollar de flesta inte ens bortom dem.

Att en myndighet backar från att larma är ingen fara, givet att de fortsätter dokumentera och publicera sårbarheterna på andra sätt. De som har störst möjlighet att göra något åt det här träsket är nämligen just myndigheterna. Industrisystemens köpare har inte kunskapen för kravställning och även om de skulle hyra in kompetens för att prioritera säkerhet i den kravställningen är det inte säkert att det ens finns något system att köpa. Finns bara ett fåtal leverantörer och om alla de är lika usla hjälper det inte mycket att kravställa. Men kravställa ska man förstås ändå göra, för att skicka signaler och att möjliggöra konkurrensfördelar för dem som har bra koll på sin teknik.

Hela situationen påminner mig lite grann om Lyxfällan. När vissa personer konstaterar att de har det kämpigt med ekonomin ger de upp helt och skiter i att göra något alls åt situationen. Vilket naturligtvis bara förvärrar det hela ytterligare, och till slut så blir det FETKRASCH eller om man har tur så kommer Charlie och Mattias (eller vad de nya nu heter?) och hjälper till att ställa dem mot väggen, förklara läget för dem och sedan hjälper dem att ta tag i problemen.

Min fråga är då.. om inte myndigheterna är Charlie och Mattias, vem tar då den rollen?

måndag 26 september 2011

De mörkaste hörnen av knarkarkvarten: SCADA system online

Kommer nästa terrorangrepp ske genom att någon telnettar in till motorn på en 747:a?

Det vet vi inte, men det ter sig troligare nu än för 10 år sedan. En debatt håller på att blossa upp om huruvida skyddet av SCADA-system verkligen förtjänar någon uppmärksamhet. Bakgrunden är återigen Stuxnet, och att Ralph Langner, en av de som ägnat mest tid åt att förstå Stuxnet, nu får mothugg när han säger att ingen lyssnat och att inga åtgärder har kommit. Tyvärr kommer mothugget i form av personangrepp, men i princip kan man säga att motpoängerna skulle vara:

  • Att människor inte pratar med Ralph om det betyder inte att ingen gör något (i.e. "Vi arbetar på det, men utan dig och i tystnad!")
  • SCADA system är ändå inte online
  • Det finns andra system online som därför behöver mer uppmärksamhet
  • Skulden till Stuxnet finns att skylla på säkerhetsforskare som alls har pratat om att SCADA-system är sårbara. (i.e. "Om alla bara hållit tyst så hade ingen märkt något och ingen tänkt på det, och då hade allt varit ok.")
Svaret på mothugget? Kommer från tredje part och riktar in sig främst på att SCADA system inte finns online. En bloggpost som grundar sig på personliga erfarenheter i Australien visar den verkligheten de flesta har svårt att föreställa sig. Jo, många system kopplas upp och risker ignoreras. Och ja, precis som så mycket annat försummas det sedan och blir en del av knarkarkvarten. Kan det vara värre? Ja, SCADA-systemens startpunkt är så mycket sämre eftersom kunskapsnivån hos tillverkarna är brutalt usel. Blogginlägget hintar om det; system som kör Windows 98 och nätverk som inte får ha några brandväggar för att tillverkarna är rädda och inte känner sig komfortabla med att deras prylar klarar av det. Ehh... wtf?

Mina egna erfarenheter är liknande. De diskussioner jag haft med tillverkare av industrisystem har visat på att de inte ens förstår sig på fundamentala tekniker som TCP/IP. När jag frågat om saker som autentisering och hur de hanterar användarnamn och lösenord tittar de flesta på mig som om jag vore från en annan planet. "Man trycker på knappen här så kopplar den upp". Någon har sträckt sig till att ha en PIN-kod på fyra siffror, utan brute-force skydd (yay?).

Hela poängen är dock det här: kunskapen hur vi kan säkra upp finns redan. Men efterfrågan finns inte. Det är därför knarkarkvarten ser ut som den gör. Och det är därför Ralph Langner upplever det som att ingen lyssnar. Skaran människor som är intresserade är mycket liten, och när marknaden bestämmer vad som ska prioriteras är säkerhet inte en av de sakerna.

Och så kan det väl få vara!? Ja, återigen så är det ok under de flesta omständigheter. Vi säkerhetsmänniskor tenderar att alltför ofta bli "poliser" och besserwissrar. Men det är varken vårt ansvar eller vår befogenhet att tvinga på omvärlden våra prioriteringar, även om vi tror oss ha rätt. Men när system som har livslängder på 20 år byggs som om det vore 1980 känns det helt enkelt inte bra. Vi vet att många oskyldiga kan drabbas, samtidigt som de som gagnats av att prioritera bort säkerhet kommer stå utan större konsekvenser. Moral hazard anyone?

Min åsikt? Vrid ekonomin rätt om det är privata aktörer som tar smällen när den kommer, eller lagstifta om det är samhället som behöver ta den smällen.

torsdag 1 september 2011

Incidenthantering the Right Way - Kernel.org utsatta för intrång

Serien med intrång mot olika open source projekt fortsätter. För ett par dagar sedan upptäcktes ett angrepp mot kernel.org, Linuxkärnans hemvist. Sannolikt är motivationen att placera in bakdörrar i koden, eftersom man genom det skulle nå miljontals installationer världen över.

Och återigen, till skillnad från kommersiella och statliga organisationer så är open source organisationerna väldigt öppna med vad de vet och vad de gör. Väldigt värdefullt för oss andra som då får information avseende intrångsmetod, fungerande metoder för att upptäcka intrång samt hur det intrången hanteras när det väl upptäckts. Verklighetsanknytningen är min främsta anledning till att "samla" på dessa incidenter.

Så vad kan vi lära oss den här gången? Man kan plocka lite av varje, här är några av mina punkter:

  1. Intrånget gick via en utvecklares personliga dator där inloggningsuppgifter stals. Angrepp behöver alltså inte ske direkt mot målsystemet, det kan gå via något annat system eller någon annan persons privata dator. Det här är i min erfarenhet något som många organisationer missar helt och hållet. Man satsar exempelvis på att en viss webapp ska vara säker, men missar att även miljön och all inloggning till appen behöver göras från minst lika säkra system.
  2. Intrånget upptäcktes på grund av en avvikande loggrad - en komponent som inte var installerade loggade plötsligt ett felmeddelande. Logganalys fungerar och upptäckta avvikelser skall undersökas av någon som är väl förtrogen med systemet.
  3. Att i smyg ändra på källkoden till Linux kärnan är ingen enkel grej. Säkerhetsarkitekturen kring kodens lagring och versionshanternig gör det väldigt lätt att upptäcka den typen av modifieringar. Det fungerar att tänka efter före och designa säkerhet i flera lager. Ibland måste man ta steget tillbaka och göra stora arkitekturella förändringar.
Kernel.org visar dessutom exemplarisk hantering på att städa upp. En inkräktare som en gång tagit sig in kan i regel hålla sig kvar även efter rensningsförsök såvida inte omfattande arbete görs. Sådant omfattande arbete görs nu av kernel.org - samtliga system tas ner, installeras om från grunden och samtliga användare behöver byta sina lösenord och ssh-nycklar.

Nice work, men oj vad nära angriparna var att komma undan oupptäckta :x

onsdag 31 augusti 2011

Huvudet i sanden? Hackad CA plockas bort från IE och FF

Ja, på tal om strutsreaktioner så har de senaste dagarna rullat upp en intressant story. Holländska CA:n DigiNotar har utnyttjats för att göra MITM-attacker i Iran. Ett wildcard-certifikat för *.google.com upptäcktes av en medborgare tack vare certifikatpinning, en feature som implementerades i Chrome för inte så länge sedan, som en reaktion på att flera CAs den senaste tiden uppvisat bristande säkerhet.


Certifikatet för *.google.com gavs ut den 10:e juli i år, men flera spår visar att DigiNotar har haft oupptäckta intrång av flera parter sedan åtminstone 2009. Reaktionerna från omvärlden har inte låtit vänta på sig; både Microsoft och Firefox har plockat bort DigiNotars rootcertifikat från sina webbläsare, vilket i praktiken gör att ingen kommer vilja köpa certifikat från dem längre eftersom webbläsaren ändå kommer ge varning. Att Google kommer göra detsamma med Chrome är väl knappast någon vild gissning. (UPDATE: Kanske, kanske inte. Enligt källkoden till Chrome så har Google nu invaliderat 247 certifikat från DigiNotar)

Så vad är DigiNotars ägares reaktion på det? Ja, för det första så tog det dem 1½ dag att över huvud taget kommentera från det att det blivit allmänt känt. De gjorde en utredning och drog tillbaka ett antal certifikat, men senare visade det sig att utredningen inte var komplett. De blev uppmärksammade på det av holländska GovCert, och upptäckte det alltså inte själva (intressant fakta: en majoritet av intrång som upptäcks rapporteras till offret av en tredje part, rätt så tänkvärt vad det betyder för andelen intrång som alls upptäcks...). Och responsen som kommer?
VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal
Verkligen? Ja, det beror förstås på vilket perspektiv man väljer. DigiNotar står inte för några stora inkomster i förhållande till VASCO i övrigt, vars största inkomst kommer från autentiseringsdosor för tvåfaktorsautentisering. Så jag håller nog med dem, och anser att VASCO hanterar det rätt ok. DigiNotar kanske försvinner, men VASCO kommer inte ta några större smällar. Men efter RSA-hacket så undrar nog många med mig om VASCO är så mycket pålitligare. Kan de mycket väl vara, men hela den här incidenten betraktar jag som "Strike 1".

måndag 22 augusti 2011

Sjukvårdsutrustning behöver ingen säkerhet

... det tycker åtminstone Medtronic, som kommenterar att deras insulinpump kan styras trådlöst till att ändra dosering samtidigt som den fortsätter rapportera normala värden.
"To our knowledge, there has never been a single reported incident outside of controlled laboratory experiments in more than 30 years of device telemetry use, which includes millions of devices worldwide,"


Strutsmentaliteten är påtaglig, och så brukar den faktiskt vara. Till och med då liv står på spel alltså. Jag har genom åren stött på åtskilliga diskussioner där tillverkaren går in i förnekelseläge. Några exempel på kommentarer:
  • "Det är inget som kravställts."
  • "Vi levererar bara det våra kunder efterfrågat."
  • "Vi har inte hört att det skulle vara några problem." (+1 exempel)
  • "Ingen kommer göra så."
  • "Det är bara ett felmeddelande, inte en säkerhetsbrist." (SQL Injection)
  • "Vår produkt är avsedd att köras bakom brandvägg."
Jag brukar bemöta dessa genom att prata om kundernas förväntningar, visa på att det visst händer saker(publika incidenter), och göra proof of concepts. Kan ta ett tag, men så småningom trillar poletten ner. Ofta sitter jag dessutom i positionen att jag har en irriterad kund som stöd, eftersom jag sällan rapporterar något privat eftersom risken är att förnekelsereaktionen åtföljs av en polisanmälan.

Och precis som i de fall jag varit inblandade i så visar sig omvärlden även i detta fall reagera på ett helt annat sätt än leverantören när de får höra hur verkligheten ser ut. Hur förbluffande det än må vara för en tillverkare av sjukvårdsutrustning, så får de nu från statligt håll höra att man faktiskt ser på det som mycket viktigt att livsviktig utrustning också är säker. *gasp* Who could have known!? Det har de ju aldrig framfört som något krav tidigare!

P.S. Det här är symptomatisk för all utrustning som numera kan kommunicera via IP. De har tidigare levt i en skyddad verkstad, gör det inte längre. Fungerar till en början, men allteftersom uppmärksamhet riktas mot de här enheterna så upptäcks att säkerheten är så usel att man tappar andan. Inga problem så länge det inte inträffar några incidenter? Problemet är att de här enheterna kan ha en livstid på upp till 20 år. Att det inte hänt något under de tre första åren är ett väldigt dåligt argument för de kommande 17. Hur gör man då med alla de tusentals enheter som redan är i drift när väl incidenter börjar inträffa? Säkerheten höjs inte på en dag.

fredag 19 augusti 2011

DHS fortsätter anlita amatörer

På tal om vad Bruce Schneier sagt i åratal... Kolla in det här för lite humor:



Department of Homeland Security (DHS) har precis släppt en ny informationskampanj som ska göra det amerikanska folket mer uppmärksamt. Till tonerna av dramatisk musik och med dramatiskt snabba vinklar och klipp ber man amerikaner rapportera in "misstänkta aktiviteter" till lokala myndigheter.

Oh boy! Gissa om de kommer få in samtal!

torsdag 18 augusti 2011

800 000 dollar för att de inte orkade byta lösenord

Jag är ju en stor fan av incidenter som görs publika eftersom de så tydligt kan visa på vad som gått fel och vilka konsekvenserna varit. Man kan lära sig något från det, och det är lätt att visa andra en koppling mellan sårbarhet X och konsekvens Y.

När nu ytterligare ett av så många fall inträffat där person A som känner till alla adminlösenorden blir sparkad, kopplar upp sig mot systemen en tid senare och förstör (raderar filer, konfigurerar om, etc..), så kan man ju fråga sig vad som egentligen finns att lära av det. Det är inte direkt raketforskning att förstå det scenariot i förväg.


Jo, det vi kan lära oss om det handlar om den lathet som finns i vår natur. Även om vi förstår att det innebär en risk, så GÖR vi ändå inte något åt det om vi upplever att det är jobbigt/svårt och samtidigt ser sannolikheten(inte risken!) som liten. Vilket långsiktigt faktiskt är fair enough, det är trots allt något människan har utvecklats till de senaste miljoner åren. Right?

Problemet är att människans riskmodell är utvecklad just under väldigt lång tid, under de förutsättningar som funnits under denna långa tid. När det kommer nya tekniska språng - och för den delen nya "snabba" förändringar som fenomenet storstäder - så hinner inte den biologiska utvecklingen med.

Bruce Schneier har de senaste åren snöat in rätt hårt i psykologin kring risk och beskriver det som att det finns tre olika domäner; känsla, modell, verklighet. Vi kan ha en känsla av att det är säkert, oavsett hur verkligheten ser ut. Och i vårt intellekt, vårt förnuft... så kan vi bygga upp en modell av hur saker fungerar. Medan verkligheten i sig kan vara fristående från både vår känslomässiga och intellektuella förståelse. Och det tar en del tid innan de börjar närma sig varandra.

Stories som denna är utmärkt exempel på hur de skiljer sig åt, och hur långt bort vi är från att de sammanfaller när det kommer till informationssäkerhet. Vi är helt enkelt omogna på området.

Å andra sidan så har vi också väldigt svårt att över huvud taget agera på sådant som är rent abstrakt för oss. Även på den fronten spelar incidenter en mycket viktig roll för oss att så vi verkligen förstår insatserna. Här är mitt blogginlägg från 2009 om vad som till slut fick mig att skruva upp brandvarnarna där hemma, som jag inte gjorde förrän då, trots att människan levt med eld sedan tidernas begynnelse...

Ny typ av keylogger på din smartphone

Det här slår mig som innovativt. Forskare har undersökt möjligheten att göra en keylogger som använder sig av rörelsesensorer i telefonen. De har konstruerat en PoC för Android som har en träffsäkerhet på 70%, som fungerar utan några särskilda rättigheter. Man installerar alltså en app som ser helt oskyldig ut på alla sätt och vis, och åker då på en keylogger. Ouch!

Det här blir särskilt intressant i sammanhanget att W3C har släppt ett förslag på hur man via javascript ska kunna nå telefonens accelerometer och gyroskop. Trillar allt det här igenom utan att någon uppmärksammar det kommer det alltså kunna hamna i läget att om man skulle gå till en webbsida och sedan gå över till en annan app, kan den webbsidan köra en keylogger som lyssnar av t.ex. SMS, mail, chatt och lösenord.


Och tycker man att 70% är lite för lite så kan man ha i tankarna att det här bara är en första studie, som säkerligen kan förfinas. Forskarna nämner exempelvis att använda fler sensorer, och själva skulle jag nog vilja lägga till någon sorts mönstermatchning mot ord som dels skulle kunna hitta orden, dels lära upp mer fingranulärt när en viss "tangent" används. Very cool!

fredag 12 augusti 2011

Sydkorea utsatt för riktat angrepp via bakdörr

Det här är en intressant story. Från en kinesisk IP-adress tog sig någon in hos en sydkoreansk mjukvarutillverkare. Genom att sedan använda deras uppdateringsfunktion för mjukvaran kom de åt en specifik kunds datorer och från den kunden stals det uppgifter om 35 miljoner sydkorean.


Det senaste året har det offentliggjorts ett tiotal fall där någon har gett sig på utvecklingskedjan, och vem vet hur många fler som inte offentliggjorts. Vem vet hur många som har lyckats plantera bakdörrar som aldrig upptäckts? En fråga som jag tycker är intressant är vilka det är som står för de här angreppen.

Medan det vore ruskigt effektivt för en statssponsrad aktör att plantera in bakdörrar i kod så måste de samtidigt vara försiktiga med att inte göra det egna landet sårbart. Alternativt vara villiga att ta risken. Eller kunna styra vilket land som får vilka paket, eller på något vis centralt kunna skydda sitt eget land mot just den sårbarheten. Eller inte köra programvaran alls (tänk: Kina utvecklar sitt eget Linux), eller ta en trade-off där de eventuella egna systemen som drabbas inte är av lika stor vikt som de man vill åt...

Just det här senaste med sydkorea var ju tydligt riktat, men så har det inte alltid varit tidigare (vad som framgått). Men som jag skrivit tidigare, många länder har all anledning att skynda på en snabbare hantering där riskerna kring att använda externt producerad hård- och mjukvara sänks.

tisdag 9 augusti 2011

Google hjälper USA spionera i Europa

Google har nu även de medgett att de förser amerikanska underrättelsetjänster med data från och om deras användare. Även sådan data som ligger på europeiska servrar. Ingen överraskning eller något nytt i sig, särskilt inte eftersom det krävs av amerikansk lag, men ytterligare ett exempel på vikten av att inte lägga ut allt i molnet, utan hålla värdefull data för sig själv, inom sitt eget land. Också värt att komma ihåg att Microsoft gör samma sak med exempelvis Office 365. Trots att detta strider mot Europeisk lag.


Jag är en stor vän av att ha konkreta, offentliga exempel att peka på när jag säger "det här händer på riktigt just nu, det är något ni behöver ha med i beräkningen", istället för att behöva säga "lita på mig, det händer" eller poängtera att det är möjligt kopplad till någon grad av spekulation av hur ofta eller när det händer.

Faktum är att det är precis incidenter och artiklar som denna jag vill lyfta fram när jag talar med de som är mindre insatta i säkerhet. För mig fungerar det nämligen jättebra när någon annan förklarar sitt expertområde genom att peka på konkreta händelser, och jag tror de flesta har lättast att ta till sig av budskapet då.

fredag 5 augusti 2011

Operation Shady RAT - inget nytt under solen, men...

Ingen intresserad lär väl ha missat McAfees publicering av information angående en serie intrång som McAfee kallat Operation Shady RAT. Precis som skrivs tidigt i rapporten är det här inget nytt, men ändå reagerar media och stora delar av världen med förvåning som om det vore det.

.. och det är förstås just det som jag tycker är det intressanta i sammanhanget. Och så är det förstås bra att ha ytterligare offentliga exempel från verkligheten att visa. Så nu när problemet börjar uppmärksammas på bred skala, då kommer vi väl få det löst ganska fort? Korta svaret: knappast.

Vägen framåt går förvisso genom medvetandegörande av de risker och sårbarheter och motverkande åtgärder som finns . Men på rikigt - säkerhetsnivån blir inte bättre över natten oavsett vad som händer. Den ofantliga mängden sårbarheter som finns "där ute" skulle inte kunna åtgärdas över natten ens om det fanns färdig perfekt programvara, eller ens om en majoritet av de utsatta plötsligt fick ett abnormt stort säkerhetsmedvetande. Det finns så mycket där ute som är designat, implementerat och exponerat utan någon vidare förståelse för säkerhetsprinciper.

För tillfället kan vi dessutom med god säkerhet säga att det är stor kompetensbrist. Det är ett allvarligt problem i sammanhanget, så pass allvarligt att det finns en uppfattning om att den genomsnittliga kunskapsnivån för de som arbetar med informations och IT-säkerhet är på väg neråt istället för uppåt, eftersom många uppgifter nu ges till personal som inte har kunskapen för att hantera uppgifterna. En uppfattning som fick vatten på sin kvarn i sommarens underhållningstråd på ServerFault: "Our security auditor is an idiot, how do I give him the information he wants?"

Kortsiktigt sitter vi alltså fortfarande rejält i skiten. Långsiktigt så kan vi se att säkerhet nu i allt större grad klättrar i organisationers medvetande. Förhoppningsvis är det något vi i branschen kan använda som grogrund till en konstruktiv, realistisk dialog. Där ligger det stort ansvar på oss som redan har stor erfarenhet och varit i branschen länge att producera bra, balanserat material som är lätt för gemene man att ta till sig.

måndag 4 juli 2011

Slipp inbrott under semestern

Underbara semester! När nu semestern börjar och många åker bort tänkte jag passa på & länka till ISECOM's semestertips. Alltså inte vart man ska åka, utan hur man håller tjuven borta när man själv åkt iväg nånstans. Ja, förutom det uppenbara med larm då förstås, men det hjälper mycket mindre än vad de flesta tror. Så jag rekommenderar alltså att ögna igenom den här:

The Home Security Methodology Vacation Guide

Låt er inte skrämmas av de första sidorna, när man väl passerat dem så kommer man till en trevlig liten "checklista" där man kan välja de som passar en själv =)

torsdag 30 juni 2011

Musen som kommer med en bakdörr

Det är alltid lite kul när någon till slut gör en proof-of-concept på vad som tidigare bara varit teorier, eller åtminstone saknat offentliga PoC:s. Ett pen-test företag har nu använt sig av en modifierad mus för att ta sig in på det interna nätverket hos en kund. Musen kom med en flash-drive och en mikrokontroller som 60 sekunder efter inkoppling började sända "tangentbordsnedtryckningar" som körde programvaran på flashdriven. Boom!


Hur försvarar man sig mot något sådant? Enda sättet jag kan komma på är att tänka större än teknik. Stoppa inte in okända USB-prylar i datorn. Praktiskt så är det här en attackvektor som kommer fungera mot förkrossande många, och vi har för stunden dåligt med tekniska lösningar som garanterar säkerhet från angreppen. Närmst kan man komma genom att begränsa vilka USB ID:s som är tillåtna. Ytterligare alternativ är att fysiska begränsa USB-portarna.

tisdag 28 juni 2011

Citibank, 2.7 miljoner dollar stulna och PCI DSS

För ett par veckor sedan tillkännagav Citibank ett intrång i sina system där delar av 360 000 kunders information förlorades. Informationen som stals saknade viktiga detaljer så som CVV-kod och utgångsdatum för kortnummer, men har alltså trots det resulterat i att 2,7 miljoner dollar försvunnit från kundernas kort. Pengar som Citibank naturligtvis nu ersätter.


Det är inte första gången som Citibank råkat ut för intrång. Vad som gjorde mig förbluffad den här gången var dock sättet det gjordes på, och de senaste veckorna har många i min omgivning fått höra mig försöka komma till freds med att en bank ännu år 2011 kan ha såna rudimentära sårbarheter. Det där är liksom inte några avancerade buffer overflows vi pratar om, det är grejer som är så konceptuellt enkla och genomförbara att jag på 2 minuter kan lära min svärfar göra det!

Hur som helst, som min gamla kollega Stefan Pettersson sa så kanske bankerna har tjänat massor på att skita i att ta tag i såna här problem och istället ta eventuella kostnader i efterhand. Vi vet helt enkelt inte. Men det är i det här sammanhanget som kortbolagens sätt att hantera sin ekonomi på blir så intressant.

Sedan ett antal år tillbaka har kortbolagen ett gemensamt regelverk (PCI DSS) för hur informationssäkerheten runt kortnummer skall skötas. Att få alla spelare att leva upp till de kraven är en historia i sig, men för sakens skull kan vi säga att de påtryckningsmedel som används alla syftar till en och samma sak: att kortbolagen ska tjäna pengar och slippa kostnader eller uteblivna inkomster relaterade till dålig säkerhet kring korthantering. Det finns förstås diverse avtal runt ämnet också, och dessa utnyttjas både i förebyggande syfte, och i händelse av en incident.

Kortbolagen ser numera till att om en incident sker som skadar kortbolagen ekonomiskt, så kommer kortbolagen se till att skjuta ner den här kostnaden på den som hade kunnat förhindra incidenten. Genom det så eliminerar kortbolagen en externalitet.

Vad betyder det rent praktiskt för korthanterarnas approach till riskhantering? Jo, att även om det en gång i tiden varit lönsamt för dem att skita i säkerheten, så kommer det nu vara mindre lönsamt för dem om det kommer en incident. Frågan är vad som kommer vara Citibanks största kostnad när räkningen för den senaste incidenten summeras: utredningen, åtgärderna, de stulna pengarna, eller... kortbolagens "böter".

Det är fortfarande möjligt att det är ekonomiskt lönsamt för Citibank att fortsätta på samma väg som tidigare, och då är det något vi som samhälle skall omfamna för det kommer sannolikt vara den bästa vägen för samhället i stort. Det vi ska slå ner på är externaliteter, inte enskilda aktörers brist på säkerhet.

tisdag 21 juni 2011

Intrång hos StartSSL - är nuvarande PKI på väg utför?

Ja, man får väl säga att Google hänger med rätt bra i sina satsningar. Dagen efter Chrome tillkännagett möjligheter till certifikat-pinning så får ännu en betrodd CA intrång i sina system.


Jag skulle vilja framhålla i det här sammanhanget att oavsett om det inte går att ha tillit till alla CAs eller inte, så har det systemet vi har idag ändå ett värde. Visst, tittar man på tunga aktörer så finns det förmodligen möjlighet för dem att ordna sina egna betrodda certifikat. Men tittar man på de webbsajter och hotaktörer som finns ute i världen så tillför ändå nuvarande PKI ett mycket stort värde.

Klart man skulle föredra en effektiv, billig och perfekt lösning som alla kan köra och förlita sig på. Men i brist på det får vi bygga ihop en helhet som är tillräckligt bra för just oss i vår situation.

måndag 20 juni 2011

Kommande säkerhetsfeatures i Chrome

Förra veckan postade Google om några nya säkerhetsfeatures som tillkommer i Chrome framöver.

Den mest nytänkande featuren tycker jag är den här:
Chromium 13: built-in certificate pinning and HSTS
...
As of Chromium 13, all connections to Gmail will be over HTTPS. This includes the initial navigation even if the user types “gmail.com” or “mail.google.com” into the URL bar without an https:// prefix, which defends against sslstrip-type attacks.

The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.

In addition in Chromium 13, only a very small subset of CAs have the authority to vouch for Gmail (and the Google Accounts login page). This can protect against recent incidents where a CA has its authority abused, and generally protects against the proliferation of signing authority.

Tre saker händer alltså:
  1. Gmail kommer bara gå att komma åt via SSL-anslutning oavsett vad. Kommer detta bara vara så för gmail, eller kan man "ansöka" hos Google om att få sin site med på listan? Kanske Paypal vore nice, som för tillfället är inblandat i att stämma Google i ett helt annat ärende?
  2. Självsignerande cert b-gone. Google har säkerligen väldigt bra (och hög) statistik som tydligt visar att användare inte ses som pålitliga i det här avseendet. Yay!
  3. Gmail.com kommer bara acceptera SSL-certifikat från ett mycket litet antal CAs. Jag utgår från att det här är modifierbart på klienten så att även företag som MITM:ar https kan fortsätta göra det. Även det här väcker frågan hur "pinning" av SSL-certs ska skötas långsiktigt.
Rätt så intressant över huvud taget med punkt 3. Det tar i frågan hur pålitliga CAs verkligen är. Det finns idag en stor inbyggd tillit i att de är pålitliga, men som Comodo visade så kan den tilliten vara felplacerad. Vad gör man då? Försöker rätta problemet hos varje CA? Eller gör som Google och minskar angreppsytan och pekar ut att specifikt "de här" CA är de vi kommer använda oss av. Vad händer då om "alla" börjar göra så? Kommer vi få se en utrensning av CAs? Eller spelar det mindre roll vilken CA man går till så länge man stänger ute de flesta - det är ju hur som helst minskad angreppsyta.

Jag skulle säga att Google gör vad de kan med de resurser som finns inom deras direkta kontroll. Och det ska bli intressant att se hur övriga aktörer på Internet nu reagerar på det.

torsdag 16 juni 2011

In it for the Lulz: Vilka bryr sig den här gången?

Den senaste tiden har vi sett flera uppmärksammade angrepp utförda av "Lulz Sec". Dit hör Fox News, Sony, PBS, Amerikanska senaten och nu senast CIA's hemsida.

För mig som är "old like the hills" triggar den senaste attacken förstås minnen av då CIA fick sin hemsida utbytt 1996. I samband med en rättegång mot medlemmar i Swedish Hacker Association defacades sidan som döptes om till Central Stupidity Agency och fick texten "Stop Lying Bo Skarinder" (åklagaren i målet). På den sidan av det glada 90-talet kom en allmän boom i hemside-defacements som sedan klingade av vid millenieskiftet.


Angrepp som detta görs för uppmärksamhetens skull och för att ge underhållning. Men vad som är tänkvärt är att det såhär 15 år senare görs samma sak. Vad kan vi lära oss av det? Förmodligen mycket beroende på vilken aspekt man väljer att titta på. Ett par saker som jag tänker på är att...

  1. IT-säkerheten är fortfarande klart bristfällig överlag.
  2. De som direkt drabbas idag kan få lida betydligt större ekonomiska konsekvenser än på 90-talet.
Punkt 2 är det som kan få punkt 1 att ändra sig. Länder som USA har numera lagar som tvingar fram ekonomiska konsekvenser av en helt annan dignitet än vad samma incident skulle resultera i om angreppet skett i exempelvis Sverige. All mediatäckning som det här ger, kombinerat med kännbara kostnader för de drabbade gör att läget kan förändras.

söndag 12 juni 2011

IMF utsatta för intrång, men har "förstärkt säkerheten" nu.

Internationella valutafonden (IMF) upptäckte i onsdags ett stort intrång i sitt nät ("very major breach"). TT-Reuters har rapporterat en kort notis om det som nu har dykt upp i svensk media, men vill man ha lite till gör man klokt i att googla eller gå till NY Times artikel.

TT-Reuters innehåller uppgifter från lördagen där IMF säger att man nu "förstärkt säkerheten". Yeah, right... Jag hänvisar till mitt tidigare inlägg om intrånget hos fastighetsbolaget i Motala - att signifikant höja säkerhetsnivån görs inte på en dag. Att de har patchat sina klienter så att angripare inte längre kommer in med 2 år gamla flash exploits imponerar inte.

Jag skulle någon gång vilja höra en ansvarig person säga något i stil med det här:

"Vi blev tagna på sängen av det här. Vi har inte spenderat så mycket tanke eller resurser på de här frågorna för vi har aldrig haft några problem med det tidigare. Men efter det här måste vi naturligtvis se över situationen, vi förstår att även vi kan utsättas för angrepp som i värsta fall slår ut våra möjligheter att bedriva en effektiv verksamhet. Vi ser mycket allvarligt på läget."

Det skulle öka mitt förtroende. Att låtsas som att det är något som går att göra på en dag... sänker det rätt rejält - har de verkligen varit så försummande att de utsatt sin verksamhet för så allvarliga risker när det bara tar en dag att fixa!?

lördag 11 juni 2011

Summering OWASP AppSec EU 2011

Sitter då till slut på planet på väg hem från OWASP AppSecEU 2011 och det har blivit dags att summera och känna efter hur vindarna blåste under konferensen.

Jag tyckte mig se två huvuddrag som återkom under flera presentationer.

  1. Det ena har fallit ut från att vi nu kan läsa om allt fler angrepp i mainstream media. Det är angrepp av två typer;
    1. Angrepp som drabbar stora kommersiella aktörer som förmodligen ligger alldeles för lågt i sin säkerhetsnivå, och som nu råkar ut för skador som kostar dem flera hundra miljoner kronor eller till och med miljarder. Detta har gett upphov till att de "högre lagren" i allt fler storbolag nu börjat skruva på sig. Det är en risk de tidigare inte tänkt på, men som de nu inser att den kan kosta stora belopp om den inte hanteras.
    2. Riktade angrepp mot särskilt känsliga mål. De som drabbats av detta tvingas i ökande grad in i insikten att säkerhetsmedvetandet måste vara högt inom hela organisationen, med ansträngningar som riktar sig utöver traditionella skydd så som brandvägg, IDS, antivirus och även det nyare "patcha". Incidenthantering, anomalidetektering och pålitliga, fingranulära mätpunkter är ledstjärnor.

  2. Det andra som jag återkommande sett är ett mognadssteg i HUR vi ska uppnå en högre säkerhetsnivå. Det var ett ämne jag var inne på i en debattartikel redan efter AppSecEU 2009: till stor del har vi det tekniska kunnandet, men vi saknar det övriga runtikring. Vi behöver satsa mycket mer på att sälja och marknadsföra oss mot beslutsfattare och utvecklingsorganisationer som ännu inte "sett ljuset". Vi är i stort behov av metrics och andra enkla sätt att kommunicera till företagsledningen varför IT-risker behöver hanteras. Kommunikationen måste kretsa kring affärsrisk, inte teknisk sårbarhet X. Passande nog var just det här ämnet mycket närvarande både i keynoten som inledde konferensen, och i keynoten som avslutade konferensen.

Sammanfattningsvis tycker jag det har varit kul och givande med ännu en AppSec EU. Nästa år kommer AppSec EU hållas i Aten, under namnet AppSec Research 2012. Tack vare initiativet från vår egen pionjär John Wilander kommer nämligen varannan AppSec EU vara en AppSec Research där den akademiska världen särskilt bjuds in. AppSec Research 2012 går av stapeln den 9-13 juli. Tills dess får vi hålla tillgodo med våra lokala OWASP-kvällar, och kanske ses vi även på SEC-T i höst?

torsdag 9 juni 2011

Bloggande från AppSec EU 2011

Jag sitter för stunden på AppSec EU 2011 i Dublin och kommer blogga om de presentationer jag går på. Men de publiceras inte här, utan på OWASP Sweden bloggen.

Sitter just nu och lyssnar på APT in a Nutshell. Ett ämne väldigt nära cyberkrig.

onsdag 1 juni 2011

F-Secure Antivirus nu tillgängligt även för Mac OS X

Som jag skrev i början av maj har det blivit dags att börja köra antivirus på Mac. F-Secure har varit inne på samma spår ett tag och har nu till slut släppt F-Secure Antivirus till Mac OS X efter att ha observerat ett kraftigt stigande antal infektioner.

Även L-3 drabbade: Kontakta RSA och byt tokens!

Som jag skrev om i måndags så har intrånget hos Lockheed Martin kopplats till RSA:s tvåfaktorsautentisering. Nu kommer det nya uppgifter om att en annan stor leverantör till Pentagon, L-3 Communication, redan i april blev drabbade och pekade ut RSA-intrånget som källa. Ett meddelande som gick ut till alla L-3 anställda den 6 april berättade att:
"L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information" [from the RSA intrusion]

.. och hur svarar RSA på de här nya uppgifterna?

Asked if the RSA intruders did gain the ability to clone SecurID keyfobs, RSA spokeswoman Helen Stefen said, “That’s not something we had commented on and probably never will.”

Det är förstås fullkomligt oförsvarligt. Antingen står RSA rena och skall då klargöra det för att inte tappa miljarder i intäkter. RSA har idag cirka 290 miljoner tokens ute i världen, och det är inte otänkbart att hälften skulle försvinna på grund av utvecklingen vi nu ser. Det är starka motiv att förneka att intrånget hos RSA skulle kunna resultera i sånt här.

Så det ser just nu ut som att RSA faktiskt tappade vital information som gör att deras kunder i högsta grad hamnat i skottgluggen. Att då inte gå ut och säga det, ta ansvar och byta ut alla tokens... är helt enkelt inte ok. Under alla omständigheter jag ser har RSA gjort en serie rejäla misstag och de förtjänar i dagsläget inte någon tillit.

Är du kund till RSA rekommenderar jag att du konfronterar RSA med de här uppgifterna och kräver svar

måndag 30 maj 2011

Intrånget hos Lockheed knutet till RSA SecurID?

Helgen har bjudit på rapporter om att Lockheed Martin, världens största vapentillverkare, har drabbats av en cyberattack. Till skillnad från svensk media har utländsk media varit något mer långtgående i spekulationer om vad som egentligen har hänt. Åtminstone Lockheed Martin själva tycks övertygade om att RSA SecurID är inblandat, och håller på att byta ut samtliga sina tokens. Antingen är Lockheed Martin oroliga över att inkräktaren kommit åt deras seeds genom intrånget hos dem, eller så... är de oroliga över att intrånget hos RSA tidigare i år innebar att vital SecurID data stals.
RSAs sätt att hantera informationen angående intrånget tidigare i våras har tidigare fått kritik från flera håll. Efter att Lockheed Martin nu så tydligt visar att de inte litar på sina tokens längre kan man milt säga att det kommer ge ytterligare konsekvenser för RSA. Vilka vågar lita på sina RSA tokens nu? Och kommer kunderna verkligen våga fortsätta lita på RSA, eller kommer de byta till någon konkurrent? Och om RSA skulle erbjuda nya tokens till alla kunder, vad kostar det RSA? Skulle det innebära att RSA medger att de blev av med frödata?

Positionen verkar omöjlig för RSA och det ser ut som om förluster från intrånget nu kommer klättra upp mot miljardklassen. Precis som Sony och deras Playstation Network. Med den ökande rapporteringen både från privata och offentliga organisationer om intrång och intrångsförsök, och en ökande mängd företag som får känna på ekonomiska konsekvenser i miljardklassen (+ fallande börskurser), så är frågan om tiden nu inte är mogen för att informationssäkerhet ska bli en seriös prioritering i större kretsar än vad det tidigare varit. Vi är många som vet att sårbarheten är stor, och uppenbarligen så har flera antagonistiska aktörer nu fått upp farten i sitt agerande på det.