torsdag 30 juni 2011

Musen som kommer med en bakdörr

Det är alltid lite kul när någon till slut gör en proof-of-concept på vad som tidigare bara varit teorier, eller åtminstone saknat offentliga PoC:s. Ett pen-test företag har nu använt sig av en modifierad mus för att ta sig in på det interna nätverket hos en kund. Musen kom med en flash-drive och en mikrokontroller som 60 sekunder efter inkoppling började sända "tangentbordsnedtryckningar" som körde programvaran på flashdriven. Boom!


Hur försvarar man sig mot något sådant? Enda sättet jag kan komma på är att tänka större än teknik. Stoppa inte in okända USB-prylar i datorn. Praktiskt så är det här en attackvektor som kommer fungera mot förkrossande många, och vi har för stunden dåligt med tekniska lösningar som garanterar säkerhet från angreppen. Närmst kan man komma genom att begränsa vilka USB ID:s som är tillåtna. Ytterligare alternativ är att fysiska begränsa USB-portarna.

tisdag 28 juni 2011

Citibank, 2.7 miljoner dollar stulna och PCI DSS

För ett par veckor sedan tillkännagav Citibank ett intrång i sina system där delar av 360 000 kunders information förlorades. Informationen som stals saknade viktiga detaljer så som CVV-kod och utgångsdatum för kortnummer, men har alltså trots det resulterat i att 2,7 miljoner dollar försvunnit från kundernas kort. Pengar som Citibank naturligtvis nu ersätter.


Det är inte första gången som Citibank råkat ut för intrång. Vad som gjorde mig förbluffad den här gången var dock sättet det gjordes på, och de senaste veckorna har många i min omgivning fått höra mig försöka komma till freds med att en bank ännu år 2011 kan ha såna rudimentära sårbarheter. Det där är liksom inte några avancerade buffer overflows vi pratar om, det är grejer som är så konceptuellt enkla och genomförbara att jag på 2 minuter kan lära min svärfar göra det!

Hur som helst, som min gamla kollega Stefan Pettersson sa så kanske bankerna har tjänat massor på att skita i att ta tag i såna här problem och istället ta eventuella kostnader i efterhand. Vi vet helt enkelt inte. Men det är i det här sammanhanget som kortbolagens sätt att hantera sin ekonomi på blir så intressant.

Sedan ett antal år tillbaka har kortbolagen ett gemensamt regelverk (PCI DSS) för hur informationssäkerheten runt kortnummer skall skötas. Att få alla spelare att leva upp till de kraven är en historia i sig, men för sakens skull kan vi säga att de påtryckningsmedel som används alla syftar till en och samma sak: att kortbolagen ska tjäna pengar och slippa kostnader eller uteblivna inkomster relaterade till dålig säkerhet kring korthantering. Det finns förstås diverse avtal runt ämnet också, och dessa utnyttjas både i förebyggande syfte, och i händelse av en incident.

Kortbolagen ser numera till att om en incident sker som skadar kortbolagen ekonomiskt, så kommer kortbolagen se till att skjuta ner den här kostnaden på den som hade kunnat förhindra incidenten. Genom det så eliminerar kortbolagen en externalitet.

Vad betyder det rent praktiskt för korthanterarnas approach till riskhantering? Jo, att även om det en gång i tiden varit lönsamt för dem att skita i säkerheten, så kommer det nu vara mindre lönsamt för dem om det kommer en incident. Frågan är vad som kommer vara Citibanks största kostnad när räkningen för den senaste incidenten summeras: utredningen, åtgärderna, de stulna pengarna, eller... kortbolagens "böter".

Det är fortfarande möjligt att det är ekonomiskt lönsamt för Citibank att fortsätta på samma väg som tidigare, och då är det något vi som samhälle skall omfamna för det kommer sannolikt vara den bästa vägen för samhället i stort. Det vi ska slå ner på är externaliteter, inte enskilda aktörers brist på säkerhet.

tisdag 21 juni 2011

Intrång hos StartSSL - är nuvarande PKI på väg utför?

Ja, man får väl säga att Google hänger med rätt bra i sina satsningar. Dagen efter Chrome tillkännagett möjligheter till certifikat-pinning så får ännu en betrodd CA intrång i sina system.


Jag skulle vilja framhålla i det här sammanhanget att oavsett om det inte går att ha tillit till alla CAs eller inte, så har det systemet vi har idag ändå ett värde. Visst, tittar man på tunga aktörer så finns det förmodligen möjlighet för dem att ordna sina egna betrodda certifikat. Men tittar man på de webbsajter och hotaktörer som finns ute i världen så tillför ändå nuvarande PKI ett mycket stort värde.

Klart man skulle föredra en effektiv, billig och perfekt lösning som alla kan köra och förlita sig på. Men i brist på det får vi bygga ihop en helhet som är tillräckligt bra för just oss i vår situation.

måndag 20 juni 2011

Kommande säkerhetsfeatures i Chrome

Förra veckan postade Google om några nya säkerhetsfeatures som tillkommer i Chrome framöver.

Den mest nytänkande featuren tycker jag är den här:
Chromium 13: built-in certificate pinning and HSTS
...
As of Chromium 13, all connections to Gmail will be over HTTPS. This includes the initial navigation even if the user types “gmail.com” or “mail.google.com” into the URL bar without an https:// prefix, which defends against sslstrip-type attacks.

The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.

In addition in Chromium 13, only a very small subset of CAs have the authority to vouch for Gmail (and the Google Accounts login page). This can protect against recent incidents where a CA has its authority abused, and generally protects against the proliferation of signing authority.

Tre saker händer alltså:
  1. Gmail kommer bara gå att komma åt via SSL-anslutning oavsett vad. Kommer detta bara vara så för gmail, eller kan man "ansöka" hos Google om att få sin site med på listan? Kanske Paypal vore nice, som för tillfället är inblandat i att stämma Google i ett helt annat ärende?
  2. Självsignerande cert b-gone. Google har säkerligen väldigt bra (och hög) statistik som tydligt visar att användare inte ses som pålitliga i det här avseendet. Yay!
  3. Gmail.com kommer bara acceptera SSL-certifikat från ett mycket litet antal CAs. Jag utgår från att det här är modifierbart på klienten så att även företag som MITM:ar https kan fortsätta göra det. Även det här väcker frågan hur "pinning" av SSL-certs ska skötas långsiktigt.
Rätt så intressant över huvud taget med punkt 3. Det tar i frågan hur pålitliga CAs verkligen är. Det finns idag en stor inbyggd tillit i att de är pålitliga, men som Comodo visade så kan den tilliten vara felplacerad. Vad gör man då? Försöker rätta problemet hos varje CA? Eller gör som Google och minskar angreppsytan och pekar ut att specifikt "de här" CA är de vi kommer använda oss av. Vad händer då om "alla" börjar göra så? Kommer vi få se en utrensning av CAs? Eller spelar det mindre roll vilken CA man går till så länge man stänger ute de flesta - det är ju hur som helst minskad angreppsyta.

Jag skulle säga att Google gör vad de kan med de resurser som finns inom deras direkta kontroll. Och det ska bli intressant att se hur övriga aktörer på Internet nu reagerar på det.

torsdag 16 juni 2011

In it for the Lulz: Vilka bryr sig den här gången?

Den senaste tiden har vi sett flera uppmärksammade angrepp utförda av "Lulz Sec". Dit hör Fox News, Sony, PBS, Amerikanska senaten och nu senast CIA's hemsida.

För mig som är "old like the hills" triggar den senaste attacken förstås minnen av då CIA fick sin hemsida utbytt 1996. I samband med en rättegång mot medlemmar i Swedish Hacker Association defacades sidan som döptes om till Central Stupidity Agency och fick texten "Stop Lying Bo Skarinder" (åklagaren i målet). På den sidan av det glada 90-talet kom en allmän boom i hemside-defacements som sedan klingade av vid millenieskiftet.


Angrepp som detta görs för uppmärksamhetens skull och för att ge underhållning. Men vad som är tänkvärt är att det såhär 15 år senare görs samma sak. Vad kan vi lära oss av det? Förmodligen mycket beroende på vilken aspekt man väljer att titta på. Ett par saker som jag tänker på är att...

  1. IT-säkerheten är fortfarande klart bristfällig överlag.
  2. De som direkt drabbas idag kan få lida betydligt större ekonomiska konsekvenser än på 90-talet.
Punkt 2 är det som kan få punkt 1 att ändra sig. Länder som USA har numera lagar som tvingar fram ekonomiska konsekvenser av en helt annan dignitet än vad samma incident skulle resultera i om angreppet skett i exempelvis Sverige. All mediatäckning som det här ger, kombinerat med kännbara kostnader för de drabbade gör att läget kan förändras.

söndag 12 juni 2011

IMF utsatta för intrång, men har "förstärkt säkerheten" nu.

Internationella valutafonden (IMF) upptäckte i onsdags ett stort intrång i sitt nät ("very major breach"). TT-Reuters har rapporterat en kort notis om det som nu har dykt upp i svensk media, men vill man ha lite till gör man klokt i att googla eller gå till NY Times artikel.

TT-Reuters innehåller uppgifter från lördagen där IMF säger att man nu "förstärkt säkerheten". Yeah, right... Jag hänvisar till mitt tidigare inlägg om intrånget hos fastighetsbolaget i Motala - att signifikant höja säkerhetsnivån görs inte på en dag. Att de har patchat sina klienter så att angripare inte längre kommer in med 2 år gamla flash exploits imponerar inte.

Jag skulle någon gång vilja höra en ansvarig person säga något i stil med det här:

"Vi blev tagna på sängen av det här. Vi har inte spenderat så mycket tanke eller resurser på de här frågorna för vi har aldrig haft några problem med det tidigare. Men efter det här måste vi naturligtvis se över situationen, vi förstår att även vi kan utsättas för angrepp som i värsta fall slår ut våra möjligheter att bedriva en effektiv verksamhet. Vi ser mycket allvarligt på läget."

Det skulle öka mitt förtroende. Att låtsas som att det är något som går att göra på en dag... sänker det rätt rejält - har de verkligen varit så försummande att de utsatt sin verksamhet för så allvarliga risker när det bara tar en dag att fixa!?

lördag 11 juni 2011

Summering OWASP AppSec EU 2011

Sitter då till slut på planet på väg hem från OWASP AppSecEU 2011 och det har blivit dags att summera och känna efter hur vindarna blåste under konferensen.

Jag tyckte mig se två huvuddrag som återkom under flera presentationer.

  1. Det ena har fallit ut från att vi nu kan läsa om allt fler angrepp i mainstream media. Det är angrepp av två typer;
    1. Angrepp som drabbar stora kommersiella aktörer som förmodligen ligger alldeles för lågt i sin säkerhetsnivå, och som nu råkar ut för skador som kostar dem flera hundra miljoner kronor eller till och med miljarder. Detta har gett upphov till att de "högre lagren" i allt fler storbolag nu börjat skruva på sig. Det är en risk de tidigare inte tänkt på, men som de nu inser att den kan kosta stora belopp om den inte hanteras.
    2. Riktade angrepp mot särskilt känsliga mål. De som drabbats av detta tvingas i ökande grad in i insikten att säkerhetsmedvetandet måste vara högt inom hela organisationen, med ansträngningar som riktar sig utöver traditionella skydd så som brandvägg, IDS, antivirus och även det nyare "patcha". Incidenthantering, anomalidetektering och pålitliga, fingranulära mätpunkter är ledstjärnor.

  2. Det andra som jag återkommande sett är ett mognadssteg i HUR vi ska uppnå en högre säkerhetsnivå. Det var ett ämne jag var inne på i en debattartikel redan efter AppSecEU 2009: till stor del har vi det tekniska kunnandet, men vi saknar det övriga runtikring. Vi behöver satsa mycket mer på att sälja och marknadsföra oss mot beslutsfattare och utvecklingsorganisationer som ännu inte "sett ljuset". Vi är i stort behov av metrics och andra enkla sätt att kommunicera till företagsledningen varför IT-risker behöver hanteras. Kommunikationen måste kretsa kring affärsrisk, inte teknisk sårbarhet X. Passande nog var just det här ämnet mycket närvarande både i keynoten som inledde konferensen, och i keynoten som avslutade konferensen.

Sammanfattningsvis tycker jag det har varit kul och givande med ännu en AppSec EU. Nästa år kommer AppSec EU hållas i Aten, under namnet AppSec Research 2012. Tack vare initiativet från vår egen pionjär John Wilander kommer nämligen varannan AppSec EU vara en AppSec Research där den akademiska världen särskilt bjuds in. AppSec Research 2012 går av stapeln den 9-13 juli. Tills dess får vi hålla tillgodo med våra lokala OWASP-kvällar, och kanske ses vi även på SEC-T i höst?

torsdag 9 juni 2011

Bloggande från AppSec EU 2011

Jag sitter för stunden på AppSec EU 2011 i Dublin och kommer blogga om de presentationer jag går på. Men de publiceras inte här, utan på OWASP Sweden bloggen.

Sitter just nu och lyssnar på APT in a Nutshell. Ett ämne väldigt nära cyberkrig.

onsdag 1 juni 2011

F-Secure Antivirus nu tillgängligt även för Mac OS X

Som jag skrev i början av maj har det blivit dags att börja köra antivirus på Mac. F-Secure har varit inne på samma spår ett tag och har nu till slut släppt F-Secure Antivirus till Mac OS X efter att ha observerat ett kraftigt stigande antal infektioner.

Även L-3 drabbade: Kontakta RSA och byt tokens!

Som jag skrev om i måndags så har intrånget hos Lockheed Martin kopplats till RSA:s tvåfaktorsautentisering. Nu kommer det nya uppgifter om att en annan stor leverantör till Pentagon, L-3 Communication, redan i april blev drabbade och pekade ut RSA-intrånget som källa. Ett meddelande som gick ut till alla L-3 anställda den 6 april berättade att:
"L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information" [from the RSA intrusion]

.. och hur svarar RSA på de här nya uppgifterna?

Asked if the RSA intruders did gain the ability to clone SecurID keyfobs, RSA spokeswoman Helen Stefen said, “That’s not something we had commented on and probably never will.”

Det är förstås fullkomligt oförsvarligt. Antingen står RSA rena och skall då klargöra det för att inte tappa miljarder i intäkter. RSA har idag cirka 290 miljoner tokens ute i världen, och det är inte otänkbart att hälften skulle försvinna på grund av utvecklingen vi nu ser. Det är starka motiv att förneka att intrånget hos RSA skulle kunna resultera i sånt här.

Så det ser just nu ut som att RSA faktiskt tappade vital information som gör att deras kunder i högsta grad hamnat i skottgluggen. Att då inte gå ut och säga det, ta ansvar och byta ut alla tokens... är helt enkelt inte ok. Under alla omständigheter jag ser har RSA gjort en serie rejäla misstag och de förtjänar i dagsläget inte någon tillit.

Är du kund till RSA rekommenderar jag att du konfronterar RSA med de här uppgifterna och kräver svar