torsdag 31 maj 2012

Säkerhetsråd till "vanliga användare"

Det senaste dygnet har jag sett två social engineering attacker som båda använder sig av ett en webbadress faktiskt står på det stället man väntar sig, men att innehållet som sedan levereras kommer från angriparen.

Det första, lite mindre nytt, är ett exempel på hur man med social engineering kan utnyttja en XSS-sårbarhet för att få ett skal hos den man angriper. Genom att skicka en reflected-länk lurar man på användaren en java applet från en "pålitlig" sida.

Den andra är det Michal Zalewski som visar hur en användare som går till din sida kan skickas till get.adobe.com, och sedan levereras en flash_updater11.exe som kommer från din site.

Båda de här attackerna är närmare specialiseringar av metoder som redan fungerar på majoriteten av användare. De flesta behöver inte se en fullt korrekt länk till det betrodda stället för att ändå klicka sig vidare och köra all kod som kommer deras väg. Men båda de här attackerna har en bättre chans att fungera på de som ändå kollar lite grann. Kanske på de som har fått råd på vad de ska klicka och inte klicka på för länkar...

Och återigen så syns mönstret. Säkerhetsexperterna kommer med ett råd, som sedan angriparsidan använder till sin egen fördel. Det haussas om antivirus - så då säljs det "antivirus" och diverse antivirusvarningar dyker upp i bannerform. Det haussas om uppdateringar av flash - så då använder sig malwarefolket av du-måste-uppdatera-flash-för-att-se-den-coola-videon.

Allt det här går in i min kampanj Stop hogging the end user! som jag startade i oktober förra året, efter att ha upptäckts MSB:s datorstödda informationssäkerhetsutbildning för användare. Trogna läsare känner igen sig i temat att trasha MSB för att de inte prioriterar riskerna.

Användare ska inte behöva läsa och förstå en tjock bok med "regler" som dessutom sällan stämmer. När råden som ges titt som tätt inte håller måttet så gör användaren rätt i att strunta i det.

Ytterligare känga delar jag nu också ut till PTS, som har lagt upp råd om att ansluta trådlöst på stan. Det är för komplicerade råd, användare förstår inte vad som står där. Den vanlige användaren har ingen bedömningsgrund för om deras brandvägg är "uppdaterad och rätt inställd", lika lite som de har en bedömningsgrund för om deras antivirusprogram är "uppdaterat och rätt inställt".


Oftast är det bästa rådet att helt enkelt ge upp. Det är för krångligt och inte värt ansträngningen. Tänk risk istället för sårbarhet. Och precis rådet att se till risken har även Sean från F-Secure gett i samband med Flame/Skywiper.

Så... chilla lite och fundera igenom det här: vilka fem råd vill du ge den vanliga användaren, som den dessutom kan genomföra utan besvär? Vad gör störst skillnad för minst insats för någon som tror att man startar Internet genom att trycka på det blå E:et?

torsdag 24 maj 2012

TACK för den, Moxie!

Moxie Marlinspike, välkänd från SSL-attacker och verktyg så som sslstrip och sslmitm, har tillsammans med en till snubbe släppt en draft för att komplettera SSL/TLS så att tilliten till CA:s kan minska. De senaste två åren har det ju varit flera omskrivna attacker och misskötsel från CA:s som har eroderat förtroende för SSL, så vi kan vara TACKsamma för Moxie's bidrag till att lösa det här. Tidigare har han bland annat ordat för Convergence.

Vad TACK gör är att lägga till ytterligare ett lager med publik/privat nyckel, där enbart DU och inte någon CA kontrollerar den privata nyckeln. Därav behöver någon kompromettera även TACK-nyckeln för att göra en MITM-attack.

Det har kommit en RFC-draft på en TLS-extension som kan användas för certifikat pinning, något som Google Chrome introducerade för ungefär ett år sedan, och som lustigt nog även låg bakom att intrånget mot Diginotar upptäcktes då någon sannolikt körde just Moxie's verktyg sslmitm i den iranska infrastrukturen.

Så, TACK för det. Får se hur det här slår. Nu finns det i alla fall ett par seriösa alternativ till att enbart förlita sig på CA-systemet.