Kategoriarkiv: Internet

Bra kryptorekommendationer från Cisco

Cisco har lagt upp en artikel om olika kryptoalgoritmer och vad Csisco rekommenderar sina kunder att använda i dag och för framtiden. Den här tabellen ger en bra sammanfattning över vilka algoritmer Cisco ser att man bör använda, vilka man ska fasa ut och vilka att undvika:

Ciscos tabell över algoritmer.
Ciscos tabell över algoritmer.

I sin artikel introducerar Cisco begreppet Next Generation Encryption (NGE). Ciscos definition av NGE är:

NGE offers the best technologies for future-proof cryptography and it is setting the industry trend. These are the best standards that one can implement today if the goal is to meet the security and scalability requirements 10 years hence or to interoperate with the cryptography that will be deployed in that timescale.

The algorithms that comprise NGE are the result of more than 30 years of global advancement and evolution in the area of cryptography. Each constituent component of NGE has its own history, depicting the diverse history of the NGE algorithms as well as their long-standing academic and community review. For instance, AES was given its name by the U.S. National Institute of Standards and Technology (NIST), but AES was not created by NIST. AES was originally called Rijndael and was created by two Belgian cryptographers. Additionally, ECDSA and ECDH have had fundamental contributions made to their creation by cryptographers from around the world, including Japan, Canada, and the United States. In the end, NGE is composed of globally created, globally reviewed, and publicly available algorithms.

The U.S. National Security Agency (NSA) has also identified a set of cryptographic algorithms that, when used together, are the preferred method for assuring the security and integrity of information passed over public networks such as the Internet. The NSA called the set of algorithms Suite B. The algorithms in Suite B are the same algorithms used in NGE. Additionally, integrated into IETF standards, NGE algorithms make it easier to collaborate in environments where costs or logistics traditionally hindered information sharing.

Ciscos NGE-svit innehåller inga egentliga alternativa algoritmer, utan bara en av varje typ. Jag ser att man nog bör vara öppen för att ha i alla fall en reservalgoritm. Men grundrekommendationerna är bra, speciellt att dom pekar ut vad man bör fasa ut och vad det är hög tid att sluta använda.

Ciscos artikel innehåller även bra info om konfiguration av algoritmerna så att man undviker en del fallgropar. Ansvarar du för IT-säkerhet och/eller konfiguration av ex IPsec/VPN är Ciscos artikel väl värd att lägga några minuter på.

Skräprobotornas växande intelligens

Kollar snabbt igenom kommentarer här på bloggen som markerats som skräppost och blir nästan lite impad över vilken intelligens robotarna som postar börjar uppvisa. Här är ett klipp från en postning:

Utdrag ur skräppost
Utdrag ur skräppost

Visst, troligen är texten plockad från en annan webbplats och inte helt generererad. Men det är ändå imponerande att dom lyckas plocka ut som ser relativt relevant ut för den givna målwebbplatsen. De användare som postar den här typen av information har ofta någorlunda trovärdiga namn. Däremot pekar deras info alltid tillbaka på direkta adresser:

Exempel på användare som postar skräppost
Exempel på användare som postar skräppost

Det är en ständigt pågående utveckling av robotar och skydd. Vore hemskt om det som gjorde att singulariteten inträffar är spam-robotar…

Dags att boka in Sec-T 2012

Svenska säkerhetskonferensen Sec-T, som är inne på sitt femte år, är planerad till den 13-14 September.

Sec-T-logga

Arrangörerna har lagt upp förfrågan om presentationer (call for papers – CFP) och söker intressanta presentationer som belyser saker som:

  • Interesting or new vulnerability research
  • Novel defensive technology or architecture
  • Neat hardware hacks and funny broken products
  • Analysis of protocols and/or wireless mode

Som vanligt finns det även en utmaning att bita i. I år är presentationen av utmaningen lite speciell:

Pensionsmyndighetens fortsatta problem med robothandel

Jag har i några inlägg (inlägg ett och inlägg två) skrivit om nur Pensionsmyndigheten försökt stoppa robothandel genom att välja en extern, teknisk lösning. I inläggen pekade jag på vad som verkar vara en dålig säkerhetsanalys från myndighetens sida lett till ett dåligt val av teknisk lösning. Jag förutspådde att myndigheten skulle hamna i teknisk kapprustning. Nu verkar det ha hänt.

I en artikel i DN beskrivs bland annat de problem myndigheten har med vad man bedömer är robothandel. Myndighetens chefsjurist Thomas Norling intervjuas om problemen:

Pensionsmyndigheten är ingen tillsynsmyndighet och kan inte agera på egen hand. Det gäller också det bolag som, enligt myndigheten, nyligen lyckades kringgå förbudet mot massfondbyten.

– De hävdar att de gjort bytena manuellt men eftersom man på kort tid gjorde 65.000 byten för 300 miljoner tror vi inte på det. Men vi har inga egna muskler. Därför har jag vänt mig till Finansinspektionen och Datainspektionen för att se om de kan vidta några åtgärder.

Som jag visade i andra inlägget är det inga problem att för en billig peng köpa stora mängder datortjänster där det faktiskt sitter en människa (mechanical turk) och löser den utmaning (CAPTCHA) som Pensionsmyndigheten använder. För 65000 byten skulle kostnaden maximalt röra sig om 65 USD, mindre än så. Dvs inte ens ett öre per transaktion. Att man tar betalt i buntar om 1000 CAPTCHAs visar att 65000 stycken knappast är en i sammhanget stor mängd.

I artikeln pekar man på risken för kapprustning, men tänker sig att det fortfarande är inloggning som ska begränsas:

Risken är att man får en teknisk kapprustning och att det till slut landar i att man bara kan byta fonder men hjälp av e-legitimation.

– Då riskerar de att ha dödat en hel bransch.

Jag anser att rätt lösning är att inte försöka spärra för vilka verktyg som används vid en inloggning (människa eller dator). Istället ska begränsningen läggas i antalet transaktioner. En sådan mekanism kan myndigheten styra över själv, är enkel att övervaka och kontrollera och ger inte samma bieffekt som dagens lösning.

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

Nu startar Stanfords kryptokurs

I går dök det upp ett mail som berättade att Stanfords kryptokurs äntligen börjar. Jag skrev lite kort om kursen i november förra året, och enligt den information som då fanns skulle kursen startat i Januari. Men det har varit ett antal förseningar. Men nu är det dags! Jag har anmält mig (igen) och börjat titta igenom vad som finns.

Just nu finns första föreläsningen upplagd. Det material som finns är inspelade föreläsningar och presentationer med de bilder som visas på föreläsningen. Det finns även ett antal problem att lösa/frågor att besvara för att visa att man förstått materialet. Slutligen finns det ett diskussionforum där det redan är full fart.

När jag säger att det är bilderna från föreläsningen som finns att ladda ner så är det precis så. Under föreläsningen ritar föreläsaren Dan Boneh i presentationen för att markera vad han menar. Så här ser det exempelvis ut i introduktionen av kursen:

Målsättningen med Stanfords kryptokurs
Målsättningen med Stanfords kryptokurs

Tyvärr blir ritandet lite kryptiskt och rätt svårläst – man får nästan titta på föreläsningen för att begripa vad det står. Se exempelvis den här bilden:

Hur OTP fungerar- med ritade kommentarer
Hur OTP fungerar- med ritade kommentarer

Men innehållsmässigt ser det väldigt bra och matnyttigt ut – det här är seriös kurs som kommer att bli både spännande och utmanande att genomföra. Har du inte anmält dig är det inga problem att hänga på. Det är bara att registrera sig på sidan och börja studera materialet.

Tyvärr kom det även ett mail från Stanford som betättade att den kurs i IT-säkerhet som skulle starta samtidigt som kryptokursen är framskjuten på obestämt tid. Men det kanske räcker med en kurs i taget?

DMARC – nytt initiativ för att skydda mot domänförfalskning

Googles Gmailblog finns en beskrivning av ett nytt initiativ mot domänförfalskning (domain spoofing) kallar DMARC. Vid spam och annan icke önskvärd epost är det vanligt att mailen skickas från falska domännamn. Flera olika tekniker har sedan tidigare tagits fram för att stoppa detta – exempelvis Sender Policy Framework (SPF) DomainKeys Identified Mail (DKIM).

Domain-based Message Authentication, Reporting and Conformance (DMARC) bygger vidare på SPF och DKIM genom att tillföra en mekanism för organisationer i sina mail att tala om hur dom autenticerar sina mail och hur mail skall hanteras om autenticeringen inte är korrekt. Bland annat ger DMARC en möjlighet för mottagare att rapportera tillbaka till sändaren om den får mail som den inte litar på. En organisation som använder DMARC använder DNS för att berätta om hur dom avser att autenticera sin domän och policy för att hantera felaktiga mail. Exempelvis kan det se ut så här:

% dig +short TXT _dmarc.example.com.
”v=DMARC1\; p=none\; rua=mailto:dmarc-feedback@example.com\;
ruf=mailto:auth-reports@example.com”

Det finns en organisation skapad för att utveckla och marknadsföra DMARC skapad av bland annat Google. Ett av organisationens mål är att via IETF standardisera DMARC. Enligt organisationen används DMARC redan i dag, bland annat av Gmail, Facebook, LinkedIn och PayPal. På organisationens webbplats finns även specifikationen för DMARC om man vill titta närmare på hur det fungerar.

Jag lyckas dock inte hitta DMARC-policyn för Gmail/Google – bara att dom vill använda SPF. Vidare får jag inte organisationens webbplats, dmarc.org att svara på HTTPS (säker webbaccess). Och domänen dmarc.org verkar inte använda DNSSEC…

10000 industriella kontrollsystem kopplade till Internet

Ett argument som ofta framförs när det gäller säkerhet för industriella kontrollsystem (på engelska ofta kallade ICS och SCADA) är att det inte finns några riktiga problem, detta för att systemen är isolerade och inte är kopplade till externa nätverk – exempelvis till Internet. Populära isolerande skyddmetoder är så kallade luftgap (på engelska air gap) samt datadioder. Med luftgap avses att det inte finns någon elektrisk förbindelse mellan kontrollsystemets nätverk och andra nätverk. Med datadioder avses mekanismer som gör att  trafiken i nätverket bara kan flöda åt ett håll.

Datadiod

Figuren visar hur en datadiod är tänkt att figuren. Notera att figuren egentligen är åt fel håll. Detta för att datadioder används för att isolera system som hanterar känslig information och där vill man inte att information ska läcka ut. I ett kontrollsystem är det oftast precis tvärt om som är intressant. Det går att skicka över mätdata från kontrollsystemet, men det går inte att skicka styrkommandon till kontrollsystemet. Leverantörer av industriella säkerhetssystem kräver ofta att deras utrustning ska skyddas genom isolering. Men hur fungerar det i verkligheten, och är detta egentligen bra och robusta metoder att hantera säkerhetsproblem?

Wireds säkerhetsblogg Threat Level rapporterar om resultat som säkerhetsforskaren Eireann P. Leverett nyligen presenterade som visar att det finns industriella kontrollsystem kopplade till Internet, mer exakt har Leverett hittat fler än 10000 stycken! Genom att använda nätverksscannern Shodan har Leverett letat efter kända industriella ontrollsystem, och även kunnat identifiera vilka versioner av system som används. Leverett har sedan mappat dessa i en fin graf över världen som visar var systemet finns:

Everetts graf som visar var olika industriella kontrollsystem finns och deras svagheter.
ICS med versioner och dess svagheter.

Av de system Everett hittade visade sig bara 17% över huvud taget använda någon form av enklare accesskontroll, exempelvis lösenord! Undersökningen är en del av den avhandling Everett arbetat med och för den som vill veta mer om Everetts undersökning finns hans avhandling Quantitatively Assessing and Visualising Industrial System Attack Surfaces hos Wired.

Jag anser att resultaten Everett presenterat visar att bara använda isolering som enda säkerhetsmetod för sitt industriella kontrollsystem inte ger ett adekvat skydd. I stora, komplexa kontrollsystem med tusentals mät- och styrnoder finns det stor risk att effektivisering, krav på snabb problemlösning, underhåll utfört av tredje part eller misstag leder till att hela eller delar av systemet kan exponeras mot omvärlden under kortare eller längre tid. Någon kopplar in ett GSM-router för att kunna övervaka en nod som sitter taskigt till rent fysiskt. En leverantör behöver möjlighet att få diagnostik. En del av systemet kopplas temporärt in på kontorsnätet. I dag är det inte heller nyfikna personer som sitter och för hand letar efter märkliga maskiner på Internet. Istället är det robotar, automatiska scannerverktyg som Shodan som periodiskt scannar av Internet. Risken att det exponerade systemet blir upptäckt är därför mycket större än man kanske tror.

Istället bör man räkna med att sitt industriella kontrollsystem kommer att kunna exponeras på olika sätt och börja ställa krav på säkerheten hos de noder och maskiner som är inkopplade i nätet. Att använda isolering är bra, men det bör kompletteras med säkerhet på djupet. Och om det nu finns kommunikationskanaler ut ska dom självklart använda vettiga autenticeringsmekanismer. Att 87% av de system Everett hittade inte ens har lösenordsskydd är väldigt skrämmande.

För den som ändå tror på isolering som fungerande metod bör studera Stuxnet-attacken. Där var kontrollsystemet isolerat. Men det som inträffade var att någon, avsiktligt eller oavsiktligt kopplade in ett USB-minne eller laptop och därmed infekterade systemen innanför luftgapet. Att tekniker tar med sig mätverktyg, laptops när dom ska lösa problem och kopplar in dessa i systemet borde knappast vara otänkbart scenario. Självklart ska det ställas krav på utrustningen som kopplas in, exempelvis uppdaterat virusskydd, men säkerheten måste även finnas inne i kontrollsystemet.

Prestandatester av hashfunktioner

Den senaste tiden har jag tittat en del på prestanda och beteende hos olika kryptografiska hashfunktioner. OpenSSL innehåller funktioner och kommandon (kommandot speed) för att utföra prestandatester på den plattform dom körs. Maskinen jag kör på är utrustad med en 2.7 GHz Intel Core i7 och kör ett 64-bitars operativsystem. Den testade versionen av OpenSSL är 0.9.8r. När jag testar på min huvudmaskin får jag följande resultat:

Resultat från prestandatest av OpenSSL
Resultat från prestandatest av OpenSSL

Som förväntat är MD5 snabbast, tätt följt av SHA-1. Men en sak värd att lägga märke till är prestandan för SHA-2-funktionerna SHA-256 och SHA-512. För alla andra testfall än 16 Bytes data är SHA-512 snabbare. Detta kan tyckas underligt, om man tänker sig att göra avvägning mellan prestanda och säkerhet – att SHA-512 ger högre säkerhet till priset av prestanda. SHA-512 utför även 80 iterationer för att bearbeta ett datablock, och SHA-256 bara 64 iterationer. Men SHA-512 använder 64-bitarsoperationer och arbetar på större block än SHA-256 – 128 Bytes kontra 64 Bytes. Detta gör att SHA-512 på en maskin som min blir effektivare.

NIST, organisationen som specificerat SHA-2 (och SHA-1 samt arbetar med att ta fram SHA-3) har insett detta och presenterade i början av 2011 en ny version av specifikationen FIPS 180. Detta dokument specificerar SHA-1 och SHA-2. I den nya versionen finns det två nya funktioner – SHA-512/224 och SHA-512/256. Precis som SHA-384 är dessa funktioner SHA-512, men där det genererade hashvärdet kapas av till den bitstorlek som önskas. Använder du SHA-256 och har prestandaproblem kan det därför vara värt att titta SHA-512/256 på dessa funktioner.

Notera att SHA-384, SHA-512/224 och SHA-512/256 inte är exakt samma funktion som SHA-512. Det som skiljer är initialvärdena i interntillståndet. Dvs att implementera SHA-512/256 kräver lite mer än att köra med SHA-512 och kasta bort den högra halvan av hashvärdet. Koden i implementationen måste ändras, om än i liten grad.

För den som vill titta närmare på prestandan hos många olika hashfunktioner inklusive finalisterna i SHA-3-tävlingen finns det massor med data hos EU-projektet eBASH.

Kostnaden för att knäcka CAPTCHAs

För en vecka sedan skrev jag om Pensionsmyndighetens beslut att införa en teknisk lösning kallad CAPTCHA för att stoppa robothandel. Det jag försökte visa var att det problem myndigheten sade sig ha inte är en bra lösning – en CAPTCHA stoppar inte datorer, samtidigt som den valda lösningen försvårar för mänskliga användare och slår ut bra tjänster.

reCAPTCHA
reCAPTCHA

En metod för att forcera CAPTCHAs myndigheten öppnar upp sig för som jag beskrev är att använda människor som stödfunktion för datorer. Jag fick efter min postning frågor om hur realistiskt det är  – om det går att göra och om det inte kostar för mycket. Som tur postade Boingboing en artikel om tjänster där människor används för att attackera CAPTCHAs. Och där finns det bra prisinformation. Artikeln handlar om ett ryskt företag, KolotiBablo som kopplar samman arbetare med applikationer som behöver knäcka CAPTCHAs:

Paying clients interface with the service at antigate.com, a site hosted on the same server as kolotibablo.com. Antigate charges clients 70 cents to $1 for each batch of 1,000 CAPTCHAs solved, with the price influenced heavily by volume. KolotiBablo says employees can expect to earn between $0.35 to $1 for every thousand CAPTCHAs they solve.

Dvs maximalt en tusendels dollar för en CAPTCHA. KolotiBablo är lång ifrån den enda tjänsten. Tjänsten med det vackra namnet Deathbycaptcha tar 1.39 USD för 1000 CAPTCHAS och redovisar dessutom lite statistik för sin tjänst. Medeltiden att knäcka en CAPTCHA är 17 sekunder och har 90% chans att lyckas.

För den som vill läsa mer om KolotiBablo finns mer i en artikel om företaget och dess tjänster hos KrebsonSecurity (en artikel som Boingboing pekar på). Det finns även en bra forskningsartikel som tittar närmare på ekonomin för att knäcka CAPTCHAs, en artikel väl värd att läsa om du vill förstå hur denna marknad fungerar.