Kategoriarkiv: IT-brott

Bruce Schneier om faran med NSAs bakdörrar

Bruce Schneier har skrivit en mycket bra krönika om faran med att NSA (och andra myndigheter) letar efter svagheter i civila system i avsikt att kunna hacka systemet samt tvinga in bakdörrar i civila system. Artikeln formulerar mycket bra det som gör mig och många andra i säkerhetsbranschen så upprörda. Agerandet bryter inte bara den upparbetade metod för att hitta och eliminera svagheter som finns, utan gör det civila samhället svagare.

Wired gräver efter Bitcoins med hårdvara

(Uppdaterad med länk till artikel om KNCminer.)

I en kommentar till en tidigare postning om bitcoins pekade Robert Andersson på en artikel hos Wired. Wired testar just nu en dedikerad Bitcoin-grävare från Butterfly Labs.

Butterfly Labs Bitcoin-grävare
Butterfly Labs Bitcoin-grävare. En snygg liten maskin.

I artikeln sätter Wired fingret på ett viktigt fenomen med Bitcoin – att det blir svårare och svårare att gräva efter bitcoins. I början räckte det med en vanlig dator. I dag krävs det massiva system av datorer, helst utrustade med kraftiga grafikprocessorer.

Därmed går kostnaden för att gräva upp – både att anskaffa utrustningen och att driva utrustningen, i första hand energiförbrukning. Ett sätt att minska den rörliga kostnaden är att använda allt mer effektiv, dvs specialiserad hårdvara. Det finns i dag både FPGA- och ASIC-baserade bitcoingrävare (Wireds maskin från Butterfly Labs är en sådan maskin). Gizmodo har en artikel som visar lite hur Bitcoin-utrustningen har utvecklats på några få år. Den här gamla utrustningen är inte längre speciellt konkurrenskraftig:

Galet stor Bitcoinmaskin
En system för att gräva Bitcoins som borde ge sysadmin magsår.

Några som håller på och utvecklar FPGA-baserade bitcoingrävare är svenska KnCMiner. Daniel Goldberg och Linus Larsson har skrivit en mycket intressant om KnCMiner och deras maskiner.

Men vad göra för att vara mer effektiv än system med specialiserade Bitcoin ASIC:ar? Lägga kostnaden på någon annan. Tyvärr börjar det dyka upp flera tecken på att Botnets används även för att gräva efter Bitcoins. Tidigare i år fick ett Botnet kallat ZeroAccess gräver efter Bitcoins med hjälp kapade datorer. En synnerligen tråkig om än egentligen inte oväntad utveckling med Bitcoins.

Sedan påpekar Wired och Robert att hela systemet med Bitcoins bygger på säkerheten hos hashfunktionen SHA-256. Och så är det, om vi snabbt kan forcera SHA-256 kommer Bitcoin-systemet att kollapsa. Men då har vi troligen större problem med den digitala säkerheten i vårt samhälle och på Internet än att en digital valuta faller samman.

MSB rapporterar trenderna inom informationssäkerhet 2012

MSB – Myndigheten för samhällsskydd och beredskap har gett ut en trendrapport – samhällets informationssäkerhet 2012. Rapporten tittar på olika trender inom användning av IT-system samt olika typer av IT-problem och hur användningen och problemen tillsammans påverkar samhället.

En trend rapporten uppmärksammar är ökad mobilitet i form av smartphones och hur personer och organisationer i allt högre grad använder smarta mobiler och surfplattor både privat och i jobbet. Bring Your Own Devices – att använda sina privata ställer kan ge nya typer av problem och ställer nya krav på hur organisationer hanterar sin information och sina IT-system.

En annan stor trend (som dock pågått längre tid) är mot ökad centralisering och outsourcing av IT-drift och att använda IT-funktioner i verksamheten som inte bygger på lokalt installerade program, utan är tjänster placerade någon helt annan stans i världen med åtkomst via Internet. Ett exempel på detta (som dock inte rapporten pekar på) är Salems kommun som övergick till att använda Google Apps, vilket Datainspektionen såg bröt mot lagen.

MSBs rapport tar även upp saker som spam (som minskat rejält), ökad mängd trojaner, hur IT för tekniska system och industrisystem växer, den ökande användningen av sociala medier även inom offentlig förvaltning. Rapporten innehåller även några fallbeskrivningar inklusive en reflektion över vad fallen innebär trendmässigt.

Är du intresserad av informationssäkerhet och inte minst hur IT-användning och informationssäkerhet påverkar samhällets utveckling är MSBs rapport väl värd att lägga en stund på att läsa.

Skräprobotornas växande intelligens

Kollar snabbt igenom kommentarer här på bloggen som markerats som skräppost och blir nästan lite impad över vilken intelligens robotarna som postar börjar uppvisa. Här är ett klipp från en postning:

Utdrag ur skräppost
Utdrag ur skräppost

Visst, troligen är texten plockad från en annan webbplats och inte helt generererad. Men det är ändå imponerande att dom lyckas plocka ut som ser relativt relevant ut för den givna målwebbplatsen. De användare som postar den här typen av information har ofta någorlunda trovärdiga namn. Däremot pekar deras info alltid tillbaka på direkta adresser:

Exempel på användare som postar skräppost
Exempel på användare som postar skräppost

Det är en ständigt pågående utveckling av robotar och skydd. Vore hemskt om det som gjorde att singulariteten inträffar är spam-robotar…

Skrämmande snygg kortskimmer

Krebsonsecurity har lagt upp bilder på en kortskimmer som hittats på en bankomat i USA. Skimmern är en helt integrerad lösning som placeras ovanpå bankomatens normala kortlucka.

Skimmern sedd framifrån. Ser seriös ut.
Skimmern sedd framifrån. Ser seriös ut.

Vänder man på skimmern ser man hur den innehåller en läsare för kortets magnetremsa, logik och minne för att genomföra läsningen när kortet passerar och lagra kortets information. Dessutom inkluderar skimmern ett batteri, och kanske mest imponerande en liten hålkamera.

Skimmern sedd bakifrån. Notera läsare, batteri och logik.
Skimmern sedd bakifrån. Notera läsare, batteri och logik.

Kameran sitter på ena kanten av hålet och lyckas tydligen fånga bilder på tangentbordet när PIN-koden slås in. Hålet för kameran är i stort sett omöjligt att se framifrån (jämför med första bilden).

Skimmern sedd från sidan så att kamerans hål syns bättre.
Skimmern sedd från sidan så att kamerans hål syns bättre.

Den här maskinen är antagligen väldigt anpassad till en specifik bankomat där dess fysiska utseende ska se trovärdig ut och inte störa funktionen. För andra automater behöver den anpassas, och i dag är många automater försedda med spikar och liknande för att försvåra att sätta på en skimmer. Men utveckling av skydd och attacker är ett pågående krig och den här skimmern, med imponerande kompakt och väldigt, väldigt skrämmande konstruktion visar hur avancerad denna typ av ekonomisk, elektronisk brottslighet är.

(Fråga: Finns det ett bättre ord på svenska för den här typen av utrustning? Kortläsare känns för generellt.)

Känn din fiende

När jag är ute och pratar försöker jag förklara vikten av att försöka bedöma vem som utgör hotet mot ditt system, produkt eller tjänst – att känna sin fiende. Det kan finnas flera olika fiender. Det kan även vara så att din fiende inte är direkt ute efter dig, utan du är en del av fiendens målgrupp.

Poängen med att försöka bedöma vem som är fiende handlar om att olika typer av fiender har olika typer av resurser till sitt förfogande. Olika fiender är dessutom ute efter olika saker och har olika sätt att komma över dina tillgångar. Men när du ska skydda dina tillgångar gäller det att välja skydd som möter hotbilden från olika fiender. Att välja fel skydd är att kasta pengar i sjön och ger inte det skydd du behöver.

En som pratar mycket bra om detta är Mikko Hypponen. Hans presentation från #Days tidigare i år är väl värd att titta på.

Notera dom olika hotbilderna och deras olika incitament för att ta över eller påverka ett system.

Hur man skyddar sig mot olika hot varierar. Ett företag som aktivt arbetar med att ta reda på vem fienden är, är Mandiant. NPR skriver om hur Mandiant aktivt letar efter de som försöker komma in i Mandiants kunders system och sedan försöka få tag på dessa personer.

Peter Forsman på .SE skriver i dag i en krönika om ett annat hot, piratkopierarna – företag som gör kloner av andras produkter och därmed äter upp marginalerna. Bra krönika som beskriver problemet och vad du ska tänka på för att lättare undvika problem om du handlar på nätet.

Slutligen. För den som vill förstå hur en typ av fiende agerar, den som är ute efter att stjäla kreditkort, inloggning på bank för att sälja, finns en helt fantastisk tråd på Reddit. Tråden är en intervju med It-skurken throwaway236236, som berättar hur han skapar och underhåller sitt botnet med maskiner samt hur han tjänar pengar på att sälja andra personers information.

Och om du efter detta tror att det stora hotet är en tonåring som skriver virus för att busa är det dags att tänka om. Ordentligt.

Referat från föredrag på SEE 2012

Elektroniktidingen har publicerat en artikel om Secworks föredrag på SEE 2012 förra veckan.

Secworks Joachim Strömbergson pratar på SEE 2012.
Secworks Joachim Strömbergson pratar på SEE 2012.

Poängen vi i presentationen försöker göra är att säkerhet är en stödfunktion avsedd att skydda den affär som är kopplad till ett inbyggt system. För att få få fram den säkerhet affären kräver gäller det att identifiera vad i affären som måste skyddas, mot vem (fiende, motståndare) skyddet ska hålla och under vilka förutsättningar skyddet fungerar. Efter detta går det att identifiera komponenter och tekniker för att skapa detta skydd. Och till sist, inte glömma bort att verifiera att man verkligen fick det skydd som affären krävde.

Gör man inte på detta sätt riskerar man att få ett skydd för fel sak, skydd mot en annan motståndare och ett skydd som inte fungerar. Ett sådant skydd är förhoppningsvis bara onödigt dyrt och onödigt, men kan i värsta fall hota din affär och verksamhet.

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

DMARC – nytt initiativ för att skydda mot domänförfalskning

Googles Gmailblog finns en beskrivning av ett nytt initiativ mot domänförfalskning (domain spoofing) kallar DMARC. Vid spam och annan icke önskvärd epost är det vanligt att mailen skickas från falska domännamn. Flera olika tekniker har sedan tidigare tagits fram för att stoppa detta – exempelvis Sender Policy Framework (SPF) DomainKeys Identified Mail (DKIM).

Domain-based Message Authentication, Reporting and Conformance (DMARC) bygger vidare på SPF och DKIM genom att tillföra en mekanism för organisationer i sina mail att tala om hur dom autenticerar sina mail och hur mail skall hanteras om autenticeringen inte är korrekt. Bland annat ger DMARC en möjlighet för mottagare att rapportera tillbaka till sändaren om den får mail som den inte litar på. En organisation som använder DMARC använder DNS för att berätta om hur dom avser att autenticera sin domän och policy för att hantera felaktiga mail. Exempelvis kan det se ut så här:

% dig +short TXT _dmarc.example.com.
”v=DMARC1\; p=none\; rua=mailto:dmarc-feedback@example.com\;
ruf=mailto:auth-reports@example.com”

Det finns en organisation skapad för att utveckla och marknadsföra DMARC skapad av bland annat Google. Ett av organisationens mål är att via IETF standardisera DMARC. Enligt organisationen används DMARC redan i dag, bland annat av Gmail, Facebook, LinkedIn och PayPal. På organisationens webbplats finns även specifikationen för DMARC om man vill titta närmare på hur det fungerar.

Jag lyckas dock inte hitta DMARC-policyn för Gmail/Google – bara att dom vill använda SPF. Vidare får jag inte organisationens webbplats, dmarc.org att svara på HTTPS (säker webbaccess). Och domänen dmarc.org verkar inte använda DNSSEC…

10000 industriella kontrollsystem kopplade till Internet

Ett argument som ofta framförs när det gäller säkerhet för industriella kontrollsystem (på engelska ofta kallade ICS och SCADA) är att det inte finns några riktiga problem, detta för att systemen är isolerade och inte är kopplade till externa nätverk – exempelvis till Internet. Populära isolerande skyddmetoder är så kallade luftgap (på engelska air gap) samt datadioder. Med luftgap avses att det inte finns någon elektrisk förbindelse mellan kontrollsystemets nätverk och andra nätverk. Med datadioder avses mekanismer som gör att  trafiken i nätverket bara kan flöda åt ett håll.

Datadiod

Figuren visar hur en datadiod är tänkt att figuren. Notera att figuren egentligen är åt fel håll. Detta för att datadioder används för att isolera system som hanterar känslig information och där vill man inte att information ska läcka ut. I ett kontrollsystem är det oftast precis tvärt om som är intressant. Det går att skicka över mätdata från kontrollsystemet, men det går inte att skicka styrkommandon till kontrollsystemet. Leverantörer av industriella säkerhetssystem kräver ofta att deras utrustning ska skyddas genom isolering. Men hur fungerar det i verkligheten, och är detta egentligen bra och robusta metoder att hantera säkerhetsproblem?

Wireds säkerhetsblogg Threat Level rapporterar om resultat som säkerhetsforskaren Eireann P. Leverett nyligen presenterade som visar att det finns industriella kontrollsystem kopplade till Internet, mer exakt har Leverett hittat fler än 10000 stycken! Genom att använda nätverksscannern Shodan har Leverett letat efter kända industriella ontrollsystem, och även kunnat identifiera vilka versioner av system som används. Leverett har sedan mappat dessa i en fin graf över världen som visar var systemet finns:

Everetts graf som visar var olika industriella kontrollsystem finns och deras svagheter.
ICS med versioner och dess svagheter.

Av de system Everett hittade visade sig bara 17% över huvud taget använda någon form av enklare accesskontroll, exempelvis lösenord! Undersökningen är en del av den avhandling Everett arbetat med och för den som vill veta mer om Everetts undersökning finns hans avhandling Quantitatively Assessing and Visualising Industrial System Attack Surfaces hos Wired.

Jag anser att resultaten Everett presenterat visar att bara använda isolering som enda säkerhetsmetod för sitt industriella kontrollsystem inte ger ett adekvat skydd. I stora, komplexa kontrollsystem med tusentals mät- och styrnoder finns det stor risk att effektivisering, krav på snabb problemlösning, underhåll utfört av tredje part eller misstag leder till att hela eller delar av systemet kan exponeras mot omvärlden under kortare eller längre tid. Någon kopplar in ett GSM-router för att kunna övervaka en nod som sitter taskigt till rent fysiskt. En leverantör behöver möjlighet att få diagnostik. En del av systemet kopplas temporärt in på kontorsnätet. I dag är det inte heller nyfikna personer som sitter och för hand letar efter märkliga maskiner på Internet. Istället är det robotar, automatiska scannerverktyg som Shodan som periodiskt scannar av Internet. Risken att det exponerade systemet blir upptäckt är därför mycket större än man kanske tror.

Istället bör man räkna med att sitt industriella kontrollsystem kommer att kunna exponeras på olika sätt och börja ställa krav på säkerheten hos de noder och maskiner som är inkopplade i nätet. Att använda isolering är bra, men det bör kompletteras med säkerhet på djupet. Och om det nu finns kommunikationskanaler ut ska dom självklart använda vettiga autenticeringsmekanismer. Att 87% av de system Everett hittade inte ens har lösenordsskydd är väldigt skrämmande.

För den som ändå tror på isolering som fungerande metod bör studera Stuxnet-attacken. Där var kontrollsystemet isolerat. Men det som inträffade var att någon, avsiktligt eller oavsiktligt kopplade in ett USB-minne eller laptop och därmed infekterade systemen innanför luftgapet. Att tekniker tar med sig mätverktyg, laptops när dom ska lösa problem och kopplar in dessa i systemet borde knappast vara otänkbart scenario. Självklart ska det ställas krav på utrustningen som kopplas in, exempelvis uppdaterat virusskydd, men säkerheten måste även finnas inne i kontrollsystemet.