Fortsätt läsa »]]> När jag är ute och pratar försöker jag förklara vikten av att försöka bedöma vem som utgör hotet mot ditt system, produkt eller tjänst – att känna sin fiende. Det kan finnas flera olika fiender. Det kan även vara så att din fiende inte är direkt ute efter dig, utan du är en del av fiendens målgrupp.

Poängen med att försöka bedöma vem som är fiende handlar om att olika typer av fiender har olika typer av resurser till sitt förfogande. Olika fiender är dessutom ute efter olika saker och har olika sätt att komma över dina tillgångar. Men när du ska skydda dina tillgångar gäller det att välja skydd som möter hotbilden från olika fiender. Att välja fel skydd är att kasta pengar i sjön och ger inte det skydd du behöver.

En som pratar mycket bra om detta är Mikko Hypponen. Hans presentation från #Days tidigare i år är väl värd att titta på.

Notera dom olika hotbilderna och deras olika incitament för att ta över eller påverka ett system.

Hur man skyddar sig mot olika hot varierar. Ett företag som aktivt arbetar med att ta reda på vem fienden är, är Mandiant. NPR skriver om hur Mandiant aktivt letar efter de som försöker komma in i Mandiants kunders system och sedan försöka få tag på dessa personer.

Peter Forsman på .SE skriver i dag i en krönika om ett annat hot, piratkopierarna – företag som gör kloner av andras produkter och därmed äter upp marginalerna. Bra krönika som beskriver problemet och vad du ska tänka på för att lättare undvika problem om du handlar på nätet.

Slutligen. För den som vill förstå hur en typ av fiende agerar, den som är ute efter att stjäla kreditkort, inloggning på bank för att sälja, finns en helt fantastisk tråd på Reddit. Tråden är en intervju med It-skurken throwaway236236, som berättar hur han skapar och underhåller sitt botnet med maskiner samt hur han tjänar pengar på att sälja andra personers information.

Och om du efter detta tror att det stora hotet är en tonåring som skriver virus för att busa är det dags att tänka om. Ordentligt.

Fortsätt läsa »]]> För några veckor sedan presenterade några fysiker en ny slumptalsgenerator baserad på kvantfenomen. Resultaten har fått viss uppmärksamhet.

Insamlingsutrustningen som används för att fånga kvantfenomenen.

Det är alltid spännande med nya forskningsresultat som ger oss insikt i hur vår verklighet fungerar. Jag gillar också att man försöker omvandla sina forskningsresultat till något som går att använda. Tyvärr kan jag utifrån ett säkerhetsperspektiv inte bli speciellt intresserad och imponerad. Skälet till detta är att jag återigen upplever att fysikerna tyvärr är blinda för det område de försöker applicera sina resultat. Det är inte första gången fysiker presenterar nya rön som man ser kan användas för krypto, säker kommunikation, eller som slumptalsgeneratorer. Det är i och för sig intressant och bra. Men problemet är att man ofta tror sig löst ett problem som inte längre är ett problem.

När det kommer till krypton och slumptalsgeneratorer har vi i dag lösningar som ger bra mycket skydd och hög prestanda/kapacitet till realistiska kostnader för väsentligen alla problem och användningsfall. Problemen är istället oftast att få till praktiskt fungerande implementationer, få till säker användning, hantera alla buggar, sidoattacker (inklusive social ingejörskonst) och rena misstag. Och för dessa enkla men viktiga problem är sällan rätt svar kvantfenomen som kräver masrar kylda med flytande väte för att fungera.

Tyvärr har fysikerna bakom den nya slumptalsgeneratorn dessutom fel i sak, vilket visar att dom inte kan applikationsomrepdet. Dom säger:

To date, most random number generators are based on computer algorithms. Although computer generated random numbers can be useful, knowing the input conditions to the algorithm will lead to predictable and reproducible output, thus making the numbers not truly random. To overcome this issue, random number generators relying on inherently random physical processes, such as radioactive decay and chaotic behaviour in circuits, have been developed.”

Detta är inte korrekt. Moderna slumptalsgeneratorer i operativsystem bygger inte på algoritmer som är deterministiska. Mer exakt – dom bygger inte bara på deterministiska algoritmer. Algoritm och fysiska slumpmässiga källor är inte ömsesidigt uteslutande. En modern slumptalsgenerator, som finns i alla operativsystem består grovt sett av två delar.

Den första delen är en eller flera entropikällor. Från entropikällorna samlas värden från slumpmässiga, fysiska händelser in. Exempel på entropikällor som används är tid mellan tangentbordstryckningar, skillnad i läshastighet från en hårddisk, digitala ringoscillatorer i chip eller termiskt brus i radiomottagare. Bra entropikällor ger många händelser/tidsenhet och är dessutom svåra eller helst omöjliga att manipulera. Kombinationen hög prestanda och tålig mot påverkan är svår att få till. Därför används ofta mer än en entropikälla och källorna övervakas för att detektera fel.

Den andra delen består ofta av en deterministisk algoritm – en psedudoslumpgenerator (PRNG). Oftast skapas PRNG:n genom att använda kryptografiska hashfunktioner som SHA-256, strömkrypton som RC4 eller Snow, eller blockkrypton som AES i en strömkryptomod som CTR. Den insamlade entropin anvönds för att initiera PRNGn. Efter att PRNG:n genererat ett visst antal värden startas PRNG:n om med nya värden från entropikällan. Ibland sker även en viss filtrering (whitening) mellan entropikällan och PRNG:n, detta för att ta bort värdemässiga vridningar (bias) så att de möjliga initieringsvärdena (ofta kallade frön) är så likafördelade som möjligt.

Kombinationen av flera entropikällor från vilka värden samlas in, och en bra, säker PRNG ger slumptalsgeneratorer som är tåliga mot störningar och med kapacitet att generera stora mängder slumptal med bra kvalitet. Ett bra exempel på detta är Intels nya slumptalsgenerator Bull Mountain som finns i Ivy Bridge-processorerna som släpptes igår 2012-04-23.

Bull Mountain har en entropikälla kapabel att generera flera Gbit/s i rådata. Rådatat filtreras med AES i CBC-mod. Värdena ut från filtreringen används sedan för att initiera en PRNG byggd med AES-CTR. Bull Mountain ger bättre prestanda än fysikernas generator, är kostnadseffektiv (i jämförelse med fysikernas lösning), drar lite ström, finns direkt tillgänglig för applikationer genom RdRand-instruktionen och kommer att finnas i miljontals med datorer, laptops och prylar inom ett par år.

Intels Ivy Bridge-processor. De fyra processorkärnorna delar på en Bull Mountain-generator.

Ett annat bra exempel är slumptalsgeneratorn i Yubicos YubiHSM som har två olika entropikällor vilka matar en PRNG byggd med AES. Allt förpackat i en billig och enkel USB-sticka, vilket gör den lätt att integrera.

YubiHSM monterad i en server.

Intels Bull Mountain/RdRand och YubiHSM tycker jag är mycket, mycket mer spännande och viktigare ur ett användbart säkerhetsperspektiv än fysikernas labbutrustning.

Entropikällan i den nya generatorn.

(Fysikerna säger att den nya källan inte går att manipulera. Men jag fungerar på hur svårt det är att störa källan, ex med en annan laser. Även om kvantfenomenet i sig inte går att manipulera är sensorn ofta det som attackeras.)

Och till sist kan jag inte låta bli att sucka lite över hur fysikerna försöker få ut sin nya fina slumptalsgenerartor. Ja, det är jättefint att det finns ett JSON API (Github-projekt som pratar med generartorn), eller att jag kan gå och få några byte data genererat på webbsidan (som är seg). Men det finns ingen som helst säkerhet kopplad till API:t eller webbsidan.

Själva poängen med en bra slumptalsgenerator är ju att du ska kunna lita på den. Om generatorn sitter inuti min processor är det lättare att lita på den än om den befinner sig i Australien och att datat skickas utan något som helst skydd mot manipulation, äkthetskontroll eller avlyssning.

Fortsätt läsa »]]> Elektroniktidingen har publicerat en artikel om Secworks föredrag på SEE 2012 förra veckan.

Secworks Joachim Strömbergson pratar på SEE 2012.

Poängen vi i presentationen försöker göra är att säkerhet är en stödfunktion avsedd att skydda den affär som är kopplad till ett inbyggt system. För att få få fram den säkerhet affären kräver gäller det att identifiera vad i affären som måste skyddas, mot vem (fiende, motståndare) skyddet ska hålla och under vilka förutsättningar skyddet fungerar. Efter detta går det att identifiera komponenter och tekniker för att skapa detta skydd. Och till sist, inte glömma bort att verifiera att man verkligen fick det skydd som affären krävde.

Gör man inte på detta sätt riskerar man att få ett skydd för fel sak, skydd mot en annan motståndare och ett skydd som inte fungerar. Ett sådant skydd är förhoppningsvis bara onödigt dyrt och onödigt, men kan i värsta fall hota din affär och verksamhet.

Fortsätt läsa »]]> Vill du veta hur du hittar rätt säkerhet för ditt inbyggda system eller tjänst är du välkommen till mässan Scandinavian Electronics Event 2012 i morgon bitti.

Då kommer Secworks Joachim Strömbergson att hålla en presentation om hur du genom tre steg kan identifiera vilken säkerhet du behöver, hur du får tag på rätt säkerhet och hur du kontrollerar att du fick den säkerhet du behövde. Presentationen börjar 09:30.

Välkommen!

Fortsätt läsa »]]> På Flicker finns det en bildserie som visar en isärtagning av IBMs säkerhetsmodul 4758. IBM 4758 är en typ av säkerhetsmodul som brukar kallas HSM, vilket står för Hardware Security Module (ibland även High Security Module). HSM:er används för att ge mycket hög säkerhet i olika system och tjänster genom att säkerhetsfunktionerna flyttas in i den separata modulen. Typisk användning av en HSM är som accelerator och nyckelgenerator för e-handel och Internetbanker.

En HSM innehåller normalt sett en separat processor med eget program. En HSM har oftast även intern lagring. IBM 4758 möter NISTs högsta säkerhetsnivå, nivå fyra enligt specifikationen FIPS 140-2 (pdf). Detta innebär bland annat att den ska ha aktivt skalskydd som kan detektera försök till fysisk påverkan och direkt förstöra känslig information lagrad i modulen.

Jag tycker att bilderna i serien på ett bra sätt visar hur det ser ut när någon försöker arbeta sig igenom ett skalskydd. Serien visar även hur typiska skalskydd ser ut. Modulen 4758 består av ett PCI-kort med en större låda monterad på kortet. Inuti lådan finns processorn och minnen för lagring. Här tas lådan bort från kortet.

Lådan visar sig först ha ett passivt skalskydd genom att vara fylld med en gjutmassa. Bara några anslutningar sticker ut.

Att ta bort gjutmassan visar sig vara en kladdig och besvärlig procedur. Under gjutmassan finns det aktiva skalskyddet. Detta skalskydd är byggd med en slags påse som säljs av Gore.

När påsen tagits bort är själva kryptoprocessorn exponerad. Om det aktiva skalskyddet fungerade som det skulle skall all viktig information vid det här laget ha förstörts.

IBM tillverkar inte längre 4758, utan har ersatt den med modulen Cryptographic Coprocessor 4765.

Fortsätt läsa »]]> I slutet av mars anordnade NIST den sista SHA-3-konferensen. Målet med konferensen var att få in så mycket information som möjligt om finalisterna inför NISTs beslut om vilken algoritm som kommer att blir den nya hashfunktionen SHA-3. NIST har en sida för konferensen och där finns nu alla presentationer och artiklar som presenterades.

Det finns ett flertal intressanta presentationer om implementationer, både i hårdvara och i program. För högpresterande hårdvaruimplementationer i FPGA och ASIC ser finalisten Keccak ut att vara överlägsen, både i ren råprestanda och prestanda viktad mot kostnad. På senaste generationer av CPU:er ser dock BLAKE att vara överlägsen rent prestandamässigt.

För små, inbyggda system ser Gröstl och Blake att ge minimala implementationer med där Keccak återigen ger bäst prestanda viktad mot kostnad. Det finns även intressanta resultat vad gäller sidottacker på implementationer och säkerhetsanalyser av algoritmerna.

På konferensen ställde även NIST frågan till deltagarna om vilka kandidater de föredrar genom att humma. Skaparen av BLAKE, JP Aumasson rapporterde resultatet:

Top: Keccak, then BLAKE. Deafening silence: Skein. Ouch.

När skaparna av finalisterna fick frågan vilken algoritm förutom sin egen de föredrog blev resultatet:

• Skein -> BLAKE
• Groestl -> JH
• JH -> Keccak
• BLAKE -> Skein
• Keccak -> Groestl

Om man jämför med humm-frågan ser det ut att vara rätt mycket taktik i de valen.

På IETF 83 några dagar efter SHA-3-konferensen höll NIST en mycket intressant presentation om SHA-3 (länken pekar på PPT-fil). För att få en känsla av hur NIST resonerar är den här presentationen väl värd att bläddra igenom. I presentationen pekar man ut att SHA-3 inte kommer att ersätta SHA-2, inte minst då SHA-3 knappast kommer att ge mycket bättre prestanda. NIST ser att SHA-2 är effektiv, inte minst i inbyggda system. Däremot kommer SHA-3 att kunna ge mycket högre prestanda för hashbaserade meddelandekoder (MAC). NIST påpekar även i sin presentation att det analysarbete av kryptografiska hashfunktioner som bedrivits sedan 2005 gör att man i dag är mindre orolig för säkerheten hos SHA-256 och andra SHA-2-algoritmer. NIST ber i sin presentation IETF om synpunkter på hur hashfunktioner bör anpassas för olika protokoll och miljöer, detta för att ta med dessa synpunkter i sitt val av vinnande algoritm.

För den som vill bidra till SHA-3-processen vill NIST få in detta innan den första juni. Sedan är det dags för NIST-juryn att överlägga och berätta vem som är vinnare. (Inte säker på att SHA-3-överläggningen skulle göra sig lika bra i TV som Project Runway.). Enligt NIST kommer vinnaren att utses i slutet av året.

Har du information du anser att NIST bör ta med i sin bedömning är det dags att agera. Sedan blir det spännande att sätta tänderna i den nya, fräscha SHA-3. Nästan som en julklapp.

Fortsätt läsa »]]> Jag har i några inlägg (inlägg ett och inlägg två) skrivit om nur Pensionsmyndigheten försökt stoppa robothandel genom att välja en extern, teknisk lösning. I inläggen pekade jag på vad som verkar vara en dålig säkerhetsanalys från myndighetens sida lett till ett dåligt val av teknisk lösning. Jag förutspådde att myndigheten skulle hamna i teknisk kapprustning. Nu verkar det ha hänt.

I en artikel i DN beskrivs bland annat de problem myndigheten har med vad man bedömer är robothandel. Myndighetens chefsjurist Thomas Norling intervjuas om problemen:

Pensionsmyndigheten är ingen tillsynsmyndighet och kan inte agera på egen hand. Det gäller också det bolag som, enligt myndigheten, nyligen lyckades kringgå förbudet mot massfondbyten.

– De hävdar att de gjort bytena manuellt men eftersom man på kort tid gjorde 65.000 byten för 300 miljoner tror vi inte på det. Men vi har inga egna muskler. Därför har jag vänt mig till Finansinspektionen och Datainspektionen för att se om de kan vidta några åtgärder.

Som jag visade i andra inlägget är det inga problem att för en billig peng köpa stora mängder datortjänster där det faktiskt sitter en människa (mechanical turk) och löser den utmaning (CAPTCHA) som Pensionsmyndigheten använder. För 65000 byten skulle kostnaden maximalt röra sig om 65 USD, mindre än så. Dvs inte ens ett öre per transaktion. Att man tar betalt i buntar om 1000 CAPTCHAs visar att 65000 stycken knappast är en i sammhanget stor mängd.

I artikeln pekar man på risken för kapprustning, men tänker sig att det fortfarande är inloggning som ska begränsas:

Risken är att man får en teknisk kapprustning och att det till slut landar i att man bara kan byta fonder men hjälp av e-legitimation.

– Då riskerar de att ha dödat en hel bransch.

Jag anser att rätt lösning är att inte försöka spärra för vilka verktyg som används vid en inloggning (människa eller dator). Istället ska begränsningen läggas i antalet transaktioner. En sådan mekanism kan myndigheten styra över själv, är enkel att övervaka och kontrollera och ger inte samma bieffekt som dagens lösning.

Fortsätt läsa »]]> När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

Fortsätt läsa »]]> Skyddmekanismer kan antingen vara passiva eller aktiva. Passiva skyddmekanismer är saker som staket, vallgravar eller de gjutmaterial som används för att kapsla in elektronik. Det här USB-minnet som vi på Secworks undersökte förra våren är ingjutet i ett material som står emot mekanisk eller kemisk bearbetning:

USB-minne med passivt skalskydd.

Aktiva skalskydd är exempelvis stöldskyddsbågar eller billarm. Dessa skydd kan övervaka sin omvärld och reagera om skyddet detekterar förändringar som kan innebära att skyddets integritet bryts. Vilken reaktion som ska utföras kan variera.

Billarm tutar (och ingen reagerar), men reaktionen kan även vara att minimera skadan. NISTs standard FIPS 140-2 SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES ställer för skyddsnivåerna tre och fyra krav på att känslig information ska förstöras när integriteten inte längre går att lita på.

Aktiva skalskydd är inget nytt. Väktare, vilka kan ses som en aktiv skyddsmekanism (om inte vakten sover på sin post). Några genier från England hittade på 60-talet på den här fantastiska väskan:

Den fantastiska väskan.

(För den som kan sin Gaston är den här uppfinningen bekant.)

Att krossa tjuvens näve är nog inte en godkänd åtgärd i dag. Dessutom blir jag tveksam till hur praktiskt väskan egentligen är. Det är inte mycket som får plats i väskan, dom där teleskopbenen lär ta upp en hel del plats. Bra skyddsmekanismer ska inte allvarligt försämra legitim användning. Jag tror inte heller att väskan skulle vara speciellt kompatibel med de skyddsmekanismer som finns på dagens flygplatser.

Men fantastisk är den, i all sin Gaston-uppfinningrikedom. Man blir nästan lite sugen på att spela lite på en Elefantofon.

Trevlig helg!

Fortsätt läsa »]]> För dig som verkligen vill grotta ner dig på lågnivå i en PC kan det vara trevligt att veta att Darmawan Salihun släppt sin bok BIOS Disassembly Ninjutsu Uncovered fritt tillgänglig på nätet.

Boken börjar med en introduktion till hur en PC är uppbyggd inklusive PCI-protokoll och chipset. Men sedan trillar boken snabbt ner i saker som hur BIOS är uppbyggt, hur man plockar isär och dekompilerar binärfiler. Boken använder verktyg som IDA Pro, men är egentligen rätt verktygs- och OS-neutral. En bra bok, väl värd att titta en stund i. Och kanske testa lite exempel.

IDA Pro.

Om man nu vill veta hur man skyddar sin kod mot dekompliering, analys och isärplockning, och därmed även vill veta mer hur trojaner och annan elak kod på olika sätt fungerar för att skydda sig mot att bli hittade och rensade, finns en mycket bra artikel. Josh Jacksons An Anti-Reverse Engineering Guide är från 2008, men fortfarande högst relevant. Artikeln tar upp hur debugsystemet i x86 ser ut och används. Sedan visar artikeln på ett antal olika metoder för att detektera debuggningsförsök, försvåra för debuggning och till och med direkt ge sig på debugverktygen. Även om attacken på Ollydbg patchats för länge sedan.

Detekterad debugger.

För dig som vill börja doppa tårna i x86-assembler finns Randy Hydes bok Art of Assembly Language på nätet. Det finns versioner såväl för den som fokuserar på 32-bit Windows som för den som vill hacka Linux/UNIX. Och 16-bit DOS. På den webbplatsen finns även HLA-biblioteket.