Etikettarkiv: Internet

libssh2 1.2.8 släppt

I går släpptes en ny version av ssh-klientbiblioteket libssh2. Version 1.2.8 innehåller i första hand buggfixar, men inkluderar även en del nya funktioner samt en klart förbättrad prestanda för sftp. Ändringslistan ser ut som följer:

Changes:
* added libssh2_free, libssh2_channel_get_exit_signal and libssh2_session_handshake
* SFTP read/write remade and now MUCH faster, especially on high latency connections
* added new examples: ssh2_echo.c, sftp_append.c and sftp_write_sliding.c
* userauth: derive publickey from private
* NEWS: now generated from git

Bug fixes:
* Support unlimited number of host names in a single line of the known_hosts file.
* fix memory leak in userauth_keyboard_interactive()
* fix memory leaks (two times cipher_data) for each sftp session
* session_startup: manage server data before server identification
* SCP: allow file names with bytes > 126
* scp_recv: improved treatment of channel_read() returning zero
* libssh2_userauth_authenticated: make it work as documented
* variable size cleanup: match internal variable sizes better with the sizes of the fields used on the wire
* channel_request_pty_size: fix reqPTY_state
* sftp_symlink: return error if receive buffer too small
* sftp_readdir: return error if buffer is too small
* libssh2_knownhost_readfile.3: clarify return value
* configure: stop using the deprecated AM_INIT_AUTOMAKE syntax
* Fixed Win32 makefile which was now broken at resource build
* kex_agree_hostkey: fix NULL pointer derefence
* _libssh2_ntohu64: fix conversion from network bytes to uint64
* ssize_t: proper typedef with MSVC compilers
* zlib: Add debug tracing of zlib errors
* decomp: increase decompression buffer sizes

RSA beskriver attacken

RSA har gått ut med en relativt detaljerad beskrivning av hur attacken som ledde till förlust av vital information för deras SecurID-produkt gick till. (The Register har även en bra artkel om händelsen.)

Attacken visar sig varit klart avancerad och uppenbarligen noga planerad. Genom riktad kommunikation till anställda hos RSA lyckades de som utförde attacken få in trojaner i RSAs lokala system. RSA skriver:

In our case the attacker sent two different phishing emails over a two-day period. These emails were sent to two small groups of employees. When you look at the list of users that were targeted, you don’t see any glaring insights; nothing that spells high profile or high value targets.

Attacken utnyttjade en tidigare okänd svaghet med Adobe Flash inbäddad i Excel-dokument som skickas med i epost (Varför man skulle vilja kunna stoppa in Flash i sitt Exceldokument övergår mitt förstånd).

Genom att samla in användaruppgifter och information om systemet lyckas de som utförde attacken arbeta sig upp i RSAs interna säkerhetskedja tills dess att de fick tag i accessrättigheter till hjärtat av SecuriID. Följande figur från RSA visar på ett bra sätt hur attacken gick till.

RSA-attacken i fem steg.
RSA-attacken i fem steg.

Att RSA berättar hur attacken gick till är jättebra. Men det RSA fortfarande inte berättar är VAD som försvann och på vilket sätt det hotar säkerheten för företag och användare som beror av SecurID för säkra sina system, resurser och tillgångar. Tiden går och ju längre RSA dröjer med detta desto längre kvarstår osäkerheten. Och desto längre kan de som utförde attacken dra nytta av sin fångst. Inte alls bra.

Attack på RSA

RSA (företaget, inte algoritmen) har utsatts för en riktad attack. Enligt ett öppet brev från RSA har någon lyckats ta sig in i RSAs system och komma över information kopplat till produkterna SecurID

SecurID-produkter

RSA skriver:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

(Notera att jag editerat genom att klippa bort ett par stycken. Se orginalet för skillnaden.)

Att företag som levererar säkerhetsinfrastruktur själva blir måltavlor är inte förvånande, men det här visar konkret att så är fallet. Speciellt infrastruktur avsedda att säkra ekonomiska transaktioner är i dag klara måltavlor.

Sedan hoppas jag att RSA verkligen gör det dom säger att dom gör – pratar med sina kunder. Jag hittar inget på deras webbplats som förklrarar:

  • Hur attacken faktiskt gått till
  • Exakt vad man förlorat
  • På vilket sätt det man förlorat försämrar säkerheten hos kunderna (slutanvändarna – dvs du och jag)
  • Hur kunderna ska agera för att återskapa säkerheten

Det öppna brevet ger mer intrycket av ett företag som genom stora, fina ord försöker försäkra oss om att dom går att lita på. Men i det här läget är enl min mening öppenhet enda sättet att återfå förtroendet.

Inte minst för ett företag som är branschledande bör gå före och genom öppenhet hjälpa andra att skydda sig och därmed återskapa förtroendet. Inte bara för sina egna produkter, utan branschen och tekniken som sådan. Det här är större än RSA själva.

Uppdatering 2011-03-17: I en artikel hos NYT spekulerar Whit Diffie att det är huvudnyckeln som blivit stulen. Det är en ren gissning men visar på varför RSA måste vara öppna med vad som faktiskt hänt.

Google inför tvåfaktorsautenticering

Google har börjat införa tvåfaktorsatenticering för de tjänster som kräver inloggning.

Vad detta handlar om är att det krävs två olika sorters egenskaper (faktorer) som ska stämma för att man ska acceptera en användare som den man tror att det är. De faktorer man brukar prata om är:

  1. Något man vet – exempelvis ett lösenord
  2. Något man har – exempelvis en koddosa, ett ID-kort
  3. Något man är – exempelvis en viss ansiktsform (som lagras i dom nya passen)

Hos Google är dett baserat på en separat andra kod Google skickar till dig eller du själv genererar med en app från Google. Koden har kort livslängd och gäller bara för en inloggning. Det hela ser ut så här:

Google tvåfaktor.

Fördelen med tvåfakor-systemet är att kommer någon över ditt lösenord för att logga in räcker inte detta. Därmed blir det svårare för phising-attacker att lyckas. Naturligt ställer detta krav på att de koder Google genererar är tillräckligt slumpmässiga för att de inte enkelt ska gå att gissa.

För dig som användare blir det en aning svårare att logga in då du måste göra något mer innan du kan logga in, exempelvis generera en engångskod med en app på mobilen. Men du behöver inte hålla mer koder i huvudet.

Jag tycker att detta är ett bra steg framåt säkerhetsmässigt utan att drastiskt försämra användbarheten.

Dags att söka till Internetfonden

En snabb-postning om Internetfonden och dess utlysning. Text hämtad från Internetfondens sida. Har du någon strålande idé som skulle kunna gynna Internetutvecklingen i Sverige och kanske även världen i stort?

Internetfondbild

Sätt dig ned, tänk till och börja jobba på en ansökan som du kan skicka in under ansökningsperioden 3 januari till 13 februari 2011. Här kan du läsa mer om Internetfonden och den här ansökningsomgången.

Version 1.0 av Network Miner släppt

Netresec har släppt version 1.0 av nätverksanalysverktyget Network Miner.

Network Miner

NetWork Miner är en Windowsapplikation utvecklad av Erik Hjelmvik. Verktyget är avsett för att göra forensisk analys av nätverkstrafik, dvs att i utredningssyfte på olika sätt analysera infångad nätverkstrafik för att bland annat pussla ihop meddelanden, filer etc som skickats mellan olika parter.

Den nya versionen av Network Miner inkluderar bland annat stöd för:

  • Stöd för Per-Packet-information (WTAP_ENCAP_PPI) som bland annat används av Kismet och Wireshark vid WiFi-avlyssning.
  • Extraktion av Facebook- och Twitter-meddelanden samt email skickade med Microsoft Hotmail.
  • Extraktion av Twitter-lösenord. Även FB-användarnamn kan extraheras.
  • Extraktion av gmailchatparametrar från cookies för att kunna indentifiera användare via deras Gmail-login.
  • Protokoll-tolk för Syslog.

Gratisversionen av Network Miner finns att ladda hem från SourceForge. Pro-versionen, vilken inkluderar Geo IP-lokalisering, scriptstöd m.m. finns att köpa från Netresec.

Debatt om sårbarheten hos samhällsviktig IT-struktur

På SvD Brännpunkt publicerades en artikel av Fredrik Ljunggren från säkerhetsföretaget Kirei.

Fredrik Ljunggren
Fredrik Ljunggren.

Fredrik skriver om sårbarheten hos samhällsviktig IT-struktur. Poängen Fredrik gör i sin artikel är att då det saknas såväl lagmässiga krav på säkerhet för dessa system som kompetens och metoder för att kravställa på säkerhet vid upphandling och effektivt hantera incidenter. Fredrik skriver:

En stor mängd samhällsviktig IT-infrastruktur saknar effektivt skydd mot IT-angrepp. Särskilt tydligt blir det i kommunal verksamhet, som till exempel vattenförsörjning och fjärrvärme. Här saknas ofta både kunskap och resurser för att stärka motståndskraften mot IT-angrepp, och det finns heller inga affärsrisker eller verksamhetskrav som driver på arbetet.

Den myndighet som ansvarar för området är Myndigheten för Samhällsskydd och Beredskap (MSB), Fredrik ser dock inte att MSB i dag gör det jobb som krävs:

SB har utarbetat en gammal hederlig femårsplan som de kallar ”strategi för samhällets informationssäkerhet 2010-2015”, och som ges ut i form av en glättig fyrfärgsbroschyr. I strategin saknas dock helt konkreta mål, och undermeningen tycks vara att om vi bara pratar med varandra så löser sig allt av sig självt. Detta strutsbeteende riskerar att leda till att vi möter ytterligare ett förlorat decennium vad gäller säkerhet och mognad i samhällsviktig IT-infrastruktur.

Det Fredrik ser behöver göras är istället att driva på konkreta riktlinjer och krav samt se till att de efterlevs:

Reglering och juridiska verktyg i all ära, men Sverige behöver gå i bräschen för att utforma europeiska riktlinjer för IT-säkerhet i styrsystem, och ställa konkreta krav på alla verksamheter som kan betecknas som samhällsviktiga.

Fredrik har även kompletterat artikeln med en kommentar på Kireis webbplats.

Även om jag inte är säker på om den hotbild (dvs vem som utgör hotet) stämmer, men Jag håller med Fredrik om det grundläggande problemet. Jag ser en trend mot ökad uppkoppling av SCADA-system till administrativa system, och då ofta över Internet med hjälp av radio. Det finns många goda effektivitets- och kostnadsskäl för detta. Men det är sällan förändringar i särkerheten för systemen diskuteras och hanteras när detta sker.

Frukostseminarium om e-legitimationer i Sverige

Den 22e februari anordnar .SE ett frukostseminarie om e-legitimationer i sverige. Syfte och agenda för seminariet beskriver vad det handlar om:

En statlig utredning presenterade strax före jul ett förslag till ny modell för federerade (distribuerade) e-legitimationer och seminariet kommer framför allt att ägnas åt att presentera förslaget och diskutera vilka nya möjligheter som öppnar sig.

Frukost serveras från 8.00. Seminariet inleds 8.30. Moderator är Anders Thoresson, frilansjournalist som bland annat skrivit den nyutkomna boken ”Igenkänd och identifierad – en guide om legitimationer på nätet”.

Hela diskussionen kommer att livesändas över Internet, på adressen iis.se/live, och inspelningen kommer också att finnas tillgänglig efteråt på .SE:s Youtube-kanal.

Talare:
Fredrik Ljunggren, säkerhetskonsult från Kirei och expert i utredningen, inleder.
Pär Karlsson, Bankföreningen, om bankernas roll
Mikael Skogström, Heimore Group
Därefter blir det diskussion med talarna och publiken.

För den som vill veta mer finns information om plats och anmälan på .SE:s sida om frukostseminariet.