Öppenhet om intrång/sårbarheter

John Wilanders krönika i TechWorld från häromdagen, Mörkläggning stor risk för företagen, diskuterar fördelarna med att företag är öppna med vilka säkerhetshål de patchar och nackdelarna med att inte göra det. Jag håller med på alla punkter, det är en öppenhet som gagnar företaget och jag förespråkar. En sak hade jag inte hört talas om tidigare:

I våras presenterade Google sina erfarenheter av att betala för säkerhetsbuggar. "Mer prisvärt än granskning gjord av konsulter" var deras slutsats. Plus att de får en strid ström av bra rekryteringstips. Google anser sig alltså själva tjäna på responsible disclosure.

Men när man tänker efter så känns det ju rätt naturligt.

Jag tar tillfället i akt och pitchar två tidigare inlägg i ämnet öppenhet: Molnleverantörers transparens och Offrets dilemma.

John säger det ju inte rakt ut i krönikan men jag är glad att han åtminstone hintar om det. Själv har jag funderat på att skriva om det ett bra tag men har inte vågat riktigt... Hur kommer det sig att Sony fick en sådan rejäl omgång i år? En bidragande orsak, kan jag tänka mig, är att Sony helt enkelt inte är särskilt omtyckta.

John hänvisar till stämningsförsöket mot hackers som jailbreakade Playstation 3 men det rör sig om flera liknande "incidenter" där Sony har gjort kundfientliga val. Rootkitet på musik-skivor är ju vida känt och den, något överdrivna kan man tänka, bloggen Sony Sucks har flera exempel.

Som individ kan man ju minska sina risker att bli utsatt för våldsbrott på t ex krogen genom att vara trevlig och artig. Gäller samma sak för företag?

Trevlig helg, igen!

--
Stefan Pettersson

Generella åtgärder mot specifika sårbarheter

Det här är ett utmärkt exempel på varför det här är kan vara en bra idé. Att segmentera klienterna är ännu ett verktyg tillsammans med de jag diskuterat i ett tidigare inlägg då franska regeringen åkt dit på liknande sätt som RSA.

Dessa "social-engineering-APT-klientsårbarhet-mail"-attacker är enormt svåra att skydda sig emot. Oavsett vad UTM-brandväggs- och vissa antivirusleverantörer hävdar. Den bästa metoden är en kombination av flera åtgärder, bl a de från inlägget om franska regeringen. Det är krångligt men on the upside så innebär de en höjning av säkerheten generellt, inte bara mot det här specifika hotet.

Med andra ord, det är bra att bekämpa specifika sårbarheter med generella åtgärder. Genrella åtgärder är oftast enklare och kan ofta ge positiva bieffekter. En appliance som söker igenom inkommande mail efter trojaner skyddar bara mot trojaner i inkommande mail. Att filtrera utgående trafik från klienter skyddar bland annat mot trojaner, oavsett om de kommer med mail eller USB-stickor.

Trevlig helg!

--
Stefan Pettersson

Black Hat USA 2011: dag 2

Dagen inleddes med att ikonen Mudge höll keynote med fokus på hans arbete för amerikanska staten (DARPA) där han började arbeta för något år sedan. Ett av hans första "stordåd" är Cyber Fast Track, möjligheten för små företag och enskilda grupper (läs: hackergrupper á la l0pht) att få statlig finansiering för forskning och utveckling. Teoretiskt har det varit möjligt att göra det förut, det har bara varit sådär byråkratiskt komplicerat som saker kan bli på myndigheter i USA. Häftigt initiativ TBH, programmet drog igång någon dag innan Blackhat, återstår att se vad som kommer från det. Kommer "statliga" hacker spaces att få en uppsving?

Mudge pratade förstås om fler saker, bl a ett fenomen som ligger mig nära om hjärtat. Jag har länge tyckt att Microsoft borde släppa Word/Excel/Powerpoint Light. Jag skulle hävda att bara någon procent av användarna utnyttjar mer än några procent av funktionaliteten i Office-paketet. Mudge jämförde det med sportbilar där man fick betala mer för de som var lättare (titan och kolfiber) men färre funktioner (ingen AC, inga fönsterhissar, ingen cruise control). Det handlar om att minska attackytan: dagens säkerhetsprogramvaror blir bara större och mer komplicerade för varje år medan medelantalet rader kod för malware fortsätter att vara 125 (tydligen). Jag vet inte om jag tycker att den beräkningen går att rättfärdiga men poängen är oantastlig.

Talet innehöll även ett utlägg om hur författare av malware och antivirusföretag spelar varandra i händerna. Nähä?

Malware cleaning with Sysinternal tools
Resten av förmiddagen spenderade jag på workshop med Mark Russinovich från Microsoft, mannen bakom Sysinternals-verktygen. Han visade hur man ska använda Process Explorer, Autoruns och Process Monitor för att städa Windows-datorer från malware. Det fanns presentationer parallellt som var intressanta också men de tar jag på film istället. Det var i a f kul att höra hans syn på Windows; han var väldigt tydlig på punkten att han inte var inblandad i utvecklingen av Vista, bara Windows 7...

Crypto for pentesters
Thomas Ptacek och hans kollega utan namn drog en underhållande genomgång av ett fåtal av de vanliga fallgropar man hamnar i när man ger sig på kryptering. Är man elak kan man säga att om du skriver något som rör kryptering och du använder funktioner som är på lägre nivå än GnuPG- eller Truecrypt-binärerna är du ute på för djupt vatten. Det var det gamla vanliga: t ex det är inte lätt att implementera en egen MAC, så fort du slappnar av kommer padding-djuret att bita dig i rumpan. (Det  finns en anledning till att HMAC är invecklat.) Vidare är strömkrypton som bara består av en enkel XOR-operation, föga överraskande, svaga. Det man egentligen implementerar är det gamla polyalfabetiska Vigenére-kryptot, först känt som "le chiffre indechifférable". Det var många, många år sedan Kasiski knäckte det (det stod sig dock i många hundra år innan). Testa dig fram statisktiskt hur lång nyckeln är, dela upp meddelandet i ett alfabet för varje tecken i nyckeln, fortsätt som för monoalfabetiska chiffer, space är vanligast därefter kommer bokstaven E o s v.

Matasano, där Ptacek arbetar, har publicerat ett wargame där man kan öva på att knäcka liknande kryptoimplementeringar. Ett fantastiskt initiativ måste jag säga, om jag bara kunde hitta länken också...

Faces of Facebook
Pudelns kärna: Alessandro Acquisti från Carnegie Mellon visade hur han och hans team hade lyckats kombinera ansiktsigenkänning, Facebook och Internetsökningar för  att kunna rikta mobilkameran mot en person (á la augmented reality) och få upp personens namn, SSN, DoB, adress, intressen och sånt. Riktigt imponerande arbete.   Det såg ut som att det var fler än jag som filmade under demot så det kanske dyker  upp något på YouTube. Man behöver ingen vidare fantasi för att se vad något sånt här kan komma att användas till. The future is both exciting and terrifying.

Chip & PIN is definately broken
Avslutade dagen med att gå på en presentation som fortsätter på samma spår som gänget från Cambridge stakade förra året. I korthet, med hjälp av MITM mellan ett EMV-kort och en EMV-terminal kan man plocka upp PIN-koden. Detta _ska_ inte vara möjligt p g a kryptering, när terminalen och kortet ska komma överens om hur PIN-koden ska överföras skickas en signerad lista på vilka metoder som accepteras över (inte olikt hur SSL fungerar). Även om överföring av PIN i klartext inte finns med i listan kan detta läggas till av MITM-shimmen, förändringen accepteras trots att signaturen inte stämmer(!). Som MITM kan man alltså alltid tvinga fram klartextöverföring av PIN-koden och sedan spara den. Skrämmande nog har tydligen sådana här makapärer (trojanade EMV-terminaler) rapporterats in till polisen redan under 2008. Jag återkommer om det här.

--
Stefan Pettersson

Black Hat USA 2011: dag 1

Det var en ganska bra line-up under onsdagen, totalt kördes nio parallella tracks: bit flow, threat intel, next-gen web, breaking software, embedded exploitation, deeper analysis samt två workshop-spår.

Keynote
Morgonens keynote-talare var Cofer Black, en välrenomerad herre med 28 år inom underrättelsetjänsten bakom sig; CIA counter-terrorism (CT). Han inledde helt oblygt med att berätta att han för tio år sedan, den 5 augusti 2001, var talare på en liknande scen, Black var då chef för CT-avdelningen, och att han då (kanske lika oblygt) konstaterade att det fanns individer som var motiverade att genomföra ett stort attentat mot amerikaner, möjligen i USA. Vi vet alla vad som hände ungefär en månad senare. Han blev alltså, enligt egen utsago, inte förvånad den 11 september 2001.

Ett av Blacks huvudspår i sitt anförande var svårigheten (1) att validera hot och (2) att få överordnade att förstå/acceptera att det finns hot. Det senare ett problem som vår bransch alltså delar med underrättelsetjänsten. "[The need for] validation of threats and attacks will come to your world", sade han uttryckligen. Ja kanske det. Kanske den dag vi har kommit så långt att vi inte behöver oroa oss över den småbrottslighet som står för majoriteten av alla attacker.

Vidare föreslog han att den bekanta förkortningen CBRN: chemical, biological, radation, nuclear; borde bytas ut mot KBC: kinetic, bacteriological och... cyber. Som exempel på kinetic attacks gavs hotellen i Mumbai för några år sedan samt the DC Sniper. Naturligtvis faller även attacken på Utöya i Norge här. Bakteriebiologiska attacker har dessutom tydligen blivit mycket enklare på sista tiden. Slutligen pekade han på Stuxnet. "The Stuxnet attack is the rubicon of the future", tillsammans med en kommentar om att det p g a kostnaderna måste ha varit en stat som legat bakom... Det som imponerade på Black verkade vara övergången från mjukvara till fysisk förstörelse i verkligheten.


War Texting
Don Andrew Bailey från iSEC Partners visade vad han hade hittat för problem i de gränssnitt vissa inbyggda system har mot mobilnätet. Huvuddemot i presentationen, som var omtalat, var att de låste upp och startade en Subaru över mobilnätet genom att skicka SMS till larmsystemet. Häftigt och väl genomfört av Bailey men knappast oväntat, man kan känna sånt här på sig. Det är typiskt att sådana här system har levt i skyddad verkstad bara för att ingen har tittat efter ordentligt och så fort någon sätter sig ner och tittar visar det sig vara en hel del damm bakom soffan.

Jag gillade särskilt exemplet med Zoombak, en liten dosa med GPS som man kan lägga i bilen eller dotterns ryggsäck för att sedan kolla var de befinner sig med hjälp av en webbsida. Genom att replaya SMS-meddelanden (i vilka en IP-adress har ändrats) kunde han lura dem att rapportera in till honom över Internet. Det var också möjligt att, missade hur det gick till exakt, flooda Zoombak med felaktiga         koordinater så att din bil ser ut att stå i Afghanistan. Utvecklat i skyddad verkstad.

Det är svårt att överblicka hur stort problem det här är. Om man dock betänker hur billiga sådana här kretsar är och hur praktiskt det är att kunna fjärrstyra något från i princip varsomhelst så kan man anta att de sitter i många, många system. En stor anledning till att problemet med just dessa gränssnitt är att utvecklare blir  tvungna att designa protokollen själva, något som är långt från trivialt. Det är bara att acceptera att allt som kan angripas per definition är säkerhetssystem; om  det sedan är en brandvägg, tunnelbanespärr eller Daughter Tracker 2000 är egalt.

Hacking Google ChromeOS
Matt Johansen och Kyle Osborn från Whitehat Security hade fått prestigeuppdraget att göra tester mot Googles nya operativsystem ChromeOS. Ur användarens synvinkel gör ChromeOS egentligen bara en sak; kopplar upp mot Internet och öppnar en Chrome-browser. Det finns ingen åtkomst till filsystem eller liknande utan detta är tänkt att skötas med molntjänster över webben.

Det första de började kika på var extensions till Chrome (browsern). Dessa är inte att likställa med add-ons till t ex Firefox, extensions är mer som vanliga webbapplikationer.

Faktum är att de hittade ett väldigt allvarligt problem: extensions till Chrome kommer med särskilda rättigheter som säger vilka URI:er de får kontakta och det är utvecklarna själva som sätter dessa (patterns i stil med http|https://*/* förekommer med andra ord). Om en extension med lössläppta rättigheter har en cross-site scripting-sårbarhet och en angripare kan utnyttja detta mot dig kan de injicera JavaScript i alla sidor du har öppna.

Alltså, en extension som har *://*/*-rättigheter och inte kodar utdata som kommer från en angripare är att likställa med att det finns XSS-sårbarheter i alla sidor du besöker.

Ett kortare recept: (1) hitta extensions där du har möjlighet att skicka indata, RSS-läsare, mailklienter o s v, (2) välj ut alla som har galna rättigheter, (3) leta efter cross-site scripting-sårbarheter. (Ironiskt nog tänker jag mig att de med *-rättigheter också har XSS-sårbarheter i större utsträckning än andra extensions.)

Google har tydligen ett par idéer om vad de ska göra åt (det svåra) problemet. Spontant känns det som att * borde förbjudas helt för domäner, möjligen att subdomäner som *.domän ska vara tillåtet. Det är dock många intressen som spelar in här (jag har säkert missat någon anledning till att tillåta *-domäner) där en kan vara strävan att ta marknadsandelar. Om det är skitjobbigt att få din applikation att fungera p g a komplexa rättigheter kommer du utveckla för någon annan, om du utvecklar för någon annan kommer användare att köpa av någon annan. Business á la Facebook...

Black Ops of TCP/IP 2011
Dan Kaminsky var tillbaka med ännu en installation av sin gamla hederliga Gott & Blandat-presentation. Årets upplaga innehöll lite BitCoin, lite UPNP, lite klassisk IP spoofing samt hur man kan upptäcka att man är "utsatt" för net neutrality. Innehållet var halvintressant, jag går dock slaviskt och tittar på Kaminsky för att insupa den obegränsade glädje han utstrålar över att göra det han gör. Han får mig  att _vilja_ sätta mig i två veckor och titta på packet captures. :-)

Apple iOS 4 Security Evaluation
Dino Dai Zovi från Trail of Bits har gjort ett hästjobb med att reversa iPhones operativsystem. Presentationen behandlade några av de säkerhetsfunktioner som kommer med moderna iOS-versioner (>= 4.3): ASLR, NX, kodsignering, sandboxing och datakryptering.

En intressant finding var att väldigt, väldigt få av alla tredjepartsappar är kompilerade position-independent så att de täcks av ASLR helt och hållet. Ingen av de som är listade topp tio, inte ens Angry Birds. (Det här är ett generellt problem med ASLR.)

Vidare gladde det mig att han konstaterade att stulna eller förlorade enheter utgör den största risken. Om du är någon av mina kunder har du hört mig säga det många gånger, att Dino säger det har dock betydligt mer tyngd.

Några avslutande konstateranden angående iOS: använd iPad 2 (det finns inga boot ROM exploits), vänta på iOS 5 innan ni inför det på företaget, BlackBerrys dataskydd är mycket mer sofistikerat, iPhone 3 borde inte tillåtas på företag, Android saknar både NX och ASLR samt har ett svagare kodsignering och dataskydd.

--
Stefan Pettersson

When nano seconds count: börsbottar

Både på Blackhat och DEFCON talade James Arlen om Security when nano seconds count (pdf), närmare bestämt high frequency trading, en släkting till börsbottar eller algotrading som jag skrivit om innan. Det var en intressant dragning; det är tydligt, och i viss utsträckning förståeligt, att det sista som intresserar de här lirarna, är säkerhet. Standardförfarande verkar vara att trycka ut nyskrivna patchar i produktionssystem, under drift, medan börsen är öppen. Är det verkligen en bra idé att låta ett gäng professionella risktagare syssla med sånt här?

Spontant tror jag inte att attacker mot handlarna, varken mot dem som företag eller mot deras "algoritmer" (som norrmännen jag hänvisade till sist) är de stora riskerna. Jag är nog mer oroad över fenomen som t ex the Flash Crash. Skynet became self-aware at 2:14 am... (Kolla tidigare inlägg.)

"Finansaktivisten" Christer Gardell uttrycker också oro i SvD idag: "Marknaden har blivit ett monster".

Jag har två färdiga inlägg som sammanfattar Blackhat, de kommer under veckan. Jag måste få en chans att rulla runt dem i huvudet bara.

(Jag hittar inte filmklippet nu men Arlen inledde presentationen med ett klipp där Admiral Grace Hopper förklarar hur lång en nanosekund är. Det finns en hel del filmer på YouTube med henne, titta på alla!)

--
Stefan Pettersson

RSS 2.0