Effekt av RSA-intrånget?
Update @ 2011-05-30: Lockheed Martin tydligen.
Snabbt inlägg.
Någon snubbe påstår att ett företag i USA som levererar till amerikanska försvaret byter ut alla sina SecurID-tokens, enligt utsago p g a intrånget i RSA i mars där seeds sannolikt stals:
It seems likely that whoever hacked the RSA network got the algorithm for the current tokens and then managed to get a key-logger installed on one or more computers used to access the intranet at this company. With those two pieces of information they were then able to get access to the internal network.
Det första som slår mig är bristen på bakgrundshistoria. Hur vet han det här?
--
Stefan Pettersson
Snabbt inlägg.
Någon snubbe påstår att ett företag i USA som levererar till amerikanska försvaret byter ut alla sina SecurID-tokens, enligt utsago p g a intrånget i RSA i mars där seeds sannolikt stals:
It seems likely that whoever hacked the RSA network got the algorithm for the current tokens and then managed to get a key-logger installed on one or more computers used to access the intranet at this company. With those two pieces of information they were then able to get access to the internal network.
Det första som slår mig är bristen på bakgrundshistoria. Hur vet han det här?
--
Stefan Pettersson
NIST om molnet (och transparens)
NIST släppte för några dagar sedan rapporten NIST Cloud Computing Synopsis and Recommendations (pdf) som, namnet troget, ger rekommendationer för moln-leverantörer. Det glädjer mig att de nämner bristen på transparens, även om de viger utomordentligt lite utrymme för det:
8.4.1 Lack of Visibility
Subscribers may lack visibility into how clouds operate. If so, they will likely be unable to tell if their services are being undertaken and delivered in a secure manner. Different models of cloud service delivery add or remove different levels of control from the subscriber. However, the option for a subscriber to request that additional monitoring mechanisms are deployed at a provider’s site is plausible and currently used in a variety of non-cloud systems.
Som bekant så tror jag att transparens är viktigare än så.
--
Stefan Pettersson
8.4.1 Lack of Visibility
Subscribers may lack visibility into how clouds operate. If so, they will likely be unable to tell if their services are being undertaken and delivered in a secure manner. Different models of cloud service delivery add or remove different levels of control from the subscriber. However, the option for a subscriber to request that additional monitoring mechanisms are deployed at a provider’s site is plausible and currently used in a variety of non-cloud systems.
Som bekant så tror jag att transparens är viktigare än så.
--
Stefan Pettersson
Reservnycklar hos larmbolaget?
CJ bloggade om att låta sitt larm-/vaktbolag förvara kopior på dina hemnycklar. Tanken är att de, när larmet går och väktare rycker ut, kan låsa upp din dörr, gå in i huset och utföra en "inre kontroll av bostaden och återställa säkerheten". CJ skriver:
Wow, tänker jag... kommer det verkligen göra mig säkrare att jag har en nyckel liggande hos ett företag någonstans?
Precis, larmbolaget tar ju detta för givet, men det är ju inte alls säkert (no pun intended). Vidare oroas CJ av bristen på insyn och transparens:
Hur skyddar de min nyckel? Hur många har tillgång till den? Vore inte det jävligt grymt om jag vore lite shady, fixade anställning där, började kopiera nycklar och gjorde lite business? Eller säg att jag redan är anställd och ser möjligheten till lite extra "business on the side"?
Ett problem med transparens-teorin som jag beskriver den är att väldigt få kommer att kräva detta av leverantören så det kommer att bli svårt att införa med marknadskrafter. Kanske ett övergående problem men förmodligen permanent.
I det här fallet med beror det naturligtvis inte på att majoriteten inte skulle _kunna_ analysera (och ta ställning utifrån) informationen om hur Sector Alarm förvarar nycklarna. Att förvara nycklar hos en tredjepart är en rätt naturlig och verklighetsanknuten åtgärd. Det borde inte vara särskilt problematiskt för någon att bedöma säkerhetsfördelarna, bara transparensen fanns där.
Det är synd att den inte finns där. Som vanligt får man nöja sig med det man har.
Det är faktiskt ett utmärkt tillfälle att använda Schneiers femstegsmetod från Beyond Fear. I boken används fem frågor för att, på ett relativt strukturerat sätt, utvärdera säkerhetsåtgärder:
1. What assets are you trying to protect?
2. What are the risks to these assets?
3. How well does the security solution mitigate those risks?
4. What other risks does the security solution cause?
5. What trade-offs does the security solution require?
Det vi analyserar är alltså huruvida vi ska låta larmbolaget ha nycklar till huset så att de kan ta sig in för att återställa säkerheten efter att larmet har gått.
1. Vad är det vi vill skydda?
Vi vill skydda vårt hem, våra tillgångar i huset och oss själva.
2. Vilka risker står de inför?
En risk är att någon finns kvar i huset efter att larmet har gått. En annan är att det rör sig om vandaler som t ex har proppat vasken och satt på kranen för att orsaka översvämmning alternativt startat en mindre eldsvåda. Problem som man gärna ser att en väktare tar hand om direkt, innan man själv kommer hem kanske några timmar senare. Generellt handlar det om händelser som antingen inte går att upptäcka genom att titta in i fönster eller inte går att påverka utan att vara inne i huset.
En ganska viktig faktor i bedömningen är: hur vanligt är det med sådana problem? (Minns sannolikhetsproblemet.) Det enklaste sättet jag kan tänka mig att få en uppfattning är att ringa leverantören ett par-tre gånger (vid olika tillfällen till olika säljare) och fråga hur ofta de hämtar ut nyckeln respektive har användning för den. De är säkert sugna på att återberätta någon (framgångs-)anekdot.
Något som i det här fallet förmodligen inte väger in men likväl är något man aldrig får glömma är: vilka är vi egentligen? Har vi ett stort lyxhus? Ligger huset ensides? Har vi en balkongdörr mot ett skogsparti? Är vi kända i kvarteret för att ha pengar liggandes? Heter vi Vilks i efternamn? Svaren väger in gällande inbrott generellt men det är inte säkert att det påverkar just de risker som nyckel-utlämningen kan lösa.
Tills vidare kan vi göra antagandet att sannolikheten för sådana risker är låg.
3. Hur väl hanteras risken?
För de specifika riskerna, ganska väl. Beroende på storlek på samhället kommer väktaren att vara där på några minuter, däremot kan det säkert ta en timme för dig att komma hem från jobbet, längre om du är bortrest.
4. Vilka andra risker introduceras?
Det första uppenbara problemet är att det nu finns två sätt att få tag på en nyckel till ditt hus. Antingen kan man ta din eller larmbolagets. Det är rimligt att anta att larmbolagets kopia inte förvaras centralt på leverantörens huvudkontor utan på lokalkontor hos diverse kontrakterade vaktbolag på orter runt om i Sverige. Men, vi vet inte hur dessa skyddas p g a transparensbrist.
Ytterligare ett potentiellt problem, det CJ nämner, är att väktarna och eventuellt andra har tillgång till dina nycklar och kan missbruka detta. Du litar redan på att de ska rycka ut och kolla upp ditt hem när larmet går. Litar du på att de inte missbrukar tillgången till dina nycklar? Det finns ju flera sätt:
5. Vilka tradeoffs måste du göra?
Egentligen inga, ditt hus, ditt larm, din dörr och hur du använder dina nycklar kommer att fungera precis likadant.
Slutsatser
Det är en relativt enkel analys att göra och vi har lärt oss en hel del men det är fortfarande svårt att ta ställning. Personligen skulle jag vilja veta hur nycklarna förvaras på det lokala vaktkontoret och vilka rutiner de har för att hämta ut nycklar.
Vilka krav ställer larmbolaget på dem? Det finns t ex jättehäftiga nyckelskåp med datorer i som ordnar spårbarhetsfrågan, man kan förvara nycklarna i kuvert med sigill, tvinga väktare att fylla i en rapport varje gång en nyckel öppnas, skicka automatgenererade SMS till ägaren när nycklar hämtas ut, etc, etc.
För att kunna ställa rimliga krav måste man, som jag skrev ovan, ha en uppfattning om hur ofta utryckningar med nyckeluthämtning sker. En generell riktlinje jag skulle ha rekommenderat vid designen är att det ska vara en stor grej att hämta ut någons nyckel och gå in i deras hus, det är inget man gör rutinmässigt.
--
Stefan Pettersson
Wow, tänker jag... kommer det verkligen göra mig säkrare att jag har en nyckel liggande hos ett företag någonstans?
Precis, larmbolaget tar ju detta för givet, men det är ju inte alls säkert (no pun intended). Vidare oroas CJ av bristen på insyn och transparens:
Hur skyddar de min nyckel? Hur många har tillgång till den? Vore inte det jävligt grymt om jag vore lite shady, fixade anställning där, började kopiera nycklar och gjorde lite business? Eller säg att jag redan är anställd och ser möjligheten till lite extra "business on the side"?
Ett problem med transparens-teorin som jag beskriver den är att väldigt få kommer att kräva detta av leverantören så det kommer att bli svårt att införa med marknadskrafter. Kanske ett övergående problem men förmodligen permanent.
I det här fallet med beror det naturligtvis inte på att majoriteten inte skulle _kunna_ analysera (och ta ställning utifrån) informationen om hur Sector Alarm förvarar nycklarna. Att förvara nycklar hos en tredjepart är en rätt naturlig och verklighetsanknuten åtgärd. Det borde inte vara särskilt problematiskt för någon att bedöma säkerhetsfördelarna, bara transparensen fanns där.
Det är synd att den inte finns där. Som vanligt får man nöja sig med det man har.
Det är faktiskt ett utmärkt tillfälle att använda Schneiers femstegsmetod från Beyond Fear. I boken används fem frågor för att, på ett relativt strukturerat sätt, utvärdera säkerhetsåtgärder:
1. What assets are you trying to protect?
2. What are the risks to these assets?
3. How well does the security solution mitigate those risks?
4. What other risks does the security solution cause?
5. What trade-offs does the security solution require?
Det vi analyserar är alltså huruvida vi ska låta larmbolaget ha nycklar till huset så att de kan ta sig in för att återställa säkerheten efter att larmet har gått.
1. Vad är det vi vill skydda?
Vi vill skydda vårt hem, våra tillgångar i huset och oss själva.
2. Vilka risker står de inför?
En risk är att någon finns kvar i huset efter att larmet har gått. En annan är att det rör sig om vandaler som t ex har proppat vasken och satt på kranen för att orsaka översvämmning alternativt startat en mindre eldsvåda. Problem som man gärna ser att en väktare tar hand om direkt, innan man själv kommer hem kanske några timmar senare. Generellt handlar det om händelser som antingen inte går att upptäcka genom att titta in i fönster eller inte går att påverka utan att vara inne i huset.
En ganska viktig faktor i bedömningen är: hur vanligt är det med sådana problem? (Minns sannolikhetsproblemet.) Det enklaste sättet jag kan tänka mig att få en uppfattning är att ringa leverantören ett par-tre gånger (vid olika tillfällen till olika säljare) och fråga hur ofta de hämtar ut nyckeln respektive har användning för den. De är säkert sugna på att återberätta någon (framgångs-)anekdot.
Något som i det här fallet förmodligen inte väger in men likväl är något man aldrig får glömma är: vilka är vi egentligen? Har vi ett stort lyxhus? Ligger huset ensides? Har vi en balkongdörr mot ett skogsparti? Är vi kända i kvarteret för att ha pengar liggandes? Heter vi Vilks i efternamn? Svaren väger in gällande inbrott generellt men det är inte säkert att det påverkar just de risker som nyckel-utlämningen kan lösa.
Tills vidare kan vi göra antagandet att sannolikheten för sådana risker är låg.
3. Hur väl hanteras risken?
För de specifika riskerna, ganska väl. Beroende på storlek på samhället kommer väktaren att vara där på några minuter, däremot kan det säkert ta en timme för dig att komma hem från jobbet, längre om du är bortrest.
4. Vilka andra risker introduceras?
Det första uppenbara problemet är att det nu finns två sätt att få tag på en nyckel till ditt hus. Antingen kan man ta din eller larmbolagets. Det är rimligt att anta att larmbolagets kopia inte förvaras centralt på leverantörens huvudkontor utan på lokalkontor hos diverse kontrakterade vaktbolag på orter runt om i Sverige. Men, vi vet inte hur dessa skyddas p g a transparensbrist.
Ytterligare ett potentiellt problem, det CJ nämner, är att väktarna och eventuellt andra har tillgång till dina nycklar och kan missbruka detta. Du litar redan på att de ska rycka ut och kolla upp ditt hem när larmet går. Litar du på att de inte missbrukar tillgången till dina nycklar? Det finns ju flera sätt:
- Ta nycklar, gör inbrott, lämna tillbaks nycklar.
- Ta nycklar, kopiera, lämna tillbaks, gör inbrott vid annat tillfälle.
- Fotografera nycklar, gör kopior, gör inbrott vid annat tillfälle.
5. Vilka tradeoffs måste du göra?
Egentligen inga, ditt hus, ditt larm, din dörr och hur du använder dina nycklar kommer att fungera precis likadant.
Slutsatser
Det är en relativt enkel analys att göra och vi har lärt oss en hel del men det är fortfarande svårt att ta ställning. Personligen skulle jag vilja veta hur nycklarna förvaras på det lokala vaktkontoret och vilka rutiner de har för att hämta ut nycklar.
Vilka krav ställer larmbolaget på dem? Det finns t ex jättehäftiga nyckelskåp med datorer i som ordnar spårbarhetsfrågan, man kan förvara nycklarna i kuvert med sigill, tvinga väktare att fylla i en rapport varje gång en nyckel öppnas, skicka automatgenererade SMS till ägaren när nycklar hämtas ut, etc, etc.
För att kunna ställa rimliga krav måste man, som jag skrev ovan, ha en uppfattning om hur ofta utryckningar med nyckeluthämtning sker. En generell riktlinje jag skulle ha rekommenderat vid designen är att det ska vara en stor grej att hämta ut någons nyckel och gå in i deras hus, det är inget man gör rutinmässigt.
--
Stefan Pettersson
Göm strömkabeln!
När vi ändå är inne på polisbilar; Police laptop stolen from cruiser parked at dealership:
A police department laptop computer containing "a fair amount of records" was stolen from a marked cruiser and an on-board camera was damaged while the cruiser was left at an auto dealership for service, said Chief Jon Tretter.
[...]
The police chief said he's been advised that it's unlikely anyone could access personal information stored on the stolen laptop because the battery is so old it barely functions without a companion power cord. [betoning tillagd]
Tack till Martin dF för tipset! Trevlig helg!
--
Stefan Pettersson
A police department laptop computer containing "a fair amount of records" was stolen from a marked cruiser and an on-board camera was damaged while the cruiser was left at an auto dealership for service, said Chief Jon Tretter.
[...]
The police chief said he's been advised that it's unlikely anyone could access personal information stored on the stolen laptop because the battery is so old it barely functions without a companion power cord. [betoning tillagd]
Tack till Martin dF för tipset! Trevlig helg!
--
Stefan Pettersson
Hacka polisbilar
När jag såg det här kom jag osökt att tänka på CJ:s två inlägg: Myndigheternas tysta ägare och Systemet du köpte innehöll en bakdörr.
I korthet, Kevin Finisterre på säkerhetskonsultfirman Digitalmunitions genomförde förra året penetrationstester mot bl a en polismyndighet (i USA). Under testet dök följande upp:
PORT STATE SERVICE VERSION
21/tcp open ftp
23/tcp open telnet?
53/tcp open domain dnsmasq 2.35
111/tcp open rpcbind 2 (rpc #100000)
554/tcp open tcpwrapped
1234/tcp open hotline?
1723/tcp open pptp linux (Firmware: 1)
3000/tcp open ssh OpenSSH 4.3p2 Debian 9etch2 (protocol 2.0)
| ssh-hostkey: 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx (DSA)
|_2048 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx (RSA)
3001/tcp open http Jetty httpd 6.1.5
|_http-methods: No Allow or Public header in OPTIONS response (status code 401)
|_html-title: Error 401
| http-auth: HTTP Service requires authentication
|_ Auth type: basic, realm = UARealm
Device type: firewall|general purpose
IP-adressen tillhörde en polisbil, närmare bestämt en MDVR.3xx från Safety Vision, ett kamerasystem i en polisbil.
I korthet, Kevin Finisterre på säkerhetskonsultfirman Digitalmunitions genomförde förra året penetrationstester mot bl a en polismyndighet (i USA). Under testet dök följande upp:
PORT STATE SERVICE VERSION
21/tcp open ftp
23/tcp open telnet?
53/tcp open domain dnsmasq 2.35
111/tcp open rpcbind 2 (rpc #100000)
554/tcp open tcpwrapped
1234/tcp open hotline?
1723/tcp open pptp linux (Firmware: 1)
3000/tcp open ssh OpenSSH 4.3p2 Debian 9etch2 (protocol 2.0)
| ssh-hostkey: 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx (DSA)
|_2048 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx (RSA)
3001/tcp open http Jetty httpd 6.1.5
|_http-methods: No Allow or Public header in OPTIONS response (status code 401)
|_html-title: Error 401
| http-auth: HTTP Service requires authentication
|_ Auth type: basic, realm = UARealm
Device type: firewall|general purpose
IP-adressen tillhörde en polisbil, närmare bestämt en MDVR.3xx från Safety Vision, ett kamerasystem i en polisbil.
Efter att nmap kallnat blir det snabbt rätt obehagligt. (1) Telnetdaemonen har någon bugg som gör att användarnamn och lösenord inte efterfrågas vid inloggning vilket ger (2) tillgång till systemets hårddisk och konfiguration där användarnamn och (3) default-lösenord för FTP-servern (4) lagras i klartext. (5) Från FTP:n kan lagrade filmsekvenser hämtas ner. Som grädde på moset kan en (6) live-feed från kameran tas emot från 1234/tcp. Finisterre skrev en kortare artikel (pdf) om händelseförloppet. Av någon anledning innehåller den väldigt många underliga foton...
Vad kan man säga? Blind tro är inte bra, kontroll är bättre. Att verifiera är ödmjukt om man själv låter sig verifieras. Lita inte på att leverantören gör ett bra jobb. I vissa fall är de svåra att kontrollera på egen hand (molnleverantörer t ex) men i sådana här fall är det möjligt. Du har ju kontroll över utrustningen.
--
Stefan Pettersson
Molnleverantörers transparens
Den här säkerhetsbloggen har varit i molnet i ungefär 1,5 år nu. Molnet verkar vara, precis som Skynet, inevitable. Att köpa databehandling på samma sätt som man köper elektricitet, värme eller vatten attraherar många.
Den övergripande skillnaden är dock att du måste lita på din molnleverantör i mycket högre utsträckning. Visst, du måste också lita på att elleverantören inte tar betalt för mer el än de levererar och att vattenleverantören levererar rent vatten. Men om det skulle visa sig att de försöker blåsa dig så är ingen större skada skedd, be dem att fara åt skogen och byt till en ny leverantör. Mer eller mindre.
När en tredjepart sitter på dina hemligheter är det värre. Om de läcker så är den berömda katten ute ur säcken och går inte att stoppa tillbaka. Hur förtjänar du detta förtroende som molnleverantör?
Jag tror att svaret på det här är transparens. För att behålla förtroendet efter driftstörningar, intrång eller vad det kan röra sig om måste leverantören gå ut med detaljerad, sanningsenlig information till sina kunder. Ungefär som Amazon har gjort efter störningarna i EC2. Öppenheten borde inte heller begränsas till kunder, den borde riktas till allmänheten (eftersom de vill ha fler kunder). Ungefär som Amazon.
Nästa steg borde vara proaktiv transparens. "Så här fungerar vår tjänst, det är ingen hemlighet vad som gör oss bättre än konkurrenterna." Tänk om det kan bli slutet på glansiga whitepapers med svepande beskrivningar och varumärkesskyddade begrepp och början på meningsfulla, trovärdiga beskrivningar?
Från Amazons rapportering gillar jag särskilt:
The trigger for this event was a network configuration change. We will audit our change process and increase the automation to prevent this mistake from happening in the future. However, we focus on building software and services to survive failures. Much of the work that will come out of this event will be to further protect the EBS service in the face of a similar failure in the future. [betoning tillagd]
Det är ett enormt starkt koncept. En vis man sa: "do not make failure less likely, make failure less meaningful".
--
Stefan Pettersson
Den övergripande skillnaden är dock att du måste lita på din molnleverantör i mycket högre utsträckning. Visst, du måste också lita på att elleverantören inte tar betalt för mer el än de levererar och att vattenleverantören levererar rent vatten. Men om det skulle visa sig att de försöker blåsa dig så är ingen större skada skedd, be dem att fara åt skogen och byt till en ny leverantör. Mer eller mindre.
När en tredjepart sitter på dina hemligheter är det värre. Om de läcker så är den berömda katten ute ur säcken och går inte att stoppa tillbaka. Hur förtjänar du detta förtroende som molnleverantör?
Jag tror att svaret på det här är transparens. För att behålla förtroendet efter driftstörningar, intrång eller vad det kan röra sig om måste leverantören gå ut med detaljerad, sanningsenlig information till sina kunder. Ungefär som Amazon har gjort efter störningarna i EC2. Öppenheten borde inte heller begränsas till kunder, den borde riktas till allmänheten (eftersom de vill ha fler kunder). Ungefär som Amazon.
Nästa steg borde vara proaktiv transparens. "Så här fungerar vår tjänst, det är ingen hemlighet vad som gör oss bättre än konkurrenterna." Tänk om det kan bli slutet på glansiga whitepapers med svepande beskrivningar och varumärkesskyddade begrepp och början på meningsfulla, trovärdiga beskrivningar?
Från Amazons rapportering gillar jag särskilt:
The trigger for this event was a network configuration change. We will audit our change process and increase the automation to prevent this mistake from happening in the future. However, we focus on building software and services to survive failures. Much of the work that will come out of this event will be to further protect the EBS service in the face of a similar failure in the future. [betoning tillagd]
Det är ett enormt starkt koncept. En vis man sa: "do not make failure less likely, make failure less meaningful".
--
Stefan Pettersson
