TLS: dags att bli orolig?

TLS (SSL) har fått sig ytterligare en törn i rapporten Certified Lies: Detecting and Defeating Government Interception Attacks Against SSL (pdf); Matt Blaze och John Wilander har skrivit bra sammanfattningar.

Problemet man har blivit varse om är att t ex statlig underrättelsetjänst kan gå till en CA och säga något i stil med:

- Good afternoon, my name is Mr. Smith. I would like you to sign this certificate for mail.google.com.

Andra organisationer kan förstås ha en annorlunda approach:

- Hey, my name is Paulie. Nice office you've got here, it would be terrible if something happened to it. You wouldn't mind signing this certificate for mail.google.com, would you?

...alternativt:

- You're signing this now! Capisce?


Din webbläsare bryr sig inte om det är Verisign, Thawte eller Benkes rör och cert som har signerat certifikatet från Gmail. Så länge deras rotcertikat finns förprogrammerat i den. Vad som är värre är att den inte heller reagerar på förändringar som att Gmail plötsligt byter CA från Thawte till Benkes rör och cert.

Förslaget i rapporten är att reagera på sådana här förändringar, något som de implementerat som en extension till Firefox. Detta är något som har föreslagits tidigare, se till exempel följande utdrag ur Apache Security av Ivan Ristic från 2005 (s. 83):


"The correct thing for a browser to do is to compare the copy of the certificate it stored upon first visit to the web site requested by the user with the copy offered to it now. Any changes could result in immediate termination of the session."

Som sagt, är det dags att bli orolig över skyddet som TLS erbjuder? Svaret på den frågan beror än så länge helt och hållet på vem du är. (Egentligen beror det på vilka hot du står inför men det brukar sammanfalla med vem du är.) Jag sammanfattar med några exempel (notera ordvalet "förmodligen"):

Du behöver förmodligen oroa dig om:
  • du arbetar som spion i ett främmande land,
  • du förbereder ett attentat mot politiker,
  • du tillhör en motståndsgrupp under en odemokratisk regering,
  • du är osams med starka kriminella grupper,
  • du planerar ett terrorangrepp eller
  • du associerar med någon som sysslar med någon av de ovanstående.
Du behöver förmodligen inte oroa dig om:
  • du vill skydda lösenordet när du loggar in på ett forum,
  • du vill göra bankaffärer från ett trådlöst nät,
  • du vill att dina kunder ska känna sig säkra när de handlar på din ebutik eller
  • du ska införa ett SSL-VPN på jobbet.
Jag försöker absolut inte förneka problemen med TLS. Lösningen med kommersiella CA:s som vi använder dem idag är säkerhetsmässigt helt sjuk. Om jag tillhörde någon av grupperna som behövde oroa sig ovan skulle jag inte känna mig avslappnad med ett hänglås i webbläsaren. Dock tillhör majoriteten av världens befolkning inte denna grupp och dessutom är det här inget nytt problem, det har funnits i många år. Vidare finns det ingen rimlig ersättare och det kommer att ta tid att hitta en.

Förmodligen ligger en revision av PKI-strukturen betydligt närmare än en ny teknologi.
Jag skulle mycket hellre se att det fanns ett litet antal (ensiffrigt) CA:s som uteslutande drevs av pedantiska whistleblowers. De skulle vara OCD-aktiga gällande verifieringen av ansökningar och gå ut i media direkt när någon försökte få någon annans certifikat signerat.

Det är min utopi men tills dess vinner vi nog väldigt lite på att hetsa upp oss.

--
Stefan Pettersson

Att mäta säkerhet igen

I think information security is quite possibly the most intellectually challenging profession on the planet. -Dr. Dan Geer

För ett halvår sedan skrev jag om att mäta säkerhet. Jag berättade om chefen på banken som tyckte att vi var idioter som inte kunde besvara frågor som "Hur säker är banken?" och "Spenderar jag rätt mängd pengar på säkerhet?". Otroligt nog var det här inte vilken chef som helst, det var informationssäkerhetschefen... Borde inte en sån lirare vara insatt i problematiken?

Förra inlägget handlade mer eller mindre bara om att vi säkerhetsfolk inte har ett bra sätt att mäta säkerhet. Chefen på banken tycker uppenbarligen att det här är synnerligen osedvanligt och förvånande. Det i själva verket är ett ganska alldagligt problem. Jämför frågan "hur säker är jag?" med t ex:
  • Hur lätt är det att använda er nya DVD-spelare?
  • Hur hållbar är din armbandsklocka?
  • Hur nöjda är ni med er lägenhet?
  • Hur snygg är din flickvän?
  • Hur bra ljud har du i dina högtalare?
  • Hur länge håller min nya hårddisk?
Det finns, utan tvekan, lämpliga svar på de här frågorna; det är jättelätt, den klarar av ett fall från 10 meter sju gånger av tio, vi trivs bättre än i förra lägenheten, hon är snyggare än Liv Tyler, fylligheten i mellanregistret är fantastisk, mean-time-between-failure är fem år o s v. De är dock inga mätetal. Det är subjektiva uppfattningar, jämförelser, lösryckta exempel och statistik. Varför finns det inte bankchefer där ute som är upprörda över att Western Digital inte på förhand kan berätta när hårddisken ska gå sönder?

Vi är vana vid det här problemet och tänker inte ens på det. Varför kan vi inte hantera säkerhet på samma sätt?

Vad gör vi när vi behöver trovärdiga svar på liknande frågor? DVD-spelaren till exempel; vi tar in en eller flera experter som har studerat användbarhet, som har erfarenhet av de hundratals DVD-spelare som gjorts tidigare, som vet vilka symboler folk förstår, som vet hur stor en knapp borde vara, var de borde vara placerade, hur det ska kännas att trycka på en knapp, etc. Man gör användartester, låter dem fylla i formulär, filmar dem medan de använder spelaren; gamla människor, unga människor, kvinnor, män, handikappade, etc.

Vad skulle den här analysen som användbarhetsexperterna genomfört leda till? 4,8 eller något annat värde mellan 1 och 10? Knappast, det skulle resultera i ett antal så-här-borde-du-göra. Rekommendationer man tyvärr måste lita på eftersom det är deras jobb att kunna sånt här. Det är förstås fritt fram (och uppmuntrat) för dig att ifrågasätta en rekommendation, experterna ska kunna försvara och motivera dessa.

Varför tycker ingen att detta är upprörande; att användbarhetsexperter inte heller kommer med mätetal?

Vadan denna fixering vid mätvärden?
Jo, problem som kräver experter är komplicerade. Så pass komplicerade att beslutsfattaren inte förstår problemet och därför inte kan göra bedömningen själv. Av denna anledning räcker tydligen inte heller rekommendationerna som beslutsunderlag. Vad som är lätt för beslutsfattaren, däremot, är att använda en enkel skala från 1 till 10 som underlag i frågor denne inte behärskar. ("Jag betalar om det är mer än 7,5. Det känns lagom.")

Det här måste helt enkelt betyda att beslutsfattaren inte litar på experten och lever i villfarelsen att siffror inte kan ljuga.

--
Stefan Pettersson


Att spåra en IP-adress

En 33-årig man från Göteborg skapade under söndagen och måndagen rubriker för att ha hotat om att genomföra en "skolmassaker" på KTH under måndagen. Hotet lades, föga oväntat, ut på bildformet 4chan under fredagen:


Enligt en artikel på sr.se från i söndags verkar det som att säkerhetsansvarig på KTH fick reda på det under helgen.

– Studenter mailade mig igår natt att de hade hittat det här på nätet, att det var ett hot mot KTH, säger Lena Edvardsson, säkerhetsansvarig vid skolan.

Dock kan "igår natt" betyda både natten till lördagen och natten till söndagen. Det är nog rimligt att anta att hon menar natten till lördag eftersom det var då posten lades upp på 4chan och kanalen ifråga är väldigt aktiv (poster försvinner snabbt) samt att det här är något man anmäler på direkten.

Gripande
Alltså, säkerhetsansvarig vaknar på lördag morgon med ett mail med bifogat screenshot. Kontaktar polis och berörd personal på KTH, har möte på söndag. I den citerade artikeln, på söndagen, har man fortfarande ingen aning om vem gärningsmannen är. Polis kontaktar FBI, FBI kontaktar 4chan (som förmodligen är van vid liknande kontakter) som ger ut IP-adressen ifråga, svensk polis kollar RIPE och kontaktar därefter berörd ISP som kontrollerar DHCP-loggen och ser vilken kund som använde adressen vid den tidpunkten. Polis åker till lägenheten och griper 33-åringen på måndag morgon. 33-åringen erkänner men hävdar att han inte menade allvar. Allt på mindre än 24 timmar.

Efterspel
Poliser stationeras på skolan under dagen även fast mannen är gripen. Vissa bloggare har attackerat detta och sagt att det är slöseri med skattepengar. Jag är osäker; för det första kan man ha fel och för det andra är det viktigt att studenter och personal känner sig trygga.

Läs mer om historien på geeky.se.

--
Stefan Pettersson

WAF

Ni kanske har hört talas om "webbapplikationsbrandväggar". På benämningen kan den listige gissa sig till vad det handlar om; en brandvägg för webbapplikationer. Tyvärr säger detta ingenting, ordet brandvägg har använts för att beskriva allt möjligt genom tiderna.

Web Application Firewall (WAF) verkar vara den term som branschen har konvergerat mot för ett system som filtrerar de anrop en webbapplikation tar emot från sina besökare. Alltså samma princip som för konventionella (nätverks)brandväggar som filtrerar paket från Internet på väg in mot det interna nätverket.

Anledningen till att jag tar upp ämnet är att WAF ofta missförstås precis som brandväggar missförstås. Jag har skrivit om det senare här och här. För WAF är missförståndet dock annorlunda och det slog mig när jag var och tittade på James Lyne från Sophos när han körde ett seminarie på IT Security Expo i förra veckan. Lyne sa något i stil med: "webbapplikationsbrandväggar är inget att ha, de är precis som intrångsdetektering och använder bara signaturer".

Det stämmer inte alls. Faktum är att en WAF liknar, och kan användas precis som, vanliga brandväggar i nätverket. En brandvägg definerar vilken TCP/IP-trafik som är tillåten. Paket får nå webbtjänster på den och den porten, namnservrn kan nås på den porten och så vidare. En WAF definerar vilka HTTP-anrop som är tillåtna. De här parametrarna ska vara siffror, de här parametrarna får bara innehålla bokstäver och så vidare. Enkelt. Det handlar om att driva igenom en policy, fast på ett annat lager i stacken.

Precis som brandväggar egentligen inte behövs eftersom servrarna själva kan se till att portarna är stängda kan applikationerna, naturligtvis, definera hur godkänd indata från besökare ska se ut. Men. Litar den som har ansvar för säkerheten på systemadministratörerna? Litar hon på utvecklarna? Har hon ens möjlighet att stänga portar eller göra indatavalidering? Allt är inte open source.

...så Sophos (och deras konkurrenter) borde alltså inse att deras produkter är "precis som intrångsdetektering och använder bara signaturer" även om signaturerna beskriver ett programs "beteende" (läs: "behavioral foo" eller "heuristic bar").

--
Stefan Pettersson

Debatt: Säkerhet är inte alltid i vägen

Jag fick en debattartikel publicerad på TechWorld nyss; Säkerhet är inte alltid i vägen.


Donald Norman, huvudsakligen känd för boken The Design of Everyday Things, skrev för en tid sedan en artikel om säkerhet; When Security Gets in the Way. En väldigt intressant text som jag kopplar till problemet säkerhetsfunktionalitet och säkerhetskvalitet som ligger svenska OWASP-ledaren John Wilander nära hjärtat. Ursäkta den skamlösa referensen till DN-artikeln. ;-)

--
Stefan Pettersson

Jul och nyår

Under jul- och nyårshelgerna vill man förstås ha det lugnt och stilla. Även så i nätverket. Ett gammalt djungelordspråk säger dock att "hackers arbetar på semestern". Några exempel:

Nyår 2005-2006 släpptes ett riktigt hårigt exploit för Windows; "WMF-exploitet" (MS06-001).
Nyår 2006-2007 knäcktes AACS (Advanced Access Content System) DRM-skyddet i HD-DVD.
Nyår 2007-2008 rullades ett omfattande intrång hos Aftonbladet upp.
Nyår 2008-2009 kom "the Curse of Silence", ett exploit som levererades över SMS (blev ingen hit direkt).

Vad har hänt den här gången då?

Gävlebocken
En nämnvärd händelse är ju bland annat den, något risktagande, Gävlebockens öde. För att citera Bocken själv:

Fruktansvärd natt! Sov sött under mitt vackra snötäcke när det plötsligt blev otäckt varmt. Det var eld!!! Vid tretiden lyckades någon bränna ned mig och förstöra den fantastiska julstämningen i Gävle. [...]

Gävlebockens webbkameror utsattes för en kraftig trafikökning från kl. 14 den 22 december fram till 03-tiden i natt. Detta innebar att webbkamerorna uppdaterades betydligt långsammare och det finns inga bilder från antändningen. Normalt sett uppdateras kamerabilderna var 3-4 sekund, medan det i natt kunde ta 10 minuter för bilderna att uppdaterats. Vi misstänker att det kan röra sig om en överbelastningsattack med syfte att göra webbkamerorna långsammare under själva attentatet.



Intressant i sammanhanget är att Gävle kommun inte får spara bilderna eftersom webbkamerorna inte räknas som övervakningskameror (rätt mig om jag har fel). De utgår från att få screenshots på relevanta kamerabilder av allmänheten när det behövs. Om inte allmänheten kan se förövarna så kan inte kommunen se dem heller. Smarta mordbrännare.

Enorma mängder lösenord på vift
En annan stor nyhet är att RockYou.com (en stödtjänst för MySpace, Facebook o s v) har gjort jordens blunder och åkt dit på tidernas lösenordsläcka. Sammanfattningsvis: (1) RockYou har extremt många användare, (2) de lagrar användarnas lösenord i klartext, (3) webbapplikationen har en SQL injection-sårbarhet och (4) en hackertyp utnyttjar hålet för att slussa ut 32 miljoner användarnamn och lösenord. TechCrunch har en lite utförligare sammanfattning.

En (den enda?) trevlig bieffekt är att 32 miljoner lösenord från en väldigt varierad användarbas är ett utmärkt underlag för lösenordsstatistik. Både "123456", "12345", "123456789", "1234567" och "12345678" finns bland de tio vanligaste lösenorden. De två förstnämnda står tillsammans för mer än en procent av alla lösenord.

0day i Adobe Reader och Acrobat
Redan den 15:e december gick Adobe ut med information där man bekräftade existensen av en 0day-sårbarhet som utnyttjades "in the wild". Trots det valde man att inte göra någon särskild satsning att patcha det här utanför sitt planerade släpp, utan istället lever vi nu fortfarande med sårbara PDF-läsare runt ikring oss. Inte förrän den 12:e januari kommer en fix att släppas. Enligt Adobes "director of security and privacy" skulle det nämligen hur som helst ta 2-3 veckor att komma med en fix, och då låg Adobe redan så nära det planerade släppet den 12:e att Adobe ansåg deras användare lika gärna kunde vänta.

Ett mindre klokt beslut kan tyckas, åtminstone när man står vid sidan om och ser på. Redan dagen efter Adobes bulletin släppte H D Moore en modul till metasploit som utnyttjade sårbarheten. Och naturligtivis haglar rapporterna om utnyttjande både vad gäller riktade angrepp samt mindre riktade (30.000+).


0day i MySQL
Avslutningsvis verkar det som att en sårbarhet har upptäckts i MySQL, "lyckligtvis" återfinns den än så länge i VulnDisco-packet för exploitverktyget CANVAS istället för "in the wild". Det blir det förmodligen ändring på snart...

Välkommen till ett nytt år!

--
Stefan & CJ

Säkerheten i tunnelbanans spärrar

Stockholms lokaltrafik (SL) har under många år kämpat mot trafikanter som inte betalar för sin resa; i folkmun så kallade plankare. Det har på senare år (och tidigare år också antar jag) varit en kontinuerlig debatt om huruvida det ska kosta att åka kollektivt. Jag är inte här för att lägga några värderingar i det hela så vi skippar den biten.

Ekonomiska styrmedel
Vad som är mer intressant är vad SL gör för att förhindra plankning. Det mest kända motmedlet är förmodligen bötern eller tilläggsavgiften som det kallas när man blir tagen på bar gärning utan giltig biljett. År 2007 höjdes avgiften från 600 kr till 1200 kr. Böter är en form av ekonomiskt styrmedel som syftar till att plankare ska gå i förlust på sina aktiviteter och därför låta bli. Tanken är att en böter kostar mer än biljetten gör per månad och att det räcker med att åka dit en gång i månaden för att förlora på det.

Styrmedlet lider av ett par problem. Att bli "tagen på bar gärning" innebär att en biljettkontrollant stoppar dig innanför spärrarna och ber dig visa din biljett, om du inte kan göra det får du ett inbetalningskort på 1200 spänn.

Problem #1: Det är inte särskilt vanligt med kontrollanter. Jag åker tunnelbana och buss varje vardag och har de senaste fem åren varit med om det två gånger. Andra gången hade det varit möjligt att undvika kontrollen helt. De flesta man pratar med verkar ha ungefär samma uppfattning.

Problem #2: Kontrollanterna har inga särskilda rättigheter. Majoriteten av den personal som arbetar som biljettkontrollanter har inte rätt att tvinga dig att visa din biljett eller att stoppa dig. Plankaren kan alltså i regel ignorera kontrollanten och lugnt promenera vidare.

Dessa två problem har tillsammans resulterat i att man, i det långa loppet, sparar pengar på att planka. Även om du har kolossal otur och åker på tre böter första månaden så kommer det att jämna ut sig över tiden (om biljettkontrollerna fortsätter som de gjort historiskt). Dock är 3600 kr i böter på en månad något som många inte kan hantera i väntan på att det ska löna sig på sikt. Lösningen på det här "problemet" kom med P-kassan, en bötesfond skapad av organisationen Planka.nu. Som medlem betalar man 100 kr per månad till fonden och när man åker fast i en kontroll betalas boten med medel från fonden. (Den förväntande bötessumman per månad är alltså mindre än 100 kr.) På det här viset kan man som plankare kliva rakt in i "det långa loppet" eftersom man delar risken med alla andra. Fonden går inte back på grund av de två problemen ovan. Om SL dessutom skulle få för sig att fördubbla mängden kontroller borde alltså P-kassan bara kunna fördubbla sin medlemsavgift.

Organisationen Planka.nu går dessutom ut med information som underlättar för plankare. Till exempel vilken personal som har rätt att göra vad i tunnelbanan och hur man passerar olika typer av spärrar. Vilket för oss till nästa motmedel.

Fysiska hinder
Alla som har åkt tunnelbana i Stockholm har förstås sett spärrarna längs spärrlinjen, grindar som bara kan passeras med en giltig biljett. Spärrarnas utseende är olika beroende på station och utvecklas förstås över tiden. Som sig bör inom säkerhet handlar det om en kapprustning.


Spärrlinjen ovan består av (vad vi här kallar) första generationens spärrar. Hindret är ett treben som bara snurrar inåt om en giltig biljett har dragits. Säkerhetshålet som utnyttjades mot dessa är att trebenet snurrar utåt utan vidare (för trafikanter som passerar ut från tunnelbanan). Genom att dra trebenet emot sig ett sjättedels varv bildas en lucka som man kan gå genom (pedagogisk illustration).

För att förhindra detta sattes en sensor upp i form av en fotocell på insidan av varje spärr. Trebenet går bara att snurra om fotocellen har brytits (vilket den gör naturligt av ens ben när man passerar ut genom spärren). Problemet var att fotocellen är lätt att nå med foten från utsidan, spärren kan sedan passeras på samma sätt som innan (ytterligare illustration).

SL gick till motattack och flyttade ut sensorerna så att de inte går att nå med foten, se bilden nedan.


Det naturliga sättet att ta sig förbi det nya hindret blir att ta sig över det genom att ta tag på sidorna och hoppa (illustration). Något som SL på vissa stationer försöker försvåra genom att sätta upp plåtar på spärrarna.


Det är dock möjligt för agila personer att hoppa över även dessa (illustration). Den senaste modellen av spärr har en viss Star Trek-känsla med glasdörrar som glider åt sidan.

 

Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.

 

För den inbitne plankaren som inte är beredd att dra åt sig uppmärksamhet genom att klättra, tailgatea eller släppa en tidning på insidan finns det en annan lösning. Åk inte från stationer där dessa spärrar är uppsatta, eftersom de inte finns överallt kan man välja vilken säkerhetsnivå man är beredd att försöka passera. Åk från Hötorget istället för T-Centralen.

 

"Men, vad har tunnelbanan med något att göra egentligen?", hör jag dig säga. Det är bra övning att fundera kring system på det här sättet, oavsett om systemet är en Exchange-server, kollektivtrafiken eller telefontävlingar.

--

Stefan Pettersson


Tre grundläggande steg för att hamna i ett botnät

(Publicerad 2009-11-20)

Network World har nyss släppt artikeln 3 Basic Steps to Avoid Joining a Botnet, tipsen är som följer (fritt översatt):
  1. Patcha systemet och håll antivirusprogrammet uppdaterat.
  2. Använd de senaste versionerna av webbläsare.
  3. Var lite mer försiktig när du får länkar eller bifogade filer.
Det finns tusen liknande artiklar (vi är skyldiga till ett par). Efter att ha läst den i Network World undrar jag om det inte är nyttigt att göra motsatsen, det borde åtminstone visa på hur lätt det kan vara att trilla dit.

Så, tre grundläggande steg för att hamna i ett botnät:
  1. Installera Windows XP, skippa gärna ett servicepack för bättre effekt men det är inte nödvändigt.
  2. Installera massor av program, som minst följande; Quicktime, Adobe Acrobat, Adobe Flash, WinAmp, RealPlayer, Java RE och Microsoft Office.
  3. Öppna Internet Explorer 6 och ge dig ut och surfa som vanligt. Det kanske tar tio minuter, det kanske tar fyra månader, men snart så är du med i botgänget.
Men, säger många, det där låter som min kompis dator. Ja men sen finns det ju väldigt många, väldigt stora botnät också, någons dator måste ju ingå i dem.

Trevlig helg i alla fall!

--
Stefan Pettersson

Att förstå bedrägerioffer

(Publicerad 2009-11-18)

Säkerhetsforskarlaget på Cambridge har värpt ännu ett guldägg.

Tillsammans med en av personerna bakom den brittiska TV-serien The Real Hustle ("Syna bluffen" i svensk TV) har Frank Stajano författat rapporten Understanding scam vicitims: seven principles for systems security (pdf).


Sammanfattningen av rapporten lyder:

The success of many attacks on computer systems can be traced back to the security engineers not understanding the psychology of the system users they meant to protect. We examine a variety of scams and “short cons” that were investigated, documented and recreated for the BBC TV programme The Real Hustle and we extract from them some general principles about the recurring behavioural patterns of victims that hustlers have learnt to exploit.

Rapporten tar bland annat upp det klassiska "spelet" Monte (Youtube-film) som t ex förekommer på Drottninggatan utanför riksdagshuset. Denna och ett gäng andra bedrägerier beskrivs och i rapportens andra halva kopplas sju principer som bedragarna använder för att kunna blåsa sina offer. De sju principerna är som följer:

1. The Distraction principle
Medan du är distraherad av vad som intresserar dig kan bedragare göra vad de vill mot dig och du kommer inte att märka det.

2. The Social Compliance principle
Samhället tränar personer till att inte ifrågasätta auktoriteter. Bedragare utnyttjar denna "minskning av misstänksamhet" för att få dig att göra som de vill.

3. The Herd principle
Även misstänksamma offer sänker guarden när alla andra i närheten verkar dela samma risker. Säker i flocken? Inte om alla konspirerar emot dig.

4. The Dishonesty principle
Allt illegalt du gör kommer att användas emot dig av bedragaren vilket gör det svårare för dig att söka hjälp från myndigheterna när du inser att du blivit lurad.

5. The Deception principle
Saker och personer är inte alltid vad de verkar vara. Bedragare vet hur de ska manipulera dig att tro att de verkligen är det.

6. The Need and Greed principle
Dina behov och önskningar gör dig sårbar. Så snart en bedragare vet vad du verkligen vill ha kan de enkelt manipulera dig.

7. The Time principle
När du ska fatta ett viktigt beslut under tidspress använder du en annorlunda beslutsstrategi. Bedragare styr dig mot en strategi som involverar mindre resonemang.

Stefan och Armanijackorna
Minns ni Stefan? Han som köpte tre skinnjackor av en "Italienare" på en bensinmack och insåg (med frugans hjälp) att de var (rejält dåliga) piratkopior först efter att han betalat 2 000 spänn för dem.

I det fallet utnyttjade bedragaren främst "The Need and Greed principle"; Stefan sade ju själv att han "blev bara begeistrad av att få så mycket märkesgrejor för så lite". Vidare gjorde jag antagandet att det hela gjordes under viss tidspress för att Stefan skulle ha begränsat med tid för att autentisera jackorna, ringa frugan, etc. Alltså "The Time principle". Naturligtvis passar också "The Deception principle".

Dessutom skulle man kunna applicera "The Dishonesty principle". Även om Stefan inte gör sig skyldig till ett brott i Sverige (i Italien hade det inneburit rejäla böter) så är det förstås inte helt kosher att köpa svindyra jackor billigt vid bensinmackar mitt i natten.

Uppdatering @ 13:24
Om det är något man ska ta med sig från rapporten så är det:
[...] it is naive and pointless just to lay the blame on the users and whinge that "the system I designed would be secure if only users were less gullible"; instead, the successful security designer seeking a robust solution will acknowledge the existence of these vulnerabilities as an unavoidable consequence of human nature and will actively build safeguards that prevent their exploitation.

--
Stefan Pettersson

Rumpbomben som får en att undra

(Publicerad 2009-10-08)

Frankrikes nationella underrättelsetjänst tycks anse att det är en bra idé att införa helkroppsröntgen på flygplatser. Detta sedan det för nån månad sedan skett ett mordförsök med en ”rumpbomb”. Men de kan väl aldrig mena allvar?


Efter ett mordförsök med en "rumpbomb" får vi nu alltså se hur långt gångna förslagen kan vara. Att införa helkroppsröntgen är väl förvisso att föredra framför fullständiga kroppsbesiktning i det här fallet, men är de verkligen seriösa med förslaget?

I augusti var "Feed Over E-mail" en världsnyhet. Jag bloggade om det, och P3 Nyheter intervjuade mig. Min ståndpunkt var kort att det handlade snarare om politik än något som skulle kunna göra en praktisk skillnad för den stora massan.

Liknande tror jag det är med den här storyn. Det *kan* bara inte vara så att fransmännens underrättelsetjänst är så dumma. Bruce Schneier sammanfattade argumenten mot idén redan innan den kommit ut:
  1. Man får inte plats med så mycket sprängmedel, så det kan inte bli någon stor detonation
  2. Att detonera en sådan bomb är problematiskt
  3. Den mänskliga kroppen kommer ta upp en stor del av explosionen (tänk på någon som slänger sig över en granat för att rädda sina kompisar)
Utan att gå in närmre på det så hävdar jag att det helt enkelt är en vansinnig ekvation att införa helkroppsscanners för en sådan här sak. Och det är väl klart att fransmännen förstår det! Även om vi fått se prov på att underrättelsetjänster inte är så smart som man skulle tro, så finns det ändå gränser. Så vilka är de verkliga motiven?

Jag har ett förslag: En sidoeffekt från röntgen här vore att man skulle se alla som försöker smuggla knark genom att svälja en större mängd små ”gummibollar”, var och en med bara några gram knark. Det är i praktiken ett långt större problem än människor som stoppar upp sprängmedel. Betydligt vanligare förekommande.Och vad är enklast att få folk att acceptera: att de ska bli kränkta i jakten på knark - något som är långt borta från Svensson-vardagen - eller att de ska bli skyddade från att bli sprängda i luften?

Edit: Det kan förstås också vara ytterligare ett exempel av Cover Your Ass (pun intended),  att de helt enkelt inte är seriösa med förslaget utan mest vill ha något att visa på om något nånsin skulle hända som hade kunnat upptäckas med en helkroppsröntgen.

--
Carl-Johan "CJ" Bostorp

Autentisera transaktionen inte personen

(Publicerad 2009-09-23)

Under konferensen i Polen i maj i år bloggade jag om hur bankernas tvåfaktorsautentisering borde göras. Schneier är lite bättre på att förklara...

Allas vår Bruce bloggade igår om Hacking Two-Factor Authentication och pratar specifikt om bankernas användning av tvåfaktorsautentisering. Det centrala budskapet är:

We have to stop trying to authenticate the person; instead, we need to authenticate the transaction.

Det är precis det här jag pratade om på OWASP Swedens blogg (även om jag inte var tillräckligt skärpt för att få ur mig frasen i rubriken ovan) som vi gästade under konferenserna i Polen i våras.

[...] Om alla tre värden ingår i checksumman (från, till, summa) och det framgår tydligt i bankdosan vad det är du fyller i så att det står "Mottagarkonto:" istället för "SÄKKOD #3" eller liknande (som i dagens) blir det svårare att lura en användare. Man ska märka att man gör fel "hey, det här är inte min mammas kontonummer". Det är en större tröskel att slå in den där "verifieringskoden" när det står "Mottagarkonto:" på dosan.

Det är svårt att prata om sådana här saker på ett koncist och förståeligt sätt. Bruce är en av de bästa på det. Om du inte har sett honom tala tidigare och har en timme över, kolla in The Future of the Security Industry: IT is Rapidly Becoming a Commodity från OWASP Minneapolis den 24 augusti.

--
Stefan Pettersson

Inkompetens ett större problem än ondska (del 2)

(Publicerad 2009-08-28)

I förra delen lades ett påstående fram. Att man genom att skydda sig mot interna brottslingar automatiskt kan skydda sig mot inkompetens. Hur kommer det sig?


Som av en händelse blev ämnet på tapeten när landstingets granskning av hur sjukhusen i Skåne drabbades av Conficker i våras publicerades. CS skriver "Slarv bakom virusangreppet i Skåne":

Det står klart att dåligt uppdaterade Windowsdatorer bär en del av skulden till att den skadliga koden kunde sprida sig så snabbt och till så stora delar av sjukvårdens it-system. En säkerhetsuppdatering som Microsoft släppte i oktober 2008 saknades på minst 1 000 datorer. Just den säkerhetslucka som åtgärdas med uppdateringen är en av dem som masken Conficker utnyttjar för att infektera fler maskiner på nätverket.

Hur som helst, förra posten avslutades med följande påstående:

Skydd implementerade för att motverka elakingar motverkar generellt också klantar. Dock inte nödvändigtvis tvärtom.

Påståendet är lätt att ta till sig när man inser att elakingen kan välja att ignorera bestämmelser och försöka gå förbi skydd. En varningsskylt vid utgången som säger "Du har väl inte känslig data med dig hem?" leder sannolikt till att färre råkar få med sig data hem. (Givetvis gäller detta bara fram till att alla har vant sig vid skylten och inte ser den längre eller slutar bry sig för att det uppfattas som en dum regel.) Samma sak gäller för bensinmackar på landet som lånar ut toalettnyckeln på en nyckelring i form av en 30 cm lång två-tum-fyra så att den inte ska glömmas kvar i fickan.

Man behöver inte ens gå in på i vilken utsträckning skylten och nyckelringen hindrar elakingar...

(Här skulle man kunna dra en tydlig parallell till säkerhetskontroller som är implementerade på klientsidan. Vi skippar det.)

Vad kan göra för att skydda sig mot elakingar på riktigt då? Och, framför allt, påverkar det samtidigt klantarna? (Detta är inte nödvändigtvis en uttömmande lista.)

Minimera möjligheter till insiderbrott:
  1. Betro bara personer du tror att du kan lita på.
  2. Betro så få personer som möjligt.
  3. Betro varje person så lite som möjligt.
  4. Tillse att personer har överlappande ansvar.
  5. Betala betrodda personer väl.
  6. Straffa brott mot förtroendet och var öppen med det.
(Punkterna ovan är inspirerade av tankar från Bruce Schneier och Ross Anderson, något anpassad för svenska förhållanden.)

Det är självklart att ovanstående är riktat mot eventuella elakingar men hur påverkar det klantarna?

(1) På samma sätt som du känner att du kan lita på att grannen inte stjäl din post när hon vattnar dina blommor under semestern kan du eventuellt också lita på att hon inte glömmer att låsa dörren efter sig. En semestervattnare bör ha båda kvaliteter. Om du inte har en egen uppfattning kan du exempelvis kontrollera med andra grannar som du litar på vad de har för uppfattning (jfr bakgrundskontroll).

(2) Ju färre som har tillgång till känslig information, desto färre kan sprida den av misstag.

(3) Ju mindre information som är tillgänglig för personen, desto mindre värde kan förloras.

(4) Här avses överlappande ansvar som att det krävs två eller fler personer för att genomföra något, även att klanta sig. På samma sätt som två semestervattnare kan kontrollera varandra så att de inte stjäl posten kan de påminna varandra om att stänga balkongen efter sig.

(5 och 6) Båda handlar om att ge personen mer att förlora, det kommer naturligt att personer aktivt undviker detta. Dessa två är förmodligen de som är minst effektiva mot klantarna.

Där har ni det. Huruvida man borde öppet, straffa systemadministratörer som inte patchar 1 000 Windowsdatorer mot ett nästan två månader gammalt säkerhetshål som är lätt att utnyttja är dock en helt annan fråga.

--
Stefan Pettersson

Inkompetens ett större problem än ondska (del 1)

(Publicerad 2009-08-26)

RSA har beställt en undersökning från IDC som tittar på insiderbrott. Resultaten är inte överraskande men intressanta.

BBC och The Register har artiklar om rapporten. Det mest intressanta resultatet är att 52 % av de incidenter ett företags egen personal står för beror på misstag medan endast 19 % görs med avsikt. (Ingen av artiklarna nämner de återstående procenten och originalrapporten står ej att finna.) Det här förstås smaskens. Än en gång (se Verizons 2009 Data Breach Investigations Report) visar det sig att insiderbrott inte är så vanligt som det sägs.

Resultatet är ganska lätt att acceptera; hur många på din avdelning tror du är kapabla (för någon definition på kapabla) till att stjäla känslig information och sprida jämfört med att sumpa ett USB-minne med samma data på tunnelbanan?

Det är ett vanligt misstag att överdriva sensationella hot (en rysk spion på säljavdelningen) och bagatellisera alldagliga (en slarvpelle på ekonomiavdelningen). Därför är det bra att problemet lyfts.

Så, hur skyddar man sig mot sina kollegor? Om vi delar in alla kollegor i två kategorier; elaka kollegor och klantiga kollegor. De flesta av oss kommer att (som tur är) tilldelas epitetet klantig. Ett intressant förhållande råder mellan elakingar och klantar:

Skydd implementerade för att motverka elakingar motverkar generellt också klantar. Dock inte nödvändigtvis tvärtom.

Jag tänkte återkomma till hur detta kommer sig i en senare post eftersom att jag har lovat mig själv att skriva kortare inlägg...

Avslutningsvis skriver The Register i artikeln:

IDC concludes that organisations ought to apply a comprehensive risk management-based approach to information security, rather than firefighting security problems.


Nähä?

(Se nästa del.)

--
Stefan Pettersson

Gotland är överlägset sämst

(Publicerad 2009-06-26)

Secunia har kommit ut med ny statistik om hur vanligt det är med sårbara program på desktopdatorer. Medeltalen är till och med fördelade på länsnivå... Gotlands län har det sämst ställt.


Uppdatering @ 2009-07-10: Gilså har plockat upp nyheten på IDG också och poängterar att de som har PSI redan har gjort något åt säkerheten. Sannolikt är det värre hos de utan.

Programmet
Secunia Personal Software Inspector (PSI) är ett (gratis)program som håller reda på vilka program du har på din dator och om de behöver patchas. PSI scannar dels efter installerade program men övervakar också nya installationer. Data om vad du har installerat skickas till Secunias HQ, tillbaka skickas (i gengäld) information om vad som behöver patchas (med direktlänkar till patchar).

Det är inte en så dum idé faktiskt. Alla Linux-varianter har haft samma sak i evigheter i och med pakethanteringssystemens intåg...

Jag har kört programmet mer eller mindre sedan det lanserades för något år sen. Föga oväntat så går det lite knackigt, det blir så när man ska försöka kontrollera hundratals olika former av installationsrutiner som olika Windowsprogram har. (Det är mycket smidigare i Linux.)

Jag skulle rekommendera att prova PSI och köra en scan, du kommer nog att bli överraskad.

Statistiken
Back to the point. Statistiken är presenterad i Secunias WorldMap. I snitt är det nio sårbara program per gotlänning... som kör Secunia PSI. 57 000 personer bor i Gotlands län. Secunia har dock undlåtit att berätta hur många av dem som kör PSI (jag kan inte hitta några siffror i alla fall, rätta mig om jag har fel). Värdet på statistiken på den nivån blir alltså rätt medioker. (Det blev en bra rubrik dock.)

Vad som är än mer irriterande med statistiken är att de inte berättar vilka program som oftast är sårbara. Jag ger mig på en gissning:
  1. Adobe Acrobat
  2. Adobe Flash
  3. QuickTime
  4. Java RE
  5. *joker*
Jag tror inte att Microsoft är med i toppen, även om de har mjukvara på _varenda_ dator med PSI, vilket de andra knappast har. Tack Microsoft Update. Man får ta med i sammanhanget att Microsoft har betydligt större rörelsefrihet och kraft i sina automatiska uppdateringar eftersom de "kontrollerar"operativsystemet som kontrollerar programmen.

Säkerhet
Säkerhet? Eh, jo, osäkra klientprogramvaror är naturligtvis en guldgruva för trojaner i legitima hemsidor som utnyttjar deras sårbarheter. Gumblar och grabbarna med andra ord.

Så...
(1) Det är intressant att medeltalet world-wide är fyra sårbara program per dator. Inte konstigt att klientattacker fungerar. (2) Automatiska uppdateringar är nog det bästa sättet att hålla siffran nere. För de program som inte har sådana funktioner finns PSI. Det kräver en del handpåläggning ibland men det är svårare att ignorera en säkerhetspatch när du får se det sådär svart på vitt.

Trevlig helg!

--
Stefan Pettersson

Försvarets hemligheter v SAP

(Publicerad 2009-06-05)

Försvarsmakten ska köra SAP. Det verkar bli ganska... dyrt. Dessutom klarar systemet inte kraven på hemlig information.

Computer Sweden skriver om hur 2,4 miljarder kronor satsas på Försvarsmaktens nya SAP-system. Det verkar dock som att FM har stött på patrull; SAP klarar inte av att hålla information som har en säkerhetsnivå av "hemlig" utan får bara innehålla upp till nivån "öppen".

Knappast förvånande. Affärssystem är enorma bestar av komplexitet, innehåller mängder av gammal kod och testas (med sannolikhet) i väldigt liten utsträckning (säkerhetstestning, that is). SAP är inget undantag.

Jag håller nog med CJ; "för två och en halv miljard kan man väl förvänta sig att någon tar på sig att utveckla ett affärssystem från scratch".

...ja, ett med några miljoner rader kod färre kanske? Spontant känns det lite orimligt att FM inte accepterar publika krypteringsalgoritmer eller kommersiella brandväggar (de kör Färist) hursomhelst. Att köra SAP däremot, det är piano.

Vi var på den nya, svenska säkerhetskonferensen Sec-T i höstas. Mariano Nuñez Di Croce presenterade sitt pentestverktyg för SAP; sapyto. Hans presentation finns att ladda ner (pdf), de övriga från Sec-T 2008 finns också att ladda ner (zip). SAP stora problem med bl a access control för användare och grupper samt standardlösenord... Ett smakprov från presentationen:


--
Stefan Pettersson

Vad är väl en brandvägg i nätverket (del 2)

(Publicerad 2009-05-06)

Förra gången diskuterade vi hur man kan se det som att brandväggar behövs när man inte kan lita på sina datorer. Är det verkligen så enkelt?

Ja. Problemet är att detta inte hjälper dig hela vägen eftersom du fortfarande måste lita på applikationerna som kör på dessa datorer när de går att nå genom brandväggen. (Naturligtvis måste du lita på din personal oavsett.) I förra delen sa vi ju att nya applikationer kan dras igång på datorer utan att den som är ansvarig vet om det. Brandväggar är dennes sätt att skydda sig mot sådant. Tyvärr är applikationer sårbara emellanåt och man kan inte lita på en sårbar applikation. Så här ser din brandvägg och webbtjänst ut idag:

Brandvägg släpper fram trafik till webbserver


Klienten (webbsurfaren) skickar sina paket rakt genom brandväggen hela vägen fram till webbservern. En av brandväggens huvuduppgifter är att släppa fram sådan trafik.

Nu kanske du säger att du kör ISA Server, att din brandvägg normaliserar HTTP-trafik eller liknande. Det är ju förstås bra; om webbservern har sårbarheter i sig (nyare IIS och Apache skulle klara sig fint) så behöver den inte bli tagen på sängen av en 8000 tecken lång User-Agent. Sådana brandväggar har möjlighet att skydda webbservern.

Som bilden tydligt visar slutar det dock inte där. Inkommande trafik kan te sig helt normal och följa webbserverns protokoll (HTTP) till punkt och pricka medan den skulle innebära en katastrof för applikationen.  En vanlig brandvägg, även en som förstår sig på HTTP, förstår sig inte på applikationens behov och begränsningar. Samma sak gäller i nästa steg mot databasen, varken applikationen eller brandväggen förstår sig på databasen. (Det är för övrigt därför vi har problem med SQL injection idag.)

Det här är förstås inget som stannar vid webbapplikationer. En brandvägg har precis lika liten uppfattning om hur andra komplicerade eller specialgjorda protokoll fungerar. Det finns givetvis funktioner i dyra brandväggar som kan kolla SMTP, FTP eller till och med andra protokoll efter fuffens. Tyvärr beror detta på att dessa protkoll är triviala jämfört med exempelvis kommunikationen mellan webbläsare och applikationer som Gmail eller EPiServer.

Är det något du ska ta med dig från den här blogposten så är det följande:
  1. En av brandväggens viktigaste uppgifter är att släppa fram trafik till webbservern.
  2. Brandväggar avgör vilka applikationer som ska vara nåbara.
  3. En brandvägg kan inte skydda en applikation eftersom den inte förstår dennes behov och begränsningar.
John Wilander (ledaren för svenska OWASP) säger att "applikationerna är det nya slagfältet". Jag kopierar och säger "applikationerna är det nya slagfältet och brandväggen kan inte hjälpa dig".

--
Stefan Pettersson

Twitter fortsätter drabbas av säkerhetsincidenter

(Publicerad 2009-05-02)

Ännu en gång har Twitter blivit drabbade av en säkerhetsincident. En fransk cracker tog sig in till administrationspanelen genom att få tag i en adminstratörs konto. Hur? Genom Yahoo.

Intrånget tycktes börja den 27:e april då en Twitter-adminstratörs Yahoo-konto togs över av fransmannen. Tillvägagångssättet var det samma som från förra året då Sarah Palin fick se sitt konto kapat; återställning av lösenordet. En något intresseväckande detalj i sammanhanget är att administratören bad Yahoo-security kontakta honom, men övervägde tydligen inte konsekvenserna för vad hans kapade konto på Yahoo skulle kunna ha i övrigt. Det visade sig att i hans maillåda fanns inloggningsuppgifter till administratörspanelen på Twitter.

Några reflektioner:
  • Mailkonton är nästan alltid bundna till andra konton.
  • Återigen så är beroenden något som missas. Och det är precis vad som används vid intrång - en angripare kommer vara väldigt medveten om vilka beroenden som finns eftersom han lägger kraft på att hitta dem.
  • Lösenordsåterställningsfunktioner är en balansgång mellan säkerhet och bekvämlighet. Grundproblemet finns dock alltid där: Hur vet man att personen verkligen är den som den utger sig för att vara?
  • Yahoo väljer det som passar den stora massan och det som blir billigast för Yahoo. Det är fullt rimligt.
  • Bland de som använder Yahoo Mail finns personer som tar risker som drabbar andra än dem själva. Förmodligen är detta risktagandet omedvetet.
  • Organisationer bör tydliggöra hur externa siter får användas. Utgångsläget bör vara att hålla all information helt inom organisationens kontroll och utanför andras.
  • Ska man förlita sig på andras system kan det vara klokt att göra en riskbedömning på beslutet först - i det inkluderas att utvärdera säkerhet i det systemet man förlitar sig på.
... man kan fundera på hur alla dessa säkerhetsincidenter påverkar Twitters affärer. Vid det här laget borde deras brist på säkerhet ha skrämt en hel del av Twitters högprofilerade användare så som Britney Spears och Ashton Kutcher. Kommer de verkligen våga fortsätta?

--
Carl-Johan "CJ" Bostorp

Vad är väl en brandvägg i nätverket? (del 1)

(Publicerad 2009-04-23)

Brandväggar har under många år fått bära ett tungt lass inom IT-säkerheten och förväntas lösa (lite väl) många av våra problem. I första delen ska jag försöka ändra din syn på brandväggar. De handlar nämligen en hel del om förtroende.


Varning: denna bloggpost tar inte hänsyn till förkortningar som UTM, VPN och IDP som brukar associeras med dagens brandväggar. Vi har en ganska gammaldags syn; en brandvägg är ett flexibelt paketfilter.

En lärare på ISY på Linköpings universitet, Niclas Wadströmer, hade en härligt klar syn på brandväggar. Han sade någon gång att man behöver en brandvägg om man inte kan lita på datorerna i sitt nätverk. Det här kan tyckas vara raka motsatsen till hur vi vanligen ser på saken, elakingarna är ju på Internet, utanför nätverket. Det är ju de vi inte litar på.

Det är dock lätt att få vem som helst att acceptera Niclas syn; om alla datorer på ditt nätverk är säkra så att du kan lita på dem och du behöver ingen brandvägg. I verkligheten kan tyvärr ingen riktigt göra det. Tillit är alltid farligt och robusta system är sådana som inte kräver att man litar på andra.

Det är nu vi kan se brandväggens styrka, den minskar mängden förtroende vi måste ha för ändpunkterna i vårt nätverk. Vi samlar ansvaret i en punkt. En ansvarig för säkerhet behöver inte längre oroa sig för att en administratör plötsligt ska dra igång en sårbar webbtjänst på mailservern så att den är åtkomlig från Internet. Det spelar ingen roll, brandväggen släpper bara fram trafik till mailtjänsten.

Synsättet passar lika bra för användarnas datorer och den lokala brandvägg de (förhoppningsvis) kör. Användaren råkar ut för en drive-by-download, något främmande program installeras och detta försöker öppna en port för att ta emot eller (vilket är mycket vanligare) hämta instruktioner. En lokal brandvägg kan stoppa båda dessa attacker; användaren kan alltså känna sig trygg även om hon inte kan lita på sin webbläsare. NB: Det här förutsätter givetvis att webbläsaren inte körs med administratörsrättigheter. Men det gör den ju inte, eller hur?

En brandvägg används inte för att skydda mailserverns mailtjänst. En brandvägg används för att se till att det bara är mailtjänsten som är tillgänglig. Det är denna skillnad som tas upp i del 2.

--
Stefan Pettersson

Penicillin är inte lösningen

(Publicerad 2009-02-10)

IT-säkerhet som område är fullt av olösta problem och vi är många som försöker vara en del av lösningen. Tyvärr råder det ofta förvirring kring vilkea problem som ska lösas.

OWASP har släppt sin sjätte podcast. Jag har inte lyssnat på någon av dem innan men eftersom sexan enligt utsago skulle vara ett "round table" om web application firewalls (WAFs) så passade jag på. Det talades om en del annat också men jag fokuserar på just vad de hade att säga om WAF.

Herrarna kring runda bordet var (mer eller mindre) kategoriskt emot att skydda webbapplikationer med en WAF. Den här posten syftar dock inte till att redogöra för alla deras argument eller mina motargument. Bara ett av dem.

Ett vanligt argument som användes går något i stil med: "Det är inte lösningen på problemet, fel i mjukvara ska rättas i mjukvara". Detta upprepades också i diskussionen/kriget på WASC:s mailinglista som följde där Martin O'Neal skriver:

The place to fix software vulnerabilities, is yes, in the software.  You can mask them and fudge them elsewhere, but you can only fix them in the software.  WAFs can only fiddle around on the fringe, and can only address many issues by damaging the user experience. Whereas fixing the software should not.

Är inte det här något vi har hört förr? Ganska många gånger? När stöd för NX-biten kom till x86-processorer i slutet av 90-talet och man ville införa det i Linux så opponerade sig Linus:

In short, anybody who thinks that the non-executable stack gives them any real security is very very much living in a dream world. It may catch a few attacks for old binaries that have security problems, but the basic problem is that the binaries allow you to overwrite their stacks. And if they allow that, then they allow the above exploit.

Det här är ett ställningstagande som återkommer i diverse sammanhang. Det har bl a sagts i samband med diskussioner om StackGuard, /GS, ASLR och andra skydd mot buffer overflows. Jag var tyvärr inte med på den tiden men jag räknar kallt med att liknande argument har använts mot antivirus och brandväggar.

Nu kommer det hemska; de har ju rätt. De är inte lösningen på problemet. Antivirusprogram missar rutinmässigt filer som den inte har hört talas om, brandväggar kan inte göra något åt trafik den släpper igenom (läs: HTTP), NX skyddar inte mot return-to-libc, ASLR kan inte nödvändigtvis täcka hela processens minne, o s v.

Detta är inte helhetslösningar det är verktyg som löser (ibland väldigt) specifika problem.  En stack som inte är exekverbar skyddar definitivt från att kod exekveras på stacken, inget annat. Så enkelt är det.

WAF har tyvärr väldigt många och lösa definitioner än så länge men de löser sina specifika uppgifter på ett bra sätt. (Vilka dessa är tar vi någon annan gång.)

Att penicillin inte hjälper när någon har gett dig en fläskläpp gör det inte värdelöst. Penicillin hjälper oss mot bakterier, det är en del av vårt sjukvårdssystem.

--
Stefan Pettersson

Armani och autentisering

(Publicerad 2009-01-22)

Varumärken som väljer att marknadsföra sig som lite extra dyrbara har alltid (och kommer alltid) att få slåss mot piratkopior. Problemet för konsumenterna är att det står "Authentic Marlboro" även på piratkopiorna.

I morgonens Metro finns en artikel om min namne Stefan, 46, som har blivit lurad att köpa tre fejkade Armani-jackor för 2000 kr.

Stefan mötte bedragaren på Q8-macken i Hallunda. Mannen, som utgav sig för att vara italienare, gick till väga på samma sätt som ligan gjort sedan 2005.

Han sa att han varit på modemässa och skulle till flygplatsen. Han ville bli av med visningsexemplar [tre jackor från Armani], eftersom de inte fick plats i bagaget.

-Min fru såg direkt att de inte var äkta. Jag blev bara begeistrad av att få så mycket märkesgrejor för så lite.

Intressant #1: Klassisk pretexting; bedragaren hade en relativt sensationell men trovärdig historia. Man kan med säkerhet anta att han även sa att han hade bråttom till flyget och att Stefan måste bestämma sig på en gång.

Intressant #2: Vi pratar alltså om autentisering här. Enligt Wikipedia är autentisering "[...] the act of establishing or confirming something (or someone) as authentic". Precis vad Stefan var tvungen att göra. På plats. Utomhus i dålig belysning. Och, framförallt, med väldigt begränsad erfarenhet av Armanikläder samt en förmodad undertryckt önskan att de verkligen var riktiga.

Intressant #3: I artikeln finns faktarutan "Så vet du att det du köper är äkta vara". Råden är som följer:

Så vet du att det du köper är äkta vara (numrering har lagts till):
  1. På de flesta Armani-jackor finns identifikation på blixtlås eller knappar. Den karaktäristiska örnen eller namnet.
  2. Hangtag-etikett med artikelnummer. Dubbel etikett med blank framsida och räfflat papper inuti.
  3. Handla inte av någon som stoppar dig utomhus.
Det har sagts att lösenord förmodligen är den sämsta möjliga autentiseringsmetoden som går att frambringa. De två första ovan har mer att göra med identifiering och den sista är inte ens applicerbar. (1) Att gravera/gjuta ett blixtlås med "den karaktäristiska örnen eller namnet" är en smal sak för lirarna som tillverkar jackor. Dess existens må identifiera märket Armani men det är sannerligen inte autentiserat. I så fall hade man gjort blixtlåset svårt att tillverka (jämför med papperspengar). Tyvärr sätts lite väl stor tilltro till liknande metoder, hologrammen på kreditkort till exempel. (2) Etikettens utseende är irrelevant i detta fall, bedragaren förklarar helt enkelt att de _naturligtvis_ tagit bort den på mässan.

Punkt tre är den enda som är rimlig om du inte har erfarenhet av fejkade märkesplagg vilket majoriteten av Metros läsare (i synnerhet undertecknad) sannolikt saknar.

--
Stefan Pettersson

Tidigare inlägg Nyare inlägg
RSS 2.0