onsdag 31 augusti 2011

Huvudet i sanden? Hackad CA plockas bort från IE och FF

Ja, på tal om strutsreaktioner så har de senaste dagarna rullat upp en intressant story. Holländska CA:n DigiNotar har utnyttjats för att göra MITM-attacker i Iran. Ett wildcard-certifikat för *.google.com upptäcktes av en medborgare tack vare certifikatpinning, en feature som implementerades i Chrome för inte så länge sedan, som en reaktion på att flera CAs den senaste tiden uppvisat bristande säkerhet.


Certifikatet för *.google.com gavs ut den 10:e juli i år, men flera spår visar att DigiNotar har haft oupptäckta intrång av flera parter sedan åtminstone 2009. Reaktionerna från omvärlden har inte låtit vänta på sig; både Microsoft och Firefox har plockat bort DigiNotars rootcertifikat från sina webbläsare, vilket i praktiken gör att ingen kommer vilja köpa certifikat från dem längre eftersom webbläsaren ändå kommer ge varning. Att Google kommer göra detsamma med Chrome är väl knappast någon vild gissning. (UPDATE: Kanske, kanske inte. Enligt källkoden till Chrome så har Google nu invaliderat 247 certifikat från DigiNotar)

Så vad är DigiNotars ägares reaktion på det? Ja, för det första så tog det dem 1½ dag att över huvud taget kommentera från det att det blivit allmänt känt. De gjorde en utredning och drog tillbaka ett antal certifikat, men senare visade det sig att utredningen inte var komplett. De blev uppmärksammade på det av holländska GovCert, och upptäckte det alltså inte själva (intressant fakta: en majoritet av intrång som upptäcks rapporteras till offret av en tredje part, rätt så tänkvärt vad det betyder för andelen intrång som alls upptäcks...). Och responsen som kommer?
VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal
Verkligen? Ja, det beror förstås på vilket perspektiv man väljer. DigiNotar står inte för några stora inkomster i förhållande till VASCO i övrigt, vars största inkomst kommer från autentiseringsdosor för tvåfaktorsautentisering. Så jag håller nog med dem, och anser att VASCO hanterar det rätt ok. DigiNotar kanske försvinner, men VASCO kommer inte ta några större smällar. Men efter RSA-hacket så undrar nog många med mig om VASCO är så mycket pålitligare. Kan de mycket väl vara, men hela den här incidenten betraktar jag som "Strike 1".

måndag 22 augusti 2011

Sjukvårdsutrustning behöver ingen säkerhet

... det tycker åtminstone Medtronic, som kommenterar att deras insulinpump kan styras trådlöst till att ändra dosering samtidigt som den fortsätter rapportera normala värden.
"To our knowledge, there has never been a single reported incident outside of controlled laboratory experiments in more than 30 years of device telemetry use, which includes millions of devices worldwide,"


Strutsmentaliteten är påtaglig, och så brukar den faktiskt vara. Till och med då liv står på spel alltså. Jag har genom åren stött på åtskilliga diskussioner där tillverkaren går in i förnekelseläge. Några exempel på kommentarer:
  • "Det är inget som kravställts."
  • "Vi levererar bara det våra kunder efterfrågat."
  • "Vi har inte hört att det skulle vara några problem." (+1 exempel)
  • "Ingen kommer göra så."
  • "Det är bara ett felmeddelande, inte en säkerhetsbrist." (SQL Injection)
  • "Vår produkt är avsedd att köras bakom brandvägg."
Jag brukar bemöta dessa genom att prata om kundernas förväntningar, visa på att det visst händer saker(publika incidenter), och göra proof of concepts. Kan ta ett tag, men så småningom trillar poletten ner. Ofta sitter jag dessutom i positionen att jag har en irriterad kund som stöd, eftersom jag sällan rapporterar något privat eftersom risken är att förnekelsereaktionen åtföljs av en polisanmälan.

Och precis som i de fall jag varit inblandade i så visar sig omvärlden även i detta fall reagera på ett helt annat sätt än leverantören när de får höra hur verkligheten ser ut. Hur förbluffande det än må vara för en tillverkare av sjukvårdsutrustning, så får de nu från statligt håll höra att man faktiskt ser på det som mycket viktigt att livsviktig utrustning också är säker. *gasp* Who could have known!? Det har de ju aldrig framfört som något krav tidigare!

P.S. Det här är symptomatisk för all utrustning som numera kan kommunicera via IP. De har tidigare levt i en skyddad verkstad, gör det inte längre. Fungerar till en början, men allteftersom uppmärksamhet riktas mot de här enheterna så upptäcks att säkerheten är så usel att man tappar andan. Inga problem så länge det inte inträffar några incidenter? Problemet är att de här enheterna kan ha en livstid på upp till 20 år. Att det inte hänt något under de tre första åren är ett väldigt dåligt argument för de kommande 17. Hur gör man då med alla de tusentals enheter som redan är i drift när väl incidenter börjar inträffa? Säkerheten höjs inte på en dag.

fredag 19 augusti 2011

DHS fortsätter anlita amatörer

På tal om vad Bruce Schneier sagt i åratal... Kolla in det här för lite humor:



Department of Homeland Security (DHS) har precis släppt en ny informationskampanj som ska göra det amerikanska folket mer uppmärksamt. Till tonerna av dramatisk musik och med dramatiskt snabba vinklar och klipp ber man amerikaner rapportera in "misstänkta aktiviteter" till lokala myndigheter.

Oh boy! Gissa om de kommer få in samtal!

torsdag 18 augusti 2011

800 000 dollar för att de inte orkade byta lösenord

Jag är ju en stor fan av incidenter som görs publika eftersom de så tydligt kan visa på vad som gått fel och vilka konsekvenserna varit. Man kan lära sig något från det, och det är lätt att visa andra en koppling mellan sårbarhet X och konsekvens Y.

När nu ytterligare ett av så många fall inträffat där person A som känner till alla adminlösenorden blir sparkad, kopplar upp sig mot systemen en tid senare och förstör (raderar filer, konfigurerar om, etc..), så kan man ju fråga sig vad som egentligen finns att lära av det. Det är inte direkt raketforskning att förstå det scenariot i förväg.


Jo, det vi kan lära oss om det handlar om den lathet som finns i vår natur. Även om vi förstår att det innebär en risk, så GÖR vi ändå inte något åt det om vi upplever att det är jobbigt/svårt och samtidigt ser sannolikheten(inte risken!) som liten. Vilket långsiktigt faktiskt är fair enough, det är trots allt något människan har utvecklats till de senaste miljoner åren. Right?

Problemet är att människans riskmodell är utvecklad just under väldigt lång tid, under de förutsättningar som funnits under denna långa tid. När det kommer nya tekniska språng - och för den delen nya "snabba" förändringar som fenomenet storstäder - så hinner inte den biologiska utvecklingen med.

Bruce Schneier har de senaste åren snöat in rätt hårt i psykologin kring risk och beskriver det som att det finns tre olika domäner; känsla, modell, verklighet. Vi kan ha en känsla av att det är säkert, oavsett hur verkligheten ser ut. Och i vårt intellekt, vårt förnuft... så kan vi bygga upp en modell av hur saker fungerar. Medan verkligheten i sig kan vara fristående från både vår känslomässiga och intellektuella förståelse. Och det tar en del tid innan de börjar närma sig varandra.

Stories som denna är utmärkt exempel på hur de skiljer sig åt, och hur långt bort vi är från att de sammanfaller när det kommer till informationssäkerhet. Vi är helt enkelt omogna på området.

Å andra sidan så har vi också väldigt svårt att över huvud taget agera på sådant som är rent abstrakt för oss. Även på den fronten spelar incidenter en mycket viktig roll för oss att så vi verkligen förstår insatserna. Här är mitt blogginlägg från 2009 om vad som till slut fick mig att skruva upp brandvarnarna där hemma, som jag inte gjorde förrän då, trots att människan levt med eld sedan tidernas begynnelse...

Ny typ av keylogger på din smartphone

Det här slår mig som innovativt. Forskare har undersökt möjligheten att göra en keylogger som använder sig av rörelsesensorer i telefonen. De har konstruerat en PoC för Android som har en träffsäkerhet på 70%, som fungerar utan några särskilda rättigheter. Man installerar alltså en app som ser helt oskyldig ut på alla sätt och vis, och åker då på en keylogger. Ouch!

Det här blir särskilt intressant i sammanhanget att W3C har släppt ett förslag på hur man via javascript ska kunna nå telefonens accelerometer och gyroskop. Trillar allt det här igenom utan att någon uppmärksammar det kommer det alltså kunna hamna i läget att om man skulle gå till en webbsida och sedan gå över till en annan app, kan den webbsidan köra en keylogger som lyssnar av t.ex. SMS, mail, chatt och lösenord.


Och tycker man att 70% är lite för lite så kan man ha i tankarna att det här bara är en första studie, som säkerligen kan förfinas. Forskarna nämner exempelvis att använda fler sensorer, och själva skulle jag nog vilja lägga till någon sorts mönstermatchning mot ord som dels skulle kunna hitta orden, dels lära upp mer fingranulärt när en viss "tangent" används. Very cool!

fredag 12 augusti 2011

Sydkorea utsatt för riktat angrepp via bakdörr

Det här är en intressant story. Från en kinesisk IP-adress tog sig någon in hos en sydkoreansk mjukvarutillverkare. Genom att sedan använda deras uppdateringsfunktion för mjukvaran kom de åt en specifik kunds datorer och från den kunden stals det uppgifter om 35 miljoner sydkorean.


Det senaste året har det offentliggjorts ett tiotal fall där någon har gett sig på utvecklingskedjan, och vem vet hur många fler som inte offentliggjorts. Vem vet hur många som har lyckats plantera bakdörrar som aldrig upptäckts? En fråga som jag tycker är intressant är vilka det är som står för de här angreppen.

Medan det vore ruskigt effektivt för en statssponsrad aktör att plantera in bakdörrar i kod så måste de samtidigt vara försiktiga med att inte göra det egna landet sårbart. Alternativt vara villiga att ta risken. Eller kunna styra vilket land som får vilka paket, eller på något vis centralt kunna skydda sitt eget land mot just den sårbarheten. Eller inte köra programvaran alls (tänk: Kina utvecklar sitt eget Linux), eller ta en trade-off där de eventuella egna systemen som drabbas inte är av lika stor vikt som de man vill åt...

Just det här senaste med sydkorea var ju tydligt riktat, men så har det inte alltid varit tidigare (vad som framgått). Men som jag skrivit tidigare, många länder har all anledning att skynda på en snabbare hantering där riskerna kring att använda externt producerad hård- och mjukvara sänks.

tisdag 9 augusti 2011

Google hjälper USA spionera i Europa

Google har nu även de medgett att de förser amerikanska underrättelsetjänster med data från och om deras användare. Även sådan data som ligger på europeiska servrar. Ingen överraskning eller något nytt i sig, särskilt inte eftersom det krävs av amerikansk lag, men ytterligare ett exempel på vikten av att inte lägga ut allt i molnet, utan hålla värdefull data för sig själv, inom sitt eget land. Också värt att komma ihåg att Microsoft gör samma sak med exempelvis Office 365. Trots att detta strider mot Europeisk lag.


Jag är en stor vän av att ha konkreta, offentliga exempel att peka på när jag säger "det här händer på riktigt just nu, det är något ni behöver ha med i beräkningen", istället för att behöva säga "lita på mig, det händer" eller poängtera att det är möjligt kopplad till någon grad av spekulation av hur ofta eller när det händer.

Faktum är att det är precis incidenter och artiklar som denna jag vill lyfta fram när jag talar med de som är mindre insatta i säkerhet. För mig fungerar det nämligen jättebra när någon annan förklarar sitt expertområde genom att peka på konkreta händelser, och jag tror de flesta har lättast att ta till sig av budskapet då.

fredag 5 augusti 2011

Operation Shady RAT - inget nytt under solen, men...

Ingen intresserad lär väl ha missat McAfees publicering av information angående en serie intrång som McAfee kallat Operation Shady RAT. Precis som skrivs tidigt i rapporten är det här inget nytt, men ändå reagerar media och stora delar av världen med förvåning som om det vore det.

.. och det är förstås just det som jag tycker är det intressanta i sammanhanget. Och så är det förstås bra att ha ytterligare offentliga exempel från verkligheten att visa. Så nu när problemet börjar uppmärksammas på bred skala, då kommer vi väl få det löst ganska fort? Korta svaret: knappast.

Vägen framåt går förvisso genom medvetandegörande av de risker och sårbarheter och motverkande åtgärder som finns . Men på rikigt - säkerhetsnivån blir inte bättre över natten oavsett vad som händer. Den ofantliga mängden sårbarheter som finns "där ute" skulle inte kunna åtgärdas över natten ens om det fanns färdig perfekt programvara, eller ens om en majoritet av de utsatta plötsligt fick ett abnormt stort säkerhetsmedvetande. Det finns så mycket där ute som är designat, implementerat och exponerat utan någon vidare förståelse för säkerhetsprinciper.

För tillfället kan vi dessutom med god säkerhet säga att det är stor kompetensbrist. Det är ett allvarligt problem i sammanhanget, så pass allvarligt att det finns en uppfattning om att den genomsnittliga kunskapsnivån för de som arbetar med informations och IT-säkerhet är på väg neråt istället för uppåt, eftersom många uppgifter nu ges till personal som inte har kunskapen för att hantera uppgifterna. En uppfattning som fick vatten på sin kvarn i sommarens underhållningstråd på ServerFault: "Our security auditor is an idiot, how do I give him the information he wants?"

Kortsiktigt sitter vi alltså fortfarande rejält i skiten. Långsiktigt så kan vi se att säkerhet nu i allt större grad klättrar i organisationers medvetande. Förhoppningsvis är det något vi i branschen kan använda som grogrund till en konstruktiv, realistisk dialog. Där ligger det stort ansvar på oss som redan har stor erfarenhet och varit i branschen länge att producera bra, balanserat material som är lätt för gemene man att ta till sig.