It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: februari, 2010

Hoppsan…

Det var en bloggpost om chipkort här nyss som inte skulle ut riktigt än. Grattis till er som hann plocka den i förväg antar jag. 🙂

Det är ingen censur, den kommer tillbaka senare.


Stefan Pettersson

Annonser

WAF

Ni kanske har hört talas om ”webbapplikationsbrandväggar”. På benämningen kan den listige gissa sig till vad det handlar om; en brandvägg för webbapplikationer. Tyvärr säger detta ingenting, ordet brandvägg har använts för att beskriva allt möjligt genom tiderna.

Web Application Firewall (WAF) verkar vara den term som branschen har konvergerat mot för ett system som filtrerar de anrop en webbapplikation tar emot från sina besökare. Alltså samma princip som för konventionella (nätverks)brandväggar som filtrerar paket från Internet på väg in mot det interna nätverket.

Anledningen till att jag tar upp ämnet är att WAF ofta missförstås precis som brandväggar missförstås. Jag har skrivit om det senare här och här. För WAF är missförståndet dock annorlunda och det slog mig när jag var och tittade på James Lyne från Sophos när han körde ett seminarie på IT Security Expo i förra veckan. Lyne sa något i stil med: ”webbapplikationsbrandväggar är inget att ha, de är precis som intrångsdetektering och använder bara signaturer”.

Det stämmer inte alls. Faktum är att en WAF liknar, och kan användas precis som, vanliga brandväggar i nätverket. En brandvägg definerar vilken TCP/IP-trafik som är tillåten. Paket får nå webbtjänster på den och den porten, namnservrn kan nås på den porten och så vidare. En WAF definerar vilka HTTP-anrop som är tillåtna. De här parametrarna ska vara siffror, de här parametrarna får bara innehålla bokstäver och så vidare. Enkelt. Det handlar om att driva igenom en policy, fast på ett annat lager i stacken.

Precis som brandväggar egentligen inte behövs eftersom servrarna själva kan se till att portarna är stängda kan applikationerna, naturligtvis, definera hur godkänd indata från besökare ska se ut. Men. Litar den som har ansvar för säkerheten på systemadministratörerna? Litar hon på utvecklarna? Har hon ens möjlighet att stänga portar eller göra indatavalidering? Allt är inte open source.

…så Sophos (och deras konkurrenter) borde alltså inse att deras produkter är ”precis som intrångsdetektering och använder bara signaturer” även om signaturerna beskriver ett programs ”beteende” (läs: ”behavioral foo” eller ”heuristic bar”).


Stefan Pettersson

Gästblogg: Vem äger din dator?

Den frågan bör man ställa sig, tillsammans med vem som äger den programvara man använder och den data man behandlar.

I den bästa av världar har man full insyn i hur både hårdvara och programvara är uppbyggd samt får fritt modifiera, förändra och anpassa den efter sitt eget behov. Så är det tyvärr sällan även om man tycker sig att man har köpt en produkt från en tillverkare. Allt oftare så har man betalt för en tjänst som man har mycket liten inflytande över hur den ska vara utformad och hur den får användas. Detta är en ökande trend.

Vi ser tillbaks i tiden till stordator-eran då IBM var den dominerande giganten. Både maskiner och mjukvara licensierades från IBM och man betalade för hur mycket som kombinationen maskin och mjukvara presterade. Det fanns få alternativ och det var krångligt att byta, IBM hade ett defacto monopol.

Denna dominans började brytas av inbrytningen från nya system, först minidatorer som körde t ex VMS från DEC, sedan det vi idag kallar servrar med främst olika varianter på UNIX som OS. Det var just på de idag nämnda sevrarna som hårdvara och mjukvara blev allt mer oberoende av varandra. Man kunde och kan köra ett flertal olika OS från olika leverantörer och programmen kom från en uppsjö programhus. Det vanliga blev att man ägde sin server, sitt OS, sina program och i och med det även hade full kontroll över sin data.

PC-generationen blev nära nog ett steg tillbaks genom Microsofts dominans på skrivborden men som användare har man åtminstone rättighet att förändra och anpasssa hårdvaran och fritt välja vilken mjukvara man vill installera. Datan är även den under din kontroll.
Så varför ställer jag den inledande frågan?

En ny generation är på väg in, på engelska talas det om devices, kanske benämns de nya ”datorerna” bäst som konsoler. Genom den allt mer spridda möjligheten till att alltid vara uppkopplad mot Internet så skapas möjligheten till en terminal som kan kontrolleras och ändå uppfatas som ”fri” genom att man alltid genom konsolen kommer åt den mjukvara som tillhandahålls av leverantören. Vad jag ser framför mig är allt kraftfullare terminaler så som iPhone, iPad och motsvarande Androidenheter som kan göra det mesta vanligt folk vill. Här blir helt plötsligt frågorna i början relevanta.

Tag exempelvis en iPhone, Apple styr helt över den hårdvara som ingår, detta kan verka naturligt för en telefon men nästa steg är iPad och kanske enheten som kommer efter som är än mer datorlik. Vidare kontrollerar Apple helt vad du kan installera på din enhet, kan närsomhelst dra in tillgången till en applikation med hänvisning till att den är opassande eller bryter mot Apples regler. Ett bra exempel är den applikation som låg i topp bland nedladdade applikationer i Italien, i den kunde man lyssna på Mussolinis tal. Detta är knappast en berömvärd applikation och det är lätt att känna sympati för åtgärden att dra in den. Men om man drar ut tanken ett steg till, du använder din iPad till att läsa morgontidningen i din tidningsapplikation som du hämtat och betalt för via AppStore. Den dag din morgontidning bestämmer sig för att ha en reportageserie kring abort så är det helt möjligt att detta kan censureras, allt enlighet de moralregler som gäller i USA. kommer detta hända? Jag vet inte men det är iallafall helt möjligt i den nya helt uppkopplade och integrerade värd som erbjuds först och främst av Apple.

Så PC är dö, leve arvtagaren konsollen, vem som nu äger den och bestämmer vad den ska visa… Läs gärna inlägget på Financial Times som tar upp faran med kontroll över hela kedjan från producent till konsument.


Michael Geller

Jepp, offline PIN på svenska kort

Godmorgon! Nya ideér!

I går kväll innan jag somnade slog det mig att den ena biten av pusslet; om korten accepterar offline PIN eller inte, är enkelt att testa: (1) tag ett stycke bankdosa från Nordea, (2) stoppa in kort, (3) ange kortets PIN-kod, (4) voilà, offline-PIN. Som minst borde det alltså fungera med Nordeas kort men jag har även testat det med SEB:s kort och det fungerade utmärkt.

(Om jag var personrånare skulle jag ha med mig en Nordea-dosa för att kunna verifirera att mitt offer inte gav mig fel kod till bankkortet.)

Kvar är den andra biten i pusslet; terminalerna. Har de något att säga i frågan? Kan de kräva hur PIN-koden ska kontrolleras?

Uppdatering @ 08:21:
Såja! Nu har Björn Brolin på TrueSec pratat med CS och berättat att korten visst accepterar offline PIN verification:

Nu uppger säkerhetsexperter på Truesec att de har återskapat attacken och testat en rad kort från svenska banker. Samma brister hittades där som i de brittiska korten. Det avgörande är att korten accepterar verifiering med ickekrypterad pin-kod. Det säger Björn Brolin, säkerhetsexpert på Truesec.

Med hjälp av en kortläsare kopplad till en dator har han gått igenom de svenska korten och kartlagt vilken typ av kodverifiering de godkänner. Slutsatsen är att samma typ av bedrägeri som utfördes av Cambridgeforskarna mycket väl kan genomföras med ett svenskt kort.

[…]

Nu arbetar Björn Brolin och hans kollegor med att ta fram hårdvara och mjukvara för att praktiskt verifiera angreppet.

– Målsättningen är att vara klara inom de närmaste dagarna, säger han.

Artikeln uttrycker sig lite illa, det är rätt stor skillnad på att ”återskapa attacken” och att ”kartlägga vilken typ av kodverifiering de godkänner”. Hoppas att de kommer längre med hårdvaran.


Stefan Pettersson

Klarhet eller fortsatt förvirring?

John har kommenterat ett uttalande från en svensk bank om attacken mot chipkorten. Bankens sätt att uttrycka sig tyder på att de helt enkelt inte har läst rapporten. Underhållande läsning i a f.

I en uppföljande post har John, precis som jag, blivit fundersam över om det verkligen är så att Svensk Handel och banken som nämndes ovan avser online PIN verification när de säger att de flesta terminalerna i Sverige är ”online”.

Jag tog mig friheten att fråga forskarna via bloggkommentarerna:

71. Stefan Pettersson  |  February 16th, 2010 at 19:08 UTC
Here in Sweden word has gotten out from representatives of the merchants that our terminals are unaffected because they’re “online unlike in the UK”. This seems fishy at first since the paper makes quite a thing of the attack working against terminals that are online. Also, the paper mentions that the vast majority of your  terminals are online as well.

My immediate conclusion is that our terminals are “online” as in “online PIN” in the way you describe ATMs on p. 3 in the paper.

Could this be correct?

If it is, why can’t all merchant’s terminals just do online PIN verfications like the ATMs?

72. Steven J. Murdoch  |  February 16th, 2010 at 19:17 UTC
@Stefan,

Yes, it appears the Swedish banks have misunderstood the attack. UK terminals are almost exclusively online, yet the attack still works (all our tests were online). They are also claiming that CDA fixes the problem, but this is incorrect.

It could be that the terminals are doing online-PIN, but it wouldn’t surprise me if the banks are simply confusing this attack with an older one which only works for online authorization (as the French banks did).
[…]
To do online PIN verification, the terminal needs to be given cryptographic keys to protect the PIN as it is sent back to the acquirer. This adds complexity and expense, so is not done in the UK.

Man kan ju ifrågasätta vad Murdoch vet om hur systemet är utrullat i Sverige på samma sätt som jag redan har ifrågasatt Svensk Handels kunskap om hur det är utrullat i UK. Vad jag finner mer intressant är sista paragrafen i svaret; att bankomater har kryptonycklar för att kommunicera känner jag till. Hur är det med terminalerna? Spontant känns det ohållbart att varje terminal i varje butik i Sverige skulle ha en delad nyckel med sin bank, sånt har vi asymmetrisk kryptering till.

Vi vet alltså fortfarande inte om de svenska terminalerna klarar sig mot attacken eller inte.

Förvirring kring attacken mot smartkort

Som ingen förmodligen kunnat undgå publicerade Steven Murdoch och gänget på Cambridge en attack mot EMV-protokollet (kortbetalningar via smartkort) i förra veckan. Med hjälp av attacken är det möjligt att genomföra ett köp som autentiseras med PIN-kod utan att kunna PIN-koden. Tyvärr lämnar mainstream-media en del att önska vad gäller rapporteringen.

Det verkar riktigt, riktigt illa. Till skillnad från tidigare attacker är denna avsevärt mindre ”akademisk” och de har genomfört ett flertal köp med diverse journalisters kort framför deras ögon. (Spana in Youtube-klippet i länken ovan.)

Hur attacken fungerar
Säkerhetsproblemet ligger i att en viss del av kommunikationen mellan bankkortet och kortterminalen i kassan inte autentiseras ordentligt. Detta gör det möjligt att sätta en dator mellan de två och med denna ändra kommunikationen ”on-the-fly” utan att varken kortet eller terminalen märker det. (En man-in-the-middle-attack för den bevandrade.)

Betalningar med chipkort skiljer sig från magnetremsor på flera sätt men en av de viktigare är att din PIN-kod finns lagrat på kortet. När du slår in koden på terminalen i kassan för att godkänna ett köp kan terminalen fråga kortet om PIN-koden du slog in stämmer, Just den här kommunikationen är inte skyddad. Genom att ändra kommunikationen mellan kort och terminal kan de alltså lura terminalen och säga ”jajamen, PIN-koden som slogs in stämde” (terminalen tror att den pratar med kortet). Kortet, i sin tur, som har missat den här kommunikationen kommer att tro att köpet gjordes utan PIN-kod (som t ex när man betalar i vissa parkeringsautomater). Resten av köpet fortgår som vanligt.

Förvirring
Nyhetskanalen (TV 4) publicerade igår artikeln ”Bankkorten säkra i Sverige”. Två intervjuer görs där med Dick Malmlund (säkerhetschef för Svensk Handel) där han först är oroad för att hela utrullningen som pågår i Sverige ska ta stryk och sedan för att sådana här nyheter ofta leder till att man (banker och kortföretag) ”lägger locket på”. I den andra intervjun hävdar han sedan att attacken inte påverkar Sverige eftersom majoriteten av våra terminaler är ”online” d v s terminalen har direktkontakt med utfärdande bank. Däremot ska kort stulna i Sverige kunna användas i t ex Storbritannien där det finns många offline-terminaler som är sårbara.

Det uppstår en del förvirring här. För att citera rapporten (pdf) på ett antal ställen:

[…] In this paper we describe and demonstrate a protocol flaw which allows criminals to use a genuine card to make a payment without knowing the card’s PIN, and to remain undetected even when the merchant has an online connection to the banking network.

[…] The attack we describe applies to most, if not all, current deployments.

[…] cards (which prior to 2009 all UK banks issued) are vulnerable to a trivial and well-known replay attack in which the certificate is read from a card and written to a counterfeit one (these are often called ”yes cards” because they will respond ”yes” to a PIN verification request, no matter what PIN is entered). The card is then used at a point-of-sale terminal which has no online connection to the banking
network, and because there is no real-time interaction, the MAC produced during transaction authorization cannot be checked by the bank before the goods have already been handed over. However, the vast majority of UK point of sale terminals maintain a permanent online connection, so such attacks normally can be detected.

[…] offline flows are beyond the scope of this discussion, but our attack applies just as well to these.

Okej, författarna är väldigt noga med att attacken inte beror av att handlarens terminal är offline. De är dessutom noga med att det inte handlar om den redan kända replayattacken med ”yes cards”. De klämmer till och med in att även Storbritannien huvudsakligen har online-terminaler. Ligger det en hund begraven? Har Dick Malmlund ”lagt locket på”? Det låter så i hans andra intervju och den nya infotexten på Svensk Handels hemsida. Det känns lite ”det finns inget att se här, cirkulera…”.

En sak ska man dock hålla i minnet; EMV är ingen enhetlig specifikation, implementeringar varierar. Attacken som beskrivs i rapporten fungerar t ex inte mot bankomater eftersom dessa inte kontrollerar PIN-koden mot kortet utan mot banken. Något som kallas ”online PIN”:

ATM cardholder verification works differently, and uses a method known as ”online PIN”, as opposed to ”offline PIN” described above. Here, the PIN is encrypted by the ATM, and sent to the issuer over a payment network. The issuer then compares the PIN to their own records, and sends the result back to the ATM. The attack we present in this paper only applies to offline PIN cardholder verification and therefore ATM transactions are outside of its scope.

Är det så enkelt att det finns två olika online; ”online” samt ”online PIN” och att Sverige använder ”online PIN” i 95 % av fallen, som Dick Malmlund säger? Fungerar verifikationen på samma sätt i bankomater som i kassaterminaler?

Det ska bli intressant att få veta. Om vi får veta…


Stefan Pettersson

Stakkato åtalas i Sverige

I maj förra året åtalades Stakkato (Philip Gabriel Pettersson) i Kalifornien. Jag bloggade om det och Wired skrev en artikel med en länk till åtalet (pdf). Nu verkar det som att USA lämnar över åtalet till Sverige:

Pettersson was also accused of breaching two NASA systems, one in May 2004 at the Ames Research Center and the other the following October at the Advanced Supercomputing Division.

The indictment charged Pettersson with five felonies, each carrying a maximum sentence of 10 years in prison and a fine of $250,000.

Federal prosecutors in San Francisco, where the case was filed, said Monday the case was being transferred to authorities in Sweden. They did not explain the reason for the change.

Eftersom Stakkato redan har åtalats och blivit dömd i Sverige för intrång är det osannolikt att åtalet från USA kommer att drivas. Men IANAL så vi får se.

Som jag skrev i bloggposten från förra året, kolla igenom Leif Nixons presentation om Stakkato-intrången (pdf).

Kom igen PC för Alla…

Mattias Inghe på PC för Alla intervjuar Johan Jarl från F-Secure i artikeln Så blir du avlyssnad när du surfar trådlöst och väljer att avsluta texten med:

Så för allt i världen, har du trådlös router hemma, lås den digitala dörren med en enkel wep-kryptering. Det är inte så svårt och det kan bespara dig mycket trubbel.

Den sorgliga historien om WEP
WEP (Wired Equivalent Privacy) är ett protokoll för att skydda trådlös kommunikation med kryptering, närmare bestämt med algoritmen RC4. WEP-protkollet lades fram 1997 och krackelerade ordentligt 2001 när Fluhrer, Mantin och Shamir presenterade rapporten Weaknesses in the key scheduling algorithm of RC4. Attacken implementerades för en attack mot WEP året efter (populärt kallat FMS-attacken). Några år senare, under 2004, förfinades attacken av KoreK. Under 2005 hittade belgaren Andreas Klein fler svagheter i WEP och optimerade attacken ytterligare (finns ingen bra referens på engelska). Under 2007 släpptes sedan rapporten Breaking 104 bit WEP in less than 60 seconds av Erik Tews, Ralf-Philipp Weinmann och Andrei Pyshkin från universitetet i Darmstadt. Vet inte om det behöver sägas mer egentligen.

Naturligtvis ska inte Johan Jarl lastas för att den där meningen dök upp i samma artikel som han figurerade i. Om jag var Johan skulle jag bli upprörd…

Avslutningsvis: WEP skyddar dig mot att andra råkar använda din accesspunkt.

Trevlig helg!


Stefan Pettersson