It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: mars, 2010

För mycket fritid?

Investera i så fall i några av presentationerna från den excellenta konferensen Shmoocon som går i början av varje år på USA:s östkust. Video och slides från konferensen finns att ladda ner.

Några ödmjuka rekommendationer
Wifi Security, or Descending into Depression and Drink med Mike Kershaw. Mike är skaparen av Kismet och bör därför anses vara något av en auktoritet på området.

GSM: SRSLY? med Chris Paget och Karsten Nohl är bra om man vill ha det senaste om hur det går för GSM:s A5/1 (spoiler: inte så där superbra). Joachim Strömbergson har skrivit om dessa attacker tidigare, bra introduktion.

Tales from the Crypto med G. Mark Hardy. Mark har ett fett CV och har nog många intressanta historier i bagaget. (Update: glöm vad jag sa, inte så intressant.)

Better Approaches to Physical Tamper Detection med Roger Johnston och Jon Warner borde vara väldigt intressant för den som är intresserad av säkerhet på bredden. Jag tror att Roger Johnstons bok Security Sound Bites är bra (hinner förhoppningsvis med den under sommaren).


Stefan Pettersson

Säkerhetsrelaterade citat

Vissa av dem är smarta, vissa är tänkvärda och vissa är bara roliga. Trevlig helg!

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -John F. Woods

There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files. This book is about the latter. – Preface to Applied Cryptography by Bruce Schneier

Passwords are like toothbrushes; change them every two months and don’t share them with your friends. -Okänd

Att ha en dator uppkopplad mot Internet är som att ha en generös urringning, man får förvänta sig att folk tittar men man ska inte behöva stå ut med att de tallar. -En vän drar paralleller till portscanning

Trust management is supposed to be an incredibly vague and provocative term invented by Matt Blaze. I don’t know whether he intended it that way, but it comes natural to him. -Joan Feigenbaum, AT&T Labs

The computer industry is the only industry that is more fashion-driven than womens-fashion. Maybe I’m an idiot, but I have no idea what anyone is talking about. -Oracle-Larry om ”Molnet”

Cookie authentication takes something youre going to forget and turns it into something youre going to lose. -Ryan Russel

The Unsafe Use of User Input goblin lurks just around every equals sign, wating to fling your deepest darkest diary entries at unsuspecting passers-by. -Mike Tracy

Read the specification like the Devil reads the Bible. -Heikki Kortti

The entire IT security industry is an accident: an artifact of how the computer industry developed. -Bruce Schneier

You bring me a select group of 10 hackers and within 90 days, I’ll bring this country to its knees. -Jim Settle, Former Director, FBI Computer Crime Squad

SSL gives no security guarantees that are relevant for e-commerce. Still, users feel more secure. -Dr. Richard Walton, former director of CESG

Digital certificates provide no actual security for electronic commerce; it’s a complete sham. -Bruce Schneier, Secrets & Lies

You know you are in a distributed system when the failure of a computer you didn’t even know existed can render your own computer unusable. -Leslie Lamport

For systems A and B, A deceives B iff A possesses some character C with proper function F, and B possesses a mechanism C* with the proper function F* of producing representations, such that the proper function of C is to cause C* to fail to perform F* by causing C* to form false representations, and C does so in virtue of performing F, and B’s falsely representing enables some feature of A to perform its proper function. -David Livingstone Smith definition of ”deception”

Some people, when confronted with a problem, think ‘I know, I’ll use regular expressions.’ Now they have two problems. -Jamie Zawinski, in comp.emacs.xemacs

/* You are not expected to understand this. */ -Comment in UNIX source by Ken Thompson

Reliable software does what it is supposed to. Secure software does what it is supposed to, and nothing else. -Ivan Arce

It was mathematically proved decades ago that it is impossible — not an engineering impossibility, not technologically impossible, but the 2+2=3 kind of impossible. -Bruce Schneier on the feasability of creating a perfect antivirus

The problem with bad security is that it looks exactly the same as good security. -Bruce Schneier

The entire security of a cryptographic algorithm should be based exclusively on the confidentiality of its key, rather than the confidentiality of the algorithm. -August Kerckhoff (1835-1903)

If you spend more on coffee than on IT security, then you will be hacked. What’s more, you deserve to be hacked.
-Richard Clarke, Former U.S. Cybersecurity Tsar

Whoever thinks his problems can be solved using cryptography, doesn’t understand his problem and doesn’t understand cryptography. -Roger Needham or Butler Lampson

Your code is always wobblying on top of a quite large pile of software. -Gary McGraw

Put all your eggs in one basket — and watch that basket! -Mark Twain, The Tragedy of Pudd’nhead Wilson

Don’t make failure less likely, make failure less meaningful. -Dan Geer, Silver Bullet podcast

Those who do not understand UNIX are condemned to reinvent it, poorly. -Henry Spencer, 1987

It’s against all doctrine, but as the general reminds me, doctrine is the last refuge of the unimaginative. -Godfather, Generation Kill


Stefan Pettersson

Aftermath Pwn2Own 2010 Dag 1

Man är mer eller mindre tvungen att hålla med The Register om resultatet. De inleder sin artikel med ”It was another grim day for internet security at the annual Pwn2Own hacker contest Wednesday […]”:

Safari på OS X
För tredje året i rad använde Charlie Miller ett av sina, enligt utsago, 20 fungerande exploit till Safari på Snow Leopard för att plocka hem en Macbook. Det verkar inte som att exploitet var särskilt märkvärdigt men gjorde uppenbarligen jobbet.

Safari på iPhone
Trion Halvar Flake, Vincenzo Iozzo och Ralf-Philipp Weinmann lyckades utnyttja ett säkerhetshål i Safari på en iPhone och tog sig förbi kodsigneringskravet i operativsystemet genom att stuva om befintlig kod i minnet istället för att använda shellcode. Metoden bygger på samma princip som return-to-libc. Läckert!

IE 8 på Windows 7
Om något av bidragen ska anses som en skräll är det väl Peter Vreugdenhil som gick på tjuren direkt och passerade två av mina favorit-skydd DEP och ASLR i Windows 7 genom ett hål i IE 8. Tricket gick vägen genom att använda synergier med ett annat säkerhetshål. Peter har dokumenterat det hela; rejäl minneskorruptionsporr (pdf). Också läckert!

Slutsatser
Att utnyttja säkerhetshål på de här plattformarna, i synnerhet i de två sista fallen, är kolossalt svårt idag på grund av bättre kvalitet i utvecklingen och generiska skydd som DEP och ASLR o s v. Men, om det finns tillräckliga incitament för riktigt vassa lirare att titta på problemen så kan de knäcka dem.

Om man står på den försvarande sidan ska man alltid komma ihåg: det är relativt billigt att hindra majoriteten från att lyckas men det är snordyrt att hindra de riktigt duktiga. Förmodligen är det för dyrt. Var går gränsen då, undrar du. Ja, då är vi tillbaks på att-mäta-säkerhet-spåret, det där jag har lovat att återkomma till. Det ska jag fortfarande.


Stefan Pettersson

Den fjärde årliga Pwn2Own-tävlingen

Uppdatering @ 15:18: Några timmar kvar nu, följ händelserna live på Twitter under #pwn2own.

Imorgon startar konferensen CanSecWest i Vancouver och med detta även tävlingen Pwn2Own som anordnas av TippingPoint. Förra året skrev jag om denna tävling när Charlie Millier plockade hem en Mac efter att ha utnyttjat ett säkerhetshål i Safari.

Vi får se hur det går imorgon. Tills dess kan ni underhålla er med andra, relaterade inlägg om till exempel Lisbeth Salander och penicillin.


Stefan Pettersson

Early bird i två veckor till

OWASP AppSec Research Stockholm 2010 går av stapeln 21-24 juni på Stockholms universitet. Det är två veckor kvar av den billigare ”early bird”-registreringen. Passa på att registrera!


Stefan Pettersson

Tråkigt för Symantec

Symantec har bestämt sig för att göra sig av med antivirusstämpeln. Hur går man tillväga? Man pitchar en artikel till CIO förstås, gör ett lagom kontroversiellt uttalande. Inget fel med det. Däremot är det tråkigt när artikelförfattaren (vilket inte nödvändigtvis behöver vara journalisten ifråga) väljer en ingress som ger den omedelbara reaktionen:

Ja-men-grattis-hörni…


Stefan Pettersson

Att spåra en IP-adress

En 33-årig man från Göteborg skapade under söndagen och måndagen rubriker för att ha hotat om att genomföra en ”skolmassaker” på KTH under måndagen. Hotet lades, föga oväntat, ut på bildformet 4chan under fredagen:

Enligt en artikel på sr.se från i söndags verkar det som att säkerhetsansvarig på KTH fick reda på det under helgen.

– Studenter mailade mig igår natt att de hade hittat det här på nätet, att det var ett hot mot KTH, säger Lena Edvardsson, säkerhetsansvarig vid skolan.

Dock kan ”igår natt” betyda både natten till lördagen och natten till söndagen. Det är nog rimligt att anta att hon menar natten till lördag eftersom det var då posten lades upp på 4chan och kanalen ifråga är väldigt aktiv (poster försvinner snabbt) samt att det här är något man anmäler på direkten.

Gripande
Alltså, säkerhetsansvarig vaknar på lördag morgon med ett mail med bifogat screenshot. Kontaktar polis och berörd personal på KTH, har möte på söndag. I den citerade artikeln, på söndagen, har man fortfarande ingen aning om vem gärningsmannen är. Polis kontaktar FBI, FBI kontaktar 4chan (som förmodligen är van vid liknande kontakter) som ger ut IP-adressen ifråga, svensk polis kollar RIPE och kontaktar därefter berörd ISP som kontrollerar DHCP-loggen och ser vilken kund som använde adressen vid den tidpunkten. Polis åker till lägenheten och griper 33-åringen på måndag morgon. 33-åringen erkänner men hävdar att han inte menade allvar. Allt på mindre än 24 timmar.

Efterspel
Poliser stationeras på skolan under dagen även fast mannen är gripen. Vissa bloggare har attackerat detta och sagt att det är slöseri med skattepengar. Jag är osäker; för det första kan man ha fel och för det andra är det viktigt att studenter och personal känner sig trygga.

Läs mer om historien på geeky.se.


Stefan Pettersson

Myndigheter i UK i farten igen

Det har tidigare skrivits här om hur det brittiska parlamentet blivit hackade och att MI6 har tappat bort USB-minnen. Nu var det dags igen. Händelsen är väl inte sensationell men de två föregående förtjänar sällskapet.

Government Communcations Headquarters (GCHQ) har sedan 2005 förlorat 35 laptops varav tre stycken var klassade för ”Top Secret”-klassad information. Det är rimligt att anta att den klassningen kräver kryptering men å andra sidan är de hot som en sån här myndighet ställs inför betydligt värre än your-average företag. Kraven på att krypteringen görs rätt borde med andra ord vara rätt höga.


Stefan Pettersson