It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: augusti, 2010

Ingen hotbild säger du?

Politisk hacktivism, som det kallas, har aktualiserats såhär i valtider. Sverigedemokraternas hemsida led av en överbelastningsattack (DDoS med botnät vad det verkade) under några dagar, SSU:s sida hackades förra helgen, en del interna mail läckte. Senast, under gårdagen eller under natten, hackades Kristdemokraterna Västerbotten (screenshot nedan) och tidningen Expo (även här läckte internt material). Expo säger sig i och för sig vara politiskt obundna men det är många som skulle hävda motsatsen så det ligger nära till hands att betrakta hacket som ett politiskt statement.

Chefredaktören på Expo, Daniel Poohl, intervjuades igår av Sydsvenskan. Hans svar är inte särskilt imponerande. Till en början blir det de vanliga svaren; ”som der ser  ut nu har inget känsligt material från oss har lagts ut” (sic), att man är livrädd för att information om källor ska läcka ut och att man redan har en hög datasäkerhet. Inget annorlunda. Slutligen ställs dock frågan ”Har ni någon särskild hotbild mot er just nu?” och svaret blir:

-Nej, det har vi inte.

Ursäkta, men wtf? Expo sysslar alltså med att ”kartlägga högerextrema och rasistiska organisationer och nätverk i Sverige”. It’s right there! Han bekräftar till och med (för sig själv) att det finns många som verkligen ogillar vad de gör.

Det är väldigt ovanligt att organisationer och företag har särskilda hot, oftast består det av den stora, gråa massan med vardagshackers/script kiddies, botnätägare och möjligen, men ovanligen, konkurrenter. Politiska organisationer däremot, i synnerhet de som inte är mainstream, har uttalade fiender; motståndarsidan. Om man, dessutom, sysslar med att kartlägga sagd motståndare… Det är banne mig svårt att hitta en tydligare hotbild!

Det handlar inte om raketkirurgi. Om man har hot emot sig som är mer motiverade och organiserade än vardagshackers, då måste man helt enkelt ta hänsyn till detta i säkerhetsarbetet.

Det är pinsamt svagt av en organisation som verkar vara beroende av uppgiftslämnare, kanske till och med insiders, att inte ta det här på större allvar. Det kan vara så att riktigt känsliga uppgifter på Expo inte lagras digitalt överhuvudtaget men av chefredaktörens uttalanden att döma (och erfarenhet) så är det osannolikt.

Jag tror att vi kan börja räkna dagarna till att http://www.frihet.se defaceas. Deras hotbild har ökat markant.


Stefan Pettersson

Annonser

SL-spärrar igen: se till hela systemet

Inlägget Säkerheten i tunnelbanans spärrar har hittills varit det mest populära på den här bloggen (besökantalet var omkring 20 gånger högre just den dagen…). Nu har ämnet avhandlats i media ännu en gång, närmare bestämt i City från 2010-08-26 (PDF finns att ladda ner) under rubriken ”Det är lättare att planka än någonsin”.

Artikeln handlar förstås om SL:s 25-miljonerssatsning på de höga glasspärrarna; Christian Tengblad från planka.nu säger att glasspärrarna har gjort det enklare att planka än tidigare. SL:s ordförande Christer G Wennerholm håller inte med utan har uppfattningen att ”det är mycket svårare att planka med de nya dörrarna, eftersom man inte kan hoppa över dem, som med de gamla”.

Nonsens, det finns inget ett-till-ett-förhållande mellan att hoppa över och att planka, det går uppenbarligen utmärkt att planka utan att hoppa över. Det är inte överhoppandet SL vill stoppa det är plankningen. Man måste ta av sig toalettpappersrulleglasögonen om man ska försöka hindra någon från att göra något. Man måste se till hela systemet annars blir det lätt ”företaget är säkert för man kan inte längre använda SQL injection på den och den applikationen”. Nonsens!

For the record, vad jag skrev om glasspärrarna i första inlägget från i våras:

Glasspärrarna är förstås inte immuna mot att hoppas över men det är nog tillräckligt bökigt för att vara tillräckligt avskräckande. Dessutom, om sensorerna på insidan bryts så att dörrarna öppnas kommer ett larm att tjuta om spärren passeras i fel riktning. (T ex om du släpper ner Metro på andra sidan så att fotocellerna bryts på insidan men passerar in från utsidan.) Detta larm är dock tillräckligt vanligt för att lida av samma problem som billarm har gjort i många år. Att larmet inte har någon egentlig effekt gör att tailgating är en genomförbar attack eftersom larmet ljuder även då. Så har dock inte alltid varit fallet, från början stängdes glasdörrarna fortare för att förhindra just tailgating. Detta ledde dock till att folk hamnade i kläm och tidsluckan fick därför ökas så att attacken möjliggjordes.

Om man kan stå ut med pinsamheten i att larmet ljuder alternativt att gå väldigt nära andra resenärer som precis har dragit kortet är man hemma.


Stefan Pettersson

DLL hijacking — exploitproduktion

”DLL hijacking” har verkligen tagit skruv. Det formligen sprutar exploits mot diverse programvaror. Sedan i tisdags har det dykt upp ett 50-tal på www.exploit-db.com. Jag vet inte om jag har sett något liknande förut.

Om du inte någon uppfattning om vad DLL hijacking är, börja med F-secures blogginlägg, läs sedan HD Moores första post i ämnet. Följ upp med hans första och andra bloggpost på Metasploit-bloggen.

Problem med kod exekveras från fel sökväg är ju inget nytt, men det är ack så lätt att trilla dit.

$ echo $PATH
.:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin


Stefan Pettersson

Klona presentkort

En man från Beaverton har dömts för ”computer crime” efter att ha klonat och använt andras presentkort. Ni vet, sådana där kontokortsformade magnetkort som står vid kassan på Åhléns, på SF Bio och på Bauhaus bland annat. Du tar ett kort, ger det till personen i kassan och berättar hur mycket pengar du vill ladda kortet med.

He wondered how gift cards worked, how the little magnetic strip on the back of them turned cash into store credit and how easily he could reproduce the information stored on the card.
[…]
After researching how gift cards work, Zepeda purchased a magnetic card reader online, began stealing blank gift cards, on display for purchase, from Fred Meyer and scanning them with his reader. He would then return some of the scanned cards to the store and wait for a computer program to alert him when the cards were activated and loaded with money.

Affären hade en tjänst på sin hemsida där man kunde slå in presentkortets serienummer och få reda på hur mycket pengar kortet var laddat med. Det här är en riktigt snitsig attack, även om den dömde genomförde det hela ganska slarvigt:

Fred Meyer Stores’ fraud investigators detected that the cards had been tampered with when they saw that each card racked up hundreds of balance inquiries a day.

The average gift card user might check the card’s balance online once in the card’s lifetime, Hanada said, so this activity strongly suggested the work of a non-human inquirer.

Nu verkar det ju som att detta faktum, att tjänsten på webbsidan kontaktades onormalt ofta, upptäcktes först after-the-fact. Det hade ju annars varit ett bra exempel på anomaly detection. Detta hade han ju förstås kunnat undvika genom att vara lite mer tålmodig och bara kolla balansen någon gång per dag eller mer sällan.

Avslutningsvis:

”This is the first time I’ve ever seen it,” [police detective] Hanada said. ”This was really unique.”

Nonsens, Johan Höglund (of Hamsterpaj fame) redogjorde för precis den här attacken för tre år sedan, då mot Åhléns. IDG, och till och med Aftonbladet, skrev om det.


Stefan Pettersson