It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: november, 2010

Årets julklapp? WiFi Robin

Min kollega Jonas tipsar om årets julklapp: The WiFi Robin. Det var en nyhet för mig i a f. 🙂


Stefan Pettersson

iMalware

Avdelningen för Know-Your-History™ är tillbaka. I efterdyningarna av veckans rapportering om Metros felaktiga rapportering om ”virus till din Mac” har Sophos gått ut med en kort historik över malware som riktar sig mot Apples operativsystem:

To help some of the discussions, here’s a brief overview of some of the malware we have seen infecting Apple computers. From the early 1980s, right up until the present day, here are some of the highlights in the history of Apple Mac malware.

Nu får vi se om det kommer en diskussion kring skillnaden på malware och malware; det-är-inte-virus-det-är-trojaner-och-de-räknas-inte eller liknande. På bilden ovan syns vad som antas vara världens första virus till persondatorer, Elk Cloner.


Stefan Pettersson

Det finns inget att se här, cirkulera…

…det verkar vara budskapet i MacWorld-artikeln Falsk virusvarning oroar Mac-användare. Kort bakgrund: Sophos släpper AV för OS X. Sophos publicerar de tio malware som sagt AV oftast stöter på. Metro tolkar detta som att dessa tio är ”virus för Mac” när de egentligen är skrivna för Windows.

Det är inte överraskande att Mac-datorer stöter på malware för Windows p s s som de stöter på vanliga program för Windows. Det är inte heller särskilt överraskande att Metro missuppfattar det här. Vad som är överraskande det är här från MacWorld-artikeln:

För er som undrar finns det alltså fortfarande noll virus i det vilda som drabbar Mac OS X. Däremot finns ett antal trojaner som användare luras att installera under sken av att det är ett annat program. Inga av dessa platsar dock på Sophos lista, något som indikerar låg spridning.

Antingen är journalisten ifråga på Apples payroll eller så saknar denne fullständigt förnuft och bildning. Bara för att de tio vanligaste som listas är skrivna för Windows (jag antar att det stämmer) kan man ju inte dra sådana slutsatser. Jag är fortsatt trött på den här ”debatten”. Om du också är det, läs inte kommentarerna till artikeln. 🙂


Stefan Pettersson

Hi-tech Grand Theft Auto

Metro rapporterade i förra veckan om en våg av bilstölder på Arlandas långtidsparkering. Inget konstigt kan man tänka men faktum är att moderna bilar i regel är väldigt svåra att stjäla. Det är inte samma sak som att sno en Volvo 240 när allt du behöver är en rejäl skruvmejsel och avsaknad av respekt för andras egendom.

Moderna bilar har förstås larm, är skyddade mot slim-jims, har rattlås och en startmotor som bara går igång om en radiosändare på bilnyckeln svarar på challenge-response- eller engångskod-liknande. För det första så tros detta ha lett till en ökning i carjackings (hittar ingen bra källa till det just nu men det är ett sunt antagande). För det andra, och framförallt, så kan man dra slutsatsen att Arlanda-tjuvarnas bravader är rejält high-tech.

Det här är inte samma sak som att säga att det är svårt att genomföra själva stölderna. Man kan se framför sig att det fungerar precis som med t ex exploits, rootkits eller bottar idag; smart person utvecklar svart låda som kan öppna bilar av märket BMW X6 från 2010, säljer den till personer som saknar respekt för andras egendom, dessa stjäl sedan bilar från Arlanda.

På senaste upplagan av IEEE Security and Privacy Symposium handlade ett av bidragen om något relaterat; Experimental Security Analysis of a Modern Automobile (pdf). Fascinerande läsning. Notera att en av författarna, även om han är sist på listan, Tadayoshi Kohno, också är författare till den synnerligen bra boken Cryptography Engineering.

Liknande material om bilars stöldsäkerhet sett från digitalt perspektiv har dykt upp tidigare men det här är, mig veterligen, första gången det dyker upp i ett såpass respekterat forum som IEEE Security and Privacy.


Stefan Pettersson

Räkna inte buggar

Brian Krebs har skrivit ett bra inlägg i buggräknardebatten (om det finns en sådan), Why Counting Flaws is Flawed. Budskapet är att antalet säkerhetshål eller patchar inte är en bra metod för att mäta säkerhet. Jag har skrivit raljerat om det tidigare och har i stort precis samma åsikt som Krebs:

It’s a bit like trying gauge the relative quality of different Swiss cheese brands by comparing the number of holes in each: The result offers almost no insight into the quality and integrity of the overall product, and in all likelihood leads to erroneous and — even humorous — conclusions.

Krebs drar även samma slutsats som jag; frågan ”hur många buggar?” föder bara fler frågor:

  • Was the vulnerability discovered in-house — or was the vendor first alerted to the flaw by external researchers (or attackers)?
  • How long after being initially notified or discovering the flaw did it take each vendor to fix the problem?
  • Which products had the broadest window of vulnerability, from notification to patch?
  • How many of the vulnerabilities were exploitable using code that was publicly available at the time the vendor patched the problem?
  • How many of the vulnerabilities were being actively exploited at the time the vendor issued a patch?
  • Which vendors make use of auto-update capabilities? For those vendors that include auto-update capabilities, how long does it take “n” percentage of customers to be updated to the latest, patched version?

Trevlig helg!


Stefan Pettersson

Fuska i Jerringpriset?

Det rätt så anrika Jerringpriset ska delas ut snart. Priset ska gå till årets bästa, svenska idrottsprestation. Jag hörde om det på radio i morse och radioprataren annonserade glatt ”Det inte är någon jury som avgör utan det är ni där hemma! Surfa in på … och klicka på din kandidat!”.

Woah… Webbomröstningar på Internet är ju inte särskilt pålitliga. Det är ju en sak om Aftonbladet undrar hur stor andel av deras läsare som vill att person p ska röstas ut från såpa s men Jerringpriset väl är en helt annan.

Som tur var visade det sig att jag tolkade situationen lite för fort. Det handlar inte om att rösta om vem som ska vinna utan att egentligen om vilka som inte ska vinna; de fem kandidater som får färst röster åker ut. Det här betyder att ”valfusk” á la automatiserad röstning inte har lika stor effekt.

Det är med andra ord ett perfekt exempel på att inte göra ett angrepp mindre troligt utan mindre meningsfullt. Man har därmed sänkt risken, inte genom att göra en attack svårare utan genom att minska konsekvensen av den. Risk defineras ju i regel som produkten av sannolikhet och konsekvens, båda kan minskas för att minska produkten.

I like it.

Sidenote: För skojs skull skickade jag en fråga till QuestBack (som sköter omröstningen) om vad de gör för att förhindra fusk. Vi får se om det kommer något svar. CAPTCHA känns ju som en naturlig början. Den här nedan t ex. 🙂


Stefan Pettersson

Spionage

Nu kanske ni undrar varför det är en bild på spionen Stig Bergling här ovanför. Jag vill bara göra er uppmärksamma på att SÄPO regelbundet informerar om industri- och företagsspionage i diverse publikationer på sin webbsida. Nyttig läsning. (Avdelningen för Know-Your-History™ rekommenderar även Tore Forsbergs böcker och Boris Grigorjevs sommarprogram.)

In related news så gick BitDefender idag ut i ett pressmeddelande med att de hittat ett program som gömmer sig på datorer och slussar ut diverse dokument från densamma:

The fact that it looks for all that it is linked to archives, e-mails (.eml, .dbx), address books (.wab), database and documents (.doc, .odt, .pdf etc) makes Trojan.Spy.YEK a prime suspect of corporate espionage as it seems to target the private data of the companies.

Knäryckreaktionen mot sånt här brukar bestå av antivirus-program och, nuförtiden, ”data loss/leakage prevention”. Jag är osäker på att det är vägen att gå och ber att få återkomma om det.


Stefan Pettersson

Boktipset 3: Hacking: The Art of Exploitation

Hacking: The Art of Exploitation av Jon Erickson gavs ut första gången 2003 och blev snabbt en klassiker. Boken handlar inte bara om buffer overflows, format string-attacker och shellcode men det är vad den är bäst på. Erickson lyckas på ett bekvämt sätt sakta bygga upp kunskapen från enkla ”Hello world-stack-overflows” till polymorfisk, alfanumerisk shellkod med leverans över TCP-koppel.

Om du har läst Smashing the Stack for Fun and Profit av Aleph1 och gillade den men vill ha mer är det här helt rätt bok.

Den andra utgåvan (med orange framsida, den första hade grön) från 2008 täcker i stort sett samma material, är tjockare, har mindre fokus på format strings men större fokus på vanlig C-programmering. Fokuset är såpass bra att den utan vidare skulle kunna användas som en introduktionsbok i ämnet.

Även om du inte berörs av de ”brister” C-språk har i hanteringen av arrayer i minnet i ditt dagliga arbete är det mer eller mindre att anse som allmänbildning. Denna attack är ju trots allt the-worst-of-the-worst på många sätt.

Som Bengt Frithiofsson säger; ”det är bara att köpa”. 284 spänn på Adlibris.



Stefan Pettersson