It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: juli, 2012

Mörkertal vid intrång

Uppdatering @ 19:53: Det missade jag först men tydligen offentliggjordes också några intrång mot ett par gas- och oljebolag i fredags. Vad det verkar så var det svenska Anonymous som låg bakom (så ja, det var politiskt betingat). Naturligtvis är dessa intrång tyngre, de var ju trots allt riktade till skillnad från de nedan som sannolikt är mer target of opportunities. Det här påminner oss förstås om att vem du är avgör vilka angripare som är aktuella.

Det har varit lite extra aktivitet på hacka-site-läcka-lösenord-marknaden under föregående vecka. Vem vet, det kanske är många kids som har för mycket fritid från skolan på loven.

  • Tisdag den 10 juli berättade det sociala nätverket Formspring att 420 000 hashade lösenord tillhörande deras medlemmar publicerats.
  • Samma dag gick Androidforums.com ut med att deras användartabell hade lästs av inkräktare.
  • Dagen efter, den 11 juli, råkade Yahoo! ut för motsvarande incident; omkring 450 000 mailadresser och klartextlösenord publicerades.
  • Senare samma vecka, på torsdagen erkände NVIDIA att de blivit av med användare och hashade lösenord från bl a sitt forum.
  • Det var även på torsdagen som någon postade ett utdrag från, enligt utsago, 35 000 mailadresser och klartextlösenord från klädmärket Billabongs site.

Hur många motsvarande incidenter har inte kommit till allmän kännedom? Dels kan det vara så att offret i fråga inte vet att de blivit hackade och att förövaren inte publicerar dumpen, dels kan det vara så att offret vet men hemlighåller det.

Det senare scenariot är nog ganska ovanligt när det gäller sådana här intrång; speciellt nu för tiden, vi har vant oss, ”det kan ju hända vem som helst”.

Det andra scenariot tror jag är desto vanligare, värdet på en dump rasar så fort den publiceras. De angripare som är ute efter ryktbarhet har mycket mer att vinna på att inte publicera. De lösenord som ingår i dumpen kommer nästan säkert att leda till ännu fetare byten, det kräver bara lite tålamod och finess. Publicera kan man ju alltid göra sen. Alternativt kan man publicera om man slarvade och blev upptäckt, vilket t ex verkar vara fallet vid NVIDIA-intrånget.

De intrång som blir kända borde bara vara toppen av ett isberg, även om man bara begränsar sig till hacka-site-sno-lösenord-varianten. Säg till om du känner till någon bra mörkertalsundersökning.

Vad hände förresten med defacements? Det är ju ingen höjdare heller men det var ju i a f trevligare än det här dumpandet. Har de ingen fantasi nuförtiden?

Slutsatser av intrånget hos Formspring

Det sociala nätverket Formspring gick här om dagen ut med att de har haft intrång. Nätverket har flera miljoner användare men ”bara” omkring 420 000 hashar har gjorts publikt tillgängliga. Den publicerade listan innehåller enligt utsago bara hasharna och inte användarnamn eller mailadress. Hasharna, för övrigt, var saltade SHA256. Det finns några intressanta punkter i Formsprings blogginlägg.

Screenshot from Formspring's blog post on the breach.

(1) Det var inte offret själv som upptäckte intrånget, det var en användare som hittade dumpen på ett hackerforum och hörde av sig till Formspring. Vi har redan lärt oss av Verizons Data Breach Investigations Report att det är så i majoriteten av fallen (92 % under 2011): någon annan än offret upptäcker intrånget.

(2) Man hade förberett sig med möjligheten att tvinga till lösenordsbyte vid inloggning. Mycket effektivare än att be snällt. Om ett system inte har särskilda säkerhetsbehov så är sådan funktionalitet, att kunna tvinga byten efter t ex intrång, viktigare än att tvinga regelbundna byten.

(3) De är rätt förtegna om hur intrånget gick till tyvärr men som de skriver: någon bröt sig in i en utvecklinggsserver och lyckades använda den åtkomsten för att komma åt produktionsdatabasen. Det är så dataintrång går till; ofta krävs bara en, tillräckligt stor maska någonstans för att kunna riva upp hela mattan.

(4) Man är i begrepp att gå över till kraftiga lösenordshashar, OpenBSD-projektets Blowfish-baserade bcrypt (PostScript) med salt och stretching närmare bestämt. Bra val! För lösenordshashar gäller samma sak som för kryptering: designa inte dina egna algoritmer eller implementeringar.

(5) Formsprings snabba och relativt öppna hantering av intrånget leder också till att deras PR inte lider allt för svårt. Samma sak som gällde när WordPress hackades för något år sedan. Det här är en jätteviktig punkt, en läsvärd artikel på FastCompany diskuterade det här för någon månad sedan, The Top Mistakes Companies Make In Data Breaches:

  1. Failing to use peacetime wisely.
  2. Failing to respond with the speed stakeholders expect.
  3. Falling short of full transparency.
  4. Providing details before all the facts are known.

Jag är naturligtvis ett fan av att utnyttja fredstiden, eller, som en kapten sa under min GU: det tillfälliga läget av okrig.

Förberedelser

Scout som gör hälsning med USA:s flagga i bakgrunden.

Scouternas motto må vara lite obehagligt pretentiöst men det är ändå synnerligen viktigt i säkerhetssammanhang. Jag vet inte hur scoutkåren definerar det men jag skulle säga att huruvida man är redo eller inte beror på förberedelser.

Jag illustrerar med en kort historia:

Kommer tillbaka från lunchen, sätter mig ner, Adam sticker in huvudet genom dörren och frågar om det är något problem med mailservern. Tittar på skärmarna på väggen; Nagios visar att både mailservrar och namnservrar är gröna, MRTG visar att trafiken har kickat igång igen efter lunchnedgången. ”Nä, inte vad jag vet, hurså?”, frågar jag. Adam förklarar att varken han eller Bertil kan skicka mail till kund X eller Y.

Kund X och Y har inget med varandra att göra. Skickar ett mail till min privata adress, inga problem. Kontrollerar mailserverns utgående ip-adress i diverse blacklists på mxtoolbox.com. Hoppsan, blacklistad på två olika listor. Har vi skickat spam?

Just fan, Caesar höll ju på med den där Java-Tomcat-ärendehanterings-tjofset som behövde komma ut på internet över smtp. Snabb sökning i brandväggens regelfil visar att han lade till ”/24” efter sourceadressen av bara farten när han lade in regeln. Hela utvecklingsnätet får skicka mail förbi mailservern. Inte bra.

Ändrar regeln på brandväggen och laddar om. Kopierar de föregående dagarnas NetFlow-loggar från brandväggen och söker på flöden utgående från utvecklingsnätet mot 25/tcp. Shite, tusentals långa mailflöden, förmodligen reklam för diverse apoteksvaror, har runnit ut sedan gårdagen. En ip-adress är ansvarig för samtliga.

Loggar in på dhcp-servern, söker loggarna och hittar vilken hårdvaruadress som hade ip-adressen tilldelad vid tillfället. Söker på hårdvaran i inventeringslistan, naturligtvis är det arkitekt-Davids laptop… Går upp till våning fem, hyvlar av honom och blåser om hans dator.

Även om vår systemadministratör hittade felet lite onaturligt snabbt så är det överlag en verklighetstrogen berättelse. I den finns flera exempel på förberedelser som kraftigt underlättade problemlösningen:

  • Nagios och MRTG kunde direkt visa att det inte rörde sig om någon nertid eller funktionsfel på mailservern eller någon av dess beroenden. Om det hade rört sig om nertid hade det varit tydligt från vilken tidpunkt det hade skett. Kanske hade till och med vår administratör sett det redan när hon kom in genom dörren så att Adam kunde lugnas på en gång?
  • Möjlighet att söka bland reglerna i brandväggen; med Netfilter eller PF är det den naturligaste saken i världen, hur är det med din vägg? Det kanske måste lösas på något särskilt sätt?
  • NetFlow på brandväggen möjliggör trafikanalys i efterhand, det bästa som går att uppbringa näst efter full packet captures; vem har pratat med vem vid vilken tid, ungefär. Oavsett hur mailen hade lämnat företaget så hade det framgått i NetFlow.
  • Loggar från dhcp-servern är så viktigt att t o m EU skriver lagar om det. Eftersom ip-adresser ibland är väldigt lösaktiga och hänger med vem som helst så är det minsta man kan göra att åtminstone hålla reda på vilka de varit med. Oaktat att s k hårdvaruadresser går att spoofa så är dhcp-loggen klistret som håller ihop det logiska nätverket med de fysiska maskinerna.
  • En uppdaterad inventeringslista är betydligt bekvämare än att kontrollera undersidan på varje laptop på ett helt våningsplan. (Hörde jag någon nätverksadmin mumla något om switchportar och en dokumenterad patchpanel?)

Givetvis finns det andra förberedelser som kunde ha varit ännu bättre, så fort du börjar fundera på det så kommer du på flera stycken. Om du var vår hjältinna, vad hade du önskat att du gjort för förberedelser?

Insider på svenska

Det engelska begreppet insider är svårt att översätta till svenska. Som tur är så har Svenska akademien uppvisat både snille och smak genom att ta upp ordet i SAOL. Se även två tidigare inlägg om insider-problematiken.

Insider i Svenska akademiens ordlista

Omvärldsbevakning

Första inlägget på WordPress! (Notera att jag därmed har bytt till en leverantör som blev hackade för ungefär ett år sedan. Ingen fara, antalet säkerhetshål är nämligen inte ett bra mått på säkerheten.)

Säkerhetsbranschen har inte suttit still en minut sedan den kickade igång på riktigt under mitten av 90-talet. Jag vet inte vilken generation av brandväggar vi är uppe i nu; det är åtminstone mer än den fjärde (det fick jag lära mig under CISSP-studierna, det är nämligen viktigt att kunna). Jag är samtidigt övertygad om att det har gått för långt och för brett, det är lätt hänt att vi glömmer att kontroll är fundamentalt för säkerhet. Nu menar jag inte kontroll som i att verifiera utan som i att ha kontroll och att vara i kontroll.

Kontroll kan man bara ha när det finns ordning och reda. Ordning och reda kan man bara ha om man har disciplin. Disciplin handlar tyvärr bara om att bita ihop och göra det som är jobbigt, trots att det är jobbigt, med vetskapen att det ger ordning och reda som ger kontroll som är förutsättningen för säkerhet. Det låter inte så svårt  att få en stabil och robust verksamhet.

Disciplin. Trist. Den n:te generationens brandväggar med Application Layer Control 3000™ som kan hålla femton tusen samtidiga VPN-tunnlar uppe är mer underhållande. Inställningen att disciplin är fundamentalt för säkerhet är ungefär lika kul som insikten att it-avdelningen är en serviceavdelning. Tack ITIL…

Det här betyder inte att omvärldens förändring kan ignoreras. Teknik och metoder förbättras ständigt, inte alls lika fort som leverantörer vill få oss att tro, men de förbättras. Omvärlden måste bevakas. Jag skulle vilja kalla det underrättelseverksamhet men det låter lite ansträngt.

Omvärldsbevakning
Den militära underrättelsetjänsten pratar i regel om tre typer av underrättelseverksamhet: strategisk, operativ och taktisk. De former av omvärldsbevakning som finns att tillgå idag inom it-säkerhet skulle jag vilja dela in i tre övergripande områden.

(1) Bevakning av nya versioner, patchar, säkerhetshål och exploits: Det här är vad de flesta tänker på först och vad obligatoriska säkerhetskrav ofta kräver. Från och med i dag den 1 juli (man skriver tydligen så och inte ”idag” fick jag lära mig häromdagen (eller är det ”här om dagen”?)) är det till exempel ett ska-krav enligt PCI DSS. Det handlar om att bevaka mailinglistor eller RSS-feeds från leverantörer och publika listor som t ex anrika Bugtraq och Full-disclosure. Jag skulle även inkludera uppdateringar till CORE Impact, CANVAS och Metasploit samt hålla ett öga på Exploit-DB (det som tidigare var milw0rm) och Packetstorm, åtminstone månadspaketen. CERT-SE:s blixtmeddelanden och deras motsvarigheter kan också vara en bra idé.

Danska firman Secunia sysslar med liknande tjänster. De kan berätta för dig när det kommer säkerhetsuppdateringar till både SQL Server 2012 och version 3.4.2a av en Flash-plugin till Firefox 3 för Mac OS X 10.3. Hög detaljnivå. Av vad jag har hört så är det en bra tjänst; dyr men bra. Deras gratisprogram Personal Software Inspector som håller rätt på uppdateringar till mjukvara på den lokala datorn rekommenderas.

(2) Bevakning av hot: Jag försöker oftast undvika begreppet hot eftersom det saknas konsensus kring vad det betyder. Här avses hot löst som i ”något hemskt som riskerar att hända dig”. Det kan vara att vulkanen som ligger tre hundra meter från kontorsbyggnaden får ett utbrott eller att en hackergrupp bestämmer sig för att förnedra ditt företag (läs: Sony v. LulzSec).

Hur får du reda på sådant? Det finns faktiskt sådana tjänster också; det semisvenska Intelligence Aggregation försöker göra just det. Tanken är att Sony skulle kunna ha fått en förvarning inför det stundande angreppet så att de hinner agera.

Intelliagg monitors, collects and aggregates intelligence about your organization, throughout the online world regardless of language, source or classification. When a possible threat is published or traded, you will be the first to know. An opportunity for you to control or evade damage.

Om man bortser från de uppenbara och sannolika problemen med falsklarm så är det klart en klart spännande tjänst. Jag måste dock erkänna att jag tror att det är för svårt men jag hoppas att jag har fel.

Förhoppningsvis är det ingen på firman som läser den här bloggen så att vi kan passa på att testa tjänsten: Hej Thomas och co, om ni detekterar det här, lämna en kommentar.

Thomas Olofsson and those asshats at Threat Finder are ruining our carding business with their Intelliagg service, I call for a massive and prolonged HOIC DoS attack against their customer login page! Are any Anons with me?! Let’s take them down!

…med risk för att jag taggas som en skurk av deras AI.

(3) Bevakning av allt annat: Ja, allt annat du måste läsa och studera hela dagarna för att klara dig framför ett skrivbord bredvid en annan säkerhetsspecialist utan att helt förlora dennes förtroende. Hur gick attacken mot LinkedIn till? Vilka krav blir tvingande i PCI i sommar? Vad är de senaste rönen om säkerhet i utveckling? Finns det nya attacker mot same-origin-policy? Hur långt har de kommit i analysen av Flame? Vilka nya script kom med nya nmap? Vilka slutsatser var viktigast från Verizons DBIR?

Listan på bloggar, nyhetssidor, mailinglistor, artiklar, rapporter och böcker är övermänsklig. (Jag fick ett plötsligt infall att mäta antalet hyllmeter med säkerhetsböcker jag själv har; strax över 1,8.) Att bara sortera ut vad som är värt att läsa är tidsödande, jag tappar ständigt bollar, det finns bara så många timmar på dygnet. Därför är andras sammanställningar väldigt värdefulla: CERT-SE:s veckobrev, Christoffers På den säkra sidan och Securosis Friday Summary till exempel.

Fortfarande, tiden räcker inte till. På sätt och vis är väl detta en av anledningarna till att man uppfann konsulten, antar jag.