It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: november, 2012

Fuskbyggen revisited: två skillnader

Title: Samsung Printer Backdoor Account

Description: Network-aware printers manufactured by Samsung before October 31, 2012 (including some Dell printers actually built by Samsung) have a hard-coded SNMP read-write community string, which enables full administrative access to the device – even when SNMP has been disabled by the user. A patch is currently being developed by Samsung; in the interim, users should consider blocking all SNMP traffic to impacted printers, which likely contain sensitive information that could be used by an attacker or industrial spy.

Reference:
http://www.kb.cert.org/vuls/id/281284
http://l8security.com/post/36715280176/vu-281284-samsung-printer-snmp-backdoor

Det här möts man av i veckans @RISK-nyhetsbrev från SANS (min fetstil). Jag skrev om fuskbyggen tidigare, alla fuskbyggen är dock inte jämlika, det finns skillander.

Skillnad #1: det finns buggar och det finns buggar

Buggar och säkerhetsbuggar har alltid funnits och kommer alltid att finnas. I samma nyhetsbrev som ovan rapporteras också CVE-2012-5533, en DoS-bugg i lighthttpd: genom att skicka ett request med en header där en token är tom hamnar servern i en oändlig loop och slutar svara. Det är ett misstag som är lätt att göra och förvisso går det att upptäcka sånt genom testning, problemet med kombinatorisk explosion gör dock att det är omöjligt att täcka alla testfall. Med andra ord, sådana här buggar kommer att dyka upp emellanåt. Deal with it.

En hårdkodad community string på en skrivares SNMP-server är en helt annan bugg. Det är förresten ingen bugg, det är slarv. Att strängen dessutom verkar har funnits sedan 2004(!) gör det bara mer besvärande. Det är helt enkelt inte okej.

Skillnad #2: det finns mjukvaror och det finns mjukvaror

Det är en sak om ett företag utvecklar mjukvara som de ska använda själva, och slarvar. De flesta har inget problem med någon som binder ris för egen rygg. Däremot, om företaget utvecklar mjukvara med avsikt att sälja den – kräva pengar i utbyte för att någon ska få använda den – och slarvar. Det är helt enkelt inte okej.

Eller finns det förmildrande omständigheter?

Varför är Bildts Gmail ett säkerhetsproblem?

I lördags gick Aftonbladet ut med nyheten att utrikesminister Carl Bildt använder en privat Gmail-adress för officiell kommunikation:

Enligt uppgift till Aftonbladet har Bildt uppmanat höga tjänstemän inom utrikesförvaltningen att kontakta honom på Gmail-adressen i stället för hans officiella via Utrikesdepartementet. Kommunikationssättet ska vara utbrett bland svenska ambassa­dörer trots att systemet är ifrågasatt.

– Gmail är inte säkert. Informationen ligger lagrad på servrar i andra länder. Det är ett amerikanskt företag som inte tvekar att lämna ut material till säkerhetstjänster, säger Joakim von Braun, it-säkerhetsexpert.

Flera källor uppger att Bildt föredrar att kommunicera via sin Ipad, men det har inte varit problemfritt.

Fotografi av Aftonbladets framsida

Både molntjänster och BYOD alltså? Hualigen.

Låt oss först och främst konstatera att säkerhetsproblemen med gmail.com i stort också gäller riksdagen.se (eller var hans formella mail nu ligger), den viktiga skillnaden är att man saknar kontroll över Gmail; det är svårt eller omöjligt för Riksdagens säkerhetsfolk att övervaka, kontrollera eller anpassa säkerheten hos Google.

Vilka säkerhetsproblem riskerar Bildt i praktiken?

Först och främst, (1) med tillgång till Bildts Gmail-konto kan man förstås läsa allt som har skickats och tagits emot. Enligt utsago så ska inget omfattas av sekretess och det kanske stämmer. Bildt är ju en rätt van politiker och har säkerligen koll på vad han skickar, frågan är om de som skickar mail till honom har det.

(2) Någon som får åtkomst till Bildts Gmail-konto kan utge sig för att vara honom, det kan förstås få oanade konsekvenser.

(3) Någon som får åtkomst till Bildts Gmail-konto kan ta bort de mail som har skickats och tagits emot eller varför inte, byta lösenord eller avsluta kontot? Så mycket för allmänna handlingar som kan vara offentliga.

(4) Dessutom, som Jocke nämner i artikeln, servrarna som Bildts mail bor i ägs av ett företag i ett annat land och kan därför bli tvungna att lämna ut åtkomst till myndigheter på ett eller annat sätt. Detta var aktuellt nyligen i samband med Petraeus-affären där en CIA-chef kommunicerade med en älskarinna via Gmail och kraftigt underskattade sina motståndares (FBI) kapacitet.

Faktum är att även om Bildt använder precis samma mailtjänst som ”vanliga” människor så är hans konto utsatt för större risk. Dels för att han är en offentlig person och därför har en större hotbild men också för att han är en offentlig person och därför har avsevärt svårare att lyckas med s k social authentication som är vanlig i sådana sammanhang. För självklart är det lättare att ta reda på svaret till den offentliga Bildts ”hemliga fråga” än hans okände namnes i Häggvik. (Ja, det finns en till Carl Bildt, Henric Robert Carl Bildt närmare bestämt.)

Uppdatering samma dag: Såg nu också att Bildt (på ett härligt bildtskt vis) har kommenterat saken på sin blogg. Tyvärr gör han det något amatörmässiga misstaget att likställa säkerhet med skydd mot att information läcker. Det är ju, enligt ovan, bara ett av problemen.

Förberedelser i bild

Det här fotot har cirkulerat i mer än en vecka nu men det förtjänar det. Fotot är taget av en fotograf på Reuters medan stormen Sandy låg över New York och New Jersey. Lägre Manhattan i mörker med hotfulla moln över, en fastighet lyser som om inget har hänt. 200 West St, Goldman Sachs huvudkontor.

Det här handlar förstås uteslutande om att Goldman Sachs var mer förberedda än sina grannar, vilket de var medvetna om:

We wanted to take this opportunity to let you know that we have strong business continuity plans in place at Goldman Sachs Asset Management and are open for business. Most NY-based employees are working from home or are partnering with their global and US counterparts to cover important items.  Our portfolio management teams are actively engaged and are closely monitoring our client portfolios.

Anledningen är att de har räknat på hur mycket pengar de förlorar (läs: inte tjänar) om de måste avbryta handeln. (Enligt en bekant med god insyn i detta så handlade Goldman ”som fan” under hela Sandy.)

Jag återberättade för några år sen historien om Morgan Stanleys säkerhetschef Rick Rescorla och den 11 september. En fantastisk historia som förmodligen inte är helt sann men ändå är bra och framförallt illustrativ.

Trevlig helg!

Fuskbyggen

Hem- och inredningsprogram på tv har ju varit populära ett bra tag nu. En speciell variant som jag gillar är de som handlar om fuskbyggen. Det finns flera exempel, jag gillar kanadensiska Holmes on Homes men i Sverige har vi förstås Martin Timell och Lennart Ekdal i serien Fuskbyggarna.

Varje program har egentligen samma upplägg: en familj bor i ett hus där hela eller delar av huset är dåligt byggt. Först går programledarna runt i huset och ojjar sig över hur byggarna har slarvat. Det har använts spik när det egentligen borde ha varit skruv, man har hällt ner spackel i avlopp, struntat i dränering och fuktspärrar, nöjt sig med vanligt gips i våtutrymmen, snålat med material, gjort livsfarliga kabeldragningar, etc, etc.

Resten av programmet ägnas åt att göra om allt på rätt sätt. Ordentligt. Från början. Holmes är särskilt anal och tvekar inte en sekund på att riva upp golvet på hela undervåningen bara för att det är golvknarr vid en tröskel någonstans. Man skulle kunna säga att det är p-rr för oss som lider av viss perfektionism. Som en bonus söker sedan Ekdal upp byggaren och hänger ut vederbörande.

Jag funderar på att höra av mig till Strix eller Jarowskij med en ny programidé: Fuskutvecklarna. Jag skulle dock ersätta Timell och Ekdal med Paulie Gualtieri och Kjell Bergqvist.

I kvällens program av Fuskutvecklarna: Alexander och Linneas leverantör av middleware för realtidsmeddelandehantering mellan deras webbfront och affärssystem sade att systemet var säkert. Alexander och Linnea var nöjda i början men efter några månader visade det sig att stora delar av systemet var utvecklat i en blandning av Java, PHP och Lua-script ovanpå Mandrake  med en sju år gammal Linuxkärna. Den inbyggda databasen visade sig ha hårdkodade lösenord och var åtkomlig via fem olika portar som inte gick att stänga. Den, enligt utsago, ”härdade” plattformen körde strax över 300 processer efter en fräsch omstart, bland annat Apples Bonjour, Samba och en OSPF-router.

När Linnea hörde av sig med klagomål hävdade leverantören att allt var implementerat i hårdvara och därför inte behövde säkerhetspatchar samt att den oavsett uppfyllde FBI:s säkerhetskrav.

Se när Paulie och Kjell hjälper Alexander och Linnea att styra upp sin meddelandehantering och sedan konfronterar leverantören.

Now that’s television.

Sophos: security features != secure features

The paper includes a working pre-authentication remote root exploit that requires zero-intera[c]tion, and could be wormed within the next few days. I would suggest administrators deploying Sophos products study my results urgently, and implement the recommendations.

Så inleds den andra delen av Tavis Ormandys Sophail-rapport som släpptes på Full-Disclosure i måndags. Det är en kuslig påminnelse att det är skillnad på säkerhetskomponenter och säkra komponenter.

Mitt examensarbete på skolan behandlade i viss utsträckning generiska skydd mot buffer overflows: till exempel stack canaries, NX/XD och ASLR. CJ, som var min handledare, och jag var då och träffade en återförsäljare av just Sophos i hopp om att få lite mer information om hur deras BOPS-teknik fungerade. BOPS, eller Buffer Overflow Protection System, skulle alltså vara ytterligare ett sådant generiskt skydd.

Lång historia kort, vi blev besvikna. Den ”expert” som vi fick prata med förklarade att man kunde sätta på BOPS för enskilda binärer eller globalt och sedan vitlista vissa binärer. Hur BOPS verkligen gjorde för att stoppa attacker hade han ingen aning om. Wow.

Överraskande nog har BOPS precis motsatt(!) effekt, avsikten är att införa något som liknar ASLR men istället ser den till att det alltid finns en statisk (istället för en slumpmässig) adress i minnet att gå mot. Från Ormandys rapport (min fetstil):

The purpose of BOPS (although it does not work) is to provide a faux-ASLR implementation for Windows XP. Sophos ship the product on other platforms but it is essentially a no-op. Sophos uses AppInit_DLLs to force load this nondynamicbase module into every process, disabling ASLR on platforms that do have it enabled.

This effectively disables ASLR on all Microsoft Windows platforms that have Sophos installed, allowing attackers to develop reliable exploits for what might otherwise have been safe systems

Christoffer var snabbare att dra parallellen till Kerckhoff och hans hundra år gamla princip.

Ormandy ger tre råd till de drabbade:

  1. Förbered er på att stänga av Sophos AV på alla system (om en mask skulle dyka upp).
  2. Installera inte Sophos-produkter på kritiska system, det finns helt enkelt för många sårbarheter.
  3. Installera inte Sophos-produkter på system som är svåra att uppdatera, det finns helt enkelt för stort behov att hålla produkten uppdaterad.

Det är ett obehagligt problem att programvara som utvecklas och distribueras brett ibland är i dåligt skick. Det är sånt som gör skadeansvar till ett intressant ämne.