Författare: Erik Zalitis

11 april, 2021

#119 – Hur säkra är våra videotjänster?

Avsnittet: 119 – Hur säkra är våra videotjänster?
Inspelat: 2021-04-09 (publicerat 2021-04-11)
Deltagare: Mattias Jadesköld, Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
3 april, 2021

#118 – Praktiska råd efter Schrems II

Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Sanningen smärtar….

Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?

Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.

Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
28 mars, 2021

#117 – Pentests and the economy (In English)

Episode: #117 – Pentest och ekonomi (eng)
Recorded: 2021-03-26 (published 2021-03-28)
Participants: Erik Zalitis and Simon Roe (Outpost24)
This episode is brought to you by SIG Security.

Listen to the episode

Things to ponder while listening

This text and the podcast is in English as mr Roe is a native English speaker.

So where to begin? I will assume you know what penetration testing means. Instead I will try to interpret Simon’s ideas and counter them with my own. I agree with much of what he says, but have some other experiences on some occasions.

Simon likes to talk about the future of pentesting by comparing it to Netflix. Instead of a lengthy negotiation of terms and prices, only to be told ”we will be able to start in eight weeks”, it should be a formalized process and little waiting times. This will mean that recurrent testing with short intervals can be done.

A common process is that you tell the customer that this is a 10 hour test or we need 40 hours. Simon rather tells you that this is what you get for x hours. He also believes that the customer should be able to see the tentative finding as the test runs and then fix them and ask the tester to retest within the tests original time frame.

Let’s first talk about where I agree with him:

The tests must be more formalized. Pentesting used to be long winded negotiation and suffer from some ”rockstar hacker” mentality. The testers were seen as super talented hackers that could warrant the exorbitant pricing. This is thankfully over now. The prices of testing is slowly decreasing as it should and there are many frameworks for testing available. Simon may talk about a Netflix (”Click to order”) approach, but for me it looks more like the ”order a new server by calling the customer manager” as opposed to the modern ”click a button to provision a new server on Amazon AWS”. I’m 100% with Simon here.

The reports and status should be available on a portal. This can make the process of delivering the bad news more secure, so the company gets the report and not some opportunistic hackers. The portal must have very heavy security and also feature automatic destruction of data and multifactor authentication not to say auditing.

Where I have other views on the matter

He wants to publish results on the portal as the test proceeds and also let the tester re-test (as I wrote previously). This is not something I would do. The rationale is that test must be allowed to finish before analysis can be done. Also, remember, we have a limited amount of testing hours. Retesting within those will consume time from completing the principal attacks properly. Also, I believe it will not give the customer a chance to understand the underlying problems before fixing them.

Then when it comes to the negotiation of the time frame, I see it a little bit differently.

I believe the correct approach to decide a time frame for testing is:

  1. Get the size of the environment to be tested.
  2. Build attack scenarios (e.g. Unauthenticated attack followed by a authenticated attack against…)
  3. Decide knowledge profile (White/Gray/Black hat)
  4. Decide location (e.g. On premises, over VPN or from the Internet)
  5. Decide the type of attacks (e.g. injections, buffer overruns, but not DDOS)
  6. Calculate a reasonable amount of time for the planned attack given the factors above
  7. If the customer wants to shorten the suggested time frame, it’s not a problem, but will yield less results.

This means, the test can be properly defined and accepted.

To sum it up, I like the idea of optimizing the pentesting procedures in order to make it behave like any other service you purchase and believe that Simon’s ideas are a good way to step in exactly that direction.

But what about going even further? I have an idea too:

Create a governing body for pentesting that oversees the process. It should be voluntary for testing companies to join, but can be used to prove that ”we’re a part of the international ethical hacker congress” (or whatever such an organization may be called). Part of the organisation can be making sure testers work, plan, attack, report and negiotiate jobs in a very similar way. The may create tools, procedures and provide a things like templates for reports and automatic data exports so reports from different testing companies can be loaded into an application to compare and summarize them. Some may think that ISC2 or ECCouncil could do this, but I think a large scope is needed for this.

Errata

  • None at this time. Please comment below if you find something that needs correction.
21 mars, 2021

#116 – Hur säker är en Mac?

Smaskens… Finns det möjligen någon form negativ åsikt om Mac här?

Avsnittet: 116 – Hur säker är en Mac?
Inspelat: 2021-03-19 (publicerat 2021-03-21)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Datorkriget har börjat. Dags att stå på varsin sida och vråla om hur den andra sidan är dumma och dåliga. Men vi är inte så intresserade av att se ner på Apple eller någonting annat. Möjligen kanske bilden ovan ger den känslan, men vi försöker istället ställa upp Apples säkerhet mot dagens hot och jämföra med hur Windows/Linux/Android har hanterat den allt tuffare världen vi lever i.

Förr brukade många Apple-användare skratta åt alla virus (ok, ”skadlig kod”) som plågade Windows-sidan och kommentera att ”MAC inte behöver något antivirus-skydd”. Men nu har ju Apple infört XProtect, som liknar ett virusskyddsprogram i MacOS. Och deras Gatekeeper ser till att du inte laddar ner opålitliga program hur som helst. Det känns rent spontant som Apple tvingas komma ikapp Windows vad det gäller inbyggda skydd.

Däremot är Apples hårdvara redan rejält moderniserad. Det finns secure boot, fulldisk-kryptering och teknologier för att enbart pålitlig kod får ladda vi uppstart. Så Apple är ju inte direkt omoderna vad det gäller säkerhet, men mekanismerna för att skydda användarna från att göra dumma saker känns bitvis lite efter. Och Apple ger åtminstone mig ett lite yrvaket intryck.

Sen har vi ju diskussionen om gamla hederliga programvaror/applikationer och ”appar”. De sistnämnda körs i en sandbox som hindrar dem för att prata med saker de inte borde få prata med. Men skyddet mot vad vanliga gammelmodiga applikationer får göra i Windows och MacOS är inte så starkt. Detta är svårt att genomföra och kanske ett problem vi snart blir av med, eftersom apparna långsamt håller på att ta över.

Jag pratar också om ”Mandatory Access Controls”, vilket förvirrande nog också kallas MAC. Men detta skydd är tyvärr inte så vanligt. I Linux har man AppArmor som är ett manifest eller en ”constrainment profile”, som det heter där, som deklarerar vad programmet eller tjänsten faktiskt får göra. Stöd för liknande finns givetvis i Windows, Android och Apples produkter, men används inte fullt ut och ej heller helt konsekvent.

Yup. Vem släppte in vargen i hönshuset?

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 mars, 2021

#115 – Supply Chain Cyber Security med Jonas Lejon

Ovanligt glad trots alla IT-säkerhetsproblem på nätet… Eller kanske just därför…

Avsnittet: #115 – Supply Chain Cyber Security med Jonas Lejon
Inspelat: 2021-03-12 (publicerat 2021-03-14)
Deltagare: Mattias Jadesköld, Erik Zalitis och Jonas Lejon
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Allt är ju elände som vanligt. Nu kan man inte ens lita på att den där hemliga kryptotelefonen, superavancerade servern eller programvaran är pålitlig även om man skaffat den genom en trovärdig leverantör. Supply chain-attacker handlar om att flytta attacken till leverantörssidan, så det du köper levereras ”för-hackat”.

Många fick säkert kaffet i vrångstrupen när nyheterna vrålade ut att Huawei installerat ”ris-kornsstora” spionchip i servrar de sålde. Det visade sig inte vara sant, men för många var det ett sent uppvaknande och en insikt om att saker kan levereras i ett olämpligt skick. Och det är inget nytt. På 90-talet lyckades en tidning leverera ett virus genom en diskett som följde med tidningen. Därefter har vi hört om virus på USB-stickor direkt från affären ett antal gånger.

Förr kanske det var vanligt att detta var ett misstag, men numera är det nästan garanterat att det är ett medvetet drag. Och leverantören själv kan vara helt oskyldig. I detta avsnitt, som är ett samarbete mellan oss och SIG Security, pratar vi om Sky ECC-attacken, Solarwinds-hacket och diverse andra kända supply-chain-attacker med Jonas Lejon.

Jonas driver en egen blogg (kryptera.se), utför penetrationstester och håller föredrag om IT-säkerhet.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

7 mars, 2021

#114 – 5G och IT-säkerheten

Matrs Mägiste från Telia är veckans gäst i IT-säkerhetspodden och berättar om just IT-säkerhetsaspekten på 5G.

Avsnittet: 114 – 5G och IT-säkerheten
Inspelat: 2021-02-26 (publicerat 2021-03-07)
Deltagare: Mattias Jadesköld, Erik Zalitis och Mats Mägiste.

Lyssna på avsnittet

Medan du lyssnar

Så, det blir alltså snabbare, mindre fördröjningar och fler funktioner! Nice, men hur är det med IT-säkerheten? Det är ju alltid det som sitter på den andra sidan av gungbrädan och flyger i en vacker båge över huvudet på funktionsidan som väger bly när den sätter sig på sin sida.

Men Mats Mägiste tror att säkerheten faktiskt är något man tagit hänsyn till här. Dock måste vi gå igenom de vanligaste frågetecknen om teknologin, varesig de handlar om säkerhet eller inte.

Så här är några av frågorna:

  • Är 5G något som märker skillnad på när vi väl börjar använda det?
  • Har vi skapat ett nytt sätt att ge hackarna enorma, dynamiska botnät?
  • Är strålningen farlig?
  • Hur är det med nät-neutraliteten?
  • När kommer vi få teknologin på bred front?
  • Vad får utländska aktörer för makt över våra nätverk när 5G införs?
  • Hur påverkar 5G oss som arbetar med IT-säkerhet?

David Jacoby skräder dock inte orden, vad det gäller 5G:
https://www.youtube.com/watch?v=tuWKYCoCiv4&t=1920s

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
28 februari, 2021

#113 – Gisslandramat i San Francisco

Golden gate-bron inhöljd i en mystisk dimma. En bra metafor för att det okända i att inte ens kunna komma åt sitt eget nätverk. Vi är meta idag. Mycket meta.

Avsnittet: 113 – Gisslandramat i San Francisco
Inspelat: 2021-02-17 (publicerat 2021-02-28)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

I slutet av avsnittet ”Hotet Inifrån” nämnde jag problemet den osannolika historien om Terry Childs och Mattias och jag tyckte den historien i sig skulle vara intressant att berätta. Så vi tar oss tillbaka till San Francisco 2008 och försöker förstå vad det egentligen var som hände.

Vi avslutar genom att kort ta några av de viktigaste punkterna för att undvika denna typ av händelser, som vi slog fast i vårt tidigare avsnitt:

  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.

Just det ja, vårt snack om min tidiga karriär och mannen som erbjöd domän admins rättigheter till en kvinna som en flirt, finns beskrivet mer i detalj här.

Däremot är detaljerna om mannen som skapade en tidbomb i ett program han skrev svåra att hitta något mer att berätta om, eftersom det tystats ner en del. Det är en historia som jag fick höra om på 90-talet från de som jobbat där ett tag, men jag kan inte säga någon om trovärdigheten i den. Så den kanske hör hemma bland fiskerihistorier mer än något annat.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
21 februari, 2021

#112 – e-postsäkerhet – mer än ett IT-problem

Marcus på Ports group pratar om epostsäkerhet med det viktiga fokuset på att skydda även utgående epost.

Avsnittet: 112 – e-postsäkerhet – mer än ett IT-problem
Inspelat: 2021-02-19 (publicerat 2021-02-21)
Deltagare: Erik Zalitis och Marcus Wessberg.

Lyssna på avsnittet

Medan du lyssnar

Vi har ju tänkt mycket på hur man ska se till att köra all inkommande epost genom en tratt där vi verifierar, sanerar och kategoriserar allting. Idag är spamfilter fullproppade med heuristiska kontroller, skadlig kod-skydd och mekanismer för att kontrollera vit- och svartlistor. Så på den fronten verkar vi ha någorlunda kontroll.

Det är värre på den utgående sidan, där vi först nu kommit på att vi måste se till att ingen kan utge sig för att vara oss. Epost har historiskt varit totalt oskyddat, där vem som helst kan ange vad som helst som avsändare.

Dessutom har varje epostmeddelanden i verkligheten två avsändare, men bara en av dem syns normalt i mailklienten. Detta har använts av hackare för att förfalska mail.

DMARC/DKIM/SPF tillsammans löser detta problem rätt bra, men det finns nya mekanismer som Verified Mark Certificate som kan göra att en avsändare kan komma med en logotype i mailklienten. Denna är kontrollerad, vilket gör att den som läser mailet vet exakt vilket företag mailet kommer från.

Idag är det jag som pratar med Marcus Wessberg från Portsgroup om hur epostskyddet idag håller på att återigen utvecklas för att kunna möta dagens- och morgondagens hot.

Portsgroup har tjänster för att säkra kundernas mail och måste därför hela tiden hålla koll på vilka mekanismer man måste ha idag och vilka man måste gå över till imorgon.

Vi pratar om en hel del relaterade problem som typosquatting och cybersquatting samt whaling och spearphishing.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 februari, 2021

#111 – Hackers vs. Gamers

Erik Zalitis och Mattias Jadesköld tycker en hel del om dagens ungdom och deras spelande. Borde inte de gå ut och spela fotboll istället? På min tid… Jag säger bara det….

Avsnittet: #111 – Hackers vs. Gamers
Inspelat: 2021-02-12 (publicerat 2021-02-14)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Medan du lyssnar

Så spel är ingen lek, alltså? De flesta datorspelarna är de som spelar ibland, som jag och Mattias. Men det finns en stor klunga ”gamers”, där spelandet är en livsstil. Den som lär sig att bli en duktig spelare är också sannolik att lära sig programmering och kanske senare att knäcka system. Det sistnämnda är inget problem så länge de fattar att inte börja sin bana som cyberbrottsling utan håller sig till att knäcka sina egna system eller andras med deras tillstånd.

Men för ”gamern” som börjar gå denna bana, är det inte främst pengarna, de snabba bilarna eller kanske att bli en hackervärldens Lex Luthor som lockar. Det handlar om tillhörighet och att vara någon i gruppen.

Men de riktiga cyberbrottslingarna vakar över de unga nykomlingarna för att kunna värva dem. Vad kan man göra åt detta och vad görs? NCA anser att ett allvarligt samtal med den nykläckta hackaren om var resan leder och att man kan få allt hackingen erbjuder på laglig väg, kan lösa problemet tidigt.

Säkerhetsindustrin skriker efter folk som kan hacka, säkra och bygga arkitekturer inom området. Men för den som valt den olagliga vägen är dörren dit stängd.

I got a little list…

… Sen det andra problemet: spelarna och spelföretagen är en stor måltavla för hackare själva.

One reason that we believe the gaming industry is an attractive target for hackers is that criminals can easily exchange in-game items for profit,” Martin McKeay, Security Researcher at Akamai said in a statement. “Furthermore, gamers are a niche demographic known for spending money, so their financial status is also a tempting target.

Vad kan man göra med en identitet? Mycket, men mina tankar är främst:

  • Kartlägga personer.
  • Förberedelse för ID-kapning.
  • ”Credential stuffing” för att ta sig in på andra ställen med användarnas inloggningsuppgifter.
  • Sno spelarens utrustning i form av rustningar och vapen och sälja dem.
  • Köpa saker för spelarens pengar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
7 februari, 2021

Show Notes för #110 – Det ryska cyberkriget

Seriöst, den går att köpa på Internet.

Avsnittet: #110 – Det ryska cyberkriget
Inspelat: 2021-02-05 (publicerat 2021-02-07)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Det går inte att höra, men inspelningen plågades av en del tekniska misöden, missförstånd och omtagningar. Och precis som Phil Spector fick ta hand om Beatles 250 timmar av osorterade inspelningar för att göra skivan ”Let it be”, har jag nu här lyckats foga ihop tagningarna till en helhet. Tror jag tagit bort typ 10-15 minuter material. Och det hela hänger ihop väl.

För att kunna förstå de Ryska hackergrupper som varit mycket lyckade i att göra påverkansaktioner, måste vi diskutera Rysslands historia de senaste 100 åren. Det gör vi de första 11 minuterna i programmet.

Från Ryska revolutionen där Bolsjevikerna tog över, genom det kalla kriget då alla stormakterna spionerade på varandra och fram till idag. Ryssland hade alla anledningar att bli bra på att kunna spionera, övervaka och påverka. Vi hade ett mycket initierat samtal med Fredrik Eriksson på Försvarshögskolan i augusti där vi i detalj gick igenom kalla kriget.

Här springer vi i rask takt igenom det för att bygga en bakgrund, sedan används det följande två tredjedelarna till att diskutera hur en av Ryssarnas mest fruktade hackers, APT28 går tillväga för att göra sitt jobb. Och det är IDAG. Det är HÄR och det är NU.

Kontroversiellt?

Är vi? … tydligen…

Vi försöker undvika att ta ställning, men det var absolut ingen tillstymmelse till försiktighet när Mattias sa ”Titta på idag, det är väl fortfarande en diktatur?”. Jag försökte korrigera honom, men insåg rätt snabbt att han har rätt. Alltså, det är ingen åsikt utan ett konstaterande.

För att kalla ett land en demokrati är en ohindrad möjlighet att regelbundet kunna rösta fram representanter eller personer (direktdemokrati) till att leda landet på riks- och lokalnivå ett krav. Det går inte att komma ifrån.

Och nu kan ju Putin förlänga sin mandatperiod så länge han lever. Det innebär att nästa val blir när han fallit från. Julius Caesar nickar från sin grav. Och då är det faktiskt bara att erkänna att det är omöjligt att se Ryssland som demokratiskt. Det fallet på sin orimlighet.

Sen kanske vi är finkänsliga som en släggfabrik, men Sovjet föll faktiskt och vi har gott om data att man förtryckte sin befolkning. Någon som vill säga emot?

Jag hör ingenting här…

Men till det viktiga, APT28

”Advanced Persistent Threat” 28 eller Fancy bear attackerar idag huvudsakligen med fyra mönster:

  • Installera malware via spearphishing
    • Ofta skickar man dokument med skadlig kod eller länkar till websidor innehållande skadlig kod som man räknar med kommer drabba utvalda grupper. Det kan vara folk som jobbar i vissa branscher, organisationer eller företag.
    • theguardiannews.org var en fejksite som kopplats till APT28.
  • Lura till sig tillgång till webmail genom spearphising
    • Man länkar till onedrive-office365.com eller liknande fejktsida i ett mail.
    • Detta mail ber användarna resetta sitt lösenord eller logga in för att kunna läsa ett dokument.
    • När användare når siten, ser den ut som en riktig inloggningstjänst, men är istället byggt för att locka av användaren deras riktiga namn och lösenord till t.ex. sin mail.
    • Man kan även lura användaren att godkänna auktorisering.
Denna ska du ALDRIG klicka på om du inte förväntar dig denna ruta och vet EXAKT vad den gör. ”Just say No!!!”.
  • Infektion av legitim websida
    • Man kan hacka en legitim sida och sätta upp skadlig iFrame som attackerar användaren webbläsare. Denna attack är mer komplicerad med moderna webbläsare, men principen fungerar fortfarande.
    • Exempelvis utnyttjades den vid en attack mot Polska myndigheter 2014.
    • Resultat: APT28 är inne på nätverket
  • Åtkomst genom Internet-anslutna webservrar
    • Scannar servern efter sårbarheter.
    • Attackerar opatchade sådana.
    • Kommer sedan in och förflyttar sig därefter lateralt genom nätverket.
    • Resultat: APT28 är inne på nätverket!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Länkar

Ryssland och hackning:
https://www.xn--itskerhet-x2a.com/ryssland/

Tveksamt om de verkligen kom så långt med detta:
https://www.reuters.com/article/us-russia-usa-cybersecurity/russia-says-it-is-starting-to-resume-u-s-cyber-cooperation-tass-idUSKBN1WW1TL

Fancy a bear? A fancy bear, even:
https://en.wikipedia.org/wiki/Fancy_Bear

Rapporten Mattias pratar om. Utmärkt tidslinje:
https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

Revolutionen som formade Ryssland:
https://www.so-rummet.se/kategorier/historia/det-korta-1900-talet/ryska-revolutionen

IT-säkerhetspodden: Från det kalla kriget till dagens spioner på nätet
https://www.itsakerhetspodden.se/podcast/88-fran-det-kalla-kriget-till-dagens-spioner-pa-natet/

All right, då… Dags för lite skamlös självreklam. Köp Mattias barnbok!:
https://www.bokus.com/bok/9789180072632/cyberdeckarna-gisslanprogrammet/

Scroll to top