Basalt deltog i säkerhetskonferensen SEC-T

Gone in 60s: Spränga, borra eller kanske bränna hårddisken? Vad är det effektivaste sättet att förstöra en disk vid en attack? Det och mycket annat fick vi lära oss på årets upplaga av den svenska säkerhetskonferensen SEC-T.
 
Ett av de intressantaste passen rörde beskrivningen av ISIS välorganiserade cyberorganisation, hur de arbetar och hur de som tur är fortfarande är ganska tekniskt inkompetenta och därför ofta misslyckas med att skydda sin kommunikation, vilket underlättar underrättelsearbetet. En kommande trend verkar dock vara att de fokuserar på att förbättra sin opsec, blir bättre och att de nyligen börjat utveckla malware.
 
Vi fick höra om pågående försök att kompromettera hemligheter i Apple Keychain som lagras i iCloud när man synkroniserar lösenord mellan enheter. Detta kan bli riktigt läskigt med tanke på hur många lösenord till olika företags tjänster som ofta lagras där. Lite extra oroväckande med identifierade sårbarheter som är nästintill identiska med allvarliga brister som hittades för flera år sedan.
 
Under konferensen fick vi också höra om IKEA:s kommande bug bounty för att leta säkerhetsbrister i deras TRÅDFRI. Detta är en mycket klok strategi, inte minst då en annan session beskrev hur vanliga sårbarheterna är i dagens IoT-enheter (i ALLA testade enheter hittades säkerhetsbrister).
 
En annan skrämmande sak som presenterades var de 10.000-tals hemma-NAS som via iSCSI och hemmabrandväggens UPnP öppnar upp hela hårddiskens innehåll över Internet, ofta helt anonymt tillgängligt utan autentisering och t.o.m. skrivbart. Om man tänker på antal personer som jobbar hemifrån ibland och tar backup eller lagrar företagsdata på sin NAS så är det även en risk som företag bör ta hänsyn till. Talaren beskrev bl.a. ett känt svenskt företag vars källkod varit tillgänglig skrivbar för vem som helst över nätet.
 
Intressant att se var också antalet personer i publiken vars prylar automatiskt anslöt till en falsk accesspunkt som påstod sig att vara bl.a. SJ och sedan gjorde att alla dessa användares surftrafik därefter kunde visas av angriparen genom att de utsattas webbläsare automatiskt ”tvingats på” cookies ägda av honom, detta även efter att de anslutit till legitima nät.
 
Spotify var på plats och berättade om deras migrering till Google Cloud Platform och hur deras säkerhetsteam nyttjar opensource-verktyget Forseti för att upptäcka felkonfigurationer och notifiera de team som orsakat detta. De liksom andra talare förespråkar en modell med “trust, but verify” vilket ställer höga krav på spårbarhet och korta reaktionstider när det blir fel.
 
Ett annat föredrag beskrev svårigheten med att via loggar upptäcka exekvering av oönskad PowerShell-kod. I PowerShell 5 finns funktionen Script Block Logging som bör aktiveras för att ha en chans att hitta sådana händelser. Genom frekvensanalys av innehållet i dessa loggar kombinerat med algoritmer från machine learning kan man nå detekteringsnivåer på upp mot 95% vid detektering av avsiktligt obfuskerad kod. Verktyget Revoke-Obfuscation kan nyttjas för att hitta de skript i din miljö som är extra värda att kodgranska. Verktyget läser även loggar från Script Block Logging och analyserar kod som loggats i dessa på motsvarande sätt.
 
Sist men inte minst, om du ska spränga hårddiskar med hemgjorda bomber, glöm inte att skydda dig med rakkräm, det enligt praktiska erfarenheter effektivaste sättet att begränsa oönskad spridning av sprängverkan…
roger_lindholm_jpg-108x142

Skribent

Roger är en av grundarna till Basalt och en erfaren teknisk projektledare, systemarkitekt, systemintegratör och utvecklare. Han har djup teknisk specialistkompetens runt militära verksamhetsapplikationer, GIS, säkerhet, datakommunikation och system management. Han arbetar med lösningar baserade på Microsoftteknik, Linux och Cisco i kombination med en stor mängd OpenSource-produkter som t.ex. OpenStack, Prometheus och Kubernetes.