Territorial dispute

ett program som varnar angripare som redan har tagit sig in i ett it-system för andra angripare. Det har kallats för en nödutgång. – Programmet tros vara utvecklat för att ge angriparen en chans att dra sig ur och sopa igen spåren efter sig innan angriparen blir upptäckt av en annan angripare. – Territorial dispute ingår i den samling hackarverktyg som gruppen Shadow brokers offentliggjorde 2016. Programmen uppgavs vara stulna från den amerikanska signalspaningsorganisationen NSA. – Se denna beskrivning från ungerska CrySys (länk).

[it-säkerhet] [13 mars 2018]

Wannacry

utpressningstrojan som i maj 2017 gjorde den dittills kanske mest om­fatt­ande attacken mot datorer i hela världen. Den utnyttjade en sårbarhet i Windows. Vilka som låg bakom attacken var länge okänt, men i juni 2017 uppgavs att NSA anser att Nordkorea ligger bakom, se denna artikel. – Attacken inleddes den 12 maj, och hade samma dag drabbat upp­skatt­nings­vis 230 000 datorer i 150 länder. De drabbade uppmanades i ett budskap på datorns bildskärm att betala motsvarande 300 dollar i bit­coin för att kunna an­vända sina datorer igen. – Spridningen av Wanna­cry bromsades den 13 maj av en pro­gram­me­r­are som upptäckte att Wanna­cry hade en inbyggd avstängningsmekanism, som pro­gram­me­ra­ren fram­gångs­rikt använde – se denna artikelMalwareTech. (Samma pro­gram­mer­are greps i augusti 2017 i USA misstänkt för att ha sålt banktrojanen Kronos.) – Sår­bar­heten i Windows upptäcktes först av NSA, som hem­lig­höll den, även för Micro­soft, och i stället utvecklade attackmetoden EternalBlue för att kunna göra intrång i Windows-system. Hackargruppen Shadow Brokers kom över koden till EternalBlue och släppte den i april 2017. Det är troligen den koden som har använts i attacken. Micro­soft hade också upptäckt sår­bar­heten, och hade redan i mars 2017 skickat ut en patch som oskad­lig­gjorde EternalBlue, men många organisationer hade inte in­stal­le­rat den. Dess­utom använder många företag fortfarande Windows XP, som Microsoft inte längre under­håller, och alltså inte heller skickar ut patchar till. (Fast Microsoft gjorde ett undantag och skickade efter attacken ut en patch mot Wannacry för Windows XP.) Microsoft har riktat hård kritik mot NSA för att NSA hemlighöll sårbarheten, se detta inlägg på Micro­softs officiella blogg. – Wannacry spreds på flera sätt: som virus och genom nätfiske. När det har in­fek­te­rat ett it‑system sprids det som en mask. – Wannacry kallas också för Wannacrypt, WannaCrypt0r, Wanna Decryptor och WCRY.

[attacker] [skadeprogram] [ändrad 8 augusti 2017]

NiFi

Apache NiFi – system som hanterar dataflödet i stora it‑system. Det kallas ibland för datalogistik. Ett grafiskt användargränssnitt visar i realtid all för­flytt­ning av data och indikerar fel. Användaren kan ingripa och styra om dataflödet vid behov. – NiFi utvecklades av NSA under namnet Niagara Files, därav NiFi. NSA släppte senare projektet med öppen källkod. Apache Soft­ware Foundation tog så småningom över utvecklingen. – Se nifi.apache.org.

[data] [förkortningar på N] [it-system] [ändrad 14 november 2017]

Shadow Brokers

mystisk grupp hackare som i augusti 2016 påstod att den hade stulit dokument och hemliga program från den amerikanska signalspanings-organisationen NSA. En del av det stulna har publicerats på nätet, men Shadow Brokers skriver att resten kommer att säljas till högstbjudande. Eventuellt kommer filerna och programmen från organisationen The Equation Group, som är knuten till NSA. – Om Shadow Brokers på­stå­enden är sanna är det mycket genant för NSA och The Equation Group, som i en rapport från Kaspersky Group beskrevs som en av de mest sofistikerade cyberattackgruppena i världen. – Den världsomfattande attacken Wannacry i maj 2017 gjordes med användning av ett attack­program, EternalBlue, som skapats av NSA och läckts av Shadow Brokers. – Läs denna kommentar av säker­hets­experten Bruce Schneier.

[attacker] [hackare] [ändrad 16 maj 2017]

tidtagningsattack

  1. – sätt att upptäcka sårbarheter i ett it‑system genom att mäta hur lång tid systemet behöver för att behandla olika indata. Tidtagningsattacker beskrevs först 1996 av Paul C Kocher i denna artikel;
  2. – metod att spåra avsändaren till medddelanden i Tor‑nätverket. (Tor är ett nätverk för ospårbar kommunikation på internet.) – Metoden förutsätter att angriparen kan övervaka med­de­landen som skickas in i Tor‑nätverket och som kommer ut ur det. Genom att jämföra in- och utgående meddelanden kan angriparen med statistiska metoder dra slutsatser om vilka par som är samma meddelande, fast i olika skepnad. (Tor är konstruerat så att det krypterade meddelandet förändras under sin färd genom internet; bara den slutliga mottagaren ska kunna läsa det i klar­text.) – Tidtagningsattacker används, påstås det, av under­rätt­else­tjänster som NSA. – Kli­enten Astoria för Tor‑nätverk är konstruerad för att försvåra tidtagningsattacker.

– På engelska: timing attack.

[attacker] [personlig integritet] [ändrad 14 januari 2018]

 

man-on-the-side attack

”man-vid-sidan-attack” – metod för dataintrång och installation av spion­program. – Metoden används för att komma åt datorer som man inte kan kommunicera direkt med. I stället angriper man när datorn ansluts till internet. När datorn anropar en webbsida styr man om anropet så att datorn i stället laddar hem en annan, preparerad webbsida. Den webbsidan kan då installera spionprogram eller andra oönskade program. – Me­toden har, enligt upp­gifter som läckts av Edward Snowden, använts av under­rättelse­orga­nisa­tionerna NSA och GCHQ, se Quantum Insert. – Namnet: Man-on-the-side attack anspelar på man-in-the-middle attack, se man-i-mitten-attack.

Quantum Insert

metod för installering av spion­program. – Quantum insert används, enligt Edward Snowdens av­slöj­an­den, av NSA och GCHQ. Det är en så kallad man-on-the-side attack. När den dator som ska infekteras anropar en webb­sida styrs trafiken om så att datorn i stället laddar ner en annan webb­­sida. Det ger angriparen möjlig­het att installera program på den angripna datorn. De pro­grammen kan sedan, utan att den angripna datorns ägare är medveten om det, kart­lägga vad som görs på datorn. Me­toden sägs ha använts för att komma åt datorer som man inte kan angripa direkt. – Tekniken har, enligt Snowdens upp­gifter, använts för spionage mot miss­tänkta terrorister i Mellan­östern, men också mot anställda på Opec och på belgiska tele­operatören Belgacom. – Neder­ländska it‑säker­hets­före­taget Fox IT (länk) uppgav i april 2015 att det hade utvecklat en metod för att stoppa Quantum insert, se detta blogginlägg: länk.– – Läs också om Ditu, Dropout Jeep, Foxacid, Karma Police, Optic nerve, Quantum, Sorm, Tao och Turmoil.

[avlyssning] [avslöjanden] [it-säkerhet] [ändrad 15 juni 2017]

kryptokrigen

(the crypto wars) –– amerikanska statens strävan att begränsa an­vänd­ningen av stark kryptering och olika organisationers motstånd mot det. ––Under 1990-talet var det öppen dragkamp mellan inte­gri­tets­före­språk­are och amerikanska staten, som hade infört restriktioner som bland annat jämställde export av krypto­system med vapen­export. (Reglerna här­stam­made från kalla kriget.) Det var då som Phil Zim­mer­­mann utvecklade PGP och därför under flera år över­vakades av FBI. (Han kring­gick förbudet mot export av krypto­system genom att faxa hela källkoden till PGP till Norge.) –Se också Clipper. –Ameri­kanska staten gav så småningom med sig och lättade på export­restrikt­ionerna för kryptering. Men krypto­krigen kan ändå anses pågå fort­farande. Nu är det USA:s signal­spanings­organisation NSA som i samarbete med, främst, brittiska GCHQ använder olika metoder för att avlyssna och dekryptera elektronisk kommu­nika­tion. Det sprids åter­kommande rykten om att NSA övertalar eller tvingar nät­tjänster att lägga in en så kallad bakdörr i krypteringen, alternativt att någon orga­nisa­tion begår data­intrång och installerar bak­dörrar utan nät­tjänsternas vetskap (se till exempel Dropout Jeep, Prism och Tao).

[kryptering]