Meltdown och Spectre – så farliga är veckans säkerhetshål

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Macanvändare, varning för Proton!

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

Tacka NSA för de senaste utpressningsvirusen

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.

Så kan hackare angripa datorer genom övervakningskamerors infraröda ljus

Israeliska forskare har tagit fram skadlig kod som kan använda övervakningskamerors infraröda ljus för att läcka data från datorn som koden är installerad på.

Den skadliga koden gör om de data som ska läckas till en serie ettor och nollor, som den signalerar ut genom den anslutna övervakningskamerans infraröda ljus i en hastighet av 20 bitar per sekund. Den som ska ta emot läckan filmar området som täcks av det infraröda ljuset (eftersom ljuset studsar på väggar behöver man inte ens filma själva kameran) och analyserar sedan filmen för att sätta ihop de signalerade bitarna igen.

Förutom att extrahera data på detta sätt fungerar verktyget åt andra hållet också: Genom att låta den skadliga koden i datorn bevaka strömmen från en övervakningskamera kan en angripare låta en infraröd LED blinka ut data som den skadliga koden sedan extraherar ur strömmen. Denna infiltration kan ske i hela 100 bitar per sekund.

Infrarött ljus är osynligt för människor, men används i övervakningskameror för att ge dem mörkerseende. Därmed kan såväl läcka som infiltration ske utan att närvarande människor märker något.

Lägg till detta att övervakningskameror finns typ överallt i dag, i synnerhet på ställen som anser sig ha något att skydda. Bleeping Computer skriver:

Because of today’s proliferation of CCTV and surveillance solutions, malware like aIR-Jumper could be used to steal data and control malware installed on a wide variety of networks, ranging from corporations to secure government institutions, and from police departments to advanced research labs.

Verktyget kallas Air-jumper (eller aIR-Jumper) eftersom det möjliggör dataläckage även från ”air-gapped networks”, det vill säga nätverk som är så känsliga att de inte har någon kontakt med internet – ett slags digitala luftfickor alltså.

Återstår bara att hitta ett sätt att få in den skadliga koden på datorerna i luftfickan. Något för Elliot i teveserien Mr Robot kanske.

Läs mer

Bleeping Computer: Malware Uses Security Cameras With Infrared Capabilities to Steal Data

Bakdörr hittad i populärt wordpresstillägg

Uppmärksamma wordpressanvändare upptäckte nyligen att det populära tillägget Display Widgets innehöll skadlig kod i sina senaste versioner. Koden gjorde det möjligt för en utomstående att ta sig in via en bakdörr och skapa nya sidor på användarens webbplats. De nya sidorna innehöll spamlänkar men visades inte för inloggade användare, vilket gjorde dem svåra för en sajts administratör att upptäcka.

WordPress är världens populäraste CMS (Content Management System) och är kanske mest känt som bloggverktyg. Tillägget Display Widgets gjorde det möjligt att välja vilka widgets som skulle visas på vilka sidor. När den skadliga koden upptäcktes och Display Widgets togs bort från WordPress officiella tilläggssamling hade tillägget 200 000 användare. (Jag var en av dem, men jag använde Display Widgets på en avsomnad sajt som var så ouppdaterad att jag inte ens hunnit uppdatera till de skadliga versionerna av tillägget.)

Det har nu visat sig att WordPress varnat tilläggets ägare tre gånger tidigare för att ha brutit mot reglerna för tillägg. WordPress har kritiserats för att inte ha gått hårt nog åt tilläggets ägare, men ta i beaktande att tilläggssamlingen underhålls av ideella krafter.

Hur gick det till?

Sajten Bleeping Computer berättar att det populära tillägget såldes i maj 2017 för 15 000 dollar och att de skadliga uppdateringarna dök upp kort därefter. Sajten går igenom varje uppdatering; hur de anmäldes och slutligen togs bort av WordPress – bara för att följas av nya uppdateringar med den skadliga koden utformad eller dold på ett annat sätt.

Vem låg bakom den skadliga koden?

Sajten Wordfence har spårat köparen av tillägget och genom ett fängslande detektivarbete tagit reda på mer om honom. Den nye ägaren av Display Widgets visar sig vara en 23-årig man som specialiserat sig på att köpa populära tillägg, eventuellt för att manipulera dem på samma sätt som skedde med Display Widgets. Wordfence lyckas till och med kommunicera med honom. 23-åringen säger sig vara sjuk i lungcancer och ”only have a few months/maybe a year left on this earth”. De hittar honom i diverse sociala nätverk och konstaterar att han lever lyxliv i Monaco, kör en Ferrari och går på exklusiva cocktailbarer där drinkarna kostar 16 dollar styck.

Filosofisk kommentar

Läs gärna Wordfence genomgång! Det finns något rörande över den. All denna infernaliskt inkilade skadliga kod, alla dessa spamsidor och affiliatelänkar som dyker upp på webben i tid och otid. Bakom alltsammans finns alltid ett ansikte, och den här gången tillhör det en 23-årig brittisk brat som dessutom verkar samarbeta med någon i Ryssland. Det känns som att få glänta lite på dörren till internets undervärld. Tycka vad man vill om de där 18-25-åriga grabbarna (vem orkar ägna sig åt denna katt-och-råtta-lek efter 30?) som oförtröttligt hittar nya vägar att klämma ut ännu en dollar, men visst är de en del av internets ekologi.

Onavo Protect VPN mashup illustration

Risken med gratis VPN

En artikel i Wall Street Journal (bakom betalvägg) avslöjar hur Facebook spionerar på android- och iosanvändare genom VPN-appen Onavo Protect.

Poängen med ett VPN (Virtual Private Network) är att man kan skydda sin internettrafik mot övervakning. Den svaga länken är dock VPN-leverantören, eftersom all ens trafik passerar deras servrar. Samtidigt som man skyddar sig mot att övervakas av staten eller internetleverantören kan det alltså hända att man övervakas av VPN-leverantören.

Onavo Protects affärsidé var att tillhandahålla en gratis VPN-tjänst som hjälpte användarna att hålla koll på telefonens dataanvändning. I gengäld samlade man in i princip allt användarna gjorde på sina telefoner och sålde denna information till tredje part, till exempel annonsörer.

Företaget lät bli att nämna denna pikanta deal på produktsidorna, men skrev tydligt i sin privacy policy:

Information collection

To enable our Services, we receive all of your mobile data traffic, including location data, after you download and agree to use our Apps, which direct your mobile data traffic through or to our server. We may also receive personally identifying information such as your name, email address, or other contact information.

Use of Information

We use the information that we receive to operate and improve the Services, develop new products and services, analyze usage of our Apps and other applications on your device, to support advertising and related activities, and for other purposes.

Facebook köpte Onavo 2013 och fick då tillgång till all information som Onavo samlat om sina användare. Exempel på hur Facebook lär ha använt denna information:

  • Genom Onavo Protect kunde Facebook se att 99 procent av de spanska användarna hade Whatsapp installerat på sina telefoner. Detta kan ha bidragit till Facebooks plötsliga köp av Whatsapp för 22 miljarder dollar år 2014.
  • Facebook kunde också se att Snapchat hade problem – innan Snapchat själva gick ut och bekräftade detta. Denna information kan ha legat bakom att Facebook lanserade Instagram Stories, som av många sågs som en attack mot Snapchat.

Kort sagt, Facebook driver en gratis VPN-tjänst som ger företaget konkurrensfördelar och möjlighet att sälja användarnas information till annonsörer.

Signaturen Bdubzilla skriver på Onavo Protects produktsida i App Store:

SPYWARE OWNED BY FACEBOOK!

Beware this VPN software monitors everything you do and sends it to Facebook. Wonder why you get ads for things you view on your phone? Well now you know why.

Med andra ord, förbli skeptisk mot allt som säger sig vara gratis.

NSA skyller på användarna

Som bekant samlar amerikanska National Security Agency på säkerhetshål, så kallad ”exploit hoarding”. Myndigheten har fått kritik för att inte informera tillverkarna om de säkerhetshål de hittat i routrar, operativsystem, med mera. Det visade sig till exempel att lösensummeviruset Wannacry baserades på säkerhetshål som läckt ur NSAs arsenal.

Nu går Rick Ledgett, vice direktör på NSA mellan januari 2014 och april 2017, ut och kritiserar användarna av produkter med otätade säkerhetshål:

Customers who buy software should expect to have to patch it and update to new versions periodically.

Som Techdirt påpekar hjälper det inte att uppdatera sina system om tillverkaren själv inte är medveten om säkerhetshålet.

Läs mer

Lyssna

Vi diskuterade NSAs utnyttjande av ”zero day exploits” i avsnitt 14 av 5 juli-podden från 23 augusti 2016 (börjar vid 5:35):