Tag Archives: TOR

Säkerhetsradion: Tor invaderat av kapade datorer

I vårt senaste avsnitt av Säkerhetsradion pratar vi om anonymiseringstjänsten Tor som nyligen invaderades av kapade datorer. Vad är syftet med anonymiseringstjänster? Går de att lita på? Och bör vi använda dem eller inte?

TOR – man får ta det goda med det onda

Yttrandefrihetens stora slagskepp, det fria forumet Flashback, kanske inte alltid är förknippat med helt rumsrena åsikter, men i förrgår postade någon en indignerad kommentar om något som försiggår på TOR (The Onion Router). TOR är ett nätverk som bygger på så kallad onion routing och kan användas som anonymiseringstjänst (lökreferensen bygger på att krypteringen sker i flera lager som i en lök). Bland annat möjliggör TOR helt anonym surfning och helt anonyma webbadresser med suffixet .onion.

Det här är något av ett dilemma, för anonymiteten drar å ena sidan till sig ljusskygg verksamhet som vill gömma sig för myndigheter, men å andra sidan har TOR och teknikerna bakom en mycket viktig roll att spela.

För ett par veckor sedan skrev Jon Brodkin på Ars Technica om hur TOR hjälpt till när regimen i Iran blockerade all krypterad trafik på Internet. Idag har enligt artikeln bara USA fler TOR-användare än Iran, vilket visar klart och tydligt att projektet är en oumbärlig kanal i länder där yttrandefriheten står lågt i kurs. TOR möjliggör kontakt med omvärlden när regimer försöker släcka ner Internet.

Det är besvärande att vissa använder anonymiseringstjänster för kriminella ändamål, men idag används ofta det argumentet som ett slagträ för att förbjuda anonymisering och för att klubba igenom lagar som inkräktar på miljontals människors privatliv. Det är väldigt besvärande, eftersom hela bilden är så mycket större.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Lite säkerhetsnyheter…

eWeek skriver att koden i botnätet Kelihos är väldigt lik Waledacs.

Diskussionen om molnsäkerheten fortsätter – nu uppmärksammar Computer Sweden att amerikanska myndigheter försöker ta ett grepp om det här problemet. Skulle du vara intresserad så finns en rapport från det amerikanska standardiseringsinstitutet NIST att läsa här.

Computer Sweden skriver att det inte blev något åtal mot Dan Segerstad, den svenske säkerhetskonsult som publicerade inloggingsinformation till mejlkonton som tillhörde ambassader och myndigheter över hela världen. Segerstad lyssnade av okrypterad trafik i TOR, en anonymiseringstjänst, och kom över mängder av känsliga uppgifter som avsändaren med största sannolikhet trodde var helt säker i nätverket. CS skrev om detta redan 2007, och då ifrågasatte Dan Segerstad syftet hos de som driver en del av TOR-slutnoderna – mellan raderna kan man läsa att det kanske handlar om att kunna komma åt information.

Härförleden plingade NOD32 till hos en del kunder när en Microsoftuppdatering installerades. ESET:s Aryeh  Goretsky skrev en bloggpost om det här som jag tycker var intressant.

Datalagringen blir kassako

Computer Sweden har idag en intressant artikel om hur datalagringsdirektivet innebär stora inkomster för företag som säljer anpassade lagringslösningar. CS skriver att marknaden är värd 1,1 miljard kronor i engångskostnad och därefter 365 miljoner kronor varje år. Pengarna kommer att tas ut av konsumenten.

Datalagringsdirektivet är något alla kommer att känna av. Förhoppningsvis inte själva lagringen, men de högre avgifterna på abonnemangen kommer att synas, även om myndigheternas informationsuttag är avgiftsbelagda. Enligt de flesta beräkningar rör det sig om mellan tre och fyra hundra kronor per kund och år. Dessutom finns det också risken att information kommer på villovägar, nyfikenhet är en förvånansvärt stark drivkraft.

Ny podcast – Anonymiseringstekniker

Möjligheten att vara anonym på Internet har varit en het potatis under de senaste åren. Debatten går lite hårdraget ut på att anonymiteten antingen är av godo och en demokratisk rättighet, eller att den är av ondo, och bara ett sätt för ohederliga att begå brott helt ostörda.

I dagens podcast pratar vi bland annat lite om hur TOR, en av de större tjänsterna, fungerar. Vi diskuterar också VPN-tjänster som IPREDator, som lanserades förra året av bland andra Peter Sunde, en av herrarna bakom The Pirate Bay.

En fråga som vi ställt oss är om anonymiseringstjänsterna utnyttjas av cyberkriminella. Det gör de utan tvekan, men troligen inte i någon större omfattning. Anonymiseringstjänster kan användas för att dölja vem det är som exempelvis styr botnätverk, men oftare använder cyberskurkarna hackade datorer för sådana ändamål. Risken för att övervakas av den som driver en kommersiell tjänst är alltför stor för att brottslingar ska hänga upp verksamheten helt på en betaltjänst.

Möjligheten till anonymitet på Internet är dessutom viktig ur flera perspektiv. Det finns till exempel tillfällen då information bör komma fram, trots hemligstämplar och straffbarhet.

Om man anlägger ett rent säkerhetsperspektiv kan man argumentera för att de små bedragarna och spridarna av skadlig kod kan använda den för att skydda sig, men då ligger nog problemet snarare i att de som använder tjänsterna inte ser skillnaden mellan anonymitet och säkerhet.

Att ingen vet vem du är betyder inte att du inte kan angripas.

Lyssna på podcasten här: Podcast – Anonymiseringstjänster – frihet eller fara