För första gången publicerar en svensk nyhetssajt ledtrådar kring hur man hittar piratkopierad mjukvara. På tidningen CSOs internetsajt kunde man se en skärmdump med namnet på programvaran och sajten som den kunde laddas ner ifrån.

Trots att länkning till sajter med olagligt innehåll aldrig har prövats i svenska domstolar, så har svenska medier undvikit att publicera länkar till källor när de har skrivit om nyheter kring illegala IT-relaterade aktiviteter. En trolig orsak är att länkningen skulle kunna tolkas som uppmaning till brott.

Det var därför mycket förvånande att läsa artikeln ”Utrednings-verktyg ute på Nätet” på CSOs sajt:

Microsoft har tagit fram ett verktyg som snabbt ska kunna tanka ut känsliga data ur en dator. Det var tänkt att bara användas av poliser. Nu sprids det via fildelningsnätverk.

The Pirate Bay - Cofee

Ett trendbrott? Knappast.

Artikeln avslöjade i sedvanlig ordning inte namnet på det utredningsverktyget eller fildelningsnätverket som artikeln handlade om.

Men en skärmdump i anslutning till artikeln avslöjade mer än vad man kunde ”önska sig” att finna.

Cofee, Computer Online Forensic Evidence Extractor

Programvaran hette ”Cofee”, och det nämnda fildelningsnätverket var The Pirate Bay. Svårare än så var det inte…

Så här står det på Wikipedia om Cofee:

Computer Online Forensic Evidence Extractor (COFEE) is a modified USB flash drive for investigators for quick extraction of forensic data from Windows computers that are suspected to contain evidence of criminal activity.

It allows investigators to search through data onsite as an automated forensic tool. The device, developed by Microsoft, is activated by being plugged into a USB port, and purportedly contains 150 commands that can dramatically cut the time it takes to gather digital evidence.

These commands offer such functions as the ability to decrypt passwords, search a computer’s Internet activity, and analyze the data stored on a computer including data stored in volatile memory, which could be lost if the computer were shut down for transport to a lab.

Mer läsning:

• Microsoft: Computer Online Forensic Evidence Extractor (COFEE)

Nyligen avslöjades en kritisk bugg i internets mest kända krypteringsprotokoll. Mediernas rapportering i ämnet var dock under all kritik.

Den 4 november 2009 avslöjades en kritisk bugg i krypteringsprotokollen ”Secure Sockets Layer (SSL)” och ”Transport Layer Security (TLS)”, den senare vidareutveckling av TLS. Buggen rapporterades ha funnits med ett bra tag och vara välkänd.

Enligt säkerhetsforskaren och CTOn på H4rdw4re LLC, Chris Paget, så finns buggen på protokollnivå, vilket innebär följande (källa: Computerworld):

There’s a whole lot of stuff that’s going to have to get fixed on this one: Web browsers, Web servers, Web load balancers, Web accelerators, mail servers, SQL Servers, ODBC drivers, peer-to-peer protocols.

Enligt Chris Paget så beror buggen antagligen på att SSL-protokollet aldrig implementerades enligt specifikationerna. Chris Pagets tankar kring buggen kan man läsa på hans blogg.

En bugg med allvarliga konsekvenser

SSL-kryptering

Problemet är ganska allvarligt, eftersom SSL-kryptering används av i princip alla kommunikationssätt på internet som kräver högre säkerhet där informationen behöver skyddas från obehöriga användare och/eller system.

Det största problemet för t ex internetbanker idag är sk. ”Man in the Middle (MITM)”-attacker. Med hjälp av en MITM-attack så blir det i praktiken omöjligt för en webbanvändare att avgöra om sajten som besöks tillhör banken eller inte. Sårbarheter som upptäcks i SSL och TLS över tiden gör det ännu svårare att förebygga eventuella MITM-attacker, då det inte är någon raketforskning att utnyttja dessa sårbarheter.

”Upptäckten” inte avsiktlig

Trots att buggen var välkänd så avslöjades informationen hittils inte, troligen för att skydda webbanvändarna. Avslöjandet var dock ett faktum när en tekniker på SAP oavsiktlig skickade informationen om sin ”upptäckt” till IETFs (The Internet Engineering Task Force) mailinglista.

Så här stod det i teknikerns mail, ”[TLS] MITM attack on delayed TLS-client auth through renegotiation”:

The problem: when Microsoft IIS is configured to request a client certificate after having received the request, then it WILL perform an unauthenticated request!  Sending the reply back only to the authenticated client is a poor excuse for acting on an unauthenticated request.

Nyheten i medier

Denna nyhet gick att finna på en av de få säkerhetsrelaterade nyhetssajterna i Sverige, nämligen CSO (Chief Security Officer), under rubriken ”Bugg i SSL låter angripare ta över servrar”.

Artikeln saknar dock väsentlig information kring konsekvenser av buggen, t ex vid MITM-attacker. För en seriös artikel i ämnet duger knappast rubriker som ”angripare som tar över servrar” eller ”hackare som tar över datorer”, så länge man inte vill behandla sina läsare som obildade eller icke-kompetenta.

En länk till en mer utförlig artikel i Computerworld finns, men det saknas tekniska beskrivningar eller länkar till källor, som skriver mer detaljerat om ämnet.

Press på tillverkarna

Jag skrev i ett tidigare inlägg, ”Clickjacking, och medier”, att när medier skriver flitigt om problem som upptäcks, så sätter de press på de berörda företagen att ta fram en lösning så snart som möjligt. Just detta fall bör absolut inte vara ett undantag.

För en gångs skull så står det också i CSOs artikel:

Det har satt extra fart på tillverkarna att ta fram en lagning. Buggen har varit känd i inre kretsar sedan augusti. Arbetet med att laga den har gjorts genom organisationen ICASI, Industry Consortium for Advancement of Security on the Internet, under namnet ”Project Mogul”.

Mer läsning:

• PhoneFactor: Renegotiating TLS