Teknisk oppsummering fra RSA Conference 2015

Publisert: 30.04.2015

RSA Conference 2015 ble nylig avsluttet i San Francisco og NSM har igjen hatt flere blogginnlegg fra konferansen. Disse har i hovedsak omhandlet annet enn teknologi, men det vil denne oppsummeringen prøve å rette opp.

I mars 2013 skrev jeg en tilsvarende oppsummering fra RSA Conference 2013 og definerte da konferansens tekniske tema til å være:

   Embedded-enheter må (også) sikres med maskinvarebasert krypto.

Temaet til en konferanse av slik størrelse som RSA Conference kan jo bli det man selv vil det skal bli. Med 15-20 mulige foredrag hver time kan man som regel lett finne noe som passer innenfor eget interesseområde, men forhåpentligvis kan det også være noen andre foredrag, utenom det vanlige, som kan virke forlokkende.

Allikevel er det nok ingen stor overraskelse at vurderingen av årets konferanse blir en variant av vurderingen av konferansen for to år siden, men med en liten justering:

   Uten maskinvarebasert tillitsanker kan man ikke ha tillit til enheter i nettet.
 

Tillitsanker har etterhvert kommet i flere utgaver med ulike betegnelser. De fleste er kjent med Trusted Platform Module som er omtalt et utall steder på (den gamle) Sikkerhetsbloggen. Av nyere versjoner er for eksempel innebygde sikkerhetsmoduler som TrustZone i ARM-prosessorer.

Disse tillitsankerne benyttes i hovedsak for disse tjeneste:

  • Generering av sterke kryptonøkler og beskyttelse av disse
  • Sikker bruk av kryptonøkler for autentisering og konfidensialitetsbeskyttelse
  • Integritetsbeskyttelse av system

I tillegg tilbyr også noen tillitsanker, som TrustZone, et sikkert kjøremiljø for bestemte applikasjoner og tjenester.

Ang Cui, som også ble omtalt for to år siden, presenterte et en-linjes-angrep mot VoIP-telefoner. Dersom man har slike telefoner og de har blitt hacket, vil man aldri kunne være sikker på at om har blitt rensket fullstendig igjen etterpå. For å sikre tilliten til slike systemer er det altså nødvendig med sikker leverandørkjede, slik at ingenting har blitt injisert mellom produsent og bruker. Men siden utstyret gjerne står i lett tilgjengelige kontor(-landskap), er tillitsanker den beste måten å oppdage senere forsøk på hacking mot telefonene. Og, dersom de allikevel blir hacket, vil tillitsankere hjelpe til å gjenopprette telefonen til sikker tilstand.

En annen erfaren foredragsholder, Benjamin Jun, snakket om endepunkter i den nye tid og pekte på behovet for sterk autentisering, sikker informasjonsutveksling og sterk nøkkelbeskyttelse. Dette krever også maskinvarebaserte tillitsanker. Som utvikler har han vært med å sikre mange ulike systemer, spesielt systemer med ulike former for digital rettighetsbeskyttelse hvor store verdier skal beskyttes. Og i mange tilfeller har slike sikkerhetssystem blitt benyttet for å sikre produktets ekthet overfor leverandør. Dette har blitt gjort for at leverandøren (og dermed supportorganisasjonen) ikke skal behøve å utøve support på falske produkter, ikke for at brukeren skal få bedre sikkerhet og funksjonalitet med produktet.

Nathan Ide fra Microsoft presenterte i fjor hvilke tiltak man kan bruke for å redusere risikoen for pass-the-hash-angrep. Denne angrepsvektoren har blitt brukt i en rekke store målrettede angrep de siste årene. I år var han tilbake og presenterte hvilke ytterligere tiltak Microsoft implementerer med Windows 10 for å redusere og forhindre denne type angrep. Sistnevnte krever maskinvarebasert tillitsanker i form av TPM. Smartkortpålogging til Windows ble introdusert allerede i Windows 2000 og endelig, med dette tiltaket, utnytter man godt mulighetene som asymmetrisk krypto, digitale sertifikater, PKI og maskinvarebaserte kryptomoduler tilbyr.

Foruten vanlige klientmaskiner som er tilkoblet Internett og har dårlig sikring av autentisering, finnes det en rekke andre tilkoblede enheter på nettet som har dårlig sikkerhetstilstand. Trey Ford fra Rapid7 presenterte funn fra deres kontinuerlige skanning av alle IP-adresser over hele verden. Blant funnene var ikke overraskende stor andel usikre hjemmerutere, i tillegg til en digital videoinnspiller (DVR).

Slike bokser, skal som alt annet, koste minst mulig, så bruk av maskinvarebaserte kryptomoduler som øker kostprisen med noen øre, er ikke aktuelt. Dessverre gjør det at man heller ikke kan oppgradere enhetene på sikker måte og man kan heller ikke, som nevnt over med VoIP-telefonene, vite om enhetene noensinne er hacket og hvorvidt man har fått rensket dem igjen etterpå.

Mange slike bokser utstedes også av Internettilbydere (ISPer) og da har ikke brukeren som boksen står hos ansvar for eller mulighet til å oppgradere og sikre enheten selv. For slike systemer er det spesielt viktig at ISPen driver vedlikehold og oppdatering av disse enhetene, noe som igjen forutsetter sterk autentisering av enhetene, sikker overføring av fast- og programvareoppdateringer over nettet og mulighet for verifisering av disse oppdateringene. For å ikke oppgradere en allerede hacket boks og la bakdørene bestå, vil TPM eller lignende funksjonalitet være nødvendig.

Det siste foredraget som omhandlet behovet for maskinvarebaserte tillitsanker var ved Matthew Clapham fra GE Healthcare. Han anbefalte å utvikle tingenes internett-dingser etter modell av spillkonsoller. Dette er utstyr som benytter mange gode (moderne) sikkerhetsmekanismer. Det blir nok bare med drømmen om at tingenes internett-enheter som skal koste ned mot noen kroner stykk skal inneholde fordyrende elementer som TPM, men etterhvert vil kanskje utvidet funksjonalitet og større behov for sikker forvaltning kreve slike moduler, og da vil det koste mye å bytte ut allerede utstedte enheter med nye sikre.

Foruten bruk av kryptomoduler anbefalte Matthew Clapham også å benytte moderne sikkerhetsmekanismer i kompilatorer og prosessorer, som ASLR og DEP. Så konkret var ikke konferansens kanskje mest engasjerende foreleser denne gang, Gary McGraw, men han kom med gode råd for hvordan unngå de ti mest vanlige programmeringsfeilene, hvor han pekte blant annet på bruk av maskinvarestøttet separasjon av program- og dataområder. Dessverre kom ikke «Use cryptography correctly» før på 6. plass, men hans fire anbefalinger og advarsler for bruk av krypto bør følges. Anbefalinger:

  • Use standard algorithms and libraries
  • Centralize and re-use
  • Design for crypto agility
  • Get help from real experts

Og advarsler:

  • Getting crypto right is VERY hard
  • Do not roll your own
  • Watch out for key management issues
  • Avoid non-random “randomness”

Siste foredrag som får ekstra oppmerksomhet var ved Oleg Gryb i Samsung. Han har sett på ytelsestall ved bruk av (Perfect) Forward Secrecy. Dette er en mekanisme som kan komme som standard i TLS 1.3 og som sørger for at selv om en privat nøkkel blir kompromittert, vil ikke trafikken som tidligere er beskyttet av denne nøkkelen bli kompromittert. Dette er en utrolig sterk funksjon som er mulig fordi privatnøkkelen ikke benyttes til å beskytte selve sesjonsnøkkelen som benyttes for konfidensialitetsbeskyttelse, men for å autentisere et sesjonsnøkkelpar som benyttes for å etablere en sesjonsnøkkel.

Han anbefaler også bruk av Hardware Security Module (HSM) for beskyttelse av langtidsnøkler. Generering av sterke nøkler og god beskyttelse av disse er en forutsetning ved bruk av krypto. Dersom man i tillegg tar i bruk (Perfect) Forward Secrecy og Certificate Pinning har man ganske enkelt gjort avlytternes jobb særdeles vanskelig.

Den kanskje mest engasjerende sesjonen var nok Post-Snowden Cryptography som fylte den ellers ganske tomme forelesningssalen på kryptosporet. Her uttalte Nigel Smart at selv om han er imot masseovervåkning er han glad for at skattepengene som går til spionasje blir brukt til nettopp det og det ikke burde være nyhetsverdi i at spionorganisasjoner spionerer.

comments powered by Disqus