Updatering försvagar säkerheten

Det är snart ett år sen uppdteringen av Windows 10 släptes, men den har visat sig ha förmågan att försvaga säkerheten i webbläsaren Chrome.

Det var den 21 maj 2019 som Microsoft släppte uppdateringen 1903 till Windows 10, den gav rätt så snabbt gråa hår för Microsoft som fick dra tillbaka uppdateringen och sen även göra en massa ändringar då det visat sig att det fanns ett antal buggar. Ännu upptäcks det buggar på uppdateringen.

Buggen som fått trackingkoden CVE-2020-0981 är en så kallad ”token security feature bypass” som sagt då påverkar säkerheten i webbläsaren Google Chrome. Mer nogrannt så är det den sandlådefunktion som finns i webbläsaren, och som ser till att potentiellt farliga processer i webbläsaren hålls separerade från det övriga systemet som påverkas av denna bugg. Att exekvera främmande kod är ju närmast en definition av vad en webbläsare gör.

Ett stort problem för utvecklarna av sandlådefunktionen är att de till stor del är beroende av det underliggande operativsystemet. Sandlådan kan omöjligen bli säkrare än vad operativsystemet godkänner, och blir det fel i operativsystemet, som denna bugg, så påerverkar det självklart också sandlådan.

Buggen som upptäcktes av forskarna på googles Project Zero är redan patchad av Microsoft i och med den senaste patch-tisdagen i april. Och som tur är så är inte buggen särskilt enkel att uttnyttja, för att kunna få en process ur sandlådan var forskarna tvunga att simulera 20 andra attacker. Just CVE-2020-0981 är dock det som behövs för att kunna komma ur sandlådan överhuvudtaget.

Firefox får en ny funktion som skapar tillfälliga e-postadresser

Om du inte vill ge ut din personliga e-postadress så har de tidigare inte funnits allt för många lösningar, men nu kommer en funktion till Webbläsaren Firefox som skapar tillfälliga e-post adresser som du kan använda när en sajt eller program begär en e-post adress men du inte vill lämna ut din egna adressen.

Att behöva ange en e-post har alltid var en stor källa till problem när det gäller it-säkerhet på många olika sätt, bland annat nätfiske, men också risken att någon på ett företag klickar på skadlig kod som sedan sprids i nätverket.

Det allra enklaste sättet för att minimera risker är att använda ett så kallat slaskkonto, vilket innebär att eposten vidarebefodras från detta kontot till ditt riktiga, men det innebär också en hel del arbete, för att registrera konto och sätta upp vidarebefodringen till din privata mail.

Problemet har inte gått någon förbi, inte ens Mozilla som nu i nästa version av webbläsaren Firefox kommer att skapa en funktion som automatiskt ska skapa tillfälliga e-post adresser när man fyller i formulär eller skapar konto på en online tjänst. Funktionen är ännu under test men kommer att finnas tillgänglig som tillägg för Firefoxtillägg för Firefox. Dock måste man i nuläget anmäla sig för att få tillgång till tillägget.

Det hela är mycket enkelt, när användaren klickar på en knapp för att skapa en ny tillfällig adress när ett formulär begär det. Mozilla vidarbefodrar sedan all post som kommer till den tillfälliga adressen till din privata mail. Om man inte vill ha denna tjänst längre så kan adressen helt enkelt förstöras och all e-post som kommer till den adressen kommer att slängas av Mozilla då den inte kan skickas vidare längre.

Ytterligare problem för 1177 Vårguiden

Tidigare rörde det sig om inspelade samtal som låg öppet för allmänheten.
Nu kommer ytterligare ett problem fram, ett problem som också drabbar hela Sverige, det ska enligt Region Halland vara it-leverantören Inera AB som först rapporterat om de nya problemet.

Felet yttrar sig på sådant sätt att om man loggar ut från e-tjänsterna, stängt webbläsaren och även i vissa fall startat om datorn så är man fortfarande inloggad på siten, vilket innebär att andra kan ta del av dina uppgifter. Felet ska ha pågått mellan den 5 Januari och 27 Januari, och ska nu vara åtgärdat.

Hos Region Halland är man väldigt kritisk till det hela:

Det här är oacceptabelt. Vi har ett stort ansvar att skydda våra invånares identiteter och personuppgifter. Och när det har med hälsa att göra är det extra viktigt. Vi ser väldigt allvarligt på det inträffade

säger Måns Arnrup, it-direktör på Region Halland.

I nuläget är det oklart hur många som drabbats, det är inte möjligt att veta hur många som loggat in efter varandra på samma dator.

Det här gäller hela Sverige, vi tar ansvar för Halland och våra halläningar. Inera AB är gemensam leverantör för regionerna

forstätter Måns Arnrup

Säkerheten på våra digitala tjänster är ett högt prioriterat område inom Region Halland. Vi ser mycket allvarligt på incidenten och följer upp det inträffade med leverantören Inera

, säger
Anders Nilsson, säkerhetschef på Region Halland i ett pressmeddelande.

Region Stockholm har även dom kontakt med leverantören Inera.

Hur eventuell påverkan ser ut i vårt län vet vi inte just nu

säger Erik Berglund, pressansvari på Region Stockholm.

Det är inte mer än ett år sedan som sen annan säkerhetsläcka upptäcktes på 1177 Vårdguiden, då handlade de om att 2,7 miljoner inspelade telefonsamtal från Vårdguiden 1177 låg öppet tillgängliga på internet.

Kali Linux börjar se ut som Windows

Om man inte vill att nyfikna personer ska kunna se vad man gör när man använder sin dator på offentliga platser så kan man också använda sig av det nya Undercover Mode.
Det är många som använder sig av Kali Linux, allt från säkerhetsforskare, IT-forensiker, penetrationstestare till hackare som använder sig av Kali Linux, ett operativsystem som är byggt på Debian och innehåller en väldigt många användbara verktyg.

En uppgradering av Kali Linux som nu finns ute, så finns nyheten ”Undercover Mode” en funktion som ska maskera systemet att se ut som Windows. Genom att använda detta så ska inte nyfikna personer lägga märke till vad som försigår på din dator när du använder den på offetntliga platser.

Bland andra nyheter som släppts, finns tex utökat stöd för Powershell och BTRFS kan användas som rootsystem.
Använder du Kali NetHunter KeX och en hdmi kabel så kommer du att kunna få ditt Kali skrivbord på en android enhet.

Ny läcka på Facebook rör 267 miljoner användares data

Det är en öppen databas som hittas av it-säkerhetsanalytikern Bob Diachenko som innehåller uppgifter om 267 miljoner, mestadels ska de vara amerikanska användare men ska ha innehållit uppgifter som användar-id, telefonnummer, och namn. Databasen ska ha varit öppen åtminstone sen den 4 december men har nu stängts. Daichenko tror dock att uppgifterna kan komma från illegala dataskaningar eller missbruk av så kallade api:er utförda av cyberkriminella (men detta har inte bevisats, så det måste tas med en stor nypa salt)

En talespersn för Facebook har sakt i ett uttalande att

Vi tittar på detta, men sannolikt rör det sig om data som samlats in innan vi började förbättre medlemmarnas dataskydd för några år sen.

Daichenko hhittade tidigare i år med personuppgifter för 419 miljoner Facebookanvändare, inte fanns det ett lösenord på databasen den gången heller.

Varför ska man använda VPN

Många tror att det endast är dom som har något att dölja som använder en vpn tjänst, men riktigt så enkelt är det ändå inte. Du kan exempelvis använda en vpn (Virtuellt privat nätverk) för att kunna komma förbi regionsbegränsningnar men också för att öka din egen säkerhet på nätet. Du visar inte din ursprungliga ipadress då du surfar runt vilket gör att du inte kan bli utsatt för exempelvis Ddos attacker eller andra typer av aktiviter som använder/spårar ditt ip.

Men vad är då ett virtuellt privat nätverk?

För att säga de enkelt, så är det en grupp datorer i ett större nätverk som pratar med varandra med krypterad trafik. När du ansluter till ett vpn tar det över din nätverkstrafik och du blir en del i detta system. Eftersom trafiken är krypterad kan ingen utomstående se vad ni sysslar med. En vpn kan användas till mycket. Företag kan exempelvis använda vpn för att på ett säkert och enkelt sätt låta anställda komma åt företagets interna nätverk eller filer, mailadresser eller skrivare som annars bara kan nås via deras lokala nätverk. Att titta på utländsk webb-tv är en av många användningsområden för en bra vpn.

På senare tid har det ploppat upp mängder av publika vpn-tjänster som precis som betaltjänsterna låter dig surfa anonymt och säkert – mot en liten avgift, eller i vissa fall gratis men då oftast med begränsad funktion, bandbredd. Det gäller också att se upp då en gratisversion inte kanske alltid håller vad den lovar om säkerhet

14 saker du inte trodde Google visste om dig

Att man lämnar spår efter sig på nätet och att Google och andra jättar samlar in data är inget som är någon nyhet men vet du egentligen vad som sparas?

Genom att folk använder sina Google konton så samlar företaget givetvis in uppgifter, men även genom tjänster som Adsense, Analytics och Adwords.

Här är 14 saker som Google kan se genom ditt Google konto

1. En fullständig historik över ALLA röstkommandon du gett till Googles assistenter, och givetvis även de faktiska inspelningarna.

2. En sammanställning över dina bästa vänner, uppgifterna kommer från vilka du kontaktar ofta.

3. Google sparar också väldigt detaljerad information om hur du surfar med Chrome.

4. Hur många Gmail-konversationer du varit inblandad i, om du arkiverar meddelanden.

5. Om du har en Andriodmobil så sparas en komplett lista över platser du besökt.

6. En komplett lista på allt du har gjort med alla Androidenheter du har använt.

7. En väldigt lång och utförlig lista över dom sajter du besökt med Chrome och med alla klienter som använder Chrome.

8. Exakt hur många Googlesökningar du har gjort under den här månaden.

9. Detaljerad information om hur många Androidenheter du har haft kopplade till ditt konto under åren

10. Information om hur många och vilka Androidappar du har installerat.

11. Hur ditt liv ser ut och många inbjudningar du tackat ja/nej till under månaden om du använder Google Calendar.

12. Hur många bilder du sparat på Google Photos och information om dessa.

13. En fullständig förteckning över alla dina aktiviteter på Googles Play Store genom åren.

14. Givetvis har Google också koll på hur många Youtubevideos du tittat på under den senaste månaden.

En ny funktion i Linux låser kärnan

Nästa uppdatering av Linuxkärnan kommer även att innehålla en säkerhetsfunktion som kommer låsa delar av kärnan för användarprocesser, inklusive processer som ägs av root-användaren.

Det är från version 5.4 av Linuxkärnan som en funktion introduceras som sätter restriktioner för hur användarprocesser kan använda funktioner i kärnan. Den nya LSM-modulen (Linux Security Module) ska göra att vissa funktioner i kärnan är låsta även för root-användaren som annars äger fulla rättigheter i hela systemet, skriver ZDNet.

Det är säkerhetsmodul som är efterfrågad då det är en viktig sak att kunna skydda systemet mot att root kontot blir infekterat och sedan utnyttjas av angripare för att kunna manipulera systemet och därigenom kunna ställa till ordentlig oreda.

I grundläget kommer modulen att vara avstängd och måste slås på manuellt, detta för att vissa applikationer kan sluta fungera och därför måste införandet av den nya säkerhetsfunktionen inledas med nogranna tester.

Idén med en ny säkerhetsfunktion kommer ursprungligen från Matthew Garrett på Google redan 2010 men då gav Linus Torvalds motstånd. Först 2018 kom man fram till en kompromiss utvecklingen av säkerhetsfunktionen har tagit fart sen dess. Torvalds stödjer den nya funktionen.

Säkerhetsfunktionen kommer i två varianter: integrity och confidentiality.
Integrity innebär att alla kärnfunktioner som kan låta en användarprocess modifiera kärnan stängs av, och confidentiality innebär att även funktioner som låter användarprocesser läsa av känslig information från kärnan stängs av.

Som exempel på spärrar som kan bli är att användarprocesser hindras från att läsa/skriva i /dev/mem eller /dev/kmem, blockering av /dev/port och att framtvinga signering av kärnprocesser. Alla uppgifter går att läsa här.

Då det är en funktion som efterfrågats ett tag och det dessutom tagit tid för gruppen av utvecklar med Torvalds i spetsen att starta projektet så finns det redan ett fler tal liknande funktioner i många distributioner redan, men nu kommer alltså en mer allomfattande funktion som en kärnmodul.

Installera PPTP VPN server

Om du vill använda dig av ett Virtuellt Privat Nätverk (VPN) för windows clienter så är PPTP ett utmärkt val. Det är enkelt att sätta upp programmet på servern och du behöver inget speciellt Windows program för att connecta till VPN servern.

Installera programet.

apt-get install pptpd

Configurera sedan vilka ipn som ska anges till clienterna.

nanopico /etc/pptpd.conf

localip 192.168.1.2
remoteip 192.168.1.10-20

Använd dessa inställningar för clienterna som får IP adresserna mellan och även dom två angivna ipadresserna, 192.168.1.10 och 192.168.1.20.

Starta om applicationen

/etc/init.d/pptpd restart

Skapa en användare som har tillåtelse att connecta till servern

nano pico /etc/ppp/chap-secrets

user1 pptpd secretpassword *

OBS: Lösenorden är inte krypterade vilket i detta fall skapar en användare med namnet user1 och lösenordet secretpassword och som kan logga in från vilken adress som helst.

Slå igång IP forward vid start för att tillåta VPN clienterna att ansluta till serverns locala nätverk.

nano /etc/sysctl.conf

net.ipv4.ip_forward=1

Kör även detta kommando för att aktivera IP forwardingen omgående.

echo 1 > /proc/sys/net/ipv4/ip_forward

Skapa en routing regel för att tillåta VPN clienter att köra nätverks traffik genom servern

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

OpenVPN del 4

Tidigare delar av denna guide
Del 1
Del 2
Del 3

Hittils har vi installerat och configurerar OpenVPN server, skapat Certificate Authority, och skapat serverns egena certificat och nyckel. Vi använder serverns CA för att skapa certificat och nycklar för varje client som kommer att connecta till denna VPN.

Bygga nycklar och certifikat

Det är en utmärkt lösning att varje client som ansluter till din vpn har sin egen unika certifikat och nyckel.

Det går dock att generera ett generellt certificat och nyckel som kan användas av alla clienter.

OBS: Som default som är OpenVPN inställt på att inte tillåta att clienter använder sig av samma certificate och nyckel ansluter sig samtidigt.

För mer info titta under duplicate-cn

/etc/openvpn/server.conf

För att skapa autheriserande information för alla enheter som ska koppla upp sig mot din VPN så ska du genomföra följande steg för varje enhet men kom ihåg att ändra namnet för varje enhet, detta gör det enklare att hålla koll på dom samt att du kan stänga av dom från din VPN om du skulle vilja det.

Jag kommer att använda mig av client som ett exempel på en enhets namn.

Vi gjorde de förrut med serverns nyckel, nu ska vi bygga en för client.
Även denna gången ska vi använda oss av

/etc/openvpn/easy-rsa.

./build-key client1

Även denna gången kommer du bli frågad om du vill ändra eller bekräfta Distinguished Name variablerna och dom två frågorna som ska lämnas tomma. Bara tryck på Enter för att gå vidare.

Please enter the following ’extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Dom två första ska som vanligt lämnas tomma, dom sista två ska besvaras med ett Y för att godkänna dom.

Följande text kommer då skrivas på skärmen för att visa att du lyckats.

Write out database with 1 new entries.
Data Base Updated

Nu ska vi kopiera den nyckel som generats av Easy-RSA från den mapp den ligger i till den vi skapade tidigare.
Vi ska även ändra filändelsen från .conf till .opvn

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn

Detta är en sektion som du kan upprepa för varje client och då ange ett annat namn för varje enhet istället för client.

Vi behöver också ändra i client filen för att lägga in IP adressen av våran OpenVPN server så den vet vart den ska connecta. Öppna filen client.ovpn genom att använda nano eller den text editor du har intstallerat.

nano /etc/openvpn/easy-rsa/keys/client.ovpn

Som första steg ska vi ändra my-server-1 till your_server_ip. Du hittar det på raden som börjar med remote.

/etc/openvpn/easy-rsa/keys/client.ovpn
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote your_server_ip 1194

Nu ska vi leta efter den text som syns nedan och då ta bort kommentaren för user nobody och group nobody precis som vi gjorde från början.

/etc/openvpn/easy-rsa/keys/client.ovpn
# Downgrade privileges after initialization (non-Windows only)
user nobody
group no group
Transferring Certificates and Keys to Client Devices

Som du kanske minns så skapade vi tidigare certificat och nycklar för clienten och att dom finns på din OpenVPN server i mappen

/etc/openvpn/easy-rsa/keys

För varje enhet så måste vi överföra certificatet och nyckeln och en profile template fil till en mapp på den enhet som ska använda din VPN tjänst.

I detta exemplet så användes client som en enhet och det krävs då att certificatet och nyckeln som finns på servern

/etc/openvpn/easy-rsa/keys/client1.crt
/etc/openvpn/easy-rsa/keys/client1.key

Överförs till enheten.

Filerna ca.crt och client.ovpn är samma för alla enheter, ladda ner dessa två filer också ca.crt ligger dock i en annan mapp än dom andra

/etc/openvpn/easy-rsa/keys/client.ovpn
/etc/openvpn/ca.crt

Hur du överför dessa filer är upp till dig och den enhet du använder dig av. Men du ska använda dig av SFTP (SSH file transfer protocol) eller SCP (Secure Copy). Detta kommer att skicka dina filer över en säker krypterad anslutning.

När du är klar så ska du ha dessa fyra filer på din client.

`client1.crt`
`client1.key`
client.ovpn
ca.crt

Det finns många olika metoder för att handskars med clientens filer men det är allra enklast att använda en unified profile. Detta genom att skapa och modifiera client.ovpn template filen för att includera serverns Certificate Authority (CA), och clientens certificat och dess nyckel. När du väl kopplat ihop detta så behövs enbart client.ovpn som behöver importeras in till clientens OpenVPN application.

Nedanför finns tre rader som kommer att behöva kommenteras bort så att vi kan includera certificat och nyckel direkt till the client.ovpn file. Det kommer se ut så här när du är klar.

/etc/openvpn/easy-rsa/keys/client.ovpn
# SSL/TLS parms.
# . . .
;ca ca.crt
;cert client.crt
;key client.key

Spara ändringarna och stäng filen.

Först ska vi lägga in Certificate Authority (CA)

echo ’’ >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo ’
’ >> /etc/openvpn/easy-rsa/keys/client.ovpn

Sen ska vi lägga in certificaten.

echo ’’ >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo ’
’ >> /etc/openvpn/easy-rsa/keys/client.ovpn

Som tredje och sista steg ska vi lägga in nycklarna.

echo ’’ >> /etc/openvpn/easy-rsa/keys/client.ovpn
cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
echo ’
’ >> /etc/openvpn/easy-rsa/keys/client.ovpn

Vi har nu en gemensam client profile som du med hjälp av ditt ftp program kan ladda upp client.opvn filen till ditt nya system.

Beroende på vilken platform du använder så finns det många användarvänliga applicationer för att connecta till en OpenVPN server.

Så där, om du har följt denna guide hela vägen och inte fått några problem så ska du nu ha en fungerande OpenVPN server, grattulerar 😀

För att kontrollera att den verkligen funkar, gå in någon sida som visar ditt ip, slå sedan på eller av OpenVPN och se hur ditt ip ändras.

Tidigare delar av denna guide
Del 1
Del 2
Del 3