27.7.18

Google wants you to beef up your account security with its own hardware token




The company credits hardware-based two-factor authentication with practically eliminating the problem of phishing attacks that have targeted its own employees of late
Google has announced a hardware security key that is intended to keep users of its services safe from account-takeover attacks.
Dubbed “Titan Security Key”, the piece of hardware includes firmware developed by Google to verify the key’s integrity, according to the firm. The device, which per CNET will come in both USB and Bluetooth and won’t require any additional software drivers, will provide an additional authentication factor (i.e. “something the user has”) beyond the password (i.e. something the user knows).
With two-factor authentication (2FA), even if a malefactor gets their hands on your account credentials, they can’t get into your account unless they also possess that second chunk of authentication data. Most commonly, that second authentication factor comes in the form of a verification code that is either sent as a text message or can also be generated by an authenticator app. However, the adoption of physical tokens has been increasing at a fast clip, too.
“We’ve long advocated the use of security keys as the strongest, most phishing-resistant authentication factor for high-value users, especially cloud admins, to protect against the potentially damaging consequences of credential theft,” the company said. The token is currently available to Google Cloud customers and is planned for general sale in the next few months.
The announcement comes on the heels of Google’s revealing for journalist Brian Krebs that none of its 85,000 employees have fallen prey to phishing attacks since early 2017, when the firm made the use of physical tokens mandatory for its staff. Previously it used one-time codes generated by a mobile app – Google Authenticator.
Google’s key conforms to the FIDO U2F (“Universal 2nd Factor”) specification and will enable the user to complete the log-in process by activating the token, as long as the user has first linked the piece of hardware to their account.
Back in 2014, Google added support for hardware-based 2FA authentication for Chrome users when they log into their Google accounts. Early this year, the company revealed that fewer than one in ten Google account holders use any given method of 2FA – indeed a rather meagre figure given that multifactor authentication offers a valuable additional layer of protection in exchange for little effort.

26.7.18

Top tips to help you avoid being caught receiving or sending phishing-looking emails


Hook, line, and sinker: How to avoid looking ‘phish-y’

If you’re a regular reader of this blog, I suspect you live in a state of perpetual vigilance against targeted attacks such as phishing messages. You know that urgent sounding messages from sender addresses that don’t look right, especially if they include attachments or links to external sites, are to be approached with extreme caution. And yet, I suspect you also receive a fair number of emails that are in fact from legitimate senders who are not aware that the impression they’re giving is incredibly “phish-y”.
It isn’t just Security Newbs who are sending these messages, either. People and organizations that should absolutely “know better” are also sending messages that actively groom recipients to fall victim to malicious, targeted attacks. Security policies require consistent application to be successful. Asking your users to make exceptions – especially when the rules for when to make exceptions are both unspoken and nebulous – seriously compromises their ability to follow appropriate, security-focused guidelines.
Let’s look at a few common characteristics of phishing emails:
·         The message itself arrives unexpectedly
·         The content of the message seems unusual
·         It appears to come from or cite an authoritative source
·         It comes from a sender other than the named authority
·         The text conveys a SENSE OF URGENCY!!!
·         The greeting is absent or generic
·         The message contains little to no explanation
·         The message contains an unusual or unexpected attachment or link
An email that contains even one of these items is enough to make a security-conscious person feel a little wary. And yet I often see legitimate emails that contain all of these traits, which are commonly used in social engineering attacks. It sets a very dangerous precedent to expect employees to accept, as normal, messages like these.
Sometimes these messages are sent directly by actual human employees. If this is the case in your organization, it would be beneficial to give your employees a different sort of anti-phishing training: “How not to social-engineer your co-workers”. While this should include advice for how to avoid sounding like an online scammer, to be most helpful, it should also include some personnel-management advice on what to do if people are not responding to email requests in a timely or satisfactory manner.
An increasingly common scenario is phishy-looking emails sent by Software as a Service (SaaS) apps like those for fax or shipping services, human resource or accounting portals, collaboration tools, newsletters or even party planners. At a bare minimum, most of these emails are sent from external addresses; they’re also often unexpected or unsolicited, they contain little to no explanation, and they use a generic greeting or no greeting at all.
The fact that these apps are sending “corporate emails” from external addresses drastically increases the range of “legitimate” email addresses well beyond the corporate domain. This makes it much harder for employees to track which domains are “known” and therefore “more-trusted” senders.
What can you do to make our emails less phishy-looking? Here are a few things to consider:
·         Make emails “expected”
If you’re going to send an email that requires employee action, give them an introductory email first, which gives them some forewarning and an explanation about what the email will contain, plus a description of what will be expected of them upon receipt of the message. The more information you can give them about what to expect – such as the sender’s email address, a brief summary of the content, a distinctive greeting or sign-off, etc. – the better able they will be to verify that the email is genuine. Understand that email addresses are easy to spoof, so the more you can customize an email to make it unique (rather than using basic boilerplate text), the easier it will be for your employees to identify the message as legitimate.
·         Keep calm 
There’s no good reason to employ social engineering tactics to create fear in your employees. Presumably the people you hire are all responsible adults, and you can motivate them to action by accurately describing the level of urgency in a way that does not require panic. There are always ways to address non-compliance in a calm, yet serious, manner; it’s not good for morale to start with the assumption that your employees will misbehave. As much as possible, make sure the email sender matches the message and uses an appropriate level of authority. If you’re sending “an important message from the VP of Paperwork,” make sure that it is actually sent by the Vice President of Paperwork rather than someone else in the Paperwork Department. Or better yet, ask yourself if it even needs to be sent by the VP at all, rather than simply being a “message from the Department of Paperwork.” And for the sake of everyone’s blood pressure, please AVOID SENDING MESSAGES IN ALL CAPITAL LETTERS.
·         Choose security-conscious products
Can you digitally sign or encrypt emails sent from third-party apps? Is there an option to send them from within your own corporate domain? Can you customize emails with your own text or a recipient’s name? Can emails be sent in plaintext rather than using image-heavy or HTML formatted messages? These are a few questions you should be asking when pondering implementing new SaaS apps. Even if you have little to no choice about which new or legacy apps you use, there may be some options available for customizing messages to make them more “user friendly”. Make sure that people are filling out all the variables in templates too. (How many times have you gotten an email addressed to “Dear %RECIPIENT%”?) If no such customization options exist, you may have to rely more heavily on forewarning employees before email campaigns are sent out.
·         Keep it simple
Default to using text formatting; use HTML content only if absolutely necessary. If at all possible, recipients should not have to clink on a link or attachment to read the substance of the message. Make it as quick and easy as possible for your employees to get at least a basic summary of the information, and have them go to a standard location (such as an internal company site) to get more detailed information, rather than having to follow a link embedded in the message.
Phishing, business email compromise (BEC), and email account compromise (EAC) cause hundreds of millions of dollars’ worth of losses each year. This number seems unlikely to decrease if we continue to give employees conflicting information about how to handle suspicious emails. By making sure the messages we send appear both trustworthy and verifiable, we can allow employees to consistently follow anti-phishing advice and hone their instincts for recognizing which emails are truly safe.
Here are some additional resources on user education and phishing, from my esteemed colleague David Harley:

25.7.18

Bluetooth bug could expose devices to snoopers



Patches have already been released or are expected to see the light of day soon
Researchers have discovered a flaw in some Bluetooth implementations that could allow an attacker to intercept or tamper with data exchanged between two vulnerable devices.
The cryptographic bug, tracked as CVE-2018-5383, has been identified by scientists at the Israel Institute of Technology. It impacts two related Bluetooth features: Secure Simple Pairing and LE Secure Connections.
The Bluetooth Special Interest Group (SIG), which is the governing body behind the Bluetooth standard, explained that some Bluetooth implementations or operating system software drivers fail to validate the public encryption key received over-the-air during device pairing.
To be sure, such a check is not required, but only recommended by the Bluetooth specification. Or, rather, it was, as SIG has also announced an update to the Bluetooth specification to the effect that all parameters used for public key-based Bluetooth connections are required to be validated.
The US CERT Coordination Center (CERT/CC) released additional details about the vulnerability, explaining that Bluetooth’s device-pairing mechanism relies on elliptic-curve Diffie-Hellman (ECDH) key exchange. “The ECDH key pair consists of a private and a public key, and the public keys are exchanged to produce a shared pairing key. The devices must also agree on the elliptic curve parameters being used,” reads the advisory.
“In some implementations, the elliptic curve parameters are not all validated by the cryptographic algorithm implementation, which may allow a remote attacker within wireless range to inject an invalid public key to determine the session key with high probability. Such an attacker can then passively intercept and decrypt all device messages, and/or forge and inject malicious messages,” according to CERT/CC.
All’s not lost
Software and firmware updates are expected over the coming weeks, said CERT/CC, so users are well-advised to stay tuned for fixes from vendors.
Apple, Broadcom, and Intel have all confirmed the flaw, and the first two have already released patches. Qualcomm’s chipsets are also listed as affected in CERT/CC’s advisory, while the implications for Android, Google, and Linux kernel vis-à-vis the vulnerability have yet to be determined. Windows is in the clear.
As per SIG, the bug is not known to have been exploited in the wild. Either way, such a man-in-the-middle attack would require the perpetrator to place themselves within the range of both targeted Bluetooth-enabled devices that are going through the pairing procedure. In addition, both devices need to be vulnerable for the attack to succeed.
Arguably, the easiest countermeasure is turning Bluetooth off whenever you’re not using it.

Exploration en profondeur des RAT Quasar, Sobaken et Vermin


Welivesecurity.com by ESETActualités, opinions et astuces de la communauté de sécurité d’ESET
Les chercheurs d’ESET ont analysé des outils d’accès à distance utilisés par les cybercriminels pour une campagne d’espionnage en cours, visant à espionner systématiquement les institutions gouvernementales ukrainiennes et exfiltrer les données de leurs systèmes.
Dans cet article, nous résumerons l’intégralité des résultats publiés dans notre livre blanc Quasar, Sobaken and Vermin : A deeper look into an ongoing espionage campaign (Quasar, Sobaken and Vermin : Analyse en profondeur d’une campagne d’espionnage en cours).

Les attaquants derrière la campagne sont suivis par ESET depuis le milieu de l’année 2017. Leurs activités ont été révélées publiquement pour la première fois en janvier 2018. Notre analyse montre que ces cybercriminels continuent d’améliorer leurs campagnes, en développant de nouvelles versions de leurs outils d’espionnage.
Selon la télémétrie de l’ESET, les attaques ont été dirigées contre des institutions gouvernementales ukrainiennes, avec quelques centaines de victimes dans différentes organisations. Les attaquants utilisent des outils d’accès à distance furtifs (ou RAT, pour remote access tool) pour exfiltrer les documents sensibles des ordinateurs des victimes.

Nous avons détecté trois souches différentes de logiciels malveillants.NET dans ces campagnes : Quasar RAT, Sobaken RAT, ainsi qu’un RAT sur mesure appelé Vermin. Les trois souches de logiciels malveillants ont été utilisées activement contre différentes cibles au même moment. Elles partagent de plus des parties de leur infrastructure et se connectent aux mêmes serveurs C&C.
Quasar est un RAT open-source, disponible gratuitement sur GitHub. Nous avons pu retracer les campagnes de ces menaçant à l’aide des binaires Quasar RAT remontant jusqu’en octobre 2015.
Sobaken est une version fortement modifiée du Quasar RAT. Certaines fonctionnalités ont été supprimées pour rendre l’exécutable plus petit. Plusieurs mesures anti-sandbox, et d’autres astuces d’évitement et d’évasion ont été ajoutées.
Vermin constitue une backdoor, ou porte dérobée, sur mesure. Il est apparu pour la première fois au milieu de l’année 2016 et est toujours utilisé au moment de la rédaction du présent rapport. Tout comme Quasar et Sobaken, il est rédigé en .NET. Pour ralentir l’analyse, le code du programme est protégé à l’aide d’un système commercial de protection de code .NET, d’un réacteur .NET ou d’un protecteur open-source ConfuserEx.
Vermin est une backdoor complète comprenant plusieurs composants optionnels. Sa dernière version connue prend en charge 24 commandes, implémentées dans la charge utile principale, et plusieurs commandes supplémentaires implémentées via des composants optionnels, y compris l’enregistrement audio, l’enregistrement de frappe et le vol de mot de passe.
Les campagnes analysées sont basées sur l’ingénierie sociale de base, mais aussi sur l’utilisation de plusieurs astuces pour mieux amener les victimes à télécharger et exécuter le logiciel malveillant, qui était inséré comme pièces jointes à des courriels. Parmi ces astuces, mentionnons l’utilisation de la fonction de forçage de droite à gauche (ou RLO, pour right-to-left override), visant à masquer l’extension réelle des pièces jointes, les pièces jointes aux courriels déguisées en archives auto-extractibles RAR, et une combinaison d’un document Word spécialement conçu à cet effet comprenant l’exploit CVE-2017-0199.
Les trois souches de logiciels malveillants sont installées de la même manière : un dropper dépose un fichier de charge utile malveillant (Vermin, Quasar ou Sobaken) dans le dossier %APPDATA%, dans un sous-dossier au nom d’une société légitime (généralement Adobe, Intel ou Microsoft). Ensuite, il crée une tâche planifiée qui exécute la charge utile toutes les 10 minutes, pour assurer sa persistance.
Pour s’assurer que le logiciel malveillant ne fonctionne que sur des machines ciblées et évite les systèmes d’analyse automatisés et les sandboxes, les attaquants ont déployé plusieurs mesures. Le logiciel malveillant s’interrompt si aucun clavier russe ou ukrainien n’est installé, si l’adresse IP du système cible est située en dehors de ces deux pays, ou si elle est enregistrée auprès de l’un des fournisseurs d’anti logiciels malveillants ou des fournisseurs de nuages sélectionnés. Le logiciel malveillant refuse également de s’exécuter sur des ordinateurs dont le nom d’utilisateur est typique des systèmes automatisés d’analyse des logiciels malveillants. Pour déterminer s’il est exécuté dans un système d’analyse automatisé, il tente d’atteindre un nom/URL de site Web généré au hasard et vérifie si la connexion à l’URL échoue, comme on pourrait s’y attendre sur un système réel.
Ces attaquants n’ont pas reçu beaucoup de notoriété par rapport à d’autres qui ciblent des organisations très en vue en Ukraine. Cependant, ils ont prouvé qu’avec des outils d’ingénierie sociale astucieux, les attaques de cyberespionnage peuvent réussir même sans utiliser de logiciels malveillants sophistiqués. Ceci confirme la nécessité de former le personnel à la sensibilisation à la cybersécurité, en plus de disposer d’une solution de sécurité de qualité.
Les noms de détection ESET et d’autres indicateurs de compromis pour les campagnes mentionnées peuvent être trouvés dans le livre blanc complet : Quasar, Sobaken et Vermin : un regard plus approfondi sur une campagne d’espionnage en cours.

22.7.18

Le traçage thermique, une vulnérabilité des claviers pour vos mots de passe?



L’attaque, appelée « Thermanator », pourrait utiliser la chaleur corporelle, afin de voler vos informations d’identification ou toute autre chaîne de texte que vous avez tapées sur un clavier d’ordinateur.
Une équipe d’universitaires de l’Université de Californie, Irvine (UCI), a présenté un type d’attaque qui pourrait permettre à un malfaiteur de récupérer les informations sensibles que vous avez saisies en utilisant votre clavier – potentiellement jusqu’à une minute après l’avoir tapé.
Tout d’abord, les chercheurs ont demandé à 30 utilisateurs d’entrer 10 mots de passe différents, aussi bien forts que faibles, sur quatre claviers génériques. En utilisant une caméra thermique, les chercheurs ont scanné la chaleur résiduelle laissée sur les touches récemment pressées. Puis, ils ont demandé à huit utilisateurs novices d’endosser le rôle d’attaquant, en tentant de reproduire ces mots de passe à partir des données d’imagerie thermique – ce qu’ils ont réussi de manière fiable.
Au final, les sujets ont réussi à reproduire avec succès des séries entières de touches qui avaient été capturées par la caméra thermique jusqu’à 30 secondes après la 1ère frappe. Selon les chercheurs, la récupération partielle de touches est possible jusqu’à une minute après la 1ère saisie. Ces résultats sont détaillés dans un article intitulé « Thermanator: Thermal Residue-Based Post Factum Attacks On Keyboard Password Entry ». Ces données partielles ainsi obtenues seraient suffisantes pour mener une attaque de cassage de mot de passe par force brute.
 « Si vous entrez votre mot de passe et que vous vous éloignez de votre ordinateur, une personne mal intentionnée peut en apprendre beaucoup après coup », souligne l’un des auteurs du document, Gene Tsudik.
« Étant à sang chaud, les êtres humains préfèrent naturellement les environnements qui sont plus froids que leur température corporelle », selon ce qu’on peut lire dans l’article de la revue scientifique. « En raison de cette disparité de chaleur, il est inévitable que nous laissions des résidus thermiques sur de nombreux objets que nous touchons régulièrement, en particulier, avec les doigts nus. »
A ce titre, une étude datant de 2011 avait déjà démontré que les codes PIN saisis sur les distributeurs automatiques peuvent également être récupérés en analysant la chaleur résiduelle laissée sur les pavés numériques.
Par ailleurs, l’étude sur Thermanator a également révélé que la frappe à 2 doigts exposerait particulièrement les utilisateurs. En effet, la frappe individuelle des touches augmente fortement la taille de la trace thermique. La saisie rapide avec plusieurs doigts est, quant à elle, plus sûre, car elle crée plus de bruit thermique en raison des doigts posés sur la « rangée de départ » (c’est-à-dire les touches ASDF et JKL pour les mains gauche et droite, respectivement).
Un certain nombre de conditions doivent être remplies pour que l’attaque fonctionne. Notamment, la victime doit s’éloigner ou être attirée loin de son système peu de temps après la saisie de ses informations sensibles, et la caméra doit avoir une vision dégagée du clavier.
D’une manière ou d’une autre, selon cette étude, cette nouvelle attaque post factum représente une nouvelle menace crédible pour les systèmes basés sur les mots de passe, notamment parce que « les dispositifs de détection de niche deviennent de moins en moins chers. »
Comment contrer cette vulnérabilité?
Le document suggère un certain nombre de leviers d’atténuations destinés à rendre la récupération des données impossible ou, tout du moins, beaucoup plus difficile. Ils comprennent la possibilité de faire courir les mains le long du clavier après avoir entré des informations sensibles ou en tapant des touches aléatoirement afin d’introduire un « bruit thermique » dans les résidus laissés sur les touches.
D’autres antidotes incluent l’utilisation de la souris pour sélectionner les caractères du mot de passe sur un clavier virtuel. Cependant, cela peut à son tour augmenter votre exposition aux attaques d’ingénierie sociale de type « Shoulder surfing », pendant lesquelles une personne jette un coup d’œil par-dessus votre épaule pendant que vous entrez des informations sensibles.
Pour finir, les chercheurs listent quelques contre-mesures additionnelles – toutefois peu pratiques – dont le port de gants isolants, ou même de faux ongles (l’étude a révélé que le port de longs ongles en acrylique suffisait à être immunisé contre Thermanator). Cependant, nous ne vous blâmerions pas si vous optiez pour une contre-mesure différente.