QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

1. Secure Messaging How to protect yourself & your company Per Thorsheim @thorsheim +47 90 99 92 59 (Signal|Wire|Whatsapp)
2. PasswordsCon.org Youtube.com/user/thorsheim
3. Article 12: “No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.” The Universal Declaration of Human Rights, United Nations
4. Signal Signal.org
5. Whatsapp www.whatsapp.com
6. Wire WIRE.COM
7. Secure Email DNSSEC DANE TLSA CAA SPF DKIM DMARC
8. Regular email I have email for you Ok, I am ready Here you go…. Thank you, I’ve got it. Thank you, that was all. The problem: It is all unencrypted
9. Email with STARTTLS Hi, I have email for you. Ok, I am ready, and I have STARTTLS Good! Let’s use TLS-RSA-RC4-128-SHA Oh, I can only do RC4-MD5… Ok, let’s use it then. Send your public key. 234lkj235dfwdknj523dlkjsdrkj seljw5kjwouijsdlfjk235346lkj3w ….. Initial communication is Unencrypted. STARTTLS is opportunistic. Sender, recipient & all contents are encrypted.
10. Status for universiteter og høyskoler, oktober 2014. Status for universiteter og høyskoler, mars 2015
11. In the second instance, Golden Frog shows that a wireless broadband Internet access provider is interfering with its users’ ability to encrypt their SMTP email traffic. This broadband provider is overwriting the content of users’ communications and actively blocking STARTTLS encryption. This is a man-in-the-middle attack that prevents customers from using the applications of their choosing and directly prevents users from protecting their privacy. https://www.techdirt.com/blog/netneutrality/articles/20141012/063 44928801/revealed-isps-already-violating-net-neutrality-to-block- encryption-make-everyone-less-safe-online.shtml
12. The «maslow hiearchy» of email security DNS DNSSEC DANE TLSA HTTP HTTPS HSTS SMTP SPF DKIM DNScrypt HPKP DMARC DANE TLSA POP IMAP POPS IMAPS WWW DNS Server til server epost Klient til server epost DANE TLSADANE TLSA SMTP STS STARTTLS Unencrypted Not verified Encrypted Verified Encrypted CAA REQUIRETLS ARC
13. https://dnssec.vs.uni-due.de/
14. https://hostmaster.ua/dnssec/
15. Facebook Secret conversations - demo
16. per@thorsheim.net +47 90 99 92 59 Signal|Wire|Whatsapp @thorsheim Linkedin.com/in/thorsheim

Editor's Notes

Nasjonal sikkerhetsdag i Oslo, april 2010. EDB Business Partner v/Per Thorsheim legger frem pressemelding og rapport (https://www.evry.com/globalassets/presse-nyheter/e-post_sikkerhet_i_norge.pdf) hvor vi hadde scannet 345K domener på Internett, hvorav 82K var norske .NO domener. Resultatene var nedslående, og nedenstående nyhetssak hos Dagens Næringsliv fikk stor oppmerksomhet:

https://www.dn.no/tekno/2010/04/20/-statsministerens-kontor-bruker-falsk-id
Jeg fulgte opp Kunnskapsdepartementets brev fra juni 2014 i hhv Oktober 2014 og mars 2015. Med tanke på at STARTTLS lar seg implementere av kompetent personell på få timer hos de fleste, så er det all grunn til å spør seg selv hvorfor det tar så lang tid…

Pr. 23 mai 2017 ser det ut til at i hvert fall 5 av disse fortsatt ikke har implementert denne støtten. (Kanskje en urettferdig sammenligning, men APPLE implementerte støtte for dette innen 72 timer etter at de ble gjort oppmerksom på det av Christopher Soghoian i ACLU, som jeg har hatt et visst samarbeid med for å få oppmerksomhet på dette hos store virksomheter i USA.)
Å sammenligne ulike tjenester har en formidabel og udiskutabel positiv effekt. Etter at jeg publiserte denne oversikten tok blant annet Morgenbladet grep, og ble første store norske avis som gikk fullt over til HTTPS på sine nettsider. Det har også Dagens Næringsliv gjort, og jeg vet at Schibsted (Aftenposten, VG m.fl.) er svært nær lansering. Dette gir bedre sikkerhet for både avis og og leser, og sikrer også personvernet for lesere på en god måte. Sikkerhet for avisen kommer i form av raskere sidevisning, sikring av inntektsstrøm (reklame) som ikke lengre kan manipuleres like enkelt av eksterne gjennom MitM.

Tilsvarende har også epost sikkerhet kommet på agendaen også hos mediehus, og jeg jobber (idealistisk, ikke betalt) for å få dem til å bli bedre på dette mht kildevern mm.
Google Transparency report viser nå oversikt over domener som Google (Gmail) snakker med, og hvilke som benytter STARTTLS hhv når det sendes epost til Gmail, eller fra Gmail til andre domener.
Som en direkte konsekvens av den voldsomme økningen i bruk av STARTTLS, så ble man plutselig også i stand til å oppdage MitM (man-in-the-middle) angrep mot epost, hvor angriper simpelthen grep inn i den initielle klartekst kommunikasjonen mellom 2 epost servere, og sørget for at STARTTLS aldri ble brukt.

Eksempelet til venstre kom i forbindelse med større opptøyer i Thailand i 2014, hvor Google og Yahoo plutselig observerte at epost fra Thailand som inntil nylig hadde brukt STARTTLS plutselig ikke gjorde dette lengre. Uten å vite hvorvidt det ble funnet en rotårsak til dette, så antas det et massivt MitM angrep for å kunne avlytte klartekst epost til og fra kontoer hos hhv Google og Yahoo.

Eksempelet til høyre stammer fra en amerikansk trådløs internett tilbyder som uten forklaring utførte MitM mot alle SMTP forbindelser gjennom dem, og strippet vekk STARTTLS fra den initielle klartekst kommuikasjonen, slik at alt gikk i klartekst.
På forslag fra Per Thorsheim skrev NSM sin veileder U-02 Kryptering av e-post overføring.
14. November 2013 sendte Finanstilsynet ut brev til First Securities, hvor de informerer om at de vil innføre støtte for STARTTLS, og ber om at First Securities gjør tilsvarende. Jeg har IKKE funnet tilsvarende brev til andre bank/finans/forsikringsforetak via offentlig postjournal, men jeg vil anta at tilsvarende brev gikk til alle andre bedrifter som på sett og vis er underlagt Finanstilsynet.

2. Juni 2014 fulgte kunnskapsdepartementet i samme spor, henviste til NSM sin veileder, og ba statlige universiteter og høyskoler om å implementere støtte for STARTTLS.

Kilde: Funnet via offentlig postjournal
Bruken av OBLIGATORISK STARTTLS er innført for en del offentlige etater, og i samspill med ulike private selskaper. Meg bekjent innenfor bank/finans, hvor staten (politi, finanstilsynet m.fl.) ber om utlevering av informasjon, og dette oversendes via epost. Dette er IKKE et arbeid jeg har vært eller er involvert i, men slik jeg ser det er det VIKTIG å få stanset det pågående arbeidet med manuelle og «hardkodede» lister over domener som skal benytte STARTTLS. Dette skalerer ikke, og har også en rekke andre svakheter i seg som løses automatisk og med bedre sikkerhet (kryptering og autentisering) gjennom nye standarder som angitt i denne presentasjonen, spesielt ved innføring av DNSSEC og DANE TLSA.
HPKP har vist seg å være såpass lett å gjøre feil, samtidig som en feil kan slå ut en nettsider i uker, om ikke måneder og opptil 1-2 år. HPKP anses som «døende».
DNScrypt er ikke en RFC standard.

SMTP STS er i ferd med å bli en RFC, med Google som en av flere pådrivere.
ARC er en foreslått standard som kan bli til en RFC.

RequireTLS er en foreslått RFC standard, som gir en klient (bruker) mulighet til å spesifisere at en gitt epost skal KUN sendes dersom STARTTLS blir benyttet.
Sverige ligger på topp. De var også første land i verden til å signere sin rotsone (.SE). Jeg har personlig god kontakt med CISO i IIS i Sverige, som var og fortsatt er med på å styre DNSSEC både i Sverige og globalt.

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

You are reading a preview.

Check these out next

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

More Related Content

More from QAFest (20)

Recently uploaded (20)

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

Editor's Notes

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

You are reading a preview.

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

Recommended

More Related Content

More from QAFest (20)

Recently uploaded (20)

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

Editor's Notes