QA Fest 2017. Per Thorsheim. Secure messaging

No notes for slide

Nasjonal sikkerhetsdag i Oslo, april 2010. EDB Business Partner v/Per Thorsheim legger frem pressemelding og rapport (https://www.evry.com/globalassets/presse-nyheter/e-post_sikkerhet_i_norge.pdf) hvor vi hadde scannet 345K domener på Internett, hvorav 82K var norske .NO domener. Resultatene var nedslående, og nedenstående nyhetssak hos Dagens Næringsliv fikk stor oppmerksomhet:

https://www.dn.no/tekno/2010/04/20/-statsministerens-kontor-bruker-falsk-id

Jeg fulgte opp Kunnskapsdepartementets brev fra juni 2014 i hhv Oktober 2014 og mars 2015. Med tanke på at STARTTLS lar seg implementere av kompetent personell på få timer hos de fleste, så er det all grunn til å spør seg selv hvorfor det tar så lang tid…

Pr. 23 mai 2017 ser det ut til at i hvert fall 5 av disse fortsatt ikke har implementert denne støtten. (Kanskje en urettferdig sammenligning, men APPLE implementerte støtte for dette innen 72 timer etter at de ble gjort oppmerksom på det av Christopher Soghoian i ACLU, som jeg har hatt et visst samarbeid med for å få oppmerksomhet på dette hos store virksomheter i USA.)

Å sammenligne ulike tjenester har en formidabel og udiskutabel positiv effekt. Etter at jeg publiserte denne oversikten tok blant annet Morgenbladet grep, og ble første store norske avis som gikk fullt over til HTTPS på sine nettsider. Det har også Dagens Næringsliv gjort, og jeg vet at Schibsted (Aftenposten, VG m.fl.) er svært nær lansering. Dette gir bedre sikkerhet for både avis og og leser, og sikrer også personvernet for lesere på en god måte. Sikkerhet for avisen kommer i form av raskere sidevisning, sikring av inntektsstrøm (reklame) som ikke lengre kan manipuleres like enkelt av eksterne gjennom MitM.

Tilsvarende har også epost sikkerhet kommet på agendaen også hos mediehus, og jeg jobber (idealistisk, ikke betalt) for å få dem til å bli bedre på dette mht kildevern mm.

Google Transparency report viser nå oversikt over domener som Google (Gmail) snakker med, og hvilke som benytter STARTTLS hhv når det sendes epost til Gmail, eller fra Gmail til andre domener.

Som en direkte konsekvens av den voldsomme økningen i bruk av STARTTLS, så ble man plutselig også i stand til å oppdage MitM (man-in-the-middle) angrep mot epost, hvor angriper simpelthen grep inn i den initielle klartekst kommunikasjonen mellom 2 epost servere, og sørget for at STARTTLS aldri ble brukt.

Eksempelet til venstre kom i forbindelse med større opptøyer i Thailand i 2014, hvor Google og Yahoo plutselig observerte at epost fra Thailand som inntil nylig hadde brukt STARTTLS plutselig ikke gjorde dette lengre. Uten å vite hvorvidt det ble funnet en rotårsak til dette, så antas det et massivt MitM angrep for å kunne avlytte klartekst epost til og fra kontoer hos hhv Google og Yahoo.

Eksempelet til høyre stammer fra en amerikansk trådløs internett tilbyder som uten forklaring utførte MitM mot alle SMTP forbindelser gjennom dem, og strippet vekk STARTTLS fra den initielle klartekst kommuikasjonen, slik at alt gikk i klartekst.

På forslag fra Per Thorsheim skrev NSM sin veileder U-02 Kryptering av e-post overføring.

14. November 2013 sendte Finanstilsynet ut brev til First Securities, hvor de informerer om at de vil innføre støtte for STARTTLS, og ber om at First Securities gjør tilsvarende. Jeg har IKKE funnet tilsvarende brev til andre bank/finans/forsikringsforetak via offentlig postjournal, men jeg vil anta at tilsvarende brev gikk til alle andre bedrifter som på sett og vis er underlagt Finanstilsynet.

2. Juni 2014 fulgte kunnskapsdepartementet i samme spor, henviste til NSM sin veileder, og ba statlige universiteter og høyskoler om å implementere støtte for STARTTLS.

Kilde: Funnet via offentlig postjournal

Bruken av OBLIGATORISK STARTTLS er innført for en del offentlige etater, og i samspill med ulike private selskaper. Meg bekjent innenfor bank/finans, hvor staten (politi, finanstilsynet m.fl.) ber om utlevering av informasjon, og dette oversendes via epost. Dette er IKKE et arbeid jeg har vært eller er involvert i, men slik jeg ser det er det VIKTIG å få stanset det pågående arbeidet med manuelle og «hardkodede» lister over domener som skal benytte STARTTLS. Dette skalerer ikke, og har også en rekke andre svakheter i seg som løses automatisk og med bedre sikkerhet (kryptering og autentisering) gjennom nye standarder som angitt i denne presentasjonen, spesielt ved innføring av DNSSEC og DANE TLSA.

HPKP har vist seg å være såpass lett å gjøre feil, samtidig som en feil kan slå ut en nettsider i uker, om ikke måneder og opptil 1-2 år. HPKP anses som «døende».
DNScrypt er ikke en RFC standard.

SMTP STS er i ferd med å bli en RFC, med Google som en av flere pådrivere.
ARC er en foreslått standard som kan bli til en RFC.

RequireTLS er en foreslått RFC standard, som gir en klient (bruker) mulighet til å spesifisere at en gitt epost skal KUN sendes dersom STARTTLS blir benyttet.

Sverige ligger på topp. De var også første land i verden til å signere sin rotsone (.SE). Jeg har personlig god kontakt med CISO i IIS i Sverige, som var og fortsatt er med på å styre DNSSEC både i Sverige og globalt.

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

QAFest

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company