March 12th, 2010 by Joachim Strömbergson
No comments »
Batteriföretaget Energizer släppte för ett tag sedan en USB-kopplad batteriladdare kallad Energizer Duo.
Förutom att ladda via USB kunde produkten köra en liten applikationen på datorn som visade laddstatus fäör batterierna.
Men det var nu inte det enda som kördes när laddaren kopplades in. Enligt Symantec kom batteriladdaren med en elak liten trojan. Symantec har en längre beskrivning av Energizertrojanen som bla beskriver vad den kunde göra:
• Download a file
• Execute a file
• Send a directory listing to the remote attacker
• Send files to the remote attacker
• Modify the following registry entry:
Energizer har dragit tillbaka produkten. Det jag undrar över är hur trojanen hittade in i koden till laddaren från första början. Hade det varit ett USB-minne hade det varit en sak, men nu är det inte det och då brukar mängden minne som finns vara högst begränsat. Märkligt.
March 10th, 2010 by Joachim Strömbergson
No comments »
March 9th, 2010 by Joachim Strömbergson
No comments »
F-Secures log har en postning med statistik över elak kod i olika typer av filformat. Att döma av PDF den klart vanligaste filtypen där elak kod följer med.
Det hade naturligtvis varit intressant att se hur vanliga resp format är på över huvud taget. Är det ex så att PDF är vanligaste filtypen där elak kod följer med för att den är lättast att dölja kod, eller för att det helt enkelt är den överlägset vanligaste filtypen av de jämförda typerna. Oavsett hur det ligger till bör man nog inse att PDFer (och andra filer) som trillar ner från nätet kan innehålla elakheter.
March 9th, 2010 by Joachim Strömbergson
No comments »
Det finns en ny Internet Draft, Representation and Verification of Application Server Identity in Certificates Used with Transport Layer Security (TLS) som ser intressant ut, men där författarna behöver/vill ha hjälp. Draftens sammanfattning ger en bra beskrivning av vad man vill åstadkomma:
Many application technologies enable a secure connection between two entities using certificates in the context of Transport Layer Security (TLS).
This document specifies procedures for representing and verifying the identity of application servers in such interactions.
Eftersom draften spänner över flera olika områden har författarna haft svårt att hitta rätt forum. I en postning skriver dom:
A small, informal design team has been working on an I-D that attempts to define recommended procedures for representing and verifying server identities in X.509 certificates intended for use in applications that employ TLS.
...
Because this work touches on security in a wide variety of application protocols (HTTP, IMAP, LDAP, SMTP, XMPP, NNTP, NETCONF, SysLog, SIP, etc.) through the re-use of both TLS and the PKI, there is no one list where we can hold a focused discussion. Therefore we have created a new list, certid@ietf.org, to which you can subscribe here:
https://www.ietf.org/mailman/listinfo/certid
Please join the discussion there if you have an interest in this topic.
Thanks!
Peter Saint-Andre
Verkar detta intressant så häng på!
March 6th, 2010 by Joachim Strömbergson
No comments »
March 5th, 2010 by Joachim Strömbergson
No comments »
Det här (ett skämt) skulle vara en riktigt besvärlig CAPTCHA:
.jpg)
... Och den skulle väl antagligen bara fungera så länge som ingen maskin klarat av Turingtestet.
March 5th, 2010 by Joachim Strömbergson
No comments »
Näringsdepartementet har börjat använda social nätverk-tjänsten ning för att utveckla idéer och strategi för tjänsteinnovation. Ett ypperligt initiativ och exempel på OpenGov. Väldigt kul, bra och intressant initiativ, mer sånt här i Sverige!
March 4th, 2010 by Joachim Strömbergson
No comments »
Svenska säkerhetskonferensen SEC-T skickade nyligen ut ett Call For Papers (CFP) för årets konferens:
We are currently soliciting presentations for the third annual SEC-T technical security conference in Stockholm on the 9-10th of September. The theme for this year will be “OMG, it’s full of stars!” and if you could weave that into your presentation somehow, that would be cool.
The topics of interest for this conference are information security related, but strongly rooted in the technical realm. For an idea of what we like, please check out the speakers lists from previous years at http://www.sec-t.org/. Anything submitted will be considered and we will judge each proposal by its content and not the name attached.
Talks are 60 minutes with time reserved between slots for Q&A. Proposals should include a short description of the talk contents and a brief speakers bio. Send all submissions to cfp@sec-t.org
March 4th, 2010 by Joachim Strömbergson
No comments »
Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:
Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.
U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.
Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.
February 13th, 2010 by Joachim Strömbergson
No comments »
F-Secures Mikko Hypponen rapporterar på sin blog om ett intressant sätt att skydda användare av applikationer mot att råka köra elak kod.
Den stora mobilkonferensen GSMA World Congress 2010 börjar nästa vecka och tydligen har företaget Whatamap utvecklat den officiella konferensapplikationen. Miko fick ett meddelande till sin mobil om detta från ett för honom okänt nummer:
Ok, någon vill att han skall köra en applikation. Hur vet man då att det verkligen är den officiella appen och kod man kan våga ladda ner och köra? Jo för att dom säger att det är ok:
Notera texten You can trust this application: it’s the official MWC 2010 mobile guide. Jamendåså, då måste det vara ok. När Mikko försökte köra koden fick han naturligvis följande varning:
Allvarligt talat. Även om det ibland kan vara si och så med hur signering sker, men det är väl ändå bättre än den här typen av trams.
Skall mobilsystemen bli en plattform för säkra transaktioner, ersätta plånböcker och e-handel är det dags att bli seriös vad gäller säkerhet. Och då böja städa i sitt eget bo.
