Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
February » 2006 » Kryptoblog

Archive for February, 2006

NSA håller koll på öppna verktyg

February 11th, 2006

(Detta kom på maillistan för nmap). President Bush var i veckan och hälsade på NSA. Besöket inkluderade ett posse med fotografer som fick chans att plåta spännande bilder. En av dessa bilder visar hur presidenten gör ett besök i något slags övervakningscentral.

Det roliga med bilden i fråga är att dom till höger på väggen har en skärm som listar Latest Tool Versions. Den som har skarpa ögon, alternativt ett verktyg för att zooma in i bilden kan läsa  Nmap, Snort, Ethereal och Metasploit. Samtliga öppna och fria verktyg

RFID – Nytt spårämne i lax

February 11th, 2006

Enligt en artikel i Elektroniktidningen har priset Guldtaggen 2005 delats ut. Priset delas ut av branschföreningen RFID Nordic tillsammans med Mentor Communcations. Och en av årets vinnare är Laxbutiken med sin Laxomat.

Laxomaten är en köpa prylar-maskin (varuautomat), men med lax istället för snickers. En annan skillnad är att man måste dra sitt kreditkort för att få ut varan – en vara försedd med en RFID tag innehållandes all den information kunden kan behöva. Om firren i fråga antar jag.

Jag skall inte raljera om Laxomaten och andra försök att hitta på nya affärskoncept, som entreprenör gillar jag i grunden sådana här saker. Men ryggmärgsmässigt reagerar jag på kombinationen kreditkortsläsning och RFID-tag. Du drar ditt kreditkort och strax efter börjar du gå runt med något utrustad med stöd för fjärravläsning.

Frågan är dock hur pass stort problem det är egentligen? Det största problemet är nog kreditkortsläsningen i sig, men har dom bara tänkt till så att läsning av kreditkortsinformation och kommunikationen med bank/BABS sker på ett bra sätt (läs: ej över GPRS) är det nog inte ett problem.

Bland finalisterna till Guldtaggen 2005 fanns det några påhitt som lät klart mer tveksamma ur ett integritetsperspektiv, RFID inom hemtjänsten exempelvis.

SIG Securitys årsmöteskonferens

February 9th, 2006

Föreningen Sig Security, Sveriges största nätverk inom informationssäkerhet håller sin årliga konferens på Clarion Hotel i Stockholm den 15-16 mars.

Temat för årets konferens är Krisens många ansikten. Med talare som Tomas Hagström från Svensk Krisledning och Claes Cassel, f.d. polis kommer man att diskutera krishantering ur ett flertal olika perspektiv. Med tanke på de pågående justitieförhören i spåren av den Svenska hanteringen av Tsunamikatastrofen ett synnerligen hett och passande tema.

SIG Security har förhandsbokat 30 rum på hotellet till ett rabatterat pris på 1420 SEK, men intresserade får själv kontakta hotellet. Boka innan 2006-02-15. Priset för konferensen ligger på ca 1500 SEK.
Låter konferensen intressant är det dags att boka rum och anmäla dig till konferensen. Är du inte medlem i SIG Security är det troligen dags att göra det också.

Call For Papers – NordSec 2006

February 8th, 2006

Konferensen NordSec är en workshop för folk både inom forskning och användning/industri i norden som sysslar med för IT-säkerhet. Årets upplaga går av stapeln den 19:e och 20:e oktober i Linköping. Man har för konferensen precis skickat ut Call For Papers där deadline för bidrag är satt till den tionde juni. Några av de ämnen som är tänkbara gäller saker som:

  • Anonymity and Privacy

  • Applied Cryptography

  • Computer Crime

  • Information Warfare

  • E-and M-Business Security

  • Inter/Intra/Extranet Security

  • Intrusion Detection

  • Language-Based Security

  • New Firewall Technologies

Och en hel del till. Är du intresserad att presentera något är det dags att fila på bidraget. Är du intresserad av att åka kan det iaf vara dags att boka in konferensen i kalendern.

Diverse RFID-nyheter

February 7th, 2006

RFID-teknologin utvecklas i rasande takt och en klar trend är att göra RFID allt lättare att integrera in i olika förpackningar och material.

På konferensen ISSCC - International Solid-State Circuits Conference, en av dom stora årliga konferenserna för kretsteknologi (tillsammans med IEDM och DAC, den senare dock mer riktad mot verktyg och utvecklingsmetoder) har det kommit några intressanta presentationer vilka rapporterats av EE Times.

Philips har presenterat ett komplett RFID-chip gjort helt i polymer kretsteknik – plast. Kretsen klarar av att sända ut multibits ID-kod i 13.56 MHz-bandet, det mest använda bandet för RFID-taggar.

Hitachi å sin sida har presenterat ett RFID-chip tillverkat i mer normal CMOS-teknologi. Normal så till vida att det använder fyra metall-lager och Silicon on Insulator (SOI). Det som gör Hitachis chip unikt är att det efter tillverkning etsas ned från undersidan tills dess att man når isolatorlagret.

Det som blir kvar; isolator, poly och metall-lager är fortfarande en fungerande krets, men en krets som är endast 7.5 mikron tjockt. Kretsen arbetar i 2.45-GHz-bandet och innehåller en 128-bitars ID-sträng. Till skillnad från Philips krets behövs dock en extern antenn. Kretsen är så tunn att den är tunnare än ett normalt papper och skulle kunna användas som en intelligent vattenstämpel.

Ett skäl till utvecklingen är att RFID-marknaden växer snabbt. Enligt en tredje artikel på EE Times uppskattar analysföretaget IDTechEx att RFID-marknaden att växa från ca 2.7 miljarder USD 2006 till 12.3 miljarder år 2010. Deras prognos sträcker sig till 2016, och då skattar dom marknadens storlek till 26 miljarder, dvs en tiodubbling på tio år.

NIST släpper spec för biometriska pass i USA

February 6th, 2006

Enligt en artikel i Eweek har NIST - National Institute of Standards and Technology i USA släppt en specifikation för biometriska pass. Passen har tillkommit som en del av det beslut om Homeland Security Presidential Directive 12 som president George W Bush fattade i mitten av 2004.

Passen som nu finns standardiserade av NIST innehåller minutiabaserad information om två fingrar.

Anledningen till att detta är relevant även för oss här i Sverige är att vi kommer att få motsvarande pass, samt att våra pass för att dom skall gå att läsa i USA troligen kommer att möta NISTs standard. Specifikt lagras den biometriska informationen enligt ett format kallat CBEFF - Common Biometric Exchange Formats Framework.

Jag vet faktiskt inte om CBEFF är ett säkert format. Dock spelar det kanske inte så stor roll om man som tidigare berättats implementationen är under all kritik.

Wikipedia har som vanligt en finfin sida om fingerbaserad biometri. Även om man inte gillar biometri finns det i alla fall bilder på fingeravtryck tagna av sensorer att titta på.

Himmelska fridens torg – Googlecensur i bilder

February 6th, 2006

den här sidan finns vad som hävdas är en jämförelse mellan bildgoogling på tiananmen, dvs himmelska friden, på Google i USA resp i Kina.

Är det inte fejk, vilket det skulle kunna vara, är det nästan patetiskt mycket censur. På ena sidan stridsvagnar, protester och hemskheter. På andra sidan porträttbilder med glada människor, vackert vajjande röda fanor och små moln av ballonger.

Oavsett om det är en fejk eller inte är bilderna på den högra sidan otroliga, om man vet vad som hänt på torget. Tag en titt och döm själv.

Standard för säker arkivering av data

February 5th, 2006

En artikel på IDG berättar om ett pågående arbete att ta fram en öppen standard för skydd av arkiverat. De problem man försöker lösa är två relativt motsatta problem.

Den ena typen av problem exemplifieras av de fall där dataarkiv – CD-skivor och band där viktig information har lagrats kommit på villovägar, tappats bort, slängts av misstag eller på andra sätt hamnat i orätta händer. Detta problem har bland annat drabbat säkerhetsmyndigheter i USA, och är inte bara pinsamt och kostsamt, utan kan innebära reella hot mot enskilda individer.

En annan typ av problem är de fall där data arkiverats med utrustning, utrustning som för att skydda informationen på olika sätt krypterar den vid lagring. När sedan företaget som levererar eller driftar utrustningen går i putten blir det plötsligt svårt att få ut det lagrade datat.

Inom IEEE finns en arbetsgrupp kallad SISWG (Security in Storage Workgroup) som driver ett projekt kallat P1619 där man arbetar med Security for Storage Data at Rest. Målsättningen för P1619 finns beskrivet i en presentation gjord av Fabio Maino på Cisco Systems:

  • Säkerhet för data i vila (lagrad)

  • Standard som ebjuder konfidentialitet samt ett visst mått av integritetsskydd

  • Ingen expansion av datastorlek

  • Tålig mot copy-paste-attacker

  • Parallelliserbar för att nå hög prestanda i lagringshårdvara (SAN)

  • Standardformat för nyckelbackup som gör det möjligt att dekryptera data skyddat med alla tillverkares utrustning

Det krypto som avses att användas är AES, men diskussioner pågår om vilken kryptomod som skall användas. Det finns i P1619 tre huvudkandidater:

  1. EME-32-AES (Encrypt-Mix-Encrypt). Skyddar data uppdelat i 512 Byte stora block. Patenterad av Univ. of California.

  2. LRW-AES. Skyddar data i 16 Byte stora block.

  3. ABL4 (Arbitrary Block Length). Stödjer variabel storlek på block. Föreslaget som IP-fritt alternativ till EME-32-AES.

När jag sökte information om P1619 och ABL4 sprang jag på en mycket intressant avhandling om skydd av lagrat data. Dokumentet New Methods in Hard Disk Encryption rekommenderas för den som vill veta mer om problemställning, metoder och implementationer.

En standard på det här området behövs säkerligten. Det skall bli intressant att följa hur utvecklingen går, och hur lång tid det tar för leverantörerna att börja anpassa sina produkter till standarden när den är klar. Samt, naturligtvis om det blir en öppen standard som ej innehåller en massa otrevliga patenteterade metoder och algoritmer. Den som lever får se.

Läckage av biometrisk information från Holländska pass

February 4th, 2006

I en artikel från The register berättas det att säkerheten i dom nya pass med biometrisk information som införts i Holland innehåller säkerhetsbrister, brister som leder till läckage av den biometriska informationen.

En attack, som tar ungefär två timmar kan utföras mot passen på ett avstånd på tio meter. Den information som går att få ut är födelsedatum, ansiktsform och fingeravtryck.

Attacken går till så att kommunikationen mellan passet och en läsare fångas uppm vilket tydligen kan ske på ett avstånd på upp till tio meter. Sedan används en vanlig PC för att utföra en brute-force-attack mot den hemliga kryptonyckel som används för att skydda informationen lagrad på det inbyggda minnet i passet. Nyckel visar sig nämligen inte vara slumpmässig, utan består av:

  • Datum då passet slutar går ut.

  • Födelsedatum

  • Passets nummer, ett nummer som visar sig vara ett sekventiellt nummer direkt kopplat till när passet gavs ut.

  • Checksumma av den övriga informationen

Den effektiva nyckellängden visar sig bli 35 bitar, vilket en PC med lämpligt program kan gå igenom på cirka två timmar. Attacken inklusive en demo finns beskriven i två presentationer av Bart Jacobs och Ronny Wichers. Beskrivning av attacken, Demo av attacken.

Vad kan vi lära oss av detta? Jo några saker:

  1. Trådlös kommunikation kan nå mycket längre än man kan tro.

  2. Det spelar ingen roll om algoritmerna man valt är br om implementationen brister

  3. Nycklar skall aldrig, aldrig, aldrig byggas upp med delar av informationen den är till för att skydda.

Den stora frågan är hur Holland skall bära sig åt för att rätta till problemet. Återkalla passen och byta ut systemet är inte enkelt, men är kanske det som krävs om man tar sina medborgares säkerhet på allvar. Artikeln från The Register berättar att man från Holländska myndigheternas sida pratar om att förbättra systemet. Låter inte jättebra.

STARTTLS och Bodströms förslag

February 4th, 2006

I den utökade standarden för mailtransport Simple Mail Transport Protocol (SMTP) finns ett kommando som heter STARTTLS.

STARTTLS innebär att all kommunikation som behövs för att utbyta mail skyddas med säkerhetsstandarden TLS, vilket inkluderar såväl autenticiering och kryptering.

STARTTLS skickas före andra kommandon som identitet och lösenordsinformation kommer all information som datalagringsdirektivet säger skall samlas in av operatörer att vara krypterad. Och frågan jag ställer mig är därför hur operatörerna skall agera när dom får att hantera mailtrafik som är krypterad? Skall dom samla in den krypterade trafiken och lämna över den, eller skall dom notera att trafiken är krypterad och sedan, när bylingen kommer och vill få ut informationen, säga att det inte går?

Över huvud taget krockar säkerhetsmekanismer som STARTTLS, vilka tas fram och används för att skydda elektronisk kommunikation från olika typer brottslig verksamhet (ex spam, intrång, ID-stöld, kapning av sessioner), med många av de förslag Bodström driver på. Rent krasst måste Bodström för att lyckas med sina metoder att stoppa brottslighet se till att tekniska mekanismer för att stoppa brottslig verksamhet inte används. Najs.

STARTTLS används ännu inte speciellt mycket, men allt mer ju mer tiden går. Direktivet kan faktiskt driva på användningen, så vida implementationen av direktivet inkluderar ett förbud mot STARTTLS och liknande mekanismer. Det vore extremt dumt. Särskilt som dom som inte bryr sig om säkerhetsmekanismer är förbjudna eller ej, utan använder dom ändå, är just dom man vill stoppa.