Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
June » 2006 » Kryptoblog

Archive for June, 2006

Kryptostatus 2006

June 19th, 2006

För några veckor sedan deltog jag på en svensk säkerhetskonferens. På konferensen presenterade jag bland annat en statusrapport för kryptografi för 2005 och till mitten av 2006 – naturligt nog kallad Cipher Status 2006 (länk till sida med presentationen).

Den presentation som länken går till är något utökad jämfört med när jag höll presentationen. För utom lite småfixar är presentationen kompletterad med en ordentlig referenslista. Vidare har jag utökat presentationen med mer information om tunnelattack-metoden mot envägsfunktioner.

Budskapet i presentationen kan sammanfattas med att min bedömning av status på kryptofronten just nu är:

  • AES som algoritm är fortsatt stark. Dock har det dykt upp ett stort antal sidoattacker mot implementationer av AES. Det pågår ett veritabelt ställningskrig mellan de som försöker göra AES-implementationer säkra för sidoattacker och de som försöker attackera implementationerna.

  • Blockkryptot KASUMI har problem och det visar sig innebära problem för UMTS. Mycket illa, speciellt som attacken sannolikt kommer att förbättras i närtid.

  • RC4 och andra strömkrypton har fortsatt dåliga tider. Försök till att förbättra RC4 - exempelvis RC4A, verkar ha misslyckats. Även MUGI har attackerats. Flera av dessa attacker är dock en del i arbetet med eSTREAM som förhoppningsvis leder fram till nya strömkrypton.

  • eSTREAM rullar på och vi har nu nått andra omgången med en liten lista med huvudkandidater.

  • Status för envägsfunktionerna har tyvärr inte förbättrats, utan snarare försämrats. En ny typ av attack – tunnelattacken har visat på potentiella möjligheter att drastiskt skära ned sökområdet för att hitta en kollision. För md5 innebär det att det nu går att hitta kollisioner på 30 sekunder med en vanlig PC. Det är i dag osäkert om SHA-1, SHA-2 och andra envägsfunktioner är känsliga för tunnelattacker. Jag räknar med att vi kommer att få se information om detta publicerade under 2006-2007.

  • NIST är seriöst oroade för säkerheten hos SHA-1 och uppmanar användare att byta till SHA-2 så fort det går. NIST har även under året publicerat nya MAC-funktioner baserade på SHA-2, organiserat seminarier för att diskutera framtida envägsfunktioner m.m. Jag räknar med att vi kommer att få se minst ett försök att köra en AES-tävling för att få fram nya envägsfunktioner med start under 2006. En av dessa är troligen organiserad av NIST.

Jag hoppas och tror att presentationen går att begripa även utan mitt bild-pladder. Är det något som verkar tveksamt, märkligt, fel eller spännande så hör av dig!

Spam – lika irriterande i SMS-form

June 19th, 2006

Den sista veckan har jag drabbats av SMS-spam. Jag har helt enkelt börjat få SMS från nummer jag inte känner igen med meddelanden av typen Miss you!, Get back to me! och diverse andra meddelanden som uppmanar till kontakt.

Ett eller två meddelanden hade varit ok, men det har gått från ingenting till ungefär ett om dagen. Egentligen inget stort problem kan man tycka om det inte var för några saker som oroar och irriterar:

  1. Trenden pekar uppåt och en mobiltelefon är inte alls byggd för att hantera i närheten lika mycket medddelanden som exempelvis en PCs förmåga att hantera mail. Det behöver inte komma speciellt många tiotals meddelanden per dag för att den normala SMS-funktionen skulle bli utslagen och jag fick ägna en massa tid att radera spam-meddelanden för att ha plats att ta emot normala meddelanden.

  2. Virus. Det finns virus för min mobiltelefon. Att jag får en massa SMS från nummer jag ej känner till gör att jag bedömer att risken för att få virus ökar – jag vet inte vem som skickar SMS, vilka avsikter dom har och om dom inte har virus eller ej. För mail är spam ett vanligt sätt att försöka sprida virus och trojaner – jag ser inte att SMS-spam skulle vara mindre attraktivt som spridningsbärare av mobilvirus.

  3. Skyddet. Jag har inget SMS-filter, och vet i ärlighetens namn inte hur jag får tag på ett till min mobil, utan får lita på att operatören kan filtrera. Vidare saknar jag virus-filter och är osäker på om det ens finns till min gamla ång-mobil.

SMS-spam är i och för sig ingen fantastisk nyhet, men det verkar som om det ökar. Är det någon som har mer information och erfarenhet av SMS-spam och filter för dessa så hör gärna av er.

Jag ser SMS-spam som ännu ett tecken på trenden att inbyggda system och icke-traditionella datorsystem (typiskt inbyggda system i olika former) i allt högre grad utsätts för attacker.

Mer om säkerheten i UMTS

June 11th, 2006

På Nokia Research Center finns en duktig kryptolog vid namn Kaisa Nyberg. Hon har bland annat varit med och skrivit boken UMTS Security. Jag har även hittat en bra artikel av Kaisa som ger en bra introduktion till säkerheten i UMTS.

Artikeln Cryptographic Algorithms for UMTS går igenom inte bara de algoritmer som används utan mycket mer än så. Artikeln beskriver nämligen flera saker jag tycker är mycket intressanta och viktiga att titta på:

  1. En beskrivning av syftet med skyddet. Vad är det som skyddet avser att skydda och vad man inte avser att skydda sig emot. I fallet UMTS är det viktiga att autenticiera användaren, säkra konfidentialiteten i radiotrafiken samt skydda användarna.

  2. En analys av tidigare system och de brister som där finns. I fallet UMTS är det GSM man tittar på.

  3. En beskrivning av hur man gått tillväga för att komma fram till hur man skall uppnå sina säkerhetsmål.

Är du intresserad av att få reda på hur säkerheten i UMTS fungerar och hur man resonerade när man tog fram säkerhetsmekanismerna. Dock bör man läsa artikeln men en liten nypa salt då den är skriven i förvissningen om att KASUMI är helt säkert krypto – ett antagande som nu är visat att det inte stämmer.

Reaktioner på DDoS attackerna

June 11th, 2006

Myndighets-Sverige har börjat reagera på de DDoS-attacker som riktades mot Polisen och Regeringens webbplatser i samband med tillslaget mot The Pirate Bay.

Krisberedskapsmyndigheten (KBS) i samarbete med Försvarets radioanstalt (FRA) ordnade i fredags en informationsträff om DDoS-attackerna och hur man skall agera för att skydda sig mot denna typ av attacker. Jag var tyvärr inte på fredagens träff, men Joel Brandell på IDG har skrivit en artikel om träffen.

Enligt artikeln efterlyste KBS och FRA en ny myndighet (eller iaf en enhet) som skall få ansvar för att övervaka, samordna och respondera på attacker. Tyvärr verkar det finnas olika uppfattningar om vad som finns och vem som sysslar med vad i Sverige.

Infrastrukturminister Ulrika Messing hänvisar i sitt svar på KBS och FRAs förslag till Sveriges IT-incident Centrum (SITIC). Detta avfärdas dock av KBS generaldirektör med att SITIC inte har något operativt ansvar. Att döma av det uttalande som SITIC nu har gjort håller inte SITIC med om det.

SITIC har publicerat ett uttalande som berör DDoS-attackerna och deras roll. I den står det att SITIC har uppdrag att syssla med kontinuerlig övervakning (monitorering) bland annat just för att detektera förändrade trafikmönster av typen riktade överbelastningar. SITIC har även publicerat ett dokument som förklarar vad en DDoS-attack är och kommer med råd om hur man skall göra sig mindre sårbar för denna typ av attack. Väl värd att läsa igenom.

Jag vet inte vilka myndigheter i Sverige som har vilka uppdrag, men min spontana känsla är att lösningen på problemet med DDoS-attacker inte är att skapa ännu en myndighet. Dels verkar det med PTS/SITIC, Statskontoret, KBS, FRA, FOI, FMV redan finnas tillräckligt med statliga myndigheter, verk och organisationer som sysslar med IT-säkerhet för att problemet inte är att ingen bryr sig, utan snarare att samordning saknar.

Ett annat skäl till varför jag tycker att KBS och FRA är fel ute är att problemet inte löses genom en punktlösning, utan skall vi bli mindre sårbara mot DDoS-attacker måste alla myndigheter bli bättre på IT-säkerhet. Speciellt med tanke på konceptet med 24-timmarsmyndigheten där alla myndigheter elekrtroniskt skall bli tillgängliga behöver säkerheten in i den lösning som används av respektive myndighet. Detta innebär som jag ser det:

  1. Krav på myndigheterna att ta med tolerans mot DDoS-attacker vid framtagning av systemlösning och upphandling av IT-system. Detta borde gissar jag vara Statskontorets uppgift att kräva av myndigheterna. Kanske med stöd av KBS, FRA och regeringen i sina direktiv.

  2. Samordnad övervakning. Sensorer och övervakad IDS modell SurfNets IDS hos samtliga myndigheter. Detta verkar vara det som SITIC sysslar med.

  3. Samordning av erfarenheter och respons av myndigheter. Även här verkar SITIC vara dom som äger frågan och redan arbetar aktivt med problemet.

Vi får se vad som händer, det skall bla bli spännande att se om KBS svarar på SITICs uttalande.

Förslag i USA: Märk upp alla immigranter med RFID-taggar

June 4th, 2006

Jösses, nu är detta bara ett förslag från ett företag som lever på att sälja RFID-utrustning, men väldigt skrämmande ändå.

Styrelseordföranden för VeriChip har med ett humanistiskt och trevligt förslag hoppat in i den i USA pågående debatten om immigration, illegala invandrare, flyktingar och allmänt 11:e September-tjafs.

Scott Silvermans förslag är att alla immigranter, gästarbetare och besökare till USA skall förses med en RFID-tag som stoppas in under huden. Japp, elektronisk övervakning injekterad i kroppen på alla som kommer till USA.

VeriChips RFID-taggar, som är byggda för att stoppas in under huden används i dag normalt på djur, men om alla som vill in i USA skall förses med en tag skulle VeriChips omsättning öka rejält – och det är ju bra.

Låter inte detta som Mark of the beast, jag som trodde att det var EAN-koderna som vad djävulens symbol. Men vad är en taturering eller en streckkod mot RFID-hightech under huden.

Polisen utsatt för DDoS-attack

June 4th, 2006

The Pirate Bay-soppan rullar vidare. Det media bryr sig mest om är om justitieminister Bodström utövat ministerstyre eller ej genom att tala om för polisen att genomföra rassian. Därmed har det blivit inrikespolitik av det hela.

Nu har Bodströms inblandning väldigt lite med IT-säkerhet att göra, så det överlåter jag till andra att blogga och diskutera om. Det jag tycker är mycket mer intressant (och det som är kopplat till IT-säkerhet) är att någon eller några personer utfört en DDoS-attack mot polisen.

En Distributed Denial of Service-attack (DDoS), eller överbelastningsattack  som den utmärkta Svenska termen är, slår ut offrets webbserver (eller annan Internetresurs – exempelvis mailtjänst) genom att ett stort antal maskiner synkroniserat försöker kommunicera med servern.

DDoS-attacker är tyvärr ganskan vanliga. Det som krävs är en samling kapade datorer (ett så kallat botnet) och någon villig att ge dom rätt kommando. Tyvärr verkar tröskeln att ta klivet och attackera någon inte vara så hög, så DDoS-attacker utförs för att någon blivit förolämpad, någon fått stryk i ett nätspel, någon har blivit utkastad från IRC osv. Ofta är det unga personer som utan att tänka sig för släpper loss DDoS-attacker. Aftonbladet säger sig veta vem som attackerat polisen – en 17-åring (om det nu är han, vilket inte är bevisat.) Enligt ett par artiklar hotar TPB-anhängare att hämnas genom DDoS-attacker även mot andra myndigheter – vilket visar hur mogna dom är. (Personerna bakom TPB är säkert jätteglada att bli ihopkopplade med avsiktliga störningar av samhällstjänster.)
Att DDoS används mot myndigheters webbplatser är dock inte så vanligt. Den här händelsen är än så länge ett undantag, men den visar på hur sårbara samhällsfunktioner (och andra viktiga funktioner) kan bli när de kopplas upp på Internet. En DDoS-attack när det är dags att lämna in sin e-deklaration skulle troligen ställa till med rejäl oreda.

Att skydda sig mot DDoS-attacker är inte enkelt, har attacken väl börjat kan webbservern ofta detektera att det kommer en störtflod av trafik och kan försöka ignorera den, men att samtidigt inte ignorera vanlig trafik är svårt. Ofta krävs redundans på serversidan samt förmåga att snabbt koppla om trafik till andra maskiner samt blockering av den elaka trafiken – detta kräver att operatören snabbt kan reagera hjälpa till. Det bästa vore dock att stoppa problemet vid källan – genom att:

  1. Se till att få bort problemet med kapade datorer. Detta kräver bättre grundsäkerhet i persondatorer. Windows Vista ser på pappret ut att kunna bidra, tyvärr lär det dröja innan alla hemanvändare i exempelvis Sydkorea (där många av världens kapade datorer finns) uppgraderat till Vista.

  2. Operatörer börjar aktivt övervaka trafikmönster och kontakta kunder som ser ut att ha maskiner som är kapade, och även blockera utgående botnet-trafik. Holländska operatören SurfNet har utvecklat ett system för att övervaka sina kunders nät kallat SURFnet IDS. Detta system bland annat detektera förekomsten av kapade datorer. Något för alla som är operatör av brendbandsnät, ISP:er etc att titta närmare på.

Samhällets IT-tjänster måste bli mer robusta mot attacker som DDoS-attacker. Kanske kan rassian mot TPB leda till att teknik för att skydda sig mot olika typer av utslagningar utvecklas. TPB är uppe igen, den här gången genom att manuellt flyttas till en annan server.

Men jag skulle tro att vi snart kommer att se webbservrar som egentligen består av Freenets (eller Darknets). Access till servern ges genom ett stort antal ingångar (IP-adresser). Internt routas trafiken omkring i lager av krypterad trafik fram till en av ett stort antal servrar. Klienten vet inte vilken server dess förfrågan hanteras av, och om en server försvinner finns det andra som automagiskt tar över. Jättepraktiskt om man inte vill bli utslagen för att polisen i ett land snor maskinerna, men även praktiskt för att bygga robusta IT-tjänster för allmännyttan.

Det pinsamma med DDoS-attacken mot polisen är att den effektivt hindrade de personer som blev drabbade av polisens rassia mot TPB genom att polisen beslagtog allt som fanns i närheten och som hade en elektrisk sladd (bland annat ett par högtalare enligt rykten på Internet ;-). Dessa sidooffer skulle nämligen via polisens webbplats höra av sig och berätta vad dom saknade. Bra jobbat.

Rejält bråk om rassian mot The Pirate Bay

June 1st, 2006

Som väntat har det stormat rejält om den rassia som genomfördes mot The Pirate Bay i går. IDG har kört ett antal artiklar, och deras artikelforum svämmar över av kommentarer.

Några intressanta saker har framkommit i bruset av alla högljudda röster. I en intervju med forskaren Daniel Westman tar han upp det oklara rättsläget som gäller.

Personerna bakom The Pirate Bay kan troligen åtalas för medhjälp till upphovsrättsbrott. Men åklagaren måste visa att personerna varit inblandade i varje specifikt fall – inte medhjälp till brott i största allmänhet. Vidare är det möjlgt att det undantag för anvsvar som gäller för operatörer kan anses gälla för The Pirate Bay. Skulle åtalet läggas ner, eller om det blir en friande dom riskerar det här åtalet att öppna upp för verksamhet som The Pirate Bay snarare än att stoppa den.

Bilden av att rättsläget är oklart har stärkts under dagen då det visat sig att polisen var tveksam till att genomföra rassian, men att det kommit påtryckningar från USA. Detta skulle kunna förklara att polisen tog med sig ett stort antal maskiner som inte hörde till The Pirate Bay.

Tyvärr verkar hela historien hanteras väldigt taffligt och oorganiserat. Nu hörs egentligen bara ena sidan, men att döma av rapporteringen så här långt är det minst sagt mycket märkliga ageranden där man beslagtar högtalare, vägrar låta personer tala med försvarare, plocka DNA-prov, be folk att ringa in och beskriva sina maskiner osv.

Som vanligt kommer hela historien troligen att se helt annorlunda ut när stormen har lagt sig, men att detta inte kommer att få återverkningar på rättsläget är svårt att tro.

Slutligen har The Pirate Bay redan startat upp igen om en inte med torrent-tracking, nu från en helt annan plats. Och www.antipiratbyran.se är inte Antipiratbyråns webbplats. Fel av mig, sorry.