Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
August » 2006 » Kryptoblog

Archive for August, 2006

Blandade biometrinyheter

August 8th, 2006

Det verkar faktiskt (till slut) finnas en marknad för biometriprodukter. Satsningarna på biometriska pass i Europa är naturligtvis ett skäl till detta. Detta gör att det börjat dyka upp en hel del nya produkter.

M2SYS Technology har tagit fram Bio-Plugin, en serverlösning för massiv verifiering av fingeravtryck. Upp till 30 000 matchningar av fingeravtryck mot templatedatabasen per sekund skall den nya maskinen klara av. Som gjort för flygplatser, myndigheter och andra högvolymanvändare. Jag har dock inte hittat några resultat vad gäller kvaliteten på verifiering (identifiering), det kan gå fort men fel.

Svenska Precise Biometrics har släppt ett nytt system för Match-on-Card, dvs stöd för att implementera komplett verifiering baserad på biometri i ett smart card (typ det som Göteborgs stolthet Fingerprint Cards namnmässigt har haft som målsättning). Precise lösning levereras som programbibliotek. Kodstorleken för C-biblioteket är ca 1 kByte och varje data för ett fingeravtryck (kallas template) är på 500 Bytes. Vitsen med Match-on-card är att verifiering utförs direkt i den (som man antar) säkra programmiljön som finns i kortet.

Ett annat företag som likt Precise Biometrics och Fingeprint Cards försöker leverera färdiga byggblock (både HW och SW) för integration i system är Franska ID3 Semiconductor. Dom har tagit fram en modul, BioModule, baserad på Atmels svepsensorer FingerChip:

Sensorn kompletteras på modulen med en processor med specialanpassat stöd för bildbehandling, lagring av templates och kryptering. Stor är den inte, modulen:

Modulen arbetar med templates på 256 Bytes. Modulen stödjer sessionsbaserad autenticiering och kryptering av kommunikation med modulen. Krypteringen som används är gamla, hederliga 3DES.

Skrivare är också datorer

August 8th, 2006

Black Hat-konferensen pågår just nu i USA, och flera intressanta saker presenteras där. En sådan sak är att moderna skrivare kan vara nog så stora säkerhetsproblem, problem som normalt sett ignoreras i en organisation.

Brendan O´Connor beskrev i en presentation hur han genom att utnyttja en känd säkerhetsbugg i Linux kunde ta över en skrivare från Xerox. När detta hade skett kunde han använda skrivaren både för att undersöka resten av det lokala nätverket, men även för att sedan attackera andra maskiner, skicka meddelanden och på olika sätt ställa till med trassel. Vidare gick det utmärkt att manipulera inkommande utskriftsjobb så att det som kom ut på papper skilde sig från det som skickades från klientmaskinerna. Exempelvis lade Brendan in en bild av ett gem i hörnet på alla utskrifter.

Vad Brendan pekar på är att en skrivare i dag är en dator, väsentligen en nätansluten server i lika hög grad som andra servrar som tillhandahåller tjänster. Och dessa datorer innehåller applikationskod och operativsystem (exempelvis Linux, Windows Embedded) som liksom vanliga servrar behöver underhållas, övervakas och uppgraderas.

Tyvärr glöms detta bort – alla kan ju se skillnad på en skrivare och en dator, typ. Jag tror även att detta är en bild som leverantörerna av skrivare, kopiatorer osv (exempelvis HP, Xerox och Lexmark) gärna underblåser – dom vill inte att kunderna skall betrakta deras maskiner som komplexa system med potentiella säkerhetsproblem. Följden blir att kunderna hålls oinformerade och utan regelbundna patchar och stöd för underhåll av det inbyggda systemet.

Jag ser även detta som ett tecken på trenden att koppla upp inbyggda system till nätverk utan att de säkerhetsmässiga konsekvenserna analyseras. Det finns stora vinster att göra, men samtidigt öppnas systemet upp för attacker, attacker som inbyggda system generellty sätt inte är byggda för att möta.

En sista observation att göra är hur vi (antagligen) litar på att kommunikation inte modifieras på vägen. Trycker jag på Print-knappen så förväntar jag mig att få ut en pappersversion av det jag ser på skärmen, och får jag inte det är det troligen en olycka, inte avsiktligt. I Brendans fall ledde detta till att skrivaren plockades isär i jakten på det förlupna gemet.

CTRL [SPACE] – övervakning av det offentliga rummet

August 8th, 2006

Det har kommit ut en bok, CTRL [SPACE] som på olika sätt diskuterar och behandlar övervakningen av det offentliga rummet och hur det påverkar enskilda individer. Verkar vara en mycket bra bok som i en tid med snabbt ökande antal kameror på vägar och torg känns högst relevant att läsa.

Google inför varningar om farliga webbplatser

August 7th, 2006

Enligt en artikel på BBC skall Google börja införa ett varningssystem som signalerar om länkar i sökresultat leder till webbplatser som visats sig innehålla farlig kod, exempelvis trojaner, spyware, virus osv.

Jag tycker att detta är ett bra initiativ av Google. Att dom har möjlighet att detektera webbplatser med farlig kod när dom söker igenom webbrymden är ganska uppenbart. Att dom sedan gör den informationen tillgänglig visar att dom tar ansvar för sina kunder. I takt med att sökmotorer som Google blir en allt viktigare ingång till olika webbplatser är detta ett utmärkt sätt hjälpa användarna att undvika bekymmer.

EU-förslag: Insamling av biometrisk information från barn

August 2nd, 2006

Enligt en rapport från Statewatch vill EU införa krav på insamling av biometrisk information från barn. Informationen skall finnas tillgänglig i barnens pass. Grunden för rapporten är dokumentet EU doc no: 9403/1/06. Det är ett intressant i flera avseenden intressant dokument.

En sak som kommer fram i EU-rapporten är hur svårt det är att samla in biometrisk information från barn utan att den snabbt blir gammal, så kallad template aging.

Rapporten beskriver kort en undersökning från Holland. Enl undersökningen ändrar sig både fingeravtryck och ansiktsform för ett barn på sex år så mycket under några få år att den väsentligen är oanvändbar utan mycket avancerade system. Speciellt ansiktsform ändrar sig radikalt. Min tolkning är avancerade system innebär att man även behöver ha mycket stora marginaler vid matchning (av ansikte eller fingeravtryck mot den lagrade informationen), vilket gör att antalet felfall blir stort, eller om man så vill leder till onödiga larm och strul som kostar tid och pengar.
De rekommendationer, eller om man så vill krav som EU vill införa är att följande skall gälla:

  • Insamling av biometrisk information FÅR ett medlemsland göra på barn upp till tolv år.

  • Insamling av biometrisk information SKALL ske på barn över tolv år.

Enligt Statewatch är det inte planerat att låta parlamentet rösta om detta förslag, utan skall drivas igenom via en comitology, vad det nu innebär. Stämmer det är det ännu ett tråkigt exempel på hur integritetsfrågor och säkerhetsmetoder drivs igenom utan vettig diskussion. Det är ju knappast så att föräldrar inte kommer att märka att deras barn måste börja lämna biometrisk information, så behovet av hemlighusandet är för mig inte helt uppenbart.

Allt annat

August 2nd, 2006

Blogga är kul och det finns många spännande saker att skriva om. För att inte skräpa ner Kryptoblog med saker som inte har med krypto och IT-säkerhet har jag startat en blog om allt annat.

Nej, jag kommer inte att sluta med Kryptoblog, tvärt om! Nästa vecka är semestern slut och då är det full fart igen. Hösten är fylld av intressanta händelser inom krypto och IT-säkerhet med konferenser, mässor m.m. Dessutom börjar det dra ihop sig till val och jag avser att bevaka och blogga om valsystem, IT-politik och annat som dyker upp med koppling till IT-säkerhet, IT-brott och integritet.

IT och IT-säkerhet är inte speciellt politiserat, men bara de DoS-attacker som förekommit i samband med razzian mot ISP:n där The Pirate Bay visar att politik kan få återverkningar i IT-världen och även att våra demokratiska system (och samhällsfunktioner) i dag är mer sårbara är någonsin för icke-fysiska problem och attacker.

Fas två av eSTREAM officiellt startad

August 1st, 2006

I dag startade officiellt fas två av kryptotävlingen eSTREAM. En nyhet är att de algoritmer som tagits ut som fokus för fas två (dvs huvudkandidaterna för fortsatt analys) kommer att utvärderas var sjätte månad.