Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
October » 2006 » Kryptoblog

Archive for October, 2006

Gamla (o)hederliga Fraudkamp-avdelningen är tillbaka

October 20th, 2006

Så var det dags igen – Nordeas kunder har än en gång varit måltavla för ett phisingförsök. Detta borde bli tredje eller fjärde gången bara på ett drygt år.

I artikeln hos IDG låter det som om phisingförsöket väsentligen varit en upprepning som inte lett till något. Aftonbladet blåser å andra sidan upp historien ordentligt och citerar Bo Ehlin på Nordea som säger att ca 100 kunder den här gången blivit av med pengar till ett totalt värde av två till fya miljoner kronor. (IDG kallar Ehlin för Bo, och Aftonbladet för Boo.)

Det mail som skickats ut ser ut att vara identiskt med tidigare försök. En högst ovetenskaplig undersökning i min närhet visade dock att det verkligen var främst Nordeakunder som hade fått det här utskicket. Andra personer som fått tidigare brev hade inte fått det. Om det beror på färre antal mail, eller om attacken varit bättre riktad mot Nordeakunder vågar jag dock inte ens gissa.

Även denna gång tar Nordea upp det faktum att dom har väldigt många kunder (2.3 miljoner). Dock gör dom inte samma explicita slutsats den här gången att det är därför dom är utsatta för attacker, vilket dom gjort tidigare. Jag tycker att det nu börjar bli uppenbart att det är bara Nordea som utsätts för attacker, och att det nog snarare beror på att man valt en säkerhetslösning som gör det enkelt att attackera.

Den stora frågan jag ställer mig är när den totala kostnaden för att ersätta kunder, spåra och återställa felaktiga transaktioner samt hantera PR-situationen överstiger kostnaden för att byta till ett säkert (läs: mycket säkrare) system för sina Internettjänster. Att Nordea räknar på det hoppas och tror jag. Gör dom inte det är dom närmast brottsligt inkompetenta.

Men fram tills dess att Nordea byter system kommer vi att få se fler mail från Nordeas Fraudkampavdelning, och är du Nordeakund kom då bara i håg en sak: Skicka det mailet i papperskorgen.

Spot – Ett litet minne med stora möjligheter (och risker?)

October 11th, 2006

HP har precis presenterat en helt ny teknologi kallad Spot. Spot är ett minneschip utrustat med en antenn och styrlogik direkt på den 2×4 mm stora kretsytan:

Det man direkt funderar på är vad som skiljer Spot från RFID. Enligt HP är det flera saker som skiljer:

  • Antennen är integrerad direkt på kretsytan.

  • Spot kommunicerar på 2.45 GHz, till skillnad från RFID som kommunicerar på 13.56 MHz. Den högre frekvensen innebär bland annat möjligheter till högre banbredd (dvs kommunikationshastighet).

  • Läsavståndet är ca 1 mm, till skillnad från upp till 30 cm för passiva RFID-taggar.

  • Kretsen lagrar minst 512 kByte, upp till flera MByte. RFID-kretsar lagrar ett fåtal kByte.

HP tänker sig flera olika applikationer för Spot, exempelvis ljudfiler integrerade i foton, patientbrickor med journalinformation och många andra smarta lösningar.

För att detta skall fungera måste Spot-kretsarna vara billiga. HP säger att dom räknar med att 1 USD/krets är fullt möjlig, ett pris jag tror är för högt. (RFID-taggar är redan i dag mycket lägre än så.)

Det vi alla naturligtvis funderar på är hur säkert Spot är? Tyvärr berättar inte HP så mycket om hur datat skyddas, både på kretsen och vid aväsning. Det korta avståndet för HP dock fram som en egenskap som gör Spot säker. Tyvärr visar RFID att även passiv avläsning kan nå mycket längre än man skulle kunna tro.

FOI: Varning för USB-minnen

October 11th, 2006

FOI, Försvarets totalförsvarsinstitut har gått ut med en pressrelease för att varna för säkerhetsrisker med USB-minnen.

Det FOI varnar för är USB-minnen som följer U3-standarden. Denna standard innebär att när en U3-kompatibel nyckel kopplas in i datorn startas automatiskt ett program från USB-nyckeln. Detta gör det möjligt att bara genom att koppla in ett USB-minne lägga in data i datorn, köra program på datorn eller kopiera data ifrån datorn. Görs startprogrammet på rätt sätt sker det hela utan att något syns, eller att några spår lämnas kvar i datorn.

U3-standarden stöd i dag av Windows 2000 med SP4 samt Windows XP och Vista. Andra operativsystem stödjer så vitt jag vet ej standarden.

Ett program som liknar det FOI varnar för är HackSaw. HackSaw gör det möjligt att bara genom att koppla in en USB-nyckel med USB-HackSaw infektera en Windowsdator med en trojan och få den att skicka iväg dokument och information.

Jag tycker att det är bra att FOI går ut med den här varningen. USB-minnen är praktiska, men man behöver vara medveten om att dom ger stora möjligheter att flytta mängder med känslig information, infektera datorer och ställa till med problem på ett sätt som är svårt att kontrollera. Disketter hade en gång liknande probklem, men USB-minnen rymmer mycket mer och har funktioner, exempelvis de som U3 specificerar, som gör USB-minnen potentiellt mycket farligare.

Schwarzenegger gillar RFID

October 11th, 2006

Guvenör Arnold Schwarzenegger gillar RFID, mer exakt gillar han inte att införa begränsningar och krav på hur RFID används. I sin roll som guvenör har han stoppat ett lagförslag som annars skulle infört krav på hur RFID används i Kalifornien.

Varför är nu detta intressant för oss i Sverige då? Jo, därför att Identity Information Protection Act of 2006, som lagförslaget kallas är ett i mitt tycke bra förslag som vi skulle behöva här också. EFF har skrivit en bra analys av av lagförslaget och några saker dom lyfter fram från förslaget är:

  • Krav på att skyddmetoder (exempelvis kryptering) för att stoppa icke-godkänd avläsning.

  • Krav på ömsesidig autenticiering.

  • Krav på information till användaren om att RFID-utrustad enhet kan sprida information.

Och mycket mer. Är du intresserad av IT och personlig integritet rekommenderar jag dig att titta på lagförslaget och EFFs analys.

(Uppdaterad med rättstavning av Linus.)

Ny version av VHDL, nu med skydd för IP-cores

October 9th, 2006

Standardiseringsorganet Accellera har precis släppt en uppdaterad version av standarden för det hårdvarubeskrivande språket VHDL.

VHDL 2006 3.0, som den nya versionen kallas innehåller flera nya intressanta funktioner. En av de viktigaste tycker jag är att VHDL nu får assertions, vilket starkt förbättrar möjligheten att verifiera sin konstruktion. (Jag har arbetat med assertions i SystemVerilog, och tycker att det är helt fantastiskt. Genom några få assertions kan man hitta problem som annars kunde vara helt hopplösa att hitta. Det som dock gör den nya versionen av VHDL intressant för Kryptoblog är att den nu även innehåller stöd för kryptering.

Krypteringsstödet är inte till för att förbättra säkerheten i applikationen som byggs med språket, utan är till för att skydda konstruktionen i sig från stöld. Det visar sig att det är samma mekanism som bland annat Cadence tidigare presenterat, och som bland annat finns för SystemVerilog. Dock låter det lite patchigt när man läser beskrivningen av mekanismen:

a mechanism for hiding pieces of the source code and encrypting it with different methods.” Tool suppliers can decrypt the code so it remains hidden from the IP user. The encryption is accomplished with pragmas that indicate the area of code that needs to be encrypted. Users can specify which encryption algorithm and key to use. A “viewpoints” feature lets users see signal values during simulation, but not how those values are derived.

Ganska luddigt, eller hur?

Uppenbarligen har behovet av krypterade IP-cores vuxit rätt snabbt. För tre år sedan var det ingen som över huvud taget pratade om detta. (Så vitt jag vet.) Orsaken till det växande behovet tror jag bottnar i två saker:

  1. Snabbt ökad användning av IP-cores vid konstruktion av System på Chip. Det har tagit längre tid än jag trodde, men nu är det en mogen marknad.

  2. Outsourcing av utveckling. Utvecklingsuppdrag köps in från en global marknad, samtidigt blir konstruktionen i sig allt mer den kritiska resursen. Utveckling skall kunna ske av en tredje part på andra sidan jorden, men konstruktionen får inte läcka ut.

Som artikeln på EE Times påpekar är kanske inte en ny VHDL-standard den största nyheten (språket är allt mer marginaliserat – även om man kanske inte tror det om man läser lite kurser i Sverige). Men för dom som framhärdar med VHDL är det ett bra steg framåt. Nu kan dom tydligen också få använda wildcards i sin känslighetslista, något som jag inte kunnat leva utan sedan 2001 (i Verilog).

ARM försöker skapa standard för mobil säkerhet

October 9th, 2006

Enligt en artikel på EE Times försöker processorföretaget ARM skapa en standard för säkerhet i mobila applikationer.

Syftet med standarden är att ta fram ett standardiserat programmeringsgränssnitt (API), vilket skulle underlätta både för applikationsutvecklare och leverantörer av byggblock (både programvarubibliotek och hårdvarukomponenter). Grunden för den föreslagna stanarden är ARMs egen teknologi TrustZone.

TrustZone är väsentligen en utökning av processorns funktionalitet genom komplettering av programmeringsmodellen med några egenskaper. Exempelvis finns exekveringsskydd motsvarande No eXecute-bit, övervakning av minnesaccesser och andra relativt enkla funktioner som dock ökar säkerheten utan att kosta en massa i form av effekt, komplexitet och prestanda. I grund och botten en bra teknologi. TrustZone har tidigare fått stöd bland annat av WindRiver som kompletterat sin Linuxplattform med utökningar för att stödja TrustZone.

Jag tycker att det är bra med standardisering av API:er, protokoll och algoritmer inom säkerhet – Det gör det lättare att utveckla, det blir lättare att anskaffa och att utvärdera säkerhetslösningar. Men, om det är så att man måste använda en ARM-processor för att kunna använda det nya API:et blir detta en lock-in-effekt. Något som ARM naturligtvis vill ha, men som gör att jag som utvecklare såväl som leverantörer av processorer och processorkärnor, exempelvis MIPS, AMCC, Motorola, TI, ADI och Intel/Marvell mindre intresserade. Därmed finns det risk (för ARM) att standarden inte blir speciellt mycket spridd, vilket i sin tur minskar mitt intresse för den.

Sedan påpekar artikeln mycket riktigt att det redan finns ett antal konkurrenter, inte minst från Open Mobile Alliance som arbetar med flera olika säkerhetsstandarder för att täcka in olika applikationer och säkerhetsbehov. Till detta skulle jag även vilja lägga ett ökat intresse av att direkt använda IPsec och SSL/TLS i inbyggda system. Gärna med hårdvarustöd för att accelerera prestandan.

Ett år med Kryptoblog

October 2nd, 2006

Hoppsan, jag insåg just att jag pillat med Kryptoblog i ett år, tiden går verkligen fort när man har roligt. Som traditionen bjuder tänkte jag passa på att titta tillbaka på Kryptoblogåret som gått och även titta lite framåt.

Den 11e September förra året skrev jag det första inlägget. Sedan dess har det blivit 167 stycken till – nästan ett inlägg varannan dag. Syftet med bloggen som jag formulerade i det första inlägget var:

  • Kryptografi och andra grundkomponenter som ligger till grund för IT-säkerhetverktyg.

  • IT-säkerhetshändelser, speciellt med kopplingar till sverige.

  • Politik som rör IT-säkerhet och personlig integritet på Internet.

Tittar man på statisiken över dom olika kategorierna kan man se att dom tre vanligaste kategorierna så här långt har varit:

  • IT och integritet

  • Krypto

  • Inbyggda system

Dvs ganska nära den målsättningen jag då satte upp. Men, uppenbarligen skriver jag även en hel del om hårdvara och inbyggda system – något som avspeglar att jag det senaste året både arbetet mycket med, och kommit till insikt om hur mycket intressanta (och problematiska) säkerhetsaspekter det finns runt inbyggda system.

Jag upplever det som att fler och fler läser Kryptoblog – iaf ökar antalet kommentarer såväl som antalet personer som hör av sig. Det är jättekul och sporrar mig att fortsätta. Tittar man på trafiken för webbplatsen så ser man även där en (tycker jag) klart trend:
Statistik för Kryptoblog

En annan rolig sak att titta på är topplistan för söksträngar på Kryptoblog:

Relakks just nu på topp. Mycket om phising verkar ni vara intresserade av. Den lokala västtrafik skimming är intressant. Nummer 12, Ariska brödraskapet är både en aning skrämmande och förvånande.

Hur ser då framtiden ut för Kryptblog? Jo, jag funderar på om det kanske inte är dags att skaffa en logga och kanske fixa till grafiken. I övrigt blir det nog inga stora förändringar. Det finns massor av spännande utveckling och händelser på kryptosidan, inom implementation av säkerhet, biometri etc, så jag tror att jag kommer att ha fullt upp ännu ett år. Skall man tro den här bloggen har jag varken tid, eller (mer krasst) ett intressant liv nog för att blogga om det. Så det blir Kryptoblog till 100% även fortsättningsvis.

Jag vill avsluta med att passa på att fråga er läsare vad du tycker att jag borde blogga mer om. Saknar du massor om certifikat, PKI, skimmingutrustningar, saker som är bättre än skype eller vad det nu kan vara så hör av dig. Stämmer det med Kryptobloggens fokus så kör vi på. Även logotypförslag och tips på utseendeförbättringar vore kanonkul att få ta del av.

Nu kör vi – ett år till!

NordSec 2006

October 1st, 2006

Konferensen NordSec 2006 går av stapeln 19-20 Oktober i Linköping. På konferensen kommer artiklar om en mängd olika IT-säkerhetsrelaterade saker att avhandlas – från effektiva multiplikationer till hur man ställer in system för intrångsdetektering. För mer information, anmälan m.m. se den officiella webbplatsen för konferensen.

Ny rapport om från Symantec

October 1st, 2006

Symantec har släppt sin tionde rapport om IT-säkerhetshot. Den här rapporten behandlar utvecklingen under första halvåret 2006. Rapporten redovisar en mängd statistik och fakta om olika typer av problem:

  • Symantec detekterade drygt 2000 ej tidigare observerade attacker, vilket representerar 18% av all elak kod som fastnade i Symantecs honungsfällor.

  • Antalet detekterade phisingförsök under perioden var 157000, en ökning med 81% från föregående period. Av dessa var 80% riktade mot olika typer av finansiella tjänster.

  • Andelen skräppost (spam) var 54%, en ökning från förra persioden då andelen skräppost var 50%.

  • Med 47% av alla attacker riktade mot sig var Microsofts webbläsare Internet Expolorer den webbläsare mest utsatt för attacker. Med en medeltid på nio dagar är Microsoft den leverantör som är långsammast med att fixa säkerhetsproblem i sin webbläsare.

  • Peking är den stad i världen där det finns flest datorer infekterade med botprogram, dvs dom går att fjärrstyra. Största andelen styrcentraler för botar finns i USA.

För att sammanfatta så ökar andelen spam, antalet attacker ökar och antalet försök att med phising komma över pengar ökar väsentligen explosionsartat.

När det gäller den snabbt ökande mängden nya svagheter bedömer Symantec att detta beror på en ökad användning av, och allt bättre fuzzerprogram som automatiserar jakten på svagheter.

Ingen ljusning i sikte alltså och med få glädjeämnen – Symantecs rapport är en allmänt mörk läsning. MEN det är en viktig rapport för den visar hur IT-säkerhetsläget ser ut och problemen försvinner inte för att vi blundar och tänker på något annat. Jag tycker att Symantec gör ett bra jobb som på detta vis kontinuerligt redovisar utvecklingen.

Krypto – En opera om Arne Beurling

October 1st, 2006

Nu på onsdag, 2006-10-04 kommer kammaroperan Krypto att spelas på Kungliga Vetenskapsakademin. Operan handlar om den svenska matematikern Arne Beurling och hans insatser för att knäcka krypton under andra världskriget. Så här presenterar Vetenskapsakademin operan:

Matematik kan vara dramatik! Under andra världskriget gjorde den stora svenska matematikern Arne Beurling avgörande insatser för det svenska försvaret genom att knäcka flera främmande makters kryptosystem. En av dessa incidenter skildras i den lättlyssnade kammaroperan “Krypto” som uruppfördes 2005.

Operan är skriven av matematikerna Kimmo Eriksson och Jonas Sjöstrand. Operan spelas i Beijersalen på Vetenskapsakademin och börjar 18:00.

(Finns det någon läsare av Kryptoblog som kommer att vara där hör gärna av dig!)