Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
December » 2006 » Kryptoblog

Archive for December, 2006

23e Caos Communication Congress

December 14th, 2006

Om du är sugen på att bryta av från julskinkan med spännande presentationer om IT-säkerhet kanske ett besök på 23e upplagan av Caos Communication Congress är något för dig. Kongressen går av stapeln den 27-30 december i Berlin.

Några av de presentationer jag är nyfiken på är A not som smart card och Unlocking Filevault om diskkrypteringen i MacOS X.

Säkerhetsproblem i drivrutinen till Intels Ethernetkort

December 9th, 2006

Intel har skickat ut information om att det finns ett säkerhetsproblem i drivrutinen för deras Ethernetkort. Det är en felaktig hantering av en buffert som gör det möjligt att lokalt (dvs på maskinen där kortet sitter) skriva över bufferten och få förhöjda rättigheter (vanlig användare blir root/administratör). Felet finns i drivrutinerna till följande Ethernetkort och OS:

























































Product Family OS Affected Driver Versions Corrected Driver Versions
Intel® PRO 10/100 Adapters Windows* 2000 and later 8.0.27.0 or previous 8.0.43.0 or later
Intel® PRO/1000 Adapters Windows 2000 and later 8.7.1.0 or previous 8.7.9.0 or later
Intel® PRO/1000 PCIe Adapters Windows 2000 and later 9.1.30.0 or previous 9.6.31.0 or later
Intel PRO 10/100 Adapters Linux* 3.5.14 or previous 3.5.17 or later
Intel PRO/1000 Adapters Linux 7.2.7 or previous 7.3.15 or later
Intel® PRO/10GbE Adapters Linux 1.0.109 or previous 1.0.119 or later
Intel PRO 10/100 Adapters UnixWare/SCO6 4.0.3 or previous 4.0.4 or later
Intel PRO/1000 Adapters UnixWare/SCO6 9.0.15 or previous 9.2.6 or later


Efter att ha testat ett otal märkliga Ethernetkort (bland annat baserade på extremt dåliga Ethernetkretsar från Realtek) har jag tagit för vana att använda Ethernetkort från Intel när jag bygger nya maskiner. Dom fungerar (normalt sett) klockrent, har bra prestanda och är en fröjd att arbeta med. Men även solen har tydligen fläckar.

Detta säkerhetsproblem är ett intressant exempel på en typ av säkerhetsproblem jag tror att vi kommer att få se mer av: Attacker mot inbyggda system – och då speciellt inbyggda system som lever i en miljö med normala (PC/administrativa) system. Ja, en drivrutin är, eller anser jag, bör iaf betraktas som, kod för ett inbyggt system.

Drivrutiner utvecklas ofta av folk som skriver kod för inbyggda system, inte nätverksapplikationer eller slutanvändarapplikationer, och min erfarenhet efter drygt tio år inom elektronikutveckling är att kod för inbyggda system utvecklas i allt väsentligt utan speciellt mycket insikt om eller hänsyn till säkerhet. Fokus är istället på effektivitet – prestanda, kodstorlek, dataminneskrav, pris.

I takt med att normala delar av ett datorsystem – applikationer, bibliotek, överliggande delar av OS:et blir allt säkrare och svårare att attackera, kommer fokus för de som letar efter problem som går att utnyttja att glida över mot drivrutinerna – det är där de enkla felen fortfarande finns kvar. Det är därför hög tid att de verktyg och metoder som används för att skriva säkrare applikationer även börjar införas vid utveckling av drivrutiner och kod för andra typer av inbyggda system. Det räcker inte med att koden är effektiv längre den skall vara säker också. Fort men fel är inte rätt.

Green Hills presenterar plattform för säker kommunikation

December 9th, 2006

Enligt en artikel på EE Times har OS-leverantören Green Hills arrangerat ett seminare om operativsystem och nätverkssäkerhet. Att döma av artikeln var utgångspunkten för seminariet att säker kommunikation kräver att änpunkterna är säkra. Som en konsekvens av denna utgångspunkt presenterade Green Hills en ny plattform – ett OS med stödfunktioner och programmiljö som sägs vara mycket, mycket säkrare än vad som tidigare funnits på marknaden. (Notera att vi talar om inbyggda system eller applikationsanpassade system, inte Windowsbaserade system.)

Green Hills nya plattform består av en specialanpassad version av deras realtids-OS (RTOS) Integrity späckad med en nya funktioner för att skydda integriteten i OS:et, samt en ny, som dom påpekar, USA-utvecklad nätverksstack. Mer specifikt har den nya plattformen bland annat följande funktioner:

The Green Hills Platform for Secure Networking includes a royalty-free license for the following technologies:

  • INTEGRITY separation kernel

    • Advanced file system

    • Wear leveling flash support

    • Unix-like hierarchical file system (FFS)

    • RAM Disk

    • DOS/FAT12/16/32

    • ISO9660

    • NFS Client


  • GHNet dual mode IPv4/IPv6 networking stack

    • ARP, IP, UDP, TCP, ICMP, AutoIP, SLIP, DNS Client, DHCP Relay Agent, BootP Client, TFTP Client/Server, Telnet Server, FTP Client/Server, IP Multicast (IGMP), NAT Router, PPP, PPPoE, RIP Listener and MLD


  • IPSec

  • IKE

  • Secure Web Server including SSL/TLS Client and Server

  • Secure Shell Client and Server (SSH)

  • Radius Client

  • SNMP v1/2c/3

Optional products for this platform include:

  • Partitioning Journaling File System (PJFS)

  • WPA/WPA2 with Extensible Authentication Protocol (EAP) and Cisco compatible extensions


I artikeln berättas det även att Green Hills försöker få plattformen certifierad för EAL6, en extremt hög klassificering. Arbetar du med att utveckla inbyggda system för försvarstillämpningar eller andra applikationer där absolut högsta säkerhet krävs kan det vara intressant att titta närmare på Green Hills nya plattform.

Men även för oss andra är detta intressant då iaf delar av tekniken förhoppningsvis sprider sig ned till andra, enklare versioner av Green Hills RTOS. Samt, naturligtvis, att konkurrenter – kommersiella, öppna och fria RTOS får inspiration att arbeta hårdare med säkerheten. För även om EE Times kanske inte var helt opartisk har den rätt på en punkt – det finns ett klart ökat behov säkerhet i inbyggda system.

Brandvägg för RFID

December 9th, 2006

(Den här nyheten kom på min favoritwebbplats BoingBoing.) RFID införs på allt fler platser i vår vardag, inte minst i våra nya pass. Tyvärr verkar RFID-förespråkarna ta väldigt lätt (alternativt ignorera, eller vara omedvetna om) de säkerhetsproblem som finns med RFID. Därför är det skönt att se att det finns idéer om hur man kan förbättra säkerheten för RFID, när tekniken trots allt införs.

Artikeln A Platform for RFID Security and Privacy Administration beskriver en maskin som agerar som brandvägg för RFID-enheter du bär med dig:

Maskinen fungerar att den normalt sett stör ut/blockerar de RFID-taggar du bär med dig. Samtidigt agerar maskinen gentemot omvärlden som om den vore de taggar du bär med dig. När du kommer fram till en läsare du anser godkänd att kommunicera med en av dina riktiga RFID-taggar slutar enheten att störa ut den taggen, och normal RFID-kommunkation med just den taggen sker.

Det som oftast dyker upp som förslag på hur man bör skydda sig mot ID-stöld från RFID-taggar är att antingen linda in taggen (och det den sitter på/i) i metallfolie, alternativt steka den i mikrovågsugnen en stund. Men dessa lösningar är opraktiska, väldigt drastiska och funkar inte med de legitima system som de facto byggs upp med RFID som bas. Jag tycker att den här lösningen känns mycket mer intelligent och är du intresserad av personlig integritet och RFID rekommenderas artikeln starkt.

Otrevligt säkerhetshål i GnuPG

December 8th, 2006

Tavis Ormandy har hittat en bugg i GnuPG som öppnar för ett icke-lokalt säkerhetsproblem. Kör du GnuPG bör du definitivt läsa igenom beskrivningen av problemet och uppgradera till en säker version.

(Hilfe! Kan ni som läser detta komma med förslag på bra Svensk översättning av “remote exploit” skulle jag uppskatta det.)

NIST släpper guide till loghantering

December 5th, 2006

NIST har publicerat en guide till hur du på bästa vis samlar in och hanterar loginformation i ditt system. Rapporten Guide to Computer Security Log Management tar bland annat upp:

  • Hur loggar skall genereras

  • Hur loggar skall överföras till en logserver

  • Hur loggar skall lagras och slutligen förstöras

  • Hur loggar skall analyseras

I takt med att systemen blir allt mer komplexa, och när antalet incidenter och riktade attacker ökar blir det allt viktigare att det finns spårbarhet i ditt system. Inte bara för att snabbt kunna åtgärda problem, men även för att vid en ev juridisk process kunna visa upp trovärdiga bevis. Arbetar du som CIO, IT-säkerhetschef eller sysadministratör bör du definitivt läsa igenom NISTs rapport.

För den som är intresserad finns det även några verktyg och standardiseringsarbeten värda att titta närmare på. Det finns en grupp inom IETF - Security Issues in Network Event Logging (syslog) som arbetar med att ta fram standarder för säker loggning. Rsyslog är en förbättrad syslogdemon med bland annat bättre säkerhet.

Hur slumpmässig är din RNG?

December 5th, 2006

CAcert.org har startat ett projekt som försöker samla in och jämföra olika slumptalsgeneratorer (RNG). Vem som helst kan skicka in genererad data samt information om pris, prestanda etc om sin generator.

Nu är det svårt att kontrollera att inskickade bidrag är vad som utger sig för att vara, att insamling av data har skett på rätt sätt. Tar man siffrorna på resultatsidan för sanna så finns det iaf en del intressanta resultat. Bland annat ser Atmels krets och RNG-funktionen i VIAs C5-processor ut att fungera bra.

Chipworks spännande blog om säkerhet i integrerade kretsar

December 5th, 2006

Alla som någon gång arbetat med att bygga applikationsspecifika integrerade kretsar (ASIC:ar) vet att det är ett omständligt och tidskrävande (läs: dyrt) arbete som kräver extrem noggrannhet för att undvika fel i konstruktionen genom alla utvecklingssteg. Ett skäl till att det krävs sådan noggrannhet är att det är så svårt, för att inte säga omöjligt att plocka isär, analysera och rätta ett fel i en redan tillverkad krets. Arbetet sker därför genom förfining, transformation och analys av modeller snarare än den fysiska verkligheten.

Men det finns faktiskt ett fåtal företag som har kapacitet att plocka isär en integrerad krets. De stora tillverkarna med egna fabriker har utrustning och kompetens att göra det. Intel, IBM och TSMC är några företag som gör detta internt. Men för företag som inte har egna kretsfabriker är möjligheterna små – speciellt om man är intresserad av att analysera någon annans krets. Ett företag som har kapacitet och kompetens att på uppdrag att plocka isär en integrerad krets och göra analys av konstruktionen är Chipworks.

Nu har Chipworks startat en blog där dom publicerar intressant information som kommit fram i deras arbete. Är du intresserad av att se hur en ASIC ser ut på insidan, läsa om skillnader i processteknologi och vem som antagligen lånat idéer och teknik från vem är detta en blog väl värd att kolla in. Så här ser exempelvis Xilinx nya FPGA Virtex-5 (som tillverkas av UMC) ut i genomskärning:

En annan intressant analys från Chipworks är att accelerometrarna (rörelsedetektorerna) i handkontrollen till Nintendos nya konsoll Wii är MEMS-baserade och ser ut så här under mikroskopet:

SATO International etablerar sig i Göteborg

December 4th, 2006

Enligt en nyhetsblänkare från Business Region Göteborg (BRG) har SATO International, en av världens största leverantör av RFID och etikettskrivare etablerat sig i Göteborg. Affärsutvecklingschefen för satsningen, Anders Åkesson förklarar satsningen så här:

Etableringen ger fortsatt möjlighet för Göteborg att positionera sig som ett centrum inom automatisk datafångst för produkter och mjukvara baserade på steckkods- och/eller RFID-teknik i Skandinavien

Att det blev Göteborg (med omnejd) är, iaf om det handlar om etiketter och automatisk märkning, inte så svårt att förstå. I Göteborg vimlar det av mer eller mindre stora företag som med lite olika inriktning sysslar med etikettskrivare, märkutrustning, RFID etc. Som utomstående verkar det nästan som om dom i rask takt försökar sig genom delning… Några av dom mer kända är Imaje och Matthews Swedot, men dit finns många fler.

IT-standardiseringsutredningen skall titta på informationssäkerhet

December 1st, 2006

Näringsdepartementet meddelade i torsdags att utöka den pågående utredning om IT-standardisering. Det utökade direktivet inkluderar bland annat att utreda användning av öppen kod samt ett ökat fokus på informationssäkerhet:

Regeringen utökar nu det arbetet och lägger särskild vikt vid IT standardisering då det gäller att utveckla en sammanhållen elektronisk förvaltningsutveckling, och vid statliga myndigheters elektroniska upphandling. Utredningen ska också analysera möjligheterna att öka användningen av öppen källkod i statliga myndigheter. I utredningen ges också informationssäkerhetsfrågor en ytterligare framträdande roll.

Utredningen skall vara klar 20 juni 2007.

Jag tycker det är bra att IT-säkerhet kommer med i den här typen av utredningar. Vidare är det positivt att se att man utreder användning av öppen kod. Det jag dock skulle vilja få reda på är om utredningen tittar på ökad användning av öppna dokumentformat, exempelvis OASIS Open Document Format. Det är bra att myndigheterna inte målar in sig i ett hörn vad gäller programvaror, men än viktigare är att dokument är i ett format som gör det möjligt att arbeta med dokumenten även om verktygen och leverantören försvinner.