Archive for April, 2007

Dags att säkra Sveriges Internetresurser

April 29th, 2007

Patrik Wallström har bloggat om att Krisberedskapsmyndighetens webbplats klappade ihop av den trafik som genererades under veckans samordningsövning. Det är iofs bra att övningar visar på att det finns brister, men att webbplatsen inte ens pallade för den trafik som de inblandade parterna genererade är riktigt illa.

Att detta inte är ett inhemskt problem visar bland annat de attacker mot Estländska myndigheters webbplatser som just nu pågår. Och det viktiga är att det inte bara handlar om överbelastningsattacker, utan webbplatser kidnappas, webblatser ersätts av falska webbplatser och annat elände.

Detta är ett allvarligt problem. Just nu går en reklamsnutt på radion om att man kan deklarera på nätet samt tanka ner information och blanketter från Skatteverket. Men vad skulle hända om Skatteverkets webbplats de närmaste dagarna antingen blev utslagen, eller om någon hackade webbplatsen och bytte ut sidan om avdrag under inkomst av tjänst? Skulle kunna skapa mycket oreda.

Skall vi kunna lita på information och tjänster från myndigheter som levereras elektroniskt över Internet behöver dom byggas på ett mycket mer robust sätt. Men elektroniskt distribuerad samhällsinformation behöver kompletteras med vettiga autenticieringsmekanismer. Kurt Erik Lundqvist från Netnod höll en bra presentation om detta på förra årets version av Internetdagarna. Tyvärr verkar det som samordningen mellan myndigheterna jag inbillar mig krävs för att åstadkomma dett saknas. Kanske har Gunnar Wetterberg rätt.

KTH-rapport om SPF

April 29th, 2007

KTH-forskaren Stefan Görling har fått en rapport om Sender Policy Framework (SPF) publicerad i Internet Research. Stefans rapport An Overview of the Sender Policy Framework (SPF) as an anti-phising mechanism innehåller en relativt detaljerad genomgång av SPF. Rapporten går bland annat igenom bakgrunden till SPF och tar även upp alternativa tekniker till SPF, exempelvis S/MIME och OpenPGP. Rapporten presenterar även resultatet av den undersökning Stefan genomfört som visar hur stor spridning SPF har i dag. Stefan skriver:

The analysis showed that the adoption ratio is extremely low. Among the 385,862 domains, only
1.63% (6,286) of all domains have a published SPF policy. Counting only domains having active
mail settings (330,163 domains with MX records), SPF usage ratio is 1.9%

Out of the identified SPF records, 54.5% (3,430) of them contained only the minimal catch-all rule
(“v=spf1 ?all”) specifying that domain has no policy. This policy is basically useless. (12.3%) 775
domains contained the softfail catch-all rule (“~all”), a state between valid and failed where
unidentified sender is unlikely to be authorized, but that we are not sure enough to drop the
message. A state which may be useful when testing a new policy.


Trots denna låga användningen anser Stefan att IS/IT-ansvariga bör överväga att implementera SPF:
However, as long as they recognize the limits and properties of this standard, the creation of a SPF-
policy is desirable. Each new published policy helps the standard to become more widely used and
raises security at least for some users. SPF is available, it is ubiquitous and it is easy to adopt. There
already exist several major anti-spam software vendors with implemented support for this standard
in their products. Simply by publishing a SPF policy, the impact of phishing attempts in your name
will decrease.

Jag vet inte riktigt vad jag skall tycka om SPF. Det är ett enkelt steg att komplettera sin DNS-post med ett vettigt SPF-fält. Frågan är dock hur många som behöver göra det för att det skall bli användbart och ge något. Och frågan är dessutom om det inte krävs DNSSEC för att göra SPF pålitligt som autenticieringsmekansim. Vad tror du?

NISTs rapport om RFID-säkerhet publicerad

April 29th, 2007

Enligt en artikel på EE Times har NIST nu publicerat den slutgiltiga versionen av sin rapport om RFID jag tidigare bloggat om. NIST rapport tar upp ett stort antal säkerhetsaspekter kopplade till RFID. Enligt NISTs huvudförfattare till rapporten, Tom Karygiannis, är syftet med rapporten:

The goal of our report is to give organizations practical ways in a structured format with checklists and specific recommendations to address potential RFID security risks.

Rapporten på 100+ sidor är väl värd att titta igenom för att alla som arbetar med RFID.

Säkerhetstest av webbapplikationer

April 28th, 2007

På Oreillys utmärkta ONLamp finns många bra artiklar. En artikel som måhända inte är purfärsk, men väl värd att läsa är en artikel om hur du automagiskt säkerhetstestar dina webbapplikationer. Artikeln tar avstamp i att dagens webbplatser, ex en webbshop oavsett om den bygger på ASP, .Net eller LAMP är ett komplext system med flera servrar och lager av kod. Att manuellt sitta och leta efter problem blir då ohållbart. Vad som krävs är istället någon form av automatik som gör det möjligt att regelbundet undersöka sitt system. Systemet som artikeln utgår från ser ut så här:

Utifrån detta skapas ett attackmodell med olika typer av attacker mot systemet:

Attackerna kodas sedan upp i ett ramverk som sedan driver ett testsystem byggt i Python som testar systemet och utvärderar responsen från systemet. Ett slags black-box-testning helt enkelt.

Det jag saknar från artikeln är ett påpekande om att detta försfarande inte bara är applicerbart på befintliga webbplatser, utan naturligtvis borde användas både vid system- och applikationsutvecklingen under utvecklingsfasen samt under systemets fortsatta livslängd. (Jag gillar regressionstester). Notera dock att detta sätt att testa tar inte bort behovet av mer formella granskningar av systemets säkerhet, utan är ett komplement.

Arbetar du med utveckling och/eller drift av webbapplikationer och inte redan gör den här typen av tester kommer du troligen att hitta en del matnyttigt i den här artikeln.

Sverige får lag mot överbelastningsattacker

April 27th, 2007

I går klubbade riksdagen igenom ett förslag att kriminalisera överbelasningsattacker. Att sänka en webbplats och därmed göra den oåtkomlig för användarna kommer att klassas som ett dataintrång. Lagen är i första hand ett sätt att harmonisera lagstiftningen om skydd av informationssystem inom EU. Men flera webbplatser och tjänster på nätet i Sverige har drabbats av DDoS-attacker de senaste åren, bland annat mot IRC-servrar och inte minst mot Polisens webbplats efter tillslaget mot The Pirate Bay. Dessa händelser har säkert varit med i diskussionerna när lagförslaget arbetades fram. Lagförslaget slår nu fast:

straffansvar för den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en uppgift som är avsedd för automatiserad behandling. Det straffbara förfarandet tar alltså sikte på åtgärder som verkar på ett sådant sätt att de stör eller hindrar att sådana uppgifter kan användas på avsett sätt. Som exempel på sådana åtgärder kan nämnas tillgänglighetsattacker eller överbelastningsattacker.”

Beslutet att godkänna Justitieutskottets betänkande 2006/07:Ju13 var inte det minsta kontroversiellt – ingen talare var anmäld inför beslutet. Lagen träder i kraft 2007-06-01. Straffet för en attack skall vara böter eller fängelse i upp till två år.

Ännu en phisingattack mot en bank

April 26th, 2007

Den här phisingattacken dök up på Flickr:

Ok, antagligen ett skämt – jag tyckte iaf att det var väldigt roligt. Dock visar en postningBruce Schneiers blog att det inte behövs speciellt mycket mer än ett papper för att luras. Ett tips i postningen beskriver hur man tar sig in på Oscarsgalan:
Show up at the theater, dressed as a chef carrying a live lobster, looking really concerned.
Det värsta är dock inte att det med social ingenjörskonst (mao: att lura folk) går att få tag på inloggning till banker eller se på en massa filmstjärnor som festar. Nej det värsta är att dom som borde veta bättre gör det svårt för användarna att veta vad som är ett försök att luras och vad som är seriöst och riktigt. Följande lilla text är från ett mail på banken Chase Manhattan till sina kunder:
From: "Chase Business Banking"
Reply-to: <a class="moz-txt-link-abbreviated" href="mailto:ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com">ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com</a>
To: <a class="moz-txt-link-abbreviated" href="mailto:XXXXX@XXXXXXXX.XXX">XXXXX@XXXXXXXX.XXX</a>

Subject: Chase Business Customers, we need your help!
Date: Tue, 24 Apr 2007 XX:XX:XX -XXXX
We're working to better serve your business needs!
================================================
Dear Business Customer,  We're updating our records and need your help to
ensure we have thecmost up-to-date information about your business.
This is an important step in ensuring that we can continue to provide you
with timely and accurate information about your accounts.
Go here to answer a couple of questions about your business profile:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX</a>

It will take you less than 60 seconds, and then you're done!
And remember, the more we know your business, the better we
can serve your ever-changing needs.
Thanks for choosing Chase.
Sincerely,  Janet M. Hawkins
Chief Marketing Officer Business Banking
-----------------------------------------------------------------
E-mail Security Information
If you would like to learn more about e-mail security or want to
report a suspicious e-mail, click here:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX</a>
Note: If you are concerned about clicking links in this e-mail,
the Chase Online services mentioned above can be accessed
by typing <a class="moz-txt-link-abbreviated" href="http://www.chase.com/">www.chase.com</a> directly into your browser.
-----------------------------------------------------------------
(Gillar speciellt slutet om E-mail-säkerhet) Och sedan uppmanar bankerna sina kunder att se upp för phisingförsök via epost? Det är inte lätt att vara kund.

Seminarie om juridikens roll i IT/informationssäkerhet

April 25th, 2007

På Linköpings universitet arrangerar Linköpings Universitet, Dataföreningen Östra Kretsen, SIG Security och Nätverket SIRNET ett seminarie om juridikens roll inom IT och Informationssäkerhet. Seminariet som går av stapeln 2007-05-10 kommer enligt inbjudan att ta upp:

IT/informationssäkerhet får en allt större betydelse i takt med att dagens samhälle blir alltmer beroende av datorer och informationssystem. Vi sätter allt mer tilltro, och högre förväntningar, på tjänster som erbjuds via Internet. Samtidigt ser vi genom massmedia hur näringslivet och offentliga organisationer kan drabbas av riktade angrepp, och den enskilde användaren utsättas för intrång i datorns programvara.

Den 10 maj belyser vi juridiken i förhållande till IT och informationssäkerhet. Vilken betydelse har juridiken i IT/informationssäkerhetsarbetet? Vilket stöd ger juridiken när det gäller att säkra samhällssystemen? Hur bidrar e-identifiering till säkrare medborgartjänster? Vad är samspelet mellan offentlighet och säkerhet? Seminariet avslutas med en paneldiskussion där alla närvarande ges möjlighet att diskutera kring dessa frågor.


Mer om seminariet, hur du anmäler dig och hur du hittar dit finns att läsa i inbjudan.

Nordea byter säkerhetslösning för sin Internetbank

April 25th, 2007

I dag kom beskeded jag väntat länge på – Nordea skall byta säkerhetslösning för sin Internetbank. Trots att Nordea en längre tid hävdat att deras nuvarande säkerhetlösning är lika säker som andra bankers, och att det är deras storlek som gör dom till den bank som drabbas av attack efter attack skall man nu alltså införa ett nytt system. Äntligen.

Det nya systemet skall enligt artikeln på IDG baseras på MasterCards Chip Authentication Protocol, vilket innebär att kunderna kommer att få en dosa. En tänkbar dosa är VASCOs DigiPass:

När en banktransaktion skall utföras stoppar kunden in sitt kort i dosan, och dosan (tillsammans med kortet) genererar en kod som sedan används för att autenticiera transaktioner på Internetbanken. Snyggt och smidigt. Visst, det finns säkerhetsbrister även med detta system, men oavsett vad Nordea tidigare hävdat är detta helt klart ett stort steg framåt. Bra jobbat Nordea och grattis Nordeas kunder.

Enda smolken i bägaren är att det nya systemet dröjer till i höst. Tills dess säger dock Nordea att den gamla lösningen är säker, bara kunderna har uppdaterade antivirus-program(!)

Fas tre av eSTREAM inledd

April 11th, 2007

I början av april avslutades officiellt fas två av eSTREAM och fas tre inleddes. Under fas två var arbetet med att hitta nya strömkrypton i första hand inriktade på de fokuskandidater som under 2006 hade identifierats bland de dryga 30 kandidater som skickats in till projektet.  Jag bloggade om detta i mars förra året och listade då fokuskandidaterna:

För profil ett (SW) är fokuskandidaterna:

  • Dragon-128

  • HC-256

  • LEX

  • Phelix

  • Py

  • Salsa20

  • Sosemanuk

För profil två (HW) är fokuskandidaterna:

  • Grain

  • Mickey-128

  • Phelix

  • Trivium  


Jag hade förväntat mig att man till fas tre skulle skära bort ytterligare några kandidater för att få fram finalister till att bli godkända eSTREAM-standarder. Men det som istället har inträffat är att konceptet med fokuskandidater has slopats, och att det nu är fler algoritmer som är med till nästa omgång. För de olika profilerna ser det ut så här:
Profil ett (sw)

  • CryptMT

  • Dragon

  • HC

  • LEX

  • NLS

  • rabbit

  • Salsa20

  • SOSEMANUK 

Profil två (hw)

  • DECIM

  • Edon80

  • F-FCSR

  • Grain

  • Moustique

  • Pomaranch

  • Trivium


Motiveringen till att inte ha fokuskandidater, vilka kandidater som gått vidare respektive inte gått vidare finns beskrivet i den rapport om fas två som tagits fram. En överraskning som även diskuterats på eSTREAMs forum är att algoritmkandidaten Phelix av Bruce Schneier & Co ej gått vidare efter att ha varit. fokuskandidat under fas två.  Motivieringen för detta beslut är dels att algoritmen i förhållande till AES inte ger vare sig mycket bättre prestanda och inte är tillräckligt resurssnål. Vidare finns det diskussioner om säkerheten hos Phelix, mer specifikt om kravet på att inte initialvektorn (IV) inte får återanvändas är ett rimligt krav. I rapporten skriver man:

Furthermore, we believe that the attack does constitute a genuine threat against real life systems using Phelix. It does seem plausible that an attacker would be able to mount an attack against such a system, re-using nonces, and that recovering the key would be a serious outcome. Attackers are not usually bound by usage rules.


Tittar man på fas tre-kandidaterna i övrigt kan man se att:

  • De mer experimentella algoritmkandidaterna som baseras på helt nya koncept eller försök att hitta minimal komplexitet klarar sig bra. Både Moustique och Trivium är med.

  • Ingen av de algoritmer som var med i fas två i båda profilerna är längre med i båda profiler. Salsa20 är nu bara med för profil ett. Detta beror tror jag på att man har ett krav på att hw-implementationerna skall vara för små, resursbegränsade implementationer (läs: RFID, smartcards). Jag hade gärna sett att man i större grad tagit hänsyn till de artiklar som publicerats som visar på skalbarheten hos implementationerna.

  • Svenskalgoritmen Grain av Johansson & Co klarar sig bra. Den andra algoritmen med Svensk anknytning, Polar Bear har nu fått lufsa hem. 

Tidplanen nu är att fas tre skall pågå fram till nästa SASC-konferens där beslut om vilka kandidater som går till final fattas. Om drygt ett år finns det förhoppningsvis nya, snabba och blänkande strömkrypton att börja använda. Visst är det spännande?!