Archive for June, 2007

Tvättsvampar för bättre IT-säkerhet

June 21st, 2007

För ett tag sedan bloggade jag om att NIST fått in ett antal kommentarer till sitt tävlingsförlag för att hitta nya hashfunktioner. Jag har sedan dess läst igenom alla kommentarer. Flera av de som bidragit med kommentarer tar upp att det borde ställas krav på effektiva implementationer i hårdvara, i inbyggda system och vikten av att titta på sidoattacker.

Några få, bland annat IBM och MIT tar upp mer teoretiska aspekter som har att göra med hur säkerheten skall utvärderas. Bland annat för IBM (i ett typiskt IBM:skt extremt välarbetat, knastertorrt och omfattande bidrag) en diskussion om random oracles och universal hashing samt hur dessa modeller skall appliceras för att bedöma kandidaternas säkerhet.

Men den stora överraskningen står Joan Daemen & co för. I deras bidrag till NIST presenterar dom nämligen en helt ny teoretisk modell för hashfunktioner – tvättsvampsfunktionen(!) Ja, faktiskt, en tvättsvamp:

Det författarna tagit fasta på är tvättsvampens förmåga att absorbera en viss mängd A av en substans (ex vatten) och sedan, när svampen kramas ihop lämna ifrån sig en viss mängd B av den substans som tidigare absorberats.

Författarna går i sin rapport sedan vidare och ställer för sin modell upp ett antal villkor för förhållandet mellan den substans som absorberats i absorbptionsfasen och den som avlämnats i kompressionsfasen. Resultatet är en ny teoretisk modell för hashfunktioner som, hävdar författarna, gör det möjligt att kvantitativt utvärdera verkliga hashfunktioner, speciellt Merkele-Damgård-baserade funktioner, dvs en hashfunktion som till sin konstruktion ser ut så här:

För den som vill veta mer om tvättsvampsfunktionen finns det nu även en presentation om modellen av författarna som presenterades på ECRYPTS hash workshop. Jag är inte matematiskt kompetent nog att bedöma om modellen fungerar över huvud taget, eller om den är bra. Men så mycket vet jag att det är sällan som helt nya teoretiska modeller presenteras. Författarna talar även om referensimplementationer av svampfunktionen. Kanske ser en sådan ut som en Mengersvamp:

Snygg, men kanske inte så praktisk som hashfunktion… ;-)

Skimming i bilder

June 21st, 2007

En tjusig liten bildserie tagen från en övervakningskamera visar hur stöld av kontokort och PIN-kod kan gå till. En uttagsautomat riggas med en liten plastklämma som gör att maskinen varken kan läsa från kortet eller lämna tillbaka det:

När sedan en kund (offret) försöker använda automaten fastnar kortet och den vänliga samariten kommer till undsättning. Tipset är förvånande nog: Pröva att slå in din PIN-kod igen:

Och när kunden ger upp plockas plastflärpen loss och kortet används för att länsa kontot på pengar. Lite hobbysnickrande och social ingenjörskonst var det som krävdes. Tack och lov åker skurkar som dessa fast.

IT-kommissionen 2.0

June 21st, 2007

Det blev en ny IT-kommission, fast precis som Webben 2.0 är det same same but different och nu är det istället ett IT-råd med delvis nya namn. Näringsdepartementet beskriver syftet med IT-rådet på följande sätt:

Rådet skall vara ett forum för strategisk diskussion mellan regeringen och företrädare för olika samhällsområden och ge perspektiv på lokal, regional och nationell nivå, utifrån ett näringspolitiskt angreppssätt. Syftet med rådets arbete är bland annat att utbyta åsikter och dela erfarenheter, och att uppmärksamma och diskutera framtida utmaningar. Eftersom IT i stor utsträckning påverkas av den internationella utvecklingen ska detta perspektiv också uppmärksammas.

Personerna som ingår i rådet är:

  • Caroline Andersson, Manager och ansvarig för affärsområde Offentlig sektor, konsultfirman BearingPoint

  • Bo Dahlbom, Professor, Göteborgs universitet

  • Jonas Bergqvist, Verkställande direktör, LRF-konsult

  • Håkan Eriksson, Forskningschef, Ericsson

  • Helena Ervenius, Ansvarig för it-frågor, Regionförbundet Kalmar

  • Anne-Marie Fransson, Förbundsdirektör IT & Telekomföretagen inom Almega

  • Patrik Fältström, Senior Consulting Engineer, Cisco

  • Lars Hultkrantz, Professor i nationalekonomi, Örebro universitet

  • Kristina Höök, Professor i människa-maskin interaktion vid Data- och Systemvetenskapliga Institutionen, Stockholms Universitet

  • Maria Khorsand, Tillträdande vd och koncernchef, Sveriges Tekniska Forskningsinstitut

  • Eva Lindqvist, Styrelseordförande och ledningskonsult. F.d. Senior VP, Mobile Business, TeliaSonera

  • Nicklas Lundblad, Stabschef, Stockholms Handelskammare

  • Ingrid Udén Mogensen, Chief Information Officer, informationssäkerhetsansvarig, Electrolux

  • Ann-Marie Nilsson, Direktör Proment, f.d. vd IT-företagen

  • Jan Rosén, Professor i immaterialrätt, Stockholms Universitet

  • Pär Ström, Integritetsombudsman, tankesmedjan Den nya välfärden

  • Roger Wallis, Professor KTH, Dept of Media Technology & Graphic Arts

  • Shori Zand, Koncernchef, Storken barnmorskemottagningar


Rådets uppdrag löper fram till slutet på 2008. Den stora frågan är inte om rådet kan tillföra kompetens, utan att politiker och förvaltning tar till sig av rådets kompetens. Annars blir det mycket snack och lite verkstad.

Betänkande från IT-standardiseringsutredningen presenterat

June 21st, 2007

IT-standardiseringsutredningen presenterade i går sitt betänkande. I rapporten Den osynliga infrastrukturen – om förbättrad samordning av IT-standardisering tas inte bara saker som öppna dokumentformat och öppna, fria programvaror upp, utan utredningen tar även upp IT-säkerhet. IT säkerhet var från början inte med i utredningen, men lades till i höstas av regeringen.

Eftersom jag varit med och skrivit en rapport som förespråkar öppna dokument var betänkandets betoning av nyttan och behovet av öppna format glädjande läsning. Nästa steg är remissrundor så vill man påverka är det dags. Läs igenom rapporten, tänk, tyck och kontakta minister Åsa Torstensson och ansvariga på Näringsdepartementet, den nya IT-kommissionen och din representant i Riksdagen.

Ny säkerhetsstandard för hårddiskar

June 20th, 2007

EE Times berättar i en artikel om en ny säkerhetsstandard för hårddiskar. Standarden är framtagen av Trusted Computing Group (TCG, se även Wikipedias sida om TCG). Syftet med den nya standarden är att skapa säker och pålitlig (i ett informationssäkerhetsperspektiv) lagring. TCG säger själva att standarden både kan ses som ett komplement och/eller standarder som IEEE P1619.

Specifikationen är inte beroende av TCGs chip/moduler TPM, men kan naturligtvis kopplas till dessa. Mer information om standarden inklusive specifikationen finns på TCG:s sida.

Intel Advanced Management Technology – Rootkit fur alle!

June 19th, 2007

Intel har precis lanserat nya processorer och nya chipset för x86-plattformar. En nyhet som inte fått så stor uppmärksamhet är något Intel kallar Active Management Technology. AMT är ett teknik avsedd att göra det möjligt att övervaka, underhålla och kontrollera datorer på avstånd. AMT gör det exempelvis möjligt att:

  • Övervaka och kontrollera (filtrera) nätverkstrafik – innan/under OS:et

  • Skicka ut patchar till datorer – även om datorerna är avstängda(!)

  • Kontrollera, uppgradera, ändra, lägg till och ta bort programvara

  • Isolera och stäng av datorer som har blivit infekterade

  • Slå av och på matningen till en maskin

  • Vidarekoppla hårddisk-accesser till en nätverksplats

  • Vidarekoppla musen, tangentbord, skärm och andra periferienheter till en nätverksplats

AMT är baserad på funktioner i chipsetet som gör det möjligt att kommunicera med funktionalitet i chipsetet och även med processorn out-of-band, dvs i en sidokanal, antingen via LAN över seriell anslutning eller direkt över Ethernetinterfacet:

Det sitter alltså en microcontroller i MCU:n som alltid är igång (så länge nätsladden är inkopplad) och kan ta emot kommandon även om maskinen ser ut att vara avstängd. Microcontrollern är utrustad med en SW-miljö som implementerar ett stort antal servicefunktioner och ger även kunder möjlighet att lägga till egna funktioner:

Och en av de viktigaste delarna är alltså att det går att kommunicera med maskinen genom en separat TCP/IP-stack. Dvs även om det finns en brandvägg eller andra säkerhetsfunktioner applicerade för OS:ets TCP/IP-stack finns det en sidokanal in i systemet:

AMT ger alltså systemägare och administratörer helt nya möjligheter att övervaka och kontrollera en stort uppsättning PC-maskiner. AMT kommer även med ett XML (SOAP)-baserat system för att hantera AMT-klienter.
Men samtidigt reser sig håren på mina armar när jag börjar tänka på vad som skulle hända om AMT började användas för fel/dumma syften.

Hur lätt blir det att detektera- och skydda sig mot rootkit som smiter in via AMT. Rutkowskas Blue Pill ligger tankemässigt farligt nära. Det finns säkerhetsfunktioner i AMT för att se till att det inte sker. Det finns stöd för Kerberos och Active Directory-baserad autenticiering. Vidare stöder den inbyggda TCP/IP-stacken även TLS-skyddad kommunikation.

För den som vill veta mer om AMT finns det ett flertal sidor på Intels webbplats. Det finns även ett utvecklingskit (SDK) för AMT att ladda ner gratis från Intels webbplats.

Banksäkerhet och Finansinspektionen

June 18th, 2007

Det har varit mycket i nyheterna i dag om banksäkerhet och nätbaserade bedrägerier. Skälet till mediauppmärksamheten är att Finansinspektionen (FI) presenterat en kartläggning över IT-bedrägerierna. Av de som skrivit om kartläggningen hittar vi DN som fokuserar på ökningen av antalet bedrägerier, IDG (narurligtvis) som både skriver om att FI kräver anpassad lagstiftning. Mer exakt kräver FI enligt IDG att:

Därför vill FI nu se en lagstiftning som lägger större delen det ekonomiska ansvaret på bankerna. Myndigheten kommer också att arbeta för att Konsumentombudsmannen tar upp frågor om friskrivningsklausulerna till rättslig prövning.

– Vi föreslår att man borde reglera detta, eftersom det inte är reglerat i dag och bankerna har stora möjligheter att friskriva sig. Sedan gäller det att hitta en rimlig balans i en sådan reglering, säger Kennet Bergh, enhetschef för kredit och operativa risker på FI.
 


IDG publicerar även en artikel som visar vilka branscher som är måltavla för attacker:

 IDGs bild på brancher som är utsatta för IT-bedrägerier

Enligt artikeln är den vanligaste formen av IT-bedrägerier kopplade till Phising. Även Dagens Industri (DI) har fångat upp FI:s kartläggning och tar i sin artikel upp bankernas förhållande gentemot sina kunder när ett bedrägeri har utförts. DI citerar Kenneth Berg från FI:

Flera banker lägger i sina avtal stor bevisbörda på kunden och det är något som kan diskuteras. Policyn har hittills varit en annan än den bankerna skulle kunna använda sig av 

Aftonbladet till sist tar upp FIs kartläggning i två artiklar. Den första, kallad Hotet mot nätbankerna ökar tar upp ungefär samma saker som de andra artiklarna, även om det låter mer hemskt och skrämmande. Den andra artikeln vänder sig till konsumenten och innehåller FI:s lista med säkerhetstips för att undvika problem på nätet:

1 Uppdatera regelbundet virusskydd och brandvägg på din dator.
  
2 Installera inte okända program på din dator.
  
3 Öppna inte bilagor i mejl som du inte vet vad de innehåller.
  
4 Var försiktig om du använder en annan dator än din egen.
  
5 Logga alltid ut från internetbanken när du inte använder den.
  
6 Lämna inte ut dina bankuppgifter, personuppgifter eller liknande till okända hemsidor.
  
7 Kontrollera alltid webbadressen till hemsidan där du ska skriva in personlig information, lösenord och liknande.
  
8 Besök inte din internetbank genom att klicka på en länk i ett mejl. Skriv istället in adressen i fönstret på webbläsaren.
  
9 Se till att din internetleverantör är pålitlig. Deras skydd är ditt främsta försvar mot så kallad pharming, när man flyttas till en webbplats utan att veta om det.
  
10 Kontrollera ditt saldo och transaktioner med jämna mellanrum och se till att allt stämmer. Gör en anmälan till din bank om något verkar felaktigt.

Dessutom: Berätta inte för andra vilket ditt lösenord är. Använd inte personlig information i lösenord. Och använd inte samma lösenord till flera olika tjänster.  



Kul att se att FI:s rapport har fått ett så stort genomslag. Överlag tycker jag att rapporteringen i media har varit godkänd och saklig. Jag gissar att detta även kommer att uppmärksammas på TV-nyheterna i kväll – och snälla, snälla, snälla skippa Kraftwerkmusiken och närbilder på text som rullar på en monitor. Kan tidningarna skriva sakligt och relativt begripligt om IT-säkerhet utan att göra Sajber av det hela borde det gå att göra det på TV också.

(Fotnot: Nej, jag kollade inte vad Expressen har skrivit.) 

 

Floppyn är tillbaka – fast tvärt om

June 15th, 2007

Enligt en artikel på EE Times håller ett konsortium i Japan på att lansera ett nytt format kallat iVDR avsett för mobil datalagring, och det ser ut att bli en floppy:

 

Fast i dom här sitter spelaren i kasetten(!). Mer exakt innehåller kasetterna hårddiskar. Syftet med iVDR är att kunna erbjuda portabel och utbybar lagring av högre kapacitet och med större bandbredd än vad minneskort kan erbjuda. Användningsområdet för iVDR är olika typer av konsumentelektronik - från bärbara enheter, till fordon och vardagsrumsprylar. Den här bilden säger en hel del även om man inte kan Japanska:

 

Varför blogga om detta på Kryptoblog? Jo därför att iVDR (naturligtvis) inkluderar både säkerhetsfunktioner och funktioner för att skydda upphovsrättsligt skyddad media (DRM). Datat som lagras skyddas (naturligtvis) med AES-128. Jag hittar ingen information om kryptomod som används och om datat alltid är krypterat eller inte. Vidare finns ett PKI-system avsett för att autenticera enheter och kontrollera access till skyddat media. Så här är det tänkt att fungera (i stora drag):

 

Jag tror att det skall stå Plain contents, vilket tyder på att all data inte är krypterad. Kan användaren välja att skydda sitt media, eller är det bara upphovsrättsskyddat media som kan skyddas med media. Det är i alla fall svårt att just nu gissa huruvida iVDR är bra eller dåligt. Vi får vänta och se om standarden över huvud taget slår igenom och blir ett etablerat format. En observation jag dock tror att man kan göra är att det i dag inte går att presentera ett nytt lagringsformat utan att det finns med en säkerhetslösning.

Dokumentär om Echelon

June 14th, 2007

Sprang för ett par månader sedan på en dokumentär om avlyssningsnätverket Echelon, men har inte postat om den innan. Är du nyfiken på Echelon är det här värt att titta på. Någon som tänker på FRAs nya leksak och dagens beslut i riksdagen?

Micrsosofts datasyntes och integritet

June 14th, 2007

På en TED-konferens för ett tag sedan demonstrerade en forskare från Micrsoft Labs deras nya datasyntesverkyg Photosynth. Att Photosynth har fått mycket uppmärksamhet på Internet är en underdrift, men säkerligen högst välförtjänt. Att döma av demostrationen är det ett mycket kraftfullt verktyg för datassyntes (eller om man så vill datafusion) samt ett GUI/MMI för att intiutivt interaktivt arbeta med data. Helt klart väldigt imponerande. Allt är fint och soligt.

 

Men det jag inte hittar i högen av alla lovord är funderingar kring integritetsaspekter. Som demonstrationen visar dammsuger Photosynth stora databaser som Flickr, och kan sedan räkna ut hur ett komplext objekt ser ut, vilket i sig öppnar upp för att avslöja saker som kanske inte är avsiktliga. Men verktyget kan även räkna ut var de olika bilderna var tagna. Tänk dig att det inte är Notre Dame som är objektet i fråga, utan ditt hus, din vardag eller tom dig, vore inte så trevligt. Speciellt intressant i sammanhanget är att verktyget uppenbarligen automatiskt kan matcha och identifiera objekt i bilder.

 

Med rätt databas tror jag att Photosynth har stora möjligheter att bli ett makalöst bra verktyg för att i bevaka, spåra och ge stöd för att dra slutsatser om personer, händelser och organisationer, ett verktyg som fram till nu egentligen bara varit möjligt för poliserna i CSI.