Archive for July, 2007

Första attacken mot iPhone presenterad

July 23rd, 2007

(Tillbaka från en resa till ett Internetlöst Europa…)

Enligt en artikel i NY Times ser det ut som att den första fungerande attacken mot iPhone har presenterats. De som utvecklat attacken har även lagt upp en egen webbplats med mer information.
Hackad iPhone
Att döma av informationen på den webbplatsen är problemet att applikationer i telefonen, inklusive webbläsaren körs med administratörsrättigheter. Detta gör det möjligt att skriva elak kod som körs på telefonen då en användare surfar till en given webbplats. På webbplatsen ovan finns även ett dokument med information om säkerhetsmodellen i iPhone, ett dokument väl värt att läsa. Författarna skriver:


The security architecture of the iPhone can best be described as one of reducing the attack surface. This is accomplished by limiting the number of applications on the device and limiting the functionality of the existing applications. The device does not even contain common binaries such as bash, ssh, or even ls.

Unfortunately, once an iPhone application is breached by an attacker, very little prevents an attacker from obtaining complete control of the system. All the processes which handle network data run with the effective user id of 0, i.e. the superuser. This means that a compromise of any application gives the ability to run code in the context of that application which has the highest possible privilege level.

Hoppsan, undrar varför Apple såg det nödvändigt att göra på detta sätt…

Semestertider på Kryptoblog

July 5th, 2007

Kryptoblog tar nu semester, räkna alltså med (ännu) färre nyheter än vanligt. Men bli inte orolig – Kryptoblog kommer snart tillbaka. Se detta en chans att gå ut och göra något i verkligheten. Varför inte pyssla med Kryptozoologi? Enligt säkra (och pålitliga) källor i Hollywood skall ju sådana här finnas i de nordiska farvattnen:
Kraken - med nodisk stavning.

Aloha!
/Joachim

Ny (märklig) artikel om svagheter i AES

July 5th, 2007

Cryptology Eprint Archive har det dykt upp en artikel som säger sig kunna visa att det finns svagheter i AES:


We describe a new simple but more powerful form of linear cryptanalysis. It appears to break AES (and undoubtably other cryptosystems too, e.g. SKIPJACK).

The break is ``nonconstructive,’’ i.e. we make it plausible (e.g. prove it in certain approximate probabilistic models) that a small algorithm for quickly determining AES-256 keys from plaintext-ciphertext pairs exists—but without constructing the algorithm. The attack’s runtime is comparable to performing $64^w$ encryptions where $w$ is the (unknown) minimum Hamming weight in certain binary linear error-correcting codes (BLECCs) associated with AES-256. If $w < 43$ then our attack is faster than exhaustive key search; probably $w < 10$. (Also there should be ciphertext-only attacks if the plaintext is natural English.)

Even if this break breaks due to the underlying models inadequately approximating the real world, we explain how AES still could contain ``trapdoors’’ which would make cryptanalysis unexpectedly easy for anybody who knew the trapdoor. If AES’s designers had inserted such a trapdoor, it could be very easy for them to convince us of that. But if none exist, then it is probably infeasibly difficult for them to convince us of that.

We then discuss how to use the theory of BLECCs to build cryptosystems provably
1. not containing trapdoors of this sort,
2. secure against our strengthened form of linear cryptanalysis,
3. secure against ``differential’’ cryptanalysis,
4. secure against D.J.Bernstein’s timing attack.

Using this technique we prove a fundamental theorem:
it is possible to thus-encrypt $n$ bits with security $2^{cn}$, via an circuit $Q_n$ containing $le c n$ two-input logic gates and operating in $le c log n$ gate-delays, where the three $c$s denote (possibly different) positive constants and $Q_n$ is constructible in polynomial$(n)$ time.

Artikelns författare är Warren D. Smith, matematiker vid Temple University. Jag har ingen aning om vem han är och hur man skall bedöma hans artikel om AES. Att döma av hans webbplats har han skrivit ett antal mer eller mindre märkliga saker (ex om Bush och arsenik i vatten).

Men Warren har även publicerat artiklar med bla Ron Rivest så det kan finnas vett bakom hans AES-artikel. Skall man tro postningar på maillistan Cryptography finns det kryptologer som tittat på artikeln och inte avfärdat den rätt av.

Dyker det upp någon relevant fortsättning eller uppföljning återkommer jag med det här på Kryptoblog.

Forskning om FOSS som utopi

July 5th, 2007

(Ok, detta handlar inte direkt om IT-säkerhet…)
I den utmärkta tidskriften Tvärsnitt hittade jag en blänkare om ett arbete inom sociologi kallat Fri och öppen programvara – en studie om de nya utopisterna:


De som utvecklar öppen källkod och delar filer på Internet utmanar synen på ägande. Sociologen Carl Göran Heidegren har studerat en rörelse vars idéer har omvälvande sprängkraft. Han säger sig ha funnit de moderna utopisterna.

Carl-Göran Heidegren har ställt frågor till medlemmar i Svenska Linuxföreningen, som samlar drygt 3000 förespråkare för öppen programvara. Studien ingår i ett större projekt om så kallade livsföringsmodeller bland unga.

Värden som frihet, frivillighet och öppenhet slog an hos Linuxanvändarna. De värdena var viktigare för dem att försvara än att ha kul. Men lika högt skattades värdet av samarbete och gemenskap. Linuxföreningens medlemmar fann en glädje i att gratis dela med sig av sina kunskaper, visar studien.

En stor del av Linuxföreningens medlemmar, i synnerhet de under 25 år, tyckte att principerna borde ligga till grund för en ny samhällsform. Här blir undersökningen särskilt intressant, menar Carl Göran Heidegren. Dragna till sin spets sätter den här sortens värderingar principer om patenträtt, copyright och ägande i gungning. Vad kan ägas, vad kan skyddas för insyn och vad ska vara tillgängligt för alla?

– Hela projektet öppnar sig mot nya utopier. Helt klart är att Linuxanvändarna ställer högre krav på transparens i samhället. De söker mer öppna former för olika verksamheter än den traditionella slutenheten som präglar vissa områden av vårt samhälle, säger Carl-Göran Heidegren.

Projektledaren för studien är alltså Carl-Göran Heidengren, docent och lektor i Sociologi vid Lunds Universitet.
Carl-Göran Heidengren
Enligt en sida på institutionen för Sociologi i Lund skall det finnas ett working paper från projektet. Dock lyckas jag inte hitta det tillgängligt på nätet.

Hittar någon en länk till arbetsartikeln skulle jag uppskatta om ni skickade den. Det skulle vara intressant att få läsa vad Carl-Göran och hans grupp kommer fram till vad gäller synen på frihet, öppenhet och tillgänglighet även för information, ex Wikipedia och kopplingen till personlig integritet. (Och då fanns det en koppling till IT-säkerhet i alla fall…)

KBM satsar på IT-säkerhetsforskning

July 5th, 2007

Enligt ett pressmeddelande satsar Krisberedskapsmyndigheten (KBM) på att stödja ny forskning inom IT-säkerhet:


Krisberedskapsmyndigheten (KBM) har alltsedan myndighetens bildande 2002 genomfört tematiska utlysningar av forskningsmedel. Nu utlyser KBM medel i temat informationssäkerhet där tvärvetenskaplighet och praktisk samverkan prioriteras.

KBM:s syfte med denna temautlysning är att främja kunskapsutveckling inom informationssäkerhet för att skapa tillit och trygghet till informationssamhället med internet som en dominerande infrastruktur.
Mot bakgrund av ovanstående synsätt kommer KBM att prioritera projektansökningar som nedanstående områden:

• Ledning, styrning och organisation av informationssäkerhetsarbete
• Standards och andra ramverk inom informationssäkerhet och deras tillämpning
• Informationssäkerhetskultur; medvetenhet och beteende
• Konflikter mellan intressen och värderingar rörande informationssäkerhet
• Informationsoperationer, IT-relaterad brottslighet och terrorism
• Beroenden av informationsinfrastrukturer, elektroniska tjänster och styr- och kontrollsystem

Mer information om satsningen hittar du på KBMs sida om temautlysningen.

Ny rapport om RFID och integritet

July 3rd, 2007

Per Ström, Integritetsombudsmannen på tankesmedjan Den Nya Välfärden publicerade för en dryg vecka sedan ännu en rapport i sin Storebror-serie. Den här gången är det RFID som behandlas i Med Storebror i byxfickan. Anders R Olsson har läst rapporten och konstaterar att:


När information om våra rörelser väl finns lagrad någonstans blir kraven på polisiärt utnyttjande snart oemotståndliga.
Nyhetsmedia frossar i de mest avskyvärda brotten, varvid den allmänna opinionen piskas upp till den grad att alla sekretessbestämmelser knäcks. Ska sekretessen få skydda mördares, våldtäktsmäns eller pedofilers identitet?

Bit för bit byggs polisstatens tekniska infrastruktur. Pär Ström är kunnig och skriver föredömligt enkelt. Av allt att döma lär varken tekniska eller juridiska knep skydda oss, i längden, mot missbruk av rfid.

Lagstiftning behövs ändå, naturligtvis. Något motstånd är bättre än inget alls, men framförallt är det allmän upplysning och offentlig debatt vi behöver.

Jag tycker att Pär Ströms rapport är värd att läsa inte minst för att den sätter perspektiv på takesmedjan Eudoxas rapport Den hänsynsfulla taggen som kom för nåot år sedan och jag bloggat om tidigare. Skillnaden mellan de hotbilder och risker med ökad RFID-användning som tankesmedjorna Den Nya Välfärden och Eudoxa målar upp kan knappast bli större.

Pär Ströms rapport finns nu även att ladda ner som podradio/ljudbok så du kan lyssna på den i hängmattan. Och för den som funderar på hur man tekniskt skall arbeta med RFID för att hantera en del av de tekniska problem som Ström pekar på rekommenderas NISTs rapport om RFID och säkerhet.

Ännu en bokrecension

July 3rd, 2007

Har nyligen lämnat in ännu en bokrecension till IDG. Den här gången var det boken Secure Your Network for Free.
Boken Secure Your Network for Free
Boken försöker visa att även om det kanske inte finns gratis luncher, kan få mycket IT-säkerhet för pengarna om man satsar på fria, öppna och gratis verktyg.

Jag tycker att det är en ganska hygglig bok. Det mest irriterande är att boken går så in i bänken ned på detaljnivå vad gäller installation av olika typer av verktyg. Det blir ganska mycket Press OK-uppmaningar.

WordPressuppdatering och åäö

July 1st, 2007

Uppgraderade just WordPress-installationen och det verkar som om svenska tecken inte hanteras på samma sätt. Någon som vet hur man fixar detta?

(Uppdaterad 2007-07-02)
Josef tipsade om den här länken. Lite fix med ftp senare så är vi nästan tillbaka på banan igen.