Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
October » 2007 » Kryptoblog

Archive for October, 2007

Mer om säkerhet i inbyggda system

October 16th, 2007

Det kommer mycket artiklar just nu om säkerhet i inbyggda system. Det känns som att branschen har börjat vakna till och inse att man behöver tänka på säkerheten – speciellt när man börjar gå från lokala system i ett apparatskåp till system med fjärröverkning och kontroll. En iofs gammal men bra översiktsartikel är Securing wireless MCUs is changing embedded system design från Embedded.com.

Artikeln tar upp just problemställningen att allt fler system kopplas upp – ofta med trådlösa kommunikationstekniker, men att det innebär förändrade säkerhetsmodeller:

Inbyggda system - uppkopplade över Internet.
En sak de tar upp i artikeln är hur (illa) krypton är anpassade till inbyggda system. Till våren kommer förhoppningsvis avslutningen av eSTREAM att ge oss mer än ett krypto som fungerar bra även för inbyggda system.

Förra veckan var det Scanautomatic i Göteborg. Jag var där, och det vimlade av olika typer av PLC:er, styrsystem, kontrollplattformar för industriautomation. Jag hittade en (1) leverantör som kunde svara på frågan hur dom skyddade kommunikationen (med SSL) – alla andra undrade vad jag menade.

Även om deras system-modeller ofta var att maskinerna skulle kopplas in på lokalnätet (LAN) var det påfallande många som pratade om publik IP-adress. Och, naturligvis, allt styrt via ett webbgränssnitt. Det finns mer att göra…

Ett säkert lösenord

October 15th, 2007

Den här bilden dök upp i en artikelWorse Than Failure:
PW för MS Knowledge Base
Visst, det är nog ingen som kan gissa ditt lösenord – men blir det inte lite jobbigt att logga in? ... Och gissningsvis måste du byta lösenord innan du lärt dig det gamla utantill…

FRA gillar inte WiMAX

October 15th, 2007

I en artikel på IDG, med den härliga sensationsnyhetsingressen att Försvarets radioanstalt rasar mot Wimax, anser tydligen FRA att WiMAX är ett hot mot rikets säkerhet.

Vad det handlar om är licenser för regional radiotrafik i bandet 3.6-3.8 GHz skall auktioneras ut. Men att få en stor mängd ny trafik i detta frekvensbandet tycker inte FRA är så bra:


Detta tycker inte Försvarets radioanstalt, FRA, alls om. Frekvensbandet ligger nämligen inom det spektrum som FRA använder för att inhämta signaler från kommunikationssatelliter.

Skulle radiosändare för trådlöst bredband sättas upp betyder det att FRAs möjlighet att lyssna på satellitsignalerna försvåras eller rent av omöjliggörs. Det skriver underrättelsemyndigheten i en skrivelse till Post- och telestyrelsen, PTS.

“Bortfallet av denna trafik kommer att få negativa konsekvenser för signalspaning som stöd för svensk utrikes-, säkerhets- och försvarspolitik, däribland stödet till försvarsmakten när det gäller ‘force protection’ vid internationella insatser”, skriver generaldirektör Ingvar Åkesson i brevet.

Åke.
(Ingvar Åkesson)

Att lokal radiotrafik stör ut signaler från satelliter är inte speciellt förvånande. Men det som är intressant är att se hur FRA:s argumentation krockar och dom kommer med olika budkskap beroende på vad frågan handlar om. Så här sa Ingvar Åkesson till Aktuellt angående att FRA måste få börja avlyssna trådbunden kommunikation:


-I närområdet så kan man säga att ungefär 98 procent av all telekommunikation sker i kabel, det är ytterst sällan att man har någon satellitburen kommunikation i vårt närområde, säger FRA:s generaldirektör Ingvar Åkesson.
-Så ni missar nästan allt?
-Ja, i närområdet blir det allt mer tydligt så.

Dvs ibland är problem med att avlyssna satelliter ett allvarligt hot mot rikets säkerhet, och ibland är satellitkommunikation en högst marginell företeelse. Vad det kanske handlar om är det som är makten att bestämma över hur kommunikation sker i ett modernt samhälle. Eller som IDG skriver:


Dessutom vill man (dvs FRA - JS) få ett större inflytande vid kommande auktioner för andra frekvensområden, som enligt FRA kan antas ha liknande effekter.

Kort svar från Aktuellt

October 11th, 2007

Jag bloggade i måndags kväll om att Aktuellt i ett inslag om uthängning av personer på Internet själva visade upp namnet på en person. Jag skickade ett mail till Aktuellts redaktion. Jag har nu fått ett kort svar från Aktuellt:


Hej.

Det var ett stort misstag och absolut inte med avsikt. Vi har bett berörda om ursäkt och frågan hanteras nu av Aktuellts ansvariga utgivare.

Aktuellt har med andra ord bekräftat att det skedde ett fel. Vi får se vad som händer i fortsättningen.

Dagens terroristhot – röstsyntes

October 11th, 2007

Jösses, allting kan tydligen omformuleras till ett terroristhot. BBC har en artikel om det senaste och hemskaste av hot: datorer som pratar som människor – röstsyntes.

Artikeln handlar om att datorer börjar bli så kraftfulla att det går att ljudmässigt modellera människans hela röstorgan.
Människan, sedd från sidan.

Genom att modellera hela röstorganet kan sedan extremt människoliknande tal skapas. Och (naturligtvis) är detta då ett terroristhot eftersom skummisar som Bin Laden då skulle kunna fejka att dom är någon helt annan och skapa förvirring. Eller som Dr Howard uttrycker det:


The terrorism aspect would come in if the technology were used for more malicious purposes, such as someone taking over a communications network for a country and broadcasting a speech apparently from the country’s leader.

“This gives rise to this notion of what I call vocal terrorism as a possible scenario in the future, which I’m suggesting one should be thinking about now and not thinking about when it happens.

“It’s not scaremongering; it’s trying to say to people, ‘we have to think about these things’,” he said.

Visst, tekniken i sig kan användas både för bra och dåliga syften, men att ropa terrorist? Dom fick iaf uppmärksamhet för sina resultat… Vad blir nästa steg, förbud för privatpersoner att inneha samplers och datorer med röstsyntes (där försvann min Mac)?

Aktuellt visar namn på misstänkt för 16-årings död

October 10th, 2007

Kvällens sändning av SVT:s nyhetsprogram Aktuellt innehöll ett reportage om integriteten på Internet. Mer specifikt handlade reportaget om hur personer misstänkta för brott hängs ut med namn, bild m.m.

Reportaget inleddes med att Anna Hedenmo närmast indignerat påpekade att Aktuellt, precis som andra seriösa medier, inte publicerar namn på misstänkta, men att på Internets chattsidor och bloggar frodas uthängnings- och hämndmentaliteten.

MEN i reportaget illustreras chattsidor, bloggforum och Internetforum med en närbilder på en skärm där text från bland annat Flashback visas upp. Ett annat forum som (gissningsvis) visades upp var Fragbite. Mer exakt den här sidan.

Och tack vare dessa finfina närbilder kan man alltså mitt i bild i Aktuellts reportage om den hemska uthängningen på Internet läsa:


XXXXX YYYYY DEAD MAN WALKING

(Japp, jag har censurerat namnet. Vill du läsa får du gå till sidan själv.)

Hoppsan!

Så kan det gå. Det var väl inte så lyckat Aktuellt?

Jag har mailat Aktuellts redaktion och vad jag tror är rätt mailadress till Aktuellts ansvarige utgivare Anders Sundkvist. Vi får se vad jag får för svar.

Frågan är dock hur detta kunde ske. Var detta rent misstag i arbetet? Eller är Aktuellt så sneaky att dom gör ett reportage om uthängning, för att då få en chans att indirekt hänga ut de misstänkta för mordet på 16-åringen?

Första virusrättegången i sverige

October 8th, 2007

IDG skriver om att det nu är dags för den första rättegången kopplad till viruskod i sverige. Den som är åtalad är en 33-åring från Härnösand. Det virus han är anklagaf för att ha skapat och sedan spridit är det Windows-virus som kallas för Ganda.

Ganda, som egentligen är en datormask, började spridas mars 2003 och första halvåret 2003 låg Gandaviruset på tredje plats över de mest spridda virusen i Sverige. Enligt IDG var hämd Härnösandsbons syfte med Ganda:


Enligt Härnösandsbon hade han blivit illa behandlad av skolväsendet. Han hade svårigheter att klara muntliga förhör och begärde enbart skriftliga. När det inte beviljades kände han sig diskriminerad. Gandaviruset hade en lista med hårdkodade mottagare. Dessa var journalister och skribenter på Tidningen Ångermanland, Aftonbladet, SVT Debatt och Flashback. Dessutom var det adresserat till mottagare på Skolverket.

Åtalspunkterna gäller dataintrång och grovt egenmäktigt förfarande vilka var för sig kan ge fängelse i upp till två år. Jag tycker att det skall bli mycket intressant att se domstolen bedömer att det är att sprida elak kod.

Nytt nummer av Uninformed

October 8th, 2007

Det finns en tidning på Internet om IT-säkerhet kallad Uninformed. Syftet med tidningen är enl tidningens redaktörer:


Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. The goal, as the name implies, is to act as a medium for informing the uninformed. The research presented here is simply an example of the evolutionary thought that affects all academic and professional disciplines.

Det åttonde numret av Uniformed släpptes för ett par veckor sedan och innehåller artiklar om:

– Covert Communications: Real-time Steganography with RTP Author: I)ruid – Engineering in Reverse: PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3 Author: Skywing – Exploitation Technology: Getting out of Jail: Escaping Internet Explorer Protected Mode Author: Skywing – Exploitation Technology: OS X Kernel-mode Exploitation in a Weekend Author: David Maynor – Rootkits: A Catalog of Local Windows Kernel-mode Backdoor Techniques Authors: skape & Skywing – Static Analysis: Generalizing Data Flow Information Author: skape

Spioninsekten ser dig

October 4th, 2007

Enligt en artikel på EE Times håller USAs försvarsforskningsorganisation DARPA på att ta fram cyborginsekter som kan användas för spioneri. Exempelvis den här lilla gynnaren:
En cyberkackerlacka.
(Vet inte om det är en inbyggd reflex att stampa på kackerlackor, men den där triggar mitt stampben iaf…)

Radiostyrda djur kallade Hybrid-Insect MEMS (HI-MEMS) blir bärare av olika typer av tekniska system. Tänkbara applikationer för radiostyrda insekter är naturligtvis övervakning men även spårning, speciellt med hjälp av malar:


Moths are extraordinarily sensitive to sex attractants, so instead of giving bank robbers money treated with dye, they could use sex attractants instead,” said Easton. “Then, a moth-based HI-MEMS could find the robber by following the scent.

Att döma av artikeln verkar DARPA inte se några integritetsmässiga eller etiska problem med HI-MEMS, utan att detta är en förlängning av hur människan tidigare använt djur:


We have used horses for locomotion in wars,” according to Darpa’s description by its program manager, Amit Lal. “The HI-MEMS program is aimed to develop technology that provides more control over insect locomotion, just as saddles on horseshoes are needed for horse-locomotion control.”

Darpa cites that, historically, elephants have also been used for locomotion in wars, that pigeons have been used for sending covert messages, that canaries have been used to detect gases in coal mines, and that bees have been used to locate lands mines. Now it’s the moths and beetles turn to report for duty, just as dogs have already done.

Tekniken som sådan har förekommit i SF-litteraturen, bla av Peter F Hamilton. Men nu ser det ut att pågå ett antal konkreta projekt. Lite skrämmande är det. Fräckt, men skrämmande.

Att det är MEMS-teknik som gör det hela möjligt inser man när man ser den här bilden från Wikipedia:
Liten insekt, mindre kugghjul.
Tekniken krymper och nya möjligheter öppnar sig…

Atmels säkerhetsminne CryptoMemory

October 2nd, 2007

Kretsföretaget Atmel har precis släppt en ny säkerhetsprodukt. Den här gången är det ett säkert minne kallat CryptoMemory. CryptoMemory är till för att säkert lagra information i olika produkter och dessutom skapa autenticiering med hjälp av Challenge/Response:


A CryptoMemory uses the authentication keys and a random number to generate a unique 56-bit highly encrypted identity, called a cryptogram, and a unique 64-bit session encryption key, every time a transaction occurs…

Each crypto memory chip contains a unique serial number and the user can optionally assign one of four unique 64-bit encryption keys to each zone. The host knows how to generate these keys using the serial number and a special “secret” that it stores. During mutual authentication, the CryptoMemory sends its serial number and encrypted identity to the host. The host then computes a 64-bit number, called a “challenge”, based on a random number and its own encryption key. It sends the random number and the “challenge” to the device…

No Cryptography Expertise Required. Atmel offers a CryptoMemory design kit with a library of simple API calls that execute the most complex host operations, including building a software model of the host-side cryptographic engine, computing challenges, performing data encryption and decryption, computing encrypted passwords and message authentication codes, and keeping the host model of the cryptographic engine in synchrony with that in the device…

Atmel’s CryptoMemory devices are available now in memory densities of 1-kbit up to 256-kbits. They have standard memory interfaces to microcontrollers and off-the-shelf readers that include a two-wire interface (TWI), ISO 7816-3 interface in T=0 Mode for wired asynchronous communications. CryptoMemory devices can be used as drop-in replacements for non-secure EEPROMs to protect software IP.

Package options include 8-lead SOIC or PDIP plastic packages and modules for smartcard applications.

CryptoMemory devices cost about 10 cents more than conventional EEPROM-based security solutions – a negligible amount when compared to the $500 handbag or a $100 container of prescription medication they protect. Prices start under 30 cents for unit quantities of 10,000 units.

Priset på minneskretsarna pekar på att det är i konsumentprodukter som Atmel ser att CryptoMemory skall användas.
Atmels fina bild för CryptoMemory.
(Observera den fräcka Palm III:an!)

Det finns en finfin presentationsfilm från Atmel (ca 60 MByte) som beskriver en del tillämpningar för CryptoMemory. Bland annat tar filmen upp stöldskydd för airbags, autenticiering i glukosmätare och DRM-skydd för kabel-TV.

Men vilket krypto är det som används?

Presentationen pekar på att det skall komma ett datablad för CryptoMemory, och när det kommer får vi säkert reda på hur CryptoMemory fungerar. Men tills dess får vi leva med att det är ett krypto. Jag återkommer i frågan.