Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
November » 2007 » Kryptoblog

Archive for November, 2007

Intelligenta algoritmer och dumma människor

November 13th, 2007

Jag har tidigare skrivit om CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, dvs automatiserade tester avsedda att särskilja människor och maskiner.

Syftet med CAPTCHA är att kunna blockera maskiner från access till olika resurser, exempelvis diskussionsforum eller nätspel, men samtidigt inte hindra mänskliga besökare. Ofta är CAPTCHA:n utformad som en förvrängd bild där människans förmåga att tolka bilder utnyttjas:

Typisk CAPTCHA.
(Typiska CAPTCHA-bilder lånade från Wikipedia.)

CAPTCHA och intresset för att komma åt de tillgångar CAPCTHA-tekniken skyddar har lett till ett ställningskrig mellan de som utvecklar CAPTCHA-algoritmer och de (typiskt SPAM-troll) som försöker hitta på algoritmer för att knäcka CAPTCHA-algoritmerna. Men om man nu tycker att det är svårt att hitta på smarta algoritmer för att attackera CAPTCHA kan man istället ta till dumma människor.

Computerworld hade för ett tag sedan en artikel om hur spammare använder access till porr för att locka användare att tolka CAPTCHAs plockade från webbplatser spammarna vill få access till:


Spammers are using a virtual stripper as bait to dupe people into helping criminals crack codes they need to send more spam or boost the rankings of parasitic Web sites, security researchers said today.

A series of photographs shows “Melissa,” no relation to the 1999 worm by the same name, with progressively fewer clothes and more skin each time the user correctly enters the characters in an accompanying CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart), the distorted, scrambled codes that most Web mail services use to block bots from registering hundreds or thousands of accounts. Spammers rely on Web e-mail accounts because they’re disposable; by the time filters have blocked the address, the spammers throw it away and move on to another.

The CAPTCHAs that Melissa feeds to users are, in fact, legitimate codes snatched from Yahoo Mail’s signup screens, said analysts at Trend Micro Inc. The hackers, frustrated at their inability to come up with a way to automate account registration, are getting users to do their dirty work.

“They’re using human beings in semi-real time to translate CAPTCHAs by proxy,” said Paul Ferguson, a network architect at Trend Micro. “You have to give them this, it’s clever.”

Each time the user correctly decodes the CAPTCHA, a new Melissa photo is revealed, pulled from a hacker-controlled server in Israel, according to Symantec Corp. The plain-text decodes are sent to that same server, where they are presumably banked for future use in generating large numbers of Yahoo Mail accounts.

På Wikipedias sida om CAPTCHAs finns även en länk till en sida med information om där människor anställts för att sitta och lösa CAPTCHAS, på liknande sätt som folk anställs för att träna upp karaktärer i spel som World of Warcraft. (Den sidan kallar fenomenet Turing farm.)

Jag vill ändå separera dessa två typer av attacker mot CAPTCHAs där människor plockas in som beräkningsenheter. I det förra fallet handlar det om att på olika sätt lura och locka folk att hjälpa till med något de annars inte hade ställt upp på. Och frågan är hur man skyddar sig mot detta. Finns det bra sätt att tekniskt stoppa denna typ av attack?

Dels kan man försöka stoppa möjligheten att skicka CAPTCHAn vidare, vilket i sig inte är helt lätt. Men frågan är om CAPTCHA-tekniken i sig går att förändra? Jag bloggade för ett tag sedan om knäppa CAPTCHAs, men det kanske är så att för vissa webbplatser är CAPTCHAs med domänspecifik semantisk koppling lösningen.

Matte-CAPTCHA.
(Matte-CAPTCHA.)

Dvs bara användare som verkligen är intresserade av access till webbplatsen är kapabla att lösa CAPTCHAn… Med konsekvens att Internet blir än mer slutet och fragmenterat. Men knäppa CAPTCHAs är kanske inte så knäppt i alla fall.

Ny kategori: NIST AHS

November 12th, 2007

Jag har lagt till en ny kategori till Kryptoblog. NIST AHS avsedd för nyheter relaterade till NISTs AHS-tävling (Advanced Hash Functions) där NIST precis öppnade dörren för kandidater.

En sak vi förhoppningsvis kommer att se en hel del av de närmaste åren och jag vill skriva om är nyheter om nya metoder för analys av hashfunktioenr och resultat från dessa analyser. Ett exempel är den diffusionsanalys som Daniel J Bernstein tidigare gjort på sin kompressorn i Salsa20. Så här ser tillståndet ut vid start:

Salsa20 innan första rond.

Efter en iteration:
Efter en iteration.

Efter två iterationer:
Efter två iterationer.

Efter tre iterationer:
Efter tre iterationer

Efter fyra iterationer:
Efter fyra iterationer.

Ett snyggt sätt att illustrera lavineffekten i en hashfunktion.

NIST öppnar dörren för AHS-kandidater

November 7th, 2007

(Uppdaterad 2007-11-07, 05:10: Nyckelfelstrisse (LinusN) + Vlastimil Klima)

NIST har meddelat att dörren för kandidater till hashfunktionstävlingen nu har öppnats. Tidigare har man pratat om AHS - Advanced Hash Standard, men nu refererar man till de blivande standarden som SHA-3 och anger att vinnande funktion kommer att beskrivas i en uppdaterad version av dokumentet FIPS PUB 180-2. NIST skriver:


NIST has opened a public competition to develop a new cryptographic hash algorithm, which converts a variable length message into a short “message digest” that can be used for digital signatures, message authentication and other applications. The competition is NIST’s response to recent advances in the cryptanalysis of hash functions.

The new hash algorithm will be called “SHA-3” and will augment the hash algorithms currently specified in FIPS 180-2, Secure Hash Standard. Entries for the competition must be received by October 31, 2008.

Notera tidpunkten när dörren för kandidater stängs: 2008-10-31, dvs om ett år. Över huvud taget kan det vara värt att titta på tidplanen. (Jag har bloggat om tävlingen ett tag…)

I mitten av 2006 gick NIST ut med information att man beslutat att arrangera en tävling. I februari ville NIST få in kommentarer på sitt förslag till organisation av tävlingen och krav att ställa på kandidaterna. De till NIST inkomna kommentarer redovisades i somras, kommentarer där bland annat det intressanta konceptet Sponge Functions oväntat dök upp.

Nu tar det alltså ett år innan kandidaterna börjar utvärderas på allvar, och sedan tar det 4-5 år innan vi har SHA-3 publicerad och klar. NIST skyndar långsamt. Men vill vi ha bra hashfunktioner, och inte upprepa de missar som inträffade med AES så skall vi nog skynda långsamt.

Det kan vara intressant att titta lite på de tekniska krav som ställs på kandidaterna. Först av allt ser man att SHA-3 skall kunnna gå in och ersätta SHA-2:


NIST does not currently plan to withdraw SHA-2 or remove it from the revised Secure Hash Standard; however, it is intended that SHA-3 can be directly substituted for SHA-2 in current applications, and will significantly improve the robustness of NIST’s overall hash algorithm toolkit.

Therefore, the submitted algorithms for SHA-3 must provide message digests of 224, 256, 384 and 512-bits to allow substitution for the SHA-2 family. The 160-bit hash value produced by SHA-1 is becoming too small to use for digital signatures, therefore, a 160-bit replacement hash algorithm is not contemplated.

Since SHA-3 is expected to provide a simple substitute for the SHA-2 family of hash functions, certain properties of the SHA-2 hash functions must be preserved, including the input parameters; the output sizes; the collision resistance, preimage resistance, and second-preimage resistance properties; and the “one-pass” streaming mode of execution.

Vidare vill NIST, precis som i fallet med AES (och till skillnad från eSTREAM) till slut landa på en algoritmfamilj:


For interoperability, NIST strongly desires a single hash algorithm family (that is, that different size message digests be internally generated in as similar a manner as possible) to be selected for SHA-3. However, if more than one suitable candidate family is
identified, and each provides significant advantages, NIST may consider recommending more than one family for inclusion in the revised Secure Hash Standard.

Det verkar dessutom vara så att den senaste tidens attacker på Merkle-Damgård-baserade strukturer (MD5, SHA-1 etc) oroar NIST, och att man vill se nya fundamentala sätt att skapa hashfunktioner:


NIST is open to, and encourages, submissions of hash functions that differ from the traditional Merkle-Damgard model, using other structures, chaining modes, and possibly additional inputs.

However, if a submitted algorithm cannot be used directly in current applications of hash functions as specified in FIPS or NIST Special Publications, the submitted algorithm must define a compatibility construct with the same input and output parameters as the SHA hash functions such that it can replace the existing SHA functions in current applications without any loss of security.

De kommentarer på tävlingen som kom in och tog upp behovet av att kunna göra effektiva implementationer av algoritmerna i både HW och SW i stora och små system har NIST tagit fasta på. Som implementatör av krypton till olika typer av inbyggda system blir jag glad när jag ser det här (tack NIST!):


A statement of the algorithm’s estimated computational efficiency and memory requirements in hardware and software across a variety of platforms shall be included.

At a minimum, the submitter shall state efficiency estimates for the “NIST SHA-3 Reference Platform” (specified in Section 6.B) and for 8-bit processors. (Efficiency estimates for other platforms may be included at the submitters’
discretion.) These estimates shall each include the following information, at a minimum:

a. Description of the platform used to generate the estimate, in sufficient detail so that the estimates could be verified in the public evaluation process (e.g., for software running on a PC, include information about the processor, clock speed,
memory, operating system, etc.). For hardware estimates, a gate count (or estimated gate count) should be included.

b. Speed estimate for the algorithm on the platform specified in Section 6.B. At a minimum, the number of clock cycles required to: 1. generate one message digest, and 2. set up the algorithm (e.g., build internal tables) shall be specified for each message digest size required in the Minimum Acceptability Requirements section (Section 3) of this announcement.

c. Any available information on tradeoffs between speed and memory.

De här textsnuttarna är hämtade från det officiella dokumentet som specar upp krav på kandidaterna. Där finns en hel del till om IPR-krav, tidplan, referensplattform etc. Är du intresserad så läs det – ett bra dokument.

Hur det går och vem som skickar in kandidater då? Min personliga förhoppning är att vi får se minst en kandidat med svensk representation, då troligen antingen från LTH (Johansson & Co) eller KTH (Håstad & Co), men det vore även kul om någon från industrin gjorde ett försök.

Vad gäller andra kandidater borde Daemens svampgäng komma med en kandidat. Eli Biham & Co, IBM samt Rivest & Co som alla tidigare visat intresse av tävlingen kommer gissningsvis även de med kandidater. Vidare har Daniel J Bernstein gjort en hel del arbeten på sina hashfunktioner Salsa20 och Rumba20, så han skickar säkerligen in en kandidat.

En annan person (+ kollegor) som troligen skickar in en kandidat är Vlastimil Klima som hittade tunnlarna i MD5 och tidigare i år presenterat en ny familj av hashfunktioner kallad HDN. Och Bruce Schneier försöker nog återigen vara med i en tävling – tredje gången gillt kanske?

Den som lever får se, nu börjar tävlingen på allvar och det kommer att bli spännande att följa hur det går!

SurveillanceServer

November 7th, 2007

Det dök upp en intressant, men integritetsmässigt något skrämmande skärmsläckare till Mac på BoingBoing kallad SurveillanceServer.

SurveillanceServer i Quartz Composer
(SurveillanceServer i Quartz Composer.)

SurveillanceServer söker på Google efter publikt tillgängliga (dvs inkopplade med publika IP-adresser) kameror levererade av Axis Communications. Ett litet script använder adresserna till kamerorna för att kontrollera om dom är aktiva eller ej.

Om dom är det plockar SurveillanceServer bilder från slumpmässigt valda aktiva kameror och använder dom som en skärmsläckare. Det är lite spooky att köra SurveillanceServer och se bilder från okända platser med okända människor blinka förbi.

Berusad man vs värmeverk i Trollhättan

November 7th, 2007

(Tipstack till Månster) Det här dök upp på DN.se. En berusad man tog sig tydligen in på fjärrvärmekraftverket i Trollhättan i går morse och lyckades stänga ner verket:


På något sätt tog han sig in i värmeverket och tryckte på alla knappar som reglerar värmeverket han kunde hitta, innan personalen upptäckte hans tilltag, skriver Göteborgs-Postens nättidning.

– Så här får det inte gå till. Vi har ju larmat men efter det här måste vi se över vårt skalskydd, säger Mats Johansson, vd i Trollhättan Energi som driver fjärrvärmeverket, till TT.

...

Under de tre timmar det tog drevs verket med reservkraft.

Mannen hade tidigare under natten till måndagen suttit hos polisen i Trollhättan misstänkt för narkotikabrott. Direkt efter att han släppts tog han sig till värmeverket. På morgonen var han åter på polisstationen men hade vid lunchtid ännu inte hörts.

Den lokala tidningen TTELA har en de ytterligare information om händelsen:


Intrånget i det obemannade kraftvärmeverket vid Lextorp gjordes vid sjutiden i går morse. De ansvariga på Trollhättan Energi misstänker att mannen tog sig in på området i samband med att grindarna öppnades för en lastbil som skulle lämna flis. Sedan ryckte han upp en dörr till den gamla oljecentralen och fortsatte in i den nya delen av anläggningen via en gångtunnel.

När vi pratar en massa om IT-säkerhet, skydd för SCADA-system etc kan det vara bra att komma ihåg att en vanlig hederlig dörr också kan vara ett bra sätt att ta sig in på. Ett stopp på tre timmar orsakat av en berusad person, vad skulle någon med lite vilja och mindre alkohol i kroppen kunnat åstadkomma?

Verket det handlar om är det här, en klassiskt byggnad i Trollhättan:

Lextorps värmekraftverk
(Värmeverket – Lextorps finest inom industriarkitektur)

För er som inte varit i Trollhättan kan man titta på filmen Fucking Åmål. Den gångbro över vägen som finns med i filmen är där värmeverket ligger i verkligheten. Har för mig att verket syns i filmen.

Recensions-fusk på Amazon

November 6th, 2007

Jag sitter just och tröskar igenom boken AVIEN Malware Defence Guide.

Boken AVIEN Malware Defence Guide.

För att kolla upp lite fakta och vad andra tyckt om boken kollade jag på Amazon. Bokens betyg på Amazon är fem fyrar, och är baserat på två läsarkommentarer, mer exakt den här:


5.0 out of 5 stars The must have book for all Malware administrators, August 11, 2007 By Michael P. Blanchard “co-Author of AVIEN Malw… (Mass, USA)

If your book budjet only allows for one book this year, this is the book you should buy. If you’re a malware administrator for a small to huge size enterprise this is the book that will help guide you through your day to day activities.

The section on detection of a piece of malware that may be running on a user’s machine is extreamly helpful, the tools mentioned in that chapter will all become staple items in your outbreak “jumpkit” after reading that section.

There really isn’t any other book like this out on the market today. The entire book was written by the global top professionals in the field that live with the malware threat on a daily basis. They are not people that are locked away in a lab somewhere only discecting threats, although that is a part of many of their jobs. These authors know what it’s like to be in the trenches, trying to protect their enterprise environments while still maintaining that extreamly delicate balance that allows their users to perform the daily activities that they require to make the enterprise run smoothly. These authors help walk you through their sections as if they are right there with you guiding you along and answering your questions.

Och:


5.0 out of 5 stars One of the Author’s Speaks, August 10, 2007 By Kenneth Bechte

This is the book I wish I had when I started in the field back in 1988. Every one of the contributors to the book are great and knowledgeable folks. Unlike the other books on this subject everyone who contributed is highly regarded, experienced and active in the career field.

This is a MUST for every Corporate IT library.

Men hallå?! Det är alltså två av författarna till boken som skrivit dessa recensioner! (Tur att dom inte tog till överord…)

Jag har inte bestämt mig för om boken är bra eller ej, men att författarna är ohederliga och inte att lita på, det har jag kommit fram till.

SRAM för ID och slump del tre

November 5th, 2007

Jag har tidigare i ett antal omgångar bloggat om en artikel som beskriver en teknik för att använda initialtillståndet i SRAM för att identifiera enheter samt generera slumptal. Jag har under hösten haft en mailkonversation med en av författarna bakom artikeln för att försöka förstå säkerhetsimplikationerna runt tekniken. Nu har jag fått ännu en laddning med svar. Diskussionen den här gången handlar om informationsläckage, hur väl det går att identifiera en enhet och ett minnesblock samt risken för felidentifiering.


(Q1) Have you looked at the minimum number of bits in the memory dump to get good enough Hamming vales for the fingerprints?

(A1) Yes, we explore this further in an upcoming publication. We should that 64 bits of SRAM can be used to differentiate between 5120 blocks of SRAM.

(Q2) My bad: There was a “not” missing in the first sentence. What I meant was, of course if not “long-enough” time have lapsed, then wouldn’t you risk exposing application information in the memory dump due to the remanence?

(A2) Ok, I understand now. Yes, it would risk leaking application information in the memory dump. This is not something we have given much thought to yet, but is an interesting implication.

(Q3) The number of samples to create the template depends on how reliable the mem dump of the device is. We found that 3 was reasonable for creating a template, but using more dumps will result in a more accurate template. In fact, the matching can often be done based on a template created from just a single memory dump, with no averaging at all. What is the number of effective bits in the ID in that case? And what are the false acceptance and false recection rates?

(A3) The number of effective bits number is around 90% of the total number of bits. The exact acceptance rates depend on the population size and number of bits used, but the acceptance rates are generally quite good.

(Q4) If the device gets it’s ID from an external device it can no longer reliably state “I’m ID XYZ” but can be told by the external unit a false ID which is then used by the device to perform authentication. I see a potential MITM-attack on this setup. No?

(A4) There may be potential for a MITM attack. We are currently still working on the system level implications of our design.

Mao ser det ut som att man med relativt liten mängd data (64 bitar) kan identifiera ett specifikt SRAM block och därmed en individ på 5120, dvs en på drygt 2**12. Samtidigt säger man att man har en biteffektivitet på 90%.

Men det stora problemet är informationsläckage och möjlighet att lura systemet, vilket författarna går med på är ett problem, men verkar vara problem som ligger på systemnivå.

Jag tror att jag kommit till vägs ände med den här diskussionen och tänker inte fortsätta störa författarna. Det har dock varit mycket intressant att få chans att läsa, fundera ställa frågor, följdfrågor och få chans att diskutera med forskarna. Hoppas att du som läsare också fått ut något konkret.

Jag kommer att bevaka och se när det kommer en uppföljningsartikel från författarna. Återkommer i så fall…

Ekologisk kryptanalys

November 5th, 2007

För en dryg vecka sedan kom nyheten att ryska Elcomsoft använt grafikprocessorer (GPU:er) för att accelerera knäckning av lösenord. Enligt en artikel på IDG.se använder Elcomsoft kort med Nvidias GPU GeForce 8800 för att få upp till 25 gånger bättre prestanda gentemot ren processorbaserad exekvering.

Nvidia GeForce 8800

Elcomsofts nyhet har även fått en hel del uppmärksamhet på annat håll. Det som framkommer där är att det handlar om en ny version av Elcomsofts Distributed Password Recovery som bla knäcker NTLM-lösenord.

Vad som dock inte varit lika uppmärksammat är att Elcomsoft försöker patentera konceptet med att använda GPU:er för att knäcka lösenord. Elcomsoft skriver i sin pressrelease:


Moscow, Russia – October 22, 2007 – ElcomSoft Co. Ltd. has discovered and filed for a US patent on a breakthrough technology that will decrease the time that it takes to perform password recovery by a factor of up to 25. ElcomSoft has harnessed the
combined power of a PC’s Central Processing Unit (CPU) and its video card’s Graphics Processing Unit (GPU). The resulting hardware/software powerhouse will allow cryptology professionals to build affordable PCs that will work like supercomputers when recovering lost passwords.

Men ett ställe där Elcomsofts planer att patentera tekniken fick en hel del uppmärksamhet var på Cryptologu-listan där flera personer både läst artiklar om, eller själva gjort det Elcomsoft nu gör (använda GPU:er på detta sätt). Några artiklar man hänvisade till var:

Notera: Jag gör ingen bedömning om Elcomsoft har torrt på fötterna vad gäller möjligheten att patentera tekniken eller ej (dvs om de refererade artiklarna är relevant prior art eller ej) – jag är ingen advokat. Däremot tycker jag att det är intressant att läsa artiklar som beskriver användning av GPU:er eller andra typer av specialdesignad hårdvara för andra syften än de var tänkta för, speciellt om den alternativa användningen råkar vara krypto och IT-säkerhet.

Ett exempel som är speciellt intressant och som jag tidigare fått ett tips om (tack LinusN) men inte hunnit med att blogga om innan är projektet NSA @ Home.

NSA @ Home är ett projekt där man tagit kort för HD-video-processing tillverkade av Grass Valley och byggt om innehållet i kortets 2D-array med FPGA:er för att implementera en brute force-knäckare för hashfunktionerna MD5 och SHA-1.

Korten som används är kort som Grass Valley kasserat, men som genom analys av kopplingen på kortet och genom att routa runt problemen gått att återanvända för den nya tillämpningen:

GV kort för NSA @ Home.

Korten är utrustade med tre uppsättningar (en uppsättning för varje videokanal) om fem Xilinx Virtex-II Pro (XC2VP20) vardera. Kortet förbrukar 240 W och ger motsvarande brute force-prestanda som (enl projektet själva) 1500 stycken Athlon FX-60, vilka skulle förbruka ca 250 kW.

Xilinxlogga.

Som HW-konstruktör är jag extremt imponerad av hur Stanislaw Skowronek (skaparen av NSA @ Home) med hjälp av JTAG kommit fram till hur kortet är kopplat, skapa en ny grundplattform med nya interface, kontroll-SW, webbinterface(!) etc för att förvandla skrotade kort till ett system med j-kligt imponerande prestanda.

Det finns ett företag i Sverige kallat Edgeware som bygger ett Video on demand-system. I deras maskin Orbit2x sitter det om jag fattat det rätt massiva mängder med FPGA:er och snabba minnen, detta för att hinna med att processa massor med vidoströmmar.

Orbit2x

Undrar hur bra det skulle gå att använda Edgewares maskin för brute force-attack mot lösenord och hashfunktioner….