Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
January » 2008 » Kryptoblog

Archive for January, 2008

ICT-mässan och paneldebatt

January 10th, 2008

Idag var jag nere en sväng på easyFairs ICT-mässa här i Göteborg. Sveriges största IT-mässa enligt easyFairs.

ICT-mässan

Årets mässa hade flyttat upp från det stora mässgolvet till balkongerna, vilket pekar på att mässan inte är speciellt stor. Dock kändes det som att flytten gjorde mässan bättre. Mässgolvet ormade sig runt och det kändes tätare, mer spännande och faktiskt större än vad det egentligen var.

Jag såg inte speciellt mycket nytt presenteras och dom stora drakarna saknades, så det kändes som att mässan var en ganska lokal företeelse. Göteborgsföretagen Appgate, Op5 och Halon ställde ut. Däremot fanns varken CryptZone (fd Secured Email) eller Fingerprint Cards med.

Jag var på en paneldebatt om informationssäkerhet som modererades av Tomas Gilså. Nedan följer mitt referat:


Alf Holmberg, Pulsen
Stor fördel med Eurosocs är att IT-säkerhet blir en affärsfråga, inte en teknikfråga. Kreditvärdigeheten påverkas.

Du kan inte köpa dig till säkerhet genom att köpa teknik, utan organisation och personal måste med i arbetet.

Det företag som ger konsulter full access till sitt nät har en del kvar att göra på sitt säkerhetsarbete.

Barbro Laurin, infosäkerhetschef på Sahlgrenska:
Informationssäkerhet – det är patientjournaler. Etik och moral spelar även roll. Aftonbladet, Telia: Brister i den mänskliga faktorn, ej teknik. IT-säkerhetspersonal måste i i början av projekten.

Varje gång någon öppnar en elektronisk journal. En patient har rätt att få reda på vem som öppnat journalen. För att få access till Internet krävs en personlig inloggning.

Gunnar Karlsson, IBM:
Vad som kommer att krävas för att uppfylla Eurosocs ej klart än. Men drivkraften som Eurosocs ställer kommer att hjälpa till. USA: Comply or die. Europa: Comply or explain yourself.

Scania har alltid kört SOA. Bygga i moduler är smart, både om man bygger lastbilar och IT-säkerhet.

Det finns skäl till att organisationer inför stöd/övervakningssystem. Det gäller att följa upp sin säkerhetspolicy.

Göran Marby, Appgate:
Eurosocs, åttonde EU-direktivet kommer att vara en guldkalv för IT-konsulter. Ställer krav på spårbarhet. Sverige är “skitdåligt” på IT-säkerhet. Ett av få länder som inte ställer några som helst krav på certifiering, IT-säkerhet vid offentlig upphandling. Pratar hellre om grön IT. Riksrevisionen riktade 2007 allvarlig kritik mot hanteringen av IT-säkerhet. Det som är viktigaste med Eurosocs är att IT-avdelning kan säga att om man inte får ta hand om säkerhetsproblem får inte bolagen en ren revisionsberättelse.

I början kommer antagligen revisorerna att säga nej till allt, innan man vet vad man kan säga ja till.

Det är inte alla personers uppgift att bry sig om IT-säkerhet. Håller inte alls med om att man måste utbilda anställda i säkerhet. Måste bygga in säkerhet på ett sätt att personalen inte behöver bry sig. Man blandar LEGO och Duplo och får inkompatibla system.

Lagstiftning är till för att få in krav på säkerhet så att folk inte skall behöva kunna vad som är bra och inte. Krav på ABS-bromsar är till för att jag inte skall behöva veta vilka bromsar som är bra.

Skillnaden mellan insidan och utsidan på ett nät har minskat.

Linus Svensson, Symantec:
Kostnad vs säkerhet. Tillgänglighet är grunden.

Bra att man lagstiftar om informationssäkerhet. Sverige ligger efter USA. Tvång och stöd. Det som brister är inte medvetenhet om säkerhetsproblem utan kvantifiering av kostnaderna. Vore bra att få in motsvarande lag som i USA att den som slarvar bort annans info måste meddela detta till personen.

Linus: Problemet hos Aftonbladet och Telia handlar om att man undviker ansvar. Måste ha en tydlig ansvarsfördelning.

Thomas Djurling:
Jobbat på FRA med att bygga upp avdelning för att säkra upp Sverige. I dag egen konsult. Viktigt att veta sin egen informations värde. Ha koll på hotbilden och sina egna svagheter. Vem skall man skydda sig i från.

Ledningssystem för informationssäkerhet (LIS).

Man glömmer ofta bort människan och att ta hänsyn till människan för att det är jobbigt. Generellt sett på tok för stor tilltro till tekniken.

FRA var tidiga att införa Internetaccess för sin personal. Personalen fick skriva på ett avtal som bla innebär att FRA får logga all access. Syftet var att få användaren att ändra sitt beteende. Big Mother fungerar på FRA också.

Mycket snack om Eurosoc(rätt stavning?) och behovet av lagstiftning i Sverige för att öka pressen på organisationer att ta informationssäkerhet på allvar. En bra paneldebatt där Göran Marby var den som avvek från de gemensamma åsikterna och fick igång en debatt.

Uppdaterad 2008-01-10:
EuroSOX skall det vara. Tack för påpekandet. Här finns en organisation i Sverige som jobbar med EuroSOX.

Brott på Internet – på Polismuseet

January 9th, 2008

Polismuseet i Stockholm pågår en tillfällig utställning om brott på Internet.

Bild från utställningen.
(Ingen aning vad detta skall föreställa, men har tydligen med utställningen att göra... 😉

Utställningen beskrivs av Polismuseet på följande sätt:


Internets möjligheter att nå massor av människor snabbt och samtidigt har också medfört ökad brottslighet.

Polismuseets nya utställning Brott på Internet beskriver Internets utveckling ur ett historiskt och tekniskt perspektiv och lyfter fram hur brottsligheten på nätet har utvecklats. Här beskrivs också vad polisen gör för att bekämpa brott som begås på Internet.
En ordlista ger besökaren möjlighet att förstå skillnaden mellan phishing, skimming, spam och andra begrepp som dyker upp allt oftare omkring oss.

I utställningen finns också bland annat en fallbeskrivning av den så kallade Alexandramannen. Mannen, som kallade sig för Alexandra när han var på Internet, lurade unga flickor att ha kontakt med och träffa honom. Han dömdes till tio års fängelse.

Utställningen riktar sig först och främst till vuxna och föräldrar som inte förstår vad deras barn sysslar med på skärmen.

Det står inte hur länge utställningen pågår (mer än att den är tillfällig). Hinner jag upp till Stockholm och till museet skall jag försöka ta mig dit. Annars får gärna någon läsare posta en berättelse (eller länk till någon som varit där).

Testa filer med VirusTotal

January 9th, 2008

VirusTotal är en tjänst på nätet där man kan testa filer man misstänker innehåller elak kod mot ett stort antal AV-program. Bakom VirusTotal står säkerhetslaboratoriet Hispasec Sistemas och sidan sponsras av ett stort antal AV-tillverkare:

* AhnLab (V3) * Aladdin (eSafe) * ALWIL (Avast! Antivirus) * Authentium (Command Antivirus) * Avira (AntiVir) * Bit9 (FileAdvisor) * Cat Computer Services (Quick Heal) * ClamAV (ClamAV) * CA Inc. (Vet) * Doctor Web, Ltd. (DrWeb) * Eset Software (ESET NOD32) * ewido networks (ewido anti-malware) * Fortinet (Fortinet) * FRISK Software (F-Prot) * F-Secure (F-Secure) * Grisoft (AVG) * Hacksoft (The Hacker) * Ikarus Software (Ikarus) * Kaspersky Lab (AVP) * McAfee (VirusScan) * Microsoft (Malware Protection) * Norman (Norman Antivirus) * Panda Security (Panda Platinum) * Prevx (Prevx1) * Rising Antivirus (Rising) * Secure Computing (Webwasher) * Softwin (BitDefender) * Sophos (SAV) * Sunbelt Software (Antivirus) * Symantec (Norton Antivirus) * VirusBlokAda (VBA32) * VirusBuster (VirusBuster)

På VirusTotals webbplats finns även en sida med statistik. Bland annat kan man se vilka som är dom vanligaste typerna av elak kod VirusTotal detekterar just nu:

VirusTotal just nu.

Det går att skicka filer till VirusTotal med SSL, däremot hittar jag ingen info om vad som händer med filerna efter att dom analyserats av VirusTotal. Litar man på att VirusTotal är snäll och skyddar filerna känns detta som en bra tjänst för att testa misstänkta filer.

Samtidigt finns det diskussioner om att utvecklare av elak kod själva använder VirusTotal för att verifiera att deras kod flyger under RADARn, något VirusTotal tar upp på i ett inläggsin blogg.

SHA-3 och referensverktyg

January 3rd, 2008

Det har börjat röra på sig så smått vad gäller NISTs SHA-3-tävling. En sak som diskuteras är valet av referensplattform och kompilatorer för att testa kandidaterna. I specen för SHA-3 står det:


i. NIST Reference Platform: Wintel personal computer, with an Intel Core 2 Duo Processor, 2.4GHz clock speed, 2GB RAM, running Windows Vista Ultimate 32-bit (x86) and 64-bit (x64) Edition.

ii. Compiler (Note that the selection of this compiler is for use by NIST in Rounds 1 and 2, and does not constitute a direct or implied endorsement by NIST.): The ANSI C compiler in the Microsoft Visual Studio 2005 Professional Edition.

Att döma av diskussioner på maillistan är denna uppsättning av OS och kompilator mindre vanlig i kryptolabben på olika universitet där GCC och andra GNU-verktyg verkar vara standard. En person som påpekat detta är Ron Rivest.

Ron Rivest

Att döma av inläggen arbetar han och hans grupp på en kandidat just nu kallad md6.

Ekonomi och affärsmodell för IT-brott

January 3rd, 2008

Bruce Schneier pekar på en mycket intressant artikel som tar upp ekonomin och affärsmodellerna som driver IT-brotten.

Artikeln tar bland annat upp hur den svarta ekonomin på Internet är en högt globaliserad, outsourcad verksamhet där allt kan säljas som en tjänst, inklusive access till trojaner:


In March the price quoted on malware sites for the Gozi Trojan, which steals data and sends it to hackers in an encrypted form, was between $1,000 (£500) and $2,000 for the basic version. Buyers could purchase add-on services at varying prices starting at $20.
...
According to reports, the malware was available this summer as a service from iFrameBiz and stat482.com, who bought the Trojan from the HangUp team, a group of Russian hackers. The Trojan server was managed by 76service.com, and hosted by the Russian Business Network, which security vendors allege offered “bullet-proof” hosting for phishing sites and other illicit operations.

Artikeln hänvisar även till forskaren Peter Gutmann som publicerat en mycket extensiv och läsvärd rapport kallad TThe Commercial Malware Industry. Tanka ned och läs. Skrämmande men nyttig läsning.

Aftonbladet hackad av VFB

January 3rd, 2008

En grupp som kallar sig Vuxna Föbannade Hackare (VFB) har hackat Aftonbladet. Joakim Jardenberg på Mindpark har en bra sammanställning av vad som hänt. Ett av problemen hos Aftonbladet är de dåliga lösenord som personalen använder. Nästan så här:

Dilbert om lösenord

Patrik Fältström har fyllt på med tankar om lösenord samt de DNS-problem som Aftobladet drabbats av.

Gott nytt kryptoår!

January 1st, 2008

Det börjar dra ihop sig till att lägga 2007 till handlingarna. Tack för alla trevliga och intressanta kommentarer, mail och tips på uppslag jag fått under året!

Jag tänkte avsluta med ett lite kryptonöje. J & F på Kirei tipsade för ett tag sedan om en fantastisk simulator av Enigma-kryptot kallad Enigma Simulator.

Huvudfönstret

Som synes ett mycket snyggt gränssnitt som försöker fånga utseendet och den mekaniska känslan hos en Enigma-maskin. (Jag har inte kommit på hur man skall koppla in matningen i övre hörnet… 😉 Simulatorn inkluderar ett separat fönster för bland annat kopplingspanelen.

Steckerbrett

Att leka lite med Enigma-simulatorn är något jag tyckte var klart skoj och kan klart rekommenderas. Här kommer därför en liten starthjälp, en kodsträng att testa på. För att göra det lite mer nyårsdags-anpassat är inställningarna enligt följande:


Initial position: A, A, R
Left rotor: II, ringstellung: N
Middle rotor: III, ringstellung: E
Right rotor: IV, ringstellung: W
Reflector: C

Steckerbrett:

K – R Y – P T – O

Och därmed avslutar jag helt enkelt 2007 med att säga: DAZYVCGGDMHVRLYPUZTLJNPXZA !!

Kryptanalys av Philips CRYPTO1 på CCC

January 1st, 2008

(Den här nyheten kom på den utmärkta bloggen Cryptanalysis som jag kommer att lägga in i blogrollen.)

På den 24:e CCC-konferensen (Chaos Computer Club) presenterade Karsten Nohl (från University of Virginia) och Henryk Plötz detaljer om Philips proprietära strömkrypto CRYPTO1 som de fått fram genom kryptanalys.

CRYPTO1 är ett krypto som används i kontaktlösa smartcards som följer standarden ISO 14443. Kryptot används för att skydda luftgränssnittet vid kommunikationen mellan läsaren och kortet. Ett exempel på ett kort som implementerar CRYPTO1 är MiFare-kortet från NXP. (NXP är resterna av kretsföretaget VLSI Technology som köptes upp av Philips.)

MiFare

Ganska lite har tidigare varit känt om CRYPTO1 och bland annat har det spekulerats att kryptot är en variant på 3DES. Det Nohl och Plötz nu visar är att CRYPTO1 istället är ett LFSR-baserat strömkrypto. LFSR-kedjan i CRYPTO1 är på 48 bitar med 20 tappar.

Bild från presentationen

Bilder från presentationen på CCC-konferensen finns här.

Som jag fattat det innebär inte detta att kryptot är helt knäckt, och tydligen har det sedan tidigare funnits brute force-attacker. Men att detta antagligen leder till snabbare attacker är nog en inte allt för vild gissning. Vi lär få återkomma.

Uppdatering 2008-01-03:
Albert påpekar i en kommentar att videon nu finns, både hos Google och hos CCC.

Ruptor påpekar i en kommentar att han tidigare publicerat källkod innehållande en attack av HiTag2-kryptot.

Jag blir inte helt klok på om det är samma krypto i HiTag2 och MiFare. Kryptot i källkoden har iaf en 48-bits LFSR-kedja. Någon som vet?

Mer uppdatering 2008-01-03:
Ruptor har även på cryptanalysis sida om den på CCC presenterade attacken länkat till sin kod och även till en PDF med specen för Hitag2. Karsten (som gjort analysen av CRYPTO1) verkar ha tittat på Ruptors kod och kommit fram till att det inte är samma krypto.