Archive for March, 2008

Öppen utfrågning om IT-säkerhet

March 31st, 2008

Riksdagens utskott Trafikutskottet och försvarsutskottet anordnar en öppen utfrågning om IT-säkerhet. Utskotten skriver i inbjudan att:


IT-säkerhet är en viktig del i den fortsatta IT-utvecklingen där beroendet av IT-system i såväl offentlig som privat sektor alltmer ökar. Enligt vissa studier är mer än 99 procent av det svenska samhällets kritiska infrastruktur beroende av Internet som den stora bäraren av information.

Användningen av IT, som är väl integrerat i vårt samhälle, gör att frågor om tillit och säkerhet i våra IT-system måste beaktas inom alla samhällsområden och sektorer för att människor ska kunna känna förtroende för tekniken, för myndigheter och för e-förvaltningen. Det breda informationssäkerhetsarbetet i samhället och statens roll i detta är en fråga som kräver fortsatt och kontinuerlig analys, inte minst givet den snabba utveckling som kännetecknar IT-området.

Trafikutskottet och försvarsutskottet har därför tagit initiativ till en öppen utfrågning för att inhämta information om de aktuella utmaningarna på IT-säkerhetsområdet samt om vad som görs och behöver göras för att trygga säkerheten i den fortsatta utvecklingen av IT-samhället.

Utfrågningen inkluderar ett antal presentationer, bland annat kommer följande personer att hålla en presentation:


9.05-9.15 De samhällskritiska systemens sårbarhet
Dan Larsson, informationssäkerhetsexpert, Försvarets radioanstalt (FRA)

9.15-9.25 Hälsoläget på Internet i dag
Anne-Marie Eklund-Löwinder, kvalitets- och säkerhetschef, Stiftelsen för Internetinfrastruktur (.SE)

9.25-9.35 Nätangrepp – Trender och åtgärder
Kurt Erik Lindqvist, vd, Netnod Internet Exchange AB

9.35-9.50 Handlingsplan om informationssäkerhet
Ingvar Hellquist, chef informationssäkerhetsenheten, Krisberedskapsmyndigheten (KBM)

9.50-10.05 Säker och robust elektronisk kommunikation
Anders Johanson, chef, nätsäkerhetsavdelningen
Stefan B. Grinneby, chef för Sitic (Sveriges it-incidentcentrum)
Post- och telestyrelsen (PTS)

10.20-10.30 Kampanjen Surfa Lugnt – erfarenheter och utmaningar
Roland Ekström, projektledare, Kampanjen Surfa Lugnt

10.30-10.40 Internetframsyn och IT-säkerhet
Östen Frånberg, projektledare, Kungl. Ingenjörsvetenskapsakademien (IVA)
(Internetframsyn är ett IVA-projekt om Internets framtidsfrågor)

Utfrågningen sker i Andrakammarsalen i Riksdagen och startar 09:00. Det kommer även att sändas webb-TV från utfrågningen och den startar 08:50. URL:en till webb-TV kommer att publiceras på sidan om utfrågningen.

Hagelinmaskin på eBay

March 31st, 2008

Just nu finns det en Hagelin C-36 kryptomaskin till salu på eBay.

Hagelin C-36
Maskinen till salu på eBay.

Boris Hagelins C-36 är en mekanisk kryptomaskin från tiden för andra världskriget. Maskinen är byggd i Stockholm av A.B Cryptoteknik

Bild på tillverkarens skylt.

Är du kryptofantast och har en massa pengar du inte vet vad du skall göra av med är det bara att kasta in ett bud.

Historierevisionism och en ny kamp om krypto?

March 25th, 2008

Kryptoexperten Matt Blaze har bloggat vad han ser som historierevisionism vad gäller Clipperchippet. Utgångspunkten är ett uttalande i en intervju med USA:s National Intelligence-chef Mike McConnell. Det Mike i intervjun säger och det Matt Blaze reagerar på är det här:


In the nineties, new encryption software that could protect telephone conversations, faxes, and e-mails from unwarranted monitoring was coming on the market, but the programs could also block entirely legal efforts to eavesdrop on criminals or potential terrorists.

Under McConnell’s direction, the N.S.A. developed a sophisticated device, the Clipper Chip, with a superior ability to encrypt any electronic transmission; it also allowed law-enforcement officials, given the proper authority, to decipher and eavesdrop on the encrypted communications of others.

Privacy advocates criticized the device, though, and the Clipper was abandoned by 1996. “They convinced the folks on the Hill that they couldn’t trust the government to do what it said it was going to do,” Richard Wilhelm, who was in charge of information warfare under McConnell, says.

Matt Blaze var engagerad i debatten om Clipperchippet och ett skäl till att han blir upprörd är att Mike McConell i sitt uttalande får det att framstå som att tekniken bakom Clipperchippet var bra.

Sanningen är dock att Matt Blaze och andra forskare visade att tekniken inte bara inte gav ett bra skydd, utan att det även drogs med problem som riskerade att exponera användarna för olika typer av säkerhetsproblem. Detta finns bland annat presenterat i Matt Blaze artikel Protocol Failure in the Escrowed Encryption Standard.

Clipperchippet var alltså ett chip avsett att kryptera kommunikation (med hjälp av blockkryptot Skipjack), men där myndigheter skulle kunna gå in och låsa upp kommunikationen för att kunna avlyssna trafiken.

Chippet tillverkades av Mykotronix som numera är en del av Safenet. På Flickr finns en del fina bilder på en Clipperutrustad telefon med ett tillhörande audiokopplat modem.

AT&T:s telefon
AT&T:s telefon TSD-3600E från 1993.

Mykotroniks clipperchip.
MYK-78T – Clipperchippet.

Varför tar jag nu upp detta? Jo, jag börjar få en hemsk känsla i magen om att vi är på väg mot en ny debatt/fight om privatpersoners rätt att använda kryptoteknik. I USA, Europa och i Sverige lagstiftas det på flera håll om begränsningar i användningar av hackerverktyg samt ökad elektronisk övervakning. Ett sådant förslag är regeringens förslag om utökad lag för att stoppa privat användning av avkodningsutrustning. I förslaget (sid12) finns en skrivning som öppnar upp för reglering av väldigt många typer av kommunikation:


De tjänster som skyddas enligt avkodningslagen är ljudradio-eller TV-sändningar som är riktade till allmänheten, varje annan tjänst som utförs elektroniskt, på distans och på begäran av mottagaren, samt tillhandahållandet av villkorad tillgång som en tjänst i sig.

Lagen omfattar således inte bara tjänster som traditionell betal-TV eller betalradio utan också tjänster som beställvideo (video on demand), music on demand, elektronisk utgivning och ett stort urval andra online-tjänster (jfr prop. 1999/2000:49 s. 11).

Visst den lagen begränsar inte din rätt att kryptera dina mail, men jag ser den som en del i ett mönster. Och den historierevisionism Matt Blaze uppmärksammar är även en del i detta mönster.

Är det dags att skaffa foliehatt – eller är det dags att börja kämpa?

Avhandling om juridiken runt DRM-skydd

March 25th, 2008

Karl Jonsson har bloggat om att Kristoffer Schollin, doktorand vid Handelshögskolan i Göteborg skall presentera en avhandling om Digital Rights Management (DRM).

Kristoffer Schollin

Webbplatsen för juridiska institutionen på Handels har mer information om disputationen:


Fredagen den 28 mars disputerar Kristoffer Schollin på sin avhandling Digital Rights Management – the New Copyright.

Disputationen äger rum i SKF-salen och börjar kl. 13:00. Avhandlingen är en kritisk analys av Digital Rights Management (DRM) som rättsligt fenomen i ett föränderligt område: ”DRM is examined from a range of perspectives as a tool of normative communication and regulation as well as ideological systematization of rights and positions of control”.

Skyddet i Blue-Ray Disc knäckt

March 25th, 2008

SlySoft, tillverkaren av DVD-programvaran AnyDVD har meddelat att den senaste versionen av AnyDVD klarar av att kopiera Blue-Ray-skivor.

Blue-Ray Disc

SlySoft skriver:


Film studios that have switched to Blu-ray may have crowed a little too early because the much-praised BD+ copy protection is an ad absurdum affair now, too. With today’s release of version 6.4.0.0 of AnyDVD HD it is now also possible to make backup security copies of Blu-ray discs protected with BD+.

Richard Doherty of the Envisioneering Group will have to revise his statement from July, 2007 regarding BD+: “BD+, unlike AACS which suffered a partial hack last year, won’t likely be breached for 10 years”. It is worth mentioning that since he made that statement only eight months have gone by.

Peer van Heuen, head of High-Definition technologies at SlySoft adds: “Admittedly, we are not really so fast with this because actually we had intended to publish this release already in December as promised. However, it was decided for strategic reasons to wait a bit for the outcome of the “format war” between HD DVD and Blu-ray. On top of that, we first wanted to see our assumptions confirmed about the in the meantime released BD+ titles regarding the BD+ Virtual Machine. We are rather proud to have brought back to earth the highly-praised and previously “unbreakable” BD+. However, we must also admit that the
Blu-ray titles released up to now have not fully exploited the possibilities of BD+. Future releases will undoubtedly have a modified and more polished BD+ protection, but we are well prepared for this and await the coming developments rather relaxed”.

BoingBoing har en tråd med mer information. Bland annat verkar det som att kopior på filmer skyddade med BD+ har börjat dyka upp på olika nätverk.

Det som inte är klart är hur BD+ har knäckt, och egentligen är det inte så intressant. Det viktiga är att skyddet har eliminerats på något sätt. Man kan se den här nyheten som ett exempel på vad som antagligen kommer att hända med Adobes nya DRM-skydd.

Skydda din laptop mot dataförluster

March 25th, 2008

Den senaste tiden har det kommit allt fler rapporter om laptops som blivit konfiskerade eller där hårddisken blivit klonad av säkerhetskontrollen på flygplatser. De flesta av dessa händelser har skett i USA, men även i England och Sudan har detta skett.

En typ av laptop som tydligen är extra besvärlig är Apples nya Macbook Air som ställer till det för säkerhetspersonalen. Enligt TSA är det i första hand den SSD-hårddisken som inte ser ut som förväntat vid röntgenundersökningen.

C|NET har publicerat en krönika av Declan McCullagh kallad Laptop Border Guide som kommer med tips på hur du skyddar din laptop mot problem i säkerhetskontrollen.

Krönikan kommer med olika tips utifrån hur paranoid (viktigt du tar din säkerhet). Jag tycker kanske att utgångspunkten (skydda din laptop mot säkerhetskontroller) är lite fjompig, men jag tycker att guiden innehåller bra tips för att skydda din laptop generellt. Det är ju inte bara i säkerhetskontroller en laptop kan hamna i orätta händer.

Jag kan inte låta bli att dra paralleller mellan flygindustrin och film- och skivndustrin och deras försök att med olika typer av lagförslag och tekniska lösningar försöker styra, kontrollera och övervaka sina kunder. Utgångspunkten är att kunderna är misstänkta och behandlas därefter. Och detta är dessutom en affärsmöjlighet.

Jag är därför inte förvånad över att dett det dyker därför upp ett antal olika förslag på hur passagerarna skall förses med olika typer av prylar som håller koll på dom. Eftersom RFID-teknik är populärt är det inte alls förvånande att något kommit med ett förslag att sätta RFID-taggar på alla passagerare.

För problemet med laptop-datorer finns det även förslag på speciella, TSA-godkända laptopväskor. Som en kommentar på Schneiers blog påpekar:


Some company’s gonna make overpriced “TSA Approved” bags and there’s gonna be lots of buyers. Quite surely. “TSA Approved” certainly sounds like an excellent marketing tool too. This is so funny…

Det senaste förslaget är att utrusta samtliga passagerar med armband som kan avge elektriska stötar (motsvarande en tazer-pistol):


A method of providing air travel security for passengers traveling via an aircraft comprises situating a remotely activatable electric shock device on each of the passengers in position to deliver a disabling electrical shock when activated; and arming the electric shock devices for subsequent selective activation by a selectively operable remote control disposed within the aircraft.

The remotely activatable electric shock devices each have activation circuitry responsive to the activating signal transmitted from the selectively operable remote control means. The activated electric shock device is operable to deliver the disabling electrical shock to that passenger.

Är det någon mer än jag som funferar på vilken säkerhetsrisk ett sådant system utgör? Om någon tar över kontrollen till strömstötutrustningen går det antagligen att använda passagerarna som gisslan. Och vad skulle kunna hända om strömmen i utrustningen appliceras på flygplanet?

Det mest skrämmande är dock att någon antagligen tycker att detta är en bra idé...

Kommentar om Flash Media Rights Management Server

March 21st, 2008

I går blev jag uppringd av Peter Larsson på IDG angående Adobes nya DRM-system Flash Media Rights Management Server. Jag tycker att Peter fångade vad jag sa, men tänkte passa på att förtydliga mig lite.

Som jag ser det är det tekniskt mycket svårt att bygga ett fungerande DRM-skydd. Detta för att det finns så många olika sätt att attackera.

Ett sett kan vara att attackera de underliggande algoritmerna och protokollen. Ett annat sätt är att attackera implementationen – antingen implementationen av säkerhetssystemet eller applikationen som skyddas av säkerhetssystemet. I kopieringsskyddens forntid var det exempelvis vanligt att helt enkelt ta bort anropen till koden som kontrollerade licensnycklar.

Ett tredje sätt är att helt enkelt gå runt säkerheten, bland annat genom det analoga hål som Peter Larsson tar upp. På 80-talet var det vanligt att folk bytte VHS-filmer med varandra och beroende på hur många kopior som föregått kopian kunde kvaliteten vara rätt dassig. I dag sker digital-analog-digital-konverteringar ofta med extremt hög kvalitet, och väl i en sådan klass att många är nöjda. Att stoppa detta hål ser jag är svårt då media i slutändan skall bli ljus och ljud som skall fångas upp av våra sinnen.

Men det viktiga är att jag närmast blir förvånad över att någon 2008 försöker lansera nya DRM-system. Kopieringsskydd och olika metoder att styra konsumenternas sätt att använda det dom betalt för upplever jag är något som hör gårdagen till. Att allt mer musik i iTunes Store är fri från kopieringsskydd, att BBC satsar för fullt på öppna mediaformat är bara två exempel.

Vad tror du?

Kreditkort med RFID – utan skyddmekanismer!

March 20th, 2008

Boing Boing TV (BBtv) har ett reportage från O’Reillys Emerging Technology-konferens som visar hur American Express nya kreditkort med inbyggt RFID-chip visar sig släppa i från sig kortnummer, namn på personen kortet är utställt till och giltighetstiden – detta utan några som helst krav på autentisering från läsaren eller andra skydd av informationen.

Minst sagt skrämmande. Skrämmande att ett företag som sysslar med krediter 2008 kan släppa en sådan här osäker produkt och skrämande att man uppenbarligen bryr sig så lite om sina kunders säkerhet.

Pablos Holman mannen i videon som demonstrerar attacken, använder en RFID-läsare han enligt egen utsago köpt på Ebay för 8 USD, så mycket är American Express kunder säkerhet värd.

Allt du vill veta om minnessystem

March 20th, 2008

Ulrich Drepper, pappa till glibc, har skrivit ett imponerande dokument om minnessystem kallat What Every Programmer Should Know About Memory.

Ulrich Drepper

Dokumentet är en genomgång av väsentligen allt du som programmerare (och andra) skulle kunna vara intresserad av vad gäller minnessystem.

Från grundläggande koncept som vad en minneshierarki är, vad som menas med sidor, rader och block och vad ett cacheminne är till information om hur ett DD3-minne arbetar, cache trashing i multicore-system, olika typer av uppdateringspolicy för cacheminnen, minnessystem med icke-uniform access (NUMA, COMA) och mycket, mycket mer.

Det här dokumentet innehåller material motsvarande en rejäl högskolekurs i datorarkitektur och jag önskat att jag hade haft det här dokumentet när jag började arbeta med processor- och datorarkitektur. Och jag är glad att jag har det nu.

Dokumentet är inte utan sina fel och brister, det erkänner Drepper själv utan omsvep i sin blog. Men av det jag har läst tycker jag att han inte bara har bra koll på såväl övergripande koncept såsom detaljer, utan har även en förmåga att uttycka dom.

Och varför skall du nu läsa detta dokument? Speciellt med tanke på IT-säkerhet? Jo, därför att dokumentet bland annat förklarar varför varianser i accesstid till en tabell med data (exempelvis en S-box i ett krypto) kan uppstå, vilket kan leda till oönskade sidoeffekter.

I en tid när antalet processorkärnor går upp (kärnor som på olika sätt är kopplade till varandra via ett delvis gemensamt minnessystem) blir det allt svårare att gissa hur minnesaccesser och därmed exekveringstiden för ett program kommer att fungera. Att som programmera då kunna läsa på vilka effekter som kan uppstå och hur man kan mäta och hantera dessa effekter är helt klart ett steg framåt.

Hälsa på ditt IT-säkerhetshot

March 18th, 2008

MessageLabs har skapat bilder av olika typer av IT-säkerhetshot. Med utgångspunkt från källkoden har konstnären Alex Dragulescu skapat bilder av olika virus, trojaner och andra typer av hot. Så här ser exempelvis viruset (masken) Netsky ut:

Netsky

Och här är spywareprogrammet Ghost:

Ghost

Det jag gärna hade sett är hur olika versioner/varianter av samma hot ser ut. Det är inte alls säkert att detta leder till några större fördelar och att det underlättar förståelsen. Men fräckt är det.