Archive for September, 2009

Guide till säkerhetsprocessorer

September 24th, 2009

I Juli publicerade analysföretaget The Linley Group en ny version av sin analysrapport om säkerhetsprocessorer. Rapporten är dyr som attan (2995 USD), men ger en bra bild över vilka som tillverkar processorer för säkerhetsområdet och vilka trenderna är.

The Linley Group logga.

Vill du inte lägga ut så mycket pengar, me ändå är nyfiken finns en PDF med sammantattning, innehållsförteckning m.m. Den ger tycker jag en bra bild i sig. Några snabba utdrag:

This report covers processors that integrate high-throughput encryption, such as Cavium’s Octeon families, RMI’s XLR/XLS/XLP, and Freescale’s MPC8572 and P4080. We also cover unique processors from Netronome and Tilera, which integrate 40 or more cores and target network-security applications. In addition, the report examines vendors developing content-inspection accelerators: LSI, NetLogic, Lionic, and cPacket. Finally, we cover IPSec and SSL accelerators from Cavium, Exar (Hifn), SafeNet, and Broadcom.
...
In the emerging market for content-inspection accelerators, vendors offer a mix of chip- and board-level products complemented by extensive soft- ware, including regular-expression compilers. These products can accel- erate database searches for Layer 7 applications. The early leader in reg- ex accelerators is LSI, which acquired startup Tarari in 2007. NetLogic, the leading vendor of network search engines (TCAM), reached produc- tion with its first content-inspection chip set during 2007. During 2008, both LSI and NetLogic introduced low-cost chips that expand the market for reg-ex accelerators. Meanwhile, Cavium and Freescale have integrated this function into their respective integrated-security processors. Once it completes its acquisition of RMI, NetLogic may also pursue this integra- tion step.

Generera streckkoder

September 19th, 2009

Sprang på ett fräckt Pythonlib för att generera streckkoder. hyBarcode stödjer alla fyra vanliga typer av streckkoder inklusive datamatrix och qrcode:
qrcode.
qrcode genererad med huBarcode.

Fixar du FRAs utmaning?

September 16th, 2009

Jag såg att FRA har ett antal lediga tjänster inom såväl teknisk signalspaning, analytiker och även ett spännande exjobb i Göteborg om parallellprogrammering framtidens processorer (och då Javaprogrammering?!). Annonsen för tjänsten som Analytiker inom IT-säkerhetsområdet är lite speciell, den innehåller nämligen en liten utmaning:
RXhrbHVzaXZ0LCBlbGxlcj8gTWVuaW5nZW46IAssKS43JicwI2
IxNCMwJyxiMqdiJLQuKCMsJidiJDCnJS0wYitiJissYiMsMbQp
Iyx4YnNsYgo3MGIvpywlI2ItLispI2I2OzInMGIjNGIvpiwsKz
EpLTBiJCssLDFiJic2fWJwbGIKNzBiL6csJSNiLycmIzBiKiMw
YicsYgwNEm8xLqYmJ30=

Fixar du den?

NIST om molnsäkerhet

September 15th, 2009

Uppdaterad med korrekt länk – tack maf!
(Det här är en gammal postning som jag inte fick klart i våras. NISTs rapport är dock så intressant att det är fortfarande känns relevant.)

NIST har börjat titta på säkerhet för molnet. Det finns bland annat en bra presentation om moln (Cloud Computing) och de säkerhetsmässiga implikationer det för med sig att flytta sina applikationer in i molnet.

NIST har även publicerat ett utkast till standard (rekommendationer) om säkerhet i molnet, ett utkast som lovar gott och är väl värd att läsa.

KBMs ypperliga rapport om säkerhet för SCADA-system

September 15th, 2009

Förra året släppte Krisberedskapsmyndigheten (KBM, numera en del av MSB) en ypperlig rapport om säkerhet för industriella kontrollsystem, även kallade SCADA-system. Rapporten är indelad i tre stora delar.

Den första delen innehåller en definition av vad SCADA system är och vad som skiljer denna typ av system från exempelvis ett administrativt IT-system. Andra saker som tas upp är var SCADA-system finns, hur de används och behovet av skydd.

Den andra delen innehåller en detaljerad beskrivning av rekommendationer och riktlinjer. Efter att ha presenterat PDCA-modellen kommer en genomgång av 15 olika aktiviteter och en av rapporten styrka tycker jag är att varje aktivitet innehåller ett bra, enkelt förklarande exempel på de risker och problem varje aktivitet behandlar. Mitt i allt det komplexa och teoretiska finns alltid ett exempel som visar att det inte behöver vara så krångligt.

PDCA-modellen.
PDCA-modellen.

Den tredje delen är en extensiv referenslista över relevanta standarder. Men denna del är inte bara ett appendix, utan varje referens åtföljs av kommentarer som förklarar vad respektive standard och dess delar behandlar och är till för.

Rapporten, framtagen av Åke J. Holmgren (KBM-SEMA), Erik Johansson (KTH) and Robert Malmgren kan med fördel läsas av såväl beslutsfattare som tekniska chefer satta att ansvara för att skydda SCADA-system och tekniker som implementerar skyddet.

Att en svensk myndighet tar fram en sådan här bra rapport gör mig riktigt glad. Heja KBM!

Felrapporterad FileVault

September 14th, 2009

För ett par dagar sedan skickade jag in en felrapport till Apple om några problem med deras diskkryptering FileVault.

När jag försöker slå på FileVault för min användare i System Preferences dyker det upp en dialogruta som säger:


You can’t turn on FileVault to protect the home folder of this user account.

The home folder is located on a volume that isn’t in Mac OS Extended format.

Men om jag använder verktyget Disk Utility rapporterar den att volymen är av typen:
Mac OS Extended (Case-sensitive, Journaled)

Lite sökning ger att FileVault inte stöds för volymer som stödjer stora och små bokstäver(!). Jag anser att det här finns ett antal problem:

  1. Det uppenbara – att FileVault inte går att använda på ett av de standardformat Apple låter dig som användare välja när du formatterar din volym.

  2. Att Apples formatteringsverktyg vid formattering inte varnar att det valda formatet gör att FileVault inte går att använda.

  3. Att felmeddelandet som dyker upp när man försöker slå på FileVault är felaktigt och förvirrande.

I dag kom ett svar från Apple:


Thank you for filing this issue via Apple’s bug reporting system. Apple takes every report of a potential security problem very seriously.

After examining your report we do not see any actual security implications. However, we do feel that it should be addressed.

Att en viktig säkerhetsfunktion inte går att använda, att jag som användare inte får en varning när jag gör ett val som slår ut säkerhetsfunktionen och att felmeddelandet är förvirrande och felaktigt har alltså inga säkerhetsimplikationer?

Till Apples försvar är det väl så att de ser security som en fråga om säkerhetshål. Förhoppningsvis kommer Apple att till en ny version av sitt OS (ett okänt antal releaser framåt i tiden) stödja FileVault även för denna typ av volym. Men gissningsvis fixar dom till felmeddelanden. Sedan är det frågan om inte det här problemet är överspelat den dag Apple äntligen erbjuder fullt utbyggt stöd för filsystemet ZFS. Jag hade hoppats på att kunna börja använda ZFS, men tyvärr försvann stödet för filsystemet strax innan OS:et släpptes.

Så vad göra istället? Tyvärr fungerar inte PGPs diskkryptering på Snow Leopard. JakobS tipsade om att Patrik Karlsson på cqure.net, skaparen av ett otal säkerhetsverktyg byggt en snygg lösning baserad på TrueCrypt. Enligt ett blogginlägg av Patrik har han lyckats koppla in TrueCrypt till systemets nyckelring och LoginHooks och det går nu att skydda en hemkatalog med TrueCrypt. Snyggt!

Tio tips för att skydda dina prylar

September 13th, 2009

Lifehacker har en sida med tio tips om hur du skyddar dina prylar – all ifrån din laptop till din lunchmacka. Tipsen handlar mycket om att göra dina prylar mindre intressanta för någon att sno. Lunchmackan kan enligt Lifehacker lämpligtvis placeras i en påse med mögelfläckar:
Mmmm, ser jättemumsig ut.
Mmmm, visst ser den mumsig ut – hoppas bara att ingen slänger bort den.

Några andra tips handlar om hur du på ett bra sätt förstör informationsbärare du skall göra dig av med – exempelvis hur du förstör en hårddisk eller hur du klipper sönder ett gammalt kreditkort (från bloggen Wallet pop):

Återanvänd text om FPGAer och säkerhet

September 11th, 2009

Myndigheten för samhällsskydd och beredskap (MSB) bildades första januari 2009 och tog då över verksamhet från Räddningsverket, Krisberedskapsmyndigheten samt Styrelsen för psykologiskt försvar. I brist på annat att göra när man ligger med en eventuell svininfluensa slösurfade jag på MSBs webbplats. En sak jag gjorde var att söka på ordet kryptering och fick då upp KBMs gamla rapportserie Nyhetsrapport – omvärldsbevakning ur ett krypteringsperspektiv.

Enligt informationsrutan i rapporterna är:

Nyhetsrapporten är utgiven av Combitech AB på uppdrag av Försvarets materielverk (FMV) och Krisberedskapsmyndigheten (KBM). Nyhetsrapporten kommer ut ungefär tre gånger per år. Tidigare utgåvor kan erhållas genom att kontakta redaktören. Innehållet fokuserar på krypto, men kan även innehålla andra säkerhetsrelaterade notiser. Nivån är övergripande för att ”alla” och inte bara branschfolk skall ha glädje av den.

Intressant nog hävdar webbplatsen ovan att: Nyhetsrapporterna är utgivna av AerotechTelub, men det är nog mest en detaljfråga. Jag tycker att rapporterna är väl värda att läsa med såväl nyheter som förklaringar av kryptografiska funktioner och begrepp. Det är synd att nyhetsrapporten snarare verkar komma ut en gång per år än tre gånger per år som informationsrutan vill göra gällande. (Kommer nyhetsrapporten att komma ut under MSBs regi också, någon som vet?)

En sak i nyhetsrapporten från april 2008 gjorde mig tyvärr lite fundersam. Rapporten innehåller ett stycke om NSA och SRAM-baserade FPGAer för kryptosystem som tar upp det arbete NSA och Xilinx genomfört – ett arbete jag bloggade om i slutet av augusti 2007 med rubriken… NSA och SRAM-baserade FPGAer för kryptosystem

I nyhetsrapportens text läser jag bland annat:

National Security Agency (NSA) och FPGA-tillverkaren Xilinx [1, 3] har genomfört ett intressant projekt vad gäller säkerhetskonstruktioner med hjälp av Field-programmable gate array (FPGA). Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGA:er samt utvecklat metoder och verktyg för att implementera system som möter NSAs säkerhetsklass Fail Safe Design Assurance (FSDA).
...
Att implementera kompletta säkerhetssystem i en FPGA:er har tidigare undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation [2] inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering internt på chippet och chip med funktioner som arbetar med olika säkerhetsklasser.

Hmmm…. Jag tycker att jag känner igen den där texten. Min egen bloggpostning innehåller texten:

NSA och FPGA-tillverkaren Xilinx genomfört ett i mitt tycke extremt intressant projekt. Vad NSA och Xilinx har gjort är att både analysera säkerheten i SRAM-baserade FPGAer samt utvecklat metodik och verktyg för att implementera system som möter NSAs säkerhetsklass FSDA - Fail Safe Design Assurance.
...
Att implementera kompletta säkerhetssystem i en FPGA har även det undvikits av rädsla för att det inte skall gå att upprätthålla röd/svart-separation inne i FPGA:n, med risk för informationsläckage och säkerhetsproblem.
...
Exempel på vad NSA vill kunna implementera i en FPGA är redundanta kryptoenheter, röd/svart-separering intern på chippet och chip med funktioner som arbetar med olika säkerhetsklass.

Kryptoblog är en blogg – en öppen text. Därmed är det fritt att länka och referera till vad jag skriver, och ingen blir gladare än jag om det jag skriver används för att sprida information om krypto i sverige (förhoppningsvis inte som driftkuku och exempel på tokfrans). Men om ni lånar min text får ni helst se till att tala om att ni lånat den på Kryptoblog. Tack!.

Opengov samt Lundblad om FRA

September 11th, 2009

Två snabba länkar. Opengov.se är en ny, mycket intressant blogg och ett bra initiativ av Peter Krantz. Syftet med bloggen enligt honom är:


I andra länder pågår just nu aktiviteter för att tillgängliggöra offentlig information digitalt. Med tillgång till digital information skapa möjligheter för medborgare att bilda sig en uppfattning om hur offentlig sektor förbrukar medel och presterar. Samtidigt blir det möjligt att skapa nya e-tjänster på medborgarnas villkor och starta företag för att vidareförädla information. På opengov.se hoppas jag att kunna synliggöra den data som finns undanstoppad i svensk offentlig sektor och bidra till att mer av den släpps fri.

Nicklas Lundblad har postat om att det är synd om FRA. Nicklas skriver att FRA knappast skulle kunnat bidra till ett attentat som bombningarna i London:


Låt oss ställa en rak och enkel fråga. Hade något av mejlen som skickades om planerna i Storbritannien kunnat fångats med hjälp av signalspaning utförd med stöd av FRA-lagen? Om svaret är ett entydigt nej – och det tror jag att det är – så visar det två saker: för det första hur litet lagen kommer att betyda för vår säkerhet och för det andra hur oerhört lätt det är att bara använda enkla, närmast steganografiska metoder för att försvinna ur söknäten.

USAs myndigheter skall börja använda OpenID

September 10th, 2009

Enligt en nyhet på Programmable Web skall USAs myndigheter börja implementera stöd för OpenID och InfoCards. När börjar svenska myndigheter med OpenID på bred front?