Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Dumheter » Kryptoblog

Archive for the ‘Dumheter’ category

XKCD om återanvändning av lösenord

September 13th, 2010

(Tack JakobE för tipset!)
Alltid lika pricksäkra nätserien XKCD har en ny serie som tar upp problematiken runt återanvändning av lösenord:
XKCD om återanvändning av lösenord.

Jag tyckeer ofta jag hör personer som resonerar att då nättjänster som Facebook inte är viktiga/känsliga behöver man inte bry sig om att skydda sitt konto, exempelvis med att använda olika och bra lösenord för varje tjänst. Dels har dom fel i sak, Facebook innehåller för många massor med personlig information.

Men sedan är det risken med att komma åt andra konton och samla ihop mer information på ett enkelt sätt som gravt underskattas. Slutligen är det ren säkerhetshygien att inte återanvända lösenord hur som helst. Ungefär som att alltid använda blinkers när man skall svänga…

Busiga säkerhetsfrågor

May 14th, 2010

Bruce Schneier postade för några dagar sedan om att hitta på bus med säkerhetsfrågor – den typ av frågor man måste ge ett svar på för att sedan kunna användas för att autenticera sig om det skulle behövas. Några av Schneiers förslag på frågor och svar är:

Q: Do you know why I think you’re so sexy?
A: Probably because you’re totally in love with me.

Q: Need any weed? Grass? Kind bud? Shrooms?
A: No thanks hippie, I’d just like to do some banking.

Q: The Penis shoots Seeds, and makes new Life to poison the Earth with a plague of men.
A: Go forth, and kill. Zardoz has spoken.

Q: What the hell is your fucking problem, sir?
A: This is completely inappropriate and I’d like to speak to your supervisor.

Q: I’ve been embezzling hundreds of thousands of dollars from my employer, and I don’t care who knows it.
A: It’s a good thing they’re recording this call, because I’m going to have to report you.

Q: Are you really who you say you are?
A: No, I am a Russian identity thief.

Naturligtvis hakar en massa läsare på och kommentarerna till Schneiers postning innehåller en del riktigt roliga – och en del riktigt bra frågor. För själva poängen är att om dessa frågor och svar skall vara bra säkerhetsmässigt skall dom inte vara enkla att gissa.

Naturligtvis var det mer än en som kom på att man skulle kunna använda dessa frågor som ett sätt att försöka attackera en tjänst, detta då det man matar in antagligen skickas rätt in i en databas. En som redan tänkt i dessa banor är Randall Munroe, skaparen av serien XKCD:
XKCD - Litte Bobby Tables.

Men nu visar det sig att detta antagligen hänt i verkligheten. BoingBoing har en postning om att banken The Sacramento Credit Union har följande information om vad som gäller för hemliga fraser:

The answers to your Security Questions are case sensitive and cannot contain special characters like an apostrophe, or the words “insert,” “delete,” “drop,” “update,” “null,” or “select.”

Gissningsvis har dom lärt sig detta den hårda vägen…

Phonekey – phoney säkerhet

May 13th, 2010

(Tipstack till Jakob.)

Computer Sweden skriver om Phonekey, ett svenskt företag som har en ny säkerhetslösning.

Enligt artikeln fungerar Phonekeys säkerhetslösning så här:

Tekniken innebär att du måste ringa ett speciellt nummer från din telefon innan det går att använda ditt betalkort, logga in på ditt konto på den sociala nätverkssajten eller komma åt någon annan tjänst som använder sig av det hänglås Phonekey innebär.

– Tekniken säkrar enkelt all korthantering och inloggning, säger Tonie Söderström, mannen bakom tekniken och en av grundarna.

Det företag som vill använda säkerhetsmekanismen installerar Phonekeys mjukvara på en server, låter användarna registrera sina telefonnummer och ger sedan användarna varsitt speciellt nummer att ringa när de vill använda företagets tjänster.

Användaren ringer två signaler till det anvisade numret och lägger på. Ett tidsfönster öppnas och användaren kan logga in eller använda sitt betalkort.

Enligt artikeln kan tekniken användas som en extra säkerhetsfunktion, eller som ersättning för lösenord eller pin-koder.

Visst låter det bra? Eller kanske inte. Låt oss göra en analys. (Jag vill poängtera att jag inte sett Phonekeys patent, utan bara det som står i artikeln.)

Vid en säkerhetsanalys gäller det att identifiera vilka premisser, förutsättningar och (ofta implicita) antaganden säkerheten bygger på. Och sedan funderar man på vad som händer om dessa premisser inte gäller – när det skiter sig (för att tala Dalsländska.)

Om vi tolkar artikeln rätt skall man innan man använder en tjänst som skyddas av Phonekeys lösning första gången, först registrera ett visst telefonnummer, exempelvis din mobil. Du får även ett speciellt telefonnummer att ringa upp med ditt registrerade telefonnummer för att aktivera den tjänst du vill använda när du vill använda den.

Man kan se denna mekanism som en separat autenticeringskanal för tjänsten. Att tjänsten inte är aktiv för en given användare om den först inte autenticerat sig via den separata kanalen är det som skall ge den extra säkerheten. Den som vill attackera en sådan tjänst behöver alltså både kunna ringa upp med det korrekta numret till den speciella numret innan det går att komma åt tjänsten (som i sin tur kanske skyddas av en identitetskod tillsammans med PIN-kod eller lösenord).

Pudelns kärna är att man litar på att det telefonnummer som ringer upp ett givet annat telefonnummer går att lita på. Tyvärr är det kanske inte något som är skrivet i sten. I USA är det relativt enkelt att utföra Caller ID Spoofing, dvs förfalska det uppringande numret. I Sverige är det svårare, men att det finns folk (som jobbar hos teleoperatörer) med kunskap, förmåga och möjlighet att förfalska ett uppringande nummer är nog inget falskt påstående.

Vidare, det nummer man får att ringa upp kan man knappast utgå ifrån att det är en hemlighet. Även om det är så att alla användare får ett eget, unikt nummer, vilket låter otroligt, är det svårt att se att det numret skulle kunna betraktas som en hemlighet att lita på.

Men det mest bekymmersamma med hela systemet är att det (att döma av artikeln) blir svårt att hantera säkerhetsproblem. Vad skall man göra om något så trivialt som att en användares mobil vars nummer har registrerats för en tjänst blir stulen? Att en användares mobil någon gång blir stulen är inte bara ett mer troligt scenario än att någon fejkar caller-ID, det är antagligen något som kommer att vara relativt vanligt.

Jag anser att bra säkerhet bygger på så få hemligheter som möjligt – och att dessa hemligheter är så lätta att byta ut som möjligt. En PIN-kod eller ett lösenord är bara en sekvens av tecken. Kan du inte lita på dom är det relativt lätt att byta ut dom. Att byta telefonnummer för att du inte kan lita på den längre för att logga in på din tjänst är inte alls lika enkelt.

Det vore intressant att veta hur Phonekey tänkt lösa dessa problem – hur spärrar man, byter nummer. Kan någon annan enkelt skicka in ett meddelande om att telefonen blivit snodd och att nu gäller ett annat nummer? Kan man säga att en given telefon blivit stulen och därmed orsaka ett DoS-problem för en användare?

Phonekeys mekanism kan ses som ett sätt att försöka krångla till accessen till en given tjänst genom att införa ett extra moment. Men att ersätta en PIN-kod med detta förfarande är fel. Det är snarare så att för att Phonekeys teknik över huvud taget skall ge en ökad säkerhet skulle dom behöva införa en PIN-kod som kopplar ett givet nummer (något du ev har) till kunskap om något (något du vet). Detta blir en så kallad tvåfaktors säkerhetslösning.

Och om det nu skulle visa sig gå fel – att caller-ID inte går att lita på, kommer Phonekey att täcka upp – vilka garantier lämnar dom?

Så tyvärr, jag tror inte på Phonekeys säkerhetslösning. Att dom får patent på den är ok, det finns många dumheter som patenterats. Det som vore tråkigt är om Phonekeys lösning används istället för bra, väl fungerande säkerhetsmekanismer. Att Fredrik Åhgren, VD för säkerhetsföretaget SE46 inte kan göra en vettig bedömning av Phonekeys hemmasnickrade säkerhetslösning är tyvärr lite skrämmande.

SHA-3 (sången, inte hashfunktionen)

April 27th, 2010

Sprang på en film på Youtube som visar att allt inte är torrt och seriöst på konferenser som Eurocrypt. Här är The SHA-3 Song:

Köp datorspel – sälj din själ

April 18th, 2010

Fox News rapporterar att en brittisk återförsäljare lagt beslag på 7500 kunders själar.

Sälj din själ.

Enligt artikeln hade återförsäljaren GameStation lagt in en klausul i sitt avtal om att kunderna vid köp av ett spel även skrev bort sin juridiska rätt till sin själ. Stycket i avtalet löd:


“By placing an order via this Web site on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant Us a non transferable option to claim, for now and for ever more, your immortal soul. Should We wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamesation.co.uk or one of its duly authorised minions.”
...
“we reserve the right to serve such notice in 6 (six) foot high letters of fire, however we can accept no liability for any loss or damage caused by such an act. If you a) do not believe you have an immortal soul, b) have already given it to another party, or c) do not wish to grant Us such a license, please click the link below to nullify this sub-clause and proceed with your transaction.”

Avtaltstexten lades in som ett första april-skämt, men GameStation vill även visa på en viktig poäng – folk läser inte avtalen de godkänner. GameStation kommer att skicka ut brev till sina kunder där sektionen i avtalet tas bort.

Det stora bekymret med den här typen av avtal är att det är så långa och krångliga att det som vanlig dödlig, icke-jurist knappast klarar av att läsa och begripa implikationerna (även om man nog fattat GameStations avtalstext). När Apple uppdaterade avtalet för iTunes för iPhone fick jag upp ett dokument på telefonen på 75(!) sidor att läsa igenom. I stort sett en DoS-attack på sina kunder att skicka ut en sådan text. Även Facebook, Google m.fl. har fått kritik för sina långa avtal.

I sammanhanget tycker jag att det arbete Alan Siegel gjort och som han presenterade på TED är helt rätt:

En riktigt besvärlig CAPTCHA

March 5th, 2010

Det här (ett skämt) skulle vara en riktigt besvärlig CAPTCHA:
Besvärlig CAPTCHA
... Och den skulle väl antagligen bara fungera så länge som ingen maskin klarat av Turingtestet.

Applikationen är säker – för att vi säger att det är så

February 13th, 2010

F-Secures Mikko Hypponen rapporterar på sin blog om ett intressant sätt att skydda användare av applikationer mot att råka köra elak kod.

Den stora mobilkonferensen GSMA World Congress 2010 börjar nästa vecka och tydligen har företaget Whatamap utvecklat den officiella konferensapplikationen. Miko fick ett meddelande till sin mobil om detta från ett för honom okänt nummer:

Meddelande ett.

Ok, någon vill att han skall köra en applikation. Hur vet man då att det verkligen är den officiella appen och kod man kan våga ladda ner och köra? Jo för att dom säger att det är ok:

Meddelande två.

Notera texten You can trust this application: it’s the official MWC 2010 mobile guide. Jamendåså, då måste det vara ok. När Mikko försökte köra koden fick han naturligvis följande varning:

meddelande tre.

Allvarligt talat. Även om det ibland kan vara si och så med hur signering sker, men det är väl ändå bättre än den här typen av trams.

Skall mobilsystemen bli en plattform för säkra transaktioner, ersätta plånböcker och e-handel är det dags att bli seriös vad gäller säkerhet. Och då böja städa i sitt eget bo.

Hemsk bugg i GRUB

December 6th, 2009

För ett tag sedan dök det upp en hemsk bugg i bootloadern GRUB.

GRUB

Grub 1.97 stödjer lösenordsbaserad autenticiering, vilket är bra. Problemet är hur Grub utför verifieringen av lösenordet. Så länge som användaren anger en sträng som matchar ett prefix av lösenordet accepterar grub det som ett korrekt angivet lösenord. Om korrekt lösenord är “password” accepterar grub exempelvis “p”, “pa”, “pass” som godkända lösenord. Hoppsan!

Mer information om buggen finns här och här. Det jag frågar mig är hur detta kan ske 2009? Hur kan man missa att antingen använda en teknik som gör längden ointressant (kryptografisk hashfunktion), eller kollar om längden på den givna strängen matchar lösenordets längd?

Pwnie Awards 2009

November 3rd, 2009

(Japp detta är en relativt gammal händelse…)

Pwnie Awards för 2009 delades ut på Black Hat och listan med årets vinnare finns här.

Pwnie

Bland vinnarna finns bästa server-side-bug som gick till Linux SCTP FWD Chunk Memory Corruption-buggen.

Priset för Best Mass 0wnage gick till Red Hat Networks Backdoored OpenSSH Packages.

Ännu ett finfint phisingförsök

February 6th, 2009

Fick ett mail med ett finfint phisingförsök för ett par dagar sedan:

Titel: Upgrade Your ltu.se Email


The Helpdesk Program that periodically checks the size of your e-mail space is sending you this information. The program runs weekly to ensure your inbox does not grow too large, thus preventing you from receiving or sending new e-mail. As this message is being sent, you have 18 megabytes (MB) or more stored in your inbox. To help us reset your space in our database, please enter your current user name

(_________________) password (_______________)

You will receive a periodic alert if your inbox size is between 18 and 20 MB. If your inbox size is 20 MB, a program on your Webmail will move your oldest e-mails to a folder in your home directory to ensure you can continue receiving incoming e-mail. You will be notified this has taken place.

If your inbox grows to 25 MB, you will be unable to receive new e-mail and it will be returned to sender. All this is programmed to ensure your e-mail continues to function well.

Thank you for your cooperation.
Help Desk.
Important: Email Account Verification Update ! ! !

Visst är det fint med väl markerade ställen att skriva i identitet och lösenord. Men mailquota? På 25 MBye? 2009? Jösses, var fick dom det konceptet ifrån….

Skall man vara ärlig och lite allvarlig var detta inte det sämsta phisingförsöket jag sett (den här, också riktad mot LTU-användare är mycket sämre.). Språket är bra och LTU har många utländska anställda och studenter så ett mail från Help Desk på engelska är rimligt.

Men ett phisingmail måste innehålla någon slags problem som mailet försöker uppmärksamma offret på. Och även om det handlar om webbmail tillhandahållet av ett universitet känns mailquota, speciellt i den storleken väldigt, väldigt gammaldags och inte speciellt trovärdigt.