Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Dumheter » Kryptoblog

Archive for the ‘Dumheter’ category

Gott nytt kryptoår!

January 1st, 2008

Det börjar dra ihop sig till att lägga 2007 till handlingarna. Tack för alla trevliga och intressanta kommentarer, mail och tips på uppslag jag fått under året!

Jag tänkte avsluta med ett lite kryptonöje. J & F på Kirei tipsade för ett tag sedan om en fantastisk simulator av Enigma-kryptot kallad Enigma Simulator.

Huvudfönstret

Som synes ett mycket snyggt gränssnitt som försöker fånga utseendet och den mekaniska känslan hos en Enigma-maskin. (Jag har inte kommit på hur man skall koppla in matningen i övre hörnet… 😉 Simulatorn inkluderar ett separat fönster för bland annat kopplingspanelen.

Steckerbrett

Att leka lite med Enigma-simulatorn är något jag tyckte var klart skoj och kan klart rekommenderas. Här kommer därför en liten starthjälp, en kodsträng att testa på. För att göra det lite mer nyårsdags-anpassat är inställningarna enligt följande:


Initial position: A, A, R
Left rotor: II, ringstellung: N
Middle rotor: III, ringstellung: E
Right rotor: IV, ringstellung: W
Reflector: C

Steckerbrett:

K – R Y – P T – O

Och därmed avslutar jag helt enkelt 2007 med att säga: DAZYVCGGDMHVRLYPUZTLJNPXZA !!

Dagens säkerhetsdumhet presenteras av….

November 15th, 2007

FPGA-leverantören Xilinx.

Var precis inne på Xilinx webbplats och upptäckte att på sidan för att ladda ner utvecklingsverktyg fanns den här uppmaningen till Xilinx användare:


Turn off virus scanner to reduce installation time. Download file will contain installations for multiple platforms. After downloading, unzip the file and run “setup”

Detta på en webbplats som endast är skyddad med ett lösenord. Jag som användare har ingen möjlighet att verifiera att:

  1. Sidan verkligen tillhör Xilinx och är en del av deras webbplats.

  2. Programmet som laddas ned kommer från Xilinx

  3. Programmet som laddats ned inte påverkats på vägen

Att då uppmana sina användare att stänga av viruskontrollen är kort sagt uselt säkerhetstänkande. Xilinx använder SSL/TLS på delar av sin webbplats, men inte på sidan för nedladdning. Och hur svårt är det egentligen att ta fram och publicera information om storlek och signatur för de filer man gör tillgängliga? (Även om en sådan information behöver skyddas den också – om webbplatsen är hackad är antagligen den informationen inte att lita på.)

Jag har skickat en kommentar/uppmaning till Xilinx om att ta bort sin uppmaning och tänka till på säkerheten. Om jag får ett svar återkommer jag.

En kollega kom för övrigt med en bra observation: Varför är det så få kommersiella företag som publicerar signaturer för de filer och program de gör tillgängliga? Ser man MD5-, SHA-signaturer kan man nästan vara säker på att leverantören är ett öppen/fri kod-projekt.

Intelligenta algoritmer och dumma människor

November 13th, 2007

Jag har tidigare skrivit om CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, dvs automatiserade tester avsedda att särskilja människor och maskiner.

Syftet med CAPTCHA är att kunna blockera maskiner från access till olika resurser, exempelvis diskussionsforum eller nätspel, men samtidigt inte hindra mänskliga besökare. Ofta är CAPTCHA:n utformad som en förvrängd bild där människans förmåga att tolka bilder utnyttjas:

Typisk CAPTCHA.
(Typiska CAPTCHA-bilder lånade från Wikipedia.)

CAPTCHA och intresset för att komma åt de tillgångar CAPCTHA-tekniken skyddar har lett till ett ställningskrig mellan de som utvecklar CAPTCHA-algoritmer och de (typiskt SPAM-troll) som försöker hitta på algoritmer för att knäcka CAPTCHA-algoritmerna. Men om man nu tycker att det är svårt att hitta på smarta algoritmer för att attackera CAPTCHA kan man istället ta till dumma människor.

Computerworld hade för ett tag sedan en artikel om hur spammare använder access till porr för att locka användare att tolka CAPTCHAs plockade från webbplatser spammarna vill få access till:


Spammers are using a virtual stripper as bait to dupe people into helping criminals crack codes they need to send more spam or boost the rankings of parasitic Web sites, security researchers said today.

A series of photographs shows “Melissa,” no relation to the 1999 worm by the same name, with progressively fewer clothes and more skin each time the user correctly enters the characters in an accompanying CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart), the distorted, scrambled codes that most Web mail services use to block bots from registering hundreds or thousands of accounts. Spammers rely on Web e-mail accounts because they’re disposable; by the time filters have blocked the address, the spammers throw it away and move on to another.

The CAPTCHAs that Melissa feeds to users are, in fact, legitimate codes snatched from Yahoo Mail’s signup screens, said analysts at Trend Micro Inc. The hackers, frustrated at their inability to come up with a way to automate account registration, are getting users to do their dirty work.

“They’re using human beings in semi-real time to translate CAPTCHAs by proxy,” said Paul Ferguson, a network architect at Trend Micro. “You have to give them this, it’s clever.”

Each time the user correctly decodes the CAPTCHA, a new Melissa photo is revealed, pulled from a hacker-controlled server in Israel, according to Symantec Corp. The plain-text decodes are sent to that same server, where they are presumably banked for future use in generating large numbers of Yahoo Mail accounts.

På Wikipedias sida om CAPTCHAs finns även en länk till en sida med information om där människor anställts för att sitta och lösa CAPTCHAS, på liknande sätt som folk anställs för att träna upp karaktärer i spel som World of Warcraft. (Den sidan kallar fenomenet Turing farm.)

Jag vill ändå separera dessa två typer av attacker mot CAPTCHAs där människor plockas in som beräkningsenheter. I det förra fallet handlar det om att på olika sätt lura och locka folk att hjälpa till med något de annars inte hade ställt upp på. Och frågan är hur man skyddar sig mot detta. Finns det bra sätt att tekniskt stoppa denna typ av attack?

Dels kan man försöka stoppa möjligheten att skicka CAPTCHAn vidare, vilket i sig inte är helt lätt. Men frågan är om CAPTCHA-tekniken i sig går att förändra? Jag bloggade för ett tag sedan om knäppa CAPTCHAs, men det kanske är så att för vissa webbplatser är CAPTCHAs med domänspecifik semantisk koppling lösningen.

Matte-CAPTCHA.
(Matte-CAPTCHA.)

Dvs bara användare som verkligen är intresserade av access till webbplatsen är kapabla att lösa CAPTCHAn… Med konsekvens att Internet blir än mer slutet och fragmenterat. Men knäppa CAPTCHAs är kanske inte så knäppt i alla fall.

Ett säkert lösenord

October 15th, 2007

Den här bilden dök upp i en artikelWorse Than Failure:
PW för MS Knowledge Base
Visst, det är nog ingen som kan gissa ditt lösenord – men blir det inte lite jobbigt att logga in? ... Och gissningsvis måste du byta lösenord innan du lärt dig det gamla utantill…

Det är inte en bugg, det är en…

August 24th, 2007

Featurebug
(Japp, det är fredag!)