Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Internet » Kryptoblog

Archive for the ‘Internet’ category

FriBID – fri BankID

March 22nd, 2010

FriBID är ett projekt som utvecklar fri programvara för BankID i sverige.

FriBID logga

Ur ett rent säkerhetsperspektiv är öppenhet att föredra och därför tycker jag att FriBID är ett kanonbra projekt värd all uppmärksamhet.

Statistik över elak kod i olika typer av filer

March 9th, 2010

F-Secures log har en postning med statistik över elak kod i olika typer av filformat. Att döma av PDF den klart vanligaste filtypen där elak kod följer med.

Statistik från F-secure.

Det hade naturligtvis varit intressant att se hur vanliga resp format är på över huvud taget. Är det ex så att PDF är vanligaste filtypen där elak kod följer med för att den är lättast att dölja kod, eller för att det helt enkelt är den överlägset vanligaste filtypen av de jämförda typerna. Oavsett hur det ligger till bör man nog inse att PDFer (och andra filer) som trillar ner från nätet kan innehålla elakheter.

Ny draft om certifikatbaserad verifiering av servrar

March 9th, 2010

Det finns en ny Internet Draft, Representation and Verification of Application Server Identity in Certificates Used with Transport Layer Security (TLS) som ser intressant ut, men där författarna behöver/vill ha hjälp. Draftens sammanfattning ger en bra beskrivning av vad man vill åstadkomma:


Many application technologies enable a secure connection between two entities using certificates in the context of Transport Layer Security (TLS).

This document specifies procedures for representing and verifying the identity of application servers in such interactions.

Eftersom draften spänner över flera olika områden har författarna haft svårt att hitta rätt forum. I en postning skriver dom:


A small, informal design team has been working on an I-D that attempts to define recommended procedures for representing and verifying server identities in X.509 certificates intended for use in applications that employ TLS.
...

Because this work touches on security in a wide variety of application protocols (HTTP, IMAP, LDAP, SMTP, XMPP, NNTP, NETCONF, SysLog, SIP, etc.) through the re-use of both TLS and the PKI, there is no one list where we can hold a focused discussion. Therefore we have created a new list, certid@ietf.org, to which you can subscribe here:

https://www.ietf.org/mailman/listinfo/certid

Please join the discussion there if you have an interest in this topic.

Thanks!
Peter Saint-Andre

Verkar detta intressant så häng på!

Näringsdepartementet utvecklar med ning

March 5th, 2010

Näringsdepartementet har börjat använda social nätverk-tjänsten ning för att utveckla idéer och strategi för tjänsteinnovation. Ett ypperligt initiativ och exempel på OpenGov. Väldigt kul, bra och intressant initiativ, mer sånt här i Sverige!

Integritet på nätet med Microsofts U-Prove

March 4th, 2010

Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:


Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.

U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.

Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.

OpenDNSSEC 1.0.0 släppt

February 9th, 2010

I dag släpptes version 1.0.0 av OpenDNSSEC. Därmed har ännu ett steg för DNSSEC tagits.

OpenDNSSEC

För de som ej vet är OpenDNSSEC är och gör kommer här en snabb förklaring:


OpenDNSSEC was created as an open-source turn-key solution for DNSSEC. It secures zone data just before it is published in an authoritative name server.

What does OpenDNSSEC do?
OpenDNSSEC takes in unsigned zones, adds the signatures and other records for DNSSEC and passes it on to the authoritative name servers for that zone.

DNS is complicated, and so is digital signing; their combination in DNSSEC is of course complex as well. The idea of OpenDNSSEC is to handle such difficulties, to relieve the administrator of them after a one-time effort for setting it up.

OpenDNSSEC - funktion

Många har slitit hårt och länge för att få till version 1.0.0. Bra jobbat!

libssh2 1.2.3 släppt

February 3rd, 2010

I dag släpptes version 1.2.3 (här är GPG-signatur) av ssh2-biblioteket libssh2. Den nya versionen innehåller följande ändringar och buggfixar:


Changes:
ssh-agent support with the new libssh2_agent_* functions
Added libssh2_trace_sethandler()
Added the direct_tcpip.c and ssh2_agent.c examples

Bug fixes:
Fixed memory leak in userauth_publickey
Fixed publickey authentication regression
Silenced several compiler warnings
avoid returning data to memory already freed
transport layer fix for bogus -39 (LIBSSH2_ERROR_BAD_USE) errors
Fixed padding in ssh-dss signature blob encoding
Fixed direction blocking flag problems
Fixed memory leak in sftp_fstat()

SITIC föreslås flyttas till MSB

February 2nd, 2010

(Länk till förslag korrigerad, tack Erik.)

Enligt ett utredningsförslag som presenterades igår föreslås SITIC - Sveriges IT-incidentcentrum flyttas från Post och Telestyrelsen (PTS) till Myndigheten för samhällsskydd och beredskap (många förkortningar blir det).

Jag har inte läst förslaget i detalj. Men jag har fått uppfattningen att SITIC aldrig fått en bra roll, och att detta kan bero på PTSs roll i förhållande till marknadens aktörer så väl som andra myndigheter. Förhoppningsvis innebär en flytt till MSB att SITICs kompetens och erfarenhet kommer bättre till nytta.

kränkt.se – Irriterande (men egentligen bra) webbplats

January 31st, 2010

(Städat och lagt till en del saker till postningen sedan i jag postade den.)

Datainspektionen har startat en ny webbplats som fått viss uppmärksamhet: kränkt.se.

När jag först kollade på sidan blev jag riktigt irriterad, inte minst på de svepande beskrivningarna av vad en kränkning är:

Har du blivit oschysst behandlad på nätet? Är det någon som har skrivit något nedsättande om dig på ett forum eller kanske lagt upp en bild på dig som du inte vill att andra ska se? Eller är du förälder till ett barn som råkat ut för något liknande?

Den här webbplatsen är till för dig som känner att du blivit oschysst behandlad på Internet. Här får du råd om vad du kan göra för att lösa problemet.

Men jössessnällenån, om någon är lite oschysst och taskig, är det då en kränkning? Varför börjar jag direkt tänka på vad Johan Hakelius, David Eberhard och Ann Heberlein har skrivit? Borde ex inte Tomas Ros anse att han blivit kränkt av Robert Laul som kallat honom lipsill! (Lite roligt att muskelbiffen Laul använder tillmälet lipsill – något man tog till på lågstadiet när man var arg och ville vara elak.)

Lipsillmannen Robert Laul.
Lipsillmannen Robert Laul

Börjar man sedan titta lite mer på webbplatsen tycker jag dock att det finns en hel del bra och tänkvärt. För den som anser sig kränkt finns bra instruktioner på hur du kan försöka agera för att få bort det du tycker kränker dig.

En kanske viktigare sida är dock den om hur du undviker att kränka andra. I grund och botten handlar det om etik – med hänvisning till pressetiska regler (har Robert Laul läst dom?). Skriver man på nätet kan det iaf vara bra att läsa igenom och fundera på den typen av regler – även om de juridiskt inte gäller. Bara för att man kan skriva vad som helst behöver man inte göra det. En regel jag lärt mig är: Känns det fel i magen så är det ingen bra idé.

Och bara för att vara tydlig: Integritetskränkningar är ett reellt problem (ex Sydsvenskans oturliga uthängning av en oskyldig person), inget jag skrattar åt och allvarligt. Men allmän dumhet, klumpighet och missförstånd kommer alltid att finnas och text ofta ett trubbigt verktyg. Vidare kan sociala tjänster som Facebook där vänskap är binär (antingen är man vän eller inte) kan relationer bli övertydliga och skapa konflikter. Att inte få vara kompis med någon på nätet kanske dumt, men inte ett skäl att vara kränkt.

Sedan är det inte alltid lätt att veta vad andra kan uppfatta som kränkande – det verkar nästan finnas en person som tar illa vid sig oavsett vad någon gör eller skrivert. Att jag ex postar om attacker på kryptot kan tydligen vara provocerande och kränkande. Då är det kanske tur att kränkt.se finns.

BTW: Om ni känner er kränkta av något jag skriver på bloggen, skriv en kommentar eller kontakta mig direkt.

Är det inte dags för IT-sec-krav för finansiella aktörer?

January 28th, 2010

I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd av Finansinspektionen att hantera finansiella instrument – att sköta folks pengar. Och hoppsan, plötsligt ville webbplatsen sparka igång en applet och få access till min maskin. Hur pålitlig är den då? Så här:

Skärmdump Nordstaden.
Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.