Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Läsvärt » Kryptoblog

Archive for the ‘Läsvärt’ category

« Older Entries
Newer Entries »

Flylogic en spännande blog

November 22nd, 2007

Jag har precis lagt till en ny blog till bloglistan. Den här gången är det Flylogic Engineering’s Analytical Blog från företaget Flylogic.

Flylogic är ett av mycket få företag som har kompetens och utrustning som krävs för att plocka isär och analysera inte integrerade kretsar. Deras blog är fylld med bilder på chip, nedfilade kapslar och isärplockade kort.

Att döma av deras blog är en av Flylogics favoritverksamheter att plocka isär elektronikprodukter som är utrustade med säkerhetsmekanismer eller är avsedda att tillhandahålla olika typer av säkerhet. Bland annat har Flylogic med framgång plockat isär och gått runt säkerheten hos ett flertal säkra USB-minnen. Här är exempelvis MAI:s KEYLOK:

KEYLOK på väg till slaktbänken.
En fin USB-blobba på väg till slaktbänken.

KEYLOK uppsprättad.
KEYLOK uppsprättad. Notera att det inte finns något mer fysiskt skydd för kretsarna.

MCU:n i KEYLOK
MCU:n CY7C63101A isärplockad och färdig att proba.

Närbild på chippet.
Närbild på chippet. Notera minnesarrayen till höger.

Och så avslutar man med att läsa ut data direkt från minnet:


We performed some magic and once again we have success to unlock the once protected device. A quick look for ASCII text reveals a bunch of text beginning around address $06CB: .B.P.T. .E.n.t.e.r.p.r.i.s.e.s…D.o.n.g.l.e. .D.o.n.g.l.e. .C.o.m.m.< .E.n.d.P.o.i.n.t.1. .1.0.m.s. .I.n.t.e.r.r.u.p.t. .P.i.p.e.

En annan krets Flylogic attackerat är Atmels CryptoMemory som jag tidigare bloggat om. Här är en bild på sådana chip plockade från sin vanliga miljö för bättre analysmöjligheter:

Atmels CryptoMemory utplockade.

Som HW-nisse med intresse för IT-säkerhet är det här nästan som julafton, och en hel månad i förväg!

No comments »

Posted in Hårdvara, Inbyggda system, Krypto, Läsvärt, Om Kryptoblog

Säkerhetsnyheter i Leopard

October 17th, 2007

Apple har börjat släppa en massa information om nästa version av MacOS X kallad Leopard. MacOS X 10.5 som OS:et även kallas kommer enligt Apple att släppas 2007-10-26. Den nya versionen skall enligt Apple ha mer än 300 nya funktioner. Jag tittade igenom listan med nya funktioner och blev överraskad över att så många saker har med säkerhet att göra:

  • Authenticated Printing. Kerberos-autenticierad utskrift.

  • Tagging Downloaded Applications. Applikationer som laddas ner frÃ¥n Internet hÃ¥ller OS:et reda pÃ¥ och första gÃ¥ngen det skall köras mÃ¥ste du som användare godkänna att detta sker.

  • Signed Applications. Applikationer är signerade (oklart hur).

  • Application-Based Firewall. Brandväggen kan ställas in för olika applikationer, gissningsvis pÃ¥ motvarande sätt som Litte Snitch.

  • Stronger Encryption for Disk Images. Nu kan man välja att använda AES-256 för kryptering. Förut var det bara AES-128.

  • Enhanced VPN Client Compatibility. VPN-klienten stödjer nu Cisco Group Filtering och DHCP över PPP.

  • Sharing and Collaboration Configuration. Dela data i foldrar skyddade med accesslistor för kontroll.

  • Sandboxing. Applikationer kan placeras i en sandlÃ¥da. Mycket bra, även om det är oklart om det gÃ¥r att göra med valfri applikation. Vad Apple skriver är att Bonjour, Quick Look och Spotlight indexer är sanboxade.

  • Library Randomization. Leopard fÃ¥r samma stöd som OpenBSD introducerade (om jag fattat historien rätt) och som även Windows Vista dvs att adresser/pekarna till bibliotek etc som applikationer använder slumpmässigt flyttas om sÃ¥ att det inte skall gÃ¥ att gissa (ASLR). För Vista har det förekommit mycket diskussioner om sättet detta sker i Vista är säkert nog eller ej. FrÃ¥gan är hur Apple gjort det är säkert nog. Värt att hÃ¥lla ögonen pÃ¥.

  • Windows SMB Packet Signing. Stöd för signerat data i Windowsnätverk.

  • Multiple User Certificates. En användare kan ha mer än ett certifikat och koppla dessa till olika emailadresser.

  • Enhanced Smart Card Capabilities. Utökat stöd för Smart Cards. Bla kan man nu lÃ¥sa/lÃ¥sa upp FileVault-enheter med Smart Card.

  • Kerberized NFS. Säkra upp NFS med Kerberos.

Leopard kommer även med ett rejält utbyggt stöd för Parental Control, dvs olika funktioner som gör det möjligt för föräldrar att kontrollera och övervaka sina barns datoranvändande.

Som icke-förälder ser jag ganska snett på den här typen av datorsäkerhet, men tydligen tror Apple att det är en bra sak att peta in. Nya Parental Control-funktionerna inkluderar saker som:

  • Time Limits and Bedtimes. Styr hur länge barnet fÃ¥r använda datorn och mellan vilka tider.

  • Dynamic Web Filter. Webbfilter för att som Apple uttrycker det: Protect your children from websites with unsuitable content.

  • Activity Logging. Logga vad dina barn sysslar med pÃ¥ datorn och Internet.

  • Remote Control & Monitoring. Kontrollera ditt barns datoranvändning pÃ¥ avstÃ¥nd (borde ha vissa säkerhetsimplikationer skulle man kunna tänka sig.)

  • Wikipedia Content Filter. Ett specifikt filter för Wikipedia(!) som enligt Apple: Limit access to profanity in Wikipedia. (Jösses!)

  • Curfew. Oklart vad det innebär, men det lÃ¥ter som den typiskt Amerikanska bestraffningsmetoden att under en begränsad tid begränsa användning eller rörelsen hos en person. Ex att ett barn skall vara hemma vid en viss tid. Nu har det alltsÃ¥ kommit till datorernas värld.

En mer udda säkerhetsdetalj i Leopard är kanske det här: Microsoft WHCL-Certified Windows Drivers. Drivare för iSight-kamera, trackpad, keyboard backlighting etc är certifierade för Windows

Slutligen innehåller Leopard flera spännande nyheter som kan sägas vara kopplade till säkerhet, men som inte är specifika säkerhetsfunktioner:

  • DTrace. Suns fantastiska teknik Dtrace för att proba i ett OS. Kallas tydligen även för Instruments i Leopard.

  • Time Machine. En vad det verkar ganska unik typ av backup-program som om inte annat förhoppningsvis gör att mängden data som gÃ¥r förlorad i världen minskar.

Sedan får man se hur det verkligen fungerar. En sista sak värd att notera är dock följande lilla notis:


UNIX® Certification

Mac OS X is now a fully certified UNIX operating system, conforming to both the Single UNIX Specification (SUSv3) and POSIX 1003.1. Deploy Leopard in environments that demand full UNIX conformance and enjoy expanded support for open standards popular in the UNIX community such as the OASIS Open Document Format (ODF) or ECMA’s Office XML.

Jag som tyckte att jag precis läste att analysföretaget Gartner hävdade att UNIX var dött både som OS och som applikationsplattform. Lite märkligt dock att Apple nämner ECMA Office XML som populärt format. Finns det något Open Source-projekt som använder det formatet?

129 USD skall det nya OS:et kosta när det släpps i USA (det går att förbeställa) Detta borde innebära att det hamnar runt 800-900 SEK i Sverige. Shoppar nog inte samma dag det kommer ut, men det verkar finnas mycket spännande under huven så det blir nog Leopard i höst. (Leopard is the new black.)

No comments »

Posted in Internet, Läsvärt, Verktyg

Nytt nummer av Uninformed

October 8th, 2007

Det finns en tidning på Internet om IT-säkerhet kallad Uninformed. Syftet med tidningen är enl tidningens redaktörer:


Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. The goal, as the name implies, is to act as a medium for informing the uninformed. The research presented here is simply an example of the evolutionary thought that affects all academic and professional disciplines.

Det åttonde numret av Uniformed släpptes för ett par veckor sedan och innehåller artiklar om:

– Covert Communications: Real-time Steganography with RTP Author: I)ruid – Engineering in Reverse: PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3 Author: Skywing – Exploitation Technology: Getting out of Jail: Escaping Internet Explorer Protected Mode Author: Skywing – Exploitation Technology: OS X Kernel-mode Exploitation in a Weekend Author: David Maynor – Rootkits: A Catalog of Local Windows Kernel-mode Backdoor Techniques Authors: skape & Skywing – Static Analysis: Generalizing Data Flow Information Author: skape

1 comment »

Posted in Inbyggda system, Internet, Läsvärt

Bra text om design av säkra inbyggda system

September 27th, 2007

Webbplatsen Embedded System Design har en artikel med undertiteln Encryption is not Security som, anser jag, ger en bra introduktion till hur man skall resonera vid design av säkra inbyggda system.

Ett skäl till varför jag tycker att artikeln är bra är att den tar upp ett fenomen jag stöter på ibland, ett fenomen som artikeln beskriver så här:


Ask some developers and device makers about the security of their mobile and embedded devices and they’re likely to tell you about their encryption strength. Then they will probably stop talking.

Artikeln övergår sedan till att beskriva hur man på ett praktiskt sätt kan göra en säkerhetsanalys av sitt system, de användningsfall och den miljö systemet är avsett att fungera i. Artikeln använder en smartphone som exempel:

Attackträd för smartphone
(Bilden är av rätt kass kvalitet, även i artikeln.)

När analysen är gjord kan man sedan identifiera de komponenter och delsystem som behövs för att säkra systemet. Bland dessa komponenter kan krypton finnas med, men det är inte givet på förhand.

En sak jag gillar med artikeln är att den betonar fokus på applikationen och affärsnyttan. Säkerhetsproblem kostar pengar när de inträffar och därför är det viktigt att börja med att identifiera vilka dessa kostnader är:


ying the threat to a business issue makes it much easier to communicate. If top managers don’t understand the threat, it will be much harder for you to win funding and other resources you need to address it. Also, writing the threat from a business perspective helps make sure it gets appropriate attention.

If the description at the base of your threat tree is complicated and/or vague, it can be tough to determine how much attention that issue really needs. Anybody, regardless of technical background, should be able to understand the root threat.

Med tanke på den debatt som pågår om behovet av kompetens, bland konstruktörer, projektledare etc vad gäller att kunna bygga säkra system är den här artikeln en utmärkt, kortfattad introduktion. Ett klart lästips från Kryptoblog.

No comments »

Posted in Inbyggda system, Krypto, Läsvärt

Ekonomi och IT-säkerhet

September 24th, 2007

Ross Andersson, författaren till den fantastiska boken Security Engineering (som finns för nedladdning – läs!) är forskare vid Cambridge Computer Laboratory – den i mitt tycke forskningsgrupp i Europa som producerar flest intressanta forskningsresultat inom IT-säkerhet. Deras blogg Light Blue Touchpaper innehÃ¥ller ständigt nya spännande rön.
Ross Andersson
(Ross Andersson)

Tillsammans med Tyler Moore har Ross Andersson skrivit en större artikel som försöker ange riktning och möjligheter till framtida forskning som försöker behandla IT-säkerhet utifrÃ¥n ekonomiska termer och incitament. Information Security Economics – and Beyond släpptes i slutet av Augusti och har genererat en hel del diskussioner bland forskare inom IT-säkerhet. (Ross har även hÃ¥llit en presentation i ämnet och presentationsmaterialet finns att ladda ner.)

Sammanfattningen för artikeln förklarar närmare:


The economics of information security has recently become a thriving and fast-moving discipline. As distributed systems are assembled from machines belonging to principals with divergent interests, incentives are becoming as important to dependability as technical design.

The new field provides valuable insights not just into ‘security’ topics such as privacy, bugs, spam, and phishing, but into more general areas such as system dependability (the design of peer-to-peer systems and the optimal
balance of effort by programmers and testers), and policy (particularly digital rights management).

This research program has been starting to spill over into more general security questions (such as law-enforcement strategy), and into the interface between security and sociology. Most recently it has started to interact with psychology, both through the psychology-and-economics tradition and in response to phishing. The promise of this research program is a novel framework for analyzing information security problems – one that is both principled and effective

Ett exempel på problem inom IT-säkerhet som artikeln tar upp är bankbedrägerier och bankernas kostnader för IT-säkerhet:


In the USA, banks are generally liable for the costs of card fraud; when a customer disputes a transaction, the bank must either show she is trying to cheat it, or refund her money. In the UK, the banks had a much easier ride: they generally got away with claiming that their systems were ‘secure’, and telling customers who complained that they must be mistaken or lying. “Lucky
bankers,” one might think; yet UK banks spent more on security and suffered more fraud. This may have been what economists call a moral-hazard effect: UK bank staff knew that customer complaints would not be taken seriously, so they became lazy and careless, leading to an epidemic of fraud

Ett annat problem är hur man får ut bättre och säkrare protokoll på Internet:


Network effects can also influence the initial deployment of security technology, whose benefit may depend on the number of users who adopt it. The cost may exceed the benefit until a minimum number adopt; so everyone might wait for others to go first, and the technology never gets deployed. Recently, Ozment and Schechter have analyzed different approaches
for overcoming such bootstrapping problems [17].

This challenge is particularly topical. A number of core Internet protocols, such as DNS and routing, are considered insecure. Better protocols exist (e.g., DNSSEC, S-BGP); the challenge is to get them adopted. Two widely-deployed security protocols, SSH and IPsec, both overcame the bootstrapping problem by providing significant internal benefits to adopting firms, with the result that they could be adopted one firm at a time, rather than needing everyone to move at once. The deployment of fax machines was similar: many companies initially bought fax machines to connect their own offices.

Jag tycker att Ross och Tylers artikel är mycket läsvärd och leder förhoppningsvis till ny forskning där ekonomiska, sociala och psykologiska aspekter kopplas samman med IT-säkerhet. Att det finns goda möjligheter att hitta nya förklaringsmodeller och därmed lösningar på befintliga problem tycker jag efter att ha läst artikeln verkar klart.

1 comment »

Posted in Forskning, Läsvärt

När datorerna blev farliga

September 24th, 2007

(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med – sÃ¥ nu kommer en radda postningar med lästips.)

Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.

Lars Ilshammar

Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga – utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, bÃ¥de tekniken i sig och användningen av tekniken, övergick frÃ¥n i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:


During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.

When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.

Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.

Det är tvÃ¥ saker som jag reagerar pÃ¥ när jag läser Ilshammars rapport. Dels hur fort omslaget frÃ¥n en i grunden positiv inställning till en negativ inställning gick. PÃ¥ nÃ¥gra fÃ¥ Ã¥r, frÃ¥n 1968 till ungefär 1972, slÃ¥r attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar pÃ¥ är vilka som gick i frontlinjen för att värna den personliga integriteten – det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag gÃ¥r i frontlinjen för att inskränka integriteten med hjälp av datorer.

Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.

En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)

Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot – phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc – detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk pÃ¥ Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltsÃ¥ en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i mÃ¥nga fall global exponering.

I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.

2 comments »

Posted in Elak kod, Internet, IT och integritet, Läsvärt, Politik

Matematik, kryptologi och bevisbar säkerhet

September 16th, 2007

Neal Koblitz, som förutom att han åkt tåg i Peru är professor i matematik vid University of Washington:
Neal Koblitz

Neal har skrivit en tankeväckande och läsvärd artikel publicerad i senaste numret av American Mathematical Society Notices, kallad The Uneasy Relationship Between Mathematics and Cryptography om förhållandet mellan matematik och kryptologi samt varför han inte tror på begreppet bevisbar säkerhet.

Jag är inte kryptolog, och (kan jag erkänna) har aldrig känt mig helt komfortabel och naturligt hemma i matematikens magiska och fantastiska värld. För mig är det därför fascinerande att läsa en artikel av en person som tittar på kryptologi från det motsatta hållet (om man kan kalla det det).

Neal Koblitz börjar med en kort bakgrund till sitt engagemang inom kryptologin och hur han som matematiker var med och publicerade dom första rönen vad gäller att använda olika typer av kurvor (exempelvis elliptic curve) för att skapa assymetriska krypton. Men huvudelen av artikeln är fokuserad på matematikers och kryptologers olika bakgrund, hur man förhåller sig till sin forskning samt vad som egentligen är ett bevis.

En skillnad mellan kryptologi och matematik som Neal tar upp är hur resultat publiceras:


In 1996 I was the program chair of Crypto. To someone trained in mathematics this was an unsettling experience. About two-thirds of the submissions arrived by courier mail within 48 hours of the final deadline. Many had obviously been rushed and were full of typesetting errors. One author had sent me only the odd-numbered pages. A few had violated the requirement of anonymity (there was a policy of double-blind reviews). Several had disregarded the guidelines that had been sent to them.
And in many cases the papers had little originality; they were tiny improvements over something the same authors had published the year before or a minor modification of someone else’s work.

Mathematical publishing works differently. In the first place, most articles appear in journals, not conference proceedings—and journals don’t have deadlines. In the second place, people in mathematics tend to have a low opinion of authors who rush into print a large number of small articles—the derogatory term is LPU (least publish- able unit)—rather than waiting until they are ready to publish a complete treatment of the subject in a single article.

Mathematicians, who are part of a rich tradition going back thousands of years, perceive the passing of time as an elephant does. In the grand scheme of things it is of little consequence whether their big paper appears this year or next. Computer science and cryptography, on the other hand, are influenced by the corporate world of high technology, with its frenetic rush to be the first to bring some new gadget to market. Cryptographers, thus see time passing as a hummingbird does. Top researchers expect that practically every conference should include one or more quickie papers by them or their students.

Neal Koblitz verkar alltså anse att kryptologin som en del av datavetenskap skyndar med sina resultat, och detta syns inte minst på de bevis som används. Koblitz skriver:


The idea of “provable security” is to give a mathematically rigorous proof of a type of conditional guarantee of the security of a cryptographic protocol. It is conditional in that it typically has the form “our protocol is immune from an attack of type X provided that the mathematical problem Y is computationally hard.

The form that proofs of security take is what is known as a reduction. Reductions from one problem to another occur implicitly throughout mathematics; in computer science, reductions are the main tool used to compare and classify problems according to their difficulty.

In provable security papers the authors try to prove that a mathematical problem that is widely believed to be computationally hard, such as factoring large integers or finding elliptic curve discrete logs, reduces to a successful attack of a prescribed type on their cryptographic protocol.

Och vad är då kruxet? Jo ett stort krux som Koblitz pekar på är att även om de problem som man försöker reducera sitt säkerhetsproblem till är asymptotiskt svåra, innebär det inte att säkerhetsproblemen är säkra i de data/nyckelstorlekar som används praktiskt:


What had happened was that people had made recommendations for parameter values that were based on an asymptotic theorem. That theorem said that in the limit as N​ approaches infinity, you can securely generate O (log​log​N​) pseudorandom
bits each time you perform a squaring modulo the composite number N​. (Here “securely” means, roughly speaking, that no one can distinguish between the sequence and a truly random one by an algorithm that runs in reasonable time.) However, as I mentioned when discussing Joe Silverman’s xedni calculus, it is fallacious to use an asymptotic result as a practical guarantee of security. Rather, one needs to perform a detailed analysis using realistic ranges for the parameters.

Koblitz tar som exempel upp problemet med OAEP och den förbättring som Krawczyk publicerade 2005.

Jag kan som sagt för lite för att bedöma om Koblitz har rätt eller ej, men jag tycker att hans artikel är läsvärd och inte så lite småskrämmande. Koblitz ser ut att få stöd av iaf James A. Donald som på maillistan Cryptography postade följande tanke:


If a proof is a record of a mental journey in which one person has discovered an important truth, and then made a record of that journey adequate so that a second person can walk the same path and see the same truth, then cryptography could do with more and better proofs.

If, on the other hand, a proof is an argument impressively decorated with mathematical sounding jargon, cryptography could do with a good deal fewer of them.

Vad tror du?

4 comments »

Posted in Forskning, Krypto, Läsvärt

Skype skyller på Microsoft

August 21st, 2007

De senaste dagarna har det florerat ett antal rykten om orsaken till att Skypenätverket 2007-08-16 i stort sett fullständigt fallerade. Nu har Skype kommit med sin förklaring – och det är Microsofts fel(!):


On Thursday, 16th August 2007, the Skype peer-to-peer network became unstable and suffered a critical disruption. The disruption was triggered by a massive restart of our users’ computers across the globe within a very short timeframe as they re-booted after receiving a routine set of patches through Windows Update.

Visst, dumhet kan förklara mycket, men jag tycker inte att detta håller vatten. Jag har inte sett statistik på att andra P2P-system (däribland Kazaa) råkade ut för massiva störningar. Vidare blir Skypes argumentation lite märklig med tanke på vad Skype tidigare sagt om sin teknologi:


Q: Kan jag ansluta till en SIP-server med Skype?
A: Nej, det går inte. Vi har utformat Skype med upphovsrättsskyddad teknologi som ej är kompatibel med SIP. SIP var helt enkelt inte tillräckligt bra för vår del.

Det stora bekymret med Skype som jag ser det är att det finns få möjligheter att verifiera att, som Skype skriver We can confirm categorically that no malicious activities were attributed, detta inte minst på grund av Skype applikationens uppbyggnad med kod som gör den mer än vanligt svår att analysera. När det dyker upp påstådda DoS-attacker och exploits blir det i Skypes fall svårt att bedöma om det är ett problem eller ej. Därmed blir det än svårare att lita på Skype som kommunikationstjänst eller uttalanden från Skype.

Oavsett rekommenderar jag återigen en genomläsning av presentationen Silver Needle in the Skype för information om hur Skype är uppbyggd.

5 comments »

Posted in Internet, Krypto, Läsvärt, Verktyg

Affärsintelligens och skydd av produkter

August 6th, 2007

På EE Times finns en intressant artikel om utvecklingen inom Business Intelligence (Affärsintelligens), dvs den del av ett företags verksamhet som handlar om att inhämta information om vad konkurrenter gör samt hur deras produkter är konstruerade och fungerar. Mer specifikt (eftersom det är EE Times) handlar artikeln om teardown, dvs isärplockning av elektroniska produkter med identifikation av komponenter och analys av produkten, ex beräkning av tillverkningskostnad. Några kända isärplockningar är nya spelkonsoller som Sonys PS3 samt Apples iPhone:
Teardown av iPhone pågår

Artikeln går sedan in på problematiken kring isärplockning av integrerade kretsar och att det sker i allt större utsträckning, inte minst som en del i att försöka avgöra ev patentintrång. Andra skäl som anges är att se hur konkurrenter har löst sina problem (och den vägen få hjälp att lösa konstruktionsproblem) samt räkna ut konkurrenternas marginaler, utbyte i produktionen, beroenden av andra tillverkare etc.

Ett påpekande i artikeln jag inte är säker på stämmer är att det saknas motsvarande isärplockning av programvaruprodukter. Stämmer det verkligen? Finns det företag som regelbundet plockar isär och analyserar vilka komponenter en applikation består av och hur problem är lösta?

Artikeln är iaf väl värd att läsa, inte minst som komplement till de artiklar om skydd av IP-cores jag tidigare bloggat om. En annan artikel om skydd av chip tar upp en metod för att vattenmärka chip som ett sätt att förhindra isärplockning. Osäker på om det funkar, men att viljan att skydda sina kretsar från isärplockning ökar i takt med att viljan att plocka isär (andras) kretsar ökar är nog självklart.

3 comments »

Posted in Hårdvara, Inbyggda system, Läsvärt

Forskning om FOSS som utopi

July 5th, 2007

(Ok, detta handlar inte direkt om IT-säkerhet…)
I den utmärkta tidskriften Tvärsnitt hittade jag en blänkare om ett arbete inom sociologi kallat Fri och öppen programvara – en studie om de nya utopisterna:


De som utvecklar öppen källkod och delar filer på Internet utmanar synen på ägande. Sociologen Carl Göran Heidegren har studerat en rörelse vars idéer har omvälvande sprängkraft. Han säger sig ha funnit de moderna utopisterna.

Carl-Göran Heidegren har ställt frågor till medlemmar i Svenska Linuxföreningen, som samlar drygt 3000 förespråkare för öppen programvara. Studien ingår i ett större projekt om så kallade livsföringsmodeller bland unga.

Värden som frihet, frivillighet och öppenhet slog an hos Linuxanvändarna. De värdena var viktigare för dem att försvara än att ha kul. Men lika högt skattades värdet av samarbete och gemenskap. Linuxföreningens medlemmar fann en glädje i att gratis dela med sig av sina kunskaper, visar studien.

En stor del av Linuxföreningens medlemmar, i synnerhet de under 25 år, tyckte att principerna borde ligga till grund för en ny samhällsform. Här blir undersökningen särskilt intressant, menar Carl Göran Heidegren. Dragna till sin spets sätter den här sortens värderingar principer om patenträtt, copyright och ägande i gungning. Vad kan ägas, vad kan skyddas för insyn och vad ska vara tillgängligt för alla?

– Hela projektet öppnar sig mot nya utopier. Helt klart är att Linuxanvändarna ställer högre krav pÃ¥ transparens i samhället. De söker mer öppna former för olika verksamheter än den traditionella slutenheten som präglar vissa omrÃ¥den av vÃ¥rt samhälle, säger Carl-Göran Heidegren.

Projektledaren för studien är alltså Carl-Göran Heidengren, docent och lektor i Sociologi vid Lunds Universitet.
Carl-Göran Heidengren
Enligt en sida på institutionen för Sociologi i Lund skall det finnas ett working paper från projektet. Dock lyckas jag inte hitta det tillgängligt på nätet.

Hittar nÃ¥gon en länk till arbetsartikeln skulle jag uppskatta om ni skickade den. Det skulle vara intressant att fÃ¥ läsa vad Carl-Göran och hans grupp kommer fram till vad gäller synen pÃ¥ frihet, öppenhet och tillgänglighet även för information, ex Wikipedia och kopplingen till personlig integritet. (Och dÃ¥ fanns det en koppling till IT-säkerhet i alla fall…)

No comments »

Posted in Forskning, Internet, IT och integritet, Läsvärt, Politik