Miko Hypponen meddelade på Twitter att F-Secure nu erbjuder Mac-användare att betatesta deras nya produkt för att skydda MacOSX.
Jag har själv inte testat, men skall göra det den kommande veckan.
Archive for the ‘Verktyg’ category
F-Secure erbjuder betatest av deras Mac-skydd
March 6th, 2010Integritet på nätet med Microsofts U-Prove
March 4th, 2010Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:
Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.
Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.
OpenDNSSEC 1.0.0 släppt
February 9th, 2010I dag släpptes version 1.0.0 av OpenDNSSEC. Därmed har ännu ett steg för DNSSEC tagits.
För de som ej vet är OpenDNSSEC är och gör kommer här en snabb förklaring:
OpenDNSSEC was created as an open-source turn-key solution for DNSSEC. It secures zone data just before it is published in an authoritative name server.
What does OpenDNSSEC do?
OpenDNSSEC takes in unsigned zones, adds the signatures and other records for DNSSEC and passes it on to the authoritative name servers for that zone.DNS is complicated, and so is digital signing; their combination in DNSSEC is of course complex as well. The idea of OpenDNSSEC is to handle such difficulties, to relieve the administrator of them after a one-time effort for setting it up.
Många har slitit hårt och länge för att få till version 1.0.0. Bra jobbat!
libssh2 1.2.3 släppt
February 3rd, 2010I dag släpptes version 1.2.3 (här är GPG-signatur) av ssh2-biblioteket libssh2. Den nya versionen innehåller följande ändringar och buggfixar:
Changes:
ssh-agent support with the new libssh2_agent_* functions
Added libssh2_trace_sethandler()
Added the direct_tcpip.c and ssh2_agent.c examples
Bug fixes:
Fixed memory leak in userauth_publickey
Fixed publickey authentication regression
Silenced several compiler warnings
avoid returning data to memory already freed
transport layer fix for bogus -39 (LIBSSH2_ERROR_BAD_USE) errors
Fixed padding in ssh-dss signature blob encoding
Fixed direction blocking flag problems
Fixed memory leak in sftp_fstat()
Test av mobilkrypton (och vem kan man lita på).
February 1st, 2010Mobilemag har en artikel om ett test av krypton för att skydda röstkommunikation från mobiler.
Den undersökning artikeln beskriver har utförts av en bloggare och IT-expert som tydligen kallas Notrax. På Notrax blog InfoSecurityGuard finns de egentliga undersökningarna.
Att det finns behov av bra kryptolösningar som erbjuder konfidentialitet från mobiler är helt klart. Dels är de befintliga mekanismerna i såväl GSM som 3G (UMTS) starkt ifrågasatta. Dessutom skyddar dessa mekanismer bara radiolänken. Det finns ett flertal produkter på marknaden som alla (naturligtvis) säger sig erbjuda ett bra skydd. Men hur bra är dom egentligen?
Att döma av Notrax test av 15 olika program- och hårdvarubaserade produkter är dom inte speciellt bra. Han lyckades knäcka 12 av 15 produkter:
Svenska Sectras produkt Tiger XS är tyvärr inte med i undersökningen.
Går man sedan in på Notrax sidor finns det detaljerande beskrivningar av hur han ex knäckte CellCrypt och undersökte PhoneCrypt. Notrax har även gjort videoinspelningar av sina undersökningar och lagt upp på Youtube, här den om CellCrypt:
Sammantaget väldigt intressant och spännande information. Men nu visar det sig (ser det ut som) att Notrax arbetar för företaget SecurStar GmbH som levererar PhoneCrypt, en av de säkerhetsprodukter Notrax inte lyckas knäcka och ger bra betyg! Jösses.
Vem skall man lita på? Antagligen inte de produkter Notrax lyckades knäcka (fast det vore bra om någon mer gjorde om testerna och kom fram till samma sak). Klart är iaf att produkterna behövs – och att dom testas.
nmap 5.20 släppt
January 26th, 2010Fyodor jobbar vidare på nätverksscannern nmap (känd från Matrix Reloeaded, bland annat) och släppte för en knapp vecka sedan nmap 5.20. Den nya versionen inkluderar saker som:
* 31 new NSE Scripts
* enhanced performance and reduced memory consumption
* protocol-specific payloads for more effective UDP scanning
* a completely rewritten traceroute engine
* massive OS and version detection DB updates (10,000+ signatures)
* Zenmap host filter mode shows just the hosts you’re interested in.
zenmap visar nätstrukturen.
Samtidigt har Fyodor meddelat att det kommer en städ- och buggfixrelease (5.21) nästa vecka, så vill du använda de nya funktionerna, men inte har kanonbrottom är det kanske bäst att lugna sig ett par dagar.
Uppdaterad 2010-01-28: Nu finns version 5.21 av nmap att ladda ner, en version utan en enda ny funktion med 10+ buggfixar.
KisMAC, nu för Snow Leopard
December 8th, 2009Min favorit bland WLAN-scanners, KisMAC (egentligen KisMAC-ng) slutade fungera när jag uppgraderade till MacOS X 10.6 (Snow Leopard). Jag har sedan dess testat ett par betaversioner, dock utan framgång.
Men igår 2009-12-07 släpptes version 0.3 av KisMAC och nu fungerar KisMAC igen. Och den har dessutom en del nya funktioner. Har du tidigare kört KisMAC och saknat den efter Snow Leopard finns det nu en version som går att använda. Mer information om KisMAC finns på dess Trac-sida. (Trac är för övrigt ett kanonbra verktyg. Bra projekt kör Trac.)
(Webbplatsen för KisMAC-ng är tyvärr väldigt seg.)
nmap-script för Citrix
December 7th, 2009På squre.net finns ett antal fräcka script för nmap. Några av dessa gör det möjligt att undersöka en Citrix-server. Bra om man skall pen-testa en Citrixinstallation.
Hemsk bugg i GRUB
December 6th, 2009För ett tag sedan dök det upp en hemsk bugg i bootloadern GRUB.
Grub 1.97 stödjer lösenordsbaserad autenticiering, vilket är bra. Problemet är hur Grub utför verifieringen av lösenordet. Så länge som användaren anger en sträng som matchar ett prefix av lösenordet accepterar grub det som ett korrekt angivet lösenord. Om korrekt lösenord är “password” accepterar grub exempelvis “p”, “pa”, “pass” som godkända lösenord. Hoppsan!
Mer information om buggen finns här och här. Det jag frågar mig är hur detta kan ske 2009? Hur kan man missa att antingen använda en teknik som gör längden ointressant (kryptografisk hashfunktion), eller kollar om längden på den givna strängen matchar lösenordets längd?
YubiKey-verktyg för Mac
December 4th, 2009Leveldown har släppt ett adminstrationsverktyg för Yubikey-enheter till Mac. Än så länge väldigt mycket beta (0.0.1d), men som Mac-användare är det ändå trevligt.
