Joanna Rutkowska, känd för sin forskning om säkerhet och virtualisering (exempelvis Blue Pill) har utvecklat ett nytt operativsystem.
Det nya OSet kallas Qubes är baserat på den öppna hypervisorn Xen och målet är att genom att isolera applikationer från varandra skapa ett säkert OS för desktop-maskiner.
Förutom Xen använder/bygger Qubes på Linux och ser i stort sett ut som vilken modern Linux som helst. Här är en skärmbild:
Flera olika applikationer från olika virtuella maskiner.
En viktig fråga när det kommer till isolering (sanboxing) är hur delning av data skall ske. Qubes inkluderar funktioner för att säkert klipp & klistra mellan applikationer i olika maskiner och vem som har access till klibb-bufferten. Qubes har även stöd för att kopiera filer/data mellan olika virtuella maskiner.
Att köra ett flertal (stort antal) virtuella maskiner skulle man kunna tro vore prestandakrävande, men följande bild sägs visa att maskinerna tar väldigt lite resurser när de inte arbetar:
Qubes går just nu bara att installera på 64-bitprocessorer och inte att köra i en virtualiserare (den behöver access till den fysiska maskinen.)
Arkitekturen finns kortfattat beskriven på webben. Följande figur visar hur OSet skapar olika virtuella maskiner för varje applikation som körs av Xen.
Rutkowska & Co beskriver hur det fungerar så här:
Qubes implements Security by Isolation approach. To do this, Qubes utilizes virtualization technology, to be able to isolate various programs from each other, and even sandbox many system-level components, like networking or storage subsystem, so that their compromise don’t affect the integrity of the rest of the system.
Qubes lets the user define many security domains implemented as lightweight Virtual Machines (VMs), or “AppVMs”. E.g. user can have “personal”, “work”, “shopping”, “bank”, and “random” AppVMs and can use the applications from within those VMs just like if they were executing on the local machine, but at the same time they are well isolated from each other. Qubes supports secure copy-and-paste and file sharing between the AppVMs, of course.
På Youtube finns en hemsk (och hemskt intressant) film om hur man kan öppna och sedan stänga en resväska utan att det syns. Det enda verktyg som krävs är en kulspetspenna:
Notera att väskan är låst med ett hänglås som låser ihop dragkedjans två dragmekanismer. Kommentaren på slutet är väl värd att lägga på minnet: Du är ansvarig för det som finns i din resväska. Det stora bekymret är egentligen inte att det går att öppna en resväska man tror är låst, utan att det går att återförsluta den så att det inte finns något som visar att ett intrång skett.
Lärdomen från denna film borde vara att inte använda resväskor med dragkedjor.
Svenska Todos som bland annat tillverkar olika kod-dosor för bank-inloggning har blivit uppköpta av franska Gemalto.
Gemato köper Todos från 6:e AP-fonden.
Den nya releasen innehåller ett flertal fixar och nyheter (ChangeLog), men varför man valde att gå till 1.0.0 nu är inte helt klart. OpenSSL som projekt startade i december 1998 och första versionen var 0.9.1c(!). Sedan dess har man under nästan tolv års tid harvat med 0.9.x-inkrement.
Psykologiskt är det dock viktigt att det nu finns en 1.x-version av OpenSSL – för en utomstående kan det vara svårt att tro att något med version 0.9.8n är stabilt och lämpligt att använda i seriösa tilämpningar. Tittar man längst upp i ChangeLog ser det ut som att nästa version kommer att heta 1.1.0 så dom verkar gå mot mer normala versionsnummer.
Uppdaterad 2010-03-31:
Hittade en pressrelease från OpenSSL som beskriver 1.0.0-releasen:
The OpenSSL project team is pleased to announce the release of version 1.0.0 of our open source toolkit for SSL/TLS. This new OpenSSL version is a major release and incorporates many new features as well as major fixes compared to 0.9.8n. For a complete list of changes, please see http://www.openssl.org/source/exp/CHANGES .
The most significant changes are:
o RFC3280 path validation: sufficient to process PKITS tests.
o Integrated support for PVK files and keyblobs.
o Change default private key format to PKCS#8.
o CMS support: able to process all examples in RFC4134
o Streaming ASN1 encode support for PKCS#7 and CMS.
o Multiple signer and signer add support for PKCS#7 and CMS.
o ASN1 printing support.
o Whirlpool hash algorithm added.
o RFC3161 time stamp support.
o New generalised public key API supporting ENGINE based algorithms.
o New generalised public key API utilities.
o New ENGINE supporting GOST algorithms.
o SSL/TLS GOST ciphersuite support.
o PKCS#7 and CMS GOST support.
o RFC4279 PSK ciphersuite support.
o Supported points format extension for ECC ciphersuites.
o ecdsa-with-SHA224/256/384/512 signature types.
o dsa-with-SHA224 and dsa-with-SHA256 signature types.
o Opaque PRF Input TLS extension support.
o Updated time routines to avoid OS limitations.
We consider OpenSSL 1.0.0 to be the best version of OpenSSL available and we strongly recommend that users of older versions upgrade as soon as possible.
De nya lösenordsknäckarna attackerar lösenord för Wi-Fi lösenord (WPA-PSK) samt lösenordsskyddade backuper från iPhone och iPod. Elcomsoft använder ATI Radeon 5000-GPU:er.
Benchmarkmätningar visar enligt ElcomSoft att ATI Radeon HD5970 ger 20x högre prestanda för lösenordsknäckning än Intels Core i7-960. Elmcomsoft ser även att dom får mycket bättre prestanda än med Nvidias Tesla-kort:
Värt att notera är att ssdeep inte bara kan jämföra bilder och binärformat, utan kan även användas för att exempelvis hitta återanvänd kod i källkod.
För den som är intresserad av forensik kan det vara bra att veta att det (tydligen – jag kände inte till den innan) finns en Wiki kallad forensicswiki om forensik (forensicswiki). Förutom en sida om ssdeep med bra användningsexempel finns här en massa info om verktyg och metoder för forensik.
Jag testade att tanka ner och programmet byggde snällt och ser ut att fungera. Har dock inga bra exempelfiler att köra på. Jag testade att ta en PDF och peta in “AA” slumpmässigt på 10 olika ställen i en kopia av filen och sedan jämföra:
Som man kan se ovan verkar ssdeep detektera att filen är modifierad, men att döma av hasharna är dom väldigt lika. MD5 som jämförelse ger att filerna skiljer, men inte hur mycket. Hur man sedan skall tolka och använda resultatet från ssdeep behöver jag läsa på bättre för att förstå. Det verkar funka i alla fall.
Funderar på om man i LinkedIn:s skills kan lägga in saker man kan, men inte vill kunna. ClearCase exempelvis. #in 2012/02/03
There seems to be possible to extract the keys for FileVault2 from a running system: http://t.co/qZiL23Rs #in #apple #security 2012/02/03
RT @TheHackersNews: @kevinmitnick Great :) 2012/02/02
RT @msftsecurity: Check out the #MSFT Trustworthy Computing blog for perspectives on #security, #privacy, and online safety. http://t.co ... 2012/02/02
RT @WeldPond: MPs want to see "safety standards on software sold within the EU, similar to those imposed on vehicle manufacturers" http: ... 2012/02/02
