Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Internet » Kryptoblog

Posts Tagged ‘Internet’

Ny draft om certifikatbaserad verifiering av servrar

March 9th, 2010

Det finns en ny Internet Draft, Representation and Verification of Application Server Identity in Certificates Used with Transport Layer Security (TLS) som ser intressant ut, men där författarna behöver/vill ha hjälp. Draftens sammanfattning ger en bra beskrivning av vad man vill åstadkomma:


Many application technologies enable a secure connection between two entities using certificates in the context of Transport Layer Security (TLS).

This document specifies procedures for representing and verifying the identity of application servers in such interactions.

Eftersom draften spänner över flera olika områden har författarna haft svårt att hitta rätt forum. I en postning skriver dom:


A small, informal design team has been working on an I-D that attempts to define recommended procedures for representing and verifying server identities in X.509 certificates intended for use in applications that employ TLS.
...

Because this work touches on security in a wide variety of application protocols (HTTP, IMAP, LDAP, SMTP, XMPP, NNTP, NETCONF, SysLog, SIP, etc.) through the re-use of both TLS and the PKI, there is no one list where we can hold a focused discussion. Therefore we have created a new list, certid@ietf.org, to which you can subscribe here:

https://www.ietf.org/mailman/listinfo/certid

Please join the discussion there if you have an interest in this topic.

Thanks!
Peter Saint-Andre

Verkar detta intressant så häng på!

Integritet på nätet med Microsofts U-Prove

March 4th, 2010

Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:


Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.

U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.

Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.

OpenDNSSEC 1.0.0 släppt

February 9th, 2010

I dag släpptes version 1.0.0 av OpenDNSSEC. Därmed har ännu ett steg för DNSSEC tagits.

OpenDNSSEC

För de som ej vet är OpenDNSSEC är och gör kommer här en snabb förklaring:


OpenDNSSEC was created as an open-source turn-key solution for DNSSEC. It secures zone data just before it is published in an authoritative name server.

What does OpenDNSSEC do?
OpenDNSSEC takes in unsigned zones, adds the signatures and other records for DNSSEC and passes it on to the authoritative name servers for that zone.

DNS is complicated, and so is digital signing; their combination in DNSSEC is of course complex as well. The idea of OpenDNSSEC is to handle such difficulties, to relieve the administrator of them after a one-time effort for setting it up.

OpenDNSSEC - funktion

Många har slitit hårt och länge för att få till version 1.0.0. Bra jobbat!

kränkt.se – Irriterande (men egentligen bra) webbplats

January 31st, 2010

(Städat och lagt till en del saker till postningen sedan i jag postade den.)

Datainspektionen har startat en ny webbplats som fått viss uppmärksamhet: kränkt.se.

När jag först kollade på sidan blev jag riktigt irriterad, inte minst på de svepande beskrivningarna av vad en kränkning är:

Har du blivit oschysst behandlad på nätet? Är det någon som har skrivit något nedsättande om dig på ett forum eller kanske lagt upp en bild på dig som du inte vill att andra ska se? Eller är du förälder till ett barn som råkat ut för något liknande?

Den här webbplatsen är till för dig som känner att du blivit oschysst behandlad på Internet. Här får du råd om vad du kan göra för att lösa problemet.

Men jössessnällenån, om någon är lite oschysst och taskig, är det då en kränkning? Varför börjar jag direkt tänka på vad Johan Hakelius, David Eberhard och Ann Heberlein har skrivit? Borde ex inte Tomas Ros anse att han blivit kränkt av Robert Laul som kallat honom lipsill! (Lite roligt att muskelbiffen Laul använder tillmälet lipsill – något man tog till på lågstadiet när man var arg och ville vara elak.)

Lipsillmannen Robert Laul.
Lipsillmannen Robert Laul

Börjar man sedan titta lite mer på webbplatsen tycker jag dock att det finns en hel del bra och tänkvärt. För den som anser sig kränkt finns bra instruktioner på hur du kan försöka agera för att få bort det du tycker kränker dig.

En kanske viktigare sida är dock den om hur du undviker att kränka andra. I grund och botten handlar det om etik – med hänvisning till pressetiska regler (har Robert Laul läst dom?). Skriver man på nätet kan det iaf vara bra att läsa igenom och fundera på den typen av regler – även om de juridiskt inte gäller. Bara för att man kan skriva vad som helst behöver man inte göra det. En regel jag lärt mig är: Känns det fel i magen så är det ingen bra idé.

Och bara för att vara tydlig: Integritetskränkningar är ett reellt problem (ex Sydsvenskans oturliga uthängning av en oskyldig person), inget jag skrattar åt och allvarligt. Men allmän dumhet, klumpighet och missförstånd kommer alltid att finnas och text ofta ett trubbigt verktyg. Vidare kan sociala tjänster som Facebook där vänskap är binär (antingen är man vän eller inte) kan relationer bli övertydliga och skapa konflikter. Att inte få vara kompis med någon på nätet kanske dumt, men inte ett skäl att vara kränkt.

Sedan är det inte alltid lätt att veta vad andra kan uppfatta som kränkande – det verkar nästan finnas en person som tar illa vid sig oavsett vad någon gör eller skrivert. Att jag ex postar om attacker på kryptot kan tydligen vara provocerande och kränkande. Då är det kanske tur att kränkt.se finns.

BTW: Om ni känner er kränkta av något jag skriver på bloggen, skriv en kommentar eller kontakta mig direkt.

Är det inte dags för IT-sec-krav för finansiella aktörer?

January 28th, 2010

I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd av Finansinspektionen att hantera finansiella instrument – att sköta folks pengar. Och hoppsan, plötsligt ville webbplatsen sparka igång en applet och få access till min maskin. Hur pålitlig är den då? Så här:

Skärmdump Nordstaden.
Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.

nmap 5.20 släppt

January 26th, 2010

Fyodor jobbar vidare på nätverksscannern nmap (känd från Matrix Reloeaded, bland annat) och släppte för en knapp vecka sedan nmap 5.20. Den nya versionen inkluderar saker som:

* 31 new NSE Scripts
* enhanced performance and reduced memory consumption
* protocol-specific payloads for more effective UDP scanning
* a completely rewritten traceroute engine
* massive OS and version detection DB updates (10,000+ signatures)
* Zenmap host filter mode shows just the hosts you’re interested in.

zenmap in action.
zenmap visar nätstrukturen.

Samtidigt har Fyodor meddelat att det kommer en städ- och buggfixrelease (5.21) nästa vecka, så vill du använda de nya funktionerna, men inte har kanonbrottom är det kanske bäst att lugna sig ett par dagar.

Uppdaterad 2010-01-28: Nu finns version 5.21 av nmap att ladda ner, en version utan en enda ny funktion med 10+ buggfixar.

Daniel Stenberg rapporterar från OWASP-mötet

January 25th, 2010

Daniel Stenberg var på OWASP Swedens möte om de stora protokollen och har skrivit en bra sammanfattning.

OWASP Swedens seminariekväll om de stora protokollen

January 17th, 2010

Enligt en postning på OWASP Swedens blogg kommer de att anordna en seminariekväll 2010-01-21 om de stora protokollen. På seminariet kommer Håvard Eidnes att prata om BGP, Rickard Bellgrim kommer att prata om DNSSEC och Fredrik Hesse kommer att prata om SSL/TLS. Naturligtvis blir det dessutom diskussioner, mingel m.m.

OWASP logo.

Stiftelsen för Internetinfrastruktur (.SE) och föreningen SNUS (Swedish Network Users’ Society) står som värdar. För mer information, anmälan se den officiella inbjudan (pdf).

WolframAlpha – en beräkningsbaserad kunskapsmotor

May 16th, 2009

Stephen Wolfram, mannen bakom Mathematica och A New Kind of Science har släppt en ny slags tjänst kallad WolframAlpha:

WolframAlpha

WolframAlpha är en Computational Knowledge Engine. Vad det betyder enligt webbplatsen är:


Wolfram|Alpha’s long-term goal is to make all systematic knowledge immediately computable and accessible to everyone. We aim to collect and curate all objective data; implement every known model, method, and algorithm; and make it possible to compute whatever can be computed about anything. Our goal is to build on the achievements of science and other systematizations of knowledge to provide a single source that can be relied on by everyone for definitive answers to factual queries.

Wolfram|Alpha aims to bring expert-level knowledge and capabilities to the broadest possible range of people—spanning all professions and education levels. Our goal is to accept completely free-form input, and to serve as a knowledge engine that generates powerful results and presents them with maximum clarity.

Wolfram|Alpha is an ambitious, long-term intellectual endeavor that we intend will deliver increasing capabilities over the years and decades to come. With a world-class team and participation from top outside experts in countless fields, our goal is to create something that will stand as a major milestone of 21st century intellectual achievement.

Att döma av vad som finns i dag kan WolframAlpha tolka och illustrera data utifrån de frågeställningar man ge verktyget på ett sätt jag aldrig sett innan. På webbplatsen finns flera väldigt imponerande exempel på frågor och resultat. Ex svaret på frågan taylor series in x ger en rejäl förklaring och en illustration:
Taylor series in x. Ett annat fräckt exempel är att fråga om avståndet mellan två platser, ex Stockholm och London. Rätt svar är (tydligen) 1437 km:

Från Stockholm till London enl WolframAlpha.

WolframAlpha är väl ett av de första exemplen på semantic web med en avgränsning till ett område som delvis gör det lättare att förstå frågorna som ställs.

Jag lekte runt lite med WolframAlpha och på enklare frågor fick jag väldigt spännande svar. Men när jag började med lite frågor rörande krypto etc verkade det inte finnas någon info, men md5sum förstår den.

Vidare verkar WolframAlpha inte ännu vara beredd på att ta emot mycket last. Flera gånger fick jag felmeddelande om att tjänsten hade nått sitt kapacitetstak.

Kort sagt ett mycket spännande projekt som pekar framåt, men kanske inte helt färdigt. För den som vill läsa mer finns här en bra bloggpostning om WolframAlpha.

Och vad är då säkerhetsaspekten? Bra fråga. Går det ex att använda WolframAlpha för att korrelera en stor mängd information och ta reda på saker? Går det att använda WolframAlpha för att utföra avancerade beräkningar – nyckelknäckning exempelvis?

Vita husets nya robots.txt-fil

January 21st, 2009

Boingboing berättar att i samband med att Obama tog över som president ändrades även Vita husets webbplats. En av de förändringar som skett är att filen robots.txt, vilken används för att blockera webbspindlar från att indexera sidan, har ändrats. En aning.

Den nya filen lyder kort och gott:


“User-agent: *”
“Disallow: /includes/”

Den gamla filen får dock mig att tänka på Jonas Gardells fantastiska spaning Det är kamouflaget som avslöjar en. För en snabb läsning av den drygt 2400(!) rader långa robots.txt som GWB använde gör mig väldigt nyfiken på vad det var dom försökte dölja. Några klipp:

  1. Disallow: /avianflu/text
  2. Disallow: /barney/barney/text
  3. Disallow: /barney/barneycam/text
    (Vem är Barney?)
  1. Disallow: /homeland/firstresponders/text
  2. Disallow: /homeland/hspd19/text
  3. Disallow: /homeland/progress/text
  1. Disallow: /infocus/terrorisminsurance/text
  2. Disallow:/pandemicflu/text

Nej jag tror inte att robots.txt är ett sätt att skydda information, informationen är öppen. Däremot får jag en känsla av att GWB:s stab har trott att det är ett sätt att skydda information.)

Det mest förbryllande är att de ex blockerat pressreleaser och annat som företag och organisationer publicerar för att få uppmärksamhet och brukar vilja få spritt.

Obamas stab verkar klart mer med i matchen.