Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Verktyg » Kryptoblog

Posts Tagged ‘Verktyg’

Integritet på nätet med Microsofts U-Prove

March 4th, 2010

Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:


Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.

U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.

Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.

OpenDNSSEC 1.0.0 släppt

February 9th, 2010

I dag släpptes version 1.0.0 av OpenDNSSEC. Därmed har ännu ett steg för DNSSEC tagits.

OpenDNSSEC

För de som ej vet är OpenDNSSEC är och gör kommer här en snabb förklaring:


OpenDNSSEC was created as an open-source turn-key solution for DNSSEC. It secures zone data just before it is published in an authoritative name server.

What does OpenDNSSEC do?
OpenDNSSEC takes in unsigned zones, adds the signatures and other records for DNSSEC and passes it on to the authoritative name servers for that zone.

DNS is complicated, and so is digital signing; their combination in DNSSEC is of course complex as well. The idea of OpenDNSSEC is to handle such difficulties, to relieve the administrator of them after a one-time effort for setting it up.

OpenDNSSEC - funktion

Många har slitit hårt och länge för att få till version 1.0.0. Bra jobbat!

libssh2 1.2.3 släppt

February 3rd, 2010

I dag släpptes version 1.2.3 (här är GPG-signatur) av ssh2-biblioteket libssh2. Den nya versionen innehåller följande ändringar och buggfixar:


Changes:
ssh-agent support with the new libssh2_agent_* functions
Added libssh2_trace_sethandler()
Added the direct_tcpip.c and ssh2_agent.c examples

Bug fixes:
Fixed memory leak in userauth_publickey
Fixed publickey authentication regression
Silenced several compiler warnings
avoid returning data to memory already freed
transport layer fix for bogus -39 (LIBSSH2_ERROR_BAD_USE) errors
Fixed padding in ssh-dss signature blob encoding
Fixed direction blocking flag problems
Fixed memory leak in sftp_fstat()

nmap 5.20 släppt

January 26th, 2010

Fyodor jobbar vidare på nätverksscannern nmap (känd från Matrix Reloeaded, bland annat) och släppte för en knapp vecka sedan nmap 5.20. Den nya versionen inkluderar saker som:

* 31 new NSE Scripts
* enhanced performance and reduced memory consumption
* protocol-specific payloads for more effective UDP scanning
* a completely rewritten traceroute engine
* massive OS and version detection DB updates (10,000+ signatures)
* Zenmap host filter mode shows just the hosts you’re interested in.

zenmap in action.
zenmap visar nätstrukturen.

Samtidigt har Fyodor meddelat att det kommer en städ- och buggfixrelease (5.21) nästa vecka, så vill du använda de nya funktionerna, men inte har kanonbrottom är det kanske bäst att lugna sig ett par dagar.

Uppdaterad 2010-01-28: Nu finns version 5.21 av nmap att ladda ner, en version utan en enda ny funktion med 10+ buggfixar.

WolframAlpha – en beräkningsbaserad kunskapsmotor

May 16th, 2009

Stephen Wolfram, mannen bakom Mathematica och A New Kind of Science har släppt en ny slags tjänst kallad WolframAlpha:

WolframAlpha

WolframAlpha är en Computational Knowledge Engine. Vad det betyder enligt webbplatsen är:


Wolfram|Alpha’s long-term goal is to make all systematic knowledge immediately computable and accessible to everyone. We aim to collect and curate all objective data; implement every known model, method, and algorithm; and make it possible to compute whatever can be computed about anything. Our goal is to build on the achievements of science and other systematizations of knowledge to provide a single source that can be relied on by everyone for definitive answers to factual queries.

Wolfram|Alpha aims to bring expert-level knowledge and capabilities to the broadest possible range of people—spanning all professions and education levels. Our goal is to accept completely free-form input, and to serve as a knowledge engine that generates powerful results and presents them with maximum clarity.

Wolfram|Alpha is an ambitious, long-term intellectual endeavor that we intend will deliver increasing capabilities over the years and decades to come. With a world-class team and participation from top outside experts in countless fields, our goal is to create something that will stand as a major milestone of 21st century intellectual achievement.

Att döma av vad som finns i dag kan WolframAlpha tolka och illustrera data utifrån de frågeställningar man ge verktyget på ett sätt jag aldrig sett innan. På webbplatsen finns flera väldigt imponerande exempel på frågor och resultat. Ex svaret på frågan taylor series in x ger en rejäl förklaring och en illustration:
Taylor series in x. Ett annat fräckt exempel är att fråga om avståndet mellan två platser, ex Stockholm och London. Rätt svar är (tydligen) 1437 km:

Från Stockholm till London enl WolframAlpha.

WolframAlpha är väl ett av de första exemplen på semantic web med en avgränsning till ett område som delvis gör det lättare att förstå frågorna som ställs.

Jag lekte runt lite med WolframAlpha och på enklare frågor fick jag väldigt spännande svar. Men när jag började med lite frågor rörande krypto etc verkade det inte finnas någon info, men md5sum förstår den.

Vidare verkar WolframAlpha inte ännu vara beredd på att ta emot mycket last. Flera gånger fick jag felmeddelande om att tjänsten hade nått sitt kapacitetstak.

Kort sagt ett mycket spännande projekt som pekar framåt, men kanske inte helt färdigt. För den som vill läsa mer finns här en bra bloggpostning om WolframAlpha.

Och vad är då säkerhetsaspekten? Bra fråga. Går det ex att använda WolframAlpha för att korrelera en stor mängd information och ta reda på saker? Går det att använda WolframAlpha för att utföra avancerade beräkningar – nyckelknäckning exempelvis?

AppGate Free Edition

April 21st, 2009

Svenska AppGate har släppt en gratisversion av sin AppGate Security Server. Den nya versionen AppGate Free Edition är gratis för upp till 20 användare.

Själva servern är levereras som en virtuell server i form av en VMware image som går att köra i VMware Player etc. På AppGates forum finns det även info som visar att man tittar på Virtualbox och Xen.

För den som vill testa på finns här en användarhandledning för att installera och komma igång.

OTP-generator för iPhone

March 31st, 2009

Tydligen finns det nu en generator av engångskoder (One Time Password – OTP) för iPhone.

OTP-generator på iPhone.

Generatorn som är utvecklad av Verisign och här finns betan att testköra.

Jag tror på OTP-generatorer, och att ha en integrerad i mobilen är en ypperlig lösning – så länge som du kan lita på att den inte riskerar att läcka information och hackas. Fördelen med en enkel dosa från ex Vasco eller RSA är att de är så dumma och bla saknar kommunikationsmöjlgheter att det inte finns så många attackvektorer. Men att ha engångskoder genererade är bättre än att försöka komma ihåg komplicerade lösenord.

En sak gör mig dock riktigt ilsk. Det finns webbsidor och företag som använder engångskoder, men som ersätter siffrorna med stjärnor så att man inte kan se att man matar in korrekt kod. Om vi kan lita på att OTP-generatorn genererar en sekvens av koder som inte går att gissa även om man ser ett stort antal koder finns det inga säkerhetsmässiga skäl att inte låta användaren se koden. Däremot försvårar man för användaren och därmed användarens vilja att använda bra säkerhet.

Lite om diskkryptering för Mac

March 31st, 2009

Signaturen Kanske ställde en fråga om diskkryptering för Mac. Vad gäller Filevault känner jag bara till ett par utvärderingar som gjorts.

FileVault

En bra presentation om hur FileVault i Mac OS X fungerar är Unlocking FileVault som Ralf-Philipp Weinmann och Jacob Appelbaum höll på 23:e Chaos Communication Congress 2006. Att döma av den presentationen finns det inga fundamentala svagheter i konstruktionen och den bästa attackvektorn är (som vanligt) svaga lösenord. Presentationen innehåller länkar till verktyg för att utföra brute force-attack samt länkar till en del andra dokument. (En liten varning: För den som känner till Goatse kanske den sista bilden i presentationen kan vara en aning magstark. 😉

Sakthiyuvara ja Sakthivelmurugans artikel Security in FileVault från 2007 innehåller även den en analys av FileVault. Denna artikel pekar inte heller på fundamentala svagheter i krypteringen som används, men påpekar att det inte är hela disken som skyddas:


FileVault can’t possibly be extended with the current design to incorporate a full disk encryption as
many people would want to. But its possible to do; to have a full disk encryption the boot process
has to be modified to understand the decryption technique and more enhancements so that the
encrypted disk image can be mounted from which the OS should start booting.

The speed of the system may go down considerably considering the number of encryption and decryption operation that has to occur and a single disk image will be a point point of failure for corruption. Recovering corrupted image will be hurdle that has to be fixed.FileVault can’t possibly be extended with the current design to incorporate a full disk encryption.

FileVault was meant to encrypt home directories for which it is perfectly designed and have the
security features.

Det kan vara värt att notera att båda dessa källor är från 2006 respektive 2007, det är inte givet att det som står i dessa källor gäller i dag. Wikipedias sida om FileVault tar upp en del aspekter med FileVault, pekar på tidigare problem samt en händelse från 2008 som dock inte ger så mycket fakta om FileVault i sig.

Litar man inte på FileVault finns det flera alternativ/komplement värda att titta närmare på. Signaturen scrp pekade på utmärkta Truecrypt.

Ett annat alternativ är PGP Whole Disk Encryption som jag dock inte har någon personlig erfarenhet av, men som att döma av kommentarar på nätet verkar göra ett bra jobb. Du hittar dock inte så mycket säkerhet på www.pgp.org...

Uppdatering 2009-03-31:
MagnusB påpekade att om man använder FileVault bör man stänga av SafeSleep i OS:et. Detta är även något de tar upp i presentationen:


Safe sleep is invoked when power runs critically low

– Memory contents written to /var/vm/sleepimage

Safe sleep is careful but not careful enough…

– If encrypted swap is on: –contents of the sleep image will be encrypted, but key will be written out in the header (xnu-792.13.8)

MagnusB påpekar även att Checkpoint har en produkt för FDE (Full Disc Encryption) för Mac.

Dagens datorstrul

March 22nd, 2009

Det här har inte så jättemycket med IT-säkerherhet och krypto att göra. Men när jag fick min nya MacBook-laptop och skulle försöka använda mitt USB-modem fungerade det inte alls. Jag har på olika sätt försökt replikera inställningarna på min gamla maskin (där det fungerar), men än så länge utan framgång.

Ett tips jag fått är att uppgradera programvaran för USB-modemet, en E220-dongle från Huawei. Tydligen finns det en ny programvara med Plug & Play-stöd för Mac OS X för de som är Macanvändare. Tyvärr är det inte så lätt installera uppgraderingen om man är Macanvändare:


Uppgraderingen gäller bara USB-modemet Huawei E220 och kan endast göras ifrån Windows. Den här uppgraderingen innehåller stöd för Windows Vista, plug n play för Mac OS X, stöd för Mac OS X Leopard samt stöd för 7.2 Mbps.

Hur tänkte dom nu? 😉

Skall vi hitta på en säkerhetskoppling kan det väl vara att installation av säkerhetsuppgraderingar (vilket detta iofs inte är) skall vara enkla att utföra.

Ny version av libssh2

March 18th, 2009

Haxx-Daniel har postat på sin blogg att det finns en ny version av libssh2. Daniel skriver:


There have been some well-founded criticism against libssh2 for a long time for its bad transfer performance when doing SCP and SFTP based transfers. Tests have proved it to be significantly slower than the openssh based alternatives in comparisons done in similar conditions. We’re talking down to a tenth(!) of the speed for SFTP.

Luckily I have a unnamed (by agreement) sponsor who pays me for improving this.

Daniel ger en kort men bra beskrivning på de problem han ser med dagens version av implementationen i libssh2 och vad han gjort för att fixa problemen:


SSH has a lower protocol layer that does the entire encryption thing, the transport layer, but on top of that is the “channel layer” that is packet based for sending data back and forth over the transport layer. This channel thing has a receive window concept, much like TCP itself has, which tells the remote side how much data it is allowed to send until it gets further notice.

libssh2 1.0 had a very conservative windowing logic. It started with a default window size of 64KB and it upped it at every read with the same amount that was read (which then could be 1K to 16KB something depending on the app).

My remake of this was to simplify the logic, read data from the network more evenly distributed over time, update the window size much less frequent and increase the window size by magnitudes! I found that when using a window size of 38MB (600 times the previous default size!!) things started flying.

Förändringarna verkar ha gett resultat:


With these modifications, libssh2 transfers SCP at close to 40MB/sec! SFTP is still left behind at a “mere” 14MB/sec on the same test setup but it has its own set of problems and solutions. Now this discussion on the libssh2 list is more about how to sensibly size the window to work the best way for different situations.

Daniel avslutar med en önskan om att få den nya versionen testad. Om du är intresserad tveka inte att knalla över till libssh2:s webbplats, tanka hem och kör.