Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.
Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.
Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:
Nyss så släpptes det en ny version av OpenSSH. Denna nya version innehåller en rad förbättringar såsom MAC över krypterade paketet istället för klartext:
Added support for encrypt-then-mac (EtM) MAC modes for SSH protocol 2. These modes alter the packet format and compute the MAC over the packet length and encrypted packet rather than over the plaintext data. These modes are considered more secure and are used by default when available.
Även så har OpenSSH implementerat stöd för GCM-AES:
GCM (Galios/Counter Mode) is a mode of operation that uses a universal hash function over a binary Galois field to provide authenticated encryption. The mode is defined in NIST’s SP 800-38D, and P1619. GCM is a high performance mode which offers both pipelining and parallelization
Se changelog här: openssh.com/txt/release-6.2
Landstingsrevisionen har genomfört en granskning av vårdgivarens informationssäkerhet vid Västerbottens Läns Landsting.
Granskningen genomfördes av företaget Ernst & Young och identifierade ett antal brister. Men det som var intressant var det kapitel som behandlar kryptering inom landstinget, här kommer en skärmdump från rapporten:
Läs rapporten i sin helhet här (pdf). Tipstack till Kim H på Twitter.
Inlägg sponsrat av SSL-certifikat
Christopher Meyer och Jörg Schwenk har genomfört en sammanställning på samtliga allvarligare attacker mot SSL och TLS från de senaste 15 åren i en uppsats:
SSL/TLS allowed efficient fixes in order to counter the issues. This paper presents an overview on theoretical and practical attacks of the last 15 years, in chronological order and four categories: Attacks on the TLS Handshake protocol, on the TLS Record and Application Data Protocols, on the PKI infrastructure of TLS, and on various other attacks. We try to give a short ”Lessons Learned” at the end of each paragraph.
Några av de attacker som presenteras är:
Här kan du ladda hem dokumentet som PDF:
Den decentraliserade virtuella valutan Bitcoin når nu årshögsta med 20$ per Bitcoin. Spekulationer varför valutan nu går upp kan bl.a. bero på att företaget Avalon säljer mining-chip (ASIC):
Avalon contracted TSMC to make the chips at a 110nm process. The device mines at 66 Ghash/s and draws about 440 Watt, currently generating about $210/day (11 bitcoins/day).
Klicka på bilden för en större version:
Lördag den 16:de Februari så går Stockholm Cryptoparty av stapeln. Vi har även skrivit om detta förut. Kolla in Wikin för uppdaterad information:
Nu finns en fin poster som du kan skriva ut och hänga upp på din arbetsplats, stan eller skola:
Nedan listar vi fem verktyg för att generera ett lösenord för att exempelvis användas för onlinetjänster såsom Facebook, Twitter eller Gmail. Eller för att vara ännu säkrare så kan du även använda tvåfaktorsautentisering.
Vi har ej kontrollerat huruvida ovan tjänster fungerar som utlovat eller ej. Men att använda en mjukvara för att generera lösenord direkt på din dator är troligtvis säkrare än att använda dessa tjänster.
Du kan även använda myndigheten PTS tjänst för att testa lösenord:
Som en extra rolig tjänst så kan vi rekommendera DinoPass som skapar lösenord anpassade för barn:
SDelete är ett raderings-verktyg utvecklat av Mark Russinovich på Sysinternals och ägs numera av Microsoft.
Verktyget gör standard en överskrivning av den fil du vill radera men kan göra det antal du bestämmer. Även så finns det möjlighet att bl.a. radera oanvänt utrymme.
Steg ett är att ladda hem SDelete.exe här:
Sedan måste du starta cmd.exe och gå ut till kommandotolken och här kan du se vilka argument som går att använda med sdelete.exe:
Och för att skriva över filen debug1214.txt tre gånger så gör vi enligt följande:
Andra funktioner som SDelete har som vi skrev ovan är att radera oanvänt utrymme. Och det kan man göra enligt följande:
Vi rekommenderar så klart att du skriver över hela hårddisken med hjälp av DBAN som vi skrivit om tidigare eftersom det troligtvis är en säkrare metod än SDelete (som ej är öppen källkod).
För mer information om SDelete och andra verktyg från Sysinternals såsom Process Explorer och Autoruns se här:
Även så har .SE en Internetguide om Digitalt källskydd med ett kapitel vid namn Radera säkert som du kan läsa här.
.SE ger sedan några år ut publikationer vid namn Internetguider. Dessa guider behandlar olika ämnen såsom hur du kommer igång med IPv6 eller om hur Creative Commons fungerar.
En guide som är lite extra bra för oss som är intresserade av kryptering är den om Digitalt källskydd samt det extramaterial som publicerats vid namn ”Lär dig kryptering” med följande innehåll:
Här kan du läsa publikationen:
Sparvnästet hackerspace anordnar tillsammans med DFRI ”Föreningen för digitala fri- och rättigheter” ett CryptoParty i Stockholm.
Dagen den 16:de Februari 2013 kommer att bli fullsmockad med intressanta föreläsningar och workshops och redan nu är ett antal fastställda:
När det gäller Tor-föreläsningen kommer Linus att hålla en grundkurs om Tor; en teknik för att vara anonym på nätet:
Vi börjar från början. Inga förkunskaper krävs. Workshopen inleds med en kort presentation av Tor; hur tekniken fungerar, vad olika termer betyder och vad man måste göra för att själv kunna använda Tor. Efter det testar vi att installera Tor Browser Bundle, det enklaste sättet att komma igång. Ta med din egen dator! Slutligen diskuterar vi några av de risker som finns med att använda Tor.
För mer information se CryptoParty.org. Observera att lokal ej är fastställd ännu.
Myndigheten för samhällsskydd och beredskap (MSB) har idag släppt en rapport vid namn Trendrapport – samhällets informationssäkerhet 2012. Rapporten är övergripande och omfattande och tar upp ett antal större händelser som inträffat under de senare åren såsom Anonymous, Stuxnet, E-legitimation och sociala medier.
Det vi finner är intressant är två kapitel som handlar om SSL-certifikat samt intrånget mot företaget RSA. Gällande angrepp mot bl.a. DigiNotar och SSL generellt så reflekterar MSB enligt följande:
- Att den teknik som används för att utfärda äkthetscertifikat till webbplatser är känslig har varit känt under en längre tid. Det finns idag drygt 600 olika företag som agerar som centrala certifikatutfärdare, och det finns risker förknippade med en sådan mångfald av äkthetsintyg. Många tekniska bedömare betraktar redan den PKI-struktur (”public key infrastructure”) som används som otillförlitlig och en återvändsgränd. Skulle det visa sig att ytterligare falska webbplatscertifikat inom kort kommer i omlopp så skulle det på sikt kunna minska tilltron till dataintegriteten hos ett stort antal webbtjänster i världen som förlitar sig på SSL. Det arbetas emellertid på lösningar. En av dem är att transportera certifikat via domänsystemet DNS, en metod som håller på att standardiseras av arbetsgruppen DANE inom internets standardiseringsorganisation IETF.
Klicka på rapporten nedan för att läsa den i sin helhet:
Det är nu några dagar sedan som BitCoin fyllde fyra år. Det är således fyra år sedan som det första blocket skapades (se BlockExplorer). Det blocket skapades av uppfinnaren Satoshi Nakamoto (alias).
Lite statistik:
Tyvärr så verkar det som om 7.8% av alla BitCoins har blivit stulna, förstörda eller borttappade (källa). Så håll hårt i era wallet.dat-filer.
Och vill du läsa orginalmailet som hen skickade ut på Cryptography mail-listan kan du göra det här:
Ni som följt bloggen här ett tag vet att vi gillar Arne Beurling och boken Svenska kryptobedrifter som tar upp lite av Beurlings liv.
Nyss så fick vi även nys om denna dokumentär som ligger uppe på YouTube:
Om du enkelt och relativt snabbt vill radera information från din hårddisk så är DBAN verktyget du söker. Mjukvaran är fri att använda och fungerar med de felesta datorer.
Förkortningen DBAN står för Darik’s Boot och Nuke efter skaparen Darik Horn. Dock så kommer mjukvaran ej med några garantier, rapporter efter radering eller liknande. Men uppfyller de flesta behov när det gäller säker radering av information på hårddiskar.
Söker du efter en mjukvara med support och som kan leverera rapport för verifiering bör du titta lite mer på Blancco som erbjuder detta, dock ej gratis. Blancco riktar sig främst mot företag.
Men hur funkar radering med DBAN då? Jo, på följande sätt:
1. Ladda hem en ISO som du bränner till CD-R eller DVD-R skiva.
2. Boota upp på skivan
3. Om allt går som det ska så ska du få upp en blå meny som är boot-loadern där du har några val:
4. Ovan så kan du trycka Enter så kommer du inom kort upp till nästa meny:
(ovan bild visar en redan startad radering)
På denna meny har du ett antal alternativ. Exempelvis vilken hårddisk du vill radera samt om eller vilken typ av slumptalsgenerator du vill använda för att skriva till hårddisken.
Du kan även välja antalet överskrivningar (rounds).
Följande metoder kan användas för överskrivning: Mersenne twister/ISAAC. The Gutmann method, Quick Erase, DoD Short (3 överskrivningar), and DoD 5220.22-M (7 överskrivningar).
Observera att raderingen kan ta flera dagar.
Här kan du ladda hem DBAN: http://dban.org/download
Det ryska företaget ElcomSoft släpper en uppdatering till sin mjukvara Forensic Disk Decryptor som gör det möjligt att läsa ut nycklar ur ett datorminne.
För att läsa ut nycklarna ur datorminnet så kan antingen Windows hibernate-fil användas eller utläsning via FireWire-porten.
Sedan analyserar programmvaran minnesdumpen och söker efter nycklar till PGP, TrueCrypt eller BitLocker som används för hårddisk-kryptering.
Den nya produkten innehåller algoritmer som gör det möjligt för oss att analysera minnesdumpar av datorer, för att hitta områden som innehåller dekrypteringsnycklar. Ibland nycklarna upptäcks genom att analysera sekvenser av bytes, och ibland genom att undersöka kryptobehållares interna strukturer. När du söker efter PGP-nycklar kan användaren påskynda betydligt upp processen om den exakta krypteringsalgoritmen är känd.
Läs mer på Elcomsoft-bloggen.
Uppdatering: Bruce Shneier påpekar att detta inte direkt är nytt..
Inte direkt krypterings-relaterat men lika bra att skriva en liten evalueringsrapport när vi ändå ska testa Kaspersky Anti-virus här på redaktionen.
Den version vi testar är version 8 (8.0.1.50) för Linux och deb-paket. Denna version finns att ladda hem och testa under 30 dagar. När man registrerar sig för ett test-konto så skickas även en länk för nedladdning av deb-paketet och en .key-fil som är licensen som används under dessa 30 testdagar.
Paktetet installeras med dpkg -i kes4lwks_8.0.1-50_i386.deb, vi fick ett felmeddelande att paktet libc6-i386 även måste installeras på vårat Ubuntu-system.
Efter detta gick det bra att installera Kaspersky Anti-virus. Efter installation så ska man köra /opt/kaspersky/kes4lwks/bin/kes4lwks-setup.pl för att ställa in installationen.
That’s it! Happy virus-hunting. Vi återkommer med ett test i nästa del av vår utvärdering.
PS: Använd denna länk för registering av test för Kaspersky Workspace Security http://www.kaspersky.com/downloads/trials/koss1_trial_download
Tails, The Amnesic Incognito Live System är nu ute i en ny version, nämligen 0.14. Tails baseras på Linux och innehåller en mängd funktioner och förbättringar för anonymitet.
Tails innehåller även anonymiseringsmjukvaran Tor förinstallerat. Tails bränns ut till CD-skiva som används för att starta upp datorn med.
Större genomförda förändringar:
För hela changelog se här: http://git.immerda.ch/?p=amnesia.git;a=blob_plain;f=debian/changelog;hb=refs/tags/0.14
Phil Zimmermanns nya företag Silent Circle är nu uppe och snurrar och tar emot nya kunder. Zimmermann är särskilt känd för att ha skapat krypteringsprogrammvaran PGP i början på 90-talet.
Hans nya företag erbjuder krypterad E-post och telefonsamtal via iPhone (andra telefoner?). Detta system är tyvärr ej öppen källkod men använder sig av bl.a. ZRTP.
Säljvideo:
Det är relativt lätt att slå på stöd för krypterad BitTorrent-nedladdningar. Åtminstone om du använder dig av uTorrent.
Gå bara in på Inställningar -> BitTorrent och under ”Protocol Encryption” sätt till Aktiverat eller Tvingad.
Skärmdump enligt följande:
Protokollkryptering (PE) är en gemensam specifikation mellan Azureus och uTorrent. Den är utformad för att kringgå strypning och / eller blockering av BitTorrent-trafik av din internetleverantör.
Du kan läsa mer här.
Passwords^12 är en relativt ny konferens som går av stapeln i Oslo, Norge. Detta är den enda konferensen i världen som enbart fokuserar på lösenord, PIN-koder etc.
Datumet som gäller är December 3-5, 2012, konferensen är ”single track” och håller till på Oslos Universitet.
Konferensprogram:
Huvudsponsor av Password^12 är FRISC (Forum for Research and Innovation in Security and Communications).
Läs mer på Security Nirvana-bloggen eller följ hashtaggen #passwords12 på Twitter.