Tillverkaren Runcore har släppt en ny SSD-disk med funktion för fysisk destruering. Det är serien Invincible som levereras med denna nya funktion som kan aktiveras med en röd knapp. Disken har även en grön knapp som återställer med fabriksinställningar samt raderar datan, skillnaden mellan denna funktion är att disken går att använda igen.

Följ oss på Twitter: http://twitter.com/kryptera

När Apple nyligen släppte sin senaste uppdatering till dess operativsystem Mac OS (10.7.3) så glömdes en debug-utskrift kvar där lösenordet till användare förekommer i klartext.

Detta är extra känsligt eftersom FileValut, den kryptering som används för användares hemkataloger då kan återskapas. Använder du FileVault 2 så (full-disk) så berörs du ej av denna bugg.

Buggen identifierades av David Emery och beskrivs på följande sätt:

Det är värre än vad det verkar som, eftersom loggen i fråga kan läsas genom att starta upp maskinen i firewire disk-läge och läsa den genom att öppna enheten som en skiva eller genom att starta upp nya medföljande-LION återställningspartitionen och med hjälp av tillgänglig superanvändare montera filsystemet och läsa debugfilen. Detta skulle göra det möjligt att bryta sig in i krypteradepartitioner på maskiner som de inte har en aning om eventuella inloggninglösenord för.

Skärmdump från loggfilen:

Följ oss på Twitter: http://twitter.com/kryptera

VPN Tunnel är en benämning på där en klient kopplar upp sig krypterat eller okrypterat mot en server. VPN står för Virtual Private Network (virtuellt privat nätverk).

En vanlig mjukvara för att skapa en VPN-Tunnel är OpenVPN som är gratis och finns till Linux, Windows samt OS X.

Vanliga protokoll är IP Sec eller SSL/TLS som transportprotkoll. Några av de svenska tjänster som tillhandahåller VPN-tunnlar är:

• Relakks
• VPNTunnel.se
• Anonine
• PrivatVPN.se

Har du någon erfarenhet av ovan tjänster? Lämna gärna en kommentar med dina erfarenheter.

Detta är ett inlägg i en serie där vi förklarar grundläggande begrepp inom kryptering och IT-säkerhet.

Följ oss på Twitter: http://twitter.com/kryptera

Gabriella Lahti på Radio1 intervjuar den svenska utvecklaren Linus Nordberg om Tor, the onion routing network.

Tor själva beskriver Linus på följande sätt:

Linus Nordberg, Advocate, Developer

Swedish advocate for Tor, anonymous communications research, and employee at NORDUnet. Works on implementing IPv6 in Tor.

Här nedan kan du lyssna på avsnittet. Även så medverkar Dan Egerstad i slutet av sändningen.

Följ oss på Twitter: http://twitter.com/kryptera

BitCoin som är en ny semi-anonym valuta har nu lockat till sig riskkapitalister. Det är företaget CoinLab som får 3.3 miljoner i kapital från ett antal företag såsom Draper Associates och affärsängeln Geoff Entress.

CoinLab har en produkt som låter spelföretag lägga in en kodsnutt som nyttjar spelarens dator för bitcoin-mining. Enligt CoinLab kan spelföretaget tjäna upp till 100 kr per spelare och månad vilket kan vara ett alternativ för spelare som spelar gratis. Företaget använder sig av GPU:n (grafikkortet) för att göra beräkningarna.

Två spelföretag har redan nappat: GraFighters och Wurm Online.

Se även vad BitCoin.se har skrivit.

Följ oss på Twitter: http://twitter.com/kryptera

Om du är intresserad av faktorisering av stora heltal rekommenderar vi Johan Håstad nedan text från 2007.

Faktorisering av heltal är ett problem som fascinerat matematiskt intresserade människor i alla tider. Jakten på rekordstora primtal likaså. Om vi tar ett stort tal visar det sig vara mycket lättare att avgöra om det är primtal än att hitta faktorerna. Detta kan verka förvånande men det är faktiskt inte så underligt. Att vara primtal ger en mängd följdegenskaper och en användbar egenskap är Fermats lilla sats som säger att om p är primtal och a är ett tal mellan 1 och p − 1 så ger a^p-1 rest 1 vid divsion med p.

Läs texten om faktorisering av stora heltal i sin helhet här via Forskning.se (pdf).

Följ oss på Twitter: http://twitter.com/kryptera

Tavis Ormandy som jobbar på Google med säkerhet har identifierat en allvarlig säkerhetsbrist i OpenSSL-funktionen asn1_d2i_read_bio. Som funktionsnamnet antyder så används den för läsning av ASN1-information, och inte konstigt att sårbarheter identifieras i denna typ av funktioner då standarden är en vildvuxen skog.

Enligt den säkerhetsnotis (se nedan) som skickats ut så är SSL/TLS-implementationer ej sårbara men det finns en viss chans att någon implementation använder sig av d2i_X509_bio och kan då vara sårbar.

OpenSSL-teamet vädjar till uppgradering till versionerna 1.0.1a, 1.0.0i eller 0.9.8v.

Källa: https://openssl.org/news/secadv_20120419.txt

Följ oss på Twitter: http://twitter.com/kryptera

Via CERT-SE hittar vi följande bra inlägg om vikten av att skydda sina kontouppgifter.

Graham Cluley skriver att det är viktigt att skydda kontouppgifter och använda stark autentisering (om möjligt) till sociala mediewebbplatser, som till exempel Facebook och Twitter.

Just a username/password combination isn’t enough when a social media account is an important part of your business or public image.

Det gäller i allra högsta grad myndigheter och företag som använder sig av sociala medier för att kommunicera med medborgare. Man bör noga utvärdera eventuella risker med att använda kommunikationsplattformar som saknar möjlighet till stark autentisering och där man kan få problem med att mitigera effekterna om inloggningsuppgifter skulle hamna på avvägar.

Artikeln som CERT-SE rekommenderar finns att läsa här: http://nakedsecurity.sophos.com/2012/04/16/hyatt-acai-berry/ och vi har även skrivit om Facebook och dess tvåfaktorsautentisering här.

Följ oss på Twitter: http://twitter.com/kryptera

Om du innehar gammelmedia i form av tidningen Computer Sweden eller Ny Teknik så finns det chans att du har sett denna udda rekryteringsannons från myndigheten FRA:

Claes Törneman, ansvarig chef för den aktuella rekryteringen på FRA säger:

Vi har sett att det här är ett sätt att locka fler av de allra skickligaste specialisterna till våra lediga tjänster. Inom vår informationssäkerhetsavdelning (ISA) krävs avancerade IT-kunskaper och konkurrensen om dem som har denna kompetens är stor.

Även om man alltid är välkommen att söka de utannonserade tjänsterna utan att ha knäckt koden och löst den underliggande utmaningen verkar uppgiften i sig locka fler att skicka in svar.

Följ oss på Twitter: http://twitter.com/kryptera

Förra året i Maj så skrev vi om ett expriment som Google utförde vid namn False Start SSL där avsikten var att snabba upp SSL (https). Dock så visade det sig att False Start var inkompatibelt med ett antal SSL terminatorer och det Google gjorde då var att upprätta en svartlista med dessa men det visade sig vara ett hästjobb att hålla denna lista uppdaterad så nu lägger Google ner experimentet meddelar företaget.

Adam Langley som jobbar på Google skrev detta på sin privata blogg ImperialViolet:

The `servers’ with problems were nearly always SSL terminators. These hardware devices terminate SSL connections and proxy unencrypted data to backend HTTP servers. I believe that False Start intolerance is very simple to fix in the code and one vendor suggested that was the case. None the less, of the vendors who did issue an update, most failed to communicate that fact to their customers. (A pattern that has repeated with the BEAST fix.)

Dock så kommer Googles webbläsare Chrome stödja False Start mot servrar som stödjer TLS Next Protocol Negotiation (NPN).

Följ oss på Twitter: http://twitter.com/kryptera

Vi har nu bytt utseende här på Kryptera.se, det är Blaskan från Per Sandström som står för utseendet.

Se mer på http://www.permalink.se

Psst! Du glömmer väl inte att följa oss på Twitter där vi uppdaterar med nyheter om kryptering och IT-säkerhet.

Följ oss på Twitter: http://twitter.com/kryptera

Stockholmsbaserade företaget Micro Systemation har fått stor uppmärksamhet i utländska media på grund av dess produkt XRY som har stöd för att forcera PIN-koden på en iPhone (iOS). Produkten har även stöd att komma åt krypterade delar på mobiltelefonen.

Videodemonstration:

Här kan du läsa artikeln i sin helhet på Forbes >

Följ oss på Twitter: http://twitter.com/kryptera

Via Sveriges Radio hittar vi nedan kommentar från folkpartisten Johan Pehrson som är riksdagsledamot i justitieutskottet.

Man kan inte avskriva detta. Kryptering är bra men frågan är om det ska kunna användas i de fall man tillhandahåller allmänna telefontjänster. Jag säger inte att vi ska titta på en sådan lagstiftning nu, men vi måste följa den utvecklingen noga för teknisk utveckling kommer alltid att ställa nya utmaningar.

På SweClockers forum diskuteras samt på andra ställen på Internet diskuterades denna fråga intensivt. Dock så dementerar Johan sedan uppgifterna.

Källa: SR

Följ oss på Twitter: http://twitter.com/kryptera

Två kryptoforskare vid KTH har identifierat stora brister i bl.a. amerikanska valsystem från företagen Scantegrity och Civitas. De brister som identifierats var så allvarliga att de kunnat påverkat valutgången, men dock så hittade forskarna även metoder att identifiera om dessa brister utnyttjas.

Jag förstår inte hur man kan använda ett elektroniskt valsystem utan bevisbar säkerhet i allmänna val, säger Douglas Wikström, biträdande lektor vid KTH och forskare med inriktning mot kryptografi och kryptografiska protokoll.

Douglas tillsammans med sin kollega Shahram Khazaei hittade bristerna och kontaktade företagen som utvecklat dessa och forskarna vid företaget kunde även verifiera dessa sårbarheter.

Dessa brister är dock är inte unik för USA. System med liknande sårbarheter finns i vårt grannland Norge. Även där har Douglas Wikström, Shahram Khazaei samt Douglas doktorand Björn Terelius analyserat ett system som användes av 54 000 norrmän förra året och levererades av det spanska företaget Scytl. I detta system kunde forskarna inte hitta någon direkt sårbarhet utan enbart teoretiska sårbarheter, systemet har bla.a. ingen bevisbar säkerhet.

Källa: KTH 

Följ oss på Twitter: http://twitter.com/kryptera

För att använda ett gratis VPN så rekommenderar vi Tor. Med hjälp av Tor så kan du surfa anonymt och gratis, det enda som krävs är att du laddar hem och installerar dess klient. En nackdel dock kan vara att det går trögt att surfa då bandbredden kan vara begränsad på många exitnoder.

Sedan klickar du bara och extraherar samt startar klienten via Play-knappen så startas automatiskt webbläsaren Firefox och visar ett meddelande att du är ansluten till Tor-nätverket.

Så lätt är det att komma igång och använda Tor som ett gratis VPN.

Här kan du ladda hem Tor-klienten och dess tillbehör:

• torproject.org/download/download-easy.html.en

Uppdatering för att förtydliga: Tor krypterar ej mellan slutpunkter om du använder dess publika noder och går ut mot Internet. Du kan läsa mer här på engelska.

Följ oss på Twitter: http://twitter.com/kryptera

Två studenter vid KTH har identifierat ett motmedel i krypterad IP-telefoni som gör att avlyssning ej är möjlig. Genom att använda en teknik vid namn phrase spotting technique så är det möjligt att urskilja vad som sägs vid krypterad IP-telefoni, detta är en avlyssninsteknik som tidigare identifierats vid MIT och av Google-anställda.

Det studenterna nu har gjort är att analysera problemet och kommit med förslag på flera sätt att skydda sig mot säkerhetsluckan, och därtill introducerad en ny teknisk modell – voice coder – för hur man ska kunna kommunicera utan att riskera att bli avlyssnad.

Studenterna Vasily Prokopov och Oleksii Chyrkov gjorde medverkar även i en tävling som anti-virusföretaget Kaspersky utlyst.

Läs nyheten i sin helhet hos KTH >

Följ oss på Twitter: http://twitter.com/kryptera

Verktyget mitmproxy som används för att genomföra man-i-mitten attacker (man-in-the-middle) angrepp finns nu ute i en ny version. Verktyget kan exempelvis användas för att analysera trafik till och från datorer, iPhone, iPads eller andra enheter.

* New built-in key/value editor. This lets you interactively edit URL query
strings, headers and URL-encoded form data.
* Extend script API to allow duplication and replay of flows.
* API for easy manipulation of URL-encoded forms and query strings.
* Add ”D” shortcut in mitmproxy to duplicate a flow.
* Reverse proxy mode. In this mode mitmproxy acts as an HTTP server,
forwarding all traffic to a specified upstream server.
* UI improvements – use unicode characters to make GUI more compact,
improve spacing and layout throughout.
* Add support for filtering by HTTP method.
* Add the ability to specify an HTTP body size limit.
* Move to typed netstrings for serialization format – this makes 0.7
backwards-incompatible with serialized data from 0.6!
* Many minor bugfixes and improvements.

Här kan du ladda hem mitmproxy 0.7:

• http://mitmproxy.org/download/mitmproxy-0.7.tar.gz

Här finnes en video med mitmproxy från YouTube:

Följ oss på Twitter: http://twitter.com/kryptera

Diktaturen Iran ökar filtreringen av Internettrafik där man bl.a. försöker förhindra användningen av anonymiseringsnätverket Tor. Tor är dock snabba och släpper en ny mjukvara vid namn Obfsproxy som döljer Tor-trafik som vanligt Internetsurf.

Den nya obfuskeringsmjukvaran kan hjälpa mellan 50 och 60 000 användaren i Iran att nå ut. Mellan Feb. 8 och Feb. 9, antalet anslutningar till Tor gick från över 50 000 ner till 20 000 och sedan ner till nästan noll anslutningar på Fredag, Feb. 10.

I dagsläget finns det redan runt 300 stycken installationer av Obfsproxy som hjälper användare i Iran.

Följande graf visar antalet Tor-anslutningar från Iran per dag:

För mer information se obfsproxy-sidan på Torproject.org eller detta blogginlägg.

En annan mjukvara som också används flitigt i Iran för att kringgå diktaturens filtrering är Hotspot Shield.

Följ oss på Twitter: http://twitter.com/kryptera

En forskare vid IOActive Labs Research har nyligen genomfört ett proof-of-concept demo där han påvisar att det är möjligt att genom att avlyssna krypterad https-trafik som går till och från Google Maps-servrar utläsa vart på kartan som användaren tittar.

Genom att analysera storlekar på bilderna som laddas in på kartan så är det möjligt att utläsa vilket område som laddas in krypterat över https.

Se video här:

Dock så pepkar @santaragolabs att attacken kan vara mycket svår att genomföra i verkligheten då stora mängder kartadata måste laddas hem från Google.

Källa

Följ oss på Twitter: http://twitter.com/kryptera

Den sociala mediersajten Twitter har nu sett till att https-kryptering används som standard för samtliga användare. Detta är en bra riktning och för att citera Olle E. Johansson från Twitter:

@kryptera @pawal When do we get #ipv6 on #twitter – after HTTPS we need dnssec and IPv6.

— Olle E. Johansson (@oej) February 14, 2012

Så får vi hoppas att Twitter inför DNSSEC och IPv6.
Källa: Twitter

Följ oss på Twitter: http://twitter.com/kryptera