Nordsec: Ny akademisk IT-Säkerhetskonferens

Nordsec är en ny  IT-säkerhetskonferens med akademisk inriktning. Den går av stapeln i Tromsö uppe i norra Norge och datumet som gäller är Oktober 15-17, 2014. Och platsen för konferensen är Quality Hotel Saga.

Call for papers är uppe men redan nu har ett antal papers redan godkänts:

  • Aleksandr Lenin, Jan Willemson and Dyan Sari. Attacker profiling in quantitative security assessment based on attack trees
  • Ahto Buldas, Ahto Truu, Risto Laanoja and Rainer Gerhards. Efficient Record-Level Keyless Signatures for Logs
  • Aapo Kalliola, Tuomas Aura and Sanja Šćepanović. Denial-of-service mitigation for Internet services
  • Elena Reshetova, Janne Karhunen, Thomas Nyman and N. Asokan. Security of OS-level virtualization technologies
  • Alberto Trombetta, Giuseppe Persiano and Stefano Braghin. Processing private queries over an obfuscated database using hidden vector encryption
  • Frédéric Besson, Nataliia Bielova and Thomas Jensen. Browser Randomisation against Fingerprinting: a Quantitative Information Flow Approach
  • Danilo Gligoroski, Hristina Mihajloska, Simona Samardjiska, Haakon Jacobsen,Rune Erlend Jensen and Mohamed El-Hadedy. $\pi$-Cipher: AuthenticatedEncryption for Big Data
  • Markku Antikainen, Tuomas Aura and Mikko Särelä. Spook in Your Network: Attacking an SDN with a Compromised OpenFlow Switch
  • Liangyu Xu and Amin B. Cremers. Patients’ Privacy Protection against Insurance Companies in eHealth Systems
  • Anika Pflug and Christoph Busch. Segmentation and Normalization of Human Ears using Cascaded Pose Regression
  • Marco Giunti. Static semantics of secret channel abstractions
  • Kalpana Gondi, A. Prasad Sistla and Venkat Venkatakrishnan. DEICS: Data Erasure In Concurrent Software
  • Dan Bogdanov, Sven Laur and Riivo Talviste. A Practical Analysis of Oblivious Sorting Algorithms for Secure Multi-party Computation
  • Erik Bergström and Rose-Mharie Åhlfeldt. Information Classification Issues
  • Julio Angulo, Erik Wästlund and Johan Högberg. What would it take for you to tell your secrets to a cloud?

FRA årsrapport 2013

För några veckor sedan så släpptes FRA:s årsrapport för 2013. Den innehåller sammanfattningsvis några inledande ord från nya generaldirektören Dag Hartelius där han bl.a. nämner Edward Snowden samt att frågan om underrättelseinhämtning varit aktuell inom Europaparlamentet.

Rapporten uppger att myndigheten är uppdelad i fyra avdelningar:

  • Avdelningen för signalunderrättelser
  • Avdelningen för cyberverksamhet
  • Avdelningen för teknisk utveckling
  • Avdelningen för verksamhetsstöd

Cyberverksamhetsavdelningen är helt ny och uppges att leverera
direkt och indirekt skydd mot kvalificerade IT-angrepp till de mest skyddsvärda
svenska samhällsfunktionerna.

FRA har genomfört IT-säkerhetsanalyser hos både nya och befintliga
uppdragsgivare och har efter begäran genomfört dessa analyser vid elva olika statliga myndigheter och statligt ägda bolag.

När det gäller kryptering så har FRA tilldelat ett antal civila myndigheter och organisationer säkra kryptografiska funktioner där man stod för leverans av mtrl, kryptonycklar samt certifikat. Även så har FRA en kryptoverkstad, kryptolager och stödjer FMV vid utveckling av nya krypton.

Övrigt så har försöksverksamhet med TDV (tekniska detekterings- och varningssystem) bedrivits i liten skala. Även så har man genomfört en utbyggnad av beräkningskraften för kryptoforcering.

Årsrapporten avslutas med vanliga frågor samt svar på dessa.

Här kan du ladda hem rapporten (PDF):

FRA Årsrapport 2013

Norge skrotar e-val

VALGDet råder en politisk oenighet i Norge om huruvida elektronisk röstning är framtiden eller ej. På grund av denna oenighet så skrotar man nu helt prov och försöksverksamheten relaterad till e-val.

 Det har varit en politisk kontrovers om försöken och parlamentet har upprepade gånger diskuterat frågan. Regeringen vill säkerställa högt förtroende finns för val i Norge, och tror att det är olyckligt politisk kontrovers i samband med det faktiska genomförandet av valet, säger kommun-och moderniseringsminister Jan Tore Sanner.

Utifrån de försök som genomförts år 2011 samt 2013 så dras slutsatsen att det ej är värt att spendera mer tid och pengar på elektroniska val över Internet.

Här kan du ladda hem rapporten om val över Internet:

Rapport Internettvalg

Källa

NetworkMiner ute i version 1.6

NetworkMinerSvenskutvecklade NetworkMiner som är ett utmärkt verktyg vid nätverksforensik och analys av skadlig kod finns nu ute i en ny version.

NetworkMiner finns även som betalversion som då kommer med ett antal intressanta funktioner såsom automatisk protokollidentifiering: Port Independent Protocol Identification (PIPI) samt en kommandoradsklient (CLI).

Nytt i denna version är bl.a. PCAP över IP som gör att du kan starta tcpdump på en annan klient och sedan skicka sniffad data över nätverket till NetworkMiner för vidare analys som kör avkodning och utkarvning av filer från nätverkspaket.

Även så fungerar ”drag och släpp” direkt från NetworkMiner till ditt favoritprogram.

Pcap-over-IP

Fungerar även att skicka över SSL med följande kommando från Linux:

$ tcpdump -i eth0 -s 0 -U -w - | openssl s_client -connect 1.2.3.4:57012

Här kan mer information hittas:

Sex nya sårbarheter i OpenSSL

opensslAtt desto fler ögon som tittar på kod leder till säkrare mjukvara råder det ingen tvivel om. Allt sedan Heartbleed-sårbarheter uppdagades i OpenSSL har flertalet personer granskat koden och identifierat brister.

Nu släpper OpenSSL nya versioner som åtgärdar minst sex av dessa identifierade bristerna. Den allvarligaste medger att en angripare kan modifiera innehållet i en krypterad anslutning mellan klient och server.

Dock så måste både server och klient inneha en sårbar version för att attacken ska gå att genomföras. Samtliga OpenSSL-versioner på klientsidan är sårbara men enbart version 1.0.1 samt 1.0.2-beta1 på serversidan.

  • ChangeCipherSpec: SSL/TLS MITM vulnerability (CVE-2014-0224)

Övriga brister som åtgärdats är följande:

  • DTLS recursion flaw (CVE-2014-0221)
  • DTLS invalid fragment vulnerability (CVE-2014-0195)
  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
  • Anonymous ECDH denial of service (CVE-2014-3470)

Här kan du läsa mer om sårbarheterna:

Samt:

Krypterad E-post med STARTTLS ökar

Enligt färsk statistik från Google och Facebook visar på att STARTTLS blir mer och mer populärt. Statistiken från Google visar att 69% av alla utgående mail blir krypterade samt Facebook meddelar att 76% av alla utgående mail krypteras varav 58% av alla utgående notifieringar blir krypterade.

STARTTLS används för kryptering av E-post mellan servrar och finns definerat i rfc3207. Några av andra protokoll som stödjer STARTTLS är bl.a. POP3, IMAP och NNTP. Som det låter på namnet så är det alltså TLS som läggs ovanpå ett klartextprotokoll.

 

Google STARTTLS Statistik

Även så uppger Facebook följande:

Additionally, certificate validation passes for about half of the encrypted email, and the other half is opportunistically encrypted. 74% of hosts that support STARTTLS also provide Perfect Forward Secrecy

Samt att den vanligaste algoritmen som används är DHE-RSA-AES128-SHA och på andra plats kommer AES128-SHA.

Facebook STARTTLS

Källa: FB, Google

Ny End-to-End kryptering från Google

Google End to EndGoogle har nu lanserat ett Chrome-plugin som möjliggör PGP-kryptering direkt i webbläsaren med hjälp av OpenPGP. Pluginet går under namnet End-to-End och medger kryptering hela vägen från webbläsaren till slutdestinationen. Observera att det ännu bara är en alfaversion.

Än så länge finns ej pluginet tillgängligt via Chrome Web Store. Det går enbart att ladda hem som källkod via code.google.com och detta för att ge programmerare och bug hunters möjlighet att identifiera eventuella brister innan pluginet släpps till allmänheten.

En av fördelarna med detta plugin är att det gör det lätt för icke datorvana att kryptera information i exempelvis mail som skickas via GMail (Google Mail). Sen kan man alltid ställa sig frågan huruvida PGP bör göras i webbläsaren eller ej.

Förutom kryptering så stödjer även pluginet dekryptering, signering och verifiering.

Övrigt intressant är att om du väljer att skapa ett PGP-nyckelpar via Google End-to-End så kommer Google att skapa ECC-nycklar (elliptiska kurvor) vilket gör att GnuPG 1.X samt 2.0 ej stödjer detta utan mottagande part måste använda GnuPG 2.1 beta/developer.

Skärmdump hur ett krypterat mail skapas med hjälp av End-to-End:

 

Google End-to-end

Finns även några andra menyval:

Screen Shot 2014-06-04 at 08.37.37

Övrigt kan jag även rekommendera att kolla in ProtonMail som är en ny tjänst för end-to-end kryptering:

Källa

10 alternativ till Truecrypt

Som vi skrev så har Truecrypt försvunnit från jordens yta och ingen vet direkt varför men många spekulerar. Vi antar att den mest logiska orsaken också den troligaste: Utvecklaren eller utvecklarna bakom orkar inte underhålla kodbasen längre.

Det har dykt upp en uppsjö forkar av Truecrypt eftersom koden är öppen källkod. Eller som Thomas P. Ptacek skriver skämtsamt på Twitter:

Och under truecrypt.ch så kan du hitta en av avknoppningarna.

Alternativ till Truecrypt

Här följer 10 stycken alternativ till Truecrypt utan inbördes ordning. Vi blandar högt och lågt samt kommersiella samt öppen källkod. Vissa mjukvaror är ej för hårddiskkryptering (fde).

  1. Symantec Drive Encryption (tidigare PGP Disk Encryption) länk >
  2. Microsoft Bitlocker (man behöver ej TPM)
  3. Mac OS X Filevault 2
  4. Truecrypt.ch länk >
  5. Luks/cryptsetup/dm-crypt. Ubuntu fde howto
  6. DiskCryptor
  7. AxCrypt – Av Svante Seleborg (ej fde)
  8. Tomb (ej fde)
  9. Checkpoint Full Disk Encryption
  10. McAfee Complete Data Protection

Har du tips på fler? Lämna gärna en kommentar.

Ikon från http://icons8.com/

Truecrypt stänger ner

No-more-TrueCryptLäs även: 10 alternativ till Truecrypt

Med en vag förklaring så meddelar Truecrypt att dom stänger ner projektet och rekommenderar Bitlocker från Microsoft. Sidan som ser ut att skapats i all hast berättar att Truecrypt ej uppdaterats och visar hur du migrerar över till Bitlocker.

Meddelandet som återfinnes högst upp på webbsidan lyder enligt följande:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Oklart om detta har något med dom pågående säkerhetsgranskningarna som utförs som vi skrivit om tidigare.

Webbsidan för truecrypt var tidigare truecrypt.org och nu skickas besökare vidare till truecrypt.sourceforge.net.

Även så finns det inga spår i övrigt att webbsidan har utsatts för intrång samt så återfinnes en ny version av Truecrypt som är korrekt signerad. Denna nya version innehåller ett varningsmeddelande enligt det vi visat ovan samt så går det ej att skapa nya krypterade volymer.

Ett bisarrt intrång eller inte? Det återstår att se.

Uppdatering: Här finnes några spekulationer: gist.github.com/ValdikSS/c13a82ca4a2d8b7e87ff

Uppdatering 2: Spekulationer finns även om att det är en automatisk dödmansgrepp som har utlösts. Vilket kan hända om det anonyma teamet bakom ej gör något specifikt varje vecka/månad eller dylikt. Kan utlösas av misstag eller om något händer teamet (olyckor) eller om en ”gag order” utlyses.

Vi behöver din hjälp!

Jag håller på att sammanställa en artikel om Svenska kryptomissar och behöver din hjälp att hitta dessa.

Vänligen kontakta oss om du har någon intressant historia eller länk att dela med dig av, stort som smått.