Peter Magnusson och Joachim Strömbergson höll för ett tag sedan en bra presentation på OWASP Göteborg om SSL och dess säkerhetsproblematik.
Presentationen (PDF) har allt som är vettigt att veta om SSL och dess säkerhetproblem. Även så påvisar man hur SSL felaktigt implementeras i ett antal olika mjukvaror.
Tips! Kolla in sslyze av iSEC Partners som finnes på Github. Näms även i nedan presentation.
www.owasp.org/images/d/d8/OWASP_SSL_20131128_preso.pdf (pdf)
För några dagar sedan så enades ett 41 länder om att uppdatera The Wassenaar Arrangemanget (WA) som begränsar vad som får exporteras från de länder som skrivit under avtalet.
Sverige är ett av dessa länder och exporten kontrolleras av myndigheten ISP.
Dessa nya uppdateringar innefattar bl.a. IT-säkerhetsmjukvara som försvårar upptäckt av övervakningsmjukvara.
För att försöka sammanställa dessa uppdateringar inom IT-säkerhet:
Mjukvara..
Skärmdump från sida 209 i WA:
Vår systemsajt https.se har nu öppnat upp möjligheten att köpa SSL-Certifikat med hjälp av Bitcoin. Bitcoin har blivit otroligt populärt i Sverige och nyligen så hade bl.a. DN en artikel om en taxi i Sverige där det är möjligt att betala med Bitcoin.
1 BTC är cirka 3100 SEK med dagens kurs.
Vill du ha koll på svenska Bitcoin-nyheter? Se då till att följa Bitcoin.se där finns även en lista med handlare som tar Bitcoin.
Det är inte ofta som myndigheten Försvarets Radioanstalt (FRA) har ute annonser för kryptologer men nu finns det ute en annons där du bör inneha följande egenskaper:
Du har forskarutbildning i datalogi, matematik, matematisk statistik eller angränsande ämne. Alternativt har du en mer praktisk erfarenhet av kryptologi, datasäkerhet och datakommunikation på motsvarande nivå. Du har goda kunskaper i programmering.
Vi ser gärna att du har erfarenheter inom något eller några av följande områden:
- Datorarkitektur och maskinnära programmering
- Telekommunikation
- Parallellprogrammering
- Nätverkskommunikation
Du är
Eftersom du ska jobba med problemlösning på komplex nivå är det viktigt att du är analytisk och nytänkande, med vana att jobba mot högt ställda mål och förmåga att uppnå resultat. För att lyckas i jobbet krävs också att du har god samarbetsförmåga, bjuder på din kunskap och är nyfiken och vetgirig. Du är uthållig och förblir motiverad och effektiv vid eventuella bakslag.
Intresserad? Ansök här:
Snifferverktyget Wireshark som läser av och avvkodar nätverkstrafik finns nu ute i en ny version: 1.8.11.
Denna release är enbart en buggfix-release och åtgärdar ett antal buggar som gör att Wireshark kan krascha alternativt användas av en antagonist för att exekvera kod.
Uppdaterade protokoll är enligt följande:
BSSGP, DCERPC, DCERPC NT, DIAMETER, Ethernet, EtherNet/IP, IEEE 802.15.4, IRC, NBAP, NTLMSSP, OpenWire, SIP, samt WiMax
För fullständig lista med ändringar se följande:
Och wireshark kan du som vanligt ladda hem här:
Norge införde nyligen en ny krypteringslösning för högt uppsatta tjänstemän och och nykelpersoner. Denna nya kryptering använder produkten TOPSEC Mobile från företaget Rohde & Schwartz.
Lösningen använder sig av en blåtandsanslutning som sköter kryptering och kommunikation till och från telefonen via en liten ”dongel” som ser ut som ett USB-minne med headset:
TOPSec Mobile fungerar över Internet, mobiltelefoni eller satellit. Den krypterar ej SMS eller data-trafik från mobiltelefonen. Norska säkerhetsmyndigheten NSM har även skrivit om detta på sin blogg.
Produktblad finnes här: TopSec-Mobile-VoIP_bro_en.pdf
Källa: DIGI.no
Karolinska universitetssjukhuset och Stockholms läns landsting upptäckte efter en krasch i patientjournalsystemet TakeCare att dataintrång hade genomförts mot systemet.
Tyvärr så fanns det enbart 3 månaders loggfiler att tillgå vilket försvårade arbetet för de tre konsultfirmorna som var inblandade i analysarbetet.
För en individ som blir av med sin journal så finns det inte så mycket som går att göra, det är inte direkt som när ett lösenord är på vift där det finns möjlighet att byta lösenord. Det enda som kanske är värre är om någon stjäl din DNA-information.
Din patientjournal kan du aldrig byta ut. Enbart spärra i förhand men det har visats sig att få väljer att spärra sina journaler och i just detta fall så hade det nog ändå ej spelat någon roll.
DN skriver även:
Slutrapporten är ännu inte klar. Hittills har landstinget bara fått en teknisk delredovisning. Den slår enligt Nyström fast att inget intrång har skett.
Men frågan är ju, stödjer patientjournalsystemet TakeCare kryptering? Troligtvis inte då detta framgår av en tidigare granskning genomförd av landstingsrevisorerna:
Trots detta uppfyller journalsystemet inte till alla delar patientdatalagens krav. Det gäller bl.a. krav på kryptering och
stark autentisering (kontroll av uppgiven identitet). Källa
Och redan 2008 så uppdagade Marucs Jerräng på IDG att journaler skickas okrypterade:
Patientjournaler med känslig information skickas utan kryptering mellan olika sjukhus i Stockholms läns landsting. Uppgifter ur miljoner journaler riskerar att hamna i fel händer. Bristen har varit känd länge utan att ha åtgärdats.
Just nu ligger ett projekt uppe på crowdsourcing-sajten FundFill med målet att genomföra en genomgång av källkoden till TrueCrypt. De som ligger bakom insamlingen av pengar är gänget bakom sajten med det roliga domännamnet istruecryptauditedyet.com.
Som vanligt så finns det även en hel del bra kommentarer på HackerNews. Och tyvärr så verkar FundFill ha lite problem rapporterar grundaren.
Våra trevliga vänner på https.se har gett oss en rabattkod som ger 100 KR rabatt på valfritt SSL-certifikat.
Använd koden KRYPT9 för att erhålla rabatten eller klicka direkt på följande länk:
Förra året så fick Niels Möller på South Pole AB pengar från Internetfonden för att anpassa krypteringsbiblioteket GNU Nettle för inbyggda system.
Målet med projektet var att göra kryptering med hjälp av GNU Nettle mer effektivt för inbyggda system och mobila enheter (framförallt ARM-processorer). De två konkreta delmålen för projektet är:
Plattformen för testar var en en Pandaboard med en 1 GHz ARM Cortex-A9, och operativsystemet Debian GNU/Linux.
Här kan du ladda hem slutrapporten: Slutrapport-GnuNettle-Moller.pdf eller läs mer på Internetfonden.se.
Har du ett projekt som söker finansiering? Kanske inom krypteringsområdet? Varför inte söka pengar från Internetfonden. Sista ansökningsdag är 11:de September 2013.
