Tre miljoner patientjournaler på vift?

takecareKarolinska universitetssjukhuset och Stockholms läns landsting upptäckte efter en krasch i patientjournalsystemet TakeCare att dataintrång hade genomförts mot systemet.

Tyvärr så fanns det enbart 3 månaders loggfiler att tillgå vilket försvårade arbetet för de tre konsultfirmorna som var inblandade i analysarbetet.

För en individ som blir av med sin journal så finns det inte så mycket som går att göra, det är inte direkt som när ett lösenord är på vift där det finns möjlighet att byta lösenord. Det enda som kanske är värre är om någon stjäl din DNA-information.

Din patientjournal kan du aldrig byta ut. Enbart spärra i förhand men det har visats sig att få väljer att spärra sina journaler och i just detta fall så hade det nog ändå ej spelat någon roll.

DN skriver även:

Slutrapporten är ännu inte klar. Hittills har landstinget bara fått en teknisk delredovisning. Den slår enligt Nyström fast att inget intrång har skett.

Men frågan är ju, stödjer patientjournalsystemet TakeCare kryptering? Troligtvis inte då detta framgår av en tidigare granskning genomförd av landstingsrevisorerna:

Trots detta uppfyller journalsystemet inte till alla delar patientdatalagens krav. Det gäller bl.a. krav på kryptering och
stark autentisering (kontroll av uppgiven identitet). Källa

Och redan 2008 så uppdagade Marucs Jerräng på IDG att journaler skickas okrypterade:

Patientjournaler med känslig information skickas utan kryptering mellan olika sjukhus i Stockholms läns landsting. Uppgifter ur miljoner journaler riskerar att hamna i fel händer. Bristen har varit känd länge utan att ha åtgärdats.

Källor: IDG, DN

Granskning av TrueCrypt

 

TrueCrypt

Just nu ligger ett projekt uppe på crowdsourcing-sajten FundFill med målet att genomföra en genomgång av källkoden till TrueCrypt. De som ligger bakom insamlingen av pengar är gänget bakom sajten med det roliga domännamnet istruecryptauditedyet.com.

Som vanligt så finns det även en hel del bra kommentarer på HackerNews. Och tyvärr så verkar FundFill ha lite problem rapporterar grundaren.

GNU Nettle

Pandaboard

Förra året så fick Niels Möller på South Pole AB pengar från Internetfonden för att anpassa krypteringsbiblioteket GNU Nettle för inbyggda system.

Målet med projektet var att göra kryptering med hjälp av GNU Nettle mer effektivt för inbyggda system och mobila enheter (framförallt ARM-processorer). De två konkreta delmålen för projektet är:

  • Att implementera digitala signaturer baserade på elliptiska kurvor (ECC). Jämfört med traditionella digitala signaturer med RSA, så ger elliptiska kurvor motsvarande säkerhet med betydligt mindre processortid. Även minnesåtgång, både för själva beräkningen, och för nycklar och signaturer, är betydligt mindre.
  • Att optimera andra viktiga kryptografiska byggstenar, som krypteringsalgoritmen AES och hashfunktionerna SHA1 och SHA256, för ARM-arkitekturen.

Plattformen för testar var en en Pandaboard med en 1 GHz ARM Cortex-A9, och operativsystemet Debian GNU/Linux.

Här kan du ladda hem slutrapporten: Slutrapport-GnuNettle-Moller.pdf eller läs mer på Internetfonden.se.

Har du ett projekt som söker finansiering? Kanske inom krypteringsområdet? Varför inte söka pengar från Internetfonden. Sista ansökningsdag är 11:de September 2013.

Ny attack mot Tor

Forskare vid amerikanska militären har släppt en ny forskningsuppsats där bl.a. följande framgår:

Our analysis shows that 80% of all types of users may be de-anonymized by a relatively moderate Tor-relay adversary within six months. Our results also show that against a single AS adversary roughly 100% of users in some common locations are de-anonymized within three months (95% in three months for a single IXP)

Läs rapporten i sin helhet nedan (PDF1,9 MB):

Tor users get routed

Användningen av Tor har fördubblats

Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:

Tor användare

 

Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:

  • The Pirate Bays webbläsare Pirate Browser som använder Tor
  • Människor är rädda för underrättelsetjänster såsom NSA i samband med läckor från Snowden
  • Google Play öppnade nyligen för användare från Syrien. Dessa kan då använda Tor-klienter i Android-telefoner
  • En av de länder som ökat mest är Vietnam (se statistik här)
  • Skadlig kod (botnet) som nyttjar Tor

Så verifierar du din Tor-nedladdning

Tor onionSom Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.

Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.

Ladda hem GPG

Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:

Ladda hem signaturfil

För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.

Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:

Tor signatur

Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (Darwin)

iQEcBAABAgAGBQJSCd8wAAoJEEFvBhBj/uZZHQ0IAOkqrN0pHh7J4RAcKJ/541Xv
egmffh1tYkookNhMxyd9jGlJ1K1nnVMt33zFxq1wgOfIQ7qqZtJVzXHH4OpK3FXm
XCG+OvB5IJvxEs+dB901YsEA/eIGoL/SskVWAIF9V9Zj4b+DfP5XHQnbSU20SoTy
Qit4T6KzWYubds1eQspJuTaa5yQjFCe97YH7Ov9gerSYlW/qMM87R+8ubF4Q82YI
mocm88znrScemV+i7SnLh3irhM9kLoaxxtuu8tem5Eg4bKOIS+BEUKQxq4ljgo6y
VUYvbsNdzTwGTBj8CVgUYzAMGLJ65Lx6Fy5zQn0amkM3qv+FFo/SWnu6AXzYHko=
=KA9u
-----END PGP SIGNATURE-----

Verifiera nedladdningen

Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Då bör du erhålla följande meddelande tillbaka:

gpg: begõr nyckeln 63FEE659 frÕn hkp-servern pool.sks-keyservers.net
gpg: nyckel 63FEE659: publika nyckeln "Erinn Clark <[email protected]>" impor
terades
gpg: hittade inga nycklar med f÷rbehÕllsl÷st f÷rtroende
gpg: Totalt antal behandlade enheter: 1
gpg: importerade: 1 (RSA: 1)

Nästa steg är verifieringen och här har vi signaturfilen och nedladdningsfilen i samma katalog:

gpg --verify tor-browser-2.3.25-12_en-US.exe.asc tor-browser-2.3.25-12_e
n-US.exe

Och vi får då följande meddelande tillbaka:

gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id
63FEE659
gpg: Korrekt signatur frÕn "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: õven kõnd som "Erinn Clark <[email protected]>"
gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur!
gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren.
Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6
59

Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”

Läs vidare på Tor-hemsidan här:

IT-Säkerhetskonferens: Sec-T

sec-tNu är talarlistan för årets och Sveriges bästa IT-säkerhetskonferens släppt. Konferensen går under namnet Sec-T  och har funnits i fem år. Förra året var konferensen på Fotografiska Museet i Stockholm men väljer detta år att husera anrika Nalen i stället.

Datumet är 12-13 September 2013 och biljetten kostar 2000 kr (efter 1:a September så kostar biljetten 3500 kr).

Talarlistan ser verkligen grym ut och följande personer kommer att hålla föredrag:

  • Dan Farmer
  • Andrés Riancho
  • Sergey Bratus & Julian Bangert
  • Olle
  • Michel Aubizzierre
  • Hugo Teso
  • Philip Young
  • David Jacoby
  • Fler föredrag och personer annonseras ut på talarlistan

Köp din biljett här:

Gratis VPN (med hjälp av Tor)

gratis VPN med TorEn av de populärare sökningarna till denna sida är hur man hittar och använder gratis VPN. Det finns så klart flertalet alternativ och den gyllene regeln när det gäller gratis VPN är att du får vad du betalar för: Är det gratis så får du en tjänst därefter.

Det bästa alternativet enligt mig när det gäller ett kostnadsfritt VPN är så klart Tor (The Onion Router). Projektet skapades med hjälp av medel från amerikanska militärens US Naval Research Laboratory. Att det just är en lök i logotypen samt att lök ingår i namnet för Tor är för att krypteringen sker enligt en lökprincip: kryptering/säkerhet i flera lager.

Söker du ett VPN. Testa då OVPN genom denna länk >

Sedan 2004 så ligger projektet under EFF och svenska biståndsmyndigheten Sida har medverkat med stora medel genom åren.

Så kommer du igång med gratis VPN och Tor

Att börja använda Tor är mycket enkelt i dess enklaste utformning som enbart är en webbläsare.

Första steget är att ladda hem och installera Tor och dess inbyggda webbläsare från följande länk:

Innan du klickar på filen du har laddat hem så bör du verifiera att din nedladdning av Tor är korrekt. Detta genomförs lättast med GPG och jag har skrivit en guide till detta som du hittar här.

Efter du verifierat din nedladdning är det bara att klicka på filen du har laddat hem, om du har Windows så får du först en varningsruta enligt följande där du bara klickar på Kör:

Installera Tor

Sen får du välja vart Tor ska installeras. För enkelhetens skull så kan man installera Tor direkt under en katalog på skrivbordet men vi väljer c:\test\tor

Tor installation katalog

Sedan är installationen klar. Som du märker så installeras Tor inte som ett vanligt program utan ligger enbart i en katalog och en avinstallation kan då ske genom att katalogen raderas.

För att sedan starta Tor så går du till mappen där du installerat programmvaran och klickar på ”Start Tor Browser”:

Starta Tor

Sedan väntar du ett tag så startas Tor och statusen uppdateras löpande med vad som händer med etableringen av din krypterade anslutning:

Tor igång

Och sedan startas webbläsaren och bekräftar att du är ansluten anonymt samt vad din anonyma IP-adress är:

Ansluten till Tor

Obs: Läs detta innan du använder Tor

Innan du använder Tor så bör du även läsa igenom de varningar som är utfärdade om vad du inte bör göra under tiden då du är ansluten till Tor:

Kryptouppdateringar i Microsoft Windows

Windows krypteringMicrosoft meddelade för ett tag sedan att man avser att stärka krypteringen i Windows under perioden 2012-2013 och nedan kan du se några av förbättringarna som håller på att införas.

Många av dessa förändringar är redan inbyggda i Windows 8 samt Windows Server 2012 och är även nu åtgärdade för att fungera på äldre operativsystem.

Generellt så gäller förändringarna vilka krypteringsalgoritmer som används men även längden på nycklar.

Microsoft Security Advisory 2661254
This update set a mandatory key length for RSA keys of 1024 bits or stronger by restricting the use of certificates with RSA keys less than 1024 bits in length.

Microsoft Security Advisory 2813430
This update establishes functionality that enables consumers to update trusted and disallowed Certificate Trust Lists (CTL) in non-internet connected environments. CTL’s are a list of approved hashes or certificates approved by a trusted third party. This update allows customers more control in which parties they trust.

Microsoft Security Advisory 2862966
This update established a framework for managing asymmetric cryptography by adding features for monitoring and directly controlling which cryptographic algorithms are used (RSA, DSA or ECDSA), options to set minimum key length as well as to set which hashing algorithms will be permitted for code signing and other functions. All functionality is documented in detail on Microsoft TechNet.

Microsoft Security Advisory 2862973
This update released today as Downloadable Content (DLC) gives customers the option to restrict the use of certificates that utilize the MD5 hashing algorithm as part of their digital signature. We recommend that customers download and test the update in their environment at the earliest opportunity, this will be especially useful for environments that have little or no inventory of their cryptographic and certificate dependencies. This update will only affect MD5 as used in server authentication, code signing and time stamping. There are exceptions for certain certificates and timestamps, please see KB 2862973 for additional details. Microsoft is planning to release this update through Windows Update on February 11, 2014 after customers have a chance to assess the impact of this update and take necessary actions in their enterprise.