Forskare vid amerikanska militären har släppt en ny forskningsuppsats där bl.a. följande framgår:
Our analysis shows that 80% of all types of users may be de-anonymized by a relatively moderate Tor-relay adversary within six months. Our results also show that against a single AS adversary roughly 100% of users in some common locations are de-anonymized within three months (95% in three months for a single IXP)
Läs rapporten i sin helhet nedan (PDF1,9 MB):
Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:
Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:
Som Tor-utvecklaren Linus Nordberg påpekar gällande vår artikel om Gratis VPN (med Tor) så bör du alltid verifiera din nedladdning av Tor.
Detta är inte helt tydligt på Tor-hemsidan så därför går vi igenom nedan hur du genomför verifieringen på Windows efter det att du laddat hem Tor. Denna procedur är inte helt trivial för ej vana datoranvändare.
Innan vi kan göra själva verifieringen så måste verktyget GPG laddas hem och installeras via följande länk:
För varje operativsystem och version så finns det en unik signaturfil som används tillsammans med GPG för att verifiera att din nedladdning är korrekt.
Följande skärmdump visar var du kan hitta länken till signaturfilen för just din nedladdning på Tor-hemsidan:
Signaturfilen ser ut enligt följande för vår Windows nedladdning av version 2.3.25-12_en-US:
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (Darwin) iQEcBAABAgAGBQJSCd8wAAoJEEFvBhBj/uZZHQ0IAOkqrN0pHh7J4RAcKJ/541Xv egmffh1tYkookNhMxyd9jGlJ1K1nnVMt33zFxq1wgOfIQ7qqZtJVzXHH4OpK3FXm XCG+OvB5IJvxEs+dB901YsEA/eIGoL/SskVWAIF9V9Zj4b+DfP5XHQnbSU20SoTy Qit4T6KzWYubds1eQspJuTaa5yQjFCe97YH7Ov9gerSYlW/qMM87R+8ubF4Q82YI mocm88znrScemV+i7SnLh3irhM9kLoaxxtuu8tem5Eg4bKOIS+BEUKQxq4ljgo6y VUYvbsNdzTwGTBj8CVgUYzAMGLJ65Lx6Fy5zQn0amkM3qv+FFo/SWnu6AXzYHko= =KA9u -----END PGP SIGNATURE-----
Nu när vi har laddat hem signaturfilen samt verktyget GPG så är det sista steget kvar att se om vi har laddat hem korrekt version av Tor Browser bundle 2.3.25-12_en-US och det genomförs på följande sätt från kommandoprompten i Windows (kommandoprompten kan startas genom Start-knappen och sedan skriver du cmd.exe i fältet där det står ”Sök bland program och filer”):
gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659
Då bör du erhålla följande meddelande tillbaka:
gpg: begõr nyckeln 63FEE659 frÕn hkp-servern pool.sks-keyservers.net gpg: nyckel 63FEE659: publika nyckeln "Erinn Clark <[email protected]>" impor terades gpg: hittade inga nycklar med f÷rbehÕllsl÷st f÷rtroende gpg: Totalt antal behandlade enheter: 1 gpg: importerade: 1 (RSA: 1)
Nästa steg är verifieringen och här har vi signaturfilen och nedladdningsfilen i samma katalog:
gpg --verify tor-browser-2.3.25-12_en-US.exe.asc tor-browser-2.3.25-12_e n-US.exe
Och vi får då följande meddelande tillbaka:
gpg: Signatur gjordes 08/13/13 09:24:32 Võsteuropa, sommartid med RSA nyckel-id 63FEE659 gpg: Korrekt signatur frÕn "Erinn Clark <[email protected]>" gpg: õven kõnd som "Erinn Clark <[email protected]>" gpg: õven kõnd som "Erinn Clark <[email protected]>" gpg: VARNING: Denna nyckel õr inte certifierad med en pÕlitlig signatur! gpg: Det finns inget som indikerar att signaturen tillh÷r õgaren. Primõra nyckelns fingeravtryck: 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E6 59
Det som är viktigt att notera från ovan är att det står ”Korrekt signatur..”
Läs vidare på Tor-hemsidan här:
Nu är talarlistan för årets och Sveriges bästa IT-säkerhetskonferens släppt. Konferensen går under namnet Sec-T och har funnits i fem år. Förra året var konferensen på Fotografiska Museet i Stockholm men väljer detta år att husera anrika Nalen i stället.
Datumet är 12-13 September 2013 och biljetten kostar 2000 kr (efter 1:a September så kostar biljetten 3500 kr).
Talarlistan ser verkligen grym ut och följande personer kommer att hålla föredrag:
Köp din biljett här:
En av de populärare sökningarna till denna sida är hur man hittar och använder gratis VPN. Det finns så klart flertalet alternativ och den gyllene regeln när det gäller gratis VPN är att du får vad du betalar för: Är det gratis så får du en tjänst därefter.
Det bästa alternativet enligt mig när det gäller ett kostnadsfritt VPN är så klart Tor (The Onion Router). Projektet skapades med hjälp av medel från amerikanska militärens US Naval Research Laboratory. Att det just är en lök i logotypen samt att lök ingår i namnet för Tor är för att krypteringen sker enligt en lökprincip: kryptering/säkerhet i flera lager.
Söker du ett VPN. Testa då OVPN genom denna länk >
Sedan 2004 så ligger projektet under EFF och svenska biståndsmyndigheten Sida har medverkat med stora medel genom åren.
Att börja använda Tor är mycket enkelt i dess enklaste utformning som enbart är en webbläsare.
Första steget är att ladda hem och installera Tor och dess inbyggda webbläsare från följande länk:
Innan du klickar på filen du har laddat hem så bör du verifiera att din nedladdning av Tor är korrekt. Detta genomförs lättast med GPG och jag har skrivit en guide till detta som du hittar här.
Efter du verifierat din nedladdning är det bara att klicka på filen du har laddat hem, om du har Windows så får du först en varningsruta enligt följande där du bara klickar på Kör:
Sen får du välja vart Tor ska installeras. För enkelhetens skull så kan man installera Tor direkt under en katalog på skrivbordet men vi väljer c:\test\tor
Sedan är installationen klar. Som du märker så installeras Tor inte som ett vanligt program utan ligger enbart i en katalog och en avinstallation kan då ske genom att katalogen raderas.
För att sedan starta Tor så går du till mappen där du installerat programmvaran och klickar på ”Start Tor Browser”:
Sedan väntar du ett tag så startas Tor och statusen uppdateras löpande med vad som händer med etableringen av din krypterade anslutning:
Och sedan startas webbläsaren och bekräftar att du är ansluten anonymt samt vad din anonyma IP-adress är:
Innan du använder Tor så bör du även läsa igenom de varningar som är utfärdade om vad du inte bör göra under tiden då du är ansluten till Tor:
Microsoft meddelade för ett tag sedan att man avser att stärka krypteringen i Windows under perioden 2012-2013 och nedan kan du se några av förbättringarna som håller på att införas.
Många av dessa förändringar är redan inbyggda i Windows 8 samt Windows Server 2012 och är även nu åtgärdade för att fungera på äldre operativsystem.
Generellt så gäller förändringarna vilka krypteringsalgoritmer som används men även längden på nycklar.
Microsoft Security Advisory 2661254
This update set a mandatory key length for RSA keys of 1024 bits or stronger by restricting the use of certificates with RSA keys less than 1024 bits in length.Microsoft Security Advisory 2813430
This update establishes functionality that enables consumers to update trusted and disallowed Certificate Trust Lists (CTL) in non-internet connected environments. CTL’s are a list of approved hashes or certificates approved by a trusted third party. This update allows customers more control in which parties they trust.Microsoft Security Advisory 2862966
This update established a framework for managing asymmetric cryptography by adding features for monitoring and directly controlling which cryptographic algorithms are used (RSA, DSA or ECDSA), options to set minimum key length as well as to set which hashing algorithms will be permitted for code signing and other functions. All functionality is documented in detail on Microsoft TechNet.Microsoft Security Advisory 2862973
This update released today as Downloadable Content (DLC) gives customers the option to restrict the use of certificates that utilize the MD5 hashing algorithm as part of their digital signature. We recommend that customers download and test the update in their environment at the earliest opportunity, this will be especially useful for environments that have little or no inventory of their cryptographic and certificate dependencies. This update will only affect MD5 as used in server authentication, code signing and time stamping. There are exceptions for certain certificates and timestamps, please see KB 2862973 for additional details. Microsoft is planning to release this update through Windows Update on February 11, 2014 after customers have a chance to assess the impact of this update and take necessary actions in their enterprise.
Internetleverantören Bahnhof meddelar idag att de startar en ny krypteringstjänst som ska skydda användare mot olaglig informationsinhämtning (inte laglig?).
En viktig del i att kunna garantera en säker krypteringstjänst är att kontrollera så stor del som möjligt av infrastrukturen bakom. På det här sättet kan vi själva garantera att all trafik som ska krypteras verkligen gör det. 5 juli-stiftelsens VPN-lösning utgår i vår tappning från Bahnhofs nordiska fibernät, Bahnhofs gedigna tekniska kunnande och Bahnhofs egna trafikkrav. Integrity.st VPN vilar på en mycket stabil plattform, utan driftstopp och med extremt höga transmissionshastigheter.
Säger Jon Karlung, vd på Bahnhof.
Tjänsten består av två olika VPN lösningar: En PPTP-tjänst med 128 bitars kryptering, samt en OpenVPN-tjänst med 2048 bitars SSL-kryptering. Bägge tjänsterna kan användas på alla typer av plattformar.
Vi hittar tyvärr ingen prislista ännu och tjänsten finns enbart på Engelska. Men detta kommer troligtvis längre fram då den lanserades idag.
Om du undrar vad 5-julistiftelsen är så grundades den i mars 2013 av Jon Karlung, Andreas Norman och Oscar Swartz med de måla att motverka övervakning, lagring och blockering av internettrafik, försvara yttrandefriheten och utbilda allmänheten om yttrande- och åsiktsfrihet på nätet ur ett brett perspektiv.
Via Secworks så fick vi tips om denna PDF-guide som är en bra teknisk introduktion till hur Bitcoin fungerar:
Ett utdrag ur PDF-en:
Bitcoin är världens första decentraliserade digitala valutan. Skillnad från de flesta befintliga betalningssystem, förlitar det inte på betrodda myndigheter såsom regeringar och banker att förmedla transaktioner eller utfärda valuta.
Gillar du att knäcka lösenord? Då har vi en nyhet för dig: Lösenordsknäckar-verktyget John the Ripper finns nu ute i en ny version.
För samtliga nyheter i denna nya version se release-notes här:
Och glöm inte att stödja projektet genom att köpa en av de snygga t-shirts som finns ute för försäljning.
Som vanligt kan du ladda hem John the Ripper från Openwall.com här:
Sent som sider så börjar även Apple med tvåfaktorsautentisering. Facebook, Google och Dropbox erbjuder tvåfaktorsautentisering sedan en tid tillbaka och nu tar även Apple steget ut att erbjuda sina kunder säkrare inloggning.
Apple använder sig av engångskoder som skickas ut via SMS men fungerar enbart i USA, England, Australiem, Irland eller New Zeeland i dagsläget.
Läs här hur du går tillväga för att slå på tvåfaktorsautentisering på ditt AppleID:
