OpenSSH 6.2

openssh

Nyss så släpptes det en ny version av OpenSSH. Denna nya version innehåller en rad förbättringar såsom MAC över krypterade paketet istället för klartext:

Added support for encrypt-then-mac (EtM) MAC modes for SSH protocol 2. These modes alter the packet format and compute the MAC over the packet length and encrypted packet rather than over the plaintext data. These modes are considered more secure and are used by default when available.

Även så har OpenSSH implementerat stöd för GCM-AES:

GCM (Galios/Counter Mode) is a mode of operation that uses a universal hash function over a binary Galois field to provide authenticated encryption. The mode is defined in NIST’s SP 800-38D, and P1619. GCM is a high performance mode which offers both pipelining and parallelization

Se changelog här: openssh.com/txt/release-6.2

Kryptering inom sjukvården

Landstingsrevisionen har genomfört en granskning av vårdgivarens informationssäkerhet vid Västerbottens Läns Landsting.

Granskningen genomfördes av företaget Ernst & Young och identifierade ett antal brister. Men det som var intressant var det kapitel som behandlar kryptering inom landstinget, här kommer en skärmdump från rapporten:

kryptering vårdenLäs rapporten i sin helhet här (pdf). Tipstack till Kim H på Twitter.

Inlägg sponsrat av SSL-certifikat

 

Sammanställning av attacker mot SSL/TLS

Christopher Meyer och Jörg Schwenk har genomfört en sammanställning på samtliga allvarligare attacker mot SSL och TLS från de senaste 15 åren i en uppsats:

SSL/TLS allowed efficient fixes in order to counter the issues. This paper presents an overview on theoretical and practical attacks of the last 15 years, in chronological order and four categories: Attacks on the TLS Handshake protocol, on the TLS Record and Application Data Protocols, on the PKI infrastructure of TLS, and on various other attacks. We try to give a short ”Lessons Learned” at the end of each paragraph.

Några av de attacker som presenteras är:

  • Bleichenbacher Attack on PKCS#1
  • Cipher suite rollback
  • ECC based timing attacks
  • Chosen-Plain-text Attacks on SSL reloaded
  • Attacks on non-browser based certificate validation
  • Renegotiation flaw

Här kan du ladda hem dokumentet som PDF:

SSL/TLS krypto-attacker

Bitcoin når årshögsta

Den decentraliserade virtuella valutan Bitcoin når nu årshögsta med 20$ per Bitcoin. Spekulationer varför valutan nu går upp kan bl.a. bero på att företaget Avalon säljer mining-chip (ASIC):

Avalon contracted TSMC to make the chips at a 110nm process. The device mines at 66 Ghash/s and draws about 440 Watt, currently generating about $210/day (11 bitcoins/day).

Klicka på bilden för en större version:

chart

Så skapar du ett säkert lösenord

Nedan listar vi fem verktyg för att generera ett lösenord för att exempelvis användas för onlinetjänster såsom Facebook, Twitter eller Gmail. Eller för att vara ännu säkrare så kan du även använda tvåfaktorsautentisering.

Random.org

 

Random.org

 

PC Tools av Symantec

 

PC Tools

 

Strong Password Generator

 

Strong Password Generator

 

Norton Lösenordsgenerator

Norton Lösenordsgenerator

 

Free Password Generator

Free Password Generator

 

Vi har ej kontrollerat huruvida ovan tjänster fungerar som utlovat eller ej. Men att använda en mjukvara för att generera lösenord direkt på din dator är troligtvis säkrare än att använda dessa tjänster.

Du kan även använda myndigheten PTS tjänst för att testa lösenord:

Som en extra rolig tjänst så kan vi rekommendera DinoPass som skapar lösenord anpassade för barn:

DinoPass

 

Säker radering av filer med SDelete

SDelete är ett raderings-verktyg utvecklat av Mark Russinovich på Sysinternals och ägs numera av Microsoft.

Verktyget gör standard en överskrivning av den fil du vill radera men kan göra det antal du bestämmer. Även så finns det möjlighet att bl.a. radera oanvänt utrymme.

Så använder du SDelete

Steg ett är att ladda hem SDelete.exe här:

Sedan måste du starta cmd.exe och gå ut till kommandotolken och här kan du se vilka argument som går att använda med sdelete.exe:

sdelete

Och för att skriva över filen debug1214.txt tre gånger så gör vi enligt följande:

sdelete.exe

Andra funktioner som SDelete har som vi skrev ovan är att radera oanvänt utrymme. Och det kan man göra enligt följande:

sdelete3

Vi rekommenderar så klart att du skriver över hela hårddisken med hjälp av DBAN som vi skrivit om tidigare eftersom det troligtvis är en säkrare metod än SDelete (som ej är öppen källkod).

Vidare läsning om säker radering

För mer information om SDelete och andra verktyg från Sysinternals såsom Process Explorer och Autoruns se här:

Även så har .SE en Internetguide om Digitalt källskydd med ett kapitel vid namn Radera säkert som du kan läsa här.

 

Lär dig kryptering

.SE ger sedan några år ut publikationer vid namn Internetguider. Dessa guider behandlar olika ämnen såsom hur du kommer igång med IPv6 eller om hur Creative Commons fungerar.

 

Lär dig kryptering

 

En guide som är lite extra bra för oss som är intresserade av kryptering är den om Digitalt källskydd samt det extramaterial som publicerats vid namn ”Lär dig kryptering” med följande innehåll:

  • Lär dig kryptering 2
  • Kryptering och nycklar – vad är det? 3
  • Kryptera meddelanden 3
  • pc: hämta hem och installera gnupg 4
  • Skapa nycklar 6
  • Testa nycklarna 9
  • Ta emot en krypterad fil 13
  • kryptera ett meddelande till någon annan 14
  • Mac: hämta hem och installera gnupg 15
  • Skapa nycklar 18
  • Testa nycklarna 21
  • Ta emot en krypterad fil 22
  • Kryptera ett meddelande till någon annan 23
  • Dags för thunderbird 24
  • Ställ in pop3 26
  • Men när skulle vi börja kryptera…? 26
  • Stäng av html 28
  • skriv ett meddelande 29
  • ta emot ett krypterat meddelande 30
  • signera ett meddelande 30
  • att kontrollera ett signerat meddelande 30
  • stäng av förhandsgranskning 32
  • signerade dokument 32
  • kryptera datorn 32
  • truecrypt 33
  • bitlocker 37
  • filevault 38

Här kan du läsa publikationen:

Stockholm CryptoParty

CryptoPartySparvnästet hackerspace anordnar tillsammans med DFRI ”Föreningen för digitala fri- och rättigheter” ett CryptoParty i Stockholm.

Dagen  den 16:de Februari 2013 kommer att bli fullsmockad med intressanta föreläsningar och workshops och redan nu är ett antal fastställda:

  • Digitalt Källskydd
  • Finta Filtret
  • Kom igång med Tor

När det gäller Tor-föreläsningen kommer Linus att hålla en grundkurs om Tor; en teknik för att vara anonym på nätet:

Vi börjar från början. Inga förkunskaper krävs. Workshopen inleds med en kort presentation av Tor; hur tekniken fungerar, vad olika termer betyder och vad man måste göra för att själv kunna använda Tor. Efter det testar vi att installera Tor Browser Bundle, det enklaste sättet att komma igång. Ta med din egen dator! Slutligen diskuterar vi några av de risker som finns med att använda Tor.

För mer information se CryptoParty.org. Observera att lokal ej är fastställd ännu.

MSB Trendrapport – samhällets informationssäkerhet 2012

MSBMyndigheten för samhällsskydd och beredskap (MSB) har idag släppt en rapport vid namn Trendrapport – samhällets informationssäkerhet 2012. Rapporten är övergripande och omfattande och tar upp ett antal större händelser som inträffat under de senare åren såsom Anonymous, Stuxnet, E-legitimation och sociala medier.

Det vi finner är intressant är två kapitel som handlar om SSL-certifikat samt intrånget mot företaget RSA. Gällande angrepp mot bl.a. DigiNotar och SSL generellt så reflekterar MSB enligt följande:

– Att den teknik som används för att utfärda äkthetscertifikat till  webbplatser är känslig har varit känt under en längre tid. Det finns idag drygt 600 olika företag som agerar som centrala certifikatutfärdare, och det finns risker förknippade med en sådan mångfald av äkthetsintyg. Många tekniska bedömare betraktar redan den PKI-struktur (”public key infrastructure”) som används som otillförlitlig och en återvändsgränd. Skulle det visa sig att ytterligare falska  webbplatscertifikat inom kort kommer i omlopp så skulle det på sikt kunna minska tilltron till dataintegriteten hos ett stort antal webbtjänster i världen som förlitar sig på SSL. Det arbetas emellertid på lösningar. En av dem är att transportera certifikat via domänsystemet DNS, en metod som håller på att standardiseras av arbetsgruppen DANE inom internets standardiseringsorganisation IETF.

Klicka på rapporten nedan för att läsa den i sin helhet:

 

MSB Trendrapport 2012