.SE:s Internetfonden finansierar tre kryptoprojekt

I år delar .SE:s Internetfonden ut 12 miljoner kronor till fristående, icke-kommersiella projekt som verkar för en positiv utveckling av Internet i Sverige. I den senaste ansökningsomgången fick 14 projekt dela på nästan 2,8 miljoner kronor.

Sedan starten av Internetfonden år 2004 har över 150 projekt finansierats och i år får 14 projekt dela på nästan 2,8 miljoner kronor.

Av årets projekt så hittade vi tre stycken som ser att direkt vara relevant för Kryptera.se:s läsare:

Better-Than-Nothing-Security

Michael Cardell Widerkrantz, Malmö

BTNS är teknik för att på IP-nivå automatiskt kryptera, skydda integritet och garantera att vi fortfarande kommunicerar med samma motpart.

Beviljad summa: 200 000 kronor
Hemsida: http://hack.org/mc/hacks/btns/

Transparent e-postkryptering

Björn Påhlsson, Malmö

Beskrivning av projektet: Underlätta användningen av krypterad e-post genom att skapa ett automatiskt system som kan hantera kryptering av e-post utan slutanvändarens inblandning.

Beviljad summa: 70 000 kronor

Forskningsuppdrag om DANE för OpenSSL

Chalmers Tekniska Högskola AB, Göteborg

Beskrivning av projektet: Implementering av krypterad säkerhet i OpenSSL så att det kan användas både i existerande programvaror och med tiden inlemmas i OpenSSL för att öka säkerheten på Internet.

Beviljad summa: 260 000 kronor

Mer information om Internetfonden:
www.internetfonden.se

Uppdatering: Fixat ett fel gällande BTNS.

Portskannern Nmap nu ute i version 6

Den omåttligt populära portskannern Nmap finns nu ute i en ny version. Detta efter tre års utveckling och 3924 kodändringar (commits).

Fräsigheter med denna nya version inkluderar en bättre skriptmotor, 289 stycken nya skript samt bättre funktionalitet för webbskanning. Även så fungerar portskanning över IPv6 fullt ut. Verktyget Nping finns också inkluderar i distributionen.

Nmap Scripting Engine (NSE) används för att komplettera portskanningen med mer djupgående tester med stöd för 44 olika tjänster såsom bitcoin, hbase, xmpp, socks, hadoop och memcache.

Med finns också stöd för bruteforce av 53 olika tjänster och inkluderar en topp 5000 lösenordslista som baseras på knäckta läckta lösenord från Gawker, RockYou, PHPBB, MySpace etc.

Skärmdumpar:

Vi testar krypterad E-post med Poosty

Poosty är en webbmail-tjänst som lanserades redan 2008 men har nu fått ett litet uppsving då konsultföretaget AddQ har gått in som delägare. Tjänsten startades av Stefan Waldeck som tidigare var nordisk marknadschef på Yahoo Searchmarketing.

Att kalla det för krypterad E-post är nog kanske lite att ta i, kanske bättre att kalla det för meddelanden med SMS-verifiering. Tjänsten använder sig nämligen av en sex tecken lång kod som används som verifieringsnyckel. Koden skickas separat via SMS samt så skickas även ett notifierings E-postmeddelande till den person du vill skicka ditt meddelande.

När vi testar tjänsten så skriver vi det hemliga meddelandet på Poostys servrar som är lokaliserade i Irland (Amazon Web Services, framgår även i dess sekretesspolicy) och över en https-anslutning. Även så kan Google läsa det hemliga meddelandet vi skriver, eftersom Google Analytics JavaScript laddas in i vår webbläsare.

Poosty är gratis i sitt grundutbud om du väljer att använda externa tjänster (tex. SMS meddelanden) eller uppgradera till våra premiumtjänster så måste du betala.

Vi ser en ljus framtid för Poosty och är väldigt stolta över att ha gått in som strategisk partner och delägare. Genom att vi har kvalitetssäkrat tjänsten vet vi dessutom att den levererar den säkerhet, enkelhet och tillförlitlighet som den ska göra.

Säger Petter Salomonsson, VD på AddQ Consulting.

Uppdatering: Obligatorisk läsning gällande Google Analytics och SSL finnes här.
Uppdatering 2: Se officiellt svar från Poosty i kommentarer till detta inlägg.

Apples kryptobugg i Lion

När Apple nyligen släppte sin senaste uppdatering till dess operativsystem Mac OS (10.7.3) så glömdes en debug-utskrift kvar där lösenordet till användare förekommer i klartext.

Detta är extra känsligt eftersom FileValut, den kryptering som används för användares hemkataloger då kan återskapas. Använder du FileVault 2 så (full-disk) så berörs du ej av denna bugg.

Buggen identifierades av David Emery och beskrivs på följande sätt:

Det är värre än vad det verkar som, eftersom loggen i fråga kan läsas genom att starta upp maskinen i firewire disk-läge och läsa den genom att öppna enheten som en skiva eller genom att starta upp nya medföljande-LION återställningspartitionen och med hjälp av tillgänglig superanvändare montera filsystemet och läsa debugfilen. Detta skulle göra det möjligt att bryta sig in i krypteradepartitioner på maskiner som de inte har en aning om eventuella inloggninglösenord för.

Skärmdump från loggfilen:

VPN Tunnel

VPN Tunnel är en benämning på där en klient kopplar upp sig krypterat eller okrypterat mot en server. VPN står för Virtual Private Network (virtuellt privat nätverk).

En vanlig mjukvara för att skapa en VPN-Tunnel är OpenVPN som är gratis och finns till Linux, Windows samt OS X.

Vanliga protokoll är IP Sec eller SSL/TLS som transportprotkoll. Några av de svenska tjänster som tillhandahåller VPN-tunnlar är:

  • Relakks
  • VPNTunnel.se
  • Anonine
  • PrivatVPN.se

Har du någon erfarenhet av ovan tjänster? Lämna gärna en kommentar med dina erfarenheter.

Detta är ett inlägg i en serie där vi förklarar grundläggande begrepp inom kryptering och IT-säkerhet.

Radio1 om Tor och anonymitet

Gabriella Lahti på Radio1 intervjuar den svenska utvecklaren Linus Nordberg om Tor, the onion routing network.

Tor själva beskriver Linus på följande sätt:

Linus Nordberg, Advocate, Developer

Swedish advocate for Tor, anonymous communications research, and employee at NORDUnet. Works on implementing IPv6 in Tor.

Här nedan kan du lyssna på avsnittet. Även så medverkar Dan Egerstad i slutet av sändningen.

BitCoin-startup får 3 miljoner i kapital

CoinLab

BitCoin som är en ny semi-anonym valuta har nu lockat till sig riskkapitalister. Det är företaget CoinLab som får 3.3 miljoner i kapital från ett antal företag såsom Draper Associates och affärsängeln Geoff Entress.

CoinLab har en produkt som låter spelföretag lägga in en kodsnutt som nyttjar spelarens dator för bitcoin-mining. Enligt CoinLab kan spelföretaget tjäna upp till 100 kr per spelare och månad vilket kan vara ett alternativ för spelare som spelar gratis. Företaget använder sig av GPU:n (grafikkortet) för att göra beräkningarna.

Två spelföretag har redan nappat: GraFighters och Wurm Online.

Se även vad BitCoin.se har skrivit.

Faktorisering av stora heltal

Om du är intresserad av faktorisering av stora heltal rekommenderar vi Johan Håstad nedan text från 2007.

Faktorisering av heltal är ett problem som fascinerat matematiskt intresserade människor i alla tider. Jakten på rekordstora primtal likaså. Om vi tar ett stort tal visar det sig vara mycket lättare att avgöra om det är primtal än att hitta faktorerna. Detta kan verka förvånande men det är faktiskt inte så underligt. Att vara primtal ger en mängd följdegenskaper och en användbar egenskap är Fermats lilla sats som säger att om p är primtal och a är ett tal mellan 1 och p − 1 så ger ap-1 rest 1 vid divsion med p.

Läs texten om faktorisering av stora heltal i sin helhet här via Forskning.se (pdf).

Allvarlig sårbarhet identifierad i OpenSSL

Tavis Ormandy som jobbar på Google med säkerhet har identifierat en allvarlig säkerhetsbrist i OpenSSL-funktionen asn1_d2i_read_bio. Som funktionsnamnet antyder så används den för läsning av ASN1-information, och inte konstigt att sårbarheter identifieras i denna typ av funktioner då standarden är en vildvuxen skog.

Enligt den säkerhetsnotis (se nedan) som skickats ut så är SSL/TLS-implementationer ej sårbara men det finns en viss chans att någon implementation använder sig av d2i_X509_bio och kan då vara sårbar.

OpenSSL-teamet vädjar till uppgradering till versionerna 1.0.1a, 1.0.0i eller 0.9.8v.

Källa: https://openssl.org/news/secadv_20120419.txt