Vikten av stark autentisering

Via CERT-SE hittar vi följande bra inlägg om vikten av att skydda sina kontouppgifter.

Graham Cluley skriver att det är viktigt att skydda kontouppgifter och använda stark autentisering (om möjligt) till sociala mediewebbplatser, som till exempel Facebook och Twitter.

Just a username/password combination isn’t enough when a social media account is an important part of your business or public image.

Det gäller i allra högsta grad myndigheter och företag som använder sig av sociala medier för att kommunicera med medborgare. Man bör noga utvärdera eventuella risker med att använda kommunikationsplattformar som saknar möjlighet till stark autentisering och där man kan få problem med att mitigera effekterna om inloggningsuppgifter skulle hamna på avvägar.

Artikeln som CERT-SE rekommenderar finns att läsa här: http://nakedsecurity.sophos.com/2012/04/16/hyatt-acai-berry/ och vi har även skrivit om Facebook och dess tvåfaktorsautentisering här.

FRA utmanar med udda rekryteringsannons

Om du innehar gammelmedia i form av tidningen Computer Sweden eller Ny Teknik så finns det chans att du har sett denna udda rekryteringsannons från myndigheten FRA:

Claes Törneman, ansvarig chef för den aktuella rekryteringen på FRA säger:

Vi har sett att det här är ett sätt att locka fler av de allra skickligaste specialisterna till våra lediga tjänster. Inom vår informationssäkerhetsavdelning (ISA) krävs avancerade IT-kunskaper och konkurrensen om dem som har denna kompetens är stor.

Även om man alltid är välkommen att söka de utannonserade tjänsterna utan att ha knäckt koden och löst den underliggande utmaningen verkar uppgiften i sig locka fler att skicka in svar.

Om du knäcker ovan utmaning så kommer du vidare till en svårare utmaning.

Google lägger ner False Start SSL

Förra året i Maj så skrev vi om ett expriment som Google utförde vid namn False Start SSL där avsikten var att snabba upp SSL (https). Dock så visade det sig att False Start var inkompatibelt med ett antal SSL terminatorer och det Google gjorde då var att upprätta en svartlista med dessa men det visade sig vara ett hästjobb att hålla denna lista uppdaterad så nu lägger Google ner experimentet meddelar företaget.

Adam Langley som jobbar på Google skrev detta på sin privata blogg ImperialViolet:

The `servers’ with problems were nearly always SSL terminators. These hardware devices terminate SSL connections and proxy unencrypted data to backend HTTP servers. I believe that False Start intolerance is very simple to fix in the code and one vendor suggested that was the case. None the less, of the vendors who did issue an update, most failed to communicate that fact to their customers. (A pattern that has repeated with the BEAST fix.)

Dock så kommer Googles webbläsare Chrome stödja False Start mot servrar som stödjer TLS Next Protocol Negotiation (NPN).

Förbjud mot kryptering i Sverige?

Via Sveriges Radio hittar vi nedan kommentar från folkpartisten Johan Pehrson som är riksdagsledamot i justitieutskottet.

Man kan inte avskriva detta. Kryptering är bra men frågan är om det ska kunna användas i de fall man tillhandahåller allmänna telefontjänster. Jag säger inte att vi ska titta på en sådan lagstiftning nu, men vi måste följa den utvecklingen noga för teknisk utveckling kommer alltid att ställa nya utmaningar.

SweClockers forum diskuteras samt på andra ställen på Internet diskuterades denna fråga intensivt. Dock så dementerar Johan sedan uppgifterna.

Källa: SR

Kryptoforskare vid KTH hittade sårbarheter i valsystem

Två kryptoforskare vid KTH har identifierat stora brister i bl.a. amerikanska valsystem från företagen Scantegrity och Civitas. De brister som identifierats var så allvarliga att de kunnat påverkat valutgången, men dock så hittade forskarna även metoder att identifiera om dessa brister utnyttjas.

Bild på Douglas Wikström

Jag förstår inte hur man kan använda ett elektroniskt valsystem utan bevisbar säkerhet i allmänna val, säger Douglas Wikström, biträdande lektor vid KTH och forskare med inriktning mot kryptografi och kryptografiska protokoll.

Douglas tillsammans med sin kollega Shahram Khazaei hittade bristerna och kontaktade företagen som utvecklat dessa och forskarna vid företaget kunde även verifiera dessa sårbarheter.

Dessa brister är dock är inte unik för USA. System med liknande sårbarheter finns i vårt grannland Norge. Även där har Douglas Wikström, Shahram Khazaei samt Douglas doktorand Björn Terelius analyserat ett system som användes av 54 000 norrmän förra året och levererades av det spanska företaget Scytl. I detta system kunde forskarna inte hitta någon direkt sårbarhet utan enbart teoretiska sårbarheter, systemet har bla.a. ingen bevisbar säkerhet.

Källa: KTH 

Gratis VPN via Tor

För att använda ett gratis VPN så rekommenderar vi Tor. Med hjälp av Tor så kan du surfa anonymt och gratis, det enda som krävs är att du laddar hem och installerar dess klient. En nackdel dock kan vara att det går trögt att surfa då bandbredden kan vara begränsad på många exitnoder.

Sedan klickar du bara och extraherar samt startar klienten via Play-knappen så startas automatiskt webbläsaren Firefox och visar ett meddelande att du är ansluten till Tor-nätverket.

Så lätt är det att komma igång och använda Tor som ett gratis VPN.

Här kan du ladda hem Tor-klienten och dess tillbehör:

Uppdatering för att förtydliga: Tor krypterar ej mellan slutpunkter om du använder dess publika noder och går ut mot Internet. Du kan läsa mer här på engelska.

Säkerhetslucka i krypterad IP-telefoni åtgärdad

Två studenter vid KTH har identifierat ett motmedel i krypterad IP-telefoni som gör att avlyssning ej är möjlig. Genom att använda en teknik vid namn phrase spotting technique så är det möjligt att urskilja vad som sägs vid krypterad IP-telefoni, detta är en avlyssninsteknik som tidigare identifierats vid MIT och av Google-anställda.

På bilden: Vasily Prokopov

Det studenterna nu har gjort är att analysera problemet och kommit med förslag på flera sätt att skydda sig mot säkerhetsluckan, och därtill introducerad en ny teknisk modell – voice coder – för hur man ska kunna kommunicera utan att riskera att bli avlyssnad.

Studenterna Vasily Prokopov och Oleksii Chyrkov gjorde medverkar även i en tävling som anti-virusföretaget Kaspersky utlyst.

Läs nyheten i sin helhet hos KTH >

Mitmproxy 0.7

Verktyget mitmproxy som används för att genomföra man-i-mitten attacker (man-in-the-middle) angrepp finns nu ute i en ny version. Verktyget kan exempelvis användas för att analysera trafik till och från datorer, iPhone, iPads eller andra enheter.

* New built-in key/value editor. This lets you interactively edit URL query
strings, headers and URL-encoded form data.
* Extend script API to allow duplication and replay of flows.
* API for easy manipulation of URL-encoded forms and query strings.
* Add ”D” shortcut in mitmproxy to duplicate a flow.
* Reverse proxy mode. In this mode mitmproxy acts as an HTTP server,
forwarding all traffic to a specified upstream server.
* UI improvements – use unicode characters to make GUI more compact,
improve spacing and layout throughout.
* Add support for filtering by HTTP method.
* Add the ability to specify an HTTP body size limit.
* Move to typed netstrings for serialization format – this makes 0.7
backwards-incompatible with serialized data from 0.6!
* Many minor bugfixes and improvements.

Här kan du ladda hem mitmproxy 0.7:

Här finnes en video med mitmproxy från YouTube: