2012-02-15

Tor hjälper människor i Iran med Obfsproxy

Diktaturen Iran ökar filtreringen av Internettrafik där man bl.a. försöker förhindra användningen av anonymiseringsnätverket Tor. Tor är dock snabba och släpper en ny mjukvara vid namn Obfsproxy som döljer Tor-trafik som vanligt Internetsurf.

Den nya obfuskeringsmjukvaran kan hjälpa mellan 50 och 60 000 användaren i Iran att nå ut. Mellan Feb. 8 och Feb. 9, antalet anslutningar till Tor gick från över 50 000 ner till 20 000 och sedan ner till nästan noll anslutningar på Fredag, Feb. 10.

I dagsläget finns det redan runt 300 stycken installationer av Obfsproxy som hjälper användare i Iran.

Följande graf visar antalet Tor-anslutningar från Iran per dag:

För mer information se obfsproxy-sidan på Torproject.org eller detta blogginlägg.

En annan mjukvara som också används flitigt i Iran för att kringgå diktaturens filtrering är Hotspot Shield.

2012-02-14

Analys av krypterad HTTPS Google Maps-trafik

En forskare vid IOActive Labs Research har nyligen genomfört ett proof-of-concept demo där han påvisar att det är möjligt att genom att avlyssna krypterad https-trafik som går till och från Google Maps-servrar utläsa vart på kartan som användaren tittar.

Genom att analysera storlekar på bilderna som laddas in på kartan så är det möjligt att utläsa vilket område som laddas in krypterat över https.

Se video här:

Dock så pepkar @santaragolabs att attacken kan vara mycket svår att genomföra i verkligheten då stora mängder kartadata måste laddas hem från Google.

Källa

2012-02-14

HTTPS nu standard på Twitter

Den sociala mediersajten Twitter har nu sett till att https-kryptering används som standard för samtliga användare. Detta är en bra riktning och för att citera Olle E. Johansson från Twitter:

@kryptera @pawal When do we get #ipv6 on #twitter – after HTTPS we need dnssec and IPv6.

— Olle E. Johansson (@oej) February 14, 2012

Så får vi hoppas att Twitter inför DNSSEC och IPv6.
Källa: Twitter

2011-12-29

CCC konferensen 28c3

Just nu så pågår hackerkonferensen 28c3 i Berlin och föreläsningar finns bl.a. på konferensens YouTube-kanal.
Här kan du se en video om anonymiseringsnätverket Tor:

2011-12-19

Windows 8 lösenord, RC4, Google Wallet och MSB

Vi sammanfattar här några av de nyhterna vi tweetat ut de senaste dagarna:

Windows 8 will have picture password sign in http://t.co/GdH4Ku7z
Moxie Marlinspike Answers Your Questions http://to.ly/bKLa
Python SSL stack doesn’t support ordering of Ciphers http://t.co/RHaVasiG
Google’s mobile payment app (Google Wallet) fails to encrypt personal data, according to research http://t.co/K6RV41VE
What’s the deal with RC4? http://t.co/3JJYP5bF
Klart vilka kommuner som får medel för DNSSEC http://to.ly/bKxB – 86 av 120 kommuner får bidrag av MSB för att inför DNSSEC.
RSA SecurID Software Token for Windows DLL Loading Error Lets Remote Users Execute Arbitrary Code http://to.ly/bKxy
GlobalSign concludes investigation of hacker attack http://www.h-online.com/security/news/item/GlobalSign-concludes-investigation-of-hacker-attack-1396349.html
Sovereign Keys: A Proposal to Make HTTPS and Email More Secure http://to.ly/bqio
Decrypt TrueCrypt Headers http://www.reddit.com/r/crypto/comments/nepid/decrypt_truecrypt_headers/
Ett miniseminarium om DANE hos .SE med bl.a. Jakob Schlyter och Staffan Hagnell som talare https://www.iis.se/evenemang/ett-miniseminarium-om-dane

Du följer väl oss på Twitter? https://twitter.com/kryptera

2011-11-24

John the Ripper ute i ny version

Lösenordsknäckningsverktyget (woh, långt ord) John the Ripper är nu ute i version 1.7.9. Största ändringen är att OMP-patcharna (OpenMP) nu finns med som standard.

Changelog enligt följande (engelska)

Added optional parallelization of the MD5-based crypt(3) code with OpenMP.
Added optional parallelization of the bitslice DES code with OpenMP.
Replaced the bitslice DES key setup algorithm with a faster one, which significantly improves performance at LM hashes, as well as at DES-based crypt(3) hashes when there’s just one salt (or very few salts).
Optimized the DES S-box x86-64 (16-register SSE2) assembly code.
Added support for 10-character DES-based tripcodes (not optimized yet).
Added support for the “$2y$” prefix of bcrypt hashes.
Added two more hash table sizes (16M and 128M entries) for faster processing of very large numbers of hashes per salt (over 1M).
Added two pre-defined external mode variables: “abort” and “status”, which let an external mode request the current cracking session to be aborted or the status line to be displayed, respectively.
Made some minor optimizations to external mode function calls and virtual machine implementation of John the Ripper.
The “–make-charset” option now uses floating-point rather than 64-bit integer operations, which allows for larger CHARSET_settings in params.h.
Added runtime detection of Intel AVX and AMD XOP instruction set extensions, with optional fallback to an alternate program binary.
In OpenMP-enabled builds, added support for fallback to a non-OpenMP build when the requested thread count is 1.
Added relbench, a Perl script to compare two “john –test” benchmark runs, such as for different machines, “make” targets, C compilers, optimization options, or/and versions of John the Ripper.
Additional public lists of “top N passwords” have been merged into the bundled common passwords list, and some insufficiently common passwords were removed from the list.

JtR kan i sedvanlig ordning laddas hem här: http://www.openwall.com/john/

2011-11-24

Diverse kryptonytt: iPhone, WEP, Tor, PFS, OpenPGP JavaScript

Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:

McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.

Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.

Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.

Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.

Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.

Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.

2011-10-10

Moxie Marlinspike pratar om SSL på BlackHat 2011

Följande video är inspelad från IT-säkerhetskonferensen BlackHat 2011 som går av stapeln i Las Vegas. Moxie pratar heltäckande om SSL och relevanta händelser såsom hacket mot Comodo. Helt klart värd att se! Moxie är även skapare av verktyget sslstrip och har hittat flertalet sårbarheter relaterade till SSL.

2011-10-06

Amazon S3 stödjer kryptering i molnet

Amazon S3 är en tjänst för att enkelt och snabbt lagra innehåll på Internet eller i ”molnet” . Denna tjänst samt andra såsom Amazon EC2 ingår i det Amazon kallar för Amazon Web Services, vilket är en uppsjö av tjänster för att underlätta vardagen för företag, webbutvecklare och andra som har behov av att publicera, lagra innehåll eller hyra datorkapacitet.

Nu har Amazon lanserat tjänsten S3 Server Side Encryption (SSE) som underlättar kryptering av filter som lagras i molnet. Krypteringen som används är AES 256-bitar. Dock är vi på redaktionen aningens skeptiska när för mycket är automatiskt som i detta fall. Dock ska tydligen PCI-DSS standard uppnås med denna nya tjänst (se Hacker News-länk nedan).

Beskrivning om hur tjänsten fungerar:

Mer om hur krypteringen används kan du hitta här eller på Amazon-blogggen samt en intressant diskussion på Hacker News.

2011-09-27

BEAST: Nygammal sårbarhet i SSL

IT-säkerhetsforskarna Thai Duong och Juliano Rizzo hittade ett nytt sätt att använda en gammal sårbarhet i TLS <= 1.0 där CBC används som går ut på att injicera känd klartext i en krypterad SSL 1.0-session vilket gör att det går att knäcka anslutningen på ca 10 minuter.

Detta påverkar ej anonymiseringsnätverket Tor. Samt så påverkar detta ej TLS version 1.1 men dock används denna version ej i stor utsträckning.

Värt att notera är även att Googles servrar ej påverkas av detta då de använder RC4 och inte CBC-läge i sin SSL/TLS.

Läs mer hos ISC/SANS, Slashdot, The Register, Threatpost.