2011-11-24

Diverse kryptonytt: iPhone, WEP, Tor, PFS, OpenPGP JavaScript

Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:

McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.

Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.

Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.

Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.

Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.

Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.

2011-10-10

Moxie Marlinspike pratar om SSL på BlackHat 2011

Följande video är inspelad från IT-säkerhetskonferensen BlackHat 2011 som går av stapeln i Las Vegas. Moxie pratar heltäckande om SSL och relevanta händelser såsom hacket mot Comodo. Helt klart värd att se! Moxie är även skapare av verktyget sslstrip och har hittat flertalet sårbarheter relaterade till SSL.

2011-10-06

Amazon S3 stödjer kryptering i molnet

Amazon S3 är en tjänst för att enkelt och snabbt lagra innehåll på Internet eller i ”molnet” . Denna tjänst samt andra såsom Amazon EC2 ingår i det Amazon kallar för Amazon Web Services, vilket är en uppsjö av tjänster för att underlätta vardagen för företag, webbutvecklare och andra som har behov av att publicera, lagra innehåll eller hyra datorkapacitet.

Nu har Amazon lanserat tjänsten S3 Server Side Encryption (SSE) som underlättar kryptering av filter som lagras i molnet. Krypteringen som används är AES 256-bitar. Dock är vi på redaktionen aningens skeptiska när för mycket är automatiskt som i detta fall. Dock ska tydligen PCI-DSS standard uppnås med denna nya tjänst (se Hacker News-länk nedan).

Beskrivning om hur tjänsten fungerar:

Mer om hur krypteringen används kan du hitta här eller på Amazon-blogggen samt en intressant diskussion på Hacker News.

2011-09-27

BEAST: Nygammal sårbarhet i SSL

IT-säkerhetsforskarna Thai Duong och Juliano Rizzo hittade ett nytt sätt att använda en gammal sårbarhet i TLS <= 1.0 där CBC används som går ut på att injicera känd klartext i en krypterad SSL 1.0-session vilket gör att det går att knäcka anslutningen på ca 10 minuter.

Detta påverkar ej anonymiseringsnätverket Tor. Samt så påverkar detta ej TLS version 1.1 men dock används denna version ej i stor utsträckning.

Värt att notera är även att Googles servrar ej påverkas av detta då de använder RC4 och inte CBC-läge i sin SSL/TLS.

Läs mer hos ISC/SANS, Slashdot, The Register, Threatpost.

2011-09-12

Följ oss på Twitter

Du missar väl inte att vi även finns på Twitter? Där får du krypto och IT-säkerhetsrelaterade nyheter mellan uppdateringarna här på bloggen.

Klicka på bilden för att komma till vår Twitter-profil:

2011-08-30

MITM Attack mot Google-användare i Iran

En användare av webbläsaren Google Chrome har i Iran upptäckt ett felaktigt certifikat för Google-tjänster. Efter ytterligare undersökningar så visade det sig att någon på vägen mellan användaren i Iran och Google genomförde en såkallad man-i-mitten attack (man-in-the-middle /MITM ) mot krypterade anslutningar (https).

Att användaren i Iran kunde upptäcka attacken berodde på att Google lagt in fingerprints för dess tjänster hårdkodat i webbläsaren Chrome. Så oavsett om certifikatet ser ut att vara korrekt utfärdat för *.google.com så visas en varning till användaren.

En av bovarna i dramat är företaget DigiNotar som utfärdat ett certifikat felaktigt. Omfattningen av denna attack är i dagsläget oklar.

Google har gått ut med följande meddelande:

Today we received reports of attempted SSL man-in-the-middle (MITM) attacks against Google users, whereby someone tried to get between them and encrypted Google services. The people affected were primarily located in Iran. The attacker used a fraudulent SSL certificate issued by DigiNotar, a root certificate authority that should not issue certificates for Google (and has since revoked it).

Google Chrome users were protected from this attack because Chrome was able to detect the fraudulent certificate.

To further protect the safety and privacy of our users, we plan to disable the DigiNotar certificate authority in Chrome while investigations continue. Mozilla also moved quickly to protect its users. This means that Chrome and Firefox users will receive alerts if they try to visit websites that use DigiNotar certificates.

To help deter unwanted surveillance, we recommend that users, especially those in Iran, keep their web browsers and operating systems up to date and pay attention to web browser security warnings.

2011-08-29

10 stycken kostnadsfria VPN-tjänster

OBS denna artikel är från 2011 och således gäller den ej

I dag är många surfare medvetna om den öppenhet som råder på Internet och som därmed väljer att anonymisera sig så att de inte lämnar några spår över var de har varit och vad det har gjort. Det finns en hel del kostnadsfria VPN-tjänster som låter användarna surfa anonymt på Internet. Ofta fungerar dessa VPN-tjänster lika bra som betaltjänsterna men det kan finnas vissa begränsningar i nedanstående VPN-tjänster som bland annat hastighetsbegränsningar, låg bandbredd och att det inte tillhandahålls någon teknisk support för tjänsten.

UltraVPN
UltraVPN använder en VPN-klient utvecklad med OpenVPN. Genom UltraVPN surfar man anonymt, med kryptering samtidigt som varken trafikloggar eller anslutningsinformation sparas hos leverantören . VPN-klienten är enkel och tydlig att använda och man ansluter enkelt genom en ikon som placeras i aktivitetsfältet. Man laddar ned VPN-klienten gratis från UltraVPN:s hemsida, finns för operativsystemen Mac och Windows. Efter att man har registrerat ett konto på samma hemsida kan man logga in och surfa anonymt.

Läs mer på: http://ultravpn.fr

PacketiX.NET är en online-miljö för PacketiX VPN där servrarna finns i Japan. När man använder PacketiX VPN kan man själv skapa privata virtuella VPN hubbar, med hjälp av ett webbgränssnitt, som man kan använda för att ansluta sig på distans till eget hemnätverk, där all kommunikation över Internet är krypterad samtidigt som anslutningar är anonymiserade.

Läs mer på: www.packetix.net/en

Gpass
GPass är en anonymiseringstjänst som är gratis för privata användare i länder där Internetcensur är vanligt. Genom tjänsten kan man komma åt blockerade hemsidor, som annars är spärrade från det land man befinner sig i. Alla som använder tjänsten är anonyma och all kommunikation sker krypterat.

Hotspot Shield
Hotspot Shield är en onlinetjänst som döljer användarens egen IP-adress genom en server på Internet, vilket gör användaren helt anonym. All kommunikation är krypterad vilket gör tjänsten användbar för att skydda användaren vid näthandel och när man hanterar privat information. VPN-klienten finns för operativsystem Mac och Windows.

Läs mer på: www.hotspotshield.com

Loke Network Project
Loke Network Project tillhandahåller en kostnadsfri VPN-tjänst som gör alla anslutningar anonyma och all kommunikation krypterad genom SSL. Tjänsten gör att besökaren skyddar sin IP-adress och den information som hanteras som bland annat nedladdning av filer, e-post och känsliga uppgifter som till exempel lösenord och kortnummer. Genom tjänsten kan man även komma åt blockerade hemsidor.

Läs mer på: www.projectloki.com

ProXPN
ProXPN tillhandahåller en VPN-tjänst som gör alla anslutningar anonyma. Tjänsten har även en mycket stark kryptering, i nivå med militära hög-bitars kryptering, vilket innebär att den information som man hanterar på Internet är väl skyddad. Genom tjänsten kan man surfa helt anonymt och allt man gör på Internet är dolt. VPN-klienten finns för operativsystemen Windows, 32 & 64 bitars, och Mac, men fungerar även med flera smarta mobiltelefoner som bland annat IPhone, IPod och Windows Mobile.

Läs mer på: www.proxpn.com

Securitykiss
SecurityKISS tjänst omdirigerar användarens trafik genom en högkrypterad tunnel som hanteras av Securitykiss egen Gateway. All trafik och data som passerar genom denna krypterade tunnel är helt skyddad vilket innebär att tjänsten lämpar sig väl för att hemlighålla information som lösenord, korttransaktioner och informationshantering men även blockering av spionprogram, vilket är vanligt på öppna trådlösa nätverk som finns på flygplatser och i andra kommersiella lokaler.

Läs mer på: www.securitykiss.com

Free USA VPN Service
VPN-PPT är en amerikansk VPN-tjänst som är gratis. Man är helt anonym när man är ute på Internet och ingen information om anslutningar eller trafik sparas. Med tjänsten kan man även gå förbi blockerade hemsidor. Man får en garanterad bredbandshastighet på 2 Mbit ned och 1 Mbit upp. Dock kräver tjänsten ett byte av lösenord var 12:e timme och det nya lösenordet hämtas på deras hemsida.

Läs mer på: http://freeusvpn.com

Expatshield
Expat Shield är en VPN-tjänst som har sina servrar placerade i Storbritannien. När man ansluter till VPN-tjänsten så dolds den egna IP-adressen och man använder istället en brittisk IP-adress. Tjänsten anonymiserar allt man gör på Internet och all data och trafik skyddas av kryptering.

Läs mer på: http://expatshield.com

LogMeIn Hamachi
LogMeIn Hamachi är en VPN-tjänst där man ansluter säkert mellan enheter och nätverk vilket sker genom att man skapar säkra virtuella nätverk. All trafik genom de virtuella nätverken är skyddad av kryptering. Man lägger upp tjänsterna och underhåller dessa genom ett webbgränssnitt på Internet. Gratisversionen kan användas för privat bruk men är begränsad till max 16 stycken datorer i det virtuella nätverket.

Läs mer på: https://secure.logmein.com/products/hamachi/features.aspx

2011-08-26

Så använder du molnet för lösenordsknäckning

Visste du att Amazon hyr ut datorkapacitet per timme? Ja, det vet nog de flesta. Men få vet att de även hyr ut kapacitet där en GPU (läs kraftfullt grafikkort) ingår. Från 2$ per timme så kan du få tillgång till en mycket kraftfull server för att utföra lösenordsknäckning med, här tänkte vi ge en liten guide till hur du kan komma igång och knäcka lösenord i molnet.

1. Skaffa ett Amazon Web Services-konto och gå in på EC2-konsollen för US-east.

2. Dra igång en ny server med ”Launch instance”-knappen och välj sedan Community AMIs fliken där du söker efter följande serverkopia: ami-aa30c7c3

3. Gå igenom alla steg och ställ in så du kan logga in på servern med ssh. Det kan vara lite bökigt om det är första gången du använder Amazon EC2.

När du väl kommit in så följer du denna guide:

1
2
3
4

# wget http://developer.download.nvidia.com/compute/cuda/3_2/sdk/gpucomputingsdk_3.2.12_linux.run
# chmod +x gpucomputingsdk_3.2.12_linux.run
# ./gpucomputingsdk_3.2.12_linux.run
(Tryck bara enter på alla frågor)

Nu måste vi installer g++ kompilatorn:

1	# yum install automake autoconf gcc-c++

Sedan måste vi kompilera biblioteken:

1
2
3

# cd ~/NVIDIA_GPU_Computing_SDK/C/
# make lib/libcutil.so
# make shared/libshrutil.so

Dax att ladda hem och bygga + installera CUDA-Multiforcer:

1
2
3
4
5
6
7

# cd ~/NVIDIA_GPU_Computing_SDK/C/
# wget http://www.cryptohaze.com/releases/CUDA-Multiforcer-src-0.7.tar.bz2 -O src/CUDA-Multiforcer.tar.bz2
# cd src/
# tar xjf CUDA-Multiforcer.tar.bz2
# cd CUDA-Multiforcer-Release/argtable2-9/
# ./configure && make && make install
# cd ../

Tyvärr så är dess Makefile lite felaktig så vi måste byta ut nedan rad

1	CCFILES := -largtable2 -lcuda

så den istället ser ut så här:

1	LINKFLAGS := -largtable2 -lcuda

Sen är det bara att skriva make, om allt gick bra så bör du ha en fil här: ~/NVIDIA_GPU_Computing_SDK/C/bin/linux/release/CUDA-Multiforcer. Du kan sedan exekvera mjukvaran på följande sätt:

1
2
3
4

# export LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATH
# export LD_LIBRARY_PATH=/usr/local/cuda/lib64:$LD_LIBRARY_PATH
# cd ~/NVIDIA_GPU_Computing_SDK/C/src/CUDA-Multiforcer-Release/
# ../../bin/linux/release/CUDA-Multiforcer -h SHA1 -f test_hashes/Hashes-SHA1-Full.txt –min=1 –max=6 -c charsets/charset-upper-lower-numeric-symbol-95.chr

Grattis! Du har nu en helt egen lösenordsforcerare i molnet. Glöm inte att använda exempelvis -h FASTMD5 om det är MD5 du vill knäcka.

Grafikkortet som används i våra tester var NVIDIA Tesla M2050.

Gällande prestanda så får vi 487.3 miljoner MD5-försök per sekund.

Denna guide baseras på detta blogginlägg.

2011-08-25

Twitter börjar med https-kryptering för alla

Den populära mikroblogg-tjänsten Twitter börjar successivt med att slå på https för samtliga avändare. Vi rapporterade i Mars att Twitter slagit på https och valet att nu gå över helt till https beror troligtvis på attacker såsom Firesheep.

Källa:

We suggest using HTTPS for improved security. We’re starting to turn this on by default for some users. More here: http://t.co/p1HWKpVless than a minute ago via web Favorite Retweet ReplyTwitter Comms
twitterglobalpr

Du kan även titta på supportsidan: support.twitter.com/articles/481955-how-to-enable-https

2011-08-19

Sårbarheter i AES

Nyligen så har forskare vid Microsoft Research samt det belgiska universitet Katholieke Universiteit Leuven hittat en metod som gör knäckning av AES 3 til 5 gånger snabbare.

Läs även vad Bruce Scheiner skrivit om detta.

Källa: research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf 2