HTTPS Everywhere version 1.0

Webbläsarverktyget HTTPS Everywhere finns nu ute i version 1.0. HTTPS Everywhere är ett verktyg som gör att många av de vanligaste webbsajterna vi surfar till dagligen använder den krypterade versionen av webbsurf dvs https. I dagsläget så ligger runt 1000 sajter inlagda i verktyget att automatiskt gå över till https istället för http.

Tyvärr så fungerar HTTPS Everywhere enbart till Firefox i dagsläget. Begränsningar i API:t hos Safari och Chrome gör att det ej är möjligt att göra ett verktyg som HTTPS Everywhere. Vi hoppas så klart att både Apple och Google kommer att införa förändringar i dess webbläsare  som gör det möjligt att tvinga fram https.

HTTPS Everywhere kommer från frihetskämparorganisationen EFF som även står bakom verktyg såsom Tor.

Här kan du ladda hem verktyget: https://www.eff.org/https-everywhere

Verbatim NAS kan innehålla kryptobakdörr

Företaget Verbatim säljer ett NAS (Network Attached Storage) med stöd för kryptering. Denna kryptering använder sig av det populära LUKS (Linux Unified Key Setup) som är öppen källkod.

Vid en analys av produkten genomförd av den tyska IT-säkerhetsförtaget heise Security så hittades två installerade nycklar även fast bara en hade matats in.

Verbatim har ännu ej kommenterat denna extra nyckel som ej återfinnes i någon dokumentation om produkten PowerBay DataBank NAS.

Se följande bild:

Källa: H

Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.

iOS Forensic Toolkit

Ryska företaget Elcomsoft som specialiserat sig på dekryptering har släppt ett verktyg för brottsbekämpande myndigheter att ta del av krypterad information från iPhone-mobiltelefoner som har operativsystemet iOS.

Verktyget går under namnet iOS Forensic Toolkit (forensik) och att göra en komplett kopia av en iPhone 4 med 32 GB utrymme tar mindre än 1.5h. Verktyget klarar även av att knäcka det lösenord (PIN-kod) som skyddar telefonen och krypteringen med hjälp av bruteforce.

Här kan du se vad vi skrivit om Elcomsoft tidigare. Läs mer i denna PDF som beskriver produkten.

Kryptering för barn

Den amerikanska signalspaningsmyndigheten NSA (SIGINT) har sedan en tid tillbaka en sida riktad till barn som vill lära sig om kryptoforcering/kodknäckning. Sidan går under namnet Cryptokids och har ett antal karaktärer enligt följande bild:

America’s Future Codemakers and Codebreakers

På sidan kan barn bl.a. spela spel och lära sig substitutionskryptering, morse samt hur man säger hej på olika språk.

Uppdatering: Vi glömde länken till sajten: http://www.nsa.gov/kids/

Mac OS X Lion hårddiskryptering

Uppdatering: Om du vill se prestanda bör du kolla här  (PGP WDE) eller här.

Nu när Apple har släppt en ny version av dess operativsystem som går under namnet Mac OS X Lion så finns det stöd för full hårddiskryptering. Med detta menas att hela hårddisken kan krypteras och fungera mer eller mindre transparent mot program, filsystem (HFS+) och användaren.

Apple kallar denna funktion för FileVault och tidigare har denna typ av kryptering enbart fungerat för hemkataloger. Lion ser ut att använda AES-XTS.

Skärmdump:


 

BitCoin inte så anonymt som många tror

BitCoin refereras ofta till en anonym valuta vilket är korrekt. BitCoin har funktioner för anonymitet men i många fall är det möjligt att identifiera användare som använder BitCoin-valutan.

Detta är något som två forskare vid University College Dublin har undersökt och kommit fram i en ny rapport som presenteras på blogg samt arXiv.

Exempelvis så är donationer till kontroversiella Wikileaks ej så anonyma som många tror:

Our point is that, by default, a donation to WikiLeaks’ ’public’ public-key may not be anonymous.

Svenska regeringen stödjer krypteringsnätverket Tor

Regeringen har sedan tidigare beslutat att avsätta 150 miljoner kronor till projekt som stödjer demokratisering och yttrandefrihet på Internet.

Ett av dessa projekt som får pengar genom UD och Sida är krypterings och anonymiseringsnätverket Tor (Tails). Förutom Tor så får även The Tactical Technology Collective, Freedom House, Civil Rights Defenders och Meedan dela på de 30 miljoner som nu Sida betalar ut.

– Censur och online-kontroll tenderar att öka. Det svenska biståndet ska bidra till att internet fungerar som ett verktyg för transparens, ansvarsutkrävande och positiv förändring för människor som lever i fattigdom och förtryck, säger Charlotte Petri Gornitzka.

Det är i dagsläget oklart hur mycket pengar som går till Tor av dessa 30 miljoner. Carl Bildt om yttrandefrihet och demokrati på Internet:

Läs även:

  • Pressmeddelandet från Sida

 

Facebook inför tvåfaktorsautentisering

För en tid sedan så införde Facebook stöd för att tvinga fram https och nu höjer man säkerheten ännu mer genom att erbjuda tvåfaktorsautentisering för användare.

Så här går du till väga för att aktivera tvåfaktorsautentisering på ditt Facebook-konto:

  • Klicka på Konto -> Kontoinställningar -> Kontosäkerhet

Där bör du se något liknande:

Där kryssar du i rutan och trycker på spara så får du sedan ett SMS innehållandes en engångskod (bekräftelsekod) till det mobilnummer som du troligtvis angett tidigare:

Och sedan är allt klart:

Glöm inte även att läsa hur du ställer in https på Facebook här.

Så knäcker du BitCoin

BitCoin är byggt med hjälp av ett antal olika algoritmer. Dessa algoritmer är skapade för att försvåra det som kallas för BitCoin-mining samt så används dem även för verifiering av BitCoins. Eventuella sårbarheter skulle ej resultera i att det går att skapa fiktiva pengar eftersom detta ligger i den decentraliserade strukturen (peer-to-peer).

De algoritmer som används är SHA-256 samt  RIPEMD-160 men även elliptiska kurvor (EC DSA) och mer specifikt secp256k1. Secp256k1 kommer från den öppna standarden SEC2 (läs även här).

När någon ska överföra BitCoins till en annan person så används ECDSA:

Alice signerar transaktionen med sin privata nyckel och publicerar denna signatur för andra på  Bitcoin-nätverket att kontrollera med sin publika nyckel

Dock så signeras enbart en hash av meddelandet pg.a. prestanda. För denna hash så används SHA-256 på följande sätt:

template<typename T1>
inline uint256 Hash(const T1 pbegin, const T1 pend)
{
    static unsigned char pblank[1];
    uint256 hash1;
    SHA256((pbegin == pend ? pblank : (unsigned char*)&pbegin[0]), (pend - pbegin) * sizeof(pbegin[0]), (unsigned char*)&hash1);
    uint256 hash2;
    SHA256((unsigned char*)&hash1, sizeof(hash1), (unsigned char*)&hash2);
    return hash2;
}

Ungefär som PGP så använder Bitcoin publika och privata -nyckelpar för att göra signaturer, men också för att publicera ett fingeravtryck vilket eg. är en RIPEMD-160-hash som gört det möjligt att skicka BitCoins till någon. BitCoin är ännu relativt otestat och svagheter eller implementationsbrister uppdagats kontinuerligt i BitCoin och här kan du läsa om en intressant uppdatering.

Så om du vill knäcka BitCoin så är det förfarande som skapar nya BitCoins det lättaste sättet i dagsläget. Ett antal metoder har publicerats och här hittar du en.

Uppdatering: Finurligt sätt att använda JavaScript för att låta webb-besökare söka efter BitCoins. Om Aftonbladet.se eller en annan stor sajt lägger in denna JavaScript-kod så kommer de att vinna lotteriet.