2011-03-18

Avancerat intrång hos företaget RSA

EMC ägda företaget RSA går ut och meddelar att de utsatts för ett avancerat intrång. Det är oklart vilken skada detta innebär för de ca 40 miljoner användare av dess hårdvarutokens. Troligtvis har delar av källkoden läckt och detta kan möjligtvis underlätta för en eventuell angripare.

RSA har genomfört en 8-K ansökan som hittas här. Amerikanska myndigheter är inkopplade och jobbar med fallet. Kunder till RSA uppmanas att kontakta dess representant.

Ett öppet brev från RSA hittas här: rsa.com/node.aspx?id=3872

Andra som skrivit om detta: Securosis

2011-03-17

Twitter inför HTTPS

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

2011-03-16

Kryptering till Android

Uppdatering: Företaget Whisper Systems finns ej längre utan går under namnet Open Whisper Systems: https://whispersystems.org/

Företaget Whisper Systems släppte nyligen sin produkt WhisperCore som krypterar den hårddisk (flashminne?) som återfinnes i Android-telefoner. Moxie Marlinspike som är medgrundare till företaget samt chefstekniker berättar att denna första betaversion av WhisperCore enbart fungerar på Nexus S.

WhisperCore användare AES (Advanced Encryption Standard) med 256-bit nycklar i XTS-läge, på samma sätt fungerar PC-hårddiskkrypton såsom TrueCrypt eller LUKS (Linux Unified Key Setup) säger Moxie.

WhisperCore är den första mjukvara som krypterar Android-telefonens innehåll. Sedan tidigare så erbjuder företaget även produkten RedPhone som gör att du kan ringa krypterade telefonsamtal via mobiltelefonen.

2011-02-28

FreeBSD krypterar direkt i processorn

Med nya versionen av FreeBSD 8.2 så stödjs AESNI vilket är ett antal nya instruktioner för att genomföra AES kryptoberäkningar direkt i processorn:

The FreeBSD crypto(4) framework (opencrypto) now supports XTS-AES (XEX-TCB-CTS, or XEX-based Tweaked Code Book mode with CipherText Stealing), which is defined in IEEE Std. 1619-2007.[r214254]

De nya instruktionerna är:

AESENC	Perform one round of an AES encryption flow
AESENCLAST	Perform the last round of an AES encryption flow
AESDEC	Perform one round of an AES decryption flow
AESDECLAST	Perform the last round of an AES decryption flow
AESKEYGENASSIST	Assist in AES round key generation
AESIMC	Assist in AES Inverse Mix Columns
PCLMULQDQ	Carryless multiply (CLMUL). ^[2

Prestandan med dessa nya instruktioner kan beskrivas enligt följande: ”28.0 cycles per byte to 3.5 cycles per byte” vilket blir ungefär nio gånger bättre prestanda. Se källa

Vi skrev även om detta 2008:

AES-instruktioner i nästa CPU

2011-02-23

Allt du behöver veta om kryptering

Detta är en bra video från konferensen BSDCan 2010 där Colin Percival gör en genomgång av mycket av det som är bra att veta om krypto:

2011-02-12

Google börjar med tvåfaktorsautenticering

Som vi rapporterade om i Oktober 2010 så införde Google tvåfaktorsautenticering men dock enbart för betalande kunder av deras tjänst Google Apps. Nu ökar man dock och erbjuder tvåfaktorsautenticering för samtliga kunder.

Förhoppningsvis så kommer fler företag att följa Googles goda exempel och erbjuda tvåfaktorsautenticering.

Läs mer hos SecWorks

2011-02-11

Kryptering av data för molntjänster

Igår så lanserade CipherCloud sin tjänst för kryptering av data som används i molnet. Tjänsten låter användaren eller företaget att kryptera eller maskera data innan det skickas till molntjänsten.

Vanligtvis så genomförs krypteringen hos molnleverantören vilket då kan ställa till en del problem eftersom informationen kan under korta tidsperioder vara i klartext.

Läs mer hos IDG.

2011-02-08

Ny sårbarhet i OpenSSL

En ny sårbarhet har identifierats i OpenSSL av Googles Neel Mehta. Om ett felaktigt formaterat ClientHello-meddelande tas emot över nätverket så kan OpenSSL krascha alternativt så kan minne läckas till en angripare.

OpenSSL har nu åtgärdat felet och släppt version 1.0.0d.

Se mer https://www.openssl.org/news/secadv_20110208.txt

2011-02-07

Root Zon DNSSEC KSK Ritual #4

Snart är det dags för nummer fyra av DNSSEC KSK signeringsritualen. Den kommer att gå av stapeln i El Segundo, Kalifornien, USA på måndag 2011-02-07. Ritualen beräknas börja kl 2100 UTC och slutar kl 0300 UTC .

Rörlig bild kommer att finnas tillgänglig om några veckor på iana.org/dnssec eller live direkt på dns.icann.org/ksk/stream

Ceremony 4 will include processing of a Key Signing Request (KSR)
generated by VeriSign, and the resulting Signed Key Response (SKR)
will contain signatures for Q2 2011, for use in the root zone between
2011-04-01 and 2011-07-05.

2011-02-06

Bugg i OpenSSH

En ny version av OpenSSH släpptes för några dagar sedan då det visade sig att minne läckte ut i certifikat:

When generating legacy *[email protected] certificates, the nonce field was not being correctly filled with random data but was left uninitialised, containing the contents of the stack. The contents of the stack at this point in ssh-keygen’s execution do not appear to leak the CA private key or other sensitive data, but this possibility cannot be excluded on all platforms and library versions.

If certificates are generated using user-specified contents (as opposed to the CA specifying all fields) then they will be less resistant to hash collision attacks. Fortunately, such attacks are not currently considered practical for the SHA family of hashes used to sign these certificates.