Google börjar med tvåfaktorsautenticering

Som vi rapporterade om i Oktober 2010 så införde Google tvåfaktorsautenticering men dock enbart för betalande kunder av deras tjänst Google Apps. Nu ökar man dock och erbjuder tvåfaktorsautenticering för samtliga kunder.

Förhoppningsvis så kommer fler företag att följa Googles goda exempel och erbjuda tvåfaktorsautenticering.

Läs mer hos SecWorks

Kryptering av data för molntjänster

Igår så lanserade CipherCloud sin tjänst för kryptering av data som används i molnet. Tjänsten låter användaren eller företaget att kryptera eller maskera data innan det skickas till molntjänsten.

Vanligtvis så genomförs krypteringen hos molnleverantören vilket då kan ställa till en del problem eftersom informationen kan under korta tidsperioder vara i klartext.

Läs mer hos IDG.

Root Zon DNSSEC KSK Ritual #4

Snart är det dags för nummer fyra av DNSSEC KSK signeringsritualen. Den kommer att gå av stapeln i El Segundo, Kalifornien, USA på måndag 2011-02-07. Ritualen beräknas börja kl 2100 UTC och slutar kl 0300 UTC .

Rörlig bild kommer att finnas tillgänglig om några veckor på iana.org/dnssec eller live direkt på dns.icann.org/ksk/stream

Ceremony 4 will include processing of a Key Signing Request (KSR)
generated by VeriSign, and the resulting Signed Key Response (SKR)
will contain signatures for Q2 2011, for use in the root zone between
2011-04-01 and 2011-07-05.

Bugg i OpenSSH

En ny version av OpenSSH släpptes för några dagar sedan då det visade sig att minne läckte ut i certifikat:

When generating legacy *[email protected] certificates, the nonce field was not being correctly filled with random data but was left uninitialised, containing the contents of the stack. The contents of the stack at this point in ssh-keygen’s execution do not appear to leak the CA private key or other sensitive data, but this possibility cannot be excluded on all platforms and library versions.

If certificates are generated using user-specified contents (as opposed to the CA specifying all fields) then they will be less resistant to hash collision attacks. Fortunately, such attacks are not currently considered practical for the SHA family of hashes used to sign these certificates.

Facebook inför https

Facebook gör det nu möjligt att via inställningar välja att tvinga den krypterade versionen av http, dvs https. Än så länge verkar denna inställning enbart gälla amerikanska användare.

Att använda https på Facebook har tidigare varit möjligt om man manuellt skriver in https://facebook.com eller använder något plugin till sin webbläsare som tvingar https mot Facebook.

Denna åtgärd från Facebooks sida tros vara för att försvåra för så kallade Firesheep-attacker som vi skrivit om tidigare. Se även Facebooks blogg eller feber.se.

Apple får en ny Director of Global Security

Apple har nyss anställt David Rice som Director of Global Security. David kommer senast från en anställning vid amerikanska myndigheten NSA. Det är i dagsläget oklart vad denna nya befattning innebär.

Apple har tidigare anställt ett antal IT-säkerhetsproffs såsom Window Snyder som var head of Security på Mozilla, Jon Callas  som var CTO på PGP.

Källa: H-Online

Tor åtgärdar säkerhetsbrist

En säkerhetsbrist har tvingat anonymiseringsmjukvaran Tor att släppa en uppgradering. Den nya versionen heter 0.2.1.29 och täpper igen en heap-overflow samt åtgärdar en bugg som gör att vital information ej överskrivs i minnet. Den nya versionen åtgärdar även en sårbarhet som uppdagats i Zlib-biblioteket som kan användas för att utföra en blockeringsattack (DoS). Changelog här.

Om du vill se det vi skrivit om Tor tidigare kan du göra det här.

Vi kan även rapportera att Tor används flitigt i Tunisien: