En ny bugg har uppdagats i hur webbläsaren Chrome och Safari hanterar FTP-proxy. Genom en speciell URL så är det möjligt att ta reda på det riktiga IP-nummer som gömmer sig på andra sidan av en Tor-anslutning.
Läs mer: Chrome and Safari leak IP address
Organisationen EFF har nu uppdaterat det webbläsarplugin som de utvecklat till Firefox vid namn HTTPS-Everywhere. Vi har tidigare skrivit om detta plugin och det som är nytt nu är att fler sajter stöds i standardversionen. Man kan som tidigare lägga till egna sajter där https:// versionen alltid skall användas istället för den okrypterade http://-versionen.
Detta plugin skyddar mot exempelvis Firesheep-attacker där Cookies avlyssnas på trådlösa nätverk.
Det har nyligen uppdagats en ny sidokanalsattack mot AES. Denna attack fungerar troligtvis enbart på gamla processorer (långsamma) och enbart mellan olika användare på samma system. Kortfattat fritt översatt från engelska:
I denna uppsats analyserar vi AES och presenterar en attack som kan erhålla en hemlig nyckel i nästan realtid för AES-128, som kräver endast ett mycket begränsat antal observationer. Till skillnad från de flesta andra attacker, måste vårt varken veta chiffertexten, inte heller behöver veta någon information om klartext (såsom dess distribution mm). Dessutom för första gången visar vi också hur klartext kan återvinnas utan att ha tillgång till chiffertexten. Dessutom kan våran spion processen köras av en användare utan rättigheter.
För att läsa hela uppsatsen se IACR ePrint.
Just nu så pågår en utställning i Holland om den tyska underrättelsetjänsten AIVD (General Intelligence and Security Service) där även en del av Svensk kryptohistoria finns med, nämligen kryptomaskinen Hagelin C 446 A som tillverkades år 1945 av AB Cryptoteknik (eller AB Cryptograph som det hette från början). Företaget finns kvar än idag och heter då Crypto AG och återfinnes i Schweiz.
Arvid Gerhard Damm grundade företaget i Stockholm år 1920 och togs senare över av den rysk-födde svensken Boris Hagelin som flyttade företaget till 1952.
Uppdatering 2020-02-12: Crypto AG har hamnat i pressen på grund av en uppmärksammad artikel i Washington Post som hävdar att CIA var en av de hemliga delägarna i Crypto AG.
Nate Lawson har skrivit ett intressant blogginlägg om varför paddning (utfyllnad på Svenska) är en sådan vital del i RSA-krypteringsalgoritmen.
In public key crypto, padding is not an optional feature. It is a critical part of the cryptosystem security.
Läs blogginlägget här.
Utanför den amerikanska myndigheten CIA så återfinns ett monument som går under namnet Kryptos. Monumentet inviges år 1990 och innehåller en mängd tecken. Ingen har lyckats att lösa gåtan men det finns dock ett antal olika förslag på lösningar. Nu har dock CIA tröttnat på att vänta och därför så släpper konstnären som skapat Kryptos ytterligare ledtrådar som ska underlätta en lösning på gåtan.
Krytpos betyder ”gömd” på grekiska.
För mer information kan du läsa Wired.
Det svenska företaget Cryptoguard med utvecklingskontor i Luleå och huvudkontor i Jokkmokk köper Prowill AB från Motala som är ett konsult-och utvecklingsbolag verksamt inom IT-området med fokus på prissättning och fakturering inom telefoni och kommunikation.
Cryptoguard arbetar sedan tidigare med hårdvara som RM7, Atmel AVR och Microchip PIC och har utvecklat ett eget kodningssystem för kabel-TV och IPTV.
Microsoft medger att dess nya operativsystem för mobiltelefoner vid namn Windows Phone 7 saknar kryptering. Till skillnad från Android, iPhone och BlackBerry som krypterar informationen på telefonen.
Microsoft meddelar att de kommer att stödja kryptering i nästa version av WindowsPhone 7 samt stöd för HTML5 och Flash.
Många företag använder EAS (Exchange ActiveSync) för mobila enheter och Windows Phone 7 enheter som försöker att ansluta kommer då att misslyckas med felmeddelandet error code 85010013.
Steganografi är begreppet på 
en eller flera metoder att dölja meddelanden eller annan information på ett sådant sätt att enbart mottagaren har kännedom om dess existens. Steganografi och kryptografi kan kombineras för att öka skyddet för det hemliga meddelande som göms.
Steganografi användes redan av de antika grekerna redan 400 f.Kr. då en träskiva används för att sedan täcka skivan med vax. I dagens IT och mediasamhälle finns det många ställen att dölja hemliga meddelanden såsom i musik-, bild- och filmfiler som är ofta stora och ger många möjligheter till att dölja meddelanden.
Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.
Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.
Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.
Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.
Fler bloggare som skrivit om detta:
