Det är snart dags för säkerhetskonferensen SEC-T som går av stapeln i Stockholm mellan den 9:de och 10:de September så passa
på att köpa en biljett nu.
Konferensen så föreläser bl.a. Neil ”mu-b” Kettle som tar upp Vulnerabilities in Full/Virtual Disk Encryption products.
För hela programmet se sec-t.org
TechWorld uppmärksammar idag gratisalternativet TrueCrypt när det gäller full hårddiskkryptering och visar hur du enkelt krypterar hårddisken. TechWorld sammanfattar det:
Sammanfattningsvis är Truecrypt mycket användbart för den som vill skydda sina allra hemligaste filer, dessutom utan att behöva kosta en enda krona. Truecrypt är helt gratis och fungerar på Windows XP, Vista och 7, Mac OS X samt Linux.
Betänk dock att säkerheten inte är bättre än ditt lösenord, så se till att det är svårgissat och långt för bästa skydd.
Säkerhetsforskaren Georgi Guninski har identifierat en sårbarhet i OpenSSL version 1.x. Buggen finns i funktionen ssl3_get_key_exchange och kan med stor sannolikhet utnyttjas fjärrmässigt (över Internet). Som tur är så har många operativsystem såsom Ubuntu ej uppdaterat till OpenSSL 1.x versionen ännu utan är kvar på 0.9.x.
Den kontroversiella sajten WikiLeaks har lagt upp en mycket stor krypterad fil vid namn Insurance. Filen är på 1.4 GB och tros vara krypterad med AES 256. Varför WikiLeaks har släppt filen krypterad tros vara för att de vill se till att filen sprids via exempelvis Torrent-nätverk och när filen blivit spridd så kommer nyckeln att släppas. Eller så är det för att om WikiLeaks grundare Julian Assange skulle gripas så kommer nyckeln att släppas.
Bruce Schneier har även bloggat samt The Register och Wired.
Det har uppdagats en ny typ av fjärrmässiga tidsattacker (exploiting remote timing attacks). Det var under konferensen BlackHat som gick av 
staplen för några dagar sedan i Las Vegas där kryptogurun Nate Lawson visade hur det är möjligt att lista ut huruvida den första byten i en HMAC-sträng är korrekt eller ej. Denna typ av attack påverkar exempelvis oAuth eller OpenID och används av flertalet stora webbtjänster såsom Twitter.
Det är inte första gången som tidsattacker utnyttjas fjärrmässigt i kryptoimplementeringar, utan detta har påvisats ett antal gånger historiskt.
Läs mer på Nate:s blogg eller ComputerWorld.
Det har nu uppdagats att säkerhetsforskaren Md Sohail Ahmad kommer att visa upp en ny sårbarhet i WPA2 på IT-säkerhetskonferensen Decfcon som går av stapeln i Las Vegas nästa vecka. Mer detaljerat så rör det sig om en specifik konfiguration där WPA Enterprise används:
The problem appears restricted to WPA Enterprise (802.1X with TKIP/AES-CCMP) in practical terms, because a malicious user must have legitimate credentials to gain access to the network to exploit the flaw. With WPA/WPA2 Personal (preshared key), everyone on the network ostensibly can sniff for other users’ data.
Läs även på WiFiNetnews.com
Eller rättare sagt så har en del av Skype-protokollet reverse-engineerats. Det är den del av Skype som använder RC4-algoritmer och varianter på denna. Följande framgår av källkoden:
|*| Skype Library RC4 v1.109 by Sean O’Neil.
|*| Copyright (c) 2004-2010 VEST Corporation.
|*| All rights reserved.
|*| Not for commercial use.
|*|
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
|*| This code is quite unique and is easily identifiable.
|*| Result may match Skype’s 100%, but this code is ours.
|*| The computation is significantly different from Skype’s.
|*|
|*| For academic research and educational purposes only.
|*| If you require Skype compatibility in your products,
|*| feel free to contact Sean O’Neil on www.enrupt.com
|*|
|*| Last changes: 09.07.2009 (a minor correction from 1.108 that does not affect its use in Skype-compatible projects)
|*| Published: 07.07.2010
|*| More will be published at 27C3, December 2010 (http://www.ccc.de/en/calendar)
Som hittas här: cryptolib.com/ciphers/skype/
Sean O’Neil har även skrivit ett antal förtydliganden på sin blogg där han bl.a. skriver att detta inte påverkar säkerheten i Skype eftersom tal, filöverföringar etc. är krypterade med AES 256-bit nycklar, 1024-bit RSA algoritm samt autentiserade med a 2048-bit RSA-nycklar. Källkoden som han har släppt hanterar enbart kommunikation mellan Skype-klienten och dess noder.
Satoshi Nakamoto har skapat en anonym digital valuta som nu är tillgängligt för allmänheten. Bitcoin förhindrar insyn i transaktioner och är praktiskt taget gratis att använda till motsvarighet till exempelvis PayPal som tar ut en avgift på 3% per transaktion.
Några andra fördelar med Bitcoin innefattar enligt deras egna ord:
Bitcoin är opensource och utvecklingen kan följas på SourceForge eller Bitcoin.org
Uppdatering: Finns även en utförligare beskrivning av Bitcoin i denna PDF.
I senaste numret av Cisco IP Journal Volume 13 Number 1 så belyses ett problem som uppstår när DNSSEC börjar att användas och bandbreddsförbrukningen mer än dubbleras:
In other words, in this example scenario with stale Trust Anchor keys in a local client’s resolver, a single attempt to validate a single DNS response will cause the client to send a further 844 queries, and each .com Name Server to receive 56 DNSKEY RR queries and 4 DS RR queries…
The problem with key rollover and local management of trust keys appears to be found in around 1 in every 1,500 resolvers in the in-addr.arpa zones. With a current client population of some 1.5 million distinct resolver client addresses each day for these in-addr.arpa zones, there are some 1,000 resolvers who have lapsed into this repeated query mode following the most recent key rollover of December 2009. Each subzone of in-addr.arpa has six Name Server records, and all servers see this pathological re-query behavior following key rollover.
Det kompetenta lösenordsknäckningsverktyget/sniffern Cain & Abel för Windows får sig en uppdatering med bl.a följande:
Nya versionsnummret är v4.9.36 och kan laddas hem här: oxid.it
Skärmdump:
