2010-06-24

Krypto/integritetsbugg i Firefox

För några timmar sedan så släpptes Firefox version 3.6.4, vid en snabb överblick av de buggfixar som fanns med i listan så hittade vi denna intressanta bugg som Trusteers säkerhetschef Amit Klein identifierat:

Security researcher Amit Klein reported that it was possible to reverse engineer the value used to seed Math.random(). Since the pseudo-random number generator was only seeded once per browsing session, this seed value could be used as a unique token to identify and track users across different web sites.

Se mozilla.org/security/announce/2010/mfsa2010-33.html för mer information.

2010-06-22

Tvinga https över http

Organisationen EFF har utvecklat ett nytt Firefox-plugin som ser till att du besöker https-versionen av den webbsida du surfar till, om sådan finns. Exempelvis så går Facebook och PayPal att använda via https samt en hel del andra webbsajter. Att tvinga https framför http återfinns även i en ny förslagen standard vid namn Strict Transport Security (STS).

Testa pluginet här: https://www.eff.org/https-everywhere

2010-06-18

Telecomix konferensen

Krypto-konferensen som Telecomix anordnade och vi skrev om tidigare har fått internationell mediebevakning då de beskrev om ett nytt problem som gör att det går att ta reda på vem som är bakom ett dolt IP-nummer där en anonymiseringstjänst används.

Konferensen finns även inspelad här:

Uppdatering: Nu har även IDG skrivit om detta. Dock så näms inte Telecomix krypto-konferensen som källa.

2010-06-17

Root-zonen signerad

Root-zonen har nu äntligen blivit signerad! Vi pratar så klart om den nya standarden för säker DNS som går under namnet DNSSEC. Sverige har länge varit pionjärer inom detta område då .SE som sköter om .SE-zonen länge erbjudit innehavare av .SE-domäner att signera sina zoner (domännamn). Jakob Schlyter och Fredrik Ljunggren är de två konsulter som jobbat åt .SE att implementera nyckelhanteringen.

Nyckelgenereringscermonin ägde rum i Culpeper, Virginia /USA där även Anne-Marie Eklund Löwinder från .SE närvarade förutom delegater från ett antal länder som såg till att allt gick rätt till.

Mer information finns på root-dnssec.org eller opendnssec.org.

Uppdatering: En läsare uppmärksammade att root-zonen signeras den 15:de Juli. Det är enbart singerings-ceremonin som inträffat ännu.

2010-06-15

Qualys köper SSL Labs

IT-säkerhetsföretaget Qualys som utför sårbarhetsskanningar bl.a över Internet har nu köpt upp Ivan Ristićs projekt SSL Labs. SSL Labs har ett antal intressanta projekt bl.a. ett online-analysverktyg där det går att testa huruvida SSL är rätt konfigurerat eller ej. Vi utförde ett snabbt test och tittade hur det såg ut med SSL-konfigurationen hos de tre största bankerna SwedBank, Nordea samt SEB:

Swedbank

Rapporten för Swedbank:s SSL-sida https://internetbank.swedbank.se hittas här.

SwedBank fick ett betyg på 88 av 100 vilket är godkänt. Krypteringsalgoritmer som SwedBank stödjer:

Cipher Suites
TLS_RSA_WITH_RC4_128_MD5 `(0x4)`	128
TLS_RSA_WITH_RC4_128_SHA `(0x5)`	128
TLS_RSA_WITH_AES_128_CBC_SHA `(0x2f)`	128
TLS_RSA_WITH_3DES_EDE_CBC_SHA `(0xa)`	168
TLS_RSA_WITH_AES_256_CBC_SHA `(0x35)`	256

Nordea

Tittar vi på Nordea så ser det lite sämre ut där poängen 76 uppnås med ett icke godkänt. Detta pga att SSL renegotiation tillåts. Se rapporten här. Och de algoritmer som tillåts kan man fundera lite över:

Cipher Suites
TLS_RSA_WITH_DES_CBC_SHA `(0x9)` `WEAK`	56
TLS_RSA_WITH_RC4_128_MD5 `(0x4)`	128
TLS_RSA_WITH_RC4_128_SHA `(0x5)`	128
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA `(0xc004)`	128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA `(0xc009)`	128
TLS_RSA_WITH_3DES_EDE_CBC_SHA `(0xa)`	168
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA `(0xc005)`	256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA `(0xc00a)`	256

SEB

SEB hamnade på andraplats med sina 85 poäng snäppet efter SwedBank eftersom de stödjer SSL renegotiation, de blev dock ändå godkända. Rapporten för SEB finns här.

TLS_RSA_WITH_RC4_128_MD5 `(0x4)`	128
TLS_RSA_WITH_RC4_128_SHA `(0x5)`	128
TLS_RSA_WITH_AES_128_CBC_SHA `(0x2f)`	128
TLS_RSA_WITH_3DES_EDE_CBC_SHA `(0xa)`	168
TLS_RSA_WITH_AES_256_CBC_SHA `(0x35)`	256

Hur ser det ut på ditt företag/organisation? Testa!

2010-06-12

Krypterad information i molnet

Att lägga ut okrypterad information i molnet eller dekryptera/kryptera information är något som många företag undviker och väljer därför att de inte litar på molntjänsterna. Nu visar det sig att i en uppsats från 2009 att detta inte är ett problem om såkallad ”homomorphic encryption” används.

For example, someone could send an encrypted database of medical records to a cloud computing provider, secure in the knowledge that they could use the service to work on the data as usual without ever decrypting it. The results of a search could be sent to the data’s owner, who could decode it on his own system. The same approach could secure webmail or online office suites.

Se mer på Technology Review.

2010-06-04

Kryptera dina mejl med PGP

Åskar Andersson har åt IDG skrivit en ny guide som visar hur du kommer igång med Evolution och GnuPG/PGP i Linux för att skicka krypterad E-post.

Läs guiden här.

2010-06-03

Krypteringsprogram

Piratpartiet skojar till det och ger kronprinsessan Victoria och Daniel Westling ett krypteringsprogram i lysningspresent:

Piratpartiets partiledare Rick Falkvinge och vice partiledaren Anna Troberg var på plats för att uppvakta paret. Deras gåva bestod av två usb-minnen och ett krypteringsprogram. Så nu kan Victoria och Daniel kommunicera helt privat med varandra.

Källa: Expressen.

Se även Anna Trobergs blogg eller Rick Falkvinge.

Uppdatering: Det rör sig tydligen om en bootbar Ubuntu-version som automatiskt kopplar upp sig till anonymiseringstjänsten Relakks.

2010-06-03

Ny version av OpenSSL

OpenSSL är ett av världens mest använda krypteringsbibliotek och finns inbyggt i allt från satelliter till bilar och tv-spelskonsoller. Nu har det kommit en uppdatering som får versionsnummer 0.9.8o samt 1.0.0a som åtgärdar ett antal säkerhetsbrister men även innehåller ett antal nya funktioner:

Stöd för TLS v1.1
Fixar för två säkerhetsbrister, se mer nedan.
Stöd för CMAC

Säkerhetbristerna är enligt följande:

CMS structures containing OriginatorInfo are mishandled this can write to invalid memory addresses or free up memory twice.

When verification recovery fails for RSA keys an uninitialised buffer with an undefined length is returned instead of an error code.

Mer information finns som vanligt på OpenSSL.org

2010-06-02

Norge ska rösta säkert över Internet

På andra sidan Sverige, i Norge dvs. så håller man på att förbereda sig för elektronisk röstning över Internet. Projektet går under projektnamnet ”The E-vote 2011-project” och redan så har några kryptologer identifierat sårbarheter: On E-Vote Integrity in the Case of Malicious Voter Computers (pdf).

Läs mer på Omegapoints blogg.

Vi kan även bjuda på denna video som behandlar problematik i det Indiska röstningssystemets terminaler: