Sitic, Sveriges IT-incidentcentrum skriver en guide på hur du lyckas kryptera dina ZIP-filer på ett säkert sätt med hjälp av AES256:
Läs guiden här: Filkryptering: ZIP-fil
Sen skojar även SITIC till det och skriver även en guide hur du kan använda en brevduva för att överföra dina krypterade filer på ett säkert(?) sätt.
Läs humorguiden här: Filkryptering: Brevduva
En ny lag i Kina som blir aktiv denna vecka säger att 13 olika system såsom anti-spam, brandväggar, databaskryptering etc måste certifieras av Kinas Certification and Accreditation Administration (CNCA) där en process även är att lägga vantarna på privata nycklar. Detta kommer troligtvis även att drabba produkter som exporteras från Kina till andra länder.
Läs mer på ComputerWorld.
IT-säkerhetsföretaget Symantec köper upp PGP samt GuardianEdge. Båda företagen är kända för sina krypteringslösningar. PGP kostade $300 miljoner dollar i kontanter och GuardianEdge kostade $70M.
TechTarget.com har mer information.
Att använda krypterad fildelning är något som blir vanligare och vanligare så därför tänkte vi tipsa om några fildelningsprogram som kan använda kryptering:
Vi har tyvärr ingen erfarenhet av dessa program, men lämna gärna en kommentar om du testat något eller har förslag på andra fildelningsprogram.
En ny lag i den amerikanska delstaten Massachusetts tvingar alla som hanterar personinformation att kryptera denna. Om du misslyckas att använda HTTPS istället för HTTP eller lagrar information okrypterat i en SQL-databas så åker du på en bötessumma på $5000 per informationsmängd (person).
Källa: Slashdot
Nu kommer äntligen OpenSSL i en version ett-utgåva. Detta betyder troligtvis att alla år av utveckling nu gett resultat och utvecklarna känner att OpenSSL håller en hög kvalité nog att släppa en version 1.
o RFC3280 path validation: sufficient to process PKITS tests.
o Integrated support for PVK files and keyblobs.
o Change default private key format to PKCS#8.
o CMS support: able to process all examples in RFC4134
o Streaming ASN1 encode support for PKCS#7 and CMS.
o Multiple signer and signer add support for PKCS#7 and CMS.
o ASN1 printing support.
o Whirlpool hash algorithm added.
o RFC3161 time stamp support.
o New generalised public key API supporting ENGINE based algorithms.
o New generalised public key API utilities.
o New ENGINE supporting GOST algorithms.
o SSL/TLS GOST ciphersuite support.
o PKCS#7 and CMS GOST support.
o RFC4279 PSK ciphersuite support.
o Supported points format extension for ECC ciphersuites.
o ecdsa-with-SHA224/256/384/512 signature types.
o dsa-with-SHA224 and dsa-with-SHA256 signature types.
o Opaque PRF Input TLS extension support.
o Updated time routines to avoid OS limitations.
OpenSSL hittas som vanligt här: http://openssl.org/
Om någon kan avlyssna din förbindelse och se hur stora paket som skickas samt om den som avlyssnar även kan besöka https-sidan så är det möjligt för den som avlyssnar att lista ut vilka sidor du besöker.
Abstract. With software-as-a-service becoming mainstream, more and more applications are delivered to the client through the Web. Unlike a desktop application, a web application is split into browser-side and server-side components. A subset of the application’s internal information flows are inevitably exposed on the network. We show that despite encryption, such a side-channel information leak is a realistic and serious threat to user privacy. Specifically, we found that surprisingly detailed sensitive information is being leaked out from a number of high-profile, top-of-the-line web applications in healthcare, taxation, investment and web search: an eavesdropper can infer the illnesses/medications/surgeries of the user, her family income and investment secrets, despite HTTPS protection; a stranger on the street can glean enterprise employees’ web search queries, despite WPA/WPA2 Wi-Fi encryption. More importantly, the root causes of the problem are some fundamental characteristics of web applications: stateful communication, low entropy input for better interaction, and significant traffic distinctions. As a result, the scope of the problem seems industry-wide. We further present a concrete analysis to demonstrate the challenges of mitigating such a threat, which points to the necessity of a disciplined engineering practice for side-channel mitigations in future web application developments.
Dokumentet hittas här: informatics.indiana.edu/xw7/WebAppSideChannel-final.pdf
Via Bruce Schnier.
Vi har många gånger tidigare skrivit hur du kan surfa anonymt på Internet men värt att poängtera är att enligt åtskilliga undersökningar så använder många dessa anonyma tjänster till att exempelvis utföra bankärenden på Internet och dylikt där den enskilde avslöjar sina uppgifter och således inte är anonym längre.
Det har även förekommit man-in-the-middle attacker på krypterad https-surf över nätverket Tor samt så har åtskilliga metoder presenterats för att avanonymisera de som surfar anonymt på Internet.
Referenser:
En ny version av det populära krypteringsbiblioteket OpenSSL finns nu ute. Denna version åtgärdar ett säkerhetsproblem som identifierats:
”Record of death” vulnerability in OpenSSL 0.9.8f through 0.9.8m
================================================================In TLS connections, certain incorrectly formatted records can cause an OpenSSL client or server to crash due to a read attempt at NULL.
Affected versions depend on the C compiler used with OpenSSL:
– If ’short’ is a 16-bit integer, this issue applies only to OpenSSL 0.9.8m.
– Otherwise, this issue applies to OpenSSL 0.9.8f through 0.9.8m.Users of OpenSSL should update to the OpenSSL 0.9.8n release, which contains a patch to correct this issue. If upgrading is not immediately possible, the source code patch provided in this advisory should be applied.
Bodo Moeller and Adam Langley (Google) have identified the vulnerability and prepared the fix.
OpenSSL finns som vanligt att ladda ner på openssl.org
PHP-säkerhetsgurun Stefan Esser skriver ett inlägg på Twitter. Detta är nog inte helt ovanligt kan tänkas
