2009-12-29

CCC 26c3 konferens i Tyskland

CCC är en tysk hackergrupp som varje år anordnar en konferens mellan jul och nyår, detta år så finns några intressanta krypto-relaterade föredrag på listan:

Reverse-Engineering DisplayLink devices: 12-bit LFSR and CRC12 make for kindergarten crypto. Hilarity ensues.
Exposing Crypto Bugs through reverse engineering: numerous encrypted storage products implement creative crypto flaws. Really, how else can you come up with ideas such as supplying a checksum of the secret key or dumping the last three password hashes pre-authentication?
Blackbox JTAG Reverse Engineering: Felix Domke of Wii and Xbox360 hacking fame. Perhaps he’ll announce a new console break simultaneously?
How you can build an eavesdropper for a quantum cryptosystem: I’ve been an opponent of quantum crypto for a long time. However, some people don’t get the message until attacks are implemented so this is great to see.

Others that may be interesting but haven’t posted slides or papers yet:

Using OpenBSC for fuzzing of GSM handsets: lots of work being done to open up access to GSM, which is overdue for open-source access. Maybe CDMA is next?
Finding the key in the haystack: intro to differential power analysis, focused on AES
Building a Debugger: mostly interested in what direction Travis may be going with glitching
GSM: SRSLY?
DECT (Part II)

Listan kom via Nate Lawson.

2009-12-28

Kryptoanalys av skadlig kod

Den skadliga koden PHP/Spy.Bull sprids via webbplatser och programmeringsspråket PHP. En en kryptoanalys på bloggen evilcodecave så visar det sig att den använder sig av en enkel kryptering.

Läs hela analysen här:

evilcodecave.blogspot.com/2009/12/phpspybull-cryptanalysis-of-encryption.html

2009-12-19

CryptZone köper AppGate

Svenska kryptoföretaget AppGate köps upp av CryptZone för 25 miljoner kronor varav 9 miljoner är kontant och resten är aktier i CryptZone.

Pressrelease finns hos MarketWire samt så har Joachim Strömbergson bloggat om detta.

2009-12-14

WPA Kryptering

WPACracker.com är ett nytt projekt där du kan hyra 400 servrar till en kostnad av 17$ som låter dig knäcka WPA-kryptering (åtkomstkontroll och kryptering).

135 miljoner lösenord testas i detta moln-kluster på 20 minuter.

Besök WPACracker.com för mer information eller se det inlägg vi skrivit tidigare om lösenordsknäckning i molnet.

2009-12-13

Google Lösenordsdekryptering

GooglePasswordDecryptor är ett nytt verktyg från SecurityXploded som dekrypterar de lösenord som Google använder i sina skrivbordsprodukter. Följande produkter klarar verktyget av att dekryptera från:

Google Talk
Google Picassa
Google Desktop Seach
Gmail Notifier
Internet Explorer (all versions from 4 to 8)
Google Chrome

Skärmdump:

Här kan du läsa mer och ladda hem verktyget:

securityxploded.com/googlepassworddecryptor.php

2009-12-01

Lösenordsknäckning i molnet

David Campbell skriver ett intressant blogginlägg om hur han gick till väga för att knäcka PGP-kryptering med hjälp av Elcomsofts EDPR-mjukvara samt ett antal servrar från CloudComputing-tjänsten Amazon EC2 (även kallat molnet-tjänst).

news.electricalchemy.net/2009/10/cracking-passwords-in-cloud.html

Se även den FAQ som han skapat:

news.electricalchemy.net/2009/11/cracking-passwords-in-cloud-q.html

2009-11-10

Krypteringsprogram får EAL4 certifiering

Det är programmet Endpoint Security Full Disk Encryption (Pointsec® PC 6.3.1) från Check Point Software Technologies som får Common Criteria certifieringen EAL4:

EAL4-certifiering är den högsta standardnivån som befintliga krypteringsprodukter kan få, och är ett bevis på att produkten har genomgått en lång och utförlig utvärderingsprocess. EAL4 är även antagen av International Standard Organisation (ISO) som använder EAL-nivåer som en global standard

Läs mer på Newsdesk.

2009-11-06

Ny allvarlig brist i SSL/TLS-protokollet

SSL/TLS står för mycket stor del av den krypterade trafiken på Internet i dagsläget och används av exempelvis banker över hela världen.

Nu har två personer vid namn Marsh Ray samt Steve Dispensa på företaget PhoneFactor hittat en sårbarhet som gör det möjligt att injicera godtyckligt innehåll i början av en SSL/TLS-överföring.

Se dokumentet som beskriver attacken här:

Renegotiating TLS.pdf

Bloggare som skriver om detta: Extended subset, Ben Laurie (har även skapat en fix).

2009-11-05

Google Wave Kryptering #2

I en kommentar av en av våra läsare med alias EDBM fick vi följande förklarande gällande den kryptering som Google Wave använder:

TLS/SSL har två funktioner: Autentisering (i första hand av servern) och kryptering, där serverautentisering är obligatoriskt men kryptering är valbart genom val av ”TLS cipher”, där man kan välja bort kryptering om man vill, vilket skulle kunna vara vad man gör om man väljer ”Optional”.

Formuleringen har ingenting alls att göra med om certifikatet är ”självsignerat”. Termen ”självsignerat certifikat” är för övrigt missvisande, det man menar är egentligen att servercertifikatet inte är certifierat en välkänd CA utan bara ett ad hoc-certifikat som man själv har utfärdat.

Se orginalinlägget: kryptera.se/google-wave-kryptering

2009-10-01

Google Wave kryptering

Google har idag släppt på 100 000 nya användare att testa den nya realtidstjänsten som går under namnet Wave. Google Wave baseras på XMPP (Jabber) protokollet som har ungefär 10 år på nacken.

Enligt specifikationen för Google Wave så ska trafiken skyddas med hjälp av TLS:

The connection MUST be secured using the TLS feature of XMPP. It is RECOMMENDED that communication is encrypted (namely by using a non-identity TLS cipher).

Detta är lite luddigt formulerat och det menas troligtvis att ett självsignerat certifikat är ok. Dock så säger Google emot sig själv när de visar hur en Google Wave-server konfigureras med hjälp av OpenFire och där man väljer kryptering som ”Optional”.

Läs hela Google Wave-specifikationen här: waveprotocol.org/draft-protocol-specs/draft-protocol-spec