Lösenordshantering
Amerikanska NIST har släppt en publikation (PDF) om hur lösenord ska hanteras inom stora organisationer eller företag. Läs den här:
AppGate Free Edition
Det svenska säkerhetsföretaget AppGate har släppt en gratis version av sin mjukvara AppGate Security Server. Denna mjukvara levereras som en VMware avbild och kan köras med VMware Player.
Via Joachim Strömbergson.
Läs mer på Newsdesk eller Appgates webbsajt.
stunnel 4.27
En ny version av stunnel finns nu ute (används flitigt av många anonymiseringstjänster):
Version 4.27, 2009.04.16
- Nya funktioner
– Win32 DLL:er för OpenSSL 0.9.8k.
– FIPS support uppdaterad för openssl-fips 1.2.
– Ny strategi för failover när flera mål används
– pgsql protokoll-handskakning av Marko Kreen <[email protected]>.
– Uppdaterad INSTALL.W32 fil.
- Buggfixar
– Libwrap hjälpprocess fixad att stänga
input/output/error file descriptors.
– OS2 kompileringsfixar (använder någon verkligen OS2 längre?).
– WCE fixar av Pierre Delaage <[email protected]>.
- Ladda hem stunnel
ftp://stunnel.mirt.net/stunnel/stunnel-4.27-installer.exe
ftp://stunnel.mirt.net/stunnel/stunnel-4.27.tar.gz
SHA-1 checksumma för stunnel-4.27.tar.gz är:
2daf52fb0906de9fc5bd6a270e620e9316034fd4
För mer info se http://stunnel.mirt.net/
Anonymiseringstjänst
Som svampar i skogen har ett antal svenska anonymiseringstjänster börjat att ploppa upp, och några av de frågeställningar som alla ställer sig är:
- Går det att lita på dessa tjänster?
- Kan man fildela via anonymiseringstjänster
Och garanterat svar på dessa frågor är svåra att ge, låt oss analysera frågeställningarna noggrannare. Att lita på dessa tjänster kan enbart bevisas tills det att motsatsen är bevisad, dvs att information läcker eller kommer fram som inte bör komma fram.
När det gäller punkt två så är det lite lättare, här visar nämligen undersökningar att i snitt så förloras 90% av hastigheten då en anonymiseringstjänst används vilket är mycket otrevligt för en fildelare.
Här är några av de svenska anonymiseringstjänsterna:
Och några av de utländska aktörerna:
Kryptera dina Microsoft Word-dokument
Visste du att Microsoft Word har inbyggt kryptering som du kan använda för att skydda dina dokument? Ja det finns och utan att du behöver installera någon extra programmvara.
Det enda du behöver göra är att gå in under följande menyval (på engelska):
File | Save As | Tools | Security Options — Tab Security
eller
Tools | Options | Tab Security
Där du kan ange ett lösenord för dokumentet. Rekommenderat är även att du tar en titt under knappen ”Advanced” där du även kan ange en bättre algoritm. Microsoft rekommenderar Microsoft Strong Cryptographic Provider, denna är dock inte kompatibel med äldre versioner av Microsoft Word.
För utförligare information om vilka algoritmer som stödjs se här:
IPRED
Då var det den 1:a April och IPRED-lagen har nu trätt i kraft och fem ljudboksbolag begär ut information om vem som står bakom ett IP-nummer:
Fem svenska ljudboksförlag – Earbooks, Storyside, Piratförlaget, Bonnier Audio och Norstedts – lämnade under onsdagen in en gemensam ansökan till Solna Tingsrätt om att få ut information om vem som står bakom ett IP-nummer.
Rapporterar DN
Andra som skriver om IPRED: IDG, Så slår IPRED mot företagen, Skyddar din hemförsäkring mot IPRED?
IPREDATOR ny anonymiseringstjänst
Gänget bakom Pirate Bay håller nu på att beta-testa en ny anonymiseringstjänst vid namn IPREDATOR som döljer ditt IP-nummer när du surfar på nätet. Mycket enkel prissättning där kostnaden är 5 EUR per månad
Conficker använder MD6
Den nyss fastställda standarden MD6 från NIST (uppföljaren till MD5) används av den skadliga koden Conficker samt 4096-bit RSA. Den eller de personer som tagit fram Conficker har mycket god kunskap om kryptografi vilket kan bevisas genom att den första implementationen av Conficker innehöll en brist som även MD6 hade men som sedan korrigerades av Dr. Rivest:s grupp som har tagit fram MD6 och efter ett tag så korrigerades även Conficker:
In evaluating this mechanism, we find that the Conficker authors have devised a sophisticated encryption protocol that is generally robust to direct attack. All three crypto-systems employed by Conficker’s authors (RC4, RSA, and MD-6) also have one underlying commonality. They were all produced by Dr. Ron Rivest of MIT. Furthermore, the use of MD-6 is a particularly unusual algorithm selection, as it represents the latest encryption hash algorithm produced to date. The discovery of MD-6 in Conficker B is indeed highly unusual given Conficker’s own development time line. We date the creation of Conficker A to have occurred in October 2008, roughly the same time frame that MD-6 had been publicly released by Dr. Rivest (see http://groups.csail.mit.edu/cis/md6). While A employed SHA-1, we can now confirm that MD-6 had been integrated into Conficker B by late December 2008 (i.e., the authors chose to incorporate a hash algorithm that had literally been made publicly available only a few weeks earlier).
- Mer information om MD6: groups.csail.mit.edu/cis/md6
- Längre analys: mtc.sri.com/Conficker/addendumC
Kryptovirus/Kryptomalware
Intressant föredrag av Adam Young. Se även www.cryptovirology.com
Ge oss dina kryptonycklar!
En amerikansk domstol har uppmanat en privatperson som fastnat i tullen att lämna ut sina kryptonycklar och hänvisar till konstitutionen.
IDG skriver:
I den amerikanska delstaten Vermont har en federal domstol beslutat att en brottsmisstänkt måste lämna ifrån sig nyckeln till sin PGP-krypterade disk. Det skriver Cnet. Den åtalade greps för drygt två år sedan i gränskontrollen mellan Kanada och USA, sedan den amerikanska tullen undersökt mannens laptop. Enligt vittnesmål påträffade tulltjänstemannen stora mängder barnpornografi. Därefter beslagtogs dock datorn och stängdes av, vilket gjorde att disken krypterades och polisen har sedan dess inte kommit åt materialet.
Mer info hos CNET