Nate Lawson som bloggar på http://rdist.root.org/ har uppmärksammat att WordPress.com inte använder SSL session resumption vilket gör att de måste räkna om nycklarna (2048-bit RSA decryption) för varje liten bit som går över linjen.
Så här ser det ut i nätverkssniffern Wireshark:
Företaget Fortify som är specialicerade på att hitta sårbarheter i mjukvaror. De har nu gjort en rapport på de hashkanidater som är kvar i den amerikanska tävlingen SHA3. Resultatet blev enligt följande:
The National Institutes of Standards and Technology (“NIST”) is holding a competition to choose a design for the Secure Hash Algorithm version 3 (“SHA-3”). The reference implementations of some of the contestants have bugs in them that could cause crashes, performance problems or security problems if they are used in their current state. Based on our bug reports, some of those bugs have already been fixed.
Läs rapporten i sin helhet här: blog.fortify.com/repo/Fortify-SHA-3-Report.pdf
Fortify har även en trevlig blogg: blog.fortify.com/blog/fortify/
Inte direkt kryptorelaterat men ändå intressant:
Do you think it is impossible to safely run untrusted x86 code on the web? Do you want a chance to impress a panel of some of the top security experts in the world? Then submit an exploit to the Native Client Security contest and you could also win cash prizes, not to mention bragging rights.
Google vill alltså att hackers skall testa deras produkt Native Client Security och sedan vinna pengar genom att hitta sårbarheter:
The first prize is $8,192 (73 068 SEK) the second prize $4,096, the third prize is $2,048, the fourth prize is $1,024 and the fifth prize is $1,024. All amounts are in USD.
Här berättar Google:
Klienten kan ladda hem här: http://code.google.com/p/nativeclient/wiki/Downloads (länken fungerar ej längre)
Företaget Nordic Information Security Group AB (NIS) som skapat produkten Flexcrypt släpper en ny version med stöd för Copy/paste kryptering av Text och enkel ”ett-klick-kryptering”. Denna krypteringsmjukvara finns även att köras som en online-version.
”Oavsett om en användare arbetar på en bank i Geneve eller sitter på ett IT-cafe i Calcutta så kan Flexcrypt tillgodose deras behov av att skydda sin information” säger Andreas Nilsson, VD på Flexcrypt.
Mer information finns på företagets hemsida: http://www.nordicis.com/
Företagen Brocade, EMC, HP, IBM, LSI, Seagate och Thales har tagit fram en ny standard för krypteringsnycklar som går under förkortningen KMIP. Standarden har även skickas in till OASIS (Organisation for the Advancement of Structured Information Standards)
Här finns mer information om KMIP:
* KMIP Specification v0.98 http://xml.coverpages.org/KMIP/KMIP-v0.98-final.pdf * KMIP Usage Guide v0.98 http://xml.coverpages.org/KMIP/KMIP-UsageGuide-v0.98-final.pdf * KMIP Use Cases and Test Cases v0.98 http://xml.coverpages.org/KMIP/KMIP-UseCases-v0.98-final.pdf * KMIP FAQ http://xml.coverpages.org/KMIP/KMIP-FAQ.pdf
En ny version av OpenSSL finns nu ute att tanka hem från openssl.org som innehåller en mycket viktig säkerhetsfix:
Several functions inside OpenSSL incorrectly checked the result after calling the EVP_VerifyFinal function, allowing a malformed signature to be treated as a good signature rather than as an error. This issue affected the signature checks on DSA and ECDSA keys used with SSL/TLS.
Läs den fullständiga varningen: openssl.org/news/secadv_20090107.txt
Intressant att notera är även att det är Googles säkerhetsteam som hittat denna säkerhetsbugg.
En sårbarhet har identifierats i det förfarande som MD5 används tillsammans med signering av SSL certifikat. Genom att kombinera två äldre publika attacker:
Så har säkerhetsforskarna Alexander Sotirov, Jacob Appelbaum lyckats att skapa egna SSL-certifikat för godtycklig domän. De skulle exempelvis vara möjligt att skapa ett giltigt certifikat för swedbank.se med hjälp av denna attack. Dock så måste denna attack kombineras med någon annan attack mot exempelvis DNS.
We have identified a vulnerability in the Internet Public Key Infrastructure (PKI) used to issue digital certificates for secure websites. As a proof of concept we executed a practical attack scenario and successfully created a rogue Certification Authority (CA) certificate trusted by all common web browsers. This certificate allows us to impersonate any website on the Internet, including banking and e-commerce sites secured using the HTTPS protocol.
Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 ”collision”. Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.
HD Moore på BreakingPoint Labs har skrivit en lång och utförligt inlägg om detta: breakingpointsystems.com/community/blog/Attacking-Critical-Internet-Infrastructure.
Läs även:
HD Moore som är grundare av MetaSploit har lagt tid på att undersöka huruvida det är möjligt att få reda på det riktiga IP-nummret hos slutanvändare som använder sig av Tor. Resultatet är att det är möjligt om användaren inte använder sig av Tor+Torbutton+Privoxy.
Du kan testa själv om din Tor-konfiguration är säker genom att gå in på följande sajt:
http://metasploit.com/data/decloak/
”Decloak is unique in that it can obtain the DNS server addresses used by a web browser by combining the results of multiple application protocols into a single test”
Det finns nu ett lätt och säkert sätt att surfa anonymt. Detta sätt går ut på att en virtuell maskin används där anonymiseringsprogramvaran Tor är installerad.
Det som behövs göras är att VMWare Player laddas hem och installeras samt Ubuntu 8.04 Desktop och Tor VM. För ytterligare beskrivningar på engelska se janusvm.com/tor_vm
Detta är deras beskrivning på Tor VM:
Tor VM is a transparent proxy that routes all your DNS request and TCP traffic though the Tor network. The major advantage of running Tor VM is the protection you get from IP disclosure attacks that could leak your true IP address. Tor VM will not protect you from leaking personal information while in use; please take caution in protecting your personal identity and information by not sending it across the Tor network. The use of encryption (HTTPS) whenever possible is highly recommended.
Alltså, den främsta anledningen till att använda Tor VM för anonym surf är att ditt riktiga IP döljs lite extra eftersom en virtuell maskin används.
Vidare läsning: mjukvara.se/surfa-anonymt
Adobes senaste teknologi som går under namnet AIR som låter utvecklare skapa applikationer i HTML eller Flash som sedan kan köras direkt på användares skrivbord utan tillgång till webbläsare får nu stöd för kryptering.
Enligt Adobe är detta en av nyheterna i Adobe AIR SDK 1.5:
Database encryption.
Database files can be encrypted in AIR 1.5. All database content, including the metadata, can be encrypted so that the data is unreadable outside of the AIR application that encrypted it. This feature will allow a developer to encrypt, decrypt, and re-encrypt database files. See Storing encrypted data.
Även så kan vi läsa detta:
AIR uses DPAPI on Windows, KeyChain on Mac OS, and KeyRing or KWallet on Linux to associate the encrypted local store to each application and user. The encrypted local store uses AES-CBC 128-bit encryption.
Mycket välkomnande!
