Taggat med: bruce schneier

Next Generation Threats 2015 förmiddag

Konferensen Next Generation Threats 2015 gick idag av staplen på Hotell Rival, Mariatorget Stockholm. Precis som förra året så sammanfattar vi dagen i två inlägg. Sammanfattningen av eftermiddagens pass kan du läsa här.

Bruce Schneier

Bruce Schneier – The future of incident response

Bruce börjar med att berätta om de riktade attackerna mot Sony. Att attacken upptäcktes berodde på att alla hårddiskar på nätverket raderades. Sony hade även problem att koordinera efter attacken för att telefonisystemet gick via internet.

Efter attacken så publicerades data från Sony, och gruppen som hackade Sony gav inga motiv till attacken. Fyra osläppta filmer släpptes av angriparna på Bittorrent-nätverket.

NBCNews spekulerade att det var Nordkorea som låg bakom attacken. 26 GB av data släpptes och angriparna gallrade informationen innan det släpptes för att göra så stor skada som möjligt.

Amerikanska regeringen går ut och skyller på Nordkorea också men många är skeptiska att det verkligen var Nordkorea som låg bakom men Bruce tror att det var Nordkorea. Och en av hans anledningar är att NSA spionerade på Sydkorea som spionerade på Nordkorea.

Lägg inte dina lösenord i klartext i en textfil som heter lösenord.txt

När det gäller cyberkrig är det svårt att veta vem som ligger bakom en attack. När det gäller fysiska attacker så är det lätt att se om en pansarvagn står i parken, för då är det troligtvis en militär förmåga bakom.

Bruce Schneier är till vardags CTO på Resilient Systems men har en lång historik i kryptovärlden då han bl.a. skapat Yarrow och Blowfish samt skrivit ett antal böcker.

Joanna Rutkowska – Trust in the computer

Joanna

På våra datorer finns det mängder av olika beroenden såsom GPU, CPU och USB. Exempelvis genom att plugga in en USB-sticka i din dator så körs mängder av kod i din kernel.

Separeringen som finns i X86-cpun har aldrig haft en sårbarhet som gjort det möjligt att ta sig förbi separationen. Även din hårdvara har massor av firmware, minst 10 stycken olika firmwares finnes i din dator som Joanna räknar upp. Hur kan du lita på denna firmware och har vi något val att inte lita på denna firmware?

Majoriteten av hårdvaran i din dator tillverkas med största sannolikhet av Intel. Ett axplock av suspekta funktioner som Intel gör:

  • Intel Management Engine (ME)
  • Intel Authenticated Code Modules (ACM)
  • Intel Firmware Support Package (FSP)

Även berättar Joanna att det inte finns OpenSource BIOS:er på modern hårdvara. Det kanske var så fem sex år sedan. Litar du på den binära blobben du laddar in från Intel?

Intel har byggt säkerhetsteknologier såsom TXT (Trusted Execution Technology) men tyvärr så går det fortfarande att använda SMM (System Management Mode) för att kompromettera säkerheten.

Efter ett tag så fixar Intel några av säkerhetsbuggarna i SMM och tar fram SMI Transfer Monitor (STM) istället, men tyvärr så har STM inte fått stor genomslagskraft ännu.

All modern Operating Systems are broken/untrusted

Joanna Rutkowska är grundare av Invisible Things Lab och Qubes OS Project.

Vi väljer att ej sammanfatta sponsrade föredrag från Intel och HP.

Next Generation Threats 2015

Next Generation Threats 2015

Snart är det åter igen dags för IT-säkerhetskonferensen Next Generation Threats som detta år har temat identitet.

Konferensen arrangeras av IDG TechWorld den 22:a September (Stockholm) och har en mängd intressanta talare på sin lista. Schneier hade keynote på Blackhat för några år sedan och är mycket intressant.

Lokalen är Hotel Rival och årets inriktning beskrivs enligt följande:

Vi har ett kritiskt problem. Låt oss kalla det en identitetskris, bokstavligt talat. Det finns i dagsläget ingen metod att hundraprocentigt fastställa identiteter i den digitala sfären. Identiteter kan ändras, maskeras eller tas bort och nya skapas. Det finns en mängd tekniker och metoder för att försöka verifiera användare, men ännu ingen som är fullständigt vattentät. Hur hanterar vi detta och hur ser hotbilden ut?

Och om du mot förmodan inte skulle bo i närheten av vår huvudstad och har närmare till Göteborg så gäller den 23:de September samt lokalen Biopalatset.

Vi kommer givetvis att rapportera direkt från konferensen på Twitter samt här på bloggen för den som inte kan närvara (precis som förra året).

Diverse kryptonytt: iPhone, WEP, Tor, PFS, OpenPGP JavaScript

Här kommer en kortare länksammanfattning om det som vi twittrat om på sistone:

McAfee släpper topp 10 säkerhetstips för iPhone. Ladda hem PDF här.

Säkerhetsföretaget Immunity med före detta NSA-anställde Dave Aitel som grundare släpper ett verktyg som underlättar angrepp via WiFi med hjälp av WEP. Video hittar du här.

Tor berättar på sin blogg hur du kan använda Amazon EC2 för att köra din egen Tor-bridge i ”molnet”. Se även Tor Cloud sidan.

Google börjar att använda elliptiska kurvor för att skydda trafik via HTTPS. Mer specifikt så använder de ECDHE och RC4 vilket också möjliggör PFS eller (perfect) forward secrecy. Google har även bidragit till att OpenSSL-biblioteket stöder detta, se här.

Bruce Schneier som talade på konferensen Internetdagarna i veckan tipsar även om en gratis kryptokurs på Stanford.

Slashdot tipsar om att OpenPGP nu finns implementerat i JavaScript vilket gör det möjligt att köra i webbläsaren på godtycklig webbsida. Ett bra exempel är att använda tillsammans med webbmail såsom Google Mail. Implementationen går under namnet GPG4Browsers. Även så har SecWorks skrivit utförligare om detta.

WikiLeaks Insurance

Den kontroversiella sajten WikiLeaks har lagt upp en mycket stor krypterad fil vid namn Insurance. Filen är på 1.4 GB och tros vara krypterad med AES 256. Varför WikiLeaks har släppt filen krypterad tros vara för att de vill se till att filen sprids via exempelvis Torrent-nätverk och när filen blivit spridd så kommer nyckeln att släppas. Eller så är det för att om WikiLeaks grundare Julian Assange skulle gripas så kommer nyckeln att släppas.

Bruce Schneier har även bloggat samt The Register och Wired.

Ny attack mot AES

Fem kryptoforskare vid namn Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich, samt Adi Shamir har hittat en ny attack mot AES. Attacken går ut på en såkallad related-key attack då bl.a. klartexten måste kännas till. Denna attack gäller bara 11-rounds av AES-256 varav det som rekommenderas är 14-rounds.

Kryptoexperten Bruce Schneier skriver följande:

Cryptography is all about safety margins. If you can break n round of a cipher, you design it with 2n or 3n rounds. What we’re learning is that the safety margin of AES is much less than previously believed. And while there is no reason to scrap AES in favor of another algorithm, NST should increase the number of rounds of all three AES variants. At this point, I suggest AES-128 at 16 rounds, AES-192 at 20 rounds, and AES-256 at 28 rounds. Of maybe even more; we don’t want to be revising the standard again and again.

Här kan du läsa all information: http://eprint.iacr.org/2009/374