Taggat med: Moxie Marlinspike

Facebook Messenger blir krypterat

Facebook börjar nu sakta men säkert att rulla ut kryptering direkt mellan användare, så kallad end-to-end kryptering. Tidigare har enbart meddelanden mellan användaren och Facebooks servrar varit krypterade (med MQTT + över TLS?).

Enligt en källa till Wired så baseras den nya krypteringstekniken på Signal-protokollet som är utvecklat av Moxie Marlinspike och Open Whisper Systems.

Tyvärr så måste användaren själv göra ett aktivt val för varje konversation att End-to-end kryptering ska användas.

Men självklart ett steg i rätt riktning för Facebook Messengers alla 900 miljoner användare. Även så släppte Google sin nya app Allo som fungerar på liknande sätt där Google mixar end-to-end kryptering i en och samma app vilket kan göra det svårt för användare att urskilja om kryptering verkligen används.

Att Facebook väljer att göra det till ett val för användaren att slå på kryptering beror troligtvis på att företaget inte vill ha problem med amerikanska myndigheter.

Nätaktivisten och säkerhetsforskaren Christopher Soghoian skriver på Twitter:

Eftermiddagen Next Generation Threats 2014

Detta är del två av vår sammanfattning av konferensen Next Generation Threats som anordnas av IDG TechWorld. Del ett kan du läsa här.

Marion Marschalek, How would you find what you can’t see?

Börjar med att berätta om malware-historia och olika typer av malware såsom trojaner, virus, maskar etc. Sedan om historien för att upptäcka malware genom exempelvis checksummor. Efter ett tag så lämnade man checksummor och gick över till signaturer som identifierade delar av filer och nu används en mängd olika metoder såsom vitlistning, heuristik, beteenden och information från molnet.

Endpoint-säkerhet i antivirus-produkter blir allt bättre och kontrollerar USB-minnen, URL:er och E-post exempelvis. Klientsystem blir uppkopplade och kontrollerar information i realtid mot molnet.

Marion berättar att Zeus är hennes favorit inom skadlig kod ”old but gold”. Hon berättar att antivirus har en detection-rate på cirka 40% i dagsläget vilket är lågt.

Det finns ingen universiell lösning utan det är flertalet saker som måste tänkas på. Minimalistiska system, håll koll på loggar och anslut inte överallt på internet.
Håll koll på alla anslutningar i ditt nätverk. Att antivirus skulle vara dött tycker Marion inte stämmer.

Robin Blokker, VIP security, digital attacks and defenses

Berättar om att FRA jobbar med informationssäkerhet samt signalspaning. Robin jobbar på en avdelning som testar säkerheten i samhällskritiska system på uppdrag av myndigheter och statligt ägda bolag.

FRA försöker att göra säkerheten i Sverige bättre. Det är inte lätt men några små steg i taget så blir det bättre och bättre med åren. Om det är en sak som Robin
rekommenderar så är det att sätta på utlåsning av konton vid misslyckade lösenordsförsök.

Organiserad brottslighet står bakom det mesta dåliga som syns på internet såsom spam och liknande. Det FRA är oroliga över är dock statliga aktörer som är svårare att upptäcka.

Hur genomförs attackerna?

Genom exempelvis waterhole, återanvändning eller stöld av behörigheter. Spårning och identifiering av administratörer på nätverk. Skapa en fälla genom att exempelvis gå till en administratör med en trasig dator eller liknande och berätta att det ej går att logga in. Då försöker administratören logga in med admin-behörigheter som du kan spara undan.

FRA varnar för administratörer: Alla måste byta lösenord ofta utan admins.

Gränsen mellan företagets datorer och dina privata suddas ut.

Använd inte admin-konton överallt. Upprätta ett administratörnätverk där det finns klienter för administration och att enbart dessa används. Vore bra om alla använde biometri istället för lösenord eller 2FA men Robin är nöjd om användare börjar med passphrases istället för passwords.

Moxie Marlinspike, End to end encryption for everyone

Börjar med att berätta om amerikanska actionfilmer och att amerikanerna är underdogs i filmer såsom Rocky, Hunt for red october och Top Gun. Poängen verkar vara ”power vs people” där NSA är onda i exempelvis filmen Enemy of the state. Sen på 2000-talet så börjar det handla om terrorister och det blir mer åt ”vi mot dem” hållet igen.

Hackers DNA kommer från filmer och tittar vi på filmer som släppts nyligen så handlar det mycket om ”power vs people” samt så nämner han Hunger games.

När Moxie började utveckla mjukvara för säker kommunikation så tittade han på PGP vs. OTR. Svårt att använda kryptomjukvara såsom PGP där manualer är ofantligt stora
och krångliga för nybörjare.

Vi måste titta mot OTR men det blir problem såsom flertalet enheter samt extra handskakning. Sessioner är flera år långa och det ställer till problem.

Axolotl är ett nytt protokoll som dom har tagit fram som gör en trippel Diffie-Hellman. Det finns inga power-users, det är inte som PGP samt användaren behöver inte veta vad en nyckel är.

Allt som Open WhisperSystems utvecklar är öppen källkod.

Diskussioner om Truecrypt uppstår och Runa A Sandvik säger att projektet är temporärt dött, många i publiken verkar fortfarande använda det. Moxie vill rätta sig
angående att PGP är utdött och säger att det är bra för att skicka krypterade filer.

Åsa Schwarz, Into the future of IT security

Tid att upptäcka intrång i organisationer blir inte snabbare men tiden det tar att göra intrång går snabbare. Detta beror på att vi är människor och vi ser olika på
säkerhet. Exempelvis så ser en tekniker och en säljare olika på säkerhet.

Säkerhet måste finnas med i utvecklingsspåret samt risk managment. Användare är för snabba och företagen hänger inte riktigt med: nya appar och telefoner etc hela tiden.

Säkerhet måste även vara användarvänligt och stödja affären.

Windows 8 lösenord, RC4, Google Wallet och MSB

Vi sammanfattar här några av de nyhterna vi tweetat ut de senaste dagarna:

Du följer väl oss på Twitter? https://twitter.com/kryptera

Kryptering till Android

Uppdatering: Företaget Whisper Systems finns ej längre utan går under namnet Open Whisper Systems: https://whispersystems.org/

Företaget Whisper Systems släppte nyligen sin produkt WhisperCore som krypterar den hårddisk (flashminne?) som återfinnes i Android-telefoner. Moxie Marlinspike som är medgrundare till företaget samt chefstekniker berättar att denna första betaversion av WhisperCore enbart fungerar på Nexus S.

WhisperCore användare AES (Advanced Encryption Standard) med 256-bit nycklar i XTS-läge, på samma sätt fungerar PC-hårddiskkrypton såsom TrueCrypt eller LUKS (Linux Unified Key Setup) säger Moxie.

WhisperCore är den första mjukvara som krypterar Android-telefonens innehåll. Sedan tidigare så erbjuder företaget även produkten RedPhone som gör att du kan ringa krypterade telefonsamtal via mobiltelefonen.

Krypterade mobilsamtal med Android

Mobiltelefoner som stödjer operativsystemet Android kan nu nyttja en ny programvara som gör det möjligt att göra end-to-end kryptering över mobilnätet.

Programmvaran heter RedPhone och är utvecklad av Whisper Systems med hjälp av Moxie Marlinspike i spetsen. Moxie är känd sedan tidigare för sitt arbete med att bl.a. hitta sårbarheter i SSL-protokollet samt Googlesharing.

RedPhone använder kryptot ZRTP som är utvecklat av PGP-skaparen Phil Zimmerman.

Se Whisper Systems hemsida: https://whispersystems.org/

Uppdatering: Ändrade länken till whisper systems