Datasäkerhet och Informationssäkerhet

Robert Malmgren AB

“Trust is good, control is better.”

2012/06/15

Landat

Man vet att man har världens bästa kollegor, när man kliver av planet, slår på sin mobiltelefon och snabbt får uppköade SMS med meddelandet "skynda dig till hotellet. Vi har öl. och zerodays att visa." Respekt. 2012/03/05

Porträttet: Öppenkällkodsexperten Andreas Jonsson

Tidningen TechWorlds startar är 2012 en ny artikelserie "porträttet" där de intervjuar framstående IT-tekniker. Först ut är vår Andreas som har blivit uppmärksammad!

Andreas i techworld

Det hela tycker vi på ROMAB är grymt kul! Vi vet ju sedan länge, länge att han är en klippa, och nu kan andra också fatta det!

Artikeln har funnits ute i papperstidningen ett tag, men nu finns den också ute i en version på nätet här


----
Written by Robban @ 2012-03-05 2012/03/04

History of Risks & Threat Events to CAs

While we're onto the topic of encryption, the CACert guys have started to compile a nice summary of large attacks on CA's, based on historical events. It's always good to double check your history when planing ahead.


----
Written by Robban @ 2012-03-04

Encraption 101

If you are a large news and media house, keeping up apperances as investigative journalists, and decide to announce to the world that you are reachable via PGP, we give you this as a pro bono consulting advice: Do not. I repeat, do not, include the private keys in the key file you published on your web page.

aftonbladet fail

For transparency and responsibility, we like to state that we have 1) contacted the responsible parties incl CERT 2) we dont show the full private key on purpose, although its "out there" already....

Maybe we can switch from encraption 101 to encryption 101 one day......


----
Written by Robban @ 2012-03-04 2012/02/14

Projekt "basecamp" och nya metasploitmoduler för PLC/SCADA-attacker

Vid SCADA-säkerhetskonferensen "S4" som gick i slutet av januari i Miami så presenterades basecamp-projektet, en aktivitet att praktiskt undersöka vilka säkerhetsproblem som finns i ett antal PLC-produkter. De presenterade aktiviteten och resultatet i januari. Resultatet var ganska nedslående, eftersom i princip alla produkterna var fulla med hål, vilket inte torde ha förvånat någon......

basecamp

Här ovan demonstrerar projektledaren Reid Wightman olika tricks med en av PLCerna.

Här nedan kan man se lite kommentarer från testningen mot en av produkterna, D20ME, när man utförde fuzz-tester eller enkla nätprotokollfingerprint-undersökningar. Och exakt så skakigt är det tyvärr.

basecamp

Och testerna mot PLCerna har varit ganska tuffa, vilket man kan se av omdömmena på följande bild...

basecamp

Efter att ha presenterat projektet och resultaten så har det nu även blivit dags att även släppa verktygen f ör att bruka och återupprepa just projektets resultat.

Dale Peterson från DigitalBond sa nyss på ders blogg: 

     "I'll be talking with Chris Jager of NESCO on a webinar next Tuesday about Project
      basecamp and the new tools and modules being released that day"

Det går i linje med det som projektledaren Reid för basecampprojektet sagt tidigare, att man skall släppa verktygen på "valentines day". Och nu är det så dags.

Det finns två blogginlägg på DigitalBonds webbplats om släppen:

I samband med S4-konferensen fick vi konferensdeltagare möjlighet att djupdyka i tekniken runt projektet, med testverktyg och PLC-utrustning att testa mot. Här håller vi kursdeltagare på och leker med de olika PLCerna som har ingått i projektet.

basecamp


----
Written by Robban @ 2012-02-14, some minor updates (language clarifications) 2012-02-16 2011/12/06

SANS SCADA Security conference

Förra veckan var det SANS SCADA Security conference i Rom, Italien. Det är fjärde året som konferensen hålls i Europa. Det är en relativt liten, okänd och exklusiv konferens. Drygt 100-talet deltagare. Själva konferenshotellet var nog det lyxigaste hotell som jag besökt - bl.a. hade den en restaurang som hade 3 stjärnor i Michelin-guiden.

Jag gjorde två dragningar. En om lärdommarna från Stuxnet och en annan om behovet av loggning och forensik i process-ITi, och satt i paneler rörande dessa.

En av de bättre dragningarna var från Thomas Brandstetter från Siemens produktcert. Han berättade om Siemens resa efter Stuxnet. Intressant, ärligt och lärorikt. Kul att höra att tillverkarna, särskillt de riktigt stora, kan lära om och göra rätt.

En annan bra dragning var från en säkerhetskille på tyska E.ON som beskrev säkerheten i fjärravläsningsutrustning (mätarna i din lägenhet) och varför iden med en Common Criteria Protection Profile var ganska korkad och missriktad. Främsta anledning till kritik var att "visst det är bra med formell uppsäkring av själva mätardelen, men resten av systemet då?". Kan bara hålla med honom i hans resonemang.


----
Written by Robban @ 2011-12-06

Bokrecension: Letters from Steve

Steve Jobs var en ovanlig person i att han som hög chef på ett multinationellt företag själv läste och svarade på mail. Inte bara till sina anställda och företagspartners, utan även från allmänheten. Denna bok sammanfattar ett antal mailväxlingar som han medverkat i.

Boken är en relativt kort Kindle-utgåva. Man läser ut den på en kväll. Den är smårolig, men inte någon vidare behållning.


Betyg: Svag 3a på en 10 gradig skala.
Titel: Letters from Steve. Inside the E-mail Inbox of Apple's Steve Jobs
Författare: Mark Milian
Sidor: okänt, men ganska få. Finns bara i Kindleversion
Pris: $5
Länk 1: http://www.amazon.com/Letters-Steve-Inside--mail-ebook

----
Written by Robban @ 2011-12-06 2011/11/22

Sandlådesnack på Internetdagarna 2011

Tobbe och Andreas kör precis nu ett snack om sandlådeteknik som säkerhetsmekanism i seminaripasset "Anonymiseringstekniker och säkra klienter". Med exempel från jails, chroot, zoner, AppArmor, SELinux och OSX seatbelt-modul. Mer detaljerade exempel ges på hur vi använt OSX sandboxar för att bygga IronFox mm. Desutom så går dom igenom COREs påstådda attack/hål i Apples sandbox, och visar hur detta påstående är felaktigt.

andreasochtobbe

OH-bilderna från dragningen finns här


----
Written by Robban @ 2011-11-22

Firefox add-on of the day: SSLPersonas

SSLPersonas is an interesting add-on that will add visuble ques to the firefox window layout and colors.

The add-on will give you a green, blue, orange or neutral window layout depending upon if you visit a site with Extended Validation cert, Domain Validation cert, bad content or something wrong in the page loaded with HTTPS, or a page without HTTPS access.

Get the add-on here


----
Written by Robban @ 2011-11-22

Användningen av SSL/TLS i Sverige

Vi har haft ett hobby-projekt och tittat lite på hur nätsäkerhetsprotokollet SSL (eller TLS) används i .SE-zonen, främst för webbtrafik. Dvs hur vanligt förekommande är det att alternativet "https" erbjuds istället för enbart den klassiska "http"-varianten.

Vi har tittat lite på statistik från EFF SSL Observatory som beskriver SSL-förekomsten i hela IPv4-adressrymden på det öppna Internet. För Sverige är det lite mer än 13k siter. Räknar man bort egenutgivna cert, utgångna certifikat, certifikat med trasiga tillitskedjor, certifikat för vissa specifika interna tjänster (citrix, webbmail), så återstår snabbt knappt hälften, ca 4400 webbplatser i .SE-zonen som erbjuder sina tjänster via SSL/TLS. Av totalt över 1.1 miljon. Det är knappt en halv procent (0.5%). Inte direkt imponerande siffror.

Vi har genomfört kontroller av ett antal webbar inom olika sektorer vid två tillfällen, en i början av året och en i slutet av året. Inga konstigheter (läs mixtrande med sidorna, hackande, pentest, edyl offensiva eller inträngande) aktiviteter har utförts, utan bara vanligt surfande mot http-varianten och sedan mot https-varianten (om sådan finns) och därefter kontroll av certifikatet, sidan och uppbyggnaden av sidinnehåll.

Eftersom vi valt betraktningsvinkeln "kan jag, om jag bryr mig om den personliga integriteten, min säkerhet som användare och mitt privatliv, nå webbtjänst X via SSL?", så tittar vi på SSL-användningen ur ett lite ovanligare perspektiv. Det vanliga upplägget är "SSL används när det finns pengar inblandade, tex e-handel eller e-banking", där motivationen är en annan - att skydda transaktionen. Motivet i vå kontroll var att se hur mycket tjänsteleverantörer eller demokratiska institutioner (politiska partier, fackföreningar eller media) egentligen avser att skydda sina webbesökare. Svaret på denna fråga är tyvärr mycket nedslående. Var de lite mer än 4000 webbplatser med certifikaten finns i .SE-zonen så är det i alla fall inte här. Inte på de vanliga åtkomstssätten för dessa webbsidor. Tråkigt tycker vi.

Här finns SweSSL-sidorna med beskrivning om projektet.

Här är en artikel i DN 2011-11-21 som beskriver det hela. Artikeln missar ett antal saker, bla så omnämns inte Andreas alls i artikeln trots att han också intervjuades. Det är lite extra tråkigt eftersom han är den stora drivkraften bakom projektet, vilket inte minst utmynnat i hans oförtröttliga arbete med HTTPS-everywhere regelsettet som en del av SweSSL-projektet.

Kopior av våra OH-bilder från Internetdagarna 2011 finns här


----
Written by Robban @ 2011-11-22 2011/11/21

Lösenordshantering, del II

När vi ändå är inne på lösenord, så kan vi tipsa om en till sak man inte skall göra: Anslut inte ditt SCADA-system till Internet och ha ett tre (3) tecken långt läsenord. Det. är. Dumt. Korkat. Tvärpuckat.

Fast det är tydligen så man gör i South Huston, Texas där deras vattenverk/vattenreningsverk blev hackat nyligen.

De kanske tänkte att epitetet "Dont mess with Texas" skulle skrämma iväg allt cyberbus...
----
Written by Robban @ 2011-11-21 2011/11/19

Bokrecension: Steve Jobs

Boken "Steve Jobs" av författaren Walter Isaacson är den officiella biografin och levnadsbeskrivningen av Steve Jobs.

Det är en intressant bok om en av samtidens mest intressanta personer, oavsett om man tittar på datorvisionären Jobs, affärsmannen Jobs, världsförändraren Jobs eller människan Jobs. Historien börjar med uppväxten som fosterbarn i Kalifornien.

Med fötterna i 60-talets hippierörelse och med med närvaron i Kaliforniens begynnande hi-techindustri, så kunde Jobs tillsammans med kamraten Steve Wozniak skapa en enkel dator som de uppvisade för vännerna i "homebrew computer club". Den affärssinnade Jobs ville tvärtemot Wozniak sälja datorn som en färdig produkt, inte låta andra ta del av ritningar, komponentlistor eller programvara fritt.

Fokuset för Jobs är på produkten. Att skapa en perfekt produkt. En produkt som tilltalar användaren. En produkt som inte stör eller irriterar användaren. Kommentarer och citat som ofta återkommer i boken är att andra personer inte förstår användaren eller fokuserar på produkten. Scully som tas in från Pepsi Cola, först som en frälsare, men blir sedan alienerad och ihågkommen som en krämare som bara tänker på vinst och pengar. Det finns något fascinerande och intressant att ett av världens högst värderade företag inte prioriterar ekonomisk framgång utan sätter produkten i centrum. Att det verkligen är så i företagskulturen internt på Apple finns det andra som vittnat om, exempelvis den norske utvecklaren som stod bakom Siri. Det finns ju liknande företagsklimat i andra extremt framgångsrika IT-företag, exempelvis Googlei, och Pages klassiska utsago i formaliapappren vid börsintroduktioneni "Google is not a conventional company. We do not intend to become one" och deras fokus på långsiktiga och visionära mål snarare än kortsiktig finansiell avkastning.

Jobs personlighet verkar komma från ett livslångt sökande, sprunget av det faktum att han var ett adoptivbarn. Han har sökt efter andlighet och fastnat för budism. Denna budisms asketiska livsstil, kombinerad med hippirörelsens antimaterialism, satt starka spår i Jobs, främst i hans estetik. Allt skulle göras simplistiskt och stilrent. Detta syntes i de produkter han var med och skapade.

Förutom arbetet på Apple belyses hans tid som avpoletterad Apple-VD, och där han istället startar arbetsstationstillverkaren NeXT, och kort därpå köper loss LucasFilms dator- och animeringsavdeling och skapar Pixar. Pixar utvecklar flera lysande filmer och slår giganten inom området, Disney, på deras hemmabana. Detta resulterar senare i att Disney köper Pixar av Jobs, i form av aktier. Jobs blir Disneys enskilt störste aktieägare. Apple Gil Amelio tar in Jobs och med honom NeXT för att komma tillbaka på banan efter en lång tids utförsrustch. Det innebär en nydaning för såväl företag och Jobs.

Jobs relation till vänner, tidigare flickvänner, släkt, fru och barn avhandlas också. Han har ett ansträngt förhållande till flera, inte minst sitt äldsta barn, en dotter som han i princip förskjutit vid födseln och sedan sparsamt haft kontakt med. Att Jobs inte är en känslosam person som visar empati och inte heller har stark social kompetens framgår tydligt.

Det är en bild av en extremt fokuserad och känslokall person som växer fram. Han skäller ut och är ett svin mot sina närmaste, men han kan vara en charmör mot en person han aldrig träffat. Ofta ger han omdömmet "skit" om saker. Han sågar saker med fotknölarna. Tar man det rätt, låter tiden gå och har tur, så kan det hända att Jobs själv kläcker samma ide några veckor senare. Han har utvecklat en hemkokt härskarteknik som vissa stär ut med, medans andra stöts bort. Jobs filosofi är att bara A-lagspersonerna har rätt att jobba på Apple. Når man inte upp till denna klass, så har man inget pä Apple att göra.

På liknande, osmickrande sätt sätt lyfts vissa pengamässiga incidenter fram. Att Jobs nog lurade Wozniak på en bonus redan tidigt i deras samarbete när de jobbade för Atari. Eller att några av de tidiga Appleanstälda blev blåsta på aktieposter. Att den officiella och sanktionerade Jobsbiografin ger en så osminkad bild är en av bokens stora styrkor.

Jobs olika möten med Bill Gates återges i boken. De två har öden som sammanflätats: Apple II var den första plattform för vilket Microsoft utvecklade applikationsprogram. Microsoft vägrade utveckla för NeXT-plattformen, vilket väckte Jobs vrede. Senare när Apple var på fallrepet efter Scully, nu med Gil Amelio vid rodret på väg ut och när Jobs återkommer så investerar Microsoft 150 miljoner. Fram växer en bild om två totalt olika världsuppfattningar. Bilden blir extra intressant då Gates framstär som personen som är öppen för att sprida sitt system till allt och alla, medans Steve Jobs skall ha total kontroll över hårdvara, mjukvara och innehäll.

En intressant betraktelse om boken är att huvudrollsinnehavaren, enligt uppgift från författaren Isaacson, aldrig läste texten om honom. Det enda i bokprojektet som han blandade sig i var bokomslaget, som han krävde att få fullständig beslutanderätt över. Titta på bilden nedan. Man kan verkligen se att det är Jobs estetik. Stilrent, enkelt, något som sticker ut från massorna. När såg du ett omslag som inte hade en baksidestext sist?

stevejobs_book

Det finns ett efterord skrivet av Jobs själv. Det är rakt, osminkat och ärligt. Det går att förstå att han velat få boken skriven så att hans barn kan bekanta sig med sin far. En person som var upptagen med att förändra världen. En person som hade liten tid över för familjen. Det är en stark text. Det är en röst från andra sidan graven.

Boken handlar om en av 1900-talets och 2000-talets centrala IT-personligheter och affärsmän. Det är en fascinerande berättelse om hur inte bara datorindustrin påverkas och revolutioneras, inte bara en gång utan flera - först med persondatorns intåg och sedan med post-PC-erans introduktion av pekplattor. Även den gigantiska påverkan som Jobs haft inom andra områden är ytterst pätaglig, fär att inte kalla det revolutionerande: Musikindustrin. Filmindustrin. Telekomindustrin. Detaljhandeln. Införandet av Applestore:s har satt nya standarder för hur man bedriver slutkundsförsäljning över disk. Applestore i NewYork är den butik i staden som har högst lönsamhet per affärsyta. Få eller inga andra personer under vår livstid kommer ha en sådan genomslagskraft eller betydelse för multipla industrier.

Betyget på boken blir 6 av 10. Historien den tecknar, och det osminkade porträttet förtjänar egentligen ett högre betyg. Men det lyser igenom mellan varven att boken fick avslutas hastigt, då Jobs avled plötsligt och före avsatt utgivningsdatum. En del text verkar vara klippt-och-klistrad mellan kapitel, då de är ordagranna meningar som man läst tidigare. En annan intressant ledtråd om att det gick snabbt på slutet är att det häromdagen om ett mail från Amazon.com som omnämde att det fanns en uppdaterad version av e-boken att hämta. I den nya versionen skall en del rättningar och fulheter i bilder och annat fixats till.


Titel: Steve Jobs
Författare: Walter Isaacson
Sidor: 656
ISBN: 978-1451648539
Pris: $18 ($14 i kindleversionen) ~200kr från nätbokhandlare
Länk 1: http://www.amazon.com/Steve-Jobs-Walter-Isaacson/dp/1451648537

----
Written by Robban @ 2011-11-19

Lösenordshantering, del I

Säkerhetsfrågan, som är en återkommande spalt som jag skriver i en branschtidning, var i senaste nummret av tidningen "Det har varit mycket skriverier om lösenord nyligen. Vilka risker och vägar framåt ser du?". Den kom in under rubriken Dags att vässa dina lösenord, vilket väl stämmer, men är inte en heltäckande beskrivning, för vi vill ibland gå ifrån lösenord helt, till förmån för andra autentiseringsmekanismer.

Som alltid är det svårt att uttrycka sig på 3000 nedslag, men i en egen blogg kan man sväva ut lite mer, lägga in referenser och resonenemang. De viktigaste budskapen är:

Lösenordsdumpar, både klartextvarianter och i form av olika varianter av hashvärden dyker upp titt-som-tätt. Exempel på några klassiska dumpar är

Förutom exempel på incidenter, informationsläckage, SQLi-attacker och liknande, så kan vi peka på lite tips från andra håll, hur man skall hantera sina lösenord:

Om man nu följer råden ovan, testar sina lösenord i testsnurrorna och där får grönt ljus. Har man då skapat ett säkert lösenord? Svaret är, tyvärr, det beror på.... Inte minst sådana enkla förutsättningar som om du råkat välja nått som redan någon annan använt som lösenord, och om detta läsenord glidigt iväg med någon lösenordsdump och knäckts (eller redan var i klartext).

För dem som, mot förmodan, fortfarande inte tror det är lätt att hitta lösenord från hashvärden ger jag några exempel på klassiska missar som gjorts, och så listar jag verktyg som är användbara, och som ingår i alla angripares standardverktygslåda:

Klassiska, statiska flergångslösenord är en död teknik. Det har sagts förut. Det tål att sägas många gånger till...

Om man inte redan har fattat det, så finns informationen som beskrivs ovan redan på Internet. Bad guys använder den idag. Det är ingen ide att gnälla om att vi tillhandahåller verktyg eller kunskap om hacking. Ovanstående skrivs för att good guys skall fatta var skåpet står. Om man får för sig att gnälla på den här texten pgr att den lär ut offensiv teknik, så tillhör man kategorien personer som aldrig kommer se var skåpet står. Antagligen så hänger skåpet i en skör tråd ovanför huvudet....


----
Written by Robban @ 2011-11-19

Sociala medier

Idag skall vi lista lite läsvärda texter om samtidens stora hype, de sociala medierna.

The Social Graph is Neither är en väldigt intressant filosofisk text om Sociogram, social grafteori, sociala beteenden och hur man mappar sociala skeden med programkod. Den innehåller nyktra iaktagelser såsom


En annan text är en artikel i USAToday som var ovanligt faktaorienterad handlade om hur företagen bakom de sociala mediatjänsterna samlar mer och mer information om oss, även utanför deras ordianrie domän - deras plattform då vi är inloggade hos dem. USAToday: How Facebook tracks you across the Webb


----
Written by Robban @ 2011-11-19 2011/11/18

Coffee table books, part II

More articles in the interesting serie Large books with nice photographs taken by pros.


coffee

Old computer hardware. Stylish Nice photos. Blowups on geeky details. Nerdvana.


----
Written by Robban @ 2011-11-18 2011/11/16

Coffee table books, part I

All offices must have some fancy books at the coffee corner. Large books with nice photographs taken by pros.


At ROMAB, we have weird habits. This is reflected by our selection of cofee table books. This book is about catastrophes. Natural or artificial. Based on technology or man.

coffee

Learn from history. Or live to repeat it.


----
Written by Robban @ 2011-11-16

The EULA From Hell

Just admit it. You will not read that end user license agreement in full. On that tiiiiny weeeny screen. never. ever.

screenshot

Agree feels like an escape compare to that next page button. 66 pages of bullshit. Also availabe via mail. If you are crazy.


----
Written by Robban @ 2011-11-16 2011/10/28

Bokrecension: In The Plex

Boken "In the Plex" av författaren Steven Levy skriver historien om Google. Med fokus på personerna bakom företaget och företagets olika utvecklingssteg så växer en spännande historia fram. Google:s historia är teknikhistoria som knyter in Internets utveckling och modern IT-utveckling. Inte minst så beskrivs idéer och tankar i utvecklingsprocessen och händelser som påverkat inte bara Google, IT-branschen utan något som hela världen påverkats av.

Levy, tidigare känd från mästerverk som "Hackers - heroes of the computer revolution" och "Crypto", har än en gång gjort ett mycket bra jobb med sitt berättande. Porträtten av personerna som jobbar på Google är intressanta. Företagskulturen, och då inte bara alla balla prylar på kontoret, utan mer det kreativa kaoset och den teknikerstyrda företagsutvecklingen, beskrivs väl. Googles dubbla ansikten täcks också in väl: Å ena sidan transparens, öppna system/öppen källkod och avstamp i akademin vad det informationsdelning, å andra sidan extremt hemlighetsmakeri och sekretess vad det gäller när företaget arbetar med nyutveckling av produkter eller hur man skaffar sig konkurrensfördelar.

Boken, som sträcker sig fram till slutet av 2010 beskriver mängder med produkter som Google tagit fram, och det arbete som skedde bakom kulisserna. Förutom det självklara sökfunktionen och vad som distingerade Googles väg jämfört med konkurrenternas, så täcks tjänster och produkter som Adwords, AdSense, Gmail, Google Earth, Google Maps, Latitude, Google Books, Google Apps, Google Plus, Android, Orkut, Buzz, molntjänsten med flera väl i berättelsen. Bakom alla de olika produkterna finns små intressanta historier.

En intressant bild som Levy målar upp är företaget som vågar gå egna vägar, som vågar utmana vedertagna absoluta sanningar, som vågar gå dit ingen annan gått förut. Det Google utmanar är både den tekniska utvecklingen såsom företagandets inbyggda logik att vinst alltid måste maximeras. En ständigt återkommande diskussion i boken rör "vad är bra för användaren?", vilket ställs mot sådant som kan ge bättre lönsamhet eller lösas på annat sätt tekniskt. I en tid då alla företag lägger ut sin IT-drift, säljer fastigheter och utkontrakterar funktioner, så väljer Google att bygga egna datorhallar, äga sin kommunikationsinfrastruktur och vara världens största datortillverkare. Och det är datorer som medvetet byggs med medvetet undermålig kvalitet. Istället för att köpa dyr hårdvara i form av största routrarna eller de mest avancerade servrarna, så har man valt att utveckla mjukvara som hanterar att moderkort, CPUer eller hårddiskar går sönder. Google har skapat en lösning där feltillstånd är en del av vardagen och att det system man byggt lätt identifierar sådant och kringgår de trasiga noderna för att hämta/bearbeta information i redundant noder. Denna inställning, som torde falla inom begreppet "resillient engineering" är intressant, framsynt och föredömlig. Inte minst eftersom det i boken hävdas att Google lyckas producera sina tjänster till en tredjedel av kostnaden jämfört med närmaste konkurrent. Kanske just de ekonomiska incitamenten kunde få beslutfattare att åtminstone tänka en gång extra på rotorsaken innan man huvudstupa slänger sig ut i nuvarande trender som utkontraktering eller att man alltid måste köpa dyraste prylarna.

Ledarskapsduon (och sedemera trojkan och därefter åter duon) Sergey Brin och Larry Page (Eric Schmidt är den tredje, under en period inhyrd VD) bakom Google ges stort utrymme. Deras personliga egenskaper beskrivs ingående, inte minst deras kompromisslösa inställning till skalbarhet, prestanda och våga sätta extremt ambitiösa mål - något som visat sig vara absolut nödvändighet för Googles utveckling. Inte minst eftersom det resulterar i en fokus på algoritmer och automatisering av alla tänkbara moment inom företaget.

Affärsmässigt så är det intressant att se hur transaktionsformen "auktioner" blivit en så central metodik för Google. Det används externt i deras tjäster för att sälja reklamplats till högstbjudande, men också internt för att skapa konkurrens eller incitament (omvända auktioner) mellan utvecklargrupper.

Utifrån ett IT-säkerhetsperspektiv så innehåller boken ett par intressanta passus om hur Google arbetar internt med frågan. Incidenten när Google får ett intrång som spåras bakåt till Kina och där man misstänker statlig inblandning är ett extra intressant stycke. Boken ger ganska stort utrymme till frågeställningar och Google:s ställningstagande runt hantering av personuppgifter och personlig integritet. Å ena sidan samlar man in extremt mycket information, å andra sidan jobbar man hårt på att bara tillåta program, inte tillåta anställda, få åtkomst till information, loggar, etc.

Bilden av en organisation som försöker leva upp till sitt motto "Don't be Evil" framtträder väl när man läser boken. Mottot skall visa såväl att man distanserar sig mot konkurrenter som använder sig av fula trick i affärer såväl som att man sköter sig när det gäller all den data som samlas in. "Förtroende" (eng. trust) från användare, myndigheter, forskning och andra är en av de viktigaste tillgångarna som Google kan skaffa sig. Efter genomläsning av boken så förstår man valet av motto och att det nog finns en passion bakom det. Dock så ser man samtidigt en bjässe med 20,000+ anställda, med massor av produkter, med närvaro på massor av marknader, vilket gör det svårt att i varje ögonblick verkligen nå detta mål. Avsnitten om de juridiska tvisterna runt monopolisering av marknaden (eng. antitrust), satsningen på Kinamarknaden eller osunda marknadsfördelar visar på just de dubbla sidorna av Google.

Man får hoppas att Google fortsätter att utvecklas i en stil som behåller kreativiteten, som medför nya banbrytande tjänster, och inte minst att man håller fast och styrs av mottot "Don't be Evil" i alla tider. Men frågan som måste ställas är vad som händer den dagen då Page och Brin inte längre styr bolaget. Eller i tider av ekonomisk kris. Vad händer då med all insamlad och bearbetad information? Kommer då användarens behov trumfa vinster?

Jobbar man med IT eller är intresserad av Internet och IT så får denna bok anses vara obligatorisk läsning.

Om man skulle sätta ett betyg på boken så skulle den få 9 av 10.


Titel: In the Plex
Författare: Steven Levy
Sidor: 432 (387 + referenser, etc)
ISBN: 978-1416596585
Pris: $15,74 (kindleversionen) ~180kr från nätbokhandlare
Länk 1: http://www.stevenlevy.com/index.php/books/in-the-plex
Länk 2: http://www.amazon.com/Plex-Google-Thinks-Works-Shapes/dp/1416596585

----
Written by Robban @ 2011-10-28 2011/07/05

Geekfood

I earlier wrote an blog entry about Nathan Myrrvolds "modernists cuisine", cook book. Well, now the man himself have done a presentation on the "making of" at the famous TED conference. And of course, the presentation is geeky, informative and wonderful!

Check it out at TED website

Also, the three authors of the book have made a small Q&A clip about their experience making the book. Watching the clip is also well spent time, if youre geeky. And like food.

More about the book at the Modernist Cuisine site

And a pointer to the earlier blog article can be handy.
----
Written by Robban @ 2011-07-05 2011/06/18

Att använda SSL eller ej

I min senaste krönika i ComputerSweden - "säkerhetsfrågan" så besvaras frågan "Jag tänkte sätta upp en ny webbserver och funderar på att använda SSL. Finns det något jag bör tänka på? Prestanda är en sak som oroar mig.".

Problemet med den typen av skrivelser i kolumnformat i en papperstidning är att man har max 3000 nedslag för att uttrycka sig, något som alltid känns lite väl klaustrofobiskt och för lite. Saker redigeras bort när man trimmar sin text, tankar poppar upp och läggs på hög någonstans i bakhuvudet "jag lägger till det om en stund", etc. Det finns helt enkelt mer man vill ha sagt än det finns textspalt. Så här kommer lite tillägg som kan vara av intresse om man läst originalinlägget i CS 2011-06-17

Till att börja med så kan det vara bra att ge lite pekare till bakgrundsinformation, såsom specifikationen till senaste versionen av SSL (TLS) protokollet, version 1.2. Det kan också vara på sin plats att påminna att inga säkerhetsmekanismer är felfria eller inte går att angripa eller manipulera. Man kan ju också klanta sig kungligt också och exponera sin känsliga privata nyckel också.....

Kommentarer som kunde funnits i artikeln härrör givetvis till kryptoegenskaper såsom nyckellängder och val av algoritmer. De klassiska avvägningarna gäller givetvis även i det här sammanhanget - desto längre nyckellängd, desto mer CPU-kraft. En annan sak som måste påpekas är skillnaden mellan symmetriska och asymmetriska krypteringsalgoritmer, där den sistnämnda används återhållsamt och enbart för att föra över en sessionsnyckel till det symmetriska kryptot.

En sak kan sägas direkt: symmetriska algoritmer såsom RC4 och DES med nyckellängder på 40-bitar (RC4) eller 56-bitar (DES) skall absolut undvikas. De erbjuder inte det skydd man behöver mot kryptoanalys som nyttjar modern hårdvara. 40-bitarsnycklarna är en nedskalad exportvariant av RC4 64-bitarskryptonycklar som togs fram och nyttjades under 1990-talet då export av krypteringsteknologi var likställt med krigsmaterielexport. 64-bitars nyckellängd kan också, rent allmänt anses erbjuda för dåligt skydd.

Vilken krypteringsalgoritm anväds då i SSL? Svaret är - det beror på. Det sker en initial förhandling mellan servern och klienten (såkallad handskakning) där man bestämmer vilken kryptosvit - vilket är en kombination av asymmetriskt, symmetriskt och signaturalgoritm samt vilken nyckellängd som skall användas.

Exempel på kryptosviter inkluderar: 

		TLS_RSA_WITH_AES_256_CBC_SHA256 - RSA-baserad nyckelutbyte med 256-bitars AES-kryptering och SHA256 som signeringsalgoritm
		TLS_RSA_WITH_RC4_128_MD5 - RSA-baserat nyckelutbyte med 128-bitars RC4 symmetriskt bulkkrypto och MD5 som signeringsalgoritm
		TLS_RSA_WITH_NULL_MD5 - Null-krypto där data skickas i klartext.

Ett sätt att filosofera runt detta ämne är att titta på vad som är i spridd användning idag. Electronic Frontier Foundation, EFF, skapade projektet "SSL Observatory" där de scannade hela adressrymden för IPv4 efter HTTPS-aktiverade webbservrar pÅ port 443/TCP. Resultatet sparades i en gigantisk databas, vilken man kan kolla vissa värden och certifikategenskaper mot.

En intressant fråga är att se vilken är den vanligaste signeringsalgoritmen som används. En SQL-sökning i EFF-databasen ger snabbt lite fakta. Se tabellen nedan 



                +--------------------------+----------+
                | Signature Algorithm      | count(*) |
                +--------------------------+----------+
                |  sha512WithRSAEncryption |        1 |
                |  sha1WithRSA             |        1 |
                |  md2WithRSAEncryption    |        4 |
                |  sha256WithRSAEncryption |       62 |
                |  md5WithRSAEncryption    |    29958 |
                |  sha1WithRSAEncryption   |  1503333 |
                +--------------------------+----------+

Motsvarande sökning i EFF's databas över de förekommande nyckellängderna för asymmetriska kryptot RSA ger nedanstående intressanta fördelning: 

		+------------------+----------+
		| RSA_Modulus_Bits | count(*) |
		+------------------+----------+
		| NULL             |       25 |
		| 511              |        3 |
		| 512              |     4165 |
		| 730              |        1 |
		| 767              |        1 |
		| 768              |       38 |
		| 1023             |      977 |
		| 1024             |   869402 |
		| 1025             |       14 |
		| 1026             |        1 |
		| 1027             |        2 |
		| 1028             |       10 |
		| 1032             |        1 |
		| 1034             |        7 |
		| 1042             |        2 |
		| 1048             |       14 |
		| 1080             |        1 |
		| 1152             |        1 |
		| 1204             |        5 |
		| 1212             |        9 |
		| 1234             |        8 |
		| 1280             |       11 |
		| 1369             |        4 |
		| 1536             |      144 |
		| 1538             |        1 |
		| 1543             |        1 |
		| 1548             |        1 |
		| 1800             |        7 |
		| 1825             |        1 |
		| 1924             |        3 |
		| 2009             |        1 |
		| 2010             |        1 |
		| 2014             |        1 |
		| 2023             |        1 |
		| 2024             |       22 |
		| 2025             |        1 |
		| 2028             |        4 |
		| 2038             |        3 |
		| 2040             |        8 |
		| 2043             |        1 |
		| 2045             |        2 |
		| 2046             |        5 |
		| 2047             |      145 |
		| 2048             |   564514 |
		| 2049             |        5 |
		| 2052             |        1 |
		| 2056             |       11 |
		| 2058             |        5 |
		| 2066             |        1 |
		| 2080             |        2 |
		| 2084             |        9 |
		| 2096             |        2 |
		| 2176             |        1 |
		| 2345             |        1 |
		| 2408             |        1 |
		| 2560             |        1 |
		| 3000             |        3 |
		| 3048             |       11 |
		| 3071             |        1 |
		| 3072             |      119 |
		| 3333             |        1 |
		| 3584             |        3 |
		| 3889             |        1 |
		| 4000             |        2 |
		| 4028             |        1 |
		| 4069             |       18 |
		| 4092             |        2 |
		| 4096             |    15574 |
		| 4192             |        1 |
		| 4196             |        2 |
		| 5120             |        2 |
		| 6095             |        2 |
		| 8192             |       38 |
		| 16384            |        1 |
		+------------------+----------+

Där man lätt ser att 1024 bitars RSA-nyckel är överlägset vanligast (~60%), följt av 2048-bitars (~39%) och sedan 4092-bitars (~1%).

EFF-databasen ger underlag till vad som används idag, men det man vill veta om man står i begrepp att skaffa SSL/TLS till sin webb vill man ju snarareveta vad som är bra imorgon och dagen därpå. På Som ett exempel har vi på ROMAB har vi använtt oss av ett 4096-bitars RSA certifikat.

512-bitars RSA-nycklar erbjuder sedan länge ett alltför dåligt skydd och skall inte användas.

Ett annat sätt att fundera över nyckellängder är att se vilka som kravställs i olika sammanhang. Exempelvis kan krav på SSL/TLS-version vara ställt om man hanterar kontokortsinformation, och att inte svaga kryptonyckellängder används.

EV-certifikat som rivs av ganska snabbt och enkelt i texten kan man motivera lite bättre - EV = Extended Validation, en de facto standard baserad på krav ställda mot certifikatutfärdarna, som beskriver på policynivå vilka krav som ställs vid singering av någons certifikat. EV-cert kan för vissa typer av webbplatser vara nägot som påvisar en högre grad av seriösitet hos webbplatsinnehavaren, då denne ansträngt sig extra för att på Internet kunna bevisa sin identitet.

Bilden nedan visar ett vanligt URL-fält från webbläsaren Firefox när SSL används. I vänstra delen av fältet visas domännamnet utskrivet på blå bakgrund.

URL bar with ordinary SSL certificate

Bilden nedan visar ett URL-fält från webbläsaren Firefox när s.k. EV-certifikat för skapande av SSL används. I vänstra delen av fältet visas företagsnamnet utskrivet på grön bakgrund istället för domännamnet.

URL bar while using an EV SSL certificate

En annan sak att tänka på är vad man sätter för namn på certifikatet, vilket "common name" som används, samt om man vill använda några "alternative names". Common name är ofta www.domän.se. En bra ide kan vara att sätta alternative name till att vara domän.se, sä att SSL fungerar för bägge varianterna, speciellt om ens webbserver faktist servar sidor om man ansluter med http://domän.se (och sedemera även skall fungera för httpS-varianten).

Artikeltexten om HSTS - http strict transport security känns också lite väl kort för min smak. Moderna browsers (i detta sammahang: Chrome, Firefox4) och vissa tillägg (noscript för firefox äldre än 4) har stöd för HSTS - vilket i dessa sammahang innebär att de tolkar rätt http-header och sparar state om HTTPS-tillgänglighet mellan besöken.

Men den mer relevanta och mer intressanta delen av HSTS-hanteringen sker på serversidan. Servern måste skicka en http-svarsheader enligt formen 



		 Strict-Transport-Security: max-age=15768000 ; includeSubDomains

som sedan tolkas av webbläsaren. Efter kolon-tecknet anges hur länge som webbläsaren skall komma ihäg att äteransluta via HTTPS, samt i detta exempel att även alla subdomäner (inte bara www.romab.com, utan sånt som www.labb.romab.com) skall också omfattas av regeln av att enbart ansluta via HTTPS.

Wikipediasidan om HSTS har mycket information om hur man får HSTS aktiverat i en mängd olika webbservrar, eller hur man skriver egen programkod php, javascript, mm som sätter http-svarskodsfälten.

Prestandadiskussionen blev också onödigt kort. Min kollega Andreas har gjort ett antal lysande prestandatester av vanliga webbservrar med olika uppmättningar av SSL som han presenterade i ett par tidigare bloggposter - och på konferensen optimera Stockholm. De bloggartiklarna (bloggpost #1 och bloggpost #2) förtjänar att puffas på lite extra i dessa sammahang.

Med väl webbservern uppe och snurrande med ett x.509-certifikat och SSL aktiverat, så är ett avslutande tips att använda Ivan Ristic:s utsökta on-linetest som finns tillgängligt från SSLlabs för att se hur väl ens SSL-kapabla webbserver är uppsatt.


----
Written by Robban @ 2011-06-18 2011/06/17

Happy birthday! - i.root-servers.net 20 years young!

Yesterday the nice people of Netnod, the operators of internet exchange points and DNS services, including the DNS root name server known as "i" where throwing a big party. The "i root" was the first root name server runned outside of the US. As Lars-Johan Liman - the "father" of the i root, pointed out in his speech, when the server first started, he could follow the logfile of all DNS queries on screen - it was at a rate at aprox 5 questions per second. Today that figure is quite alot higher - more along the line of 23000 queries per second.

There is something extra to sing "happy birthday" to, what initialy was an Sun3/50, and now is a distributed function with some ~30 servers around the globe.

In the picture below, Liman, Johani, Bygg and Hillbo, all real Internet old boys, sing Happy birthday!

liman et al sings happy birthday

Internet have come along way for the last 20 years. A big "congratulations" to all involved, especially the people who work tirelessly with infrastructure and keeping things working behind the scene.

i.root 20 year - the cake



----
Written by Robban @ 2011-06-17 2011/06/03

Har cyberkriget börjat nu?

Häromdagen var jag med i P1-programmet "konflikt" ett program som gick under rubriken "har cyberkriget börjat nu?". Det är ett välresearchat program där radions korrespondent i Moskva intervjuar folk på antivirusföretaget Kaspersky och amerikanska professorer och forskare inom krigsföring med IT-inslag.

Programmet har med avstamp i 2010 års Stuxnetincident, ett antal historiska SCADA-attacker samt de senaste månadernas olika IT-incidenter. Sedan blir det diskussioner med folk i studion, bla FRA-chefen, en av hans tekniska IT-specialister samt undertecknad.

FRA-chefen framför att de bedriver en ny typ av teknisk underrättesleinsamlig i ett nytt cyberförsvar. Man får tolka det som ett nationellt IDS-system, som inte bara skall kunna förvarna, utan även leda till "säkrare system". Och de framför slutsatsen att just giftemålet "SIGINT" och IT-försvar är en sällsynt lyckad kombination. Då jag jobbar med granskning, uppsäkring eller säkerhetstester inom samhäsviktig infrastruktur har jag viss erfarenhet inom området, om man så säger. Jag tror personligen inte på hans första påstående - att vi får säkrare system. Bara för att underrättelsetjänsten utför trafik- och innehällsanalys av IP-paket. Det ligger liksom i sakens natur att underrättelse och säkerhetstjänster INTE pratar öppet om säker systemdesign, säkerhetsarkitektur, etc. Och inte heller ger tekniska rekommendationer och detaljerade räd till exempelvis utländska börsnoterade företag. Då dessa organisationer ofta är inhyrda som teknikkonsulter till andra myndigheter i samband med tillsyn, så hamnar man också i knipan att man inte gärna kan sitta på rådgivarstolen och granskarstolen samtidigt.

Men en verklighetscheck visar att en betydande andel av de företag som äger och driver samhällskritisk eller samhällsviktig infrastruktur, eller är exportföretag av sådan teknik inte är svensk eller statlig. Inte heller att de finns i de områden som traditionellt omfattas av underrättelse och säkerhetstjänstens intresse - försvarsindustri, etc.

En annan fråga som togs upp som snabbast i programmet, men kunde ges mer belysning och utrymme är attributionsproblematiken. I Clifford Stoll:s klassiska bok "cuckoo's egg" (en hacker i systemet) beskrevs hur de jagade några som hoppade via 15-talet mellanliggande system för att nå slutmået. Alla systemen befann sig i olika delstater eller länder, allt för att ställa till ett juridiskt-administrativt helvete för det fall att nägon började efterspana angriparna. Angriparna har fördel bara av det faktum att utredarna mäste hitta rätt kontaktvägar och rätt juridiska tillständ (husransakan e dyl) för att bedriva undersökningen.

En av de få saker som man med full säkerhet kan säga baserat på allt som just nu händer i vår omvärld är att det pågår kapprustningar inom IT-baserad krigföring. Länder såsom USA, England, Kina och nu inte minst Iran både ser sig tvingade samt ser ett tillfälle att komma tidigt in i leken. Att vi är på väg mot ett nytt kallt krig är inte lika säkert, även om risken är överhängande.

En annan sak som kan sägas, med mindre säkerhet, men med statistiken talande för sig, är att IT-incidenter förtsätter att ske, att SCADA/ICS/processkontroll och liknande områden där IT är en bärande del, fortsätter att intressera personer som letar efter säkerhetshål i programvaror. Årets Blackhatkonferens verkar vara fullsmockad av olika talare som på ett eller annat sätt skall demonstrera angrepp på PLCer eller prata cyberkrig.

Länk till SRs webbsida om programmet finns via konflikts sida om programmet. Programmet finns även nedladdningsbart i MP3-format.


----
Written by Robban @ 2011-06-03 2011/05/05

ROMAB i full blom

Precis utanför kontoret har vi två gigantiska körsbärsträd. Under några få dagar varje ur så blommar de. Intensivt. Praktfullt. Och fullständigt hänförande.

ROMAB i full blom

Förutom de magnifika blommande träden är det intressant att iaktaga människorna som passerar förbi rondellen som härbärgerar träden. I princip samtliga som går förbi fiskar upp mobilen och förevigar stunden.

Titta på bilden. Det är lätt att förstå varför.


----
Written by Robban @ 2011-05-05 2011/03/26

Peka Djur 2.0

Tätt på utgivningen av Ironfox 1.0 tidigare i veckan, så har vi nöjet att släppa ytterliggare programvara!

Idag tog Apple in vår app "Peka Djur" version 2 på AppStore! Peka-apparna kom till tack vare att tobbe fick tillökning och tyckte att barnappar vore något att titta lite närmare på

Jämfört med version 1, så har denna version många nyheter och förbättringar.

En av de stora anledningarna till att vi håller på med apparna är att skaffa oss förstahandserfarenhet av utveckling för smartphones, hur själva releaseprocessen fungerar, hur Apple reagerar och hanterar små ISVs, etc.

Det är kul, lärorikt och har en och annan utmaning. Tillexempel kan vi lägga "rejected by apple" till våra CV:n. Det är mindre allvarligt än vad det låter. Vi skulle släppa en fix till 1.0-varianten, dvs 1.0.1, men en bugg hade smygit sig in, så appen fungerade på iPhone men krashade om man gjorde vissa saker på iPad. Det upptäckte Apple i sin "review process" vid antagandet till appstore. När mailet från apple kom med "application rejected" så var man lite arg och svor mellan tenderna om "godtyckliga refuseringar" och "idioti" - man hade ju läst en hel del om folk som fått nobben på olika appar. I efterhand kan man bara tacka John på app reviewavdelningen för mailet med en bra hjälpande text om varför appen inte godtogs, tillsammans med en översänd krashdump och allt. 


	"We have included additional details below to help explain the issue
	 and hope you'll consider revising and resubmitting your app."

Visst gjorde vi det - så vi tog Apple på orden. Och nu har vi nått nästa milstolpe - 2.0 ;-)


----
Written by Robban @ 2011-03-26 2011/03/22

IronFox 1.0 released to celebrate Firefox 4.0!

Today we release the 1.0 version in synchronization with Mozilla foundations Firefox 4.0 release!

Beside testing and porting our IronFox sandbox wrapper to work with Firefox, there are some other enchannsements, including additional support for plugins, for example the Nexus personal banking addon.

Get more information or download the 1.0 version here.

Andreas, Robert & Tobbe
The IronSuite Team
----
Written by Robban @ 2011-03-22 2011/03/18

https://www.romab.com, nu med stöd för HSTS

ROMABs webb är åtkomlig via både HTTP och HTTPS, och vi rekommenderar att använda den senare varianten, för att du som surfare skall veta att du nått till rätt plats.

Om man besöker ROMAB via HTTPS och har firefox4, firefox3 med modern NoScript-tillägg eller Chrome som webbläsare kommer man automatiskt att använda HTTPS vid alla återbesök. Detta görs med hjälp av HTTP Strict Transport Security eller HSTS som det också kallas.

HSTS är ett sätt att få webbläsaren att komma ihåg att en viss webbplats enbart skall besökas via HTTPS (SSL/TLS). Det trevliga med HSTS är att det är en av de där sällsynta tillfällena då säkerhet, användarvänlighet och ekonomi spelar ihop (normalt: välj två av tre. Alla tre går inte att få på en gång). HSTS är transparent för användareni (URLer skrivs om automatiskt).

HSTS är fortfarande en Internet Draft och stöd finns inte implementerad i alla populära webbläsare än. Men vi får hoppas att de som ligger på latsidan snart har fixat stöd också!

Som vanligt vad gäller webbsäkerhetsfixandet så är det Andreas som varit i görningen ;-)

Eftersom vi grävt djupt i hur folk använder (eller rättare sagt inte använder SSL) så kommer vi beskriva HTTPS, HSTS, certifikathantering, EV-cert, och SSL/TLS närmare i en kommande serie av bloggartiklar!


----
Written by Robban @ 2011-03-18

RSA har blivit hackat.

RSA, företaget - inte algoritmen, har precis blivit hackade.

Företaget EMC, som äger dotterbolaget och varumärket RSA har en allmän varningssida uppe på förstasidan av sin webb där de talar om hur riktad och avancerad attacken varit (givetvis buzzwordet APT) och att en av konsekvenserna av attacken är att inkräktarna kommit över information relaterad till deras token SecurID: 

    "Our investigation also revealed that the attack resulted in
    certain information being extracted from RSA's systems.
    Some of that information is specifically related to RSA's
    SecurID two-factor authentication products."
samt 
    "While at this time we are confident that the information extracted
     does not enable a successful direct attack on any of our RSA SecurID
     customers, this information could potentially be used to reduce the
     effectiveness of a current two-factor authentication implementation
     as part of a broader attack."

Det sägs inget närmare vad som stulits - specifik företagsintern information om själva produkten såsom källkod, designdokument, sårbarhetsutredningar. Eller kundspecifik information - vem som köpt vilka dosor, vilka serienummer och "seeds" de har. Bägge kategorierna är var och en för sig riktigt dålig, men kombinationen blir explosiv.

Man måste ju också ta sig en funderare på att det är en så högt uppsatt företagsrepresentant som uttalar sig, och att han pekar på att inga andra delar av koncernen eller produktportföljen är påverkade. Det är ju den förväntade hållningen och det förväntade meddelandet.

Om man i sin organisation använder RSA-dosor (det är en populär produkt, så många gör det) så lär det, förutom att snacka med sin EMC/RSA-representant (som kommer med snömos?), vara läge att skaffa mer information, bättre förstå när/var/hur SecurID används av organisationen samt göra någon egen konsekvensanalys och ev. jobba fram temporärlösningar.

SecurID token

Det är läge att påminna om 10 saker:

I sin officiella anmälan till SEC (tillsynsmyndighet) tror sig EMC att skadan inte kommer påverka företaget finansiellt. Det återstår nog att se.

För att läsa hela varningsmeddelandet, se här
För att läsa EMC:s info till SEC, se här
----
Written by Robban @ 2011-03-18 2011/03/14

Geekfood

From time to time one have to let out the inner geek. A good example of that is to cook food from your favourite game. At a geek gathering we brought the ingredients to cook Buzzard wings from World of Warcraft. Some other people cooked things like Mystery Stew. I also cheeted by buying chineese fortune cookies to simulate the in-game fortune cookies.

home cooked geek food

Some more hi-tech and costly geek food can be created by following Nathan Myrvolds receipes from the "modernists cuisine", arguable the worlds most expensive cook book.

home cooked geek food

More about the book at the Modernist Cuisine site
----
Written by Robban @ 2011-03-14

Världens första torg uppkallat efter en kryptolog?

I Kista norr om Stockholm pågå byggandet för fullt. Kista är känt som Sveriges Silicon Valley, med närvaro av alla stora elektronik och datorföretag som finns på den svenska marknaden.

En dag när jag passerade den relativt nybyggda Kistamässan så såg jag en skyllt som fångade mitt intresse och fick smilbanden att dra lite extra.

Plate describing the construction area of the Arne Beurling plaza

Arne Beurling är Sveriges genom tiderna mest kända kryptoexpert och den person som stod bakom forceringen av den algoritm och teknik som nazityskland anväde för sin strategiska samband mellan högkvarteret i Berlin och de olika utsprida armeerna. Systemet som Beurling knäkte kallades för g-skrivaren (geheimschrebier) och var en elektromekanisk krypteringsmaskin från Siemens.

Det är bara passande med ett sånt torg i Kista av alla ställen och man får gratulera exploateringskontor och alla andra inblandade till det lyckade namnvalet.

Mer information om Beurlings insatser kan man hitta i boken Svenska kryptobedrifter och på wikipedia.
----
Written by Robban @ 2011-03-14 2011/03/05

HTTPS-Everywhere & Certificate Patrol


Tip of the day is to use two excellent firefox add-ons called HTTPS-everywhere and certificate patrol. These small addons will help you use SSL and they will detect errors, attacks and strange things with SSL/TLS and related certificates at sites you visit.

HTTPS-everywhere is a set of premade rules that rewrites your URLs (and links in HTML documents that you click on) to use the HTTPS counterpart instead of plain text HTTP. This is useful, not from a security perspective, but from a integrity perspective. It will be hard for anyone snooping the net to record or analyse the content you are browsing. They will still be able to do certain types of traffic analysis, since they see the SSL tunnel. A simple example: One can see that you browse www.twitter.com, but they will not see which microblog you are reading. From observing the network traffic. Someone getting access to twitters logs, keyboard logging your PC or performing electronic shoulder surfing would still get it, of course.

Pro: Easy to install and use. It will not be in your way
Con: Lots of sites dont have SSL, so a smart helper program will not help anyway.

Certificate Patrol will keep an eye out for strange things witl the certificate. Like if the web site about to be visited have changed its certification authority since last visit, or if it is about to expire.

Read more about HTTPS-Everywhere at EFF.org and Certificate Patrol at the developers site.

----
Written by Robban @ 2011-03-05

eID

Det har varit en del tumult rörande svenska elektroniska identiteter på senare tid med både upprörda insändare och annat.

I ett debacel om eID där en tillsatt utredare tillsammans med en expertgrupp bestående av Fredrik Ljunggren, Leif Johansson, Anne-Marie Eklund-Löwinder, mfl finns i ena ringhörnan och vem som helst i andra ringhörnan, skulle jag varje gång satsa mina pengar på fredrik/leifj/amel & co. Faktiskt en nästintill tråkigt given utgång ;-)

Utredningens betänkande (SOU 2010:104) "E-legitimationsnämnden och Svensk e-legitimation" levereras utan konstigheter, och folk är i allmänhet positiva. Därefter uppstår ett kort och ganska upprört kritik mot den från i princip ett håll - ledningen för Sveriges kommuner och landsting, SKL.

VDn för SKL, Håkan Sörman levererar ett gäng ganska beska kommenterer i SvD-insändaren Fel tänkt om e-legitimation, där han i princip sågar allt jämsmed fotknölarna och påstår att att inga gillar förslaget.

Som svar på detta så kom en replik från utredaren, också på SvD brännpunkt under rubriken Kraven på marknadsaktörer är högt ställda.

Förutom det officiella svaret så finns även Kirei-fredriks blogginlägg i frågan där han på ett lungt och sakligt sätt på lite mer detaljnivå avfärdar kritiken i inlägget Fel tänkt av Håkan Sörman om e-legitimationer.

Därefter startar omgång 2 i boxningsmatchen, där Sörman lägger av en ny salva. Sörman kommer med en replik, som vid närmare analys är minst sagt intressant, speciellt om man ställer den i kontrast mot hans tidigare insändare. Under rubriken Skilj på e-identifikation och plastkort så går Sörman på offensiven samtidigt som han gör någon variant av reträtt. "We are advancing... in the other direction!", typ.

Om det är något som jag är 100%-igt säker på så är det att just expertgruppen har fullständig koll på just skillnaden mellan identifikation och platskort. De är ju sprungna ur internetvärlden och har tagit fram standarder samt levererat storskaliga, fungerande, lösningar på nationell och global nivå, inte suttit och rullat tummar.

Eftersom SvD:s insädarredaktion satt streck i debatten genom att kalla det "slutreplik" så kommer vi nog inte se något mer om det hela på SvDs debattsida. Däremot så har Fredrik på Kirei ännu en gång skrivit en bloggartikel. I inlägget Håkan Sörman gör en pudel visar han än en gång att expertpanelen haft paddlarna i vattnet och hjärnan påslagen, något som uppenbarligen inte Sörman eller hans (eventuella?) rådgivare haft...

Vi får se om det blir en följetång, eller om e-legitimationsämnden får lite arbetsro, så vi kommer frammåt, inte fastnar i tjaffs om saker som faktiskt utredningen tänkt på och jobbat in i förslaget.
----
Written by Robban @ 2011-03-05 2011/03/03

Föredrag om mobilitet och säkerhet för ISOC-SE


Den 24e februari höll jag ett föredrag om mobilitet och ett antal aktuella säkerhetsfrågeställningar för ISOC-SE:s (och inbjudna från föreningen SNUS) medlemmar.

Referat, bambuserinspelning och mer information om föredraget finns här
----
Written by Robban @ 2011-03-03 2010/06/25

Lots of activity in the world of DNSSec

The last weeks alot of things have happened in the DNSSec part of the world. The root (.) was signed last wednesday in a formal key signing cermony. Lots of people involved, among others Anne-Marie Eklund-Löwinder, Jakob Schlyter and Fredrik Ljunggren. Fredrik and Jakob have been seminal to make this all happen! And AMEL is one of the selected few to become a Chief Crypto Officer - thats way cool! Jakob have written a good article what this means for top level domains, now we have a signed root. There is even a video of the key signing cermony.

EurID, the registry for the .EU domain have announced that it have signed its zone and that it will be able to allow customers to use DNSSec in .EU. The maintainers of .ORG also say that they've enabled DNSSec, and one of the major news was that the organisation ISOC - internet society, was the first domain to be signed in the .ORG zone.

Get more information on the signed DNS root zone, or on DNSSec itself
----
Written by Robban @ 2010-06-25 2010/06/24

OWASP AppSec Research, day #2

The keynote for day #2 where Steve Lippner from Microsoft. He started out with a quick overview over the history of computer security from the 70's and onward, described how PC's and Internet changed the rules, before reaching the "Secure Windows Initiative" at 1999. During the Microsoft Security push era they did alot, besides the day-to-day work trying to secure the products, they tried to do some more strategic work including implementing the "security science" as an in-house research area. He described that the executive buy-in was surprisingly easy to get, when thinking about it in retrospective. Getting executive in, is essential if you gonna launch a programme that affects 30,000 developers in a large organization.

One of the most interesting things that described was that several thing in the initial SDL book didnt really work well in reality. They have reiterate and come up with several updates and have a programme where there are annual major updates of the method. The version 4.1 came out 2009, a version 5 came out early 2010, and version 5.1 of the SDL is planned to go live in october 2010. Other interesting news that Mr Lippner talked about was the "Simplified SDL" which focus on how to implement SDL in new organisations, and the refocusing of SDL to work better in Agile environment. I'm really thankful to Microsoft to beeing so openminded to make the SDL method non-proprietary and platform agnostic. Mr Lippner described that Adobe was one of the organizations that have adopted SDL. One of the questions from the public was "why does Adobe then have a really bad track record at security?". Mr Lippner's answer, which I see as honest and well balanced, was that Microsoft started to implement SDL in the beginning of 2000, but still was struck by code red and alot of more attacks - it was a long time from starting the initiative and harvesting the fruits from the labour. Comparing with Adobe, they just started in 2009, so they have a long road ahead.

One can read more on the SDL on the Microsoft on their SDL portal, MSDN description of the SDL process, or the SDL blog, a more in-depth description of the Simplified SDL

Pravir Chandra from Fortify software had an interesting presentation entitled "The Anatomy of Real-World Software Security Programs" on different secure development processes. Besides describing some of the step any security officer have to do to be able to sucessfully implement a program, he had some interesting comparisons on different models like Software Assurance Maturity Model - OpenSAMM, Microsoft's SDL, and the Building Security In Maturity Model BSIMM2

Some other guy managed to have a network sniffer running for the whole conference. Again, its really amazing to hear how much sensitive data that gets captured at a SECURITY conference......


----
Written by Robban @ 2010-06-24

IronSuite: IronFox 0.6.2 + IronAdium 0.2 released

We have release updated versions of our sandbox protected internet tools - IronFox (firefox 3.6.*) and IronAdium (Adium 1.3), collectivly called IronSuite.

Now, there is alot more documentation online as well, describing the Design philosophy and one rather extensive compilation of Frequently Asked Questions - FAQ as well as the web's first more complete description of the SandBox Policy Language - SBPL.


----
Written by Robban @ 2010-06-24 2010/06/23

AppSec Research, Stockholm

OWASP, the group that focus on security at the programming and implementation stage of software engineering, is holding a 2 day conference in a sunny Stockholm. Its held at the University of Stockholm in their new Aula Manga. Its a beutiful place, but it is built with one major drawback - no; NO! outlets anywhere in that humongous room....

The keynote where delivered by 2 people from Google: Chris Evans and Ian Fette. The keynote was entitled "Cross-Domain Theft and the Future of Browser Security". They talked about malware detection and protection with the Google blacklist initiative, and more interesting for us - they spend alot of time talking about sandboxing as a good security mechanism, how sandboxing is part of chrome, etc. Google seem to focus alot of their attention for protecting the client environment by sandboxing the render process in Chrome. The problem with this approach is that add-ons and extensions still might be unprotected.

The 2 most interesting other talks I attended during the day where Ivan Ristic talk called "How to Render SSL Useless" and Steve Ocepek and Wendel Henrique's talk entitled "Owning Oracle: Sessions and Credentials". Istvan describe 10 basic errors many sites have - many problems which errodes the trust that SSL/TLS is suppose to create for you.

The Oracle session was quite interesting, since they focused alot on demoing their attacks. They showed their home brewed tool "thicknet" and "vamp" to do some session hijacking. This is of course not something new in general - tools like hunt, juggernaut, ettercap, etc, have been doing this things for ages. The interesting part here is the decoding of the TNS, SQLNet and similar. The different cases they demoed included injecting SQL statements, downgrade attacks that forced old type DES encrypted passwords beeing sent and sniffed, and sniffing of windows challenge-response that got captured and cracked with your standard windows password cracker.

Ocepek and Henrique's tool, thicknet, can be found here


----
Written by Robban @ 2010-06-23

© 2006 Robert Malmgren AB

Validate XHTML 1.0 Strict

Email Webmaster

Photo Credit: Phil Edon