Johan Brinch

Hackersagen dag 8: Strid om krypteret container

Det er noget vagt forklaret i artiklen: "TrueCrypt-containeren blev åbnet af svensk politi. Svenske Jesper Blomström har i retten i dag forklaret, at Windows-systemet under visse omstændigheder skriver nøglerne ned til containeren. Ud fra disse er det lykkedes svensk politi, at gå baglæns ud fra nøglen og dekryptere containeren."

Det kan f.eks. skyldes en ukrypteret swap-fil, men jeg mener, at TrueCrypt anbefaler og supporterer at kryptere swap data.

Ellers ved jeg det ikke lige. Kan dataet ligge ubeskyttet andre steder i root? Suspend-to-disk bruger vel swap.

24. september 2014 kl. 14:16
Datalog overhaler det offentlige med egenudviklet NemID-klient: "Vi skal have flere øjne på protokollen"

Efter at have kigget på JVM bytekoden og deobfuskeret bootstrap appletten, kan jeg bekræfte, at der er tale om store mængder obfuskering på bytekode-niveau, hvilket er hamrende klamt at grave sig igennem (cue automatisk deobfuskering).

Godt gået.

Jeg glæder mig til at læse et white-paper, der beskriver protokollen ;-)

7. marts 2014 kl. 18:35
Skrot nu det Rejsekort

Der er to årsager til, at jeg pt. bruger rejsekortet: Det gør rejsen mere fleksibel, da jeg ikke behøver at kende hele rejsen fra start, og det tillader mig at ignorere zonesystemet. Tilgengæld koster det mere, for jeg glemmer ret tit at tjekke ud.

Men de løser ikke problemet i, at prisen jeg skal betale er uigennemskuelig. De håndterer det for mig, og skjuler det pænt bag et trukket beløb. Jeg ville hellere have, at systemet var simplere og lettere at forstå.

15. februar 2014 kl. 13:39
Skrot nu det Rejsekort

Et simplere zonesystem ville være alletiders! Jeg forstår stadig ikke hvorfor jeg skal bruge 3 forskellige kort (bus+tog+metro) for at finde ud af hvor mange zoner jeg skal. Og hvorfor det i det hele taget er nødvendigt at vide så præcist, fra rejsens start.

14. februar 2014 kl. 17:31
Lenovo vil erobre forbrugermarkedet med data-snabel i smartphones og tablets

Der ser ud til at være lidt mere her:http://www.computerworld.dk/art/228705/lenovo-saadan-bliver-vi-det-nye-samsung-og-apple

I hvilke lande gør i det? "I nogle lande. Det er ikke alle steder, man må. Det kræver desuden en accept fra brugeren selv."

Umiddelbart ser det ud til, at de overholder lovene i de enkelte lande.

28. oktober 2013 kl. 10:16
Derfor skal eValg droppes

Det er underskrevet Martin Zachariasen (Institutleder) og Erik Frøkjær og referer til nævnte rapport fra Teknologirådet. Og ja, der konkluderes med "Sammenfattende finder vi udkastet til lovforslag både klogt og klart".

Det er ikke altid nemt at være politiker.

8. februar 2013 kl. 15:23
Derfor skal eValg droppes

Hvad jeg har kunne finde, er at Teknologirådet, der blandt andre inkluderer Erik Frøkjær fra DIKU, er positive overfor E-valg.

http://www.diku.dk/Nyheder/2011/elektronisk_afstemning/

8. februar 2013 kl. 14:54
Derfor skal vi afprøve e-valg

Jeg er enig i, at e-voting sandsynligvis ikke er nødvendigt for at hjælpe handicappede, men det der er forslået i oplægget er en maskine der kan printe stemmesedlen, som så selv kan verificeres og lægges i stemmeboksen.

Her er et hurtigt kig på dine referencer:

Irland: "The prime issue was the lack of verifiability by the absence of an audit mechanism or verified paper trail.", Kilde: http://en.wikipedia.org/wiki/Electronic_voting_in_Ireland

Holland: "[...] the Nedap ES3B machines could be manipulated in 5 minutes", "[...] there was a case of an election official misinforming voters of when their vote is recorded and later recording it himself [...]", Kilde: http://en.wikipedia.org/wiki/Electronic_voting_examples#Netherlands

Reelt problem: Der kan opstå forvirring omkring hvorvidt stemmen bliver registreret eller skal afleveres i stemmeboksen. En sådan forvirring kan i værste fald betyde uregistrerede stemmer, som ikke kan findes senere (hvis folk tager stemmen med hjem i god tro) - ikke godt, hvis forsøget er gældende, hvilket det sikkert er.

Tyskland: "Critics cite a lack transparency when recording the votes as intended by the voter and concerns relating to recounts." - igen intet papirspor?, Kilde: http://en.wikipedia.org/wiki/Electronic_voting_examples#Germany

8. februar 2013 kl. 11:41
Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Det er vidst ikke til at sige pt. om IcedTea plugin'et er påvirket, så indtil videre må man antage, at den er det.

Det kan ydermere anbefales at installere noscript (http://noscript.net) og sætte den til kun at acceptere scripts fra betroede sider som udgangspunkt. Den kan også sættes til at sikre HTTPS på nogle faste domæner som f.eks. danid.dk, nets-danid.dk, .dk, google.com, google.dk, facebook.com mv.

For de tekniske kan det anbefales at køre sin browser under en anden bruger på system. Min startes på Linux med kommandoen "sudo -u www iceweasel", men det kræver lidt mere opsætning.

Windows-brugere kan evt. prøve isolation/sandboxing programmer som f.eks. sandboxie eller forsøge sig med unprivilegedj accounts (http://www.markwilson.co.uk/blog/2006/05/using-unprivileged-accounts-in-windows.htm).

11. januar 2013 kl. 12:11
Danske internetkunder tvinges til wifi-kryptering for at stoppe netpirater

Uddrag fra Bruce Schneier's essay "My Open Wireless Network":

"Whenever I talk or write about my own security setup, the one thing that surprises people -- and attracts the most criticism -- is the fact that I run an open wireless network at home. [...]

I'm told that uninvited strangers may sit in their cars in front of my house, and use my network to send spam, eavesdrop on my passwords, and upload and download everything from pirated movies to child pornography. [...]

While this is technically true, I don't think it's much of a risk. [...] And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence. [...]

[...] You might have your computer equipment seized, and if you have any contraband of your own on your machine, it could be a delicate situation. Also, prosecutors aren't always the most technically savvy bunch, and you might end up being charged despite your innocence. [...]

In a less far-fetched scenario, the Recording Industry Association of America is known to sue copyright infringers based on nothing more than an IP address. The accuser's chance of winning is higher than in a criminal case, because in civil litigation the burden of proof is lower. And again, lawyers argue that even if you win it's not worth the risk or expense, and that you should settle and pay a few thousand dollars.

[...] The RIAA has conducted about 26,000 lawsuits, and there are more than 15 million music downloaders. Mark Mulligan of Jupiter Research said it best: "If you're a file sharer, you know that the likelihood of you being caught is very similar to that of being hit by an asteroid." [...]

[...] Fon wireless access points have two wireless networks: a secure one for you, and an open one for everyone else. [...]

Security is always a trade-off. I know people who rarely lock their front door, who drive in the rain (and, while using a cell phone) and who talk to strangers. In my opinion, securing my wireless network isn't worth it. And I appreciate everyone else who keeps an open wireless network, including all the coffee shops, bars and libraries I have visited in the past, the Dayton International Airport where I started writing this and the Four Points Sheraton where I finished. You all make the world a better place."

Jeg har klippet en del i teksten. Det fulde essay kan læses på:http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html

10. december 2012 kl. 11:07
ENISA's password-tips til udviklere og brugere

Secure Remote Password-protokollen er ret cool.

7. august 2012 kl. 12:27
ENISA's password-tips til udviklere og brugere

Sjov ide, at generere one-time passwords hver gang sessionen udløber.

Det kræver selvfølgelig, at browseren enten er sat op til at bevare cookies (hvilket de fleste nok bruger) eller sjældent lukkes ned.

7. august 2012 kl. 12:13
ENISA's password-tips til udviklere og brugere

Du behøver ikke 256-bit til dit password. Det ville være rimelig sygt. Hvis du skal være sikker mod bruteforce, skal du bruge 128-bit. Men 80-bit (som svarer til en 1024-bit RSA nøgle, ish) er nok til de fleste brugere. Styrkes koden med en key-derivation funktion som PBKDF2 er det endnu bedre.

Det er dog stadig 16 tilfældigt valgte tegn fra et alfabet på 36 tegn (f.eks. tal + små bogstaver).

7. august 2012 kl. 11:36
ENISA's password-tips til udviklere og brugere

Brug ikke det samme password to steder

Jeg kunne nok ikke være mere enig. Tænk over hvor mange sider der idag kræver en bruger. Hvor mange af de sider kræver en mailadresse? Pænt mange. Hvis den mailadresse er legit og bruger samme kode, som siden, og siden ikke beskytter passwordet ordentligt, er det bare et spørgsmål om tid før nogen har overtaget din gmail/hotmail/what-ever-mail.

God ide: Aktiver 2-faktor authentication på din GMail/what-ever-mail idag, hvis du ikke allerede har gjort det.

7. august 2012 kl. 10:04
ENISA's password-tips til udviklere og brugere

PBKDF2-HMAC-SHA256-100000 er god. Brug den!

Og skru endelig op for iterationerne løbende, som hardwaren tillader det, måske en gang om året (kan gøres ved password skift, så nye passwords bliver gemt mere sikkert).

7. august 2012 kl. 10:00
ENISA's password-tips til udviklere og brugere

En simpel lav-niveau løsning er parameterised queries.

Hvis man quoter data til SQL-kode selv gør man noget galt. Hvis man klipper data og SQL-kode sammen gør man noget galt. Der findes parameterised queries og ORMs (abstraktionslag) til den slags.

Ved ikke lige hvad SDLC dækker over.

7. august 2012 kl. 09:52
ENISA's password-tips til udviklere og brugere

Lav en ordentlig password-politik (minimum-længde, kompleksitet, fornyelsesinterval), og brug to-faktor-autenticering

Jeg har en delt holdning til den her. Yes, vi kan afvise passwords på 1 tegn, de er klart usikre. 2-6 tegn, nok også. Herefter kan man bruge ordbøger og afvise ord og lignende. Fint nok.

Men når jeg kommer med et auto-genereret password på 16 tegn og bliver afvist pga. mangel på store bogstaver giver det bare ikke mening længere. Der er risiko for, at brugeren for afvist et sikkert password, hvis heuristikken er for aggresiv, og dermed dropper det auto-genererede password til fordel for et der er mindre sikkert, men som passer ind i regelsættet.

Og så er der dem som har fået den galt i halsen, og afviser passwords der er "for lange" (typisk regel: maks 15 tegn), eller kræver at passwords kun indeholder tal.

7. august 2012 kl. 09:48
Microsoft advarer mod Java

Han skriver direkte "The most effective measure against these vulnerabilities is updating your Java installation". Derefter siger han, at hvis man foretrækker det, eller ikke kan opdatere, så kan man "[...] disable your current Java Plug-in temporarily [...]".

Jeg kan ikke se, at han foreslår folk at undgå eller fjerne Java, som artiklen skriver.

2. august 2012 kl. 08:49
Dansk it-firma ville hjælpe systemkritikere - fik tysk politi på nakken

Der er kun én exit-node per tor-rute: den sidste.

31. juli 2012 kl. 08:17