Kryptoblog

Hot och terror verkar vara en bra grogrund för uppfinningsrikedom, speciellt om man tror sig kunna tjäna pengar. Neatorama har en postning om de 10 konstigaste anti-terror-uppfinningarna.

Bland uppfinningarna finns den briljanta fall-luckan för flygplan:

Förvånande nog är inte tanken att terroristen skall falla rätt ur flyget, utan ner i en liten grop. En grop utan ormar eller krokodiler.

Just flygsäkerhet har jag bloggat om tidigare, bland annat ett EU-projekt där man med bildigenkänning skall identifiera terrorister på flyget (undrar om dom går att lura med en bild, precis som cigarettautomaterna i Japan?).

En liknande tanke är U.S. Patent 6970105, Passenger control system during a plane flying inne på. Men här är det ett armband som om du verkar för nervös ger dig något lugnande:

Botar kanske som en bieffekt flygrädsla. Och om alla passagerare är utslagna behöver man inte släpa med vagnar i kabinen och dela ut ostmackor.

Min favorit är det flygande paraplyt som skall hindra att gamla hippies spränger sig i luften (vilket som alla vet är precis vad hippies brukar göra):

På en annan sida finns även en beskrivning om en BH som skyddar mot gasattacker:

En helt vanlig BH, men när terroristen släpper ut sin gas är det bara att bygga om BH:n till en gasmask för dig. Som bonus kan även någon få den andra halvan (att lukta på).

Jösses. Visst, vem som helst kan skicka in ett patent. Frågan är om vilka som kommer till praktisk användning. Jag är tyvärr inte säker på att sprutarmbandet inte kan komma att seriöst övervägas…

På DailyWTF dök det upp en postning om en märklig kod som försöker åstadkomma slumpmässiga headrar. Koden i fråga ser ut så här:

Dim rNumber As Integer = 0
rNumber = RandomNumber(13, 1)
Select Case rNumber
Case 0
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 1
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 2
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 3
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 4
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 5
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 6
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 7
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 8
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 9
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 10
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 11
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 12
Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case Else
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
End Select


(Que pasa? WTF?! Eller på Dalsländska: Ööööööö…)

Personen som postade koden hade pratat med personen som skrivit koden, och motiveringen till koden var:

It makes it more random because you get more repeats when you select from two random numbers than you do with thirteen.

Nära skjuter ingen hare…

BoingBoing rapporterar om ett pågående projekt bland Europeiska flygbolag om att kameraövervaka alla passagerare under flygning för att detektera terrorister. (Grunden till Boingboing-postningen är en artikel från New Scientist med titeln In-flight surveillance could foil terrorists.)

Det EU-sponsrade projektet kallas SAFEE (Security of Aircraft in the Future European Environment), och syftet med SAFEE enligt projektets webbplats är:

SAFEE is a large integrated project designed to restore full confidence in the air transport industry. The overall vision for SAFEE is the construction of an advanced aircraft security system designed to operate during on-board terrorist threat scenarios.

The main goal of this system is to ensure a full secure flight from departure to arrival destination whatever the identified threats.

Tanken är att varje passagerare skall övervakas av en kamera framför varje stol samt sex olika kameror i kabinen. Via dessa kameror analyseras kontinuerligt beteendet hos passagerarna och vad som händer i kabinen och ett datorsystem avgör sedan om det sker något terrorist-fuffens eller ej.

Och hur känner systemet igen en typisk terrorist? Enligt forskaren James Ferryman vid University of Reading som arbetar i projektet tittar systemet på beteenden som:

It looks for running in the cabin, standing near the cockpit for long periods of time, and other predetermined indicators that suggest a developing threat,” says James Ferryman of the University of Reading, UK, one of the system’s developers.

Other behaviours could include a person nervously touching their face, or sweating excessively.

Men om detta låter lite vagt försäkrar Ferryman att det är bättre än så:

Much of the computer’s ability to detect threats relies on sensitive information gleaned from security analysts in the intelligence community.

Så om jag är flygrädd samt behöver sträcka på benen för att inte få kramp så riskerar jag ändå inte att få ett oväntat sällskap av en vakt med en Taser? Skönt att veta.

Visst, jag väljer själv om jag vill flyga eller ej, och visst är det bra att försöka stoppa terrorism. Men det här projektet handlar om massövervakning för att lösa ett problem med metoder med tveksam effektivitet.

Ferryman och hans kollegor är säkert seriösa forskare som tar sitt arbete på allvar. Jag bläddrade igenom en del av de artiklar som Ferryman publicerat, och det finns en del saker som faktiskt är vettigt. Bland annat videoövervakning av parkerade flygplan. En relativt väl definierad uppgift där ett antal kameror skulle kunna ersätta en massa fysisk säkerhet (staket).

Men när jag går igenom materialet från SAFEE hittar jag inget som egentligen värderar nyttan gentemot kostnaden för passagerarna, både i form av minskad integritet och ökade kostnader för biljetter och skatt. Även om systemet aldrig kommer i praktisk användning låter projektet i sig som klart otrevligt:

Ferryman admits that his system will require thousands of tests on everyday passengers before it can be declared reliable at detecting threats.

Om nu inte detta är absurt nog har Boingboing en postning om en person som stoppats på Heathrow för att han hade en T-shirt med en bild på Transformern Optimus Prime.

En bild på en beväpnad bil-robot ansågs som en fara för säkerheten och det var bara att ta av sig tröjan eller bli arresterad. Som en läsare på BoingBoing uttryckte det:

Guess its a good thing he wasn’t wearing these boxers:

Allvarligt talat, hur mycket dumhet får det finnas? Att man förbjuder atrapper av vapen är en sak, men en T-shirt? Och jag gissar att motiveringen att Optimus Prime är god och faktiskt försöker rädda mänskligheten mot ondska inte hade hjälpt.

Ja, vi skall stoppa terrorism, men det här kan inte vara rätt sätt.

Lite sena söndagsdumheter. Några människor med på tok för mycket fritid och bra krativitet har gjort en mashup av gamla spel och sysadminverktyg. Resultatet är…

Wolfotrack
Gamla Wolfenstein 3D möter Netfilter:

Övervaka trafiken och kontrollera (skjut ner) sessioner du inte gillar. Det finns en film på Youtube som visar Wolfotrack:

En ypperlig kommentar om Wolfotrack:

“With wolfotrack, I look forward new connections. Banning p2p has never been so fun !”
— Pascal Terjan, Mandriva kernel team

Nu är inte Wolfotrack den enda mashup:en av det här slaget. Möt…

Sysadmindoom
(Ett ganska gammalt hack).

I Sysadmindoom är processer mappade till figurer i Doom, och som sysadmin kan du som spelare välja vad du vill göra - exempelvis gör processen kort… Enligt Dennis Chao, skaparen av Sysadmindoom finns det några fördelar med den här typen av GUI:

* The machine load is immediately apparent to the player, who can see how crowded a room is. The player can eyeball many machines from a high vantage point and go down to a room that needs maintenance.

* There is a nice continuum for resource allocation. A user may choose to simply wound processes rather than killing them, which could naturally be translated to renicing them.

* A new sysadmin can be given less power by providing her with a smaller weapon. A rank beginner may not be given a weapon at all and be forced to attack processes with her bare hands. It would take a foolhardy player to attack a room full of monsters, just as a newbie should not kill a bunch of important processes. A more experienced sysadmin would have time to stop a newbie who is trying to kill the wrong process. The real work could be left to those with the big guns. The truly great sysadmins could have BFGs.

* Really crowded systems would regulate their own load because monsters occasionally kill each other. Once the population in a room goes down, the monsters will stop attacking each other.

* Drastic action takes work. In a command line interface, all actions take approximately the same amount of effort. One can ls just as easily as rm -rf *, which is kind of unfortunate. In a cyberspace environment, the players are not omnipotent, so performing large actions takes time and effort.

* Important processes can be instantiated as more powerful monsters. They can then defend themselves against inexperienced sysadmins.

* Sysadmins could cooperate or compete. Doom is a natural environment for player-to-player interactions. A team of players can cooperate to take care of a heavily-loaded system, or they can even take out rogue sysadmins who are killing the wrong processes.

Jag är inte säker på om detta verkligen är framtidens gränssnitt, och kanske är inte Star Treks pastellfärgade touchpaneler det heller.

Men det är intressant att det sker (mer eller mindre seriösa) försök att hitta sätt att illustrera nätverkstrafik, processer etc… Och så får man en chans att spela ett gammalt skjutaspel igen.

(Japp, det är helg… ;-)

Googlade lite och insåg att Stålmannen faktiskt använde krypto för att utföra sina stordåd. Superhunden Krypto för att vara exakt.

Svårt att säga vilken sorts kryptoras det är frågan om - ser ju rätt symmetrisk ut. Till skillnad från andra krypton har Krypto har tydligen en egen sång:

Krypto, Krypto the Superdog. Krypto, Krypto the Superdog.
It’s Superdog time.

He’s a super dog. He’s a super hero.
He came to Earth from outer space and his name is Krypto.
He’s super strong. He’s super brave.

He’s Krypto, Krypto the Superdog. Krypto, ruff, ruff, and away.
Krypto, Krypto the Superdog. Krypto, ruff, ruff, and away.
He’s super smart in every way.

He’s Krypto, Krypto the Superdog. Krypto, ruff, ruff, and away.
Krypto, Krypto the Superdog.

See that super dog flying through the air.
He’s got super powers. Bad guys beware!
Krypto, Krypto the Superdog!

Inte helt lätt att dechiffrera…

Det börjar dra ihop sig till att lägga 2007 till handlingarna. Tack för alla trevliga och intressanta kommentarer, mail och tips på uppslag jag fått under året!

Jag tänkte avsluta med ett lite kryptonöje. J & F på Kirei tipsade för ett tag sedan om en fantastisk simulator av Enigma-kryptot kallad Enigma Simulator.

Som synes ett mycket snyggt gränssnitt som försöker fånga utseendet och den mekaniska känslan hos en Enigma-maskin. (Jag har inte kommit på hur man skall koppla in matningen i övre hörnet… Simulatorn inkluderar ett separat fönster för bland annat kopplingspanelen.

Att leka lite med Enigma-simulatorn är något jag tyckte var klart skoj och kan klart rekommenderas. Här kommer därför en liten starthjälp, en kodsträng att testa på. För att göra det lite mer nyårsdags-anpassat är inställningarna enligt följande:

Initial position: A, A, R
Left rotor: II, ringstellung: N
Middle rotor: III, ringstellung: E
Right rotor: IV, ringstellung: W
Reflector: C

Steckerbrett:
K - R
Y - P
T - O

Och därmed avslutar jag helt enkelt 2007 med att säga: DAZYVCGGDMHVRLYPUZTLJNPXZA !!

FPGA-leverantören Xilinx.

Var precis inne på Xilinx webbplats och upptäckte att på sidan för att ladda ner utvecklingsverktyg fanns den här uppmaningen till Xilinx användare:

Turn off virus scanner to reduce installation time. Download file will contain installations for multiple platforms. After downloading, unzip the file and run “setup”

Detta på en webbplats som endast är skyddad med ett lösenord. Jag som användare har ingen möjlighet att verifiera att:

1. Sidan verkligen tillhör Xilinx och är en del av deras webbplats.
2. Programmet som laddas ned kommer från Xilinx
3. Programmet som laddats ned inte påverkats på vägen

Att då uppmana sina användare att stänga av viruskontrollen är kort sagt uselt säkerhetstänkande. Xilinx använder SSL/TLS på delar av sin webbplats, men inte på sidan för nedladdning. Och hur svårt är det egentligen att ta fram och publicera information om storlek och signatur för de filer man gör tillgängliga? (Även om en sådan information behöver skyddas den också - om webbplatsen är hackad är antagligen den informationen inte att lita på.)

Jag har skickat en kommentar/uppmaning till Xilinx om att ta bort sin uppmaning och tänka till på säkerheten. Om jag får ett svar återkommer jag.

En kollega kom för övrigt med en bra observation: Varför är det så få kommersiella företag som publicerar signaturer för de filer och program de gör tillgängliga? Ser man MD5-, SHA-signaturer kan man nästan vara säker på att leverantören är ett öppen/fri kod-projekt.

Jag har tidigare skrivit om CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, dvs automatiserade tester avsedda att särskilja människor och maskiner.

Syftet med CAPTCHA är att kunna blockera maskiner från access till olika resurser, exempelvis diskussionsforum eller nätspel, men samtidigt inte hindra mänskliga besökare. Ofta är CAPTCHA:n utformad som en förvrängd bild där människans förmåga att tolka bilder utnyttjas:

(Typiska CAPTCHA-bilder lånade från Wikipedia.)

CAPTCHA och intresset för att komma åt de tillgångar CAPCTHA-tekniken skyddar har lett till ett ställningskrig mellan de som utvecklar CAPTCHA-algoritmer och de (typiskt SPAM-troll) som försöker hitta på algoritmer för att knäcka CAPTCHA-algoritmerna. Men om man nu tycker att det är svårt att hitta på smarta algoritmer för att attackera CAPTCHA kan man istället ta till dumma människor.

Computerworld hade för ett tag sedan en artikel om hur spammare använder access till porr för att locka användare att tolka CAPTCHAs plockade från webbplatser spammarna vill få access till:

Spammers are using a virtual stripper as bait to dupe people into helping criminals crack codes they need to send more spam or boost the rankings of parasitic Web sites, security researchers said today.

A series of photographs shows “Melissa,” no relation to the 1999 worm by the same name, with progressively fewer clothes and more skin each time the user correctly enters the characters in an accompanying CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart), the distorted, scrambled codes that most Web mail services use to block bots from registering hundreds or thousands of accounts. Spammers rely on Web e-mail accounts because they’re disposable; by the time filters have blocked the address, the spammers throw it away and move on to another.

The CAPTCHAs that Melissa feeds to users are, in fact, legitimate codes snatched from Yahoo Mail’s signup screens, said analysts at Trend Micro Inc. The hackers, frustrated at their inability to come up with a way to automate account registration, are getting users to do their dirty work.

“They’re using human beings in semi-real time to translate CAPTCHAs by proxy,” said Paul Ferguson, a network architect at Trend Micro. “You have to give them this, it’s clever.”

Each time the user correctly decodes the CAPTCHA, a new Melissa photo is revealed, pulled from a hacker-controlled server in Israel, according to Symantec Corp. The plain-text decodes are sent to that same server, where they are presumably banked for future use in generating large numbers of Yahoo Mail accounts.

På Wikipedias sida om CAPTCHAs finns även en länk till en sida med information om där människor anställts för att sitta och lösa CAPTCHAS, på liknande sätt som folk anställs för att träna upp karaktärer i spel som World of Warcraft. (Den sidan kallar fenomenet Turing farm.)

Jag vill ändå separera dessa två typer av attacker mot CAPTCHAs där människor plockas in som beräkningsenheter. I det förra fallet handlar det om att på olika sätt lura och locka folk att hjälpa till med något de annars inte hade ställt upp på. Och frågan är hur man skyddar sig mot detta. Finns det bra sätt att tekniskt stoppa denna typ av attack?

Dels kan man försöka stoppa möjligheten att skicka CAPTCHAn vidare, vilket i sig inte är helt lätt. Men frågan är om CAPTCHA-tekniken i sig går att förändra? Jag bloggade för ett tag sedan om knäppa CAPTCHAs, men det kanske är så att för vissa webbplatser är CAPTCHAs med domänspecifik semantisk koppling lösningen.

(Matte-CAPTCHA.)

Dvs bara användare som verkligen är intresserade av access till webbplatsen är kapabla att lösa CAPTCHAn… Med konsekvens att Internet blir än mer slutet och fragmenterat. Men knäppa CAPTCHAs är kanske inte så knäppt i alla fall.

Den här bilden dök upp i en artikel på Worse Than Failure:

Visst, det är nog ingen som kan gissa ditt lösenord - men blir det inte lite jobbigt att logga in? … Och gissningsvis måste du byta lösenord innan du lärt dig det gamla utantill…

(Japp, det är fredag!)