I förra veckan rapporterade Pawal att flera myndigheter inte längre plockades upp av Creeper. Tanken var då att myndigheterna börjat blockera Creeper. Denna tanke spred jag vidare.
Men nu visar det sig att det var PHP som var boven. Pawal ber om ursäkt och det gör jag också.
Pawal rapporterar att Migrationsverket, FRA, FMV och PTS verkar ha börjat filtrera bort Creeper. Det mest intressanta är att det verkar ske samtidigt från mer än en myndighet. Tydligen är det bara myndigheter som skall få kolla vem som gör vad på nätet.
Men att döma av Creeper-loggarna surfas det fortsatt friskt på Regeringskansliet.
För några dagar sedan presenterade Google sin nya tjänst App Engine.
Med App Engine erbjuder Google en miljö och utrymme för att köra applikationer hos Google. Google beskriver applikationsmiljön på följande sätt:
The Application Environment
Google App Engine makes it easy to build an application that runs reliably, even under heavy load and with large amounts of data. The environment includes the following features:* dynamic web serving, with full support for common web technologies
* persistent storage with queries, sorting and transactions
* automatic scaling and load balancing
* APIs for authenticating users and sending email using Google Accounts
* a fully featured local development environment that simulates Google App Engine on your computer
Google App Engine applications are implemented using the Python programming language. The runtime environment includes the full Python language and most of the Python standard library.
Although Python is currently the only language supported by Google App Engine, we look forward to supporting more languages in the future.
The Sandbox
Applications run in a secure environment that provides limited access to the underlying operating system. These limitations allow App Engine to distribute web requests for the application across multiple servers, and start and stop servers to meet traffic demands. The sandbox isolates your application in its own secure, reliable environment that is independent of the hardware, operating system and physical location of the web server.Examples of the limitations of the secure sandbox environment include:
* An application can only access other computers on the Internet through the provided URL fetch and email services and APIs. Other computers can only connect to the application by making HTTP (or HTTPS) requests on the standard ports.
* An application cannot write to the file system. An app can read files, but only files uploaded with the application code. The app must use the App Engine datastore for all data that persists between requests.
* Application code only runs in response to a web request, and must return response data within a few seconds. A request handler cannot spawn a sub-process or execute code after the response has been sent.
Google beskriver även Pythonmiljön närmare:
The Python runtime environment uses Python version 2.5.2.
The environment includes the Python standard library. Of course, calling a library method that violates a sandbox restriction, such as attempting to open a socket or write to a file, will not succeed. For convenience, several modules in the standard library whose core features are not supported by the runtime environment have been disabled, and code that imports them will raise an error.
Application code must be written exclusively in Python. Code with extensions written in C is not supported.
The Python environment provides rich Python APIs for the datastore, Google Accounts, URL fetch and email services. App Engine also provides a simple Python web application framework called webapp to make it easy to start building applications.
For convenience, App Engine also includes the Django web application framework, version 0.96.1. Note that the App Engine datastore is not a relational database, which is required by some Django components. Some components, such as the Django template engine, work as documented, while others require a bit more effort. See the Articles section for tips on using Django with App Engine.
You can upload other third-party libraries with your application, as long as they are implemented in pure Python and do not require any unsupported standard library modules.
Det ser alltså ut som att Google lagt ner mycket arbete på att se till att App Engine-applikationer exekverar i en säker miljö som inte hotar andra applikationer eller Googles egna system. Det har nu inte hindrat folk att försöka. Tvärt om, att döma av maillistor som Dailydave har rätt många börjat stampa på Pythonmiljön för att se om det går att slå hål på sandlådan.
En av de första applikationer som dykt upp i App Engine är ett interaktivt Python-skal. Och den applikationen använts för att undersöka vad som går att göra, bland annat försök att komma åt passwd-filer, och på andra sätt titta och peta i Pythonmiljön och det underliggande systemet. En hel del försök har dock slutat i det här meddelandet:
This Google App Engine application is temporarily over its serving
quota. Please try again later.
Jag satt och testade lite själv för att se hur mycket av Pythons standardbibliotek man får med:
Google Apphosting/1.0
Python 2.5.2 (r252:60911, Mar 12 2008, 14:07:58)
[GCC 4.1.0]>>> import this
>>> import os
>>> os.path
(module ‘posixpath’ from ‘/base/python_dist/lib/python2.5/posixpath.py’)
(Jag har ändrat syntaxen från responsen i skalet då hakparanteserna fastnade i Wordpress…)
OS-modulen finns med, och det går uppenbarligen att titta runt i sandlådans struktur. Men Pythons påskägg “this” har Google inte plockat med…
Vi får se om/när någon lyckas slå hål på App Engine, om Google lyckats rensa ut alla accesser till underliggande systemet eller ej. Google har ju en bra grundförutsättning i och med att Guido van Rossum arbetar på Google.
Är det någon som borde kunna ha bra koll på hur man bygger om Python är det BDFL.
Expressen har publicerat ett vad jag tycker intressant och bra debattinlägg om de hot mot vår integritet som dyker upp i jakten på illegal fildelning. Utgångspunkten för artikeln är det förslag regeringen lägger fram och som ser ut att gå mycket längre än vad EG-domstolen slagit fast behöver införas. Författarna till artikeln skriver bland annat:
Vi är bekymrade över att nätsamhällets löfte till medborgarna om en spännande demokratisering kan omintetgöras av beslutsfattare som värjer sig mot att ta del av tänkandet runt detta.
Vi är också oroade över att reglerarna tycks villiga att offra grundläggande demokratiska fri- och rättigheter för att upprätthålla gamla strukturer.
Dessa verkar på ett förbluffande lättvindigt vis acceptera generell registrering, övervakning och avlyssning av hela folkets kommunikation. Integritetsintresset är inte ens företrätt på utfrågningen.
Så här får det inte gå till. Riksdagen måste hålla en kompletterande utfrågning om nätsamhällets löften där även status quo får ifrågasättas och debatteras. Reglerarna kan inte enbart anpassa sig till dem som kan hotas av ny teknik.
Ett problem författarna tar upp är att i den utfrågning som upphovsrätt på Internet som arrangeras i dag ser ut att vara snedvriden.
När vi ser talarlistan för riksdagens “Offentliga utfrågning om Upphovsrätt på Internet” tydliggörs denna bristande förståelse för de förändrade samhällsroller som tekniken skapar. Evenemanget sänds direkt av SVT i morgon 3 april. Kulturutskottet låter hela sex organisationer tillkännage “branschernas synpunkter” för riksdagens ledamöter. Det handlar om organisationer med starka ekonomiska intressen av hårdare tag.
Två personer får framföra “konsumenternas synpunkter”. En är generalsekreterare för en statligt finansierad organisation. Den andre föreslog tillsammans med utredaren Cecilia Renfors att fildelande människor skall kunna förlora rätten att använda Internet och skrev i Expressen en artikel med titeln “Så rensar vi upp bland fildelarna”. Från Internetoperatörer och nätforskning får sammanlagt tre röster uttala sig.
Det har föreslagits att olika visionära tänkare skulle få höras men kulturutskottets kansli säger sig bara vilja bjuda in folk som “förespråkar de legala alternativen” och som “representerar någon”.
Författarna till artikeln är bland annat Jonas Bosson - Förening för en fri informationsinfrastruktur, Elza Dunkels - Umeå universitet, Eva Frölich - vd Frobbit AB, Patrik Fältström - Internetexpert i regeringens IT-råd, Oscar Swartz - Internetentreprenör, Staffan Truvé - vd på SICS och The Interactive Institute samt Dennis Töllborg - professor vid Handelshögskolan i Göteborg.
(Det här är en något annorlunda IT-säkerhetsnyhet, men jag blev riktigt ilsk när jag läste om händelsen.)
Näthuliganer, på engelska kallade griefers har attackerat ett webbforum för folk som lider av epilepsi. Genom att fylla Epilepsy Foundations sidor med animationer avsedda att trigga epileptiska anfall och länkar till sidor med animationer, ljud m.m. har dom fått folk att råka illa ut. En av dessa var RyAnne Fultz:
RyAnne Fultz, a 33-year-old woman who suffers from pattern-sensitive epilepsy, says she clicked on a forum post with a legitimate-sounding title on Sunday. Her browser window resized to fill her screen, which was then taken over by a pattern of squares rapidly flashing in different colors.
Fultz says she “locked up.”
“I don’t fall over and convulse, but it hurts,” says Fultz, an IT worker in Coeur d’Alene, Idaho. “I was on the phone when it happened, and I couldn’t move and couldn’t speak.”
After about 10 seconds, Fultz’s 11-year-old son came over and drew her gaze away from the computer, then killed the browser process, she says.
RyAnne var inte den enda som drabbades:
“Everyone who logged on, it affected to some extent, whether by causing headaches or seizures,” says Browen Mead, a 24-year-old epilepsy patient in Maine who says she suffered a daylong migraine after examining several of the offending posts. She’d lingered too long on the pages trying to determine who was responsible.
Det är inte alla epileptiker som lider av fotosensitiv epilepsi. Men för de som har detta kan TV-program eller reklamskyltar vara ett problem. Detta visades bland annat i Simpsonsavsnittet Thirty Minutes Over Tokyo där familjen råkar få på TV-programmet Battling Seizure Robots.
Simpsons-sketchen var en parodi på en verklig händelse där ett avsnitt av Pokemon med kraftigt blinkande animationer oavsiktligt triggade epilepsi hos ett antal tittare.
Men att göra detta avsiktligt och att rikta in sig på folk som lider av epilepsi genom att attackera ett forum som används för att få råd, stöd och hjälp att hantera sin epilepsi? Fy f-n.
Riksdagens utskott Trafikutskottet och försvarsutskottet anordnar en öppen utfrågning om IT-säkerhet. Utskotten skriver i inbjudan att:
IT-säkerhet är en viktig del i den fortsatta IT-utvecklingen där beroendet av IT-system i såväl offentlig som privat sektor alltmer ökar. Enligt vissa studier är mer än 99 procent av det svenska samhällets kritiska infrastruktur beroende av Internet som den stora bäraren av information.
Användningen av IT, som är väl integrerat i vårt samhälle, gör att frågor om tillit och säkerhet i våra IT-system måste beaktas inom alla samhällsområden och sektorer för att människor ska kunna känna förtroende för tekniken, för myndigheter och för e-förvaltningen. Det breda informationssäkerhetsarbetet i samhället och statens roll i detta är en fråga som kräver fortsatt och kontinuerlig analys, inte minst givet den snabba utveckling som kännetecknar IT-området.
Trafikutskottet och försvarsutskottet har därför tagit initiativ till en öppen utfrågning för att inhämta information om de aktuella utmaningarna på IT-säkerhetsområdet samt om vad som görs och behöver göras för att trygga säkerheten i den fortsatta utvecklingen av IT-samhället.
Utfrågningen inkluderar ett antal presentationer, bland annat kommer följande personer att hålla en presentation:
9.05-9.15 De samhällskritiska systemens sårbarhet
Dan Larsson, informationssäkerhetsexpert, Försvarets radioanstalt (FRA)9.15-9.25 Hälsoläget på Internet i dag
Anne-Marie Eklund-Löwinder, kvalitets- och säkerhetschef, Stiftelsen för Internetinfrastruktur (.SE)9.25-9.35 Nätangrepp - Trender och åtgärder
Kurt Erik Lindqvist, vd, Netnod Internet Exchange AB9.35-9.50 Handlingsplan om informationssäkerhet
Ingvar Hellquist, chef informationssäkerhetsenheten, Krisberedskapsmyndigheten (KBM)9.50-10.05 Säker och robust elektronisk kommunikation
Anders Johanson, chef, nätsäkerhetsavdelningen
Stefan B. Grinneby, chef för Sitic (Sveriges it-incidentcentrum)
Post- och telestyrelsen (PTS)10.20-10.30 Kampanjen Surfa Lugnt - erfarenheter och utmaningar
Roland Ekström, projektledare, Kampanjen Surfa Lugnt10.30-10.40 Internetframsyn och IT-säkerhet
Östen Frånberg, projektledare, Kungl. Ingenjörsvetenskapsakademien (IVA)
(Internetframsyn är ett IVA-projekt om Internets framtidsfrågor)
Utfrågningen sker i Andrakammarsalen i Riksdagen och startar 09:00. Det kommer även att sändas webb-TV från utfrågningen och den startar 08:50. URL:en till webb-TV kommer att publiceras på sidan om utfrågningen.
Kryptoexperten Matt Blaze har bloggat vad han ser som historierevisionism vad gäller Clipperchippet. Utgångspunkten är ett uttalande i en intervju med USA:s National Intelligence-chef Mike McConnell. Det Mike i intervjun säger och det Matt Blaze reagerar på är det här:
In the nineties, new encryption software that could protect telephone conversations, faxes, and e-mails from unwarranted monitoring was coming on the market, but the programs could also block entirely legal efforts to eavesdrop on criminals or potential terrorists.
Under McConnell’s direction, the N.S.A. developed a sophisticated device, the Clipper Chip, with a superior ability to encrypt any electronic transmission; it also allowed law-enforcement officials, given the proper authority, to decipher and eavesdrop on the encrypted communications of others.
Privacy advocates criticized the device, though, and the Clipper was abandoned by 1996. “They convinced the folks on the Hill that they couldn’t trust the government to do what it said it was going to do,” Richard Wilhelm, who was in charge of information warfare under McConnell, says.
Matt Blaze var engagerad i debatten om Clipperchippet och ett skäl till att han blir upprörd är att Mike McConell i sitt uttalande får det att framstå som att tekniken bakom Clipperchippet var bra.
Sanningen är dock att Matt Blaze och andra forskare visade att tekniken inte bara inte gav ett bra skydd, utan att det även drogs med problem som riskerade att exponera användarna för olika typer av säkerhetsproblem. Detta finns bland annat presenterat i Matt Blaze artikel Protocol Failure in the Escrowed Encryption Standard.
Clipperchippet var alltså ett chip avsett att kryptera kommunikation (med hjälp av blockkryptot Skipjack), men där myndigheter skulle kunna gå in och låsa upp kommunikationen för att kunna avlyssna trafiken.
Chippet tillverkades av Mykotronix som numera är en del av Safenet. På Flickr finns en del fina bilder på en Clipperutrustad telefon med ett tillhörande audiokopplat modem.
AT&T:s telefon TSD-3600E från 1993.
MYK-78T - Clipperchippet.
Varför tar jag nu upp detta? Jo, jag börjar få en hemsk känsla i magen om att vi är på väg mot en ny debatt/fight om privatpersoners rätt att använda kryptoteknik. I USA, Europa och i Sverige lagstiftas det på flera håll om begränsningar i användningar av hackerverktyg samt ökad elektronisk övervakning. Ett sådant förslag är regeringens förslag om utökad lag för att stoppa privat användning av avkodningsutrustning. I förslaget (sid12) finns en skrivning som öppnar upp för reglering av väldigt många typer av kommunikation:
De tjänster som skyddas enligt avkodningslagen är ljudradio-eller TV-sändningar som är riktade till allmänheten, varje annan tjänst som utförs elektroniskt, på distans och på begäran av mottagaren, samt tillhandahållandet av villkorad tillgång som en tjänst i sig.
Lagen omfattar således inte bara tjänster som traditionell betal-TV eller betalradio utan också tjänster som beställvideo (video on demand), music on demand, elektronisk utgivning och ett stort urval andra online-tjänster (jfr prop. 1999/2000:49 s. 11).
Visst den lagen begränsar inte din rätt att kryptera dina mail, men jag ser den som en del i ett mönster. Och den historierevisionism Matt Blaze uppmärksammar är även en del i detta mönster.
Är det dags att skaffa foliehatt - eller är det dags att börja kämpa?
I går blev jag uppringd av Peter Larsson på IDG angående Adobes nya DRM-system Flash Media Rights Management Server. Jag tycker att Peter fångade vad jag sa, men tänkte passa på att förtydliga mig lite.
Som jag ser det är det tekniskt mycket svårt att bygga ett fungerande DRM-skydd. Detta för att det finns så många olika sätt att attackera.
Ett sett kan vara att attackera de underliggande algoritmerna och protokollen. Ett annat sätt är att attackera implementationen - antingen implementationen av säkerhetssystemet eller applikationen som skyddas av säkerhetssystemet. I kopieringsskyddens forntid var det exempelvis vanligt att helt enkelt ta bort anropen till koden som kontrollerade licensnycklar.
Ett tredje sätt är att helt enkelt gå runt säkerheten, bland annat genom det analoga hål som Peter Larsson tar upp. På 80-talet var det vanligt att folk bytte VHS-filmer med varandra och beroende på hur många kopior som föregått kopian kunde kvaliteten vara rätt dassig. I dag sker digital-analog-digital-konverteringar ofta med extremt hög kvalitet, och väl i en sådan klass att många är nöjda. Att stoppa detta hål ser jag är svårt då media i slutändan skall bli ljus och ljud som skall fångas upp av våra sinnen.
Men det viktiga är att jag närmast blir förvånad över att någon 2008 försöker lansera nya DRM-system. Kopieringsskydd och olika metoder att styra konsumenternas sätt att använda det dom betalt för upplever jag är något som hör gårdagen till. Att allt mer musik i iTunes Store är fri från kopieringsskydd, att BBC satsar för fullt på öppna mediaformat är bara två exempel.
Vad tror du?
.SE (Stiftelsen för Internetinfrastruktur) har testat tolv routrar för hem/konsumenter och då fokuserat på routrarnas förmåga att hantera säker DNS-uppslagning. Av de tolv fick tre stycken godkänt, sju befanns ha märkbara problem med DNS och två hade så grava problem att de inte gick att testa på ett vettigt sätt. Patrik Wallström, projektledare för forskning och utveckling på .SE förklarar:
Det stora problemet ur ett DNSSEC-perspektiv är att majoriteten av hemmaroutrarna inte har klarat av DNSSEC ner på applikationsnivå på datorn. Det är inget problem så länge valideringen sköts av till exempel Internetlevantörens DNS-resolver, men däremot när en applikation på klienten kräver egen DNSSEC-validering.
Läser man i testrapporten hittar man bland annat den här närmare beskrivningen av problemen man funnit:
De vanligaste felen har varit frågor och svar över TCP, problem med AD-biten i svaret samt när klienten vill validera DNSSEC själv (DO-biten satt i frågan).
Resultatet av testerna är nedslående. Vad som står ut mest är andelen routrar som inte klarar av DNS-frågor över TCP. Men det stora problemet ur DNSSEC-perspektiv är att majoriteten inte klarar av DNSSEC ner till applikationsnivå på datorn.
Det är inget problem så länge valideringen sköts av t.ex. Internetleverantörens DNS-resolver, men när det tillkommer en applikation på klienten som begär egen DNSSEC-validering fungerar det i de flesta fall inte alls.
.SE kontaktade tillverkarna för att få deras kommenterar och fann att:
Några har återkommit med varierande grad av engagemang, och en har faktiskt tagit problemet på allvar och kommit med åtgärder.
Testerna inkluderar maskiner från D-Link, Netgear, Linksys, Zyxel, FON, Zonet och Gigabyte. Enligt uppgift är Zyxel den leverantör som tog problemet på allvar.
För mer information rekommenderas läsning av .SE:s testrapport.
Jag har en ny bok i mitt bibliotek med IT-säkerhetsböcker: Security Power Tools.
En av mina absoluta favoriter bland IT-böcker är O’Reillys klassiker UNIX Power Tools(UPS), och både namn och beskrivning av den nya boken försöker göra gällande att Security Power Tools (SPS) är en nära släkting till UPS.
Nu har jag inte hunnit så långt in i SPS, men någon UPS är den inte. En stor skillnad är att den nya boken ägnar ganska stora textmassor att förklara hur IT-system fungerar och vilka säkerhetsproblem som finns. UPS bryr sig inte om sådana saker, utan där är det sida upp och sida ner med smarta tricks och sätt att snabbt lösa problem.
Vad böckerna har gemensamt är att man utifrån ett scenario tar fram kända verktyg och applicerar dom. Men UPS tar exempelvis upp scenarion som hur man flyttar filer från en katalog till en annan, och sedan visar 100 olika sätt att göra detta på - beroende på om du skall flytta mer än en fil, till filsystem över nätverk, om du skall döpa om filerna samtidigt etc. SPS tar istället upp hur du övervakar ett nätverk, hur du undersöker ett nätverk, hur du hanterar elak kod som kommer in i ditt system. Dvs SPS arbetar på en mycket högre nivå.
Så här långt har SPS varit en bra läsning. Det är som sagt inte en ny UPS, men det betyder inte att det är en sämre bok - det är en annan sorts bok. Om man bortser från bokens namn och författarnas försök att koppla ihop sin bok med UPS är SPS antagligen en ypperlig bok om IT-säkerhet.
Jag skulle vilja hävda att SPS har mer gemensamt med en kombination av böcker som Ross Anderssons Security Engineering och Michal Zalewskis Silence on the Wire (mycket bra böcker båda två), dvs bra teoribeskrivning och krassa, effektiva metoder och sätt att använda olika verktyg för att lösa problem.
Någon som läst boken och har en annan uppfattning?
