Kryptoblog

Bruce Schneier pekar på en mycket intressant artikel som tar upp ekonomin och affärsmodellerna som driver IT-brotten.

Artikeln tar bland annat upp hur den svarta ekonomin på Internet är en högt globaliserad, outsourcad verksamhet där allt kan säljas som en tjänst, inklusive access till trojaner:

In March the price quoted on malware sites for the Gozi Trojan, which steals data and sends it to hackers in an encrypted form, was between $1,000 (£500) and $2,000 for the basic version. Buyers could purchase add-on services at varying prices starting at $20.
…
According to reports, the malware was available this summer as a service from iFrameBiz and stat482.com, who bought the Trojan from the HangUp team, a group of Russian hackers. The Trojan server was managed by 76service.com, and hosted by the Russian Business Network, which security vendors allege offered “bullet-proof” hosting for phishing sites and other illicit operations.

Artikeln hänvisar även till forskaren Peter Gutmann som publicerat en mycket extensiv och läsvärd rapport kallad TThe Commercial Malware Industry. Tanka ned och läs. Skrämmande men nyttig läsning.

Googles serie med inspelade presentationer från Googleplex är en guldgruva om man vill lyssna på intressanta föreläsningar.

En av dessa är en presentation om krypto i teori och praktik som Steve Weis höll i början av december. Steve tar bland annat upp en intro till modern krypto, hur man använder krypto i verkligen och då speciellt på Google.

Steve Weis är från MIT och ansvarar på Google för deras interna kryptobibliotek KeyMaster.

På Bloggen Light Blue Touchpaper från säkerhetsgruppen i Cambridge finns en postning med lästips för att hänga med i NISTs tävling för att få fram nya hashfunktioner.

Det jag skulle vilja komplettera listan med är Jag skulle vilja komplettera listan med de HASH-workshops som NIST och ECRYPT arrangerat de senaste åren.

En av mina stora idoler på säkerhetsfronten, forskaren Ross Andersson har hälsat på Google och hållit en presentation. Presentationen Searching for Evil finns på YouTube och är väl värd att titta på:

Sammanfattningen på YouTube förklarar vad presentationen handlar om:

Computer security has recently imported a lot of ideas from economics, psychology and sociology, leading to fresh insights and new tools. I will describe one thread of research that draws together techniques from fields as diverse as signals intelligence and sociology to search for artificial communities.

Evildoers online divide roughly into two categories - those who don’t want their websites to be found, such as phishermen, and those who do. The latter category runs from fake escrow sites through dodgy stores to postmodern Ponzi schemes.

Jag har precis lagt till en ny blog till bloglistan. Den här gången är det Flylogic Engineering’s Analytical Blog från företaget Flylogic.

Flylogic är ett av mycket få företag som har kompetens och utrustning som krävs för att plocka isär och analysera inte integrerade kretsar. Deras blog är fylld med bilder på chip, nedfilade kapslar och isärplockade kort.

Att döma av deras blog är en av Flylogics favoritverksamheter att plocka isär elektronikprodukter som är utrustade med säkerhetsmekanismer eller är avsedda att tillhandahålla olika typer av säkerhet. Bland annat har Flylogic med framgång plockat isär och gått runt säkerheten hos ett flertal säkra USB-minnen. Här är exempelvis MAI:s KEYLOK:

En fin USB-blobba på väg till slaktbänken.

KEYLOK uppsprättad. Notera att det inte finns något mer fysiskt skydd för kretsarna.

MCU:n CY7C63101A isärplockad och färdig att proba.

Närbild på chippet. Notera minnesarrayen till höger.

Och så avslutar man med att läsa ut data direkt från minnet:

We performed some magic and once again we have success to unlock the once protected device. A quick look for ASCII text reveals a bunch of text beginning around address $06CB: .B.P.T. .E.n.t.e.r.p.r.i.s.e.s…D.o.n.g.l.e. .D.o.n.g.l.e. .C.o.m.m.< .E.n.d.P.o.i.n.t.1. .1.0.m.s. .I.n.t.e.r.r.u.p.t. .P.i.p.e.

En annan krets Flylogic attackerat är Atmels CryptoMemory som jag tidigare bloggat om. Här är en bild på sådana chip plockade från sin vanliga miljö för bättre analysmöjligheter:

Som HW-nisse med intresse för IT-säkerhet är det här nästan som julafton, och en hel månad i förväg!

Apple har börjat släppa en massa information om nästa version av MacOS X kallad Leopard. MacOS X 10.5 som OS:et även kallas kommer enligt Apple att släppas 2007-10-26. Den nya versionen skall enligt Apple ha mer än 300 nya funktioner. Jag tittade igenom listan med nya funktioner och blev överraskad över att så många saker har med säkerhet att göra:

• Authenticated Printing. Kerberos-autenticierad utskrift.
• Tagging Downloaded Applications. Applikationer som laddas ner från Internet håller OS:et reda på och första gången det skall köras måste du som användare godkänna att detta sker.
• Signed Applications. Applikationer är signerade (oklart hur).
• Application-Based Firewall. Brandväggen kan ställas in för olika applikationer, gissningsvis på motvarande sätt som Litte Snitch.
• Stronger Encryption for Disk Images. Nu kan man välja att använda AES-256 för kryptering. Förut var det bara AES-128.
• Enhanced VPN Client Compatibility. VPN-klienten stödjer nu Cisco Group Filtering och DHCP över PPP.
• Sharing and Collaboration Configuration. Dela data i foldrar skyddade med accesslistor för kontroll.
• Sandboxing. Applikationer kan placeras i en sandlåda. Mycket bra, även om det är oklart om det går att göra med valfri applikation. Vad Apple skriver är att Bonjour, Quick Look och Spotlight indexer är sanboxade.
• Library Randomization. Leopard får samma stöd som OpenBSD introducerade (om jag fattat historien rätt) och som även Windows Vista dvs att adresser/pekarna till bibliotek etc som applikationer använder slumpmässigt flyttas om så att det inte skall gå att gissa (ASLR). För Vista har det förekommit mycket diskussioner om sättet detta sker i Vista är säkert nog eller ej. Frågan är hur Apple gjort det är säkert nog. Värt att hålla ögonen på.
• Windows SMB Packet Signing. Stöd för signerat data i Windowsnätverk.
• Multiple User Certificates. En användare kan ha mer än ett certifikat och koppla dessa till olika emailadresser.
• Enhanced Smart Card Capabilities. Utökat stöd för Smart Cards. Bla kan man nu låsa/låsa upp FileVault-enheter med Smart Card.
• Kerberized NFS. Säkra upp NFS med Kerberos.

Leopard kommer även med ett rejält utbyggt stöd för Parental Control, dvs olika funktioner som gör det möjligt för föräldrar att kontrollera och övervaka sina barns datoranvändande.

Som icke-förälder ser jag ganska snett på den här typen av datorsäkerhet, men tydligen tror Apple att det är en bra sak att peta in. Nya Parental Control-funktionerna inkluderar saker som:

• Time Limits and Bedtimes. Styr hur länge barnet får använda datorn och mellan vilka tider.
• Dynamic Web Filter. Webbfilter för att som Apple uttrycker det: Protect your children from websites with unsuitable content.
• Activity Logging. Logga vad dina barn sysslar med på datorn och Internet.
• Remote Control & Monitoring. Kontrollera ditt barns datoranvändning på avstånd (borde ha vissa säkerhetsimplikationer skulle man kunna tänka sig.)
• Wikipedia Content Filter. Ett specifikt filter för Wikipedia(!) som enligt Apple: Limit access to profanity in Wikipedia. (Jösses!)
• Curfew. Oklart vad det innebär, men det låter som den typiskt Amerikanska bestraffningsmetoden att under en begränsad tid begränsa användning eller rörelsen hos en person. Ex att ett barn skall vara hemma vid en viss tid. Nu har det alltså kommit till datorernas värld.

En mer udda säkerhetsdetalj i Leopard är kanske det här: Microsoft WHCL-Certified Windows Drivers. Drivare för iSight-kamera, trackpad, keyboard backlighting etc är certifierade för Windows

Slutligen innehåller Leopard flera spännande nyheter som kan sägas vara kopplade till säkerhet, men som inte är specifika säkerhetsfunktioner:

• DTrace. Suns fantastiska teknik Dtrace för att proba i ett OS. Kallas tydligen även för Instruments i Leopard.
• Time Machine. En vad det verkar ganska unik typ av backup-program som om inte annat förhoppningsvis gör att mängden data som går förlorad i världen minskar.

Sedan får man se hur det verkligen fungerar. En sista sak värd att notera är dock följande lilla notis:

UNIX® Certification

Mac OS X is now a fully certified UNIX operating system, conforming to both the Single UNIX Specification (SUSv3) and POSIX 1003.1. Deploy Leopard in environments that demand full UNIX conformance and enjoy expanded support for open standards popular in the UNIX community such as the OASIS Open Document Format (ODF) or ECMA’s Office XML.

Jag som tyckte att jag precis läste att analysföretaget Gartner hävdade att UNIX var dött både som OS och som applikationsplattform. Lite märkligt dock att Apple nämner ECMA Office XML som populärt format. Finns det något Open Source-projekt som använder det formatet?

129 USD skall det nya OS:et kosta när det släpps i USA (det går att förbeställa) Detta borde innebära att det hamnar runt 800-900 SEK i Sverige. Shoppar nog inte samma dag det kommer ut, men det verkar finnas mycket spännande under huven så det blir nog Leopard i höst. (Leopard is the new black.)

Det finns en tidning på Internet om IT-säkerhet kallad Uninformed. Syftet med tidningen är enl tidningens redaktörer:

Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. The goal, as the name implies, is to act as a medium for informing the uninformed. The research presented here is simply an example of the evolutionary thought that affects all academic and professional disciplines.

Det åttonde numret av Uniformed släpptes för ett par veckor sedan och innehåller artiklar om:

- Covert Communications: Real-time Steganography with RTP
Author: I)ruid

- Engineering in Reverse: PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3
Author: Skywing

- Exploitation Technology: Getting out of Jail: Escaping Internet Explorer Protected Mode
Author: Skywing

- Exploitation Technology: OS X Kernel-mode Exploitation in a Weekend
Author: David Maynor

- Rootkits: A Catalog of Local Windows Kernel-mode Backdoor Techniques
Authors: skape & Skywing

- Static Analysis: Generalizing Data Flow Information
Author: skape

Webbplatsen Embedded System Design har en artikel med undertiteln Encryption is not Security som, anser jag, ger en bra introduktion till hur man skall resonera vid design av säkra inbyggda system.

Ett skäl till varför jag tycker att artikeln är bra är att den tar upp ett fenomen jag stöter på ibland, ett fenomen som artikeln beskriver så här:

Ask some developers and device makers about the security of their mobile and embedded devices and they’re likely to tell you about their encryption strength. Then they will probably stop talking.

Artikeln övergår sedan till att beskriva hur man på ett praktiskt sätt kan göra en säkerhetsanalys av sitt system, de användningsfall och den miljö systemet är avsett att fungera i. Artikeln använder en smartphone som exempel:

(Bilden är av rätt kass kvalitet, även i artikeln.)

När analysen är gjord kan man sedan identifiera de komponenter och delsystem som behövs för att säkra systemet. Bland dessa komponenter kan krypton finnas med, men det är inte givet på förhand.

En sak jag gillar med artikeln är att den betonar fokus på applikationen och affärsnyttan. Säkerhetsproblem kostar pengar när de inträffar och därför är det viktigt att börja med att identifiera vilka dessa kostnader är:

ying the threat to a business issue makes it much easier to communicate. If top managers don’t understand the threat, it will be much harder for you to win funding and other resources you need to address it. Also, writing the threat from a business perspective helps make sure it gets appropriate attention.

If the description at the base of your threat tree is complicated and/or vague, it can be tough to determine how much attention that issue really needs. Anybody, regardless of technical background, should be able to understand the root threat.

Med tanke på den debatt som pågår om behovet av kompetens, bland konstruktörer, projektledare etc vad gäller att kunna bygga säkra system är den här artikeln en utmärkt, kortfattad introduktion. Ett klart lästips från Kryptoblog.

Ross Andersson, författaren till den fantastiska boken Security Engineering (som finns för nedladdning - läs!) är forskare vid Cambridge Computer Laboratory - den i mitt tycke forskningsgrupp i Europa som producerar flest intressanta forskningsresultat inom IT-säkerhet. Deras blogg Light Blue Touchpaper innehåller ständigt nya spännande rön.

(Ross Andersson)

Tillsammans med Tyler Moore har Ross Andersson skrivit en större artikel som försöker ange riktning och möjligheter till framtida forskning som försöker behandla IT-säkerhet utifrån ekonomiska termer och incitament. Information Security Economics - and Beyond släpptes i slutet av Augusti och har genererat en hel del diskussioner bland forskare inom IT-säkerhet. (Ross har även hållit en presentation i ämnet och presentationsmaterialet finns att ladda ner.)

Sammanfattningen för artikeln förklarar närmare:

The economics of information security has recently become a thriving and fast-moving discipline. As distributed systems are assembled from machines belonging to principals with divergent interests, incentives are becoming as important to dependability as technical design.

The new field provides valuable insights not just into ‘security’ topics such as privacy, bugs, spam, and phishing, but into more general areas such as system dependability (the design of peer-to-peer systems and the optimal
balance of effort by programmers and testers), and policy (particularly digital rights management).

This research program has been starting to spill over into more general security questions (such as law-enforcement strategy), and into the interface between security and sociology. Most recently it has started to interact with psychology, both through the psychology-and-economics tradition and in response to phishing. The promise of this research program is a novel framework for analyzing information security problems – one that is both principled and effective

Ett exempel på problem inom IT-säkerhet som artikeln tar upp är bankbedrägerier och bankernas kostnader för IT-säkerhet:

In the USA, banks are generally liable for the costs of card fraud; when a customer disputes a transaction, the bank must either show she is trying to cheat it, or refund her money. In the UK, the banks had a much easier ride: they generally got away with claiming that their systems were ‘secure’, and telling customers who complained that they must be mistaken or lying. “Lucky
bankers,” one might think; yet UK banks spent more on security and suffered more fraud. This may have been what economists call a moral-hazard effect: UK bank staff knew that customer complaints would not be taken seriously, so they became lazy and careless, leading to an epidemic of fraud

Ett annat problem är hur man får ut bättre och säkrare protokoll på Internet:

Network effects can also influence the initial deployment of security technology, whose benefit may depend on the number of users who adopt it. The cost may exceed the benefit until a minimum number adopt; so everyone might wait for others to go first, and the technology never gets deployed. Recently, Ozment and Schechter have analyzed different approaches
for overcoming such bootstrapping problems [17].

This challenge is particularly topical. A number of core Internet protocols, such as DNS and routing, are considered insecure. Better protocols exist (e.g., DNSSEC, S-BGP); the challenge is to get them adopted. Two widely-deployed security protocols, SSH and IPsec, both overcame the bootstrapping problem by providing significant internal benefits to adopting firms, with the result that they could be adopted one firm at a time, rather than needing everyone to move at once. The deployment of fax machines was similar: many companies initially bought fax machines to connect their own offices.

Jag tycker att Ross och Tylers artikel är mycket läsvärd och leder förhoppningsvis till ny forskning där ekonomiska, sociala och psykologiska aspekter kopplas samman med IT-säkerhet. Att det finns goda möjligheter att hitta nya förklaringsmodeller och därmed lösningar på befintliga problem tycker jag efter att ha läst artikeln verkar klart.

(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med - så nu kommer en radda postningar med lästips.)

Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.

Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga - utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, både tekniken i sig och användningen av tekniken, övergick från i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:

During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.

When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.

Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.

Det är två saker som jag reagerar på när jag läser Ilshammars rapport. Dels hur fort omslaget från en i grunden positiv inställning till en negativ inställning gick. På några få år, från 1968 till ungefär 1972, slår attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar på är vilka som gick i frontlinjen för att värna den personliga integriteten - det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag går i frontlinjen för att inskränka integriteten med hjälp av datorer.

Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.

En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)

Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot - phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc - detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk på Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltså en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i många fall global exponering.

I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.