Arkiv för kategori ‘Säkerhet’

Småbarn vid datorn?

Publicerat: 5 augusti 2009 i Säkerhet

Att småbarn framför en dator kan ställa till det bortom vad ett erfaret IT-proffs kan rädda känner nog de flesta till.

Småbarnspappan Scott Hanselman upplevde samma sak och skrev programmet Babysmash! för att skydda sin dator från hans dotter.

När man trycker på tangentbordet dyker bokstaven man tryckte på upp på skärmen och en engelsk röst säger bokstavens namn (tyvärr lite trist dator-röst). Trycker man på andra tangenter än bokstäver dyker det upp färgglada symboler istället. Kllickar man med den stora muspekaren spelas en trudelutt.

Programmet körs i fullskärm och låser Windows-tangenten, Ctrl-Esc och Alt-Tab så att ditt barn inte enkelt kan ta sig ur programmet. Alt-F4 stänger programmet och Shift-Ctrl-Alt-O öppnar inställningsdialogen.

babysmasch

Det är tyvärr alldeles för vanligt att folk delar sin arbetsdator med barnen hemma och har man otur innehåller datorn känslig info och barnen råkar klicka på nån länk som leder till nåt elakt.

Så detta kan vara ett bra tips för de som “måste” dela med sig av datorn till kidsen, i alla fall de lite mindre. Svensk röst och möjlighet att byta ”skin” skulle dock göra den mycket bättre.

Ladda ner och läs mer här: http://www.babysmash.com

Annonser

Microsoft gick alldeles nyss ut och meddelade att man äntligen har låst Windows 7 RTM (Release To Manufacturing).

Today after all the validation checks were met, we signed off and declared build 7600 as RTM.

Källa: http://windowsteamblog.com/blogs/windows7/archive/2009/07/22/windows-7-has-been-released-to-manufacturing.aspx

Så här ser Windows 7 RTM ut efter en standardinstallation (nej, jag har inte tillgång till det än):

win7_rtm

De har alltså  bytt ut denna bakgrunden, som vi som har kört beta och RC av Windows 7 känner väl igen:

win7_beta

Alla vet det säkert redan, men bilden föreställer en Siamese fighting fish, som också kallas för betta fish. Oj, så finurliga Microsoft var där!

Så här ser den ut på riktigt:

Betta-Fish

Nej, detta kommer inte att bli en fiskblogg framöver. Men i väntan på RTM:en måste man ju fylla ut tiden med annat  🙂

Microsoft har förresten gått ut med officiella releasedatum också:

Connect, Technet & MSDN subscribers: 6th August
Microsoft Partners: 16t August
Microsoft Action Pack subscribers: 23rd August
Volume Licenses (with Software Assurance): 7th August
Volume Licenses (without Software Assurance): 1st September
General Availability: 22nd October

Så näst sista semesterdagen kommer jag att få den alltså :-)

Om Nortons UAC-ersättare

Publicerat: 22 juli 2009 i Säkerhet

Jag har tidigare bloggat om en UAC-ersättare. Även Norton labs (ingår i Symantec) har en. Den är inte i beta, men de kallar den för “experimental software”. Hmm…

nuac

Den stora fördelen med dessa externa varianter är att de har en Fråga mig inte igen om detta-kryssruta. Väldigt lockande för de saker man “vet” är okej, men som alltid ger en UAC-prompt ändå.

Jag kommer dock inte att installera Nortons UAC-prompt, mest för detta:

Q: What does Norton Labs get out of my testing?
A: DATA! Each time you see a prompt, the Norton Labs UAC Replacement sends meta information about what caused the prompt, and why, to our server.

De lägger till att även:

Microsoft records very similar timing and response information for all of Vista and Office when you agree to take part in the Customer Experience Improvement Program.

Hur många av er brukar gå med i såna? Nej, jag vill nog inte att nåt företag får reda på vad jag startar och hur ofta.

Vill ni ändå testa finns den att ladda ner här:
http://www.symantec.com/norton/theme.jsp?themeid=labs_uac&header=0&depthpath=0

Nya officiella namn från Microsoft

Publicerat: 13 juli 2009 i Säkerhet

stirling

Microsoft har nu gått ut med officiella namn på Stirling-produkterna:

Forefront codename “Stirling” – the next generation of the Forefront Security Suite for integrated, comprehensive protection across endpoints, servers and the edge – will be officially known as Forefront Protection Suite (FPS).

Stirlings så kallade Management Console kommer att heta Forefront Protection Manager

Forefront Protection Suite kommer att ha samma prisnivå som nuvarande Forefront-familjen.

Här är ytterligare officiella namn:

· Forefront Endpoint Protection 2010 – current version is Forefront Client Security

· Forefront Protection 2010 for Exchange Server – current version is Forefront Security for Exchange Server

· Forefront Protection 2010 for SharePoint – current version is Forefront Security for SharePoint

· Forefront Online Protection for Exchange – currently called Forefront Online Security for Exchange

· Forefront Threat Management Gateway Web Security Service – the next generation of ISA Server 2006.

Infon kommer från Worldwide Partner Conference, som pågår just nu.

De nya produkterna är i beta just nu, men kommer att släppas under senare halvan av 2009 och första halvan av 2010.

Vill du läsa mer om Forefront, kolla in min kollegas Anders Olssons blogg på adressen http://forefront.psynet.se, den kan jag rekommendera!

Windows 7 RTM imorgon?

Publicerat: 12 juli 2009 i Säkerhet

timthumb.php

Den slutliga versionen av Windows 7 (om man inte räknar alla kommande hotfixar och servicepacks förstås) förväntas presenteras av Microsoft på Worldwide Partner Conference i New Orleans imorgon.

Build string på RTM-versionen sägs vara 6.1.7600.16384.win7_rtm.090710-1945
vilket skulle innebära att den låstes den 10 juli, alltså bara för två dagar sedan.

Vissa hävdar att denna RTM-versionen redan är på väg till torrent-siterna, men jag avvaktar tills jag får en pålitlig källa, vissa av de tidigare läckta versionerna har ju tydligen innehållit trojaner.

Eventuellt kommer TechNet- och MSDN-prenummeranter att få tillgång till RTM-versionen direkt när den offentliggörs. Hoppas nu inte allt bara är rykten!

MSE beta finns nu att ladda ner

Publicerat: 23 juni 2009 i Säkerhet

Betan av Microsoft Security Essentials släpptes idag och här kan du ladda ner den:
http://go.microsoft.com/fwlink/?LinkID=153446

Man måste ha ett Windows Live-konto (t.ex. Hotmail) och svara på ett par enkla frågor. Dessutom kontrollerar installationen att du har en äkta version av Windows (Windows Genuine Validation).

Jag installerade det alldeles nyss och stötte inte på några problem alls. Jag har inte hunnit få någon uppfattning om prestandaskillnad, varken upp eller ner, jämfört med mitt förra antivirus Forefront Client Security.

Läs mer om vad MSE är i inlägget nedan.

Microsoft Security Essentials

Publicerat: 17 juni 2009 i Säkerhet

mse_about

Ja, så kommer alltså det officiella namnet på Microsofts nya antivirus att bli. Den har hitills gått under arbetsnamnet Morro och kommer när den släpps att vara helt kostnadsfri.

Den testas internt av Microsoft-anställda och ett fåtal externa testare, men nu har en version alltså kommit ut på fildelningsnätverken.

Storleken på installationen ligger på mellan 3 Mboch 7 Mb och det finns klienter till XP, Vista och Windows 7 (både 32 och 64 bit).

Screenshots på den läckta versionen finns här:
http://arstechnica.com/microsoft/news/2009/06/leaked-microsoft-security-essentials-codename-morro.ars

Jag avvaktar nog tills en officiel beta kommer ut och eftersom den ska släppas skarpt under 2009 bör det inte dröja så länge.

Wireshark 1.2 ute

Publicerat: 17 juni 2009 i Säkerhet

Wireshark

Häromdagen släpptes version 1.2 av nätverkssniffern Wireshark.

Eftersom jag inte använder det dagligen uppskattar jag speciellt autocompletion av display-filter i den nya versionen. Dessutom finns den nu i 64-bitars.

Här är alla nyheter:

New and Updated Features

The following features are new (or have been significantly updated) since version 1.0:

  • Wireshark has a spiffy new start page.
  • Display filters now autocomplete.
  • A 64-bit Windows (x64) installer is now provided.
  • Support for the c-ares resolver library has been added. It has many advantages over ADNS.
  • Many new protocol dissectors and capture file formats have been added (see below for a complete list).
  • Macintosh OS X support has been improved.
  • GeoIP database lookups.
  • OpenStreetMap + GeoIP integration.
  • Improved Postscript® print output.
  • The preference handling code is now much smarter about changes.
  • Support for Pcap-ng, the next-generation capture file format.
  • Support for process information correlation via IPFIX.
  • Column widths are now saved.
  • The last used configuration profile is now saved.
  • Protocol preferences are changeable from the packet details context menu.
  • Support for IP packet comparison.
  • Capinfos now shows the average packet rate.
  • GTK1 is no longer supported. (Yes, this is a feature.)
  • Official Windows packages are now built using Microsoft Visual C++ 2008 SP1.

Läs mer och ladda ner här:
http://www.wireshark.org

locknote

Tillhör du dem som sparar ner lösenord och annat hemligt i notepad-dokument?

Tack vare LockNote kan du fortsätta med samma beteende, men på ett mycket säkrare sätt!

LockNote är applikation och dokument i ett, som lagrar dina hemligheter (krypterat med 256-bit AES) direkt i exe-filen.

 

LockNote är bara 312 kb stor och kräver ingen installation, smidigt att ha på USB-pinne med andra ord.

Tyvärr klarar den bara text, dvs inga bilder eller formattering.

Första gången du startar LockNote får du ange ett lösenord och detta måste anges varje gång du öppnar dokumentet i fortsättningen.

locknote 

Det finns inget sätt att dela upp information i LockNote, men man kan enkelt skapa kopior av filen och ha olika namn (och lösen om man vill), t.ex, licenser.exe, bank.exe och HemligaDrömmar.exe.

Locknote är ingen fullfjädrad lösning, men ett väldigt smidigt sätt att hantera lösenord och annan information på ett säkrare sätt.

Programmet är gratis och dessutom Open Source.

Ladda ner och lär mer här:
http://www.steganos.com/products/for-free/locknote/overview/

Om du börjar använda LockNote, skriv gärna en kommentar om vad du tycker om det.

Steve Riley slutar på Microsoft

Publicerat: 7 maj 2009 i Säkerhet

Efter en nyligen genomförd omstrukturering på Microsoft tog de bort Steve Rileys roll och han fick tyvärr sluta på Microsoft.

Steve är en säkerhetsexpert som har hållit mycket uppskattade föreläsningar och presentationer. Han har jobbat med allt från djupare säkerhet som IPSec-konfigurationer till övergripande frågor om framtidens säkerhet och ofta lyckats påpeka missar vi gör i vårat säkerhetstänk.

Han har varit en profil på Micrsoft med sin avslappnade talarstil och är oftast den enda föreläsare som inte är klädd som alla andra.

Steve kommer inte att tala i TechEd i år, men han kommer inte att försvinna från säkerhetsområdet. Hans nya blogg hittar ni här:

http://msinfluentials.com/blogs/steveriley/default.aspx

När man har blir blivit smittad av Conficker spärras ett antal webbsidor, mest säkerhetrelaterade sidor. Man kan alltså inte nå dem från den smittade maskinen, vilket är ett ganska smart drag från Conficker-utvecklarnas sida eftersom det är till sådana sidor man vänder sig för att bli av med viruset.

Men detta beteende kan också användas för att snabbt testa om man har blivit smittad. Går man till följande adress laddas bilder från sex olika webbsidor som Conficker spärrar.

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ser man alla sex bilder (nej, det finns inga sexbilder där) har du troligen inte infekterats av Conficker. Olika kombinationer av saknade bilder tyder på infektion av olika versioner av Conficker. Allt förklaras tydligt på webbsidan.

En intressant sak med Conficker är att om man har Rumänskt tangentbordslayout deaktiveras viruset. En hint om ursprung kanske?  🙂

ie8

Ikväll kl 17.00 svensk tid släpps den skarpa versionen av IE8.

Man kommer att kunna ladda ner den från http://www.microsoft.com/ie8, men går man dit nu ser man fortfarande bara info om RC1.

Den släpps på 25 språk samtidigt och jag antar att svenska är ett av språken.

Jag kör själv både Internet Explorer, Firefox och Chrome och ser olika fördelar med alla. Tyvärr är det en nackdel att inte alltid använda samma, eftersom man vänjer sig med vissa kortkommandon och funktioner som skiljer mellan läsarna. Jag kör inte Opera, men kanske borde kolla på det.

Det ska bli kul att testa IE8, men jag tror inte den kommer att kunna ersätta de andra webbläsarna till 100%.

Här är pressreleasen:
http://www.microsoft.com/Presspass/press/2009/mar09/03-18IE8AvailablePR.mspx

Lite aktuell webbläsarstatistik

Webbläsarfamilj:

webbstats1

Webbläsarversion:

versions1

Operativsystem:

os

Lite intressant är att för varannan Linux-surfare finns det en iPhone-surfare. Linux har massor av distros, versioner och tillverkare, iPhone är en specifik telefonmodell från en enda tillverkare.

Om du har Windows Update inställt på att automatiskt ladda ner och installera uppdateringar kommer Windows varje månad även att köra senaste versionen av Malicious Software Removal Tool (eller Borttagning av skadlig programvara som den heter på svenska). Den körs helt i bakgrunden, utan att man märker det.

MRT ersätter inte ett vanligt antivirus, då det inte förhindrar infektion, utan bara upptäcker och tar bort på redan infekterade datorer. Dessutom är listan på vad den kan upptäcka och ta bort inte lika komplett som ett riktigt antivirus (bara 135 olika skadliga program i nuläget).

Men MRT kan ändå vara ett bra komplement. Det släpps en ny version andra tisdagen i varje månad och den senaste versionen 2.7 hanterar bland annat Conficker.

Om du tror att du har blivit infekterad av någonting kan du manuellt starta verktyget. På Windows XP och i Vista klickar man på Start, väljer Kör och skriver ”mrt” följt av Retur.

I Windows 7 Beta funkar inte detta, men då kan man ladda ner verktyget själv (vilket man också behöver göra om man inte automatiskt kör Windows Update). Se länkar längre ned.

När du startar Malicious Software Removal Tool ser du följande:

mrt-start

mrt-options

mrt-inaction

mrt-results

En Quick Scan tar bara någon minut, medan en Full Scan kanske är något man kör över en natt, då den beror på hur mycket data du har lagrat på din dator. På min hyfsat nyinstallerade laptop tog det knappt två timmar.

För mer information om Malicious Software Removal Tool, inklusive en aktuell lista med vilka virus och trojaner den upptäcker, finns här:
http://support.microsoft.com/?kbid=890830

Direktlänkar till nedladdning av de senaste versionerna:

32-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
64-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyId=585D2BDE-367F-495E-94E7-6349F4EFFC74&displaylang=en

Prisjakt/Minhembio hackade

Publicerat: 17 februari 2009 i Säkerhet

pjmhb

Jag fick för 20 min ett mail från Prisjakt/Minhembio om att deras lösenordsdatabas har blivit hackade. Sajterna Prisjakt och Minhembio drivs av samma folk och har ett gemensamt konto.

Några citat från mailet :

Tyvärr måste vi meddela att stora delar av de lösenord, som används för att logga in på Prisjakt/Minhembio, har stulits i samband med ett datorintrång. Nu skiljer sig dock den här lösenordsstölden från andra liknande händelser genom att alla våra lösenord är ordentligt krypterade och att vi går ut med det hela före det att någon illvillig person hunnit offentliggöra några uppgifter.

Någon person har kommit över ett lösenord till ett administrationskonto i vårt diskussionsforum. Genom att utnyttja de funktioner som funnits där samt genom en säkerhetsbrist har personen lyckats hämta ut en lista bestående av användarnas användarnamn, mailadresser och krypterade lösenord.

Samtliga våra egna lösenord är naturligtvis bytta. De funktioner som har använts har inaktiverats. Dessutom har flera åtgärder vidtagits som var och en skulle hindra att något liknande skulle kunna ske igen. Trots detta vill vi för säkerhets skull uppmana våra användare att dels välja längre lösenord och dels att inte återanvända lösenord.

Händelsen har polisanmälts.
Vi vill återigen beklaga det inträffade och försäkrar om att vårt säkerhetsmedvetande ökat åtminstone med 2 snäpp.

Det är som vanligt synd att det måste ske en incident för att man ska öka säkerhetsmedvetandet.

Jag tycker dock att de hanterar situationen på ett bra sett, med ett stort undantag. I mailet fanns det en unik länk som gick direkt till en lösenordsbytarsida för mitt konto. Jag kunde alltså byta mitt lösenord utan att ange mitt gamla först! Detta är visserligen ett vanligt sätt att återställa ett lösenord på, men då görs det på beställning av användaren, inte som massutskick till alla. Då mailen inte var krypterade innebär detta en större risk än att krypterade lösenord är på vift.

Vi får se vilka konsekvenser detta får, ska bli spännande att se om några lösenord dyker upp på nätet så småningom.

BackTrack 4 beta ute

Publicerat: 12 februari 2009 i Säkerhet

bt4

Häromdagen släpptes BackTrack 4 beta. Man kan ladda ner både en iso och en virtuell maskin:

http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-iso
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-vm

Grabbarna bakom pentest-verktyget (och sajten Remote Exploit) vill gärna att man laddar ner via dessa länkar så de kan ha koll på hur många som laddar ner. Jag har inte hunnit testa 4:an själv än, skriv gärna en kommentar här vad du tycker om du testar den!

Man kan även i 4:an installera på en USB-pinne, vilket är bra om man t.ex. vill köra från en netbook som inte har CD-spelare.

En lite rolig detalj är att man kan köpa reklamplats i BackTrack. Startsidan i webbläsaren som följer med visar nämligen banners och dessa kan man alltså köpa in sig på. Man kan för 400-600 euro också få en brandad version av BackTrack med en egen logga. Då slipper man dessutom reklamen. Läs mer om dessa tjänster här: http://www.remote-exploit.org/services.html.
Men det borde väl inte vara så svårt att lösa detta själv om man är lite händig eller enveten? Om man har behovet och känner att man inte vill sponsra dem för allt jobb de har lagt ner vill säga.

Tänk på att alltid få tillstånd från systemägaren innan du använder dessa verktyg mot ett system som du inte äger själv!  🙂

Microsoft Security Advisory (961051)

Publicerat: 17 december 2008 i Säkerhet

Just nu finns det en aktiv exploit ute på nätet som gör att en elaking enkelt kan köra valifri kod på din dator. De webbläsarversioner som drabbas är Internet Explorer 5, 6, 7 och till och med betan av IE 8.

Det kommer ofta nya expolits, men denna är extra illa eftersom det räcker med att du besöker en smittad hemsida för att själv bli smittad.

Microsoft kommer att släppa en out-of-band patch som troligen kommer bli tillgänglig senare ikväll, gissningsvis runt 19.00.

Installera patchen så fort den kommer! Det finns över 100 000 webbsidor som har den här elaka koden på sig och antalet växer.

Hur man skyddar sig tills dess då?  Tja, om du inte redan gör det, kör en annan webbläsare. Man kan också sätta Internet zone security setting till High i Internet Explorer och sedan tacka nej till alla prompter om ActiveX Controls och Active Scripting (detta begränsar dock funktionaliteten en hel del). Kör man som vanlig användare och inte som administratör (för det gör du väl inte) begränsar man påverkan av attacken rejält.

Här är ytterligare tekniska skyddsåtgärder, om du inte vill göra nåt av det ovanstående:

3. Disable XML Island Functionality
4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL
5. Disable Row Position functionality of OLEDB32.dll
6. Unregister OLEDB32.DLL
7. Use ACL to disable OLEDB32.DLL
8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008
9. Disable Data Binding support in Internet Explorer 8

När man har inkonsekventa problem med namnuppslagning, nätförbindelser och överfiltrerande brandväggar kan det ibland vara svårt att felsöka.

Ett av verktygen man kan använda är den finurliga webbsidan:

http://downforeveryoneorjustme.com

Den kan användas för att testa om det bara är du som inte kan nå en viss webbsida eller om ingen annan heller kan nå den. I praktiken är det inte ”alla andra” utan bara just den webbservern, men det kan ändå hjälpa ibland, förutsatt att du kommer ut på Internet och åtminstone når denna webbsidan.

På webbsidan anger man helt enkelt adressen man undrar om. Man får upp ett av tre svar:

– It’s just you.
– It’s not just you.
– Doesn’t look like a site.

Med denna sidan slipper man fråga sina kompisar om de når sidan, extra bra om man är uppe mitt i natten och felsöker  🙂

Enligt WHOIS ägs IP-adressen bakom downforeveryoneorjustme.com av Google. All kontaktinfo pekar mot San Fransisco.

Signera din epost

Publicerat: 4 december 2008 i Säkerhet

Företaget Comodo, som bland annat tillverkar brandväggar och antivirus, erbjuder gratis epost-certifikat till vem som helst.

Vad är fördelen med att signera ett epostmeddelande? Jo, mottagaren kan vara relativt säker på att det verkligen är du som har skickat brevet och att det dessutom inte har manipulerats på vägen till dig. Dagens epostsystem har oftast ingen som helst kontroll på vem som gör vad och det är riktigt enkelt att fejka avsändare:

homermail

Men det är alltså lika enkelt att skaffa ett epost-certifikat. Även om du normalt inte använder Internet Explorer är det ändå bra att använda den för just detta, eftersom den lagrar certifikaten i Windows. Firefox har en egen hantering av certifikat.

Gå till denna adress:

https://secure.comodo.com/products/frontpage?area=SecureemailCertificate

Fyll i förnamn, efternamn, epost och land. Glöm inte att kryssa ur valet för Comodo Newsletter (om du inte vill ha det).

En kort stund efter att du tryckt på Agree & Continue kommer ett mail från Comodo till epost-adressen du angett. Tänk på att du måste göra alla steg på samma dator och att du bara kan signera epost skickat från den epostadress du angav i ansökan. Men du kan alltid ansöka om flera certifikat, ett per epostadress du använder.

Mailet innehåller instruktioner om hur du går vidare. I princip är det bara att klicka på länken i mailet och klicka på Ok-knappen. Du bör komma till en sida som säger

Collection of Secure Email Certificate
Attempting to collect and install your Free Certificate…
Successful

Nu har du installerat ditt nya certifikat i datorn och kan börja signera din epost genom att kryssa i det valet i ditt mailprogram. Hur man gör det skiljer mellan olika program, här är några exempel:

(klicka på bilden för en större version)
signknapp

Oftast finns det en inställning som gör att alla nya mail signeras automatiskt. Leta i inställningarna om du vill ha det så. Jag har inte testat Gmail eller Hotmail. Det ska finnas en plugin som klarar det via Firefox tror jag, men det får ni kolla vidare på själva.

Så här ser det ut hos mottagaren när man signerar (och när man inte gör det):

signerat

Allt detta handlar om signering. Kryptering då? Jo, de som har fått din publika del av certifikatet (det skickas med i alla mail som du signerar) kan kryptera epost till dig. Du kan bara kryptera epost om du har mottagarens publika nyckel (i alla fall utan ett tilläggsprogram).

Programmet PGP (eller freewareversionen GnuPG) gör ungefär samma sak som jag har beskrivit, men det kräver att man installerar extra program.

För att se vilka certifikat du har, välj Start / Kör och skriv certmgr.msc. Under Personal / Certificates ser du alla dina personliga certifikat. Det kan redan finnas andra certifikat där, t.ex. från vissa banker eller ditt jobb.

Resten av inlägget behöver du inte läsa för att signera din epost, det är bara lite personliga reflektioner om säkerheten i detta…

Egentligen ser jag vissa problem med denna typ av lätttillgängliga certifikat, där den enda verifikation som krävs är att man har tillgång till epostadressens Inbox. Om jag ser en olåst dator hinner jag skaffa och exportera ett giltigt certifikat för den personens epostadress på några minuter och efter det kan jag utge mig för att vara den personen, signerat och allt. Även en enkel trojan ger mig så klart denna möjlighet.

Jag har signerat min epost av och till i över 6 år nu, men det har hittills varit lite bökigt. Inte att signera, det är bara en knapptryckning, men att få tag i ett certifikat som alla litar på. Jag använder Thawtes Freepost-lösning, vilket innebär att man kan få ett epost-certifikat om minst två befintliga Freepost-notarier ackrediterar dig (genom att de träffar dig personligen, får kopior på id-handlingar som de måste spara och man skriver under ett avtal). Är det fler notarier som ackrediterar dig kan du till slut själv bli en notarie. Fördelen med detta system är att det finns spårbarhet i vem som har gått i god för vem. Hur vet Comodo att du verkligen heter det du skriver i namnfälten? Jag skulle personligen inte våga gå i god för en okänd utan att ha ”torrt på fötterna”.

Eftersom det inte finns något enkelt sätt att se vilken Assurans (tillförlitlighet) ett certifikat har, urholkar Comodos lösning förtroendet för de mer ”seriösa” certifikatutgivarna som har fler kontroller på att du verkligen är du. Som slutanvändare ser man bara ikonen som säger att eposten är signerad, inte hur väl man har kontrollerat identiteten innan certifikatet gavs ut.

Men oavsett detta innebär ju ett certifikat i alla fall att personen har haft tillgång till Inboxen, så det ökar ändå trovärdigheten en hel del jämfört med att inte signera epost alls.

Certifikatet går att exportera och sedan importera på andra datorer som du använder, men tänk på behandla den exporterade filen som känslig. Man kan ändra det till Ej Exporterbart i ansökan genom att klicka på Advanced Private Key Options. Där kan man också välja att lägga certifikatet på ett smartcard.

Men nu till den verkliga frågan: Hur kommer jag åt Homers Inbox?  🙂

Riksdagen avlyssnar SSL-trafik

Publicerat: 26 november 2008 i Säkerhet

privacydummies

Enligt ett blogginlägg av riksdagsledamoten Lage Rahm (MP) så visar det sig att Riksdagens IT-avdelning avlyssnar all webbtrafik som går till och från riksdagen, även den som är SSL-krypterad!

SSL-kryptering är ju normalt skyddad end-to-end, dvs mellan klienten och webbservern, men i och med att de använder en webbproxy (BlueCoat i detta fall, men även ISA klarar detta med tredjeparts add-ons), så kan proxyn terminera SSL-sessionen som klienten skapade och skapa en ny egen session mellan proxyn och webbservern. Terminera i detta fall betyder inte att stänga av utan att avsluta krypteringen. Detta gör att även SSL-krypterad trafik kan inspekteras/spioneras på.

En klient skulle i en sån här man-in-the-middle attack normalt klaga på att proxyn inte kan visa upp ett giltigt certifikat som matchar webbadressen, men eftersom de som driftar denna proxylösning även kan ge ut certifikat som klienten litar på (via sin interna PKI-lösning) kan proxyn i realtid generera giltiga webbcertifikat för vilken webbadress som helst.

Det enda sättet att upptäcka detta är att manuellt kontrollera vilken CA som har signerat webbservercertifikatet för webbadressen man besöker. Är det en extern leverantör med gott rykte (t.ex. Verisign, Thawte, Equifax) så är det troligen okej, men om det är signerat av en intern CA-server är det ett tecken på att detta sker. Det bästa sättet är att verifiera det är förstås att kontrollera vilken CA som har signerat webbserverns certifikat via en annan anslutning än den man misstänker.

Spana in denna bilden om det jag skrev lät förvillande (klicka på den för en större version):

sslmitm

Jag ser egentligen inte denna teknik som ett problem, det man gör från en arbetsgivares verktyg och nät bör kunna övervakas, för företagets eget bästa. Men det förutsätter självklart att de som övervakas aktivt blir informerade om vad som sker och vad det innebär för deras integritet!

Som med allt annat är det inte tekniken som är ett hot, bara uppsåt och användning av den.

Dock framgår det i texten att även ogiltiga certifikat accepteras av proxyservern. DET däremot ser jag som ett stort problem, om så verkligen är fallet! Då kan jag sätta upp http://www.enbank.se som signeras med min egen CA-server. Ingen litar på det, men deras proxy ger ändå ut ett giltigt internt certifikat, så alla riksdagens klienter litar blint på det. Inte bra.

Riksdagsledamoten Lage Rahms blogginlägg:
http://lagen.net/index.php/2008/11/storebror-ser-mig/

Här finns mer info om hur övervakning sker på svenska företag (fast här handlar det inte om Man-in-the-middle utan om att inventera vad som finns lagrat på klienterna eller med installerade agenter övervaka vad som sker på dem):
http://nyhetskanalen.se/1.733359/2008/11/22/skatteverket_vill_overvaka_mer

Säkrare Gmail-sessioner

Publicerat: 10 november 2008 i Säkerhet

gmail-lock

Jag använder själv sällan Googles Gmail, även om jag har ett par konto för tester, men mååånga av mina vänner och kollegor använder det.

Här kommer ett tips på hur man säkrar upp sina sessioner när man kollar mail.

Om man går till http://mail.google.com så redirectas man till en krypterad sida (https) för inloggning. Men när man väl har loggat in blir sessionen återigen klartext (http):

gmail-http

Även om inloggningen – och därmed ditt lösenord – är skyddat, så går nu all trafik i klartext, dvs allt du läser eller skickar kan läsas av alla som sniffar nätet. Att sniffa nättrafik (trådlöst eller kabel) är idag trivialt. Kabel kräver bara att du sitter på samma subnät (även om man kör switchat), för trådlöst räcker WLAN-täckning.

Problemet är inte bara att andra kan läsa vad du gör. Eftersom Gmail använder en Cookie för att bekräfta att du är inloggad, och denna Cookie skickas okrypterat, kan elakingarna sno Cookien, själva gå till Gmail och (utan att ange ett lösenord) komma rakt in i din inkorg. Vad man gör efter det begränsas bara av fantasin. Att beställa en reset av lösenord till en webbsite du har ett konto på och snappa upp mailet och radera det innan du ser det är bara ett exempel.

Det finns två sätt att lösa detta på. Det första och enklaste är att gå till adressen https://mail.google.com, då förblir sessionen krypterad även efter inloggning.

Det andra sättet är nästan lika enkelt, men behöver bara göras en gång per Gmail-konto:

  1. Logga in på Gmail
  2. Klicka på Inställningar
  3. Längst ned på sidan finns Webbläsaranslutning
  4. Klicka i Använd alltid https
  5. Spara ändringar.

Nu kommer dina framtida sessioner alltid vara krypterade, inte bara inloggningen:

gmail-https

Jag förstår inte varför Google inte har detta påslaget som standard. Alternativet att alltid kryptera sin session tillkom dessutom först för någon månad sen.

Google officiella anledning är att personer med låg bandbredd kan uppleva SSL-sessioner segare. Kan inte de då erbjudas möjligheten att slå av SSL, med info om vad det innebär?

Den riktiga anledningen tror jag ligger mer åt att många samtidiga SSL-anslutningar (som https använder sig av) kräver mer CPU-resurser av servern än vad http gör. Försämrad säkerhet, oavsett om det är för att vara snäll mot slöbandsanvändare eller om det är hårdvarusnålhet, tycker jag att man behöver vara tydligare med att informera om mot sina kunder.

Google kan inte längre skylla på att det är en Beta, med tanke på att Gmail lanserades för över 4,5 år sedan! Borde kanske ta bort Beta ut loggan snart…