|
Nyhetsbrevet Emailsynaren Nr 3, 2000-10-31
Nyhetsbrevet får citeras och användas
helt eller delvis, under förutsättning att hänvisning
sker till:
http://hem.fyristorg.com/emailsynaren
Eva.marie.andersson@work.utfors.se
Avanmälan av nyhetsbrevet sker från hemsidan.
Sänd gärna kommentarer eller synpunkter,
som jag kan följa upp i
efterföljande nyhetsbrev.
Innehåll i detta nummer
1. TEMA: Nackdel med öppen
kod
2. Lösenordsparadox
3. Svenskar knäckte RSA i Singhs kryptotävling
4. SMDI 6 olika skydd knäckta
5. Rijndael väntad vinnare av AES
6. Förbättrade regler för export
av kryptering från Sverige
7. Storbritannien får lag för e-postkontroll
8. Zonealarm bra personlig brandvägg
9. Carnivore kan mera
10. Svenska börsbolag dåliga på
IT-säkerhet
11. Napster + CIA
12. Bondtrix för att läsa andras Hotmail
13. Avlyssningslag i Ryssland
14. Computer associates har hål i etrust
15. Emailsynaren allt populärare
1. TEMA: Nackdel med öppen kod
Inom säkerhet och programvaror förordar
många öppen kod. Huvudanledningen är att i
princip alla kan granska koden för att upptäcka
fel, och på så sätt successivt förbättra
säkerheten. Det är också helt korrekt, men
det finns baksidor som enligt min mening överväger
och som allt fler börjar uppmärksamma.
Det finns de som anklagar mig för att
vara lite psykopatiskt lagd när det gäller säkerhet,
men jag tror det finns många som inte alls är vänligt
sinnade (läs: kriminella samt avlyssnande myndigheter)
och därför kraftigt förordar öppen kod.
1.1 Dina fiender utnyttjar öppenheten
Öppenheten går att utnyttja utan att det behöver
vara något fel. Granskas koden kan fienden tänka
ut svagaste punkterna eller olika metoder att attackera dig.
Fienden kanske bygger en enkel programrad som gör att
din kryptering alltid genererar exakt samma nyckel, eller
att det alltid skickas ett extra e-mail med nyckel till viss
adress. Programraden skickas in till dig i ett "vänligt"
worddokument med e-mail, ungefär som virusattacker. Ett
skräddarsytt virus bara för att skada dig eller
de som har visst program är väldigt svårt
att komma från. Utnyttjas du på det här sättet
märker du förmodligen dessutom aldrig detta. Upptäcks
felet tror man nog det är en bugg bland andra buggar.
Risken för insiderbrott, där brottet
är att lägga till en programkod i någon dator,
ökar dramatiskt, det kan var illojala anställda,
f.d. anställd, städpersonal, konsulter, pryos, någon
som är mutad eller utsatt för utpressning. Görs
ett sådant här brott kommer det aldrig upptäckas
om det görs på rätt sätt. Vi har med
människor att göra och svagaste länken på
människorna i din omgivning är din säkerhetsnivå.
Program som inte har öppen kod, kan givetvis
också bli utsatta för olika typer av manipulationer,
men risken blir radikalt avskuren, svårigheten ökar
kraftigt samt att det vanligtvis också upptäcks.
Den hackerattack som skett mot Microsoft nyligen,
där det befaras att hackarna fått tag i källkod,
är kopieringsrisken oväsentlig, företagshemligheter
viktigt, men största risken är att öppenheten
i koden kan komma att utnyttjas säkerhetsmässigt.
1.2 Fel i program
Det kan finnas fel i alla program, och det är större
risk att en eventuell fiende hittar felet och utnyttjar det,
än att en vän hittar felet och hjälper dig
att fixa felet. Det är obalans i incitamentet. Fienden
har nytta av att hitta felet och söker felet eller olika
metoder att utnyttja koden. Du själv eller någon
expert har ett annat incitament som gör att den granskningen
kommer i andra hand.
1.3 Duperad kod
Finns koden öppen för viss produkt är det mycket
enkelt att gör om den, med inbyggd trojan, eller andra
sätt. Sedan kompilera den och leverera som en perfekt
produkt. PGP har t.ex. blivit utsatt för detta. Givetvis
kan man se till att ladda hem från platser som man tycker
är trovärdiga.
Har du själv en perfekt produkt laddad
från kontrollerad källa, så vet du inte om
andra användare har det. Andras slarv påverkar
då din säkerhet.
Det sägs ofta att öppen kod är
garanti mot trojaner eller motsvarande. Skulle jag själv
vara engagerad i att få in trojaner i människors
datorer, så skulle jag givetvis presentera öppen
kod. Sedan leverera något annat, eller erbjuda en uppdatering
som planterar in detta. Jag tror den här typen av risk
är större på säkerhetsprodukter än
andra produkter av den anledningen att de som skyddar sig
troligtvis ser behovet och värdet av skyddet.
1.4 Är koden = levererad produkt.
Du får aldrig någon garanti, för att den
öppna koden är samma som den kompilerade produkten
(du kan givetvis kompilera själv).
Olika hashalgoritmer för kontrolltal
kan manipuleras.
1.5 Hittar du felen i koden.
Grundtanken för att ha öppen kod är att många
och de som vill från olika infallsvinklar kan granska
koden för att hitta fel. Bra tänker de flesta, men
det är väldigt få som granskar koden. För
att detta skall fungera, bör det finnas belöning
om någon hittar fel. Helt enkelt en bra metod för
att få det lönsamt och idé att lägga
ner tiden att söka fel.
Olika program som har öppen kod, har
det ofta upptäckts fel i många år efter det
att produkten lanserats. För mig är det ett tecken
på att felsökningen inte är speciellt effektiv.
1.6 Bakåtkompilera
Alla kompilerade program går att bakåtkompilera
för att få fram koden. Detta är ofta dock
teoretiskt då omfattningen på jobbet är alldeles
för omfattande för någon att klara.
1.7 Krävande säkerhetsmiljöer
Krävande säkerhetsmiljöer vill av ovanstående
anledningar i princip aldrig ha säkerhetsprodukter med
öppen kod. Helst vill man ha lösningar med hårdvara
som i princip aldrig har öppen kod och det efterfrågas
heller inte öppen kod.
1.8 Utveckling
De som har öppen kod har också därmed lämnat
ut konstruktionen till andra att kopiera. Det är svårt
att ta betalt för produkter som har öppen kod. Det
här gör att
utvecklingen kan bli eftersatt.
Givetvis kan utvecklingen öka också
av öppen kod, då andra kan ta del av kunskapen
och vidareutveckla den. Det är dock mycket svårt
att hantera hur och om upphovsmannen skall bli ersatt.
1.9 Bästa av olika värdar
Den bästa kompromissen som jag kan se är att man
inte har öppen kod på IT-säkerhetsprodukter.
Koden bör ändå ges möjlighet att granskas
av experter. Det kan vara externa företag eller experter
som helt enkelt ger ett granskningsutlåtande av koden,
som andra kan ta del av.
Finner man fel, så kommer inte företaget
vilja offentliggöra felet, men säkerligen rätta
till felet vilket är viktigast för användaren.
Under en period har IT-säkerhetsbranschen
bara talat om öppen kod, men jag tror att det svängt
och riskerna med den öppna koden har börjat belysas
mera. Man kan nog ändå sammanfatta och säga
att det finns två skolor där den ena är för
och den andra mot öppen kod. Därför kommer
det nog finnas produkter som tillgodoser båda kategorierna
beroende på tillverkare.
2. Lösenordsparadox
I hela branschen är det en stor villfarelse
med lösenord. Alla begriper hur ett svårare lösenord
ser ut i längd och svårighet, alla tror också
att lösenordet måste man komma ihåg. Eftersom
den paradoxen inte fungerar på mer än ca 4-5 (för
mig inte ens det då jag har för många lösenord
att komma ihåg) tecken, blir lösenorden urdåliga
för nästan alla.
Det är mycket bättre att ha ett
ordentligt svårt lösenord, och skriva upp det istället.
Sedan kan man använda lite fantasi hur man skriver. Utgå
då från att någon kanske hittar din lapp
och att det då blir kamp huvud mot huvud istället
för dator mot huvud.
Några förslag på fantasifulla
sätt att skriva är enligt nedan. Grunden är
att det står något annat på din lapp än
det riktiga lösenordet, som du däremot enkelt kommer
ihåg hur du gör om. Svårigheten man bygger
in beror på vilken säkerhetsmiljö man är
i: (Exempel är lösenordet XRA)4kr31aP)
|
-
|
Skriver upp lösenordet med 5 extra
tecken framför. (T&fw3XRA)4kr31aP)
|
| |
|
|
-
|
Skriv 5 extra tecken bakom. (XRA)4kr31aPT&fw3)
|
| |
|
|
-
|
Skriv något och var 3:e tecken
tillhör lösenordet. (RuXYER7aA/4)osv….)
|
| |
|
|
-
|
Bestäm att alla a är u och
att all b är p och alla 1:or är 3:or , samt
vise versa. (XRU)4kr13uB)
|
| |
|
|
-
|
Skriv x! mitt i (XRA)4kr3x!1aP)
|
| |
|
|
-
|
Skriv något och en nummerserie
bestämmer vilken teckenordning du tar. T.ex. 1,2,3,4
eller någons telefonnummer som nummerserie. (XbR9gAio0)osv…)
|
| |
|
|
-
|
Skriv baklänges och/eller i ologiska
ordningar. (Pa13rk4)ARX)
|
|
|
|
|
-
|
Hitta på egna tecken, som betyder
vissa bokstäver och/eller siffror.
|
Skall du vara riktigt säker för
du har en riskfylld miljö, då lägger du till
fler tecken, blandar ordningen och byter ut vissa tecken till
andra kända. Bevara din hemlighet väl, så
kan du använda den på alla dina olika lösenord.
Din vinst är att du bara behöver, en hemlighet,
och att du kan skriva upp denna på en lapp, som förvaras
i din plånbok eller säker plats.
3. Svenskar knäckte RSA i Singhs kryptotävling
Författaren Simon Singh som skrivit kodboken
(rekommenderas varmt, finns också översatt till
svenska), hade i sin bok en kryptoknäckartävling
på 10 nivåer. Sista nivån
var ett RSA krypto (Används i 90% av världens krypteringsprodukter),
och den som först klarade denna skulle tjäna 10.000
USD.
Jag har skrivit om att RSA kryptot lär
knäckas ganska omgående idag av NSA och eventuellt
några myndigheter ytterligare. Nu har 5 svenskar klarat
av att knäcka utan superdatotor, och använde enligt
uppgift 12 dagars datordrift (Compaq med 4 Alpha processorer).
Med den kunskap de har skulle de garanterat minska tiden väsentligt
om de ställdes inför liknande problem.
Den faktoriseringsmetod som användes
var (GNFS), General number field sieve. Det finns ej offentliga
metoder, som är snabbare ändå.
För mig är det ytterligare bekräftande
på att kunskapen om RSA och att det är lättare
att knäcka RSA än man trott börjar bli mer
utbredd.
Vill man följa deras arbete kan man läsa
på http://answers.codebook.org
4. SMDI 6 olika skydd knäckta
Musikindustrins (SMDI) förslag på
6 olika kopieringsskydd, är knäckta. SMDI bjöd
in världens hackare att knäcka skydden med ett pris
på 60.000 USD i vinst. Slutdagen 8 oktober, hade 447
svar kommit in. 10 november skall utvärdering vara klar,
men det sägs redan nu att alla 6 skydden är knäckta.
Läs
bland annat: http://salon.com/tech/log/2000/10/12/sdmi_hacked/index.html
5. Rijndael väntad vinnare av AES
Algoritmen Rinjael har som väntat vunnit
NAST (National Institute of Standards and Technology) AES
- tävling. (AES = Advanced Encyption Standard). Syftet
med tävlingen har varit att med olika givna mått
skapa en algoritmstandard som Amerikanska myndigheter skall
använda. Även andra kommer sannolikt vara intresserade
att använda den då den är hårdtestad
av världens kryptoelit.
Tävlingen började 1996 och i juni
2001 skall Rijndael bli standard, men redan nu börjar
de första produkterna med algoritmen komma. (t.ex. Safeguard
privatecrypt, dålig produkt för övrigt)
Förmodligen är Rijndael en av världens
bästa och snabbaste krypteringsalgoritmer, men lite synd
tycker jag att det är att den supportar högst 256
bitars nyckel (AES spelregel)
Vill man läsa AES finalrapport så
finns den här i pdf-format:
http://csrc.nist.gov/encryption/aes/round2/r2report.pdf
Algoritmen har utvecklats av två Belgare,
Vincent Rijmen och Joan Daemen. Deras hemsida är bra
för den intresserade: http://www.esatkuleuven.ac.be/~rijmen/rijndael/
6. Förbättrade regler för export av kryptering
från Sverige
Från den 28 september är det fritt
att exportera krypteringsprodukter inom EU och 10 talet andra
länder. I den diskussion som pågår så
framstår det som troligt att ytterligare lättnader
kommer.
Även USA gav 20 oktober ytterligare lättnader i
sina export krypto regler.
7. Storbritannien får lag för e-postkontroll
Från den 24 oktober är det lagligt
för företag att kontrollera anställdas e-post.
I Sverige är det förmodligen lagligt men har hårt
kritiserats i en rapport av LO nyligen.
8. Zonealarm bra personlig brandvägg
Jag får ofta frågor om olika brandväggar.
Jag kan inte området speciellt bra, men har goda erfarenheter
av personlig brandvägg från Zonealarm som tillverkas
av Zonelabs. Stoppar bra attacker i båda riktningarna,
d.v.s. inte bara skummisar som vill in i din dator utan även
program som i smyg vill skicka iväg information. Zonealarm
är gratis för privatanvändare och 19,95 USD
för företag. Laddas hem från http://www.zonelabs.com
Symatec har också, Norton Internet Securuty
2000 2.0, som kostar 869 kr, som fått positiva betyg
i datorpress.
Network Associates har, Mcaffe firewall, för
307 kr men sågades totalt och fick 1 av 5 poäng
i tidningen Datormagazin.
9. Carnivore kan mera
FBI:s avlyssningsutrustning Carnivore som
placerats hos Amerikanska Internet leverantörer har nu
med hjälp av krav från Epic (Electronic Privacy
Information Center) till domstol avslöjats att den kan
och gör mycket mera än man trott tidigare. Det som
avslöjats nu är att e-postspioneriet är mycket
mer omfattande än vad som tidigare sagts och en serie
nya program presenterats som man tidigare inte känt till,
såsom Dragonware Suite, Packeteer och Coolminer.
Carnivore kan följa allt olika användare gör
på Internet och även avlyssna ip - telefonsamtal.
Mera om detta kan läsas på nedanstående
länkar:
http://www.epic.org/privacy/carnivore/foia_documents.html
http://www.securityfocus.com
http://www.zdnet.com/zdnn/stories/news/0,4586,2641902,00.html
http://www.idg.net/ic_273314_1794_9-10000.html
http://www.theregister.co.uk/content/1/13767.html
http://www.networkice.com/altivore/
http://www.computerworld.com/cwi/story/0,1199,NAV47_STO51991,00.html
10. Svenska börsbolag dåliga på IT-säkerhet
Protect Data har låtit SIFO göra
en undersökning hos Svenska börsbolag om de haft
problem med IT-säkerheten. 32% uppger att de haft problem.
Förmodligen ligger det stora mörkertal i detta,
dels så kan det vara problem som man inte känner
till, tills så berättar nog inte alla om problemen.
http://www.protectdata.com
och http://www.sifo.se
11. Napster + CIA
I den stoppade Interntsidan Flashback presenterades
en konspirationsteori att CIA ligger bakom Napster. Ett bevis
skulle vara att Napster alltid klarat sig från nedläggningshot
samtidigt som harmlösa mp3.com redan dömts.
Förmodligen är detta bara en teori,
men möjlighet att få fram information för
både CIA och andra med program som Napster får
inte underskattas. Det man till facto gör är att
låta andra gå in på sin hårddisk.
Utgå från att risken är enorm
att du får virus eller andra saker genomsökta om
du använder denna typ av program. Användande av
Napster bör betraktas som rent sabotage i företagsmiljö.
Konstruktionen med att dela med sig filer
till andra ökar också med andra typer av program
så det är inte bara Napster.
12. Bondtrix för att läsa andras Hotmail
Ett riktigt bondtrix att läsa andras
Hotmail presenterades i Aftonbladet 1 oktober. Trixet går
till så att du registrerar ett namn på en emailadress
som är samma som den du skall göra intrång
hos.
I Aftonbladet artikeln mailar sedan den falska
till Hotmail och påstår att lösenordet var
glömt. Lösenordet skickades sedan från Hotmail
på mail, och det var fritt fram.
Lite för enkelt, men tyvärr är
säkerhetstänkandet hos operatörer väldigt
lågt många gånger. Trixet skulle säkerligen
fungera även hos många andra operatörer.
13. Avlyssningslag i Ryssland
Även Ryssland har lagar och i gammal
KGB (numera FSB) stil tvingar man varje Internetoperatör
att installera deras avlyssningssystem SORM. Självklart
får Internetoperatören stå för kostnaden
på ca 20.000 USD.
14. Computer associates har hål i etrust
CA program etrust access controll 4.1 och
5.0 har ett säkerhetshål i standardinstallation
som gör att ej behöriga kan få rooträttigheter.
Välj ej standardinstallation.
15. Emailsynaren allt populärare
Hemsidan Emailsynaren blir allt populärare
och har idag ca 100 besökare om dagen. Sidan har blivit
rekommenderad hos bl.a. Yahoo, Internetworld, Ny Teknik och
massor av sidor som länkar till mig.
Jag får massor av frågor och det
är kul, men det kan ibland ta några dagar att svara.
Jag försöker svara så fort jag kan.
Varje dag kommer det in nya prenumeranter
på nyhetsbrevet.
Snart kommer en engelsk version av sidan,
och då hoppas jag inom kort nå 1.000 besökare
om dagen.
___________________SLUT___________________
|
