Ny version av MBSA

Microsoft Baseline Security Analyzer är ett gratis verktyg som letar efter säkerhetspatchar som inte har installerats och vanliga misstag i säkerhetskonfigurationer. Verkyget fungerar att köra både lokalt och remote.

I torsdags kom version 2.11, en mindre uppgradering för att stödja Windows 7 och Windows Server 2008 R2.

TechNets hemsida för MBSA har inte uppdaterats med version 2.11 än, men den kan laddas ner här:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78#tm

Här finns en FAQ för MBSA.

Microsoft Security Essentials släppt

 

Cirka 4 månader efter release av betaversionen släpptes igår den skarpa versionen av Microsoft Security Essentials, det vill säga Microsofts kostnadsfria program för skydd mot spyware och virus.

Jag har kört betan i ett antal månader nu och den verkar vara stabil och resurssnål. Jag kommer nog att fortsätta köra MSE på de flesta av mina datorer.

Den går att ladda ner från
http://www.microsoft.com/security_essentials/
och den är 4,7 Mb stor.

Microsoft Security Essentials riktar sig till slutanvändare, företag rekommenderas att använda ForeFront Client, Microsofts företagslösning som har bättre funktioner för storskaliga IT-miljöer.

——————————————-
Uppdaterat:

Jag kunde ladda ner filerna när det släpptes, men inte nu längre. MSE är tydligen inte tillgängligt i alla regioner och det verkar som om de missade att strypa ner det initialt.

Här är direktlänkar till filerna på Microsofts servrar. För att jag inte hamna i trubbel: Ladda bara ner om du befinner dig i en region som Microsoft erbjuder MSE i. 

32-bitars  Windows XP:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-x86fre-en-us-xp.exe

32-bitars  Windows Vista och Windows 7:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-x86fre-en-us-vista-win7.exe

64-bitars  Windows Vista och Windows 7:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-amd64fre-en-us-vista-win7.exe

Småbarn vid datorn?

Att småbarn framför en dator kan ställa till det bortom vad ett erfaret IT-proffs kan rädda känner nog de flesta till.

Småbarnspappan Scott Hanselman upplevde samma sak och skrev programmet Babysmash! för att skydda sin dator från hans dotter.

När man trycker på tangentbordet dyker bokstaven man tryckte på upp på skärmen och en engelsk röst säger bokstavens namn (tyvärr lite trist dator-röst). Trycker man på andra tangenter än bokstäver dyker det upp färgglada symboler istället. Kllickar man med den stora muspekaren spelas en trudelutt.

Programmet körs i fullskärm och låser Windows-tangenten, Ctrl-Esc och Alt-Tab så att ditt barn inte enkelt kan ta sig ur programmet. Alt-F4 stänger programmet och Shift-Ctrl-Alt-O öppnar inställningsdialogen.

Det är tyvärr alldeles för vanligt att folk delar sin arbetsdator med barnen hemma och har man otur innehåller datorn känslig info och barnen råkar klicka på nån länk som leder till nåt elakt.

Så detta kan vara ett bra tips för de som “måste” dela med sig av datorn till kidsen, i alla fall de lite mindre. Svensk röst och möjlighet att byta ”skin” skulle dock göra den mycket bättre.

Ladda ner och läs mer här: http://www.babysmash.com

Windows 7 är RTM och fisken är borta!

Microsoft gick alldeles nyss ut och meddelade att man äntligen har låst Windows 7 RTM (Release To Manufacturing).

Today after all the validation checks were met, we signed off and declared build 7600 as RTM.

Källa: http://windowsteamblog.com/blogs/windows7/archive/2009/07/22/windows-7-has-been-released-to-manufacturing.aspx

Så här ser Windows 7 RTM ut efter en standardinstallation (nej, jag har inte tillgång till det än):

De har alltså  bytt ut denna bakgrunden, som vi som har kört beta och RC av Windows 7 känner väl igen:

Alla vet det säkert redan, men bilden föreställer en Siamese fighting fish, som också kallas för betta fish. Oj, så finurliga Microsoft var där!

Så här ser den ut på riktigt:

Nej, detta kommer inte att bli en fiskblogg framöver. Men i väntan på RTM:en måste man ju fylla ut tiden med annat 

Microsoft har förresten gått ut med officiella releasedatum också:

Connect, Technet & MSDN subscribers: 6th August
Microsoft Partners: 16t August
Microsoft Action Pack subscribers: 23rd August
Volume Licenses (with Software Assurance): 7th August
Volume Licenses (without Software Assurance): 1st September
General Availability: 22nd October

Så näst sista semesterdagen kommer jag att få den alltså

Om Nortons UAC-ersättare

Jag har tidigare bloggat om en UAC-ersättare. Även Norton labs (ingår i Symantec) har en. Den är inte i beta, men de kallar den för “experimental software”. Hmm…

Den stora fördelen med dessa externa varianter är att de har en Fråga mig inte igen om detta-kryssruta. Väldigt lockande för de saker man “vet” är okej, men som alltid ger en UAC-prompt ändå.

Jag kommer dock inte att installera Nortons UAC-prompt, mest för detta:

Q: What does Norton Labs get out of my testing?
A: DATA! Each time you see a prompt, the Norton Labs UAC Replacement sends meta information about what caused the prompt, and why, to our server.

De lägger till att även:

Microsoft records very similar timing and response information for all of Vista and Office when you agree to take part in the Customer Experience Improvement Program.

Hur många av er brukar gå med i såna? Nej, jag vill nog inte att nåt företag får reda på vad jag startar och hur ofta.

Vill ni ändå testa finns den att ladda ner här:
http://www.symantec.com/norton/theme.jsp?themeid=labs_uac&header=0&depthpath=0

Nya officiella namn från Microsoft

Microsoft har nu gått ut med officiella namn på Stirling-produkterna:

Forefront codename “Stirling” – the next generation of the Forefront Security Suite for integrated, comprehensive protection across endpoints, servers and the edge – will be officially known as Forefront Protection Suite (FPS).

Stirlings så kallade Management Console kommer att heta Forefront Protection Manager

Forefront Protection Suite kommer att ha samma prisnivå som nuvarande Forefront-familjen.

Här är ytterligare officiella namn:

· Forefront Endpoint Protection 2010 – current version is Forefront Client Security

· Forefront Protection 2010 for Exchange Server – current version is Forefront Security for Exchange Server

· Forefront Protection 2010 for SharePoint – current version is Forefront Security for SharePoint

· Forefront Online Protection for Exchange – currently called Forefront Online Security for Exchange

· Forefront Threat Management Gateway Web Security Service – the next generation of ISA Server 2006.

Infon kommer från Worldwide Partner Conference, som pågår just nu.

De nya produkterna är i beta just nu, men kommer att släppas under senare halvan av 2009 och första halvan av 2010.

Vill du läsa mer om Forefront, kolla in min kollegas Anders Olssons blogg på adressen http://forefront.psynet.se, den kan jag rekommendera!

Windows 7 RTM imorgon?

Den slutliga versionen av Windows 7 (om man inte räknar alla kommande hotfixar och servicepacks förstås) förväntas presenteras av Microsoft på Worldwide Partner Conference i New Orleans imorgon.

Build string på RTM-versionen sägs vara 6.1.7600.16384.win7_rtm.090710-1945
vilket skulle innebära att den låstes den 10 juli, alltså bara för två dagar sedan.

Vissa hävdar att denna RTM-versionen redan är på väg till torrent-siterna, men jag avvaktar tills jag får en pålitlig källa, vissa av de tidigare läckta versionerna har ju tydligen innehållit trojaner.

Eventuellt kommer TechNet- och MSDN-prenummeranter att få tillgång till RTM-versionen direkt när den offentliggörs. Hoppas nu inte allt bara är rykten!

MSE beta finns nu att ladda ner

Betan av Microsoft Security Essentials släpptes idag och här kan du ladda ner den:
http://go.microsoft.com/fwlink/?LinkID=153446

Man måste ha ett Windows Live-konto (t.ex. Hotmail) och svara på ett par enkla frågor. Dessutom kontrollerar installationen att du har en äkta version av Windows (Windows Genuine Validation).

Jag installerade det alldeles nyss och stötte inte på några problem alls. Jag har inte hunnit få någon uppfattning om prestandaskillnad, varken upp eller ner, jämfört med mitt förra antivirus Forefront Client Security.

Läs mer om vad MSE är i inlägget nedan.

Microsoft Security Essentials

Ja, så kommer alltså det officiella namnet på Microsofts nya antivirus att bli. Den har hitills gått under arbetsnamnet Morro och kommer när den släpps att vara helt kostnadsfri.

Den testas internt av Microsoft-anställda och ett fåtal externa testare, men nu har en version alltså kommit ut på fildelningsnätverken.

Storleken på installationen ligger på mellan 3 Mboch 7 Mb och det finns klienter till XP, Vista och Windows 7 (både 32 och 64 bit).

Screenshots på den läckta versionen finns här:
http://arstechnica.com/microsoft/news/2009/06/leaked-microsoft-security-essentials-codename-morro.ars

Jag avvaktar nog tills en officiel beta kommer ut och eftersom den ska släppas skarpt under 2009 bör det inte dröja så länge.

Wireshark 1.2 ute

Häromdagen släpptes version 1.2 av nätverkssniffern Wireshark.

Eftersom jag inte använder det dagligen uppskattar jag speciellt autocompletion av display-filter i den nya versionen. Dessutom finns den nu i 64-bitars.

Här är alla nyheter:

New and Updated Features

The following features are new (or have been significantly updated) since version 1.0:

• Wireshark has a spiffy new start page.
• Display filters now autocomplete.
• A 64-bit Windows (x64) installer is now provided.
• Support for the c-ares resolver library has been added. It has many advantages over ADNS.
• Many new protocol dissectors and capture file formats have been added (see below for a complete list).
• Macintosh OS X support has been improved.
• GeoIP database lookups.
• OpenStreetMap + GeoIP integration.
• Improved Postscript® print output.
• The preference handling code is now much smarter about changes.
• Support for Pcap-ng, the next-generation capture file format.
• Support for process information correlation via IPFIX.
• Column widths are now saved.
• The last used configuration profile is now saved.
• Protocol preferences are changeable from the packet details context menu.
• Support for IP packet comparison.
• Capinfos now shows the average packet rate.
• GTK1 is no longer supported. (Yes, this is a feature.)
• Official Windows packages are now built using Microsoft Visual C++ 2008 SP1.

Läs mer och ladda ner här:
http://www.wireshark.org

LockNote = notepad med lösenord och kryptering

Tillhör du dem som sparar ner lösenord och annat hemligt i notepad-dokument?

Tack vare LockNote kan du fortsätta med samma beteende, men på ett mycket säkrare sätt!

LockNote är applikation och dokument i ett, som lagrar dina hemligheter (krypterat med 256-bit AES) direkt i exe-filen.

 

LockNote är bara 312 kb stor och kräver ingen installation, smidigt att ha på USB-pinne med andra ord.

Tyvärr klarar den bara text, dvs inga bilder eller formattering.

Första gången du startar LockNote får du ange ett lösenord och detta måste anges varje gång du öppnar dokumentet i fortsättningen.

 

Det finns inget sätt att dela upp information i LockNote, men man kan enkelt skapa kopior av filen och ha olika namn (och lösen om man vill), t.ex, licenser.exe, bank.exe och HemligaDrömmar.exe.

Locknote är ingen fullfjädrad lösning, men ett väldigt smidigt sätt att hantera lösenord och annan information på ett säkrare sätt.

Programmet är gratis och dessutom Open Source.

Ladda ner och lär mer här:
http://www.steganos.com/products/for-free/locknote/overview/

Om du börjar använda LockNote, skriv gärna en kommentar om vad du tycker om det.

Steve Riley slutar på Microsoft

Efter en nyligen genomförd omstrukturering på Microsoft tog de bort Steve Rileys roll och han fick tyvärr sluta på Microsoft.

Steve är en säkerhetsexpert som har hållit mycket uppskattade föreläsningar och presentationer. Han har jobbat med allt från djupare säkerhet som IPSec-konfigurationer till övergripande frågor om framtidens säkerhet och ofta lyckats påpeka missar vi gör i vårat säkerhetstänk.

Han har varit en profil på Micrsoft med sin avslappnade talarstil och är oftast den enda föreläsare som inte är klädd som alla andra.

Steve kommer inte att tala i TechEd i år, men han kommer inte att försvinna från säkerhetsområdet. Hans nya blogg hittar ni här:

http://msinfluentials.com/blogs/steveriley/default.aspx

Kolla enkelt om du är infekterad av Conficker

När man har blir blivit smittad av Conficker spärras ett antal webbsidor, mest säkerhetrelaterade sidor. Man kan alltså inte nå dem från den smittade maskinen, vilket är ett ganska smart drag från Conficker-utvecklarnas sida eftersom det är till sådana sidor man vänder sig för att bli av med viruset.

Men detta beteende kan också användas för att snabbt testa om man har blivit smittad. Går man till följande adress laddas bilder från sex olika webbsidor som Conficker spärrar.

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ser man alla sex bilder (nej, det finns inga sexbilder där) har du troligen inte infekterats av Conficker. Olika kombinationer av saknade bilder tyder på infektion av olika versioner av Conficker. Allt förklaras tydligt på webbsidan.

En intressant sak med Conficker är att om man har Rumänskt tangentbordslayout deaktiveras viruset. En hint om ursprung kanske? 

Internet Explorer 8 släpps ikväll!

Ikväll kl 17.00 svensk tid släpps den skarpa versionen av IE8.

Man kommer att kunna ladda ner den från http://www.microsoft.com/ie8, men går man dit nu ser man fortfarande bara info om RC1.

Den släpps på 25 språk samtidigt och jag antar att svenska är ett av språken.

Jag kör själv både Internet Explorer, Firefox och Chrome och ser olika fördelar med alla. Tyvärr är det en nackdel att inte alltid använda samma, eftersom man vänjer sig med vissa kortkommandon och funktioner som skiljer mellan läsarna. Jag kör inte Opera, men kanske borde kolla på det.

Det ska bli kul att testa IE8, men jag tror inte den kommer att kunna ersätta de andra webbläsarna till 100%.

Här är pressreleasen:
http://www.microsoft.com/Presspass/press/2009/mar09/03-18IE8AvailablePR.mspx

Lite aktuell webbläsarstatistik

Webbläsarfamilj:

Webbläsarversion:

Operativsystem:

Lite intressant är att för varannan Linux-surfare finns det en iPhone-surfare. Linux har massor av distros, versioner och tillverkare, iPhone är en specifik telefonmodell från en enda tillverkare.

Tips: Microsofts Malicious Software Removal Tool

Om du har Windows Update inställt på att automatiskt ladda ner och installera uppdateringar kommer Windows varje månad även att köra senaste versionen av Malicious Software Removal Tool (eller Borttagning av skadlig programvara som den heter på svenska). Den körs helt i bakgrunden, utan att man märker det.

MRT ersätter inte ett vanligt antivirus, då det inte förhindrar infektion, utan bara upptäcker och tar bort på redan infekterade datorer. Dessutom är listan på vad den kan upptäcka och ta bort inte lika komplett som ett riktigt antivirus (bara 135 olika skadliga program i nuläget).

Men MRT kan ändå vara ett bra komplement. Det släpps en ny version andra tisdagen i varje månad och den senaste versionen 2.7 hanterar bland annat Conficker.

Om du tror att du har blivit infekterad av någonting kan du manuellt starta verktyget. På Windows XP och i Vista klickar man på Start, väljer Kör och skriver ”mrt” följt av Retur.

I Windows 7 Beta funkar inte detta, men då kan man ladda ner verktyget själv (vilket man också behöver göra om man inte automatiskt kör Windows Update). Se länkar längre ned.

När du startar Malicious Software Removal Tool ser du följande:

En Quick Scan tar bara någon minut, medan en Full Scan kanske är något man kör över en natt, då den beror på hur mycket data du har lagrat på din dator. På min hyfsat nyinstallerade laptop tog det knappt två timmar.

För mer information om Malicious Software Removal Tool, inklusive en aktuell lista med vilka virus och trojaner den upptäcker, finns här:
http://support.microsoft.com/?kbid=890830

Direktlänkar till nedladdning av de senaste versionerna:

32-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
64-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyId=585D2BDE-367F-495E-94E7-6349F4EFFC74&displaylang=en

Prisjakt/Minhembio hackade

Jag fick för 20 min ett mail från Prisjakt/Minhembio om att deras lösenordsdatabas har blivit hackade. Sajterna Prisjakt och Minhembio drivs av samma folk och har ett gemensamt konto.

Några citat från mailet :

”Tyvärr måste vi meddela att stora delar av de lösenord, som används för att logga in på Prisjakt/Minhembio, har stulits i samband med ett datorintrång. Nu skiljer sig dock den här lösenordsstölden från andra liknande händelser genom att alla våra lösenord är ordentligt krypterade och att vi går ut med det hela före det att någon illvillig person hunnit offentliggöra några uppgifter.”

”Någon person har kommit över ett lösenord till ett administrationskonto i vårt diskussionsforum. Genom att utnyttja de funktioner som funnits där samt genom en säkerhetsbrist har personen lyckats hämta ut en lista bestående av användarnas användarnamn, mailadresser och krypterade lösenord.”

”Samtliga våra egna lösenord är naturligtvis bytta. De funktioner som har använts har inaktiverats. Dessutom har flera åtgärder vidtagits som var och en skulle hindra att något liknande skulle kunna ske igen. Trots detta vill vi för säkerhets skull uppmana våra användare att dels välja längre lösenord och dels att inte återanvända lösenord.”

”Händelsen har polisanmälts.
Vi vill återigen beklaga det inträffade och försäkrar om att vårt säkerhetsmedvetande ökat åtminstone med 2 snäpp.”

Det är som vanligt synd att det måste ske en incident för att man ska öka säkerhetsmedvetandet.

Jag tycker dock att de hanterar situationen på ett bra sett, med ett stort undantag. I mailet fanns det en unik länk som gick direkt till en lösenordsbytarsida för mitt konto. Jag kunde alltså byta mitt lösenord utan att ange mitt gamla först! Detta är visserligen ett vanligt sätt att återställa ett lösenord på, men då görs det på beställning av användaren, inte som massutskick till alla. Då mailen inte var krypterade innebär detta en större risk än att krypterade lösenord är på vift.

Vi får se vilka konsekvenser detta får, ska bli spännande att se om några lösenord dyker upp på nätet så småningom.

BackTrack 4 beta ute

Häromdagen släpptes BackTrack 4 beta. Man kan ladda ner både en iso och en virtuell maskin:

http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-iso
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-vm

Grabbarna bakom pentest-verktyget (och sajten Remote Exploit) vill gärna att man laddar ner via dessa länkar så de kan ha koll på hur många som laddar ner. Jag har inte hunnit testa 4:an själv än, skriv gärna en kommentar här vad du tycker om du testar den!

Man kan även i 4:an installera på en USB-pinne, vilket är bra om man t.ex. vill köra från en netbook som inte har CD-spelare.

En lite rolig detalj är att man kan köpa reklamplats i BackTrack. Startsidan i webbläsaren som följer med visar nämligen banners och dessa kan man alltså köpa in sig på. Man kan för 400-600 euro också få en brandad version av BackTrack med en egen logga. Då slipper man dessutom reklamen. Läs mer om dessa tjänster här: http://www.remote-exploit.org/services.html.
Men det borde väl inte vara så svårt att lösa detta själv om man är lite händig eller enveten? Om man har behovet och känner att man inte vill sponsra dem för allt jobb de har lagt ner vill säga.

Tänk på att alltid få tillstånd från systemägaren innan du använder dessa verktyg mot ett system som du inte äger själv! 

Microsoft Security Advisory (961051)

Just nu finns det en aktiv exploit ute på nätet som gör att en elaking enkelt kan köra valifri kod på din dator. De webbläsarversioner som drabbas är Internet Explorer 5, 6, 7 och till och med betan av IE 8.

Det kommer ofta nya expolits, men denna är extra illa eftersom det räcker med att du besöker en smittad hemsida för att själv bli smittad.

Microsoft kommer att släppa en out-of-band patch som troligen kommer bli tillgänglig senare ikväll, gissningsvis runt 19.00.

Installera patchen så fort den kommer! Det finns över 100 000 webbsidor som har den här elaka koden på sig och antalet växer.

Hur man skyddar sig tills dess då?  Tja, om du inte redan gör det, kör en annan webbläsare. Man kan också sätta Internet zone security setting till High i Internet Explorer och sedan tacka nej till alla prompter om ActiveX Controls och Active Scripting (detta begränsar dock funktionaliteten en hel del). Kör man som vanlig användare och inte som administratör (för det gör du väl inte) begränsar man påverkan av attacken rejält.

Här är ytterligare tekniska skyddsåtgärder, om du inte vill göra nåt av det ovanstående:

3. Disable XML Island Functionality

4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL

5. Disable Row Position functionality of OLEDB32.dll

6. Unregister OLEDB32.DLL

7. Use ACL to disable OLEDB32.DLL

8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008

9. Disable Data Binding support in Internet Explorer 8

Är webbsidan nere bara för mig eller för alla?

När man har inkonsekventa problem med namnuppslagning, nätförbindelser och överfiltrerande brandväggar kan det ibland vara svårt att felsöka.

Ett av verktygen man kan använda är den finurliga webbsidan:

http://downforeveryoneorjustme.com

Den kan användas för att testa om det bara är du som inte kan nå en viss webbsida eller om ingen annan heller kan nå den. I praktiken är det inte ”alla andra” utan bara just den webbservern, men det kan ändå hjälpa ibland, förutsatt att du kommer ut på Internet och åtminstone når denna webbsidan.

På webbsidan anger man helt enkelt adressen man undrar om. Man får upp ett av tre svar:

- It’s just you.
- It’s not just you.
- Doesn’t look like a site.

Med denna sidan slipper man fråga sina kompisar om de når sidan, extra bra om man är uppe mitt i natten och felsöker 

Enligt WHOIS ägs IP-adressen bakom downforeveryoneorjustme.com av Google. All kontaktinfo pekar mot San Fransisco.

Signera din epost

Företaget Comodo, som bland annat tillverkar brandväggar och antivirus, erbjuder gratis epost-certifikat till vem som helst.

Vad är fördelen med att signera ett epostmeddelande? Jo, mottagaren kan vara relativt säker på att det verkligen är du som har skickat brevet och att det dessutom inte har manipulerats på vägen till dig. Dagens epostsystem har oftast ingen som helst kontroll på vem som gör vad och det är riktigt enkelt att fejka avsändare:

Men det är alltså lika enkelt att skaffa ett epost-certifikat. Även om du normalt inte använder Internet Explorer är det ändå bra att använda den för just detta, eftersom den lagrar certifikaten i Windows. Firefox har en egen hantering av certifikat.

Gå till denna adress:

https://secure.comodo.com/products/frontpage?area=SecureemailCertificate

Fyll i förnamn, efternamn, epost och land. Glöm inte att kryssa ur valet för Comodo Newsletter (om du inte vill ha det).

En kort stund efter att du tryckt på Agree & Continue kommer ett mail från Comodo till epost-adressen du angett. Tänk på att du måste göra alla steg på samma dator och att du bara kan signera epost skickat från den epostadress du angav i ansökan. Men du kan alltid ansöka om flera certifikat, ett per epostadress du använder.

Mailet innehåller instruktioner om hur du går vidare. I princip är det bara att klicka på länken i mailet och klicka på Ok-knappen. Du bör komma till en sida som säger

Collection of Secure Email Certificate
Attempting to collect and install your Free Certificate…
Successful

Nu har du installerat ditt nya certifikat i datorn och kan börja signera din epost genom att kryssa i det valet i ditt mailprogram. Hur man gör det skiljer mellan olika program, här är några exempel:

(klicka på bilden för en större version)

Oftast finns det en inställning som gör att alla nya mail signeras automatiskt. Leta i inställningarna om du vill ha det så. Jag har inte testat Gmail eller Hotmail. Det ska finnas en plugin som klarar det via Firefox tror jag, men det får ni kolla vidare på själva.

Så här ser det ut hos mottagaren när man signerar (och när man inte gör det):

Allt detta handlar om signering. Kryptering då? Jo, de som har fått din publika del av certifikatet (det skickas med i alla mail som du signerar) kan kryptera epost till dig. Du kan bara kryptera epost om du har mottagarens publika nyckel (i alla fall utan ett tilläggsprogram).

Programmet PGP (eller freewareversionen GnuPG) gör ungefär samma sak som jag har beskrivit, men det kräver att man installerar extra program.

För att se vilka certifikat du har, välj Start / Kör och skriv certmgr.msc. Under Personal / Certificates ser du alla dina personliga certifikat. Det kan redan finnas andra certifikat där, t.ex. från vissa banker eller ditt jobb.

Resten av inlägget behöver du inte läsa för att signera din epost, det är bara lite personliga reflektioner om säkerheten i detta…

Egentligen ser jag vissa problem med denna typ av lätttillgängliga certifikat, där den enda verifikation som krävs är att man har tillgång till epostadressens Inbox. Om jag ser en olåst dator hinner jag skaffa och exportera ett giltigt certifikat för den personens epostadress på några minuter och efter det kan jag utge mig för att vara den personen, signerat och allt. Även en enkel trojan ger mig så klart denna möjlighet.

Jag har signerat min epost av och till i över 6 år nu, men det har hittills varit lite bökigt. Inte att signera, det är bara en knapptryckning, men att få tag i ett certifikat som alla litar på. Jag använder Thawtes Freepost-lösning, vilket innebär att man kan få ett epost-certifikat om minst två befintliga Freepost-notarier ackrediterar dig (genom att de träffar dig personligen, får kopior på id-handlingar som de måste spara och man skriver under ett avtal). Är det fler notarier som ackrediterar dig kan du till slut själv bli en notarie. Fördelen med detta system är att det finns spårbarhet i vem som har gått i god för vem. Hur vet Comodo att du verkligen heter det du skriver i namnfälten? Jag skulle personligen inte våga gå i god för en okänd utan att ha ”torrt på fötterna”.

Eftersom det inte finns något enkelt sätt att se vilken Assurans (tillförlitlighet) ett certifikat har, urholkar Comodos lösning förtroendet för de mer ”seriösa” certifikatutgivarna som har fler kontroller på att du verkligen är du. Som slutanvändare ser man bara ikonen som säger att eposten är signerad, inte hur väl man har kontrollerat identiteten innan certifikatet gavs ut.

Men oavsett detta innebär ju ett certifikat i alla fall att personen har haft tillgång till Inboxen, så det ökar ändå trovärdigheten en hel del jämfört med att inte signera epost alls.

Certifikatet går att exportera och sedan importera på andra datorer som du använder, men tänk på behandla den exporterade filen som känslig. Man kan ändra det till Ej Exporterbart i ansökan genom att klicka på Advanced Private Key Options. Där kan man också välja att lägga certifikatet på ett smartcard.

Men nu till den verkliga frågan: Hur kommer jag åt Homers Inbox? 

Riksdagen avlyssnar SSL-trafik

Enligt ett blogginlägg av riksdagsledamoten Lage Rahm (MP) så visar det sig att Riksdagens IT-avdelning avlyssnar all webbtrafik som går till och från riksdagen, även den som är SSL-krypterad!

SSL-kryptering är ju normalt skyddad end-to-end, dvs mellan klienten och webbservern, men i och med att de använder en webbproxy (BlueCoat i detta fall, men även ISA klarar detta med tredjeparts add-ons), så kan proxyn terminera SSL-sessionen som klienten skapade och skapa en ny egen session mellan proxyn och webbservern. Terminera i detta fall betyder inte att stänga av utan att avsluta krypteringen. Detta gör att även SSL-krypterad trafik kan inspekteras/spioneras på.

En klient skulle i en sån här man-in-the-middle attack normalt klaga på att proxyn inte kan visa upp ett giltigt certifikat som matchar webbadressen, men eftersom de som driftar denna proxylösning även kan ge ut certifikat som klienten litar på (via sin interna PKI-lösning) kan proxyn i realtid generera giltiga webbcertifikat för vilken webbadress som helst.

Det enda sättet att upptäcka detta är att manuellt kontrollera vilken CA som har signerat webbservercertifikatet för webbadressen man besöker. Är det en extern leverantör med gott rykte (t.ex. Verisign, Thawte, Equifax) så är det troligen okej, men om det är signerat av en intern CA-server är det ett tecken på att detta sker. Det bästa sättet är att verifiera det är förstås att kontrollera vilken CA som har signerat webbserverns certifikat via en annan anslutning än den man misstänker.

Spana in denna bilden om det jag skrev lät förvillande (klicka på den för en större version):

Jag ser egentligen inte denna teknik som ett problem, det man gör från en arbetsgivares verktyg och nät bör kunna övervakas, för företagets eget bästa. Men det förutsätter självklart att de som övervakas aktivt blir informerade om vad som sker och vad det innebär för deras integritet!

Som med allt annat är det inte tekniken som är ett hot, bara uppsåt och användning av den.

Dock framgår det i texten att även ogiltiga certifikat accepteras av proxyservern. DET däremot ser jag som ett stort problem, om så verkligen är fallet! Då kan jag sätta upp www.enbank.se som signeras med min egen CA-server. Ingen litar på det, men deras proxy ger ändå ut ett giltigt internt certifikat, så alla riksdagens klienter litar blint på det. Inte bra.

Riksdagsledamoten Lage Rahms blogginlägg:
http://lagen.net/index.php/2008/11/storebror-ser-mig/

Här finns mer info om hur övervakning sker på svenska företag (fast här handlar det inte om Man-in-the-middle utan om att inventera vad som finns lagrat på klienterna eller med installerade agenter övervaka vad som sker på dem):
http://nyhetskanalen.se/1.733359/2008/11/22/skatteverket_vill_overvaka_mer

Säkrare Gmail-sessioner

Jag använder själv sällan Googles Gmail, även om jag har ett par konto för tester, men mååånga av mina vänner och kollegor använder det.

Här kommer ett tips på hur man säkrar upp sina sessioner när man kollar mail.

Om man går till http://mail.google.com så redirectas man till en krypterad sida (https) för inloggning. Men när man väl har loggat in blir sessionen återigen klartext (http):

Även om inloggningen – och därmed ditt lösenord – är skyddat, så går nu all trafik i klartext, dvs allt du läser eller skickar kan läsas av alla som sniffar nätet. Att sniffa nättrafik (trådlöst eller kabel) är idag trivialt. Kabel kräver bara att du sitter på samma subnät (även om man kör switchat), för trådlöst räcker WLAN-täckning.

Problemet är inte bara att andra kan läsa vad du gör. Eftersom Gmail använder en Cookie för att bekräfta att du är inloggad, och denna Cookie skickas okrypterat, kan elakingarna sno Cookien, själva gå till Gmail och (utan att ange ett lösenord) komma rakt in i din inkorg. Vad man gör efter det begränsas bara av fantasin. Att beställa en reset av lösenord till en webbsite du har ett konto på och snappa upp mailet och radera det innan du ser det är bara ett exempel.

Det finns två sätt att lösa detta på. Det första och enklaste är att gå till adressen https://mail.google.com, då förblir sessionen krypterad även efter inloggning.

Det andra sättet är nästan lika enkelt, men behöver bara göras en gång per Gmail-konto:

1. Logga in på Gmail
2. Klicka på Inställningar
3. Längst ned på sidan finns Webbläsaranslutning
4. Klicka i Använd alltid https
5. Spara ändringar.

Nu kommer dina framtida sessioner alltid vara krypterade, inte bara inloggningen:

Jag förstår inte varför Google inte har detta påslaget som standard. Alternativet att alltid kryptera sin session tillkom dessutom först för någon månad sen.

Google officiella anledning är att personer med låg bandbredd kan uppleva SSL-sessioner segare. Kan inte de då erbjudas möjligheten att slå av SSL, med info om vad det innebär?

Den riktiga anledningen tror jag ligger mer åt att många samtidiga SSL-anslutningar (som https använder sig av) kräver mer CPU-resurser av servern än vad http gör. Försämrad säkerhet, oavsett om det är för att vara snäll mot slöbandsanvändare eller om det är hårdvarusnålhet, tycker jag att man behöver vara tydligare med att informera om mot sina kunder.

Google kan inte längre skylla på att det är en Beta, med tanke på att Gmail lanserades för över 4,5 år sedan! Borde kanske ta bort Beta ut loggan snart…

Ladda ner färdiga Windows Server 2008-servrar

Good news and bad news…

The good

Nu finns det färdiga Virtual Hard Drive Images (vhd:er) av Windows Server 2008 att ladda ner från Microsoft. Det finns två versioner, en full Exterprise (3029.5 MB) och en Core (870.9 MB).

Det här är jättebra om man snabbt vill sätta upp en labmiljö för att testa någonting eller om man vill lära sig mer om Windows Server 2008 (förrutom hur man installerar då förstås).

The bad

Ett problem är att de bara finns i 64-bitarsversioner och det står att de kräver Microsoft Hyper-V.

Virtual PC kan läsa vhd:er och kan köras på ett 64-bitars host-OS, men den har den inte stöd för 64-bitars gäst-OS, som ju detta blir.

VMWare Workstation har å andra sidan har stöd för 64-bitars gäst-OS men stödjer inte vhd-formatet (de använder istället formatet vmdk.

Men VMware ska ju kunna importera Virtual PC-maskiner, så jag skapade först en virtuell maskin i Virtual PC med den nedladdade vhd:n som disk. När jag startade den klagade den på att (den emulerade) CPU:n inte var 64-bitars, precis som förväntat (jag kör en 64-bitars Vista som host). Jag öppnade då VMware Workstation och försökte importera den nyskapade Virtual PC-maskinen, men får då felmeddelandet:

Failed to get volume information. Error 1005 Assuming the volume is not ‘formatted’

(felmeddelandet fanns i loggen C:\Windows\Temp\vmware-temp\vmware-converter-1.log)

Skumt! Har du nån lösning på att köra dessa vhd:er i WMWare Workstation (eller Virtual PC för den delen), hör gärna av dig!

The links

Här kan du i alla fall ladda ner dem:
http://www.microsoft.com/downloads/details.aspx?FamilyID=060f0c51-339a-4c4e-bb6e-716bb7401fd4&DisplayLang=en

De gäller bara i 60 dagar, men här är en länk till hur man kan utöka det till 240 dagar (helt lagligt):
http://support.microsoft.com/kb/948472

Release Candidate av Identity Lifecycle Manager ute nu

Igår släppte Microsoft en RC-version av ILM ”2″ (som är det officiella namnet på produkten än så länge).

ILM är är samlingsnamnet för produkterna som tidigare hette Microsoft Identity and Integration Server (MIIS) och Certificate Lifecycle Manager (CLM).

Här kan du ladda ner installationsmedia, eller varför inte de färdiga virtuella maskinerna, för att snabbt komma igång med en utvärdering:

http://technet.microsoft.com/sv-se/evalcenter/cc872861(en-us).aspx

Det står att de virtuella maskinerna kräver Hyper-V:

 System Requirements

- Windows Server 2008 with Hyper-V
- Hyper-V capable hardware
- 8 GB memory recommended, 4 GB minimum
- 60 GB disk space

 

men eftersom det är VHD:er borde det väl fungera med VirtualPC också? Rätt saftiga minneskrav har de också.

Transmission of IP Datagrams on Avian Carriers

En underbar RFC (Request For Comments) är nummer 1149 angående ”Transmission of IP Datagrams on Avian Carriers”, dvs ”Transmission av IP paktet via luftburna bärare”… dvs… brevduvor!

Den är jättekort, bara en och en halv sida, men har en del underbara formuleringar:

• ”Avian carriers can provide high delay, low throughput”
• ”many carriers can be used without significant interference with each other, outside of early spring”
• ”The bandwidth is limited to the leg length”
• ”An additional property is built-in worm detection and eradication”
• ”best effort delivery, loss of a carrier can be tolerated.  With time, the carriers are selfregenerating”
• ”Audit trails are automatically generated, and can often be found on logs and cable trays”

RFC:n finns här: http://www.ietf.org/rfc/rfc1149.txt

Klipp och klistra – utan formatering

Jisses vad trist den rubriken lät… Men det är faktiskt något som jag ofta vill göra, speciellt när man skriver teknisk dokumentation.

Ta t.ex. nedandstående text, som är kopierad direkt från en webbläsare:

RootkitRevealer v1.71

By Bryce Cogswell and Mark Russinovich

Published: November 1, 2006

Introduction

RootkitRevealer is an advanced rootkit detection utility. It runs on Windows NT 4 and higher and its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

För att ta bort formateringen (dvs rubriknivåer, typsnitt, kursiv/fetstil) brukar jag oftast klistra in texten i notepad och klippa ut det innan jag klistrar in det i det dokumentet jag jobbar i. Jag brukar kalla det att vaxa texten, eftersom jag gör det med snabbkommandon: Win-R, notepad, Ctrl-V, Ctrl-A, Ctrl-X, Alt-F4,  Ctrl-V). Då ser det ut så här:

RootkitRevealer v1.71
By Bryce Cogswell and Mark Russinovich
Published: November 1, 2006

Introduction

RootkitRevealer is an advanced rootkit detection utility. It runs on Windows NT 4 and higher and its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

I Office 2007 finns vissserligen”Inklistringsalternativ” (Bevara Endast Text), men ska man klipp & klistra många små stycken är även det lite tradigt.

Så vad är lösningen på detta minimalistiska problem? Jo, programmet PureText! Det är endast 13 kb stort och kräver ingen installation.

När man har startat programmet dyker det upp en ikon i systemfältet. När man vänsterklickar på denna ikon tas formatering bort på det som för närvarande finns i clipboarden, vilket gör att Ctrl-V, klicket och Ctrl-V ger oformaterad text. För att spara ännu mer tid kan man skippa klicket och istället använda Win-V (istället för Ctrl-V) när man klistrar in, vilket ger samma resultat.

Även om detta bara sparar någon sekund kan det bli en del om man klipp & klistrar ofta. Om inte anat tar det bort ytterligare ett irritationsmoment i vardagen 

Ladda ner här:
http://www.stevemiller.net/puretext/

Gratis är gott – Microsofts motdrag mot VMwares ESXi?

VMWare har ju släppt en gratis versionen av sin ESX som de kallar ESXi. Den är minst lika bra prestandamässigt, men har färre funktioner.

Som ett motdrag till detta (vilket är min gissning, inte Microsofts officiella ståndpunkt) kommer Microsoft snart att släppa en gratis version av Hyper-V som de kallar Microsoft Hyper-V Server 2008.

Jag trodde den ”vanliga” Hyper-V hetter något i den stilen, men den är ju faktiskt ingen egen server utan en roll på en Windows Server 2008.

Precis som ESXi saknar den grafiskt gränssnitt lokalt på servern. Man får inte heller med följande funktioner:

”Quick Migration, multi-site clustering, large memory support (greater than 32 GB of RAM), and more than four processers on the host server.”

Man kan inte heller lägga på fler roller än just Hyper-V på denna Server-version.

Men för test, labb och mindre installationer borde den räcka gott och väl.

Den är inte tillgänglig än, men kommer att släppas inom 30 dagar.
Lär mer (och ladda ner när den släpps) här:
http://www.microsoft.com/servers/hyper-v-server/default.mspx

Under den länken finns också t.ex. en tabell som visar skillnaden mellan Microsoft Hyper-V Server 2008 och den fulla versionen som rollen Hyper-V innebär. Det skiljer även i funktionalitet på rollen beroende på vilken version av Windows Server 2008 man använder: Standard, Enterprise eller Datacenter.

Skripta kryptering av filer

Ibland uppstår behovet av att kopiera känsliga filer över över Internet (jo, det är faktiskt sant!) 

Om man inte vill/kan/hinner sätta upp en säker förbindelse (t.ex. VPN, SSH, SSL, SFTP, IPSec) kan man ju istället skicka krypterade filer över en osäker förbindelse.

Att implementera en asymmetrisk kryptering (någon form av nyckelpar/certifikatlösning) är säkrare än enbart symmetrisk kryptering (dvs att både kryptering och dekryptering sker med samma nyckel), men i vissa fall kanske det räcker med en gemensam nyckel.

Det finns många sätt av olika säkerhetsgrader att kryptera filer, t.ex. TrueCrypt, AxCrypt, WinZip och WinRAR,  men flera av dessa kräver oftast någon form av manuellt handhavande.

Här är ett scenario där man enkelt kan automatisera krypteringsprocessen, tack vare gratisprogrammen dscrypt.exe (GUI) och dsc.exe (kommandoradsverktyg):

Steg 1 och 2 görs bara en gång. Steg 3 utförs sedan varje gång man vill kryptera/dekryptera.

1. Kom överens om ett gemensamt lösenord via en säker kanal, t.ex.
    - vid ett fysiskt möte
    - Via KRYPTERAD epost
    - Ev via SMS
    - Ev via telefon
   Skicka det aldrig över nätet i klartext!
   
2. Respektive part utför sedan följande:
    Starta dscrypt.exe
    Klicka på Pass
    Fyll i lösenordet och klicka på Ok
    Tryck F4 och spara filen som <namn>.key    (Obs, skydda denna fil!)
3. Använd sedan dcs.exe för att utföra (eller skripta) kryptering/dekryptering:
   Syntax: dsc keyfile e|d source destination

Exempel för att kryptera en fil med nyckelfilen
dsc <namn>.key e data.xml data.enc

Exempel för att dekryptera en fil med samma nyckelfil
dsc <namn>.key d data.enc data.xml

Tänk på att använd citationstecken för filnamn med mellanslag i.

Om du vill skripta flera filer i samma körning, skapa en mappstruktur enligt nedan:

dsc.exe
my.key
TMP\ (mapp för filer som ska krypteras)
   |
   |-fil-som-ska-krypteras
   |-fil-som-ska-krypteras
   |-…
   |-ENCRYPTED\ (undermapp som kommer att innehålla krypterade versioner av filerna)

Använd sedan följande kommando:
for %f in (tmp\*.*) do dsc my.key e ”%f” ”ENCRYPTED\%f”

Ladda ner verktygen härifrån:
dscrypt.exe v1.10 [25kB] Windows GUI
http://members.ozemail.com.au/~nulifetv/freezip/freeware/dscrypt.exe

dsc.zip v1.00 [14kB] Windows CLI (command-line)
http://members.ozemail.com.au/~nulifetv/freezip/freeware/dsc.zip

Källkoden för de paranoida och klåfingriga:
dsc-src.zip v1.00 [25kB] source code
http://members.ozemail.com.au/~nulifetv/freezip/freeware/dsc-src.zip

Skriv gärna en kommentar om ni har eller ska använda dscrypt, är nyfiken på erfarenheter!

Skydda dina barn på Internet

Surfa Lugnt är en svensk kampanj för att försöka höja kunskapen om IT-säkerhet hos ”svenska surfare”. Bakom kampanjen står bl.a. PTS, Krisberedskapsmyndigheten, Telia, Datainspektionen, Microsoft, F-Secure, Symantec och SwedBank.

Det kör nu en rikstäckande turné som besöker följande orter:

Västerås 02-sep
Örebro 04-sep
Karlstad 09-sep
Borlänge 11-sep
Uppsala 16-sep
Luleå 18-sep
Skellefteå 23-sep
Sundsvall 25-sep
Gävle 02-okt
Umeå 07-okt
Jönköping 09-okt
Växjö 14-okt
Skövde 16-okt
Halmstad 21-okt
Uddevalla 23-okt
Göteborg 04-nov
Borås 06-nov
Kalmar 11-nov
Norrköping 13-nov
Katrineholm 18-nov
Stockholm 20-nov
Kristianstad 25-nov
Malmö 27-nov

Per Hellqvist, författaren till boken Skydda ditt barn på Internet, håller bland annat ett seminarium med namnet ”Barn och ungas vanor och ovanor på internet”.

Här finns en PDF med seminariets innehåll (detaljerna gäller besöket i Karlstad):
http://surfalugnt.se/p18676/files/Karlstad-080909-inbjudan-Barn_och_ungas_vanor_och_ovanor_p__n_tet.pdf

(I dokumentet står det att sista anmälningsdag i Karlstad är den 30 augusti, men på hemsidan är det flyttat till 5 september)

Seminariet är gratis! Lär mer och anmäl dig här:

http://surfalugnt.se/p18676/p18676_swe.php
(Länken gäller samtliga orter, inte bara Karlstad)

Surfa Lugnt håller även två andra föreläsningar under samma dag, men de är på arbetstid, så det måste du okeja med din chef

* Säkra Affärer – så skyddar du ditt företag och dina kunder, kl 07.30 – 09.00 – för småföretagare
* SurfaLugnt – undvik e-ländet på nätet kl 13.00 – 15.00 – för alla användare

Anmäl dig till dessa på http://surfalugnt.se

En analog Man In The Middle-attack

Kanske lite gamla nyheter, men ändå lite spännande…

Kommer ni ihåg Ingrid Betancourt, den fransk-colombianska presidentkandidaten som tillsammans med 14 andra gisslan fritogs från FARC-gerillan av den colombianska regeringen?

Ingrid Betancourt med hennes son Lorenzo och dotter Melanie

Jag fick nyligen reda på att fritagningen föregicks av månader av intriger och bedrägerier från den colombianska regeringen och en av de centrala delarna i fritagningsoperationen var en klassisk Man In The Middle-attack.

En Man In The Middle-attack (MITM) innebär att attackeraren placerar sig mellan två kommunicerande parter. Båda parter tror att de pratar med den andra parten, men attackeraren sitter i mitten och kan fritt ta bort och/eller modifiera informationen.

I fallet med FARC-gerillan hade en colombiansk arméofficer lyckats lura kidnapparen Gerardo Aguilar (kallades även för Cesar) att han pratade i telefon med en av de sju ledarna i gerillagruppen FARC. Armén lyckades också övertyga en av ledarna i FARC att han pratade med Cesar. I själva verket pratade de alltså båda med arméofficeren.

Jag har inga detaljer om exakt vad som sades eller gjordes för att möjliggöra fritagningen, med det var spännande att höra att det hade använt sig av en klassisk MITM-attack, som är en vanlig attackmetod i datavärlden. Den senaste DNS-buggen som Dan Kaminski upptäckte har t.ex. redan nyttjats i MITM-attacker.