Flera “säkra” USB-minnen knäckta

 

Den tyska säkerhetsfirman SySS har publicerat en rapport där de visar hur man tar sig förbi krypteringen på vissa USB-minnen som har inbyggd kryptering. Leverantörer som drabbas är SanDisk, Kingston och Verbatim.

Det är i grunden ett designproblem, eftersom man kör mjukvara på datorn som avgör om lösenordet är korrekt och i så fall skickar en intruktion om upplåsning till USB-minnet. SySS skrev ett verktyg som patchade mjukvaran att alltid låsa upp pinnen oavsett om det var rätt lösenord eller inte.

Följande USB-minnen är drabbade:

SanDisk Cruzer® Enterprise FIPS Edition with McAfee USB flash drive, CZ46 – 1GB, SanDisk Cruzer® Enterprise FIPS Edition USB flash drive, CZ32 – 1GB, 2GB, 4GB, 8GB

SanDisk Cruzer® Enterprise with McAfee USB flash drive, CZ38 – 1GB, 2GB, 4GB, 8GB

SanDisk Cruzer® Enterprise USB flash drive, CZ22 – 1GB, 2GB, 4GB, 8GB

Kingston DataTraveler BlackBox (DTBB)

Kingston DataTraveler Secure – Privacy Edition (DTSP)

Kingston DataTraveler Elite – Privacy Edition (DTEP)

Verbatim Corporate Secure FIPS Edition USB Flash Drives 1GB, 2GB, 4GB, 8GB

Verbatim Corporate Secure USB Flash Drive 1GB, 2GB, 4GB, 8GB

Det USB-minnet jag använder, Ironkey, är inte drabbat av detta då de inte använder mjukvara i datorn för att låsa upp utan verifierar det i hårdvaran. Dessutom använder de inte ett generiskt upplåsningskommando (vilket ju faktiskt också innebär att leverantören enkelt kan läsa ut information från alla krypterade USB-minnen de levererar), utan de använder användarens egna lösenord för att dekryptera informationen.

Läs mer här:
SySS Paper on How to Hack SanDisk hardware encrypted USB flash drives.
SySS Paper on How to Hack Kingston hardware encrypted USB flash drives.
De är tyvärr skrivna på tyska, men kan översättas med t.ex. Google Translator

Ironkeys beskrivning av säkerhetsbristen och varför de inte är drabbade (på engelska):
https://www.ironkey.com/usb-flash-drive-flaw-exposed

Två frågor i samma Security Now-avsnitt

Security Now är en podcast med Leo Laporte från This Week In Tech (även kallat TWIT, de har flera olika podcasts) och säkerhetsexperten Steve Gibson från Gibson Research Corporation. Avsnitten brukar vara drygt en timme långa och behandlar allt möjligt inom säkerhet. Dels tar de upp nyheter och aktuell säkerhetsinformation och dyker sen lite djupare ner i ett specifikt ämne. De har hittils gjort 226 avsnitt och har behandlat allt från krypteringsalgoritmer, hur man hackar elektroniska röstmaskiner, senaste SLL-säkerhetsbristen, hur sandboxning funkar etc.

Security Now har flera gånger vunnit PodCast Awards inom ämnet Technology/Science, senast de vann var bara för några dagar sen.

Varannat avsnitt är Questions & Answers, där man kan maila in frågor, tips och synpunkter. Jag har mailat in lite då och då, men först i avsnittet som kom ut för några dagar sen kom jag med, då dessutom med två frågor. Eller frågor, det var egentligen två tips. Dels om LockNote, som jag har bloggat om här tidigare, dels hur man kan hantera att fler och fler företag vill ha ditt fingeravtryck nu för tiden. I mailet använde jag Disneyland som exempel, för det hade de pratat om det i ett tidigare avsnitt. Själv har jag bara behövt lämna fingeravtryck på en SAS-incheckning. Damen bakom disken såg besvärad ut när jag frågade om man måste och om det inte finns något alternativ 

Här har jag klippt ut ljudklipp för mina två tips:

LockNote – 6:34 min
Fingeravtryck – 2:03 min

Jag skrattar varje gång jag hör Leo försöka uttala mitt namn. Han verkar inte fatta att det är samma kille som mailat in båda tipsen 

Här kan man lyssna eller ladda ner hela avsnittet, som denna gången var 1 timme och 17 minuter långt: http://twit.tv/sn226

För CISSP:are där ute, det ger 1 CISSP CPE att lyssna på det 

Använder du optimala DNS-servrar?

Jisses, vilken trist rubrik… Men det är en relevant fråga. Det sker väldigt ofta DNS-uppslag i klienter och om du kan snabba upp de frågorna lite, varför inte?

Säkerhetsexperten Steve Gibson har nyligen släppt ett litet verktyg som heter DNS Benchmark.

Med detta program (som inte behöver installeras) kan man enkelt testa sina nuvarande DNS-inställningar och jämföra dom med ett antal publika DNS-servrar.

1. Starta programmet och klicka på fliken Nameservers
2. Klicka på Run Benchmark
3. Efter att testet avslutats, klicka på fliken Conclusions

Listan över DNS-servrarna som följer med i programmet inkluderar t.ex. OpenDNS, Level3, Sprint, Verizon. Om man vill jämföra med DNS-servrar om inte är så USA-centrerade kan man enkelt lägga till och ta bort egna DNS-servrar ur listan. Man kan ha upp till 200 servrar i listan åt gången. Standardlistan i programmet inkluderar Googles nylanserade DNS-servrar.

Programmet skickar ca 150 DNS-förfrågningar till varje DNS-server och jämför svarstider och pålitlighet. Testet tar nån minut att genomföra. Man får även reda på om DNS-servern returnerar en korrekt Page not found (Error 404), som ser ut så här i IE:

eller om den har en egen version av Page Not Found-sidan, liknande denna, vilket jag inte gillar (då det t.ex. stör Windows Home Server-funktionalitet):

I resultatlistan i programmet ser man namnet på DNS-servrarna, vem som äger dom och resultatet (som tabeller eller grafer). Listan kan sorteras automatiskt så att den snabbaste DNS-servern hamnar högst i listan.

Nåt jag gillar är Conclusions-fliken. Där skriver han i ord vad resultatet innebär. T.ex. om du inte har den snabbaste DNS-servern konfigurerad, om du bara har en server, om den är pålitlig etc.

Ladda ner och testa DNS Benchmark från Gibson Research Corporation: www.grc.com   (150 kb)

Programmet funkar på i princip alla Windows-versioner och även på Linux och Mac via Wine.

Ta bort formattering i text, del 2

Jag har tidigare bloggat om hur man kan få bort formattering i text som man har kopierat, med hjälp av notepad eller applikationen PureText:
http://itblogg.aafloen.se/2008/10/15/klipp-och-klistra-utan-formatering/

Vissa ser inte detta som ett problem alls, men jag irriterar mig ofta på att det blir fult inkopierat t.ex. i mail och andra dokument. I vissa Microsoft-program dyker det upp en Inklistringsalternativ-ikon:

Där man kan välja t.ex. Matcha målformatering eller Bevara endast text, men alla program har inte den funktionen.

Jag har upptäckt att man kan använda Kör-rutan för att rensa formatering på det som finns i clipboarden, dvs Win-R, sen Ctrl-VAX. Detta funkar tyvärr bara om det är en rad, är det flera rader får man bara med den första. Men nu slipper jag att starta notepad i alla fall, åtminstonde lika ofta.

Två uppsnabbningstips till för just Word, för oss som ofta kopierar blir influerade av saker på webben:

För det första: Om man har formatering man vill ta bort kan man markera texten och trycka Ctrl-mellanslag. Då blir all markerad text formatterad enligt textens aktuella format (Normal, Rubrik1 osv). Detta är ett smidigt sätt att nollställa fetstil, understrykning, kursivitet och så vidare.

För det andra: I Word finns ju Hämta format (den där penseln ni vet) som man kan använda för att överföra ett visst format från en text till en annan. Det finns en enkel genväg för samma funktion:

- Ställ markören i texten som har formatet du vill ha
- Klicka på Ctrl-Shift-C
- Ställ markören i texten som ska få formatet
- Klicka på Ctrl-Shift-V. Tada!

För att uttrycka det på ett annat sätt: använd kortkommandon för klipp och klistra, men lägg till Shift, så kopierar man formatet istället för innehållet.

Vad skulle ni göra utan alla mina grymt livsförändrande tips?

BitLocker diskkryptering knäckt?

I media har det nyligen stått en del om att BitLocker är knäckt.

Metoden man använder är inte ny, den kallas ibland för Evil Maid Attack (elaka städerskan-attacken), eftersom man måste få tillgång till den krypterade maskinen vid två olika tillfällen. Att den är avstängd spelar ingen roll.

Attacken innebär att man byter ut orginal-bootloadern, dvs den programvara som frågar efter (och verifierar) lösenordet, mot en modifierad version, som utöver dessa funktioner också sparar lösenordet i klartext på en ickekrypterad del av hårddisken. Man byter enkelt ut bootloadern genom att boota på en i förväg preparerad USB-pinne.

Själva bootloadern kan aldrig ligga på en krypterad del av disken, eftersom man ännu inte har angett koden för att dekryptera disken innan den ska startas.

Tidigare har man visat denna attack på TrueCrypts diskkryptering. Det som är annorlunda i BitLocker-attacken är att bootloadern i BitLocker – tillsammans med TPM-chippet – gör en kontroll av att ingenting viktigt har modifierats på datorn innan dekrypterings-nyckeln släpps ut från TPM-chippet. Därför måste attacken-koden delas upp i två delar.

1. Starta falska bootloadern och be om lösen, spara detta på disk.
2. Skriv tillbaka orginalbootloadern och boota om.

Detta gör att användaren upplever en extra omboot och måste knappa in lösenordet två gånger. Så var det alltså inte i attacken mot TrueCrypt, som inte har denna kontrollen och alltså kan starta upp och köra vidare med en modifierad bootloader.

När BitLocker-användaren har startat upp datorn och knappat in lösenordet i den falska bootloadern måste The Evil Maid ännu en gång starta upp datorn med USB-pinnen (eller valfri Linux) och leta upp filen med lösenordet sparat i. När man väl har fått tag på det är det Game Over.

Attacken funkar både på Windows Vista och Windows 7. Koden för attacken mot TrueCrypt finns tillgänglig på nätet (nej, jag länkar inte till den) men BitLocker-koden verkar inte vara släppt än.

Så hur skyddar man sig?

- Även om disken är krypterad, lås in den eller ta den med dig.

- Om datorn startar om direkt efter att du knappat in BitLocker-lösenordet, knappa in det igen och byt BitLockers lösenord direkt. Bevaka sen vem som försöker genomföra andra delen av attacken.

- TrueCrypt har inte dubbel-ombooten som hint att nåt är fel, men om du misstänker att datorn har manipulerats med, starta upp på din TrueCrypt Rescue Disk och välj Restore TrueCrypt Boot Loader.

Threat Management Gateway 2010 (TMG) släppt

Nu finns RTM av Microsofts Threat Management Gateway, eller TMG som den ofta kallas, tillgänglig. Det är alltså uppföljaren till ISA 2006.

Läs mer och ladda ner en trial på microsoft.com/tmg

Mer information finns på min kollega Anders Olssons blogg

Ny version av MBSA

Microsoft Baseline Security Analyzer är ett gratis verktyg som letar efter säkerhetspatchar som inte har installerats och vanliga misstag i säkerhetskonfigurationer. Verkyget fungerar att köra både lokalt och remote.

I torsdags kom version 2.11, en mindre uppgradering för att stödja Windows 7 och Windows Server 2008 R2.

TechNets hemsida för MBSA har inte uppdaterats med version 2.11 än, men den kan laddas ner här:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78#tm

Här finns en FAQ för MBSA.

Microsoft Security Essentials släppt

 

Cirka 4 månader efter release av betaversionen släpptes igår den skarpa versionen av Microsoft Security Essentials, det vill säga Microsofts kostnadsfria program för skydd mot spyware och virus.

Jag har kört betan i ett antal månader nu och den verkar vara stabil och resurssnål. Jag kommer nog att fortsätta köra MSE på de flesta av mina datorer.

Den går att ladda ner från
http://www.microsoft.com/security_essentials/
och den är 4,7 Mb stor.

Microsoft Security Essentials riktar sig till slutanvändare, företag rekommenderas att använda ForeFront Client, Microsofts företagslösning som har bättre funktioner för storskaliga IT-miljöer.

——————————————-
Uppdaterat:

Jag kunde ladda ner filerna när det släpptes, men inte nu längre. MSE är tydligen inte tillgängligt i alla regioner och det verkar som om de missade att strypa ner det initialt.

Här är direktlänkar till filerna på Microsofts servrar. För att jag inte hamna i trubbel: Ladda bara ner om du befinner dig i en region som Microsoft erbjuder MSE i. 

32-bitars  Windows XP:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-x86fre-en-us-xp.exe

32-bitars  Windows Vista och Windows 7:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-x86fre-en-us-vista-win7.exe

64-bitars  Windows Vista och Windows 7:
http://download.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/mssefullinstall-amd64fre-en-us-vista-win7.exe

Småbarn vid datorn?

Att småbarn framför en dator kan ställa till det bortom vad ett erfaret IT-proffs kan rädda känner nog de flesta till.

Småbarnspappan Scott Hanselman upplevde samma sak och skrev programmet Babysmash! för att skydda sin dator från hans dotter.

När man trycker på tangentbordet dyker bokstaven man tryckte på upp på skärmen och en engelsk röst säger bokstavens namn (tyvärr lite trist dator-röst). Trycker man på andra tangenter än bokstäver dyker det upp färgglada symboler istället. Kllickar man med den stora muspekaren spelas en trudelutt.

Programmet körs i fullskärm och låser Windows-tangenten, Ctrl-Esc och Alt-Tab så att ditt barn inte enkelt kan ta sig ur programmet. Alt-F4 stänger programmet och Shift-Ctrl-Alt-O öppnar inställningsdialogen.

Det är tyvärr alldeles för vanligt att folk delar sin arbetsdator med barnen hemma och har man otur innehåller datorn känslig info och barnen råkar klicka på nån länk som leder till nåt elakt.

Så detta kan vara ett bra tips för de som “måste” dela med sig av datorn till kidsen, i alla fall de lite mindre. Svensk röst och möjlighet att byta ”skin” skulle dock göra den mycket bättre.

Ladda ner och läs mer här: http://www.babysmash.com

Windows 7 är RTM och fisken är borta!

Microsoft gick alldeles nyss ut och meddelade att man äntligen har låst Windows 7 RTM (Release To Manufacturing).

Today after all the validation checks were met, we signed off and declared build 7600 as RTM.

Källa: http://windowsteamblog.com/blogs/windows7/archive/2009/07/22/windows-7-has-been-released-to-manufacturing.aspx

Så här ser Windows 7 RTM ut efter en standardinstallation (nej, jag har inte tillgång till det än):

De har alltså  bytt ut denna bakgrunden, som vi som har kört beta och RC av Windows 7 känner väl igen:

Alla vet det säkert redan, men bilden föreställer en Siamese fighting fish, som också kallas för betta fish. Oj, så finurliga Microsoft var där!

Så här ser den ut på riktigt:

Nej, detta kommer inte att bli en fiskblogg framöver. Men i väntan på RTM:en måste man ju fylla ut tiden med annat 

Microsoft har förresten gått ut med officiella releasedatum också:

Connect, Technet & MSDN subscribers: 6th August
Microsoft Partners: 16t August
Microsoft Action Pack subscribers: 23rd August
Volume Licenses (with Software Assurance): 7th August
Volume Licenses (without Software Assurance): 1st September
General Availability: 22nd October

Så näst sista semesterdagen kommer jag att få den alltså

Om Nortons UAC-ersättare

Jag har tidigare bloggat om en UAC-ersättare. Även Norton labs (ingår i Symantec) har en. Den är inte i beta, men de kallar den för “experimental software”. Hmm…

Den stora fördelen med dessa externa varianter är att de har en Fråga mig inte igen om detta-kryssruta. Väldigt lockande för de saker man “vet” är okej, men som alltid ger en UAC-prompt ändå.

Jag kommer dock inte att installera Nortons UAC-prompt, mest för detta:

Q: What does Norton Labs get out of my testing?
A: DATA! Each time you see a prompt, the Norton Labs UAC Replacement sends meta information about what caused the prompt, and why, to our server.

De lägger till att även:

Microsoft records very similar timing and response information for all of Vista and Office when you agree to take part in the Customer Experience Improvement Program.

Hur många av er brukar gå med i såna? Nej, jag vill nog inte att nåt företag får reda på vad jag startar och hur ofta.

Vill ni ändå testa finns den att ladda ner här:
http://www.symantec.com/norton/theme.jsp?themeid=labs_uac&header=0&depthpath=0

Nya officiella namn från Microsoft

Microsoft har nu gått ut med officiella namn på Stirling-produkterna:

Forefront codename “Stirling” – the next generation of the Forefront Security Suite for integrated, comprehensive protection across endpoints, servers and the edge – will be officially known as Forefront Protection Suite (FPS).

Stirlings så kallade Management Console kommer att heta Forefront Protection Manager

Forefront Protection Suite kommer att ha samma prisnivå som nuvarande Forefront-familjen.

Här är ytterligare officiella namn:

· Forefront Endpoint Protection 2010 – current version is Forefront Client Security

· Forefront Protection 2010 for Exchange Server – current version is Forefront Security for Exchange Server

· Forefront Protection 2010 for SharePoint – current version is Forefront Security for SharePoint

· Forefront Online Protection for Exchange – currently called Forefront Online Security for Exchange

· Forefront Threat Management Gateway Web Security Service – the next generation of ISA Server 2006.

Infon kommer från Worldwide Partner Conference, som pågår just nu.

De nya produkterna är i beta just nu, men kommer att släppas under senare halvan av 2009 och första halvan av 2010.

Vill du läsa mer om Forefront, kolla in min kollegas Anders Olssons blogg på adressen http://forefront.psynet.se, den kan jag rekommendera!

Windows 7 RTM imorgon?

Den slutliga versionen av Windows 7 (om man inte räknar alla kommande hotfixar och servicepacks förstås) förväntas presenteras av Microsoft på Worldwide Partner Conference i New Orleans imorgon.

Build string på RTM-versionen sägs vara 6.1.7600.16384.win7_rtm.090710-1945
vilket skulle innebära att den låstes den 10 juli, alltså bara för två dagar sedan.

Vissa hävdar att denna RTM-versionen redan är på väg till torrent-siterna, men jag avvaktar tills jag får en pålitlig källa, vissa av de tidigare läckta versionerna har ju tydligen innehållit trojaner.

Eventuellt kommer TechNet- och MSDN-prenummeranter att få tillgång till RTM-versionen direkt när den offentliggörs. Hoppas nu inte allt bara är rykten!

MSE beta finns nu att ladda ner

Betan av Microsoft Security Essentials släpptes idag och här kan du ladda ner den:
http://go.microsoft.com/fwlink/?LinkID=153446

Man måste ha ett Windows Live-konto (t.ex. Hotmail) och svara på ett par enkla frågor. Dessutom kontrollerar installationen att du har en äkta version av Windows (Windows Genuine Validation).

Jag installerade det alldeles nyss och stötte inte på några problem alls. Jag har inte hunnit få någon uppfattning om prestandaskillnad, varken upp eller ner, jämfört med mitt förra antivirus Forefront Client Security.

Läs mer om vad MSE är i inlägget nedan.

Microsoft Security Essentials

Ja, så kommer alltså det officiella namnet på Microsofts nya antivirus att bli. Den har hitills gått under arbetsnamnet Morro och kommer när den släpps att vara helt kostnadsfri.

Den testas internt av Microsoft-anställda och ett fåtal externa testare, men nu har en version alltså kommit ut på fildelningsnätverken.

Storleken på installationen ligger på mellan 3 Mboch 7 Mb och det finns klienter till XP, Vista och Windows 7 (både 32 och 64 bit).

Screenshots på den läckta versionen finns här:
http://arstechnica.com/microsoft/news/2009/06/leaked-microsoft-security-essentials-codename-morro.ars

Jag avvaktar nog tills en officiel beta kommer ut och eftersom den ska släppas skarpt under 2009 bör det inte dröja så länge.

Wireshark 1.2 ute

Häromdagen släpptes version 1.2 av nätverkssniffern Wireshark.

Eftersom jag inte använder det dagligen uppskattar jag speciellt autocompletion av display-filter i den nya versionen. Dessutom finns den nu i 64-bitars.

Här är alla nyheter:

New and Updated Features

The following features are new (or have been significantly updated) since version 1.0:

• Wireshark has a spiffy new start page.
• Display filters now autocomplete.
• A 64-bit Windows (x64) installer is now provided.
• Support for the c-ares resolver library has been added. It has many advantages over ADNS.
• Many new protocol dissectors and capture file formats have been added (see below for a complete list).
• Macintosh OS X support has been improved.
• GeoIP database lookups.
• OpenStreetMap + GeoIP integration.
• Improved Postscript® print output.
• The preference handling code is now much smarter about changes.
• Support for Pcap-ng, the next-generation capture file format.
• Support for process information correlation via IPFIX.
• Column widths are now saved.
• The last used configuration profile is now saved.
• Protocol preferences are changeable from the packet details context menu.
• Support for IP packet comparison.
• Capinfos now shows the average packet rate.
• GTK1 is no longer supported. (Yes, this is a feature.)
• Official Windows packages are now built using Microsoft Visual C++ 2008 SP1.

Läs mer och ladda ner här:
http://www.wireshark.org

LockNote = notepad med lösenord och kryptering

Tillhör du dem som sparar ner lösenord och annat hemligt i notepad-dokument?

Tack vare LockNote kan du fortsätta med samma beteende, men på ett mycket säkrare sätt!

LockNote är applikation och dokument i ett, som lagrar dina hemligheter (krypterat med 256-bit AES) direkt i exe-filen.

 

LockNote är bara 312 kb stor och kräver ingen installation, smidigt att ha på USB-pinne med andra ord.

Tyvärr klarar den bara text, dvs inga bilder eller formattering.

Första gången du startar LockNote får du ange ett lösenord och detta måste anges varje gång du öppnar dokumentet i fortsättningen.

 

Det finns inget sätt att dela upp information i LockNote, men man kan enkelt skapa kopior av filen och ha olika namn (och lösen om man vill), t.ex, licenser.exe, bank.exe och HemligaDrömmar.exe.

Locknote är ingen fullfjädrad lösning, men ett väldigt smidigt sätt att hantera lösenord och annan information på ett säkrare sätt.

Programmet är gratis och dessutom Open Source.

Ladda ner och lär mer här:
http://www.steganos.com/products/for-free/locknote/overview/

Om du börjar använda LockNote, skriv gärna en kommentar om vad du tycker om det.

Steve Riley slutar på Microsoft

Efter en nyligen genomförd omstrukturering på Microsoft tog de bort Steve Rileys roll och han fick tyvärr sluta på Microsoft.

Steve är en säkerhetsexpert som har hållit mycket uppskattade föreläsningar och presentationer. Han har jobbat med allt från djupare säkerhet som IPSec-konfigurationer till övergripande frågor om framtidens säkerhet och ofta lyckats påpeka missar vi gör i vårat säkerhetstänk.

Han har varit en profil på Micrsoft med sin avslappnade talarstil och är oftast den enda föreläsare som inte är klädd som alla andra.

Steve kommer inte att tala i TechEd i år, men han kommer inte att försvinna från säkerhetsområdet. Hans nya blogg hittar ni här:

http://msinfluentials.com/blogs/steveriley/default.aspx

Kolla enkelt om du är infekterad av Conficker

När man har blir blivit smittad av Conficker spärras ett antal webbsidor, mest säkerhetrelaterade sidor. Man kan alltså inte nå dem från den smittade maskinen, vilket är ett ganska smart drag från Conficker-utvecklarnas sida eftersom det är till sådana sidor man vänder sig för att bli av med viruset.

Men detta beteende kan också användas för att snabbt testa om man har blivit smittad. Går man till följande adress laddas bilder från sex olika webbsidor som Conficker spärrar.

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ser man alla sex bilder (nej, det finns inga sexbilder där) har du troligen inte infekterats av Conficker. Olika kombinationer av saknade bilder tyder på infektion av olika versioner av Conficker. Allt förklaras tydligt på webbsidan.

En intressant sak med Conficker är att om man har Rumänskt tangentbordslayout deaktiveras viruset. En hint om ursprung kanske? 

Internet Explorer 8 släpps ikväll!

Ikväll kl 17.00 svensk tid släpps den skarpa versionen av IE8.

Man kommer att kunna ladda ner den från http://www.microsoft.com/ie8, men går man dit nu ser man fortfarande bara info om RC1.

Den släpps på 25 språk samtidigt och jag antar att svenska är ett av språken.

Jag kör själv både Internet Explorer, Firefox och Chrome och ser olika fördelar med alla. Tyvärr är det en nackdel att inte alltid använda samma, eftersom man vänjer sig med vissa kortkommandon och funktioner som skiljer mellan läsarna. Jag kör inte Opera, men kanske borde kolla på det.

Det ska bli kul att testa IE8, men jag tror inte den kommer att kunna ersätta de andra webbläsarna till 100%.

Här är pressreleasen:
http://www.microsoft.com/Presspass/press/2009/mar09/03-18IE8AvailablePR.mspx

Lite aktuell webbläsarstatistik

Webbläsarfamilj:

Webbläsarversion:

Operativsystem:

Lite intressant är att för varannan Linux-surfare finns det en iPhone-surfare. Linux har massor av distros, versioner och tillverkare, iPhone är en specifik telefonmodell från en enda tillverkare.

Tips: Microsofts Malicious Software Removal Tool

Om du har Windows Update inställt på att automatiskt ladda ner och installera uppdateringar kommer Windows varje månad även att köra senaste versionen av Malicious Software Removal Tool (eller Borttagning av skadlig programvara som den heter på svenska). Den körs helt i bakgrunden, utan att man märker det.

MRT ersätter inte ett vanligt antivirus, då det inte förhindrar infektion, utan bara upptäcker och tar bort på redan infekterade datorer. Dessutom är listan på vad den kan upptäcka och ta bort inte lika komplett som ett riktigt antivirus (bara 135 olika skadliga program i nuläget).

Men MRT kan ändå vara ett bra komplement. Det släpps en ny version andra tisdagen i varje månad och den senaste versionen 2.7 hanterar bland annat Conficker.

Om du tror att du har blivit infekterad av någonting kan du manuellt starta verktyget. På Windows XP och i Vista klickar man på Start, väljer Kör och skriver ”mrt” följt av Retur.

I Windows 7 Beta funkar inte detta, men då kan man ladda ner verktyget själv (vilket man också behöver göra om man inte automatiskt kör Windows Update). Se länkar längre ned.

När du startar Malicious Software Removal Tool ser du följande:

En Quick Scan tar bara någon minut, medan en Full Scan kanske är något man kör över en natt, då den beror på hur mycket data du har lagrat på din dator. På min hyfsat nyinstallerade laptop tog det knappt två timmar.

För mer information om Malicious Software Removal Tool, inklusive en aktuell lista med vilka virus och trojaner den upptäcker, finns här:
http://support.microsoft.com/?kbid=890830

Direktlänkar till nedladdning av de senaste versionerna:

32-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en
64-bitars:
http://www.microsoft.com/downloads/details.aspx?FamilyId=585D2BDE-367F-495E-94E7-6349F4EFFC74&displaylang=en

Prisjakt/Minhembio hackade

Jag fick för 20 min ett mail från Prisjakt/Minhembio om att deras lösenordsdatabas har blivit hackade. Sajterna Prisjakt och Minhembio drivs av samma folk och har ett gemensamt konto.

Några citat från mailet :

”Tyvärr måste vi meddela att stora delar av de lösenord, som används för att logga in på Prisjakt/Minhembio, har stulits i samband med ett datorintrång. Nu skiljer sig dock den här lösenordsstölden från andra liknande händelser genom att alla våra lösenord är ordentligt krypterade och att vi går ut med det hela före det att någon illvillig person hunnit offentliggöra några uppgifter.”

”Någon person har kommit över ett lösenord till ett administrationskonto i vårt diskussionsforum. Genom att utnyttja de funktioner som funnits där samt genom en säkerhetsbrist har personen lyckats hämta ut en lista bestående av användarnas användarnamn, mailadresser och krypterade lösenord.”

”Samtliga våra egna lösenord är naturligtvis bytta. De funktioner som har använts har inaktiverats. Dessutom har flera åtgärder vidtagits som var och en skulle hindra att något liknande skulle kunna ske igen. Trots detta vill vi för säkerhets skull uppmana våra användare att dels välja längre lösenord och dels att inte återanvända lösenord.”

”Händelsen har polisanmälts.
Vi vill återigen beklaga det inträffade och försäkrar om att vårt säkerhetsmedvetande ökat åtminstone med 2 snäpp.”

Det är som vanligt synd att det måste ske en incident för att man ska öka säkerhetsmedvetandet.

Jag tycker dock att de hanterar situationen på ett bra sett, med ett stort undantag. I mailet fanns det en unik länk som gick direkt till en lösenordsbytarsida för mitt konto. Jag kunde alltså byta mitt lösenord utan att ange mitt gamla först! Detta är visserligen ett vanligt sätt att återställa ett lösenord på, men då görs det på beställning av användaren, inte som massutskick till alla. Då mailen inte var krypterade innebär detta en större risk än att krypterade lösenord är på vift.

Vi får se vilka konsekvenser detta får, ska bli spännande att se om några lösenord dyker upp på nätet så småningom.

BackTrack 4 beta ute

Häromdagen släpptes BackTrack 4 beta. Man kan ladda ner både en iso och en virtuell maskin:

http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-iso
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-beta-vm

Grabbarna bakom pentest-verktyget (och sajten Remote Exploit) vill gärna att man laddar ner via dessa länkar så de kan ha koll på hur många som laddar ner. Jag har inte hunnit testa 4:an själv än, skriv gärna en kommentar här vad du tycker om du testar den!

Man kan även i 4:an installera på en USB-pinne, vilket är bra om man t.ex. vill köra från en netbook som inte har CD-spelare.

En lite rolig detalj är att man kan köpa reklamplats i BackTrack. Startsidan i webbläsaren som följer med visar nämligen banners och dessa kan man alltså köpa in sig på. Man kan för 400-600 euro också få en brandad version av BackTrack med en egen logga. Då slipper man dessutom reklamen. Läs mer om dessa tjänster här: http://www.remote-exploit.org/services.html.
Men det borde väl inte vara så svårt att lösa detta själv om man är lite händig eller enveten? Om man har behovet och känner att man inte vill sponsra dem för allt jobb de har lagt ner vill säga.

Tänk på att alltid få tillstånd från systemägaren innan du använder dessa verktyg mot ett system som du inte äger själv! 

Microsoft Security Advisory (961051)

Just nu finns det en aktiv exploit ute på nätet som gör att en elaking enkelt kan köra valifri kod på din dator. De webbläsarversioner som drabbas är Internet Explorer 5, 6, 7 och till och med betan av IE 8.

Det kommer ofta nya expolits, men denna är extra illa eftersom det räcker med att du besöker en smittad hemsida för att själv bli smittad.

Microsoft kommer att släppa en out-of-band patch som troligen kommer bli tillgänglig senare ikväll, gissningsvis runt 19.00.

Installera patchen så fort den kommer! Det finns över 100 000 webbsidor som har den här elaka koden på sig och antalet växer.

Hur man skyddar sig tills dess då?  Tja, om du inte redan gör det, kör en annan webbläsare. Man kan också sätta Internet zone security setting till High i Internet Explorer och sedan tacka nej till alla prompter om ActiveX Controls och Active Scripting (detta begränsar dock funktionaliteten en hel del). Kör man som vanlig användare och inte som administratör (för det gör du väl inte) begränsar man påverkan av attacken rejält.

Här är ytterligare tekniska skyddsåtgärder, om du inte vill göra nåt av det ovanstående:

3. Disable XML Island Functionality

4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL

5. Disable Row Position functionality of OLEDB32.dll

6. Unregister OLEDB32.DLL

7. Use ACL to disable OLEDB32.DLL

8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008

9. Disable Data Binding support in Internet Explorer 8

Är webbsidan nere bara för mig eller för alla?

När man har inkonsekventa problem med namnuppslagning, nätförbindelser och överfiltrerande brandväggar kan det ibland vara svårt att felsöka.

Ett av verktygen man kan använda är den finurliga webbsidan:

http://downforeveryoneorjustme.com

Den kan användas för att testa om det bara är du som inte kan nå en viss webbsida eller om ingen annan heller kan nå den. I praktiken är det inte ”alla andra” utan bara just den webbservern, men det kan ändå hjälpa ibland, förutsatt att du kommer ut på Internet och åtminstone når denna webbsidan.

På webbsidan anger man helt enkelt adressen man undrar om. Man får upp ett av tre svar:

- It’s just you.
- It’s not just you.
- Doesn’t look like a site.

Med denna sidan slipper man fråga sina kompisar om de når sidan, extra bra om man är uppe mitt i natten och felsöker 

Enligt WHOIS ägs IP-adressen bakom downforeveryoneorjustme.com av Google. All kontaktinfo pekar mot San Fransisco.

Signera din epost

Företaget Comodo, som bland annat tillverkar brandväggar och antivirus, erbjuder gratis epost-certifikat till vem som helst.

Vad är fördelen med att signera ett epostmeddelande? Jo, mottagaren kan vara relativt säker på att det verkligen är du som har skickat brevet och att det dessutom inte har manipulerats på vägen till dig. Dagens epostsystem har oftast ingen som helst kontroll på vem som gör vad och det är riktigt enkelt att fejka avsändare:

Men det är alltså lika enkelt att skaffa ett epost-certifikat. Även om du normalt inte använder Internet Explorer är det ändå bra att använda den för just detta, eftersom den lagrar certifikaten i Windows. Firefox har en egen hantering av certifikat.

Gå till denna adress:

https://secure.comodo.com/products/frontpage?area=SecureemailCertificate

Fyll i förnamn, efternamn, epost och land. Glöm inte att kryssa ur valet för Comodo Newsletter (om du inte vill ha det).

En kort stund efter att du tryckt på Agree & Continue kommer ett mail från Comodo till epost-adressen du angett. Tänk på att du måste göra alla steg på samma dator och att du bara kan signera epost skickat från den epostadress du angav i ansökan. Men du kan alltid ansöka om flera certifikat, ett per epostadress du använder.

Mailet innehåller instruktioner om hur du går vidare. I princip är det bara att klicka på länken i mailet och klicka på Ok-knappen. Du bör komma till en sida som säger

Collection of Secure Email Certificate
Attempting to collect and install your Free Certificate…
Successful

Nu har du installerat ditt nya certifikat i datorn och kan börja signera din epost genom att kryssa i det valet i ditt mailprogram. Hur man gör det skiljer mellan olika program, här är några exempel:

(klicka på bilden för en större version)

Oftast finns det en inställning som gör att alla nya mail signeras automatiskt. Leta i inställningarna om du vill ha det så. Jag har inte testat Gmail eller Hotmail. Det ska finnas en plugin som klarar det via Firefox tror jag, men det får ni kolla vidare på själva.

Så här ser det ut hos mottagaren när man signerar (och när man inte gör det):

Allt detta handlar om signering. Kryptering då? Jo, de som har fått din publika del av certifikatet (det skickas med i alla mail som du signerar) kan kryptera epost till dig. Du kan bara kryptera epost om du har mottagarens publika nyckel (i alla fall utan ett tilläggsprogram).

Programmet PGP (eller freewareversionen GnuPG) gör ungefär samma sak som jag har beskrivit, men det kräver att man installerar extra program.

För att se vilka certifikat du har, välj Start / Kör och skriv certmgr.msc. Under Personal / Certificates ser du alla dina personliga certifikat. Det kan redan finnas andra certifikat där, t.ex. från vissa banker eller ditt jobb.

Resten av inlägget behöver du inte läsa för att signera din epost, det är bara lite personliga reflektioner om säkerheten i detta…

Egentligen ser jag vissa problem med denna typ av lätttillgängliga certifikat, där den enda verifikation som krävs är att man har tillgång till epostadressens Inbox. Om jag ser en olåst dator hinner jag skaffa och exportera ett giltigt certifikat för den personens epostadress på några minuter och efter det kan jag utge mig för att vara den personen, signerat och allt. Även en enkel trojan ger mig så klart denna möjlighet.

Jag har signerat min epost av och till i över 6 år nu, men det har hittills varit lite bökigt. Inte att signera, det är bara en knapptryckning, men att få tag i ett certifikat som alla litar på. Jag använder Thawtes Freepost-lösning, vilket innebär att man kan få ett epost-certifikat om minst två befintliga Freepost-notarier ackrediterar dig (genom att de träffar dig personligen, får kopior på id-handlingar som de måste spara och man skriver under ett avtal). Är det fler notarier som ackrediterar dig kan du till slut själv bli en notarie. Fördelen med detta system är att det finns spårbarhet i vem som har gått i god för vem. Hur vet Comodo att du verkligen heter det du skriver i namnfälten? Jag skulle personligen inte våga gå i god för en okänd utan att ha ”torrt på fötterna”.

Eftersom det inte finns något enkelt sätt att se vilken Assurans (tillförlitlighet) ett certifikat har, urholkar Comodos lösning förtroendet för de mer ”seriösa” certifikatutgivarna som har fler kontroller på att du verkligen är du. Som slutanvändare ser man bara ikonen som säger att eposten är signerad, inte hur väl man har kontrollerat identiteten innan certifikatet gavs ut.

Men oavsett detta innebär ju ett certifikat i alla fall att personen har haft tillgång till Inboxen, så det ökar ändå trovärdigheten en hel del jämfört med att inte signera epost alls.

Certifikatet går att exportera och sedan importera på andra datorer som du använder, men tänk på behandla den exporterade filen som känslig. Man kan ändra det till Ej Exporterbart i ansökan genom att klicka på Advanced Private Key Options. Där kan man också välja att lägga certifikatet på ett smartcard.

Men nu till den verkliga frågan: Hur kommer jag åt Homers Inbox? 

Riksdagen avlyssnar SSL-trafik

Enligt ett blogginlägg av riksdagsledamoten Lage Rahm (MP) så visar det sig att Riksdagens IT-avdelning avlyssnar all webbtrafik som går till och från riksdagen, även den som är SSL-krypterad!

SSL-kryptering är ju normalt skyddad end-to-end, dvs mellan klienten och webbservern, men i och med att de använder en webbproxy (BlueCoat i detta fall, men även ISA klarar detta med tredjeparts add-ons), så kan proxyn terminera SSL-sessionen som klienten skapade och skapa en ny egen session mellan proxyn och webbservern. Terminera i detta fall betyder inte att stänga av utan att avsluta krypteringen. Detta gör att även SSL-krypterad trafik kan inspekteras/spioneras på.

En klient skulle i en sån här man-in-the-middle attack normalt klaga på att proxyn inte kan visa upp ett giltigt certifikat som matchar webbadressen, men eftersom de som driftar denna proxylösning även kan ge ut certifikat som klienten litar på (via sin interna PKI-lösning) kan proxyn i realtid generera giltiga webbcertifikat för vilken webbadress som helst.

Det enda sättet att upptäcka detta är att manuellt kontrollera vilken CA som har signerat webbservercertifikatet för webbadressen man besöker. Är det en extern leverantör med gott rykte (t.ex. Verisign, Thawte, Equifax) så är det troligen okej, men om det är signerat av en intern CA-server är det ett tecken på att detta sker. Det bästa sättet är att verifiera det är förstås att kontrollera vilken CA som har signerat webbserverns certifikat via en annan anslutning än den man misstänker.

Spana in denna bilden om det jag skrev lät förvillande (klicka på den för en större version):

Jag ser egentligen inte denna teknik som ett problem, det man gör från en arbetsgivares verktyg och nät bör kunna övervakas, för företagets eget bästa. Men det förutsätter självklart att de som övervakas aktivt blir informerade om vad som sker och vad det innebär för deras integritet!

Som med allt annat är det inte tekniken som är ett hot, bara uppsåt och användning av den.

Dock framgår det i texten att även ogiltiga certifikat accepteras av proxyservern. DET däremot ser jag som ett stort problem, om så verkligen är fallet! Då kan jag sätta upp www.enbank.se som signeras med min egen CA-server. Ingen litar på det, men deras proxy ger ändå ut ett giltigt internt certifikat, så alla riksdagens klienter litar blint på det. Inte bra.

Riksdagsledamoten Lage Rahms blogginlägg:
http://lagen.net/index.php/2008/11/storebror-ser-mig/

Här finns mer info om hur övervakning sker på svenska företag (fast här handlar det inte om Man-in-the-middle utan om att inventera vad som finns lagrat på klienterna eller med installerade agenter övervaka vad som sker på dem):
http://nyhetskanalen.se/1.733359/2008/11/22/skatteverket_vill_overvaka_mer

Säkrare Gmail-sessioner

Jag använder själv sällan Googles Gmail, även om jag har ett par konto för tester, men mååånga av mina vänner och kollegor använder det.

Här kommer ett tips på hur man säkrar upp sina sessioner när man kollar mail.

Om man går till http://mail.google.com så redirectas man till en krypterad sida (https) för inloggning. Men när man väl har loggat in blir sessionen återigen klartext (http):

Även om inloggningen – och därmed ditt lösenord – är skyddat, så går nu all trafik i klartext, dvs allt du läser eller skickar kan läsas av alla som sniffar nätet. Att sniffa nättrafik (trådlöst eller kabel) är idag trivialt. Kabel kräver bara att du sitter på samma subnät (även om man kör switchat), för trådlöst räcker WLAN-täckning.

Problemet är inte bara att andra kan läsa vad du gör. Eftersom Gmail använder en Cookie för att bekräfta att du är inloggad, och denna Cookie skickas okrypterat, kan elakingarna sno Cookien, själva gå till Gmail och (utan att ange ett lösenord) komma rakt in i din inkorg. Vad man gör efter det begränsas bara av fantasin. Att beställa en reset av lösenord till en webbsite du har ett konto på och snappa upp mailet och radera det innan du ser det är bara ett exempel.

Det finns två sätt att lösa detta på. Det första och enklaste är att gå till adressen https://mail.google.com, då förblir sessionen krypterad även efter inloggning.

Det andra sättet är nästan lika enkelt, men behöver bara göras en gång per Gmail-konto:

1. Logga in på Gmail
2. Klicka på Inställningar
3. Längst ned på sidan finns Webbläsaranslutning
4. Klicka i Använd alltid https
5. Spara ändringar.

Nu kommer dina framtida sessioner alltid vara krypterade, inte bara inloggningen:

Jag förstår inte varför Google inte har detta påslaget som standard. Alternativet att alltid kryptera sin session tillkom dessutom först för någon månad sen.

Google officiella anledning är att personer med låg bandbredd kan uppleva SSL-sessioner segare. Kan inte de då erbjudas möjligheten att slå av SSL, med info om vad det innebär?

Den riktiga anledningen tror jag ligger mer åt att många samtidiga SSL-anslutningar (som https använder sig av) kräver mer CPU-resurser av servern än vad http gör. Försämrad säkerhet, oavsett om det är för att vara snäll mot slöbandsanvändare eller om det är hårdvarusnålhet, tycker jag att man behöver vara tydligare med att informera om mot sina kunder.

Google kan inte längre skylla på att det är en Beta, med tanke på att Gmail lanserades för över 4,5 år sedan! Borde kanske ta bort Beta ut loggan snart…

Ladda ner färdiga Windows Server 2008-servrar

Good news and bad news…

The good

Nu finns det färdiga Virtual Hard Drive Images (vhd:er) av Windows Server 2008 att ladda ner från Microsoft. Det finns två versioner, en full Exterprise (3029.5 MB) och en Core (870.9 MB).

Det här är jättebra om man snabbt vill sätta upp en labmiljö för att testa någonting eller om man vill lära sig mer om Windows Server 2008 (förrutom hur man installerar då förstås).

The bad

Ett problem är att de bara finns i 64-bitarsversioner och det står att de kräver Microsoft Hyper-V.

Virtual PC kan läsa vhd:er och kan köras på ett 64-bitars host-OS, men den har den inte stöd för 64-bitars gäst-OS, som ju detta blir.

VMWare Workstation har å andra sidan har stöd för 64-bitars gäst-OS men stödjer inte vhd-formatet (de använder istället formatet vmdk.

Men VMware ska ju kunna importera Virtual PC-maskiner, så jag skapade först en virtuell maskin i Virtual PC med den nedladdade vhd:n som disk. När jag startade den klagade den på att (den emulerade) CPU:n inte var 64-bitars, precis som förväntat (jag kör en 64-bitars Vista som host). Jag öppnade då VMware Workstation och försökte importera den nyskapade Virtual PC-maskinen, men får då felmeddelandet:

Failed to get volume information. Error 1005 Assuming the volume is not ‘formatted’

(felmeddelandet fanns i loggen C:\Windows\Temp\vmware-temp\vmware-converter-1.log)

Skumt! Har du nån lösning på att köra dessa vhd:er i WMWare Workstation (eller Virtual PC för den delen), hör gärna av dig!

The links

Här kan du i alla fall ladda ner dem:
http://www.microsoft.com/downloads/details.aspx?FamilyID=060f0c51-339a-4c4e-bb6e-716bb7401fd4&DisplayLang=en

De gäller bara i 60 dagar, men här är en länk till hur man kan utöka det till 240 dagar (helt lagligt):
http://support.microsoft.com/kb/948472

Release Candidate av Identity Lifecycle Manager ute nu

Igår släppte Microsoft en RC-version av ILM ”2″ (som är det officiella namnet på produkten än så länge).

ILM är är samlingsnamnet för produkterna som tidigare hette Microsoft Identity and Integration Server (MIIS) och Certificate Lifecycle Manager (CLM).

Här kan du ladda ner installationsmedia, eller varför inte de färdiga virtuella maskinerna, för att snabbt komma igång med en utvärdering:

http://technet.microsoft.com/sv-se/evalcenter/cc872861(en-us).aspx

Det står att de virtuella maskinerna kräver Hyper-V:

 System Requirements

- Windows Server 2008 with Hyper-V
- Hyper-V capable hardware
- 8 GB memory recommended, 4 GB minimum
- 60 GB disk space

 

men eftersom det är VHD:er borde det väl fungera med VirtualPC också? Rätt saftiga minneskrav har de också.