Säkerhet

SSH som hidden service

Efter dagens presentationer på 32c3 om Tor, Tor Onion Services, More Useful Than You Think, och State of the Onion, så beslöt jag mig för att börja lägga till alla mina egna (mest privata) tjänster som hidden services. Instruktionerna för att skapa en konfiguration för sin hidden service är rätt bra, och rätt enkla om man vill dölja en webbtjänst. Men om man vill använda t.ex. en SSH-klient för att ansluta till sin SSH-service så får man söka rätt ordentligt på nätet för att ta reda på hur man gör.

Toppdomäners användande av TLS

Jag gjorde en snabb körning på hur det ser ut med TLS hos våra toppdomäner i världen. Med den nuvarande tillväxten av nya toppdomäner har vi idag 1082 delegerade toppdomäner i root, och det växer sakta tills dess att ICANN har delegerat alla nya toppdomäner. Eftersom vi vill att TLS ska finnas på alla webbsajter är det intressant att se hur toppdomäner skyddar sin kommunikation med allmänheten. Så min första enkla analys är att helt enkelt se vilken URL man registrerat hos IANA, och se om de har https som default.

DNS Privacy - krypterad DNS

I en serie poster tänkte jag nu framöver posta lite mer renskrivna texter om DNS från mina anteckningar på olika internet-konferenser. Jag hoppas detta kan vara till glädje för någon som är intresserad av vad som händer i DNS-världen. DNS har funnits i drift i över 25 år. Det är bara under de senaste 15 åren som säkerhet i protokollet diskuterats, och 2005 gick RFC:erna för DNSSEC genom IETF. Men kravet i protokollet för att skydda den personliga integriteten har aldrig funnits - förrän under det senaste året.

FRA:s gamla superdator

Jag upptäckte precis att Youtube äntligen processat mitt gamla klipp från Rapports inslag om FRA:s nyinköpta superdator. Men nu är den ju några år gammal, och ligger “bara” på 67:e plats på världens snabbaste superdatorer.

Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs.

När DNS ljuger

Man kan väl minst sagt konstatera att DNS hamnat i fokus den senaste veckan, inte minst i ljuset av Verisigns ompekningar av ett större antal domäner, men också Wikileaks problem med att vara tillgängliga. Senast ut med Wikileaks är att deras DNS-tjänst som sköttes av EveryDNS plockade bort wikileaks.org från sina namnservrar. Anledningen är att namnservrarna utsattes för en DDoS-attack, vilket skulle få nästan vilken leverantör som helst att ta bort det domännamn som är orsaken till problemet, eftersom detta går ut över alla andra kunder.

Lathet och OpenID

Jag ville ha en OpenID-inloggning. En egen. Detta har dröjt ett tag, eftersom jag inte har orkat leta efter vettiga implementationer av en OpenID-server. Och så har naturligtvis andra saker prioriterats. Men idag fick jag ork att leta lite efter om det fanns några genvägar. Och jag ville inte använda lösenord, utan hellre klient-certifikat från cacert.org. Så vid en snabb sökning så hittade jag tjänsten certifi.ca som just enbart är en OpenID-provider för folk med cacert.

Nostalgi-varning

Jag grävde lite i mina arkiv, och hittade detta lilla citatklipp från sommaren 1994. Den borde vara lika klassisk som Ines Uusmans Internet-fluga. Det är Kerstin Hallert som intervjuar Anitha Bondestam, dåvarande generaldirektör för Datainspektionen. Förutom nedanstående har jag förträngt helt vad artikeln i övrigt handlade om. När vi skiljs uppmanar hon mig att aldrig någonsin köpa ett modem till barn. - Ungarna vill bara ta sig in i andra datasystem.

Den flyktiga konversationen på väg att dö

I takt med att övervakningssamhället är på frammarsch bör man kanske titta åt det andra hållet och titta på hur man själv sköter sin dagliga kommunikation. Om man också tittar lite bakåt så märker man snabbt att sättat man konverserar på idag mer och mer blir av sådan art att man efteråt kan gå tillbaka och se vad som sades, till exempel som SMS, e-post eller bloggkommentarer. Detta är inte krypterad information, som jag tidigare försökt argumentera runt här, utan på olika sätt lagrad och lätt åtkomlig information.

Nationell Internet-trafik

Alla är väl vid det här laget osäkra på om deras dagliga Internet-trafik färdas över landets gränser. FRA vill ju som bekant lyssna på sådan trafik, för att göra det FRA brukar göra, också i kabel. Jag noterade att det finns en ny plugin till Firefox som heter Fradar. Den visar användaren ifall trafiken passerar landets gränser. Fiffigt. Men det finns flera problem här. En sak är det som Patrik Fältström skriver i sin blogg, det är svårt att säga vad som är svenskt.

Piratpartiet borde kryptera, inte skrika varg

Visst, jag tycker också att “FRA-lagen” är hemsk på många sätt. Men Piratpartiet försöker av visserligen uppenbara anledningar skrämma upp allmänheten istället för att utbilda den. De dömer ut hela riksdagen istället för att lära ut hur man gör för att kryptera informationsutbyte. De sörjer svarta måndagar istället för att slå på kryptering på hemsidan och e-post (HTTPS respektive StartTLS) för piratpartiet.se. Från min horisont försöker de primärt att skaffa sig medlemmar istället för att se till att FRA inte kan avlyssna dem.

Bibelstudier

Nej, jag har inte gått och blivit kristen. Men vid en diskussion om övervakning för ett par helger sedan så var jag faktiskt tvungen att referera till bibeln. Först en kort bakgrund. Diskussionen handlade om övervakning, och i synnerhet kameraövervakning. Kameraövervakning är dyrt och svårt, och kräver en massa resurser i form av personal och utrustning. När man “rör sig på Internet” är man övervakad konstant, allt man gör loggas någonstans, och man kan räkna kallt med att någon underrättelsetjänst i något land också loggar och analyserar ens beteende.

En riktigt bra CAPTCHa

Jag har tidigare skrivit om CuteoverloadCAPTCHA, men det här var faktiskt om inte roligare, så riktigt nyttigt: reCAPTCHA. Stoppa spam, läs böcker. reCAPTCHA skapades av Carnegie Mellon University för att kunna hjälpa till med inscanning av böcker. Det fiffiga är alltså att de ord man skriver in är sådana som misslyckades, så man hjälper till att rätta till dessa ord så att inscanningen blir korrekt. En riktigt konstruktiv lösning på ett destruktivt problem, spam.

Instabil webb

Populära webplatser tvingas att köra tyngre och tyngre hårdvara för att klara den med tiden ökande last de utsätts för. Webbplatser som normalt sett har en ganska låg last som till exempel krisberedskapsmyndigheten.se sänks lätt om lasten någon dag skulle bli hög, säg att de skulle öva en kris eller så… (Javisstja, precis det hände ju nu i veckan.) Eller säg till exempel att Sverige skulle hamna i politiskt blåsväder. Hur många av våra myndighetssajter skulle stå pall då?

Ännu mer Nordea-phishing!

Nyss fick jag det snyggaste Nordea-fisket hittills: Webbsajten var snyggt uppsatt på en .hk-adress med korrekt språk, fina hjälptexter osv. Kan inte Nordea skärpa till sig snart och ta bort de fullständigt värdelösa engångskoderna?

FRA-förslaget tillfälligt stoppat

Det ser ut som om Socialdemokraterna backar en aning från sitt Bodström-samhälle nu när de sitter i opposition. Vilket kanske tycks aningen märkligt med tanke på vilka lagförslag de själva drivit. I väntan på att lagen klubbas igenom, snart eller om ett år, kan man finslipa sina listor med “farliga ord” som man kan använda för att förvirra de som ska sköta avlyssningen. Jan Garefelt har påbörjat listan i form av en javascript-generator med farliga ord.

Imorgon smäller det

Den nu väl omskrivna avlyssningslagen som ger FRA befogenheter att avlyssna Internet-trafik ska regeringen imorgon besluta om. Ekot passade i morse på att rapportera om att svensk inhemsk trafik kan gå via utlandet. Det är inte så konstigt, utan fullt normalt. Det är naivt att tro att det svenska Internet är helylle-svenskt. På grund av märkliga peering-avtal (svenska operatörer emellan) och annat kan bästa vägen vara att skicka dina små paket via Amsterdam eller London.

Uppföljning av SVT och FRA-postningen

Sedan i förrgår då jag postade SVT skickar sin e-post utomlands har det hänt en del. TT skickade ut det som en nyhet, och nyheten publicerades i väldigt många landsortstidningar. Nu skriver Politikerbloggen att Svenska Journalistförbundet vädjar till Riksdagen om att stoppa den omstridda lagstiftningen. En annan bloggare, Calle Lidström, har grävt vidare och funnit att en massa andra journalister även de får sin post spridd över gränsen. Dessutom ryktas det att SVT-anställda inte får kryptera sin e-post av säkerhetsskäl.

SVT skickar sin e-post utomlands

Rubriken kanske inte är så uppseendeväckande vid första anblicken. Men det borde den vara. Skickar någon ett litet mail till SVT, kanske med tips om en het nyhet eller liknande, så skickas det nämligen en sväng via Westerham, Kent i England, efter att ha passerat London en sväng. Mottagare av e-posten är emailfiltering.co.uk, ett företag som säljer hantering av e-post. svt.se. 2581 IN MX 10 mx1-svt-se.emailfiltering.com. svt.se. 2581 IN MX 20 mx2-svt-se.

Fin grafik över spridningen av Storm-masken

I slutet av den här veckan stormade det i mellan-Europa. Samtidigt var det någon som spred ett virus kallat Storm Worm, eller Small.dam. Jag blev lite avundsjuk på F-Secures visualisering på spridningen av Small.dam: (Samtidigt ville jag testa att publicera en liten Youtube-film.)

Windows vs Linux

Richard Stiennon har på sin blogg postat väldigt klargörande bilder till varför Linux är lättare att göra säkert än Windows. Detta är systemanropen till en Apache webbserver när den levererar en bild som svar på ett HTTP-anrop. Och detta är en bild på när en IIS gör samma sak i en Windows Server. • Why Windows is less secure than Linux

Nordea och dess Fraudkamp

Ännu en gång har svenska Nordea utsatts för en phishing-attack. Ett mail som skickas till svenskar och som förhoppningsvis har konto hos Nordea. För Nordea har sommar 2006 blivit en av de mest fulla med illegala operationer. Det blir allt oftare att den konfidentiella informationen om våra kunder intresserar svindlare. Det är rätt många som vänder sig till oss för att vi skyddar deras konto mot förlust av pengar.

Blogga i ... felsäkert läge!

Nu har jag inte kört Windows på många år. Men jag upphör aldrig att förvånas över Microsofts påhittighet vad gäller säkerhet. Många är historierna om Microsofts storsatsningar på just säkerhet, och eftersom jag är lätt intresserad av just säkerhet så vill man ju hålla lite koll på vad världens mest populära applikationer kan och gör. Men veckans Microsoft-rekommendation fick mig att bli alldeles fnittrig, och det har inget med alkohol att göra.