Kategori: IT-säkerhet

Deep Web

Deep Web @IMDB

Deep Web är en dokumentär om den illegala handelsplattformen ”Silk Road” och en av dess skapare Ross Ulbricht. Han är dömd till livstids fängelse i USA.

Det jag tyckte var bra med dokumentären är att

  • Den tar upp centrala tekniker som gör svarta handelsplatser online svåra att stoppa (Programvaran TOR och kryptovalutan Bitcoin)
  • Den berättar om Ross Ulbricht intresse för ekonomi och liberalism och hans överordnade politiska syfte med ”Silk Road” som en farkost för att förmedla ett budskap
  • Den ifrågasätter de amerikanska myndigheternas tillvägagångssätt att driva utredningen och hur de samlade in bevismaterial
  • Den visar att rättegången inte var rättvis då Ross Ulbricht inte fick använda sina vittnen och sitt skrivna material för att försvara sig

Så tänk på att inte jävlas med de som har pengar och makt i USA. Alla medel kommer att användas för att slå ner dig! …även om det bryter mot landets egna lagar. Var också beredd på att människor som arbetar i krig mot knark och terrorism kommer att använda exempel som Silk Road för att stoppa krypterad kommunikation och krypterade tjänster. Det som är positivt är att kryptering blir inbyggt i allt fler produkter; som t.ex. ProtonMail.

Investigatory Powers Bill

För drygt två år sedan bevisade Edward Snowden något som vi alla redan misstänkte; att våra myndigheter olagligen massövervakar oss. Det handlar främst om meta-data (data om data). Sådan information är nyttig om man exempelvis vill analysera nätverk: ”Genom den här personen går alla ekonomiska transaktioner. Ekonomifunktion?” eller ”Den här personen har telefonkontakt med alla i nätverket. Operativ ledare?”. Men med meta-data kan också tydliggöra vem som har kommunicerat med vem, i ett specifikt geografiskt område under ett visst tidsintervall. Problemet är att massövervakning inskränker på allas integritet och förändrar vårt sätt att uttrycka oss. Efter Snowdens avslöjande har intresset för säker kommunikation ökat och allt fler personer krypterar. På det sättet tvingar man myndigheterna att genomföra riktad avlyssning istället för att bedriva massövervakning. Peter Sunde, känd för politiska manifestationer som The Piratebay, drev t.ex. med några vänner projektet heml.is för att skapa en mobilapp med krypterad kommunikation lika enkel att använda som WhatsApp. Projektet är nedlagt men meddelanden som sänds via WhatsApp är idag krypterade och Facebook har uttryckt en vilja att även de skall arbeta för krypterade meddelanden.

…så allt är på rätt väg nu? Nej! I år arbetar brittiska politiker för att öka myndigheternas möjligheter att massövervaka. Om medborgarna lämnar ifrån sig lite mer av sin frihet lovar de att ta fast fler terrorister och pedofiler. Med utkastet ”Investigatory Powers Bill” vill de förbjuda företag som Facebook att erbjuda sina användare en sådan stark kryptering så att den inte går att knäcka av underrättelsetjänster. Uppseendeväckande är också att de vill logga vilka webbsidor som varje enskild medborgare har besökt de senaste 12 månaderna! Just detta sticker ut när man pratar om massövervakning eftersom det inte bara besvarar frågorna vem, när och var utan också frågan vad.

Motkampanjer:
Amnesty International kampanjar emot Investigatory Powers Bill och menar att övervakning skall vara riktad, samt att granskning och kontroll skall ligga under oberoende domare -inte politiker.
http://www.amnesty.org.uk/blogs/ether/five-reasons-care-about-mass-surveillance-edward-snowden-gchq-nsa-citizenfour

Open Rights Group: https://www.openrightsgroup.org/

Läs mer

  1. Wired
  2. The Telegraph
  3. Peter Sunde om heml.is
  4. WhatsApp

Säkra din blogg med CloudFlare

jonatanssl

Godkväll folkens!

Vädret är fint här i Norge men så här på kvällen hinner man fortfarande med att ägna sig lite åt teknikens under. Från och med någon vecka sedan använder jag CloudFlares namnservrar för att skydda mina besökare på jonatan.hilmarch.se. Varför? Jo, för säkerhet tyvärr fortfarande kostar extra! (SSL is a premium service). Med CloudFlare får jag gratis SSL-certifikat mellan användaren och ClouFlares servrar. Mellan CloudFlare och mitt webbhotell Binero är dock fortfarande trafiken okrypterad. De kallar det ”Flixible SSL” men jag skulle vilja kalla det för ”Fusk-SSL” då det för besökaren kan vara lite missvisande. Man kan ju lätt tro att trafiken är krypterad hela vägen. Dock är det mycket bättre än att trafiken inte är krypterad alls. Så vill du förbättra säkerheten för din blogg men tvekar på om det är värt 99$ om året för ett signerat certifikat av Comodo – testa CloudFlare!

Tack till Troy Hunt för tipset!
Troy har även en kurs om CloudFlare på Pluralsight: CloudFlare Security – Getting Started

CloudFlare

security-illustration-ssl

The community is rising

Letsencrypt.org
CAcert

 Who is?

# Copyright (c) 1997- .SE (The Internet Infrastructure Foundation).
# All rights reserved.
# The information obtained through searches, or otherwise, is protected
# by the Swedish Copyright Act (1960:729) and international conventions.
# It is also subject to database protection according to the Swedish
# Copyright Act.
# Any use of this material to target advertising or
# similar activities is forbidden and will be prosecuted.
# If any of the information below is transferred to a third
# party, it must be done in its entirety. This server must
# not be used as a backend for a search engine.
# Result of search for registered domain names under
# the .SE top level domain.
# This whois printout is printed with UTF-8 encoding.
#
state:            active
domain:           hilmarch.se
holder:           jonata4664-65255
admin-c:          jonata4664-65255
tech-c:           jonata4664-65255
billing-c:        jonata4664-65255
created:          2010-12-02
modified:         2015-08-06
expires:          2015-12-02
nserver:          kia.ns.cloudflare.com
nserver:          gordon.ns.cloudflare.com
dnssec:           unsigned delegation
status:           ok
registrar:        www.binero.se

NDC Oslo 2015 – dag 1

Första dagen på Norwegiean Developer Conference har nåt sitt slut. Det har varit intensivt med tal av varierande kvalitet. Jag valde bort mycket av Microsoft-innehållet på konferensen då det redan finns otroligt mycket innehåll på Microsoft Virtual Academy och Channel9. Så mycket gällande det nya i Windows 10, .NET och Azure lär jag fånga upp ändå.

IT-Säkerhet

Först ut var Bruce Schneier som talade om övervakningssamhället och vikten av att vi krypterar vår kommunikation. För gör vi det svårt för mydigheter att övervaka alla och samla data tvingar vi dem till riktad avlyssning istället för massövervakning. Sist på dagen höll Troy Hunt ett underhållande tal om hacking och gav oss en påminnelse om hur sårbar vår digitala värld är och hur lätt det är att utnyttja dessa sårbarheter. Jag var även snabbt inne på en demostration om hur man kan hacka .NET-applikationer ifrån disk eller minne. Tyvärr såg jag inte detaljerna på projektorduken och de två influgna herrarna som kallade sig hackers var inte särskilt pedagogiska.

IT-Säkerhet har varit, är och kommer fortsätta att vara ett aktuellt ämne då det berör alla människor i det moderna samhället och informationsåldern. Jag är gärna med och sprider kunskap och medvetenhet kring ämnet!

Design

På förmiddagen förklarade min kollega Alex York hur han lyckas med CSS. Det handlade om hur man på ett bra sätt strukturerar sina CSS-filer tillsamamans med några guldkorn och tips för en bra layout. Till det tipsade han om verktyget less och för inspiration CSS ZEN GARDEN. Det grafiska är viktigt och något fler utvecklare bör behärska.

Agile

Andy Hunt hade ett intressant men inte så konkret tal om team-building, förändringsarbete och agile. Han anser att allt för många missuppfattar Scrum och börjar att använda arbetsmetodiken med alla dess verktyg även om teamet inte är redo för den omställningen. Undersökningar visar att effektiviteten kan försämras drastiskt om teamet har en oerfaren ledare och/eller mindre erfarna medlemmar efter att man infört Scrum. Därför arbetar han på en ny metodik som heter GROWS som framhäver stegvis förändring då Scrum inte är ett färdigt recept som passar alla.

Det han tog upp är dock inget nytt och jag tänker direkt på tidigare forskning om förändring som t.ex. Kurt Lewins trestegsmodell och att man skall dela in större förändringsmål i flera milstolpar.

SOLID

Jag hann även med repetera SOLID tillsammans med Chris Klug.

Morgondagen

Jag ser fram emot morgondagen som jag liksom idag kommer att vara blandad kompott men med lite större fokus på prorammering. Jag kommer också att hjälpa till i Bouvet´s monter genom att vara social med mässans besökare. Det blir en bra avslutning innan jag sätter mig på bussen till Göteborg för att fira midsommar!

Vad är dina intressen? Fråga Google!

google_intressen

Jag sitter och ändrar mina säkerhetsinställningar på Google och stöter på en lista över mina intressen!

Över 90 % av Googles intäkter kommer ifrån reklam och självklart vet jag att Google kartlägger allt jag gör så länge de har möjlighet men jag visste inte att profilen är så transparent.

Vad är dina intressen? Gå in på https://myaccount.google.com/ och kolla! Här får du också möjlighet att ändra hur Google och andra ser på dig. Rent generellt så tycker jag att det är viktigt att vara medveten om sin publika profil. I verkligheten kan man vara schizofren och lyfta fram i olika sidor av sig själv beroende på kontext och sammanhang men på Internet har du bara en profil och är en person!

Skapa ett självsignerat certifikat till Synology Diskstation med OpenSSL

Att köpa ett certifikat ifrån en Certificate authority (CA) är dyrt så för privata tjänster kan det vara värt att utfärda ett eget. Detta inlägg beskriver hur du skapar ett självsignerat certifikat till ditt (Network Attached Storage) NAS – i mitt fall Synology DS1813+ med DSM 5.1 under domänen fileshare.se.

Innan jag påbörjade arbetet med att byta certifikat fanns två problem med mitt dåvarande. För det första matchade inte fältet ”Common Name” host & domän (fileshare.se). För det andra saknades en extra flagga som behövs för att certifikatet skall kunna importeras till Android. Det resulterade i att jag t.ex. inte kunde använda adressboksprotokollet CardDav på telefonen till mitt NAS. Men låt oss nu gå till det praktiska!
När du är klar med guiden kommer det att finnas fem filer. Två filer för root-certifikatet och tre filer för tjänsten som skall laddas upp på Synology DiskStation.

ROOT

  • rootCA.key – privat nyckel. Lösenordsskyddad (signerar andra certifikat). Spara denna nyckeln på ett säkert ställe och håll lösenordet hemligt
  • rootCA.pem – publik nyckel. Självsignerat root-certifikat ett givet antal dagar. Installera detta i browsers/klienter

För varje tjänst (device)

  • device.key – privat nyckel för tjänsten
  • device.csr – Certificate Signing Request (innehåller information om vad certifikatet skall innehålla och den publika nyckeln)
  • device.crt – Det signerade certifikatet
  1. Ladda ner OpenSSLkommandotolken 1
    1. https://www.openssl.org/source/
    2. För Windows: https://www.openssl.org/about/binaries.html
  2. Öppna OpenSSL via kommandotolken som administratör
  3. Skapa en texfil med innehållet ” basicConstraints=CA:true” och namnet options.txt i samma mapp som openssl.exe. Detta är den extra flagga som Android kräver för att du skall kunna importera certifikatet till telefonen
  4. Generera den privata nyckeln för root i kommandotolken med kommandot

    openssl genrsa –des3 -out rootCA.key 2048

    synology_cmd2

    1. –des3 betyder att du vill lösenordsskydda nyckeln. Välj ett lösenord till den privata nyckeln när du blir uppmanad.
  5. Skapa den publika nyckeln och signera med kommandot

    openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem

    1. Fyll i information om din egen CA som du tycker att det passar
  6. Skapa en privat nyckel för ditt NAS med kommandot

    openssl genrsa -out synology.key 2048

  7. Skapa CSR med kommandot

    openssl req -new -key synology.key -out synology.csr

    1. Fyll i information om ditt NAS.
    2. OBS! ”Common Name” måste passa adressen på din domän (t.ex. test.se)
    3. Fyll inte i någon ”extra” information som t.ex. challenge
  8. Skapa signerat certifikat med kommandot

    openssl x509 -req -extfile options.txt -in synology.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out synology.crt -days 500

  9. Ladda upp filerna till ditt NAS
    1. Tips: Se till att du kommer åt DSM via http ifall någonting skulle fela med certifikatet och den säkra anslutningen (https)synology_keys

Länkar

Datacenter overlords – Creating your own ssl certificate authority
Digicert – SSL Certificate Checker
Left Brain Things – Creating and importing self-signed certificate to Android device
ssl.com – Understanding the Common Name
Synology

Lycka till!

Säker kommunikation på Internet

Detta är ett första inlägg i en rad med samma tema. Med säker kommunikation på Internet menar jag framförallt krypterad kommunikation. Till att börja med kommer jag inte att behandla varför man skall kryptera sin Internettrafik men det kan t.ex. handla om att skydda ditt privatliv, skydda dina eller ditt företags värden och intressen, undvika censur och övervakning. Kryptering kommer dock tyvärr inte alltid ”out of the box” i de tjänster som vi använder och även om du vill surfa säkert så kan det vara svårt att veta hur man skall gå tillväga.

Diskussioner kring köksbordet i kollektivet där jag bor har lett till några praktiska övningar och tilltag som vi gärna delar med oss av. Nästa inlägg som kommer är en beskrivning av hur jag skapade ett självsignerat certifikat till min NAS (Network Attached Storage) under domänen fileshare.se.

Cert-SE

För er som är intresserade av IT-säkerhet så vill jag varmt rekommendera http://cert.se/ som varje vecka länkar till intressanta artiklar i ämnet. Sidan drivs av Myndigheten för samhällsskydd och beredskap. Jobbar du med förvaltning och/eller drift av IT-system är det även en god idé att prenumerera på deras e-postutskick.

Loading...
X