kryptering

Fejl i populære SSD-diske omgår hardware-krypteringen

Dansk

Forskere har fundet en fejl, der kan udnyttes til at omgå hardware-dekryptering uden brug af en adgangskode, på flere populære SSD-drev.

De selvkrypterende drev leverer således ikke det forventede niveau af datasikkerhed, lyder konklusionen.

I en rapport kaldet: Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs) beskriver forskerne Carlo Meijer og Bernard van Gastel, hvordan man kan omgå beskyttelsesmekanismerne og få adgang til de krypterede data uden at kende adgangskoden.

Keywords: 

OpenSSL understøtter nu TLS 1.3

Dansk

OpenSSL Foundation er nu klar med version 1.1.1 af krypteringsbiblioteket OpenSSL, der anvendes i mange forskellige softwareprodukter.

Specielt implementeringen af TLS 1.3 (Transport Layer Security) er en god nyhed. Det er nemlig den nyeste version af krypteringsprotokollen.

Version 1.3 blev klar i marts 2018, og den byder både på bedre sikkerhed og et forenklet ”handshake”, hvilket betyder, at tiden det tager, at forhandle sig frem til en forbindelse mellem en server og en klient bliver reduceret betydeligt.

Ny ransomware-kampagne går efter virksomheder og kræver store beløb

Dansk

Sikkerhedsfirmaet Check Point beskriver en ny ransomware-kampagne, der går efter virksomheder med meget målrettede angreb.

Ryuk ransomware blev første gang opdaget i midten af august, men på blot få dage har den ondsindede kode krypteret data på flere amerikanske virksomheders systemer.  

Ifølge nyhedssiden ZDNet har en enkelt virksomhed betalt 50 Bitcoin, svarende til to millioner kroner, efter at være blevet ramt af svindlernes angreb.

Skype er klar med end-to-end-kryptering

Dansk

Support af end-to-end-krypteret chat er nu klar i Skype til Windows, MacOS, Linux, Android og iOS.

Funktionen blev annonceret i januar 2018 hvor Microsoft og Open Whisper Systems, der har skabt Signal-appen, som anvendes til kryptering, fortalte om projektet.

Krypteringen har gennem en periode fungeret i en testudgave, men nu er en stabil version blevet implementeret i den nyeste udgave af kommunikationsprogrammet.

En krypteret chat startes ved at klikke på + Chat-knappen og vælge en ny privat konversation.

Mail-kryptering ramt af svagheder

Dansk

Hvis du anvender OpenPGP eller S/MIME til at kryptere dine mails, så er der grund til bekymring.

Der er nemlig blevet rapporteret om en angrebsteknik, kaldet Efail, som potentielt kan give uvedkommende adgang til indholdet i en ellers krypteret mail. Også til indhold i allerede sendte mails.

Otte forskere fra tre tyske universiteter er blevet krediteret for at beskrive, hvordan sårbarheden udnyttes i to forskellige angrebstyper.

Forskerne advarer om, at standarderne ikke længere kan anses som en sikker kryptering, da der ikke er en rettelse til problemet.

ROBOT-sårbarhed knækker web-kryptering

Dansk

ROBOT (Return Of Bleichenbacher’s Oracle Threat) er en sårbarhed i mange implementeringer af protokollen TLS (Transport Layer Security). Angribere kan udnytte sårbarheden til at dekryptere krypteret kommunikation.

Sårbarheden er en variant af Bleichenbacher-sårbarheden, som Daniel Bleichenbacher opdagede i 1998. Det er et side channel-angreb, hvor angribere ved at iagttage et systems opførsel kan regne ud, hvordan det krypterer data.

ROBOT udnytter PKCS #1 v1.5 padding errors til at knække krypteringen.

Ældre krypteringssoftware er sårbar

Dansk

Sikkerhedsforskere har opdaget en sårbarhed i en generator til tilfældige tal. Algoritmen bag generatoren indgik tidligere i FIPS (Federal Information Processing Standards), et sæt it-standarder for offentlige myndigheder i USA.

Sårbarheden findes i ANSI X9.31 Random Number Generator (RNG). Den gør det muligt at knække krypteringen.

Algoritmen var tidligere udbredt i systemer til VPN (virtuelt privat netværk). Blandt de berørte produkter er FortiOS fra Fortinet. Firmaet lukkede hullet for et år siden. Kun FortiOS før version 5 er berørt.

Chipsæt fra Infineon har sårbar kryptering

Dansk

Microsoft udsendte i forbindelse med oktober måneds sikkerhedsopdateringer rettelser, der skulle mindske risikoen for at blive berørt af en sårbarhed i TPM (Trusted Platform Module). Sikkerhedsforskere har nu oplyst, at den pågældende sårbarhed findes i krypteringsfunktioner i TPM-chipsæt fra Infineon.

Sårbarheden lader en angriber beregne den private nøgle, der hører til en offentlig nøgle.

Selvom man anvender nøgler med 1.024 eller 2.048 bitlængde, er de sårbare.

Nærmere detaljer vil blive offentliggjort om et par uger.

Gratis certifikater blåstempler falske Paypal-websteder

Dansk

Tjenesten Let's Encrypt tilbyder gratis TLS-certifikater til brug på webservere. Svindlere kan bruge certifikater til at få forfalskede websteder til at virke mere tillidsvækkende.

Ifølge Vincent Lynch fra firmaet The SSL Store har Let's Encrypt fra marts 2016 til 6. marts 2017 udstedt 15.270 TLS-certifikater, som indeholder navnet PayPal.

Han anslår, at 96,7 procent af certifikaterne var beregnet til brug på phishing-websteder. Det er forfalskede websteder, der bruges til at narre brugernavn og password fra ofrene.

Datasikkerhed

Hvordan sikrer jeg mine billeder og dokumenter mod at gå tabt?

Tag en sikkerhedskopi af dine dokumenter med jævne mellemrum. Det nemmeste er en online løsning, hvor der automatisk tages backup. Alternativt kan du bruge en ekstern harddisk med et backupprogram. Husk at kontrollere, at du kan gendanne filer fra backuppen, før du får brug for den.

Dansk
Abonnér på RSS - kryptering