Category Archives: Integritet

Lösenord eller pinkod på mobilen: en bra idé

På söndag, när vi alla förhoppningsvis har en liten stund över att ge våra smartphones den uppmärksamhet de förtjänar, så tycker PC för allas chefredaktör Fredrik Agrén att det är dags att ställa in lösenord på mobilen eller byta det befintliga. Jag vet inte om man kan ha mer rätt än så.

Förra året hände en hel del intressant på det mobila området när det gäller vad vi gör med enheterna och hur vi gör det. Det pratades väldigt mycket om mobila betalningar och NFC och jag tror de flesta är överens om att det bara är en tidsfråga innan vi faktiskt gör stora delar av våra köp med mobilen. Antagligen använder vi den snart som nyckel här och där också. I år ser vi snart genombrottet för Swish, den tjänst en rad svenska banker har satt ihop för att vi ska kunna föra över mindre summor till varandra med hjälp av bara mobilnumret. Smart, den hittills enda kritik jag har sett är att de tar betalt för tjänsten, men det är nog ofrånkomligt att bankerna vill ha några kronor för besväret.

Vi har även sett en kraftig BYOD-trend under de senaste två åren. Det här betyder att allt fler börjar använda sina privata prylar, kanske främst tablets och smartphones, i jobbet. Då blandas både privata nätverk och privata risker med företagsinformation, det är eventuellt inte alltid bra. Har företaget en okej BYOD-policy så ska det i och för sig inte behöva vara ett problem.

En äldre och mer självklar risk är att någon kommer åt mobilen och kan komma åt e-post- och Facebookkonton. Där finns en ganska stor risk för identitetsstöld, vilket är riktigt läskigt. Vi har sett några ganska störande exempel under det senaste året.

De här trenderna pekar på hur otroligt viktigt det är att lösenordsskydda våra mobiler och surfplattor. En pinkod är egentligen inte ett särskilt starkt skydd och många vågar nog inte ha begränsningar i hur många gånger man får försöka slå in koden, men det är bättre än inget. Har du en Android-, Windows Mobile- eller Symbiantelefon är det en bra idé att köra ett säkerhetsprogram också. Det finns flera att välja mellan, även om jag naturligtvis föredrar en viss tillverkare.

Säkerhetsradion: Sårbarhet i Internet Explorer

En lucka i webbläsaren Internet Explorer kan göra att en attackerare kan se musrörelser samt eventuellt vad man skriver på virtuella tangentbord och knappsatser. Microsoft har varit medvetna om problemet sedan ett par månader tillbaka, men ingen lagning har ännu gjorts för att komma till rätta med problemen. I dagens podcast pratar vi mer om fenomenet.

Vem hänger över din axel när du surfar?

De flesta av oss vet att vi inte är ensamma när vi surfar på nätet, men bilden av vem som övervakar oss varierar från person till person. För några är det Storebror som tittar över vår axel, för andra är det en av de stora Internetjättarna som samlar information om oss för att använda – ja, till vad då?

Vi är dock väldigt duktiga på att ignorera de här tankarna och fortsätta surfa i lugn och ro, men det lönar sig att titta lite närmare på vem som följer dina steg online. Mozilla har nyligen släppt Collusion, en plugin till olika webbläsare som i realtid visar vilka företag som bevakar dig på nätet. Har du installerat pluggen så visar den direkt hur dina surfvanor kartläggs. Skärmdumpen nedan illustrerar vad som händer efter ett besök när man har varit på några populära svenska nyhetssajter.

Varje gång man går till en ny sajt hänger plötsligen en massa företag över ens axel och följer alla steg. För det mesta är det företag som sysslar med onlineannonser men även sajter som Facebook och Twitter är med.

Är det här något vi bör vara oroliga för? Det leder ju trots allt till att jag framöver får se annonser som är anpassade efter mina intressen. Men hur skulle det kännas om någon skulle börja skugga dig när du var ute och shoppade på stan?

Oavsett om det här är något som stör eller inte så är det värt att få en liten reality check. Tekniken fortsätter att utvecklas i rasande takt och lagstiftningen hänger i dagsläget inte riktigt med.

Collusion för Firefox kan laddas ned här och för Chrome och Safari här. Det finns förstås också ett antal plugins som gör att du slipper bli spårad när du surfar, till exempel Ghostery och Do Not Track.

TOR – man får ta det goda med det onda

Yttrandefrihetens stora slagskepp, det fria forumet Flashback, kanske inte alltid är förknippat med helt rumsrena åsikter, men i förrgår postade någon en indignerad kommentar om något som försiggår på TOR (The Onion Router). TOR är ett nätverk som bygger på så kallad onion routing och kan användas som anonymiseringstjänst (lökreferensen bygger på att krypteringen sker i flera lager som i en lök). Bland annat möjliggör TOR helt anonym surfning och helt anonyma webbadresser med suffixet .onion.

Det här är något av ett dilemma, för anonymiteten drar å ena sidan till sig ljusskygg verksamhet som vill gömma sig för myndigheter, men å andra sidan har TOR och teknikerna bakom en mycket viktig roll att spela.

För ett par veckor sedan skrev Jon Brodkin på Ars Technica om hur TOR hjälpt till när regimen i Iran blockerade all krypterad trafik på Internet. Idag har enligt artikeln bara USA fler TOR-användare än Iran, vilket visar klart och tydligt att projektet är en oumbärlig kanal i länder där yttrandefriheten står lågt i kurs. TOR möjliggör kontakt med omvärlden när regimer försöker släcka ner Internet.

Det är besvärande att vissa använder anonymiseringstjänster för kriminella ändamål, men idag används ofta det argumentet som ett slagträ för att förbjuda anonymisering och för att klubba igenom lagar som inkräktar på miljontals människors privatliv. Det är väldigt besvärande, eftersom hela bilden är så mycket större.

Porn site coders expose user info of millions

 

Related:
Infographics: YouPorn Chat Statistics
Podcast: The YouPorn Chat Scandal

 

I got contacted by Alltid Nyheter, from Swedish public broadcasting radio, regarding a thread on Flashback.org, Sweden’s largest web forum. User info of well over a million registered users was openly accessible on the chat site of YouPorn until the server was taken down yesterday.

>> Follow me on Twitter for more IT-security news and fun stuff <<

 

The exposed information contains e-mail addresses and passwords. This information can be used to identify porn consumers, but for some users more than a reputation is at stake.

It is common knowledge that even today a surprisingly large portion of Internet users use the same passwords for many (or all) of the services they use on the Internet, whether it is e-mail accounts, Facebook, PayPal, or other services.

For a security professional it is baffling how coders working on a website with such sensitive content can make mistakes of this magnitude. Allegedly hundreds of megabytes of data has been secured by people with unknown goals. Cyber criminals can easily go through these e-mail addresses and match them with passwords and this way gain access to e-mail accounts. Once they are in, they can secure even more sensitive information to use in phishing attacks, theft, or fraud.

It is difficult not to compare this case with the hacking of porn site Brazzers earlier this year, even though in this case the site wasn’t hacked.

Looking at the data, it seems like a careless programmer accidentally(?!) left debug logging on to a publicly accessible URL as early as November 2007, and it has been storing all registrations ever since.

Yesterday, it was found, probably by ”accident” by someone sweeping websites for publicly accessible, but non-linked (”hidden”) folders, looking for.. either porn or sensitive material like this, and struck gold.

Hackers have already started going through the lists, checking which users have the same password for e-mail or Facebook, and have posted some intimate pictures found in some users sent/received e-mail.

 

Acta får inte förringas

Acta-demonstrationerna i lördags runtom i Sverige drog mängder av människor och som jag skrev då tog sig demonstrationerna även ut på nätet. Regeringen.se låg nere i perioder på grund av överbelastningsattacker.

Ett problem med avtal som Acta är att det nästan krävs specialkunskaper för att orka sätta sig in i problematiken. Vilka beslutar vad om vem? Och varför? Och varför ett handelsavtal?

Har man inte ett starkt och personligt förhållande till nätet är det kanske svårt att ta Acta personligt, men det är ett avtal som kan komma att påverka oss alla i allra högsta grad.

I Rapports bilder från demonstrationerna framgår det tydligt att det är en ung generation som är ute på gatorna (även om det fanns undantag också, i form av anonymormor). Kanske har de äldre och mer etablerade generationerna redan demonstrerat klart, kanske orkar eller vill de inte tro att de olika avtal som diskuteras faktiskt kan ha oönskade konsekvenser.

Problemet när en motståndsrörelse känns ung är att den kan avfärdas som just ung. Det är lätt för den generation som klättrat lite högre i hierarkierna att bara se protesterande ungdomar. Kanske har det att göra med skillnaden mellan de som ser nätet som ett praktiskt sätt att betala räkningar och de som har tillbringat en stor del av sin uppväxt där? De förstnämnda har lättare att bortse från huvudfrågan – ska vi verkligen ha spelare på planen som mer än de andra får diktera villkoren under pågående match – medan de andra ser en stor del av livsrummet stå på spel.

Har du inte läst så mycket om Acta så gjorde PR Nyhetsguiden ett väldigt begripligt inslag med röster från både för- och emotsidan tidigare idag.

Lyssna: Valeria: ”Vi ska tänka på saken, sedan ska vi rösta ja eller nej”

 

Acta underskrivet – men inte genomröstat

I torsdags undertecknade Sverige och 21 andra av EU:s medlemsstater det kontroversiella Acta-avtalet vid ett möte i Tokyo. Protesterna kom omgående, bland annat i form av en massiv överbelastningsattack.

Acta, Anti-Counterfeiting Trade Agreement, är ett handelsavtal och har därför kunnat förhandlas fram i hemlighet, så kan man nämligen göra med handelsavtal, och det är där grunden till mycket av kritiken ligger. En enkel sammanfattning vore att säga att i en demokrati ska medborgarna vara med och bestämma om vilka lagar och regler som gäller, och det vet man inte om förhandlingarna sker i hemlighet.

Exakt vad Acta kommer att betyda för de länder som skriver under vet vi inte än. Vissa menar att det står de olika länderna fritt att tolka avtalet, medan andra, till exempel aktivist/hackergruppen Anonymous, menar att Acta innebär slutet för Internet. Än så länge måste avtalet röstas igenom i Europaparlamentet, omröstningen äger rum den 10 juni. Vi kan nästan garanterat vänta oss stor aktivitet från bland andra Anonymous fram till dess.

Emanuel Karlsten skriver om internet och sociala medier i DN och ägnar sin krönika i dagens tidning åt Acta, en bra text som förklarar varför många är oroliga. Läs den!

Statoil hackat dagar efter tips om säkerhetshål på onlineforum

LulzSec må ha lagt hackandet på hyllan men hackerattackerna fortsätter i en strid ström. Senast är ett dataintrång på Statoils webbplats som skedde i tisdags. Till följd av det har hemsidorna i Norge, Danmark och Sverige stängts ner och tillfälliga hemsidor har lagts upp.

Bild: Statoil

Det är ännu osäkert vilka data hackarna har kommit åt men det finns indikationer på att kunduppgifter kan ha stulits. I skrivande stund pågår en utredning för att fastställa intrångets omfattning.

Det fanns information om säkerhetshålet på Statoils webbplats på ett känt internetforum ett par dagar innan webbplatsen togs ner. Personen som skrev inlägget hade även lagt upp en mindre mängd information från Statoils databas och sa att han hade kommit åt 4000 statoilkort. Det här visar hur viktigt det är att systematiskt testa sitt IT-system och söka reda på svagheter innan hackare gör det åt en, men det ABSOLUT viktigaste är naturligtvis att göra det rätt från början redan vid utvecklingen. Som Bruce Schneier brukar säga ”Security is a process, not a product”.

Ny iPhoneapp hjälper dig att spionera på familjens datoranvändande

The Register skriver om en ny och högst tveksam app som finns att köpa i iTunes App Store. Den balanserar på gränsen till det tillåtna genom att logga och skicka vidare alla tangenttryckningar som görs på den Windows-dator som den är installerad på till valfri iPhone. SpyKey marknadsförs som något för misstänksamma partners och föräldrar som vill ha koll på vad barnen gör på internet men innebär både en säkerhetsrisk och ett integritetsintrång.

Att tangenttryckningar loggas, sparas och skickas vidare innebär alltid en risk att lösenord och annan känslig information riskerar att hamna i orätta händer. Ur integritetssynpunkt anser jag personligen att det inte är ok att spionera på sina familjemedlemmar. Om man vill skydda sina barn när de surfar så finns det faktiskt effektiva föräldrarfilter och kontrollfunktioner i de flesta antivirusmjukvarorna, i alla fall i ESET:s virusskydd. Dessutom finns det indikationer på att den nedladdade komponenten i SpyKey skapar problem för datorns virusskydd.

Edit: IT-world skriver om intressant information som kommit till ytan genom en av Lulzsecs releaser – polisen i Arizona är inte så förtjusta i iPhones.

 

 

LulzSec i Storbritannien – eller?

En person har gripits i London misstänkt för inblandning i LulzSecs hackerattacker mot företag och myndigheter. LulzSec håller inte med:

 

Hackergruppen menar också att de inte ligger bakom stölden av enorma mängder av information från 2011 UK census, alltså en folkräkning som ger myndigheterna information om medborgarna. Jämför med om information från Skatteverket läckte ut, det vore katastrofalt.

Känner man för det kan man följa LulzSecs Twitterkonto här och få direktinformation, om nu den går att lita på. Det är ju omöjligt att veta var hemliga organisationer börjar och slutar, det är bara att titta på Anonymous.

Det de här grupperna gör är olagligt och kostar enorma summor för skattebetalare och företag, men det går inte att förneka att attackerna mycket tydligt pekar på att myndigheter och företag MÅSTE bli bättre på att skydda kund-, medborgar- och användarregister.