Category Archives: Uncategorized

Hackad webbsida spred ransomware för Mac

Hackad webbsida spred ransomware för Mac

Transmission är en rätt känd Torrent-klient för Windows, Mac och Linux, och vanlig bland de som irriterat sig över den reklam och de extraprogram som installerats samtidigt som μTorrent.

För ett par dagar sedan byttes Mac-installationen på den officiella hemsidan ut mot en version som installerade ransomware. Alltså skadlig kod som krypterar alla användarens filer, och begär pengar för att avkryptera dem.

Palo Alto var de första som rapporterade om det, och även MacWorld släppte nyss en nyhet om det. Båda påstår dock att det var första fungerande skadliga koden för Mac OS X som krypterar användarnas filer, vilket tyvärr är felaktigt.

Vi har sett ett par versioner av liknande skadlig kod för Mac tidigare, och det började med ofärdiga och inte helt fungerande program för ett par år sedan. Efter det har det dock kommit fullt fungerande, och i höstas började vi se fler och fler som verkligen drabbats och fått sina filer krypterade på sin Mac av skadlig kod, ett obehagligt fenomen som varit vanligt i Windows-världen rätt länge.

Versionen som drabbades var Transmission 2.90, som modifierades så att den tre dagar efter installationen började kryptera användarnas filer. Transmission har nu släppt version 2.92 där den skadliga koden är borttagen, och den försöker även aktivt att radera trojanen om den inte hunnit kryptera allting.

Installationsfilen som byttes ut av hackarna var signerad, vilket gjorde att OS X inbyggda skydd inte stoppade den.

Som alltid är det viktigt att se till att man installerar säkerhetsprogram, och har säkerhetskopior på alla viktiga filer.

Det är tyvärr varken första eller sista gången som Mac-användare drabbas av liknande saker. Det finns naturligtvis ingen teknisk skillnad som gör OS X osårbar mot skadlig kod.

Minska dina spår på nätet – DuckDuckGo, en foliehatt för onlinesökning

Ni har hört talas om foliehatten, huvudbonaden paranoiker tar på sig för att skydda sig från tankesläsning, kosmisk strålning och annat smått och gott. I vanliga fall brukar man skratta åt det, men sedan Prism-skandalen uppdagades önskar sig nog många en foliehatt att ha på sig på nätet.

Att sökmotorjättar som Google och Microsoft har lämnat ut information om sökningar som deras användare har gjort till NSA kan ju jämföras med en form av tankeläsning. Våra sökbeteenden reflekterar ju på många sätt vad vi tänker på och sysslar med.

Det finns dock ett hyfsat enkelt sätt att skydda sig från storebrors blick över axeln när man söker på nätet: en sökmotor med det underbara namnet DuckDuckGo.

DuckDuckGo fungerar som en vanlig sökmotor som till stor del använder sig av information från crowdsourcade webbsidor som Wikipedia. Den stora fördelen är att DuckDuckGo inte sparar information om användarna. Sökningen sker alltså helt anonymt. Det betyder också att alla får samma sökresultat. Det är en stor skillnad jämfört med exempelvis Google som anpassar de individuella sökresultaten baserat på användarnas sökhistorik (i Googles fall kan även information från deras andra produkter som Gmail eller Chrome påverka sökresultatet).

För vissa är det kanske en nackdel att inte få skräddarsydda sökresultat, för andra tvärt om. Säkert är att för den som vill vara säker på att sökningen sker anonymt och inte lämnar några spår kan DuckDuckGo vara ett bra alternativ. Lite av en digital, interaktiv foliehatt – som faktiskt fungerar.

Och det verkar finnas en hel del som bryr sig om integritet när det gäller onlinesökningar.  Enligt information från DuckDuckGo har NSA och Prism-skandalen hjälpt DuckDuckGo att kraftigt öka popularitet: på bara åtta dagar gick antalet sökningar från 2 miljoner till 3 miljoner. Det tog dem 1224 dagar att nå 1 miljon sökningar, 483 dagar att komma upp till 2 miljoner och endast drygt en vecka att passera 3 miljoner-gränsen.

Årskrönika 2012

Det är dags att sammanfatta vårt säkerhetsår

Ta en titt på hur cybervärlden egentligen mår

Hos SkyNews utlöste hackade konton kalabalik

Genomförda som ”ansvarsfull journalistik”

Säkerhetshål, läckor, annonser och hack

Flame utsatte iransk olja för attack

LulzSec-ledare som dold informatör

Miljoner läckta LinkedIn-lösenord stör

I Sverige var det minst lika illa

Blocket, där falska annonser förvilla

Chatten hos YouPorn blev plötsligt röjd

OpenX-strul krävde säkerhetshöjd

Vad tror vi oss vänta av året som stunda?

Nationer i cyberkrig, värt att begrunda

Säkerhetshoten allt smartare bli

Men tack och lov, det blir också vi

Bättre skydd kommer fortsätta skapas

Så att färre och färre datorer kan kapas

Våra sammanfattande tips kommer här;

Dator, paddor och mobilen du bär

Håll dem alla säkra från stundande hot

Så hjälper vi dig söka problemets rot

Skydda informationen på ditt eget bord

Och använd endast säkra lösenord!

 

För ytterligare tillbakablickar på 2012 och en djupare titt in i 2013, lyssna på senaste avsnittet av ”Säkerhetsradion”!

Ny CAPTCHA vill göra det lättare – men för vem?

Jag såg nyligen att ett företag ville ”revolutionera CAPTCHA-inmatningar”. Ni vet de där förvridna bokstäverna som man ibland måste mata in för att bekräfta att man är människa.

Ett av de vanligaste CAPTCHA-systemen är reCAPTCHA som för ett tag sedan köptes upp av Google. Det ger dig två ord att fylla i. Ett som systemet vet, och ett som är inskannat från en bok, som den själv haft problem att lösa. På så sätt hjälper man till genom att mata in de snirkliga texterna. Man lär den att tyda texter bättre.

Det finns redan andra som försökt göra det roligare eller enklare för användarna. Till exempel där man ska spela spel, eller välja vilka bilder som innehåller katter.

Det företaget Minteye vill göra, är att de vill att man ska vrida en bild så att den ser korrekt ut. De tänker även att man kan tjäna pengar på att använda dem, genom att bilderna som används är annonser.

Så här ser deras lösning ut:


(för mig laddas den bara ibland, så testa ladda om sidan om den inte visas… den kan även testas här)

Tanken är kanske god, men det finns ett par problem med deras lösning. Först och främst så är det inte SÅ svårt för ett program att ”se” när bilden är okej, speciellt inte om den innehåller raka linjer eller text. Programmet kan även snabbt se att den riktiga bilden är mycket skarpare än de andra, och det verkar vara ett litet hopp mellan hur förstörda de är direkt innan riktiga bilden.

Men, det mest uppenbara… det finns bara 30 möjliga positioner! 1 på 30 chans att gissa rätt om man bara slumpar en position. En CAPTCHA som innehåller två bokstäver är alltså ”säkrare”!

Dessutom så har den felmarginaler, så att den godkänner även 2 positioner före, och 2 efter rätt position! Så av 30 möjliga, så är 5 giltiga. En på sex! Alldeles för lågt för att det ska kunna anses i närheten av säkert. Om detta skyddar kommentarsfält, eller skapande av konton, så kan man lätt bara prova sex gånger, så kommer man lyckas.

Alltid roligt att komma på bättre lösningar, då vanliga CAPTCHAs ofta irriterar användare, men problemet är att för att det ska vara lätt för användare, så är det ofta lätt för datorer också..

Apple-vinnare? Du är inte ensam

Många svenskar har fått sitt första sms-spam nyligen. En stor kampanj drog igång när uppmärksamheten kring iPhone 5 kulminerade, från ett par veckor sedan, över lanseringen och fram till helgen. Upplägget har varit det ganska klassiska på skärmdumpen. Du har vunnit något, klicka för att inkassera.

Jag lade märke till att jag och många andra inte ens lyfte på ögonbrynen och många klickade naturligtvis inte på länken. Spamvanan är stor. Jag vet däremot flera som har fått telefonsamtal från äldre och mindre IT-vana vänner och släktingar som undrar vad det kan vara. Rådet är alltid att radera sådant här direkt och inte klicka på länken och när det gäller lotterier och vinster så har du knappast vunnit något om du inte har deltagit aktivt.

”Grattis. Ditt nummer har gjort dig till en Apple-vinnare! Gå till [länk] och ange koden XXXX för att få din gratis Apple-produkt!”

Länkarna i sms:en dribblar besökaren mellan en rad redirects för att sedan landa i olika typer av affiliate-annonser. Det är inte ovanligt att liknande saker innehåller skadlig kod eller exploits med målet att köra kod på din mobil eller dator.

Det finns ett par intressanta slutsatser att dra från den här väldigt breda kampanjen.

1.) Vi har fått sms-phishing/spam på bred front till Sverige. Vi har inte sett det i någon särskilt stor utsträckning förut, varför vet jag faktiskt inte. Fenomenet har varit omfattande i många andra länder, men inte här.

2.) Uppmärksamheten kring iPhone-lanseringar är skrämmande stor. Den enorma uppmärksamheten har lett till mängder av attacker och phishingförsök världen runt som alla spelar på just din längtan efter en ny blank iPhone. På Facebook gillade tiotusentals människor omedelbart sidan ”Apple Sverige” (med adressen Apple Sverig3), som sade sig lotta ut iPhone 5 ett par veckor före lanseringen. En månad senare tvingades de som driver den tydligt att deklarera att det inte är en officiell Apple-sida.

Det är naturligt att stora händelser och evenemang medför försök att utnyttja dem för att tjäna pengar eller sina egna syften, så håll din skepsis i högsta hugg och ha tipsen nedan i åtanke.

  • Klicka inte på länkar i misstänkta mejl och sms. Att bara få dem är däremot inte farligt.
  • Har du inte deltagit i en tävling har du antagligen inte heller vunnit.
  • Är det för bra för att vara sant, så är det antagligen inte det.
  • Glöm inte att din mobil inte bara är en telefon utan en avancerad dator som innehåller mycket information om dig. Den är ett minst lika intressant mål för cyberbrottslingar som din dator.

Blizzard was hacked – now what?

So, another day, other new (publicly known) ”big” hack. This time, it was Blizzard who got swung at by the hacker axe. Someone had access to their internal network, and that they detected this about a week ago.

Blizzard says in response to the hack:

While there is currently no evidence that any of the password or player data has been misused, we encourage our North American players to change their passwords.

And as always, remember that there’s an increased risk of a targeted phishing attack on players since they had access to account data.

They also say:

We’ll also prompt mobile authenticator users to update their authenticator software.

This is probably to cause a ”re-seed” of the authenticator. Ususally, a secret ID or number is used as a ”seed value” for such authenticators. If someone has access to the algorithm generating the numbers, and which ID/seed an account has, they should be able to calculate the new authentication numbers. Blizzard says they believe the people with physical authenticators are still safe, but that the mobile authenticators are at risk.

However, one of the more important things is this:

In the coming days we will implement an automated process for all users to change their secret questions and answers, as a precautionary measure.

As we all got reminded from the Mat incident, a chain is only as strong as it’s weakest link. I fail to understand why some people highly praise their ”encrypted session blah, blah, hashed passwords” security measures, when all it takes to gain access is knowing ones favorite teacher, mother’s maiden name or a phone call to support?

Security questions are generally stupid. Everyone says ”Oh, you must have a password which is so-and-so, shame on you if you don’t!!” but, then they add ”By the way, as a second way to access your account, what is your pet’s name?”. Sometimes you get to choose your own questions, which is often not better since people don’t realize the inherent dangers of them. A friend of mine had the security question ”Write poo three times” (in Swedish) as a security question, thinking that ”an evil hacker won’t understand Swedish”, and perhaps not realizing when the question is used. Granted, he was much younger when he created the account, but, still…

Generic account recommendations:

  • Use secure passwords
    Passwords are currently the most common way of authenticating to online services, and it’s easy to understand why. Everyone can do it, and it’s easy to understand the concept. I strongly encourage using a password manager (e.g. KeePass or 1Password) both on your computer, and on your mobile phone.
  • Use better security questions/answers
    Realize that people WILL spend time trying to figure out the answer to your ”secret/security questions” to gain access to your account. Personally, I prefer to treat it as a secondary password field when required, and use my password manager to generate a new unique password for it. Please note that the answers are usually always stored in plain-text, so never ever re-use a regular password here.
  • Use two-factor authentication if possible
    Some services offer two-factor authentication via physical devices, mobile authentication, SMS, etc. Use those features! With Gmail, you can use either SMS, or a mobile app. Blizzard has both a physical device, and a mobile app, however, due to that statement, I’m uncertain how ”secure” it currently is..
  • Secure your e-mail account
    Most often, if people gain access to your e-mail, they can get access to all your accounts. Either via social engineering, or just simply using a ”I forgot my password, please send a reset link to me” function. It’s critical that you secure your e-mail account. If you HAVE to use passwords you can memorize, instead of using a password manager, always ALWAYS use a unique password for your e-mail. It should never ever be used anywhere else. Also, does your current e-mail account have an old out-dated ”secondary e-mail account”? (also used for password-reset) Perhaps it’s set to an old Yahoo e-mail address you no longer use/have access to? Change it, or delete it!

 

Kom ihåg: Blommor till systemadministratören idag!

IT-administratörerna är de bortglömda hjältarna hos företag världen över. Varje dag arbetar de hårt med att hålla system och datorer igång samtidigt som de tar hand om användarnas datorbekymmer.

Idag, den 27 juli, uppmärksammas för trettonde året i rad den så kallade System Administrator Appreciation Day och alla har då en chans att visa lite extra uppskattning för sina kämpande administratörer. Under de tretton år som den har dagen har funnits har arbetsförhållandena för IT-administratörer förändrats dramatiskt och nya teknologiska framsteg bäddar för ännu fler förändringar framöver.

Här kommer en lista med problem som dessa människor måste hantera varje dag för att skapa en smidig arbetsmiljö för kollegorna. Vi på Eurosecure tycker att du bör läsa igenom den och ta dig en minut idag och ge din IT-administratör en tacksam klapp på axeln:

Ny teknik: Företag har börjat inse vikten av att skaffa ny teknologi i form av smartphones, tablets och så vidare, men utan att kanske tänka på hur detta påverkar IT-administratörens jobb. Mobila enheter som innehåller känsligt arbetsmaterial kräver en utökad säkerhetsstrategi och givetvis behövs även underhåll av dessa enheter.

Flytt till molnet: Molnteknikerna tar allt större plats och kan hjälpa till att hålla kostnader nere och göra arbetet mer flexibelt. Dock innebär tjänster i molnet en hel del arbete för IT-administratören, naturligtvis vid implementation då man behöver se till att få allting att fungera, men även säkerhetsmässigt. Man måste lita på leverantören, och se till att allting säkerhetskopieras.

Säkerhetshot: På senare tid har vi allt oftare sett hur företag och organisationer utsätts för cyber­attacker och man har börjat inse hur sårbara många IT-nätverk är. Nya hot växer fram varje dag och strategier för att skydda företaget blir en nödvändighet, men dock inte bara mot externa hot. Även internt är det upp till IT-administratören att se till att känslig information inte sprids, att de anställda inte (medvetet eller omedvetet) sprider skadlig kod i företagets nätverk, till exempel genom externa USB-enheter eller liknande. Detta innebär en konstant övervakning av potentiella hot och över själva nätverket samt att snabbt kunna laga eventuella hål när de uppstår.

Utbildning: Som IT-administratör räcker det inte med att vara den som löser andras dator­problem. Det gäller också att hålla de anställda uppdaterade kring vilka säkerhetsföre­skrifter som gäller på företaget, hur de får och inte får använda sina datorer och smartphones, samt vilka risker till exempel användandet av sociala medier kan innebära. Den mänskliga faktorn ligger bakom många av problemen som IT-administratörer dagligen måste hantera och en välinformerad och utbildad personal är det enda som kan förebygga detta.

BYOD: En trend som främst syns bland små och mellanstora företag idag är BYOD (Bring Your Own Device) som innebär att man sparar pengar på mobiler, datorer, tablets och liknande genom att låta de anställda använda sina privata enheter i tjänsten. BYOD må vara sunt ekonomiskt, men innebär också fler risker eftersom de anställda använder samma enhet till både privata och jobbrelaterade aktiviteter. Att de anställda till exempel låter sina barn eller andra personer utanför arbetet använda en BYOD-enhet innebär ett extra steg i processen för IT-administratören.

Mitt Romney – Are all twitter followers equal?

Adrian Chen at Gawker sent me a link to 140elect, with a ”suspicious looking” graph of Twitter followers for US presidential candidate Mitt Romney. The last ~20-30 hours, he’s gained more than 100.000 new followers. Most of them are very ”suspicious looking”.

>> Follow me on Twitter for more IT-security news and fun stuff <<

Apparently, his follower count is steadily rising very quickly, and many of the followers have tell-tale signs of being ”purchased accounts”. Low amount of tweets, generic (random) profile image, and a random text description.

Since Twitter has become a very important part of social media, it’s becoming more and more important to be present there, and, of course, to have ”lots of followers” to show that you have people interested in you. Showing that you are a influencer. There are places where you can purchase ”followers”. Either from hacked accounts, or from ”bots”, just non-user accounts created in an attempt to ”look real”.

Using the Twitter API, I fetched about 10.000 of Mitt Romney’s last followers, and composed some quick statistics regarding them.

Total followers (when writing this post): 983120
Total followers checked: 9899
Followers that never tweeted: 903 (9%)
Followers with 0 followers of their own: 1509 (15%)

I also checked the last tweet that the followers sent, and a bunch of the bots sent the same tweets (as expected):

6 of Mr. Romney’s followers had the last tweet: ”Happy Thanksgiving!”, and all of them sent it a couple of days ago (all were in July 2012).
Another 4 had ”Happy Thanksgiving, time to start making the stuffing and the salad” as their last tweets.. someone needs to teach those bots how to set the clock!

4 of Mr. Romney’s followers had the last tweet: ”thaiz bomba bomba ex havaianos tonzão teve um casa com uma garota de atibaia interior de são paulo”. Googling for that phrase shows up a bunch of other bot accounts, and a few ”trending tweets” sites.

Here is a list of all tweets where two or more people has the same last tweet: http://pastebin.com/9duUeQF6

Update: I also checked the creation date of the twitter users.

937 users (9.5%) were created on December 13th, 2011, and another 727 (7.3%) were created yesterday (July 21st, 2012). Putting together the last three days (July 19th-July 21st) adds up to an amazing 1623 users. So, 16.4% of the analyzed twitter followers were created during the last three days.

144 of the followers created on May 27th, 2012
161 of the followers created on May 28th, 2012
167 of the followers created on May 16th 2012
203 of the followers created on May 18th 2012
222 of the followers created on May 26th 2012
227 of the followers created on May 17th 2012
312 of the followers created on July 20th 2012
392 of the followers created on December 15th 2011
528 of the followers created on December 14th 2011
584 of the followers created on July 19th 2012
727 of the followers created on July 21st 2012
937 of the followers created on December 13th 2011

>> Follow me on Twitter for more IT-security news and fun stuff <<

Update: Zach Green suggested looking at users with less than 5 tweets and followers. So here are those results:

67% (6654) of the followers had sent less than 5 tweets of their own. 28% (2841) had both less than 5 tweets, and less than 5 followers.

To me, it sure looks like SOMEONE purchased followers for Mr. Romney. Now, if that was someone trying to help, or someone trying to discredit him, I don’t know.

>> Follow me on Twitter for more IT-security news and fun stuff <<

Så får du sparken och blir av med dina pengar

Det finns dumma postningar på nätet, och så finns det alla dumma postningars moder. Jag har svårt att komma på något dummare än att posta bilder på sitt betalkort. Jo, det skulle vara att posta bilder på båda sidorna av kortet, så att även CVV-koden sprids till allmänheten.

I tisdags skrev jag om en sida som samlar postningar på Twitter som är dumma av andra orsaker och jag stångas lite inom mig själv om vad som är mest omdömeslöst – att sätta hela sitt rykte på spel eller att ge bort sina pengar rakt av. Det @needadebitcard gör är enkelt men briljant och sätter fingret på riktigt farligt beteende på nätet.

Även jag finns på Twitter: @nilssonanders

Vi vet vad du gör!

Det är ganska läskigt att se vad folk kastar ur sig i de sociala nätverken. http://www.weknowwhatyouredoing.com/ visar det här på ett ganska intressant sätt genom att samla inlägg om folk som avskyr sina chefer och jobb, tar droger, är bakfulla eller har bytt telefonnummer. Allt detta är information som det kan vara smart att hålla för sig själv av olika orsaker, åtminstone på nätet.  Twitter är visserligen ett snällt exempel, eftersom tweets faktiskt rensas bort efter en vecka, men som experiment visar http://www.weknowwhatyouredoing.com/ upp baksidan av helt offentlig kommunikation. Vi är sökbara.

Hoppar man från Twitter till Facebook så är det lätt att hitta exempel på hur en helt öppen profil kan ställa till problem – och nu pratar vi bara om ren information som slipper lös. Det kan hända mycket annat också. Ett fint exempel så här i Almedalstider är när statsministerns pressekreterare Edvard Unsgaard uppdaterade sin status med nu berömda skrivningar om arbetslinjen.

Twittrarna som fläker ut sina knarkvanor är sannolikt inte mindre intelligenta än du och jag, men de tänker kanske inte hela vägen fram till målsnöret. Man förvaltar en ganska viktig bild av sig själv på nätet och den bilden är tyvärr svår att avgränsa till bara sina kompisar. Om vi säger så här: Jag tycker att man ska skriva precis vad man vill på nätet, men först ska man ha tänkt efter så att man vet vad man vill.

Sen går det ju också att använda Twitter med skyddade tweets och Facebook nuförtiden har ju rätt bra möjligheter att bestämma vilka som ska se en post och inte. Tänk på det.