Tag Archives: hack

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

Att tagga eller inte tagga…

Att tagga sina vänner i foton är en populär Facebookfunktion som många inte vet är automatiserad. Vem som helst kan med andra ord bli taggad utan att ha aktiverat tjänsten och för att slippa bli taggad måste användaren själv begränsa eller stänga av funktionen. Något som kanske verkar ganska harmlöst, men det finns stora nackdelar med den typen av identifiering online och man kan stänga av denna funktion. En av de viktigaste anledningarna till varför är för att kontrollera så att dina foton inte publiceras på oönskade platser.

Här är de steg som kan rekommendas att man tar för att skydda sin identitet och personliga integritet på Facebook (och vi har slängt in lite andra tankeställare utöver taggningsfunktionen också):

  1. Logga in på ditt Facebookkonto
  2. Gå in på ”Konto” uppe till höger
  3. Klicka för att se gardinlistan
  4. Klicka på ”Sekretessinställningar”
  5. Under ”Dela innehåll på Facebook” gå in på ”Anpassade”
  6. Avbocka rutan ” Tillåt att vänner till personer som taggats i mina foton och inlägg ser dessa.” (Detta gör att du minskar risken för att dina vänners bilder taggas i onödan).
  7. Klicka sedan på ”Anpassa inställningar” (den blå pennan) som finns längst ner på sidan.
  8. Under ”Saker jag delar med mig av”, inaktivera/ta bort bocken i rutan ”Inkludera mig i ’Personer som är här nu’ när jag har checkat in” (eftersom detta är som att tala om för världen att du inte är hemma).
  9. Under ”Saker som andra delar med sig av”, klicka på gardinen till ”Föreslå bilder på mig för vänner” och välj avaktivera. Glöm inte att klicka på OK.
  10. Under samma sektion, avaktivera ”Vänner får checka in mig på platser”.
  11. Passa gärna på att se över dina inställningar för kontaktinformation, så att du inte visar din e-postadress eller ditt telefonnummer för fler personer än de du vill. Det bästa är att ta bort mobilnumret helt.
  12. Passa även på att se över dina inställningar för säkerhet och sekretess.

Att skydda din privata information online är inte helt enkelt, men i allra högsta grad nödvändigt. För en bredare översikt av Facebooks inställningar för sekretess, läs gärna inlägget på vår internationella blogg från tidigare i juni här.

LulzSec dödar Murdoch i The Sun

I går kväll möttes besökare på brittiska The Suns hemsida av nyheten att tidningens ägare, Rupert Murdoch, är död. Murdoch, som även äger den skandaldrabbade och numera nedlagda News of The world, hade enligt artikeln begått självmord genom att ta en överdos. Nyheten var dock påhittad och ditplanterad av det anonyma hackernätverket LulzSec. Nätverket läckte också både mailadresser och lösenord tillhörande flera anställda på the Sun. Lulzsec kallar attacken ”Murdoch meltdown monday” och rapporterar nu via Twitter att de planerar fler attacker.

De la till en redirect via javascript på The Sun’s hemsida, som skickade besökaren till den hackade sidan ”new-times.co.uk” där de lagt upp den falska nyheten.

Den troliga vägen in är via ett säkerhetshål som hittades redan 2009 på ”new-times.co.uk” i samband med att de gjorde om sin hemsida. Guardian har mer information om hacket.

De pekade sedan om javascript-redirecten till sitt eget Twitterkonto där The Sun’s besökare möttes av följande:

Via Twitter meddelades även att de ”vet att de har slutat”, men inte kunde låta bli ge Murdoch en känga:


Kuriosa: Den katt som LulzSec har på sin sida kallas ”Nyan Cat”, som för ett tag sedan blev en känd meme. Vill man, så finns det ett program för Windows som byter ut alla ”förloppsindikatorer” (progress bars..) i alla program (t.ex. när man kopierar filer) mot just Nyan Cat.

Säkerhetsradion: Hur skyddar man sin kontoinformation online?

Kreditkortsstöld, identitetsstöld, infekterade webbplatser, länkar och spelsajter. Till och med världens första peer-to-peer-valuta, bitcoin, drabbades av en hackerattack. I dagens avsnitt av Säkerhetsradion pratar vi om hur man kan skydda sin kontoinformation online.

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

Säkerhetsradion: Om hackerattacken mot IMF

En bland alla de organisationer och företag som drabbats av hackerattacker på sistone IMF, den internationella valutafonden. I dagens podcast diskuterar vi vilken effekt dessa attacker har på världen – kan ekonomin påverkas? Hur skyddar man sig? Och är hackerattackerna en del av ett internationellt cyberkrig?

Påtvingat lösenordsbyte efter att populära WordPress-plugins preparerats med bakdörrar

TheNextWeb rapporterar att WordPress.org har påtvingat ett lösenordsbyte på konton hos wordpress.org, bbPress.org och BuddyPress.org efter att de populära plugin-programmen (tilläggen) AddThis, wpTouch och W3 Total Cache fick uppdateringar preparerade med bakdörrar.

Enligt uppgift verkar det som att det förmodligen bara är de specifika plugin-tillverkarnas konton som hackarna har fått åtkomst till, men för säkerhetsskull har säkerhetsteamet hos WordPress.org valt att påtvinga ett lösenordsbyte för alla konton, och har återställt orginalversionerna av tilläggen, medan de undersöker hacket.

 

LulzSec i Storbritannien – eller?

En person har gripits i London misstänkt för inblandning i LulzSecs hackerattacker mot företag och myndigheter. LulzSec håller inte med:

 

Hackergruppen menar också att de inte ligger bakom stölden av enorma mängder av information från 2011 UK census, alltså en folkräkning som ger myndigheterna information om medborgarna. Jämför med om information från Skatteverket läckte ut, det vore katastrofalt.

Känner man för det kan man följa LulzSecs Twitterkonto här och få direktinformation, om nu den går att lita på. Det är ju omöjligt att veta var hemliga organisationer börjar och slutar, det är bara att titta på Anonymous.

Det de här grupperna gör är olagligt och kostar enorma summor för skattebetalare och företag, men det går inte att förneka att attackerna mycket tydligt pekar på att myndigheter och företag MÅSTE bli bättre på att skydda kund-, medborgar- och användarregister.

 

Säkerhetsradion: Bitcoin attackerat av hackare

Den virtuella valutan Bitcoin har utsatts för en del angrepp och om detta handlar veckans podcast. Här hittar du en bild på kursutvecklingen.

Piratpartiets före detta ordförande Rick Falkvinge är en av de som fattat intresse för Bitcoin och skrev den 29 maj att han personligen investerat mycket pengar i valutan.

I podcasten diskuterar vi för- och nackdelar med Bitcoin samt lite om den senaste tidens hack.