Tag Archives: hackad

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

Säkerhetsradion: Att ta fram en IT-säkerhetspolicy för företag

Allt oftare rapporteras det om företag som blivit hackade eller på annat sätt utsatta för cyberbrottslighet. Vapnen för att bekämpa de här brotten finns, men många företag saknar både kunskap och resurser, så hur ska man gå tillväga för att stärka företagens IT-säkerhet? Det pratar vi om i dagens podcast.

LulzSec dödar Murdoch i The Sun

I går kväll möttes besökare på brittiska The Suns hemsida av nyheten att tidningens ägare, Rupert Murdoch, är död. Murdoch, som även äger den skandaldrabbade och numera nedlagda News of The world, hade enligt artikeln begått självmord genom att ta en överdos. Nyheten var dock påhittad och ditplanterad av det anonyma hackernätverket LulzSec. Nätverket läckte också både mailadresser och lösenord tillhörande flera anställda på the Sun. Lulzsec kallar attacken ”Murdoch meltdown monday” och rapporterar nu via Twitter att de planerar fler attacker.

De la till en redirect via javascript på The Sun’s hemsida, som skickade besökaren till den hackade sidan ”new-times.co.uk” där de lagt upp den falska nyheten.

Den troliga vägen in är via ett säkerhetshål som hittades redan 2009 på ”new-times.co.uk” i samband med att de gjorde om sin hemsida. Guardian har mer information om hacket.

De pekade sedan om javascript-redirecten till sitt eget Twitterkonto där The Sun’s besökare möttes av följande:

Via Twitter meddelades även att de ”vet att de har slutat”, men inte kunde låta bli ge Murdoch en känga:


Kuriosa: Den katt som LulzSec har på sin sida kallas ”Nyan Cat”, som för ett tag sedan blev en känd meme. Vill man, så finns det ett program för Windows som byter ut alla ”förloppsindikatorer” (progress bars..) i alla program (t.ex. när man kopierar filer) mot just Nyan Cat.

1.27 miljoner användare drabbade när webbplats för jobbsökare hackades

Dark Reading rapporterar att Washington Posts hemsida för jobbsökare har hackats och över en miljon användaruppgifter har stulits vid två tillfällen.

Den 27:e och den 28:e juni hämtades tydligen hela webbplatsens användarinformation om jobbsökare och enligt Washington Post själva så var det ungefär 1.27 miljoner användarkonton som påverkades.

De säger att inga lösenord påverkades men däremot e-postadresser. Washington Post säger själva att det troliga resultatet är att de som haft konton på webbplatsen drabbas av en ökad mängd spam till sina e-postadresser.

Det kan ha varit en SQL-injection-attack, men eftersom det var just ID:n och e-postadresser som hämtades och ingenting annat så skulle det även kunna ha varit något problem med autenticering (t.ex. någon sida/funktion som tillät attackaren att få ut e-postadresser genom att skicka olika användar-IDn).

Det som Washington Post INTE nämner är att den mest lyckade attacken mot användarna borde vara riktade phishingattacker. Naturligtvis är det otrevligt med spam, men med de uppgifterna de har finns det många möjligheter att skicka personligt anpassade phishingbrev till jobbsökarna, just för att man vet att de är uppskrivna på den webbplatsen.

Säkerhetsradion: Om hackerattacken mot IMF

En bland alla de organisationer och företag som drabbats av hackerattacker på sistone IMF, den internationella valutafonden. I dagens podcast diskuterar vi vilken effekt dessa attacker har på världen – kan ekonomin påverkas? Hur skyddar man sig? Och är hackerattackerna en del av ett internationellt cyberkrig?

Säkerhetsradion: Bitcoin attackerat av hackare

Den virtuella valutan Bitcoin har utsatts för en del angrepp och om detta handlar veckans podcast. Här hittar du en bild på kursutvecklingen.

Piratpartiets före detta ordförande Rick Falkvinge är en av de som fattat intresse för Bitcoin och skrev den 29 maj att han personligen investerat mycket pengar i valutan.

I podcasten diskuterar vi för- och nackdelar med Bitcoin samt lite om den senaste tidens hack.

Mer om Sonys säkerhetsproblem

Igår skrev Computer Sweden om att Sony utsatts för ytterligare hack och utöver det så berättade CTV Toronto att hackare kommit över information om 2000 av Sony Ericssons kanadensiska kunder. Även The Register skrev om nya angrepp mot företaget.

Man kan inte låta bli att tycka lite synd om Sony när denna historia rullar vidare. I förrgår skrev Computer Sweden om ännu en attack som vår konkurrent Sophos har uppdagat, där hackare lyckades exponera ytterligare några tusen kunders personuppgifter.

Synd om Sony är det dock inte och förhoppningsvis ser fler aktörer än de nu över infrastruktur och säkerhetsrutiner. Personuppgifter, eller egentligen våra identiteter, är det enda vi är på nätet. Där är fysisk existens på sätt och vis inte lika relevant som annars, eller i alla fall inte lika lätt att bevisa. Vi borde skydda oss bättre och de företag som lever på att sälja produkter och tjänster till oss borde handskas väldigt mycket varsammare med våra personuppgifter.