Tag Archives: hackare

Varför är DU en hackermåltavla?

Efter Prism och övervakningsskandalen i USA har diskussionerna kring datorintegritet gått varma. En vanlig reaktion från många har varit ”Jag har ingenting att dölja”.

Den här inställningen möts jag ofta av när det gäller datorsäkerhet. Många privatanvändare känner helt enkelt att deras digitala närvaro inte har någon betydelse för cyberbrottslingar och att de därför inte borde vara av något intresse för hackare. Tyvärr är den här inställningen är farlig eftersom den innebär en falsk trygghetskänsla och ofta negligerande av de egna IT-säkerhetsvanorna.

Du behöver inte vara miljonär eller toppolitiker för att vara en måltavla för cyberskurken. I princip är varje dator eller annan digital enhet ett attraktivt mål för en hacker. Eurosecure har gjort en inventering av all information som vanligtvis finns på en dator och det är det som gör den till en måltavla för cyberkriminella. Och det handlar inte alltid nödvändigtvis om pengar.

Bland dessa finns:

Privata bilder – Olaga spridning/användning i falska konton.

Konto- och inloggningsinformation till olika onlinetjänster – stulna sociala mediekonton, e-poståtkomst, identitetsstöld, åtkomst till känslig information osv.

Anhöriginformation – genom dig hitta känslig information om din familj eller dina vänner för att i sin tur även kunna utsätta dem för en attack.

Bankinformation – stulen kreditkortsinformation, hackat bankkonto osv.

Fjärrstyrningsmöjligheter – uthyrning av din dator till zombinätvärk för spridning av skadlig kod, eller riktade attacker.

 

 

Infographic2_annat teckensnitt

Den dolda risken med öppna wifi-nätverk

Jag har länge pratat om att mobilsäkerhet inte är ett problem eller en utmaning som ligger långt fram i tiden, utan har försökt belysa att det är aktuellt redan idag, och har varit det ett tag. Det är ett problem som många inte är medvetna om eller ens reflekterar kring.

SVT bad mig demonstrera problemet med mobila enheter som automatiskt loggar in sig på tillgängliga wifi-nät när användarna rör sig ute i världen.

Många använder sig idag av wifi-nätverk hemma, på jobbet, ute på tågstationer, bussar, caféer osv. Problemet som uppstår är när en telefon väl har registrerat ett nätverk, så glömmer den inte bort det och kommer fortsätta söka efter det. Det betyder alltså att din telefon då och då kommer leta efter tillgängliga nätverk som du har använt tidigare.

Och det är här som hackarna kommer in i bilden. Genom att lyssna efter de nätverksnamn din enhet söker efter och sätta upp ett eget med samma namn kan hackaren få din telefon att koppla upp sig mot det falska nätverket. Hackaren får då full tillgång till trafiken till och från telefonen och kan då enkelt stjäla till exempel inloggningsuppgifter, få dig att köra skadlig kod eller visa egna versioner av annonser och webbsidor.

Faktumet att enheter som söker efter nätverk – eller Bluetoothenheter – kan också användas för att spåra folk. Antingen generellt, eller för att t.ex. hitta personer som jobbar på ett visst ställe, eller som brukar besöka vissa platser.

Det finns företag som säljer sådan spårning som tjänst, där en butiksinnehavare kan använda detta för att spåra hur personer rör sig mellan hyllor, och hur länge de stannar vid en viss reklam. Det finns alltså en möjlighet till avancerad spårning och kartläggning som kan användas även där GPS-mottagaren är avstängd.

Inget av detta är egentligen någon nyhet. Problemen har varit kända länge inom säkerhetskretsar, men jag tror att det är få som är medvetna om det och jag tror inte ens att så många av dem som arbetar med säkerhet på företagen tänker på det. Vissa enheter försöker förhindra att de ansluts till öppna nätverk, även sådana de varit ansluta till tidigare, men det hjälper inte när ägaren till mobiltelefonen aktivt letar efter och vill ansluta till ”Free Wifi here!”-nätverk.

Personerna som SVT intervjuade var inte alls medvetna om riskerna som de kunde utsättas för genom att ständigt ha wifi påslaget och sökande. Var alltid försiktig när du loggar in på öppna wifi-nätverk. Använd gärna en VPN-tjänst för att kryptera din trafik. Det kan även, för din egen skull, vara värt att ha wifi avstängt och använda mobilnätet istället och endast använda wifi på arbetsplatsen och hemma i lugnets trygga vrå.

 

ESET_WiFi

 

Säkerhetsradion: Sluta maila!

Häromdagen kom en uppmaning från säkerhetsmyndigheten Enisa att företag och myndigheter bör sluta använda e-post som kommunikationsverktyg på grund av säkerhetsriskerna. I vår senaste podcast utforskar vi den här uppmaningen och tittar närmare på hur företag och myndigheter kan kommunicera säkert.

Säkerhetsradion: Sårbarhet i Internet Explorer

En lucka i webbläsaren Internet Explorer kan göra att en attackerare kan se musrörelser samt eventuellt vad man skriver på virtuella tangentbord och knappsatser. Microsoft har varit medvetna om problemet sedan ett par månader tillbaka, men ingen lagning har ännu gjorts för att komma till rätta med problemen. I dagens podcast pratar vi mer om fenomenet.

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

300 000 Googlekonton förmodligen hackade

Den 5 september utfärdade IT-säkerhetsföretaget Fox-IT en rapport om infiltreringen av holländska DigiNotars servrar, där över 500 SSL-certifikat blev fabricerade av inkräktare. Rapporten visar att cirka 300 000 IP-adresser (där var och en representerar minst en användare) har haft tillträde till hemsidor med falska Googlecertifikat mellan den 27 juli och 29 augusti. 99 % av IP-adresserna verkade härstamma från Iran.

Bland de falska certifikaten finns en stor del som kan användas för att framställa sidor identiska med Googles sidor och tjänster. Alltså har nästan 300 000 iranier fått sina Gmail-konton infiltrerade, vilket har gjort det möjligt för hackare att bland annat läsa användarnas lösenord och e-post. Säkerhetsforskare misstänker att den iranska regeringen ligger bakom attacken, eftersom flera kopplingar tidigare har gjorts mellan regeringen och försök till att avlyssna kommunikation mellan aktivister och demonstranter.

Diskussionen kring DigiNotar och deras ansvar för det som har hänt kommer knappast att vara till företagets fördel efter rapporterna som visar att DigiNotar har varit omedvetna om att hackare har kontrollerat deras servrar i veckor. Förutom bristen av en uppdaterad serverprogramvara saknade DigiNotar dessutom skyddet från ett antivirusprogram – ett enkelt sätt att förhindra att just denna typ av attacker lyckas.

LulzSec i Storbritannien – eller?

En person har gripits i London misstänkt för inblandning i LulzSecs hackerattacker mot företag och myndigheter. LulzSec håller inte med:

 

Hackergruppen menar också att de inte ligger bakom stölden av enorma mängder av information från 2011 UK census, alltså en folkräkning som ger myndigheterna information om medborgarna. Jämför med om information från Skatteverket läckte ut, det vore katastrofalt.

Känner man för det kan man följa LulzSecs Twitterkonto här och få direktinformation, om nu den går att lita på. Det är ju omöjligt att veta var hemliga organisationer börjar och slutar, det är bara att titta på Anonymous.

Det de här grupperna gör är olagligt och kostar enorma summor för skattebetalare och företag, men det går inte att förneka att attackerna mycket tydligt pekar på att myndigheter och företag MÅSTE bli bättre på att skydda kund-, medborgar- och användarregister.

 

Säkerhetsradion: Bitcoin attackerat av hackare

Den virtuella valutan Bitcoin har utsatts för en del angrepp och om detta handlar veckans podcast. Här hittar du en bild på kursutvecklingen.

Piratpartiets före detta ordförande Rick Falkvinge är en av de som fattat intresse för Bitcoin och skrev den 29 maj att han personligen investerat mycket pengar i valutan.

I podcasten diskuterar vi för- och nackdelar med Bitcoin samt lite om den senaste tidens hack.

Spear phishing alltmer avancerat

Igår läste jag en intressant artikel i Computerworld om hur spear phishing, det vill säga riktat nätfiske, har blivit alltmer sofistikerat. Nätfiskarna gör mer och mer research innan de ger sig på sina offer och all information som finns till hands på nätet gör phishingförsöken mycket trovärdiga. Dave Jevans från Anti-Phishing Working Group säger till tidningen att ”They’re not going for a password anymore, they’re getting people to install crimeware on their computers.”

I TechWorld skriver Tomas Gilså om vad det är dagens hackare är ute efter – information och företagsdata. Mattias Lindholm på FRA säger att både dataintrång och andra angrepp ökar och bekräftar att angriparna inte är ute efter att visa upp sig längre. Nu hackas det yrkesmässigt och på allvar och man tar god tid på sig, inte sällan installeras kod som kan aktiveras vid ett senare tillfälle.

Det känns som om jag har tjatat om samma sak alltför länge nu och Tomas Gilså drar samma slutsatser i sin artikel – det är dags att ta säkerheten på större allvar och sluta ha okrypterad information på privata datorer och bärbara enheter.

Säkerhetsradion: Comodo hackat – falska SSL-certifikat utfärdades

De senaste dagarnas stora nyhet var enligt mig intrånget hos Comodo. Vill du veta mer kan du lyssna på den här podcasten om hela affären, eller läsa TechWorlds artikel om det där de intervjuade mig.