Tag Archives: IDG

Location, location, location

Nu finns det enligt uppgift fem miljoner svenska Facebookkonton, man skulle kunna säga att det är ett ganska bra genomslag för en tjänsteleverantör. En andel av kontona är förstås falska och ett antal är säkert inaktiva, men en betydande del, kanske en majoritet av Sveriges befolkning, finns idag på Facebook. Det är signifikant och frågan är om det är en kulmen vi ser.

Facebooks genomslag för med sig flera intressanta frågor, bland annat den om geografin. Tjänster, molnlagring och e-post, allt som lägger data som tillhör dig på servrar du inte riktigt vet var de finns, kan potentiellt innebära problem eller i alla fall juridiskt kluriga situationer. Dels kan man inte vara helt säker på att regering och säkerhetstjänst som styr i landet där servrarna finns tycker att din integritet är deras viktigaste hänsyn. Och bryr de sig om avtalen du har med leverantören? Dessutom, vilken lagstiftning gäller? Och ska du behöva hålla koll på det själv? Klurigt, helt klart.

Ett annat problem (?) är att Internet är globalt och att företag med säte i ett land lyder under det landets lagar. Det gör det svårare för exempelvis svensk polis att få tag i uppgifter som behövs i en utredning. Det går naturligtvis att begära ut uppgifterna om man har beslut från domstol eller åklagare och i många fall behövs domstolsbeslut i landet där företaget har sitt säte. Det är mycket pappersexercis, vilket det bör vara för att skydda just vår integritet.

Computer Sweden skrev för ett tag sen om Polisens tankar om att eventuellt nu har lite bättre chanser att få fram IP-adresser som hjälper dem att hitta brottslingar i tid, dvs. innan internetleverantörerna raderar informationen som datalagringsdirektivet kräver att de lagrar, vilket oftast sker efter minimitiden sex månader. Då ska man tänka på att informationen fram till nyligen inte lagrades alls.

Mobila kortbetalningar – hur är säkerheten?

Nya mobila lösningar för kortbetalningar har varit på gång under ett antal år. Fantastiskt användbart på mängder av platser och vi har väl alla hört hur det går till i Apples flaggskeppsbutiker där man har rationaliserat bort kassor till förmån för ambulerande expediter med iPhones och små kortläsare. iZettle är en känd svensk lösning, men det finns konkurrenter.

IDG skrev nyligen att mobilbetalningarna är alldeles för osäkra och att de nya teknikerna säkerhetsmässigt är ett steg tillbaka i tiden. Problemet är att kortköpet bekräftas med signatur och inte kod, och att kortet dessutom inte ens behöver finnas närvarande – det räcker med att knappa in kortnumret på telefonen. Debatten pågår fortfarande.

Kortbetalningar har tidigare säkrats i butiker med hjälp av chip och pinkoder och i e-handeln med hjälp av 3D-secure, dvs. bekräftelse av köpet mot banktjänsten. Det här har gjort kortköp ganska oproblematiskt, men nu har vi kanske ett nytt problemområde. Samtidigt görs tusen och åter tusen signaturköp varje dag, så frågan är varför det skulle vara mindre säkert på en smartphone?

Vad jag erfarenhetsmässigt kan säga är att där möjligheterna finns hittar vi snart också personer som vill utnyttja dem, så det dröjer nog inte länge innan vi hör talas om stulna kort som använts för mobila kortbetalningar. Dessutom, demokratiseras kortbetalningarna med den här tekniken så att kortköp blir ännu mer spridda så ökar naturligtvis även bedrägerier i samma skala.

Mozilla planerar gömma versionsnummer i Firefox

Efter att ha ökat versionsnumren i Firefox i väldigt snabb takt, något som uppmärksammats av bland annat IDG, planerar Mozilla nu att helt dölja versionsnumren i Firefox, och istället bara visa något i stil med ”Firefox sökte efter uppdateringar för 20 minuter sedan, du har den senaste versionen”.

I en kommentar på bugzilla finns följande att läsa, skrivet av Asa Dotzler, Community Manager för Firefox:

Remove version from About window
When a user opens the About window for Firefox, the window should say something like ”Firefox checked for updates 20 minutes ago, you are running the latest release.”

It is important to say when the last check happened and ideally to do the check when the dialog is launched so that time is very near and to drop the version and simply tell them they’re on the latest or not.

If a user needs the full version information they can get it from about:support.

På ett sätt kan det vara bra att försöka få bort fokus från ”vilken version man har installerad”, men då är det viktigt att de automatiska uppdateringarna fungerar bra och smidigt för användarna.

För en hemanvändare spelar det oftast ingen roll vilken version man använder, utan kan man alltid lätt ha den senaste versionen installerad så är det troligtvis det smidigaste. I ett företagsnätverk kan det dock vara svårare. Först och främst måste användaren ha rättighet att uppdatera programmet, antingen genom att ha skrivrättigheter till programmet, eller att användaren kan autenticera sig som en administratör/någon som har rättigheter. Sedan är det oftare väldigt viktigt att man har kontroll över vilka versioner som körs på klienterna.

Både Google och Mozilla vill att användarna ska strunta i versionsnumren. Istället så ska man köra t.ex. antingen Stable, eller Nightly. Oavsett exakt version.

Asa Dotzler fortsätter:

This feature is a priority of the Firefox UX lead and the Firefox Product lead. It is part of the phasing out of version numbers in Firefox that’s already well under way (though still incomplete.)

Om man gör en koppling till säkerhetsprogram så är det första jag kommer att tänka på att man måste verkligen veta att programmet söker efter uppdateringar, eller att det varnar om det misslyckas (i alla fall efter ett par gånger).

Viss skadlig kod försöker förhindra olika antivirusprogram från att uppdatera. Det är viktigt att de inte lätt kan luras att säga att ”Allt är lugnt! Du har senaste versionen!” fastän det inte stämmer.

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

Spear phishing alltmer avancerat

Igår läste jag en intressant artikel i Computerworld om hur spear phishing, det vill säga riktat nätfiske, har blivit alltmer sofistikerat. Nätfiskarna gör mer och mer research innan de ger sig på sina offer och all information som finns till hands på nätet gör phishingförsöken mycket trovärdiga. Dave Jevans från Anti-Phishing Working Group säger till tidningen att ”They’re not going for a password anymore, they’re getting people to install crimeware on their computers.”

I TechWorld skriver Tomas Gilså om vad det är dagens hackare är ute efter – information och företagsdata. Mattias Lindholm på FRA säger att både dataintrång och andra angrepp ökar och bekräftar att angriparna inte är ute efter att visa upp sig längre. Nu hackas det yrkesmässigt och på allvar och man tar god tid på sig, inte sällan installeras kod som kan aktiveras vid ett senare tillfälle.

Det känns som om jag har tjatat om samma sak alltför länge nu och Tomas Gilså drar samma slutsatser i sin artikel – det är dags att ta säkerheten på större allvar och sluta ha okrypterad information på privata datorer och bärbara enheter.

Scareware för Mac går runt administratören

The Register skriver om ett ett nytt scareware-program som är det första falska antivirusprogrammet för Mac som inte kräver att användaren anger administratörslösenord för att installeras. Det är inte någon jättebedrift att åstadkomma detta, varken för Mac, Windows eller Linux, men det är en milstolpe, även om den är liten.

Det känns som om Mac och Windows i allt större utsträckning ägnar sig åt samma sport, även om det är långt kvar tills spelplanen är helt utjämnad.

Edit: Nu har IDG en artikel om  programmet.

Säkerhetsradion: Cookielagen – vad är grejen?

Den så kallade Cookielagen är en av de stora snackisarna för tillfället. Lagen går enkelt uttryckt på att det innebär ett integritetsproblem när sajter skapar cookies som lagras lokalt på datorn och att användare därför måste godkänna detta när det sker. Frågan är dock hur detta kommer att påverka surfandet.

Lyssna på veckans podcast, där svarar jag på frågor om cookielagen och vad jag tror kommer att hända.

 

Nya varningar för spearphishing

Spearphising är riktigt trist trend som jag har uppmärksammat tidigare. Nu går Microsoft ut med en varning där de säger att en av 14 nedladdningar är skadliga och att även om webbläsaren Internet Explorer har inbyggda blockeringsfunktioner mot skadlig kod så struntar fem procent av användarna i varningarna. På så vis laddas ändå trojaner hem och fortsätter spridas.

Det som gör spearphishing till ett så giftigt cybervapen är att koden under en attack skräddarsys efter offret, som därför lockas att klicka på en skadlig länk eller video.

Det tål att sägas igen – klicka inte på länkar, videor, bilder eller meddelanden från okända eller opålitliga källor.

Läs mer om Microsofts varning hos Computer Sweden.

Android tuffar på

Idag kom två artiklar från IDG-nätverket om Android med intressanta siffror från två olika håll.

IT24 rapporterar om siffror från analysfirman Canalys som fastslår att Android på ett år har ökat sin  globala marknadsandel från 10 till 35 procent. Det är imponerande siffror, man undrar om inte lite växtvärk kommer att kännas av snart. De nya siffrorna betyder också att Android har gått om Nokias operativsystem Symbian, som har minskat sin marknadsandel från 45 till 26 procent.

IT24 skriver även att Androidtelefonerna nu har gått om Apples iPhone i total försäljning hos Telia, även om iPhone fortfarande är den mest sålda enskilda telefonen. Det kommer den nog att fortsätta vara ett bra tag till. Siffrorna pekar som väntat på att utvecklingen i Sverige motsvarar den i övriga världen.

Är du Android-användare? Då kan du testa betaversionen av ESET Mobile Security för Android här.

Läs blogginlägget och pressmeddelandet om betaversionen av ESET Mobile Security för Android här.