Tag Archives: lösenord

Varför är DU en hackermåltavla?

Efter Prism och övervakningsskandalen i USA har diskussionerna kring datorintegritet gått varma. En vanlig reaktion från många har varit ”Jag har ingenting att dölja”.

Den här inställningen möts jag ofta av när det gäller datorsäkerhet. Många privatanvändare känner helt enkelt att deras digitala närvaro inte har någon betydelse för cyberbrottslingar och att de därför inte borde vara av något intresse för hackare. Tyvärr är den här inställningen är farlig eftersom den innebär en falsk trygghetskänsla och ofta negligerande av de egna IT-säkerhetsvanorna.

Du behöver inte vara miljonär eller toppolitiker för att vara en måltavla för cyberskurken. I princip är varje dator eller annan digital enhet ett attraktivt mål för en hacker. Eurosecure har gjort en inventering av all information som vanligtvis finns på en dator och det är det som gör den till en måltavla för cyberkriminella. Och det handlar inte alltid nödvändigtvis om pengar.

Bland dessa finns:

Privata bilder – Olaga spridning/användning i falska konton.

Konto- och inloggningsinformation till olika onlinetjänster – stulna sociala mediekonton, e-poståtkomst, identitetsstöld, åtkomst till känslig information osv.

Anhöriginformation – genom dig hitta känslig information om din familj eller dina vänner för att i sin tur även kunna utsätta dem för en attack.

Bankinformation – stulen kreditkortsinformation, hackat bankkonto osv.

Fjärrstyrningsmöjligheter – uthyrning av din dator till zombinätvärk för spridning av skadlig kod, eller riktade attacker.

 

 

Infographic2_annat teckensnitt

Fem säkerhetstips inför semestern

Under årets sommarveckor kommer fler personer än någonsin att använda digitala enheter. Därför har vi sammanställt de fem viktigaste tipsen för att skydda dina prylar på semestern. De flesta är noga med att skydda sig själva, med både solskydd, myggmedel och försäkring, men när det gäller tekniska enheter, så som mobiler, läsplattor och datorer, så tas många onödiga risker. Våra fem tips ger dina enheter och dess innehåll en tryggare tillvaro under semestern:

1. Säkerhetskopiera innan du reser bort

Om du planerar att ta med din laptop, läsplatta etc på semestern, förbered dig genom att backa upp all data på din hårddisk innan du ger dig av. På det sättet förlorar du ingen värdefull information om din dator skulle bli stulen eller infekterad med skadlig kod.

2. Lås dina enheter

Sätt lösenord på precis ALLTING, från datorer till plattor och telefoner. Se till att du har varje enhet inställd på ”time out” när du inte använder dem, så att tjuven inte får åtkomst vid en snabb stöld. Lösenord håller givetvis inte tjuven borta, men försvårar stölden rejält genom att ge dig tid att lokalisera och återfå din enhet.

3. Trolla bort bytet med fjärrstyrd wipe

Smartphones innehåller ofta en stor mängd privat data som du gärna inte vill se i fel händer, men tack och lov så behöver din privata information inte bli stulen även om din enhet skulle bli det. Fjärrstyrd återställning, en funktion som finns hos flera Android-appar (bland annat i ESET Mobile Security), gör det möjligt för dig att rensa din stulna enhet på all information via fjärrstyrning. Så även om din mobil blir stulen kan du förhindra att tjuven kommer över din e-post, känslig kontoinformation och andra privat data.

4. Spåra dina enheter

Anti-stöldfunktionen är smart och det är oftast inte tjuven. Aktivera anti-stöld på mobilen, läsplattan och datorn och lär dig hur funktionen fungerar innan du ger dig iväg på resan. Att få tillbaka en stulen enhet är inte omöjligt med anti-stöld, vilken låter dig ta emot information (som GPS-koordinater och webbkamerafoton) när din stulna enhet används för att komma åt Internet.

5. Skryt inte med teknologin

Ditt hotell har en säkerhetsbox av en anledning – förvara dina enheter där när det är möjligt. Om ditt rum är utrustat med en box som kräver en säkerhetskod, välj inte 1-2-3-4 (det är den första kombinationen tjuven kommer testa). När du lämnar hotellrummet, visa inte upp dina ägodelar för tjuvarna. Parkera till exempel inte bilen och gå synligt till bakluckan för att låsa in dator och mobil. Göm istället alla värdesaker i bakluckan innan du parkerar, så att eventuella åskådare inte ser dig förflytta de dyrbara enheterna.

Sist men inte minst, glöm inte att ta en paus då och då

Teknologi är fantastiskt, men på resande fot bör du vara medveten om vilka faror som kommer från att använda teknologin lite för mycket… Som att snubbla medan du navigerar dig fram över främmande gator med blicken klistrad på GPS-appen.

Och, skulle du vara på resande fot och misstänker att din Windows-laptop har blivit infekterad, testa en gratis onlinescanning från ESET.

Lösenord-schmösenord

Bytte du lösenord i söndags? Hoppas det. Säkra lösenord som byts regelbundet och inte går till mer än helst en tjänst är egentligen det enda vettiga sättet att skydda sin information idag. Sen behöver man kanske inte byta bara för att byta..

Men det finns inneboende svagheter i lösenordssystem, och det är att det egentligen inte är en särskilt säker metod för att skydda information. Lösenord har använts i datorsammanhang sedan 60-talet och de går att knäcka oavsett hur ”säkra” och krypterade de är. I vissa fall är det opraktiskt eller tar extremt lång tid, men det går. Dessutom har de en tendens att läcka ut, eftersom det är människor som bygger upp och hanterar databaserna som lagrar dem.

(Det finns två bra sätt att komma runt det här som är ganska vanligt idag. Antingen lägger man in en paus mellan inloggningsförsöken. Den märks knappt, men om man använder ett program för att knäcka ett lösenord så tar det plötsligt väldigt mycket längre tid. En ännu hårdare variant är att begränsa antalet möjliga inloggningsförsök.)

Biometri, då? Det är redan etablerat. Till exempel HP har kört med fingeravtrycksläsare i många av sina bärbara datorer i flera år. Det kan vara praktiskt och enkelt både för att logga in på själva datorn och på webbsidor genom att koppla sidans lösenord till fingeravtrycket.

Frågan är vad som sker när den här informationen kommer ut. När bilder av din iris eller ett fingeravtryck har läckt ut från ett osäkert system, vad gör du då? Laseropererar nya fingeravtryck? Kommer man hitta pastebin-dumpar med fingeravtryck i framtiden, som vi idag gör för lösenord och användarnamn?

Lösenord schmösenord_bild

Jag har svårt att se att biometri kommer att kunna leverera en bra helhetlösning. Det finns några biometriska principer som är mer lovande än andra som t.ex. keystroke-analys. Anledningen till att jag tycker om dem är att de bygger på fler parameterar: analys av HUR du knappar in ditt lösenord – hur snabbt, starkt etc. trycker du på tangenterna? – och även om själva lösenordet. Här tror jag att vi kan hitta sanningen: tvåstegsautentisering. biometri eller ej, två steg ska det bli.

Just detta med två steg i autentiseringen höjer säkerheten till helt andra nivåer. Metoden används som bekant av banker, där man verifierar med hjälp av olika koder som bollas mellan webbsida och en personlig dosa. Kommer någon åt koden har de inte dosan, och har de dosan saknar de sannolikt koden.

I söndags skrev Swedroid om Googles önskan att ersätta lösenord som inloggning på sidor med något nytt och bättre. Förslaget i den texten är någon form av hårdvara som man tar med sig och som låser upp webbsidor automatiskt när den sitter i en port på datorn. En bekväm lösning och fördel med en hårdvarunyckel är att man vet när den är borta och därmed skulle kunna ha en spärrfunktion precis som för ett kreditkort. Ett lösenord och biometriska uppgifter kan andra ha tillgång till utan att du vet om det över huvud taget.

Och tanken på en hårdvarunyckel man inte kan tappa bort? Jag har själv lite svårt för idén med implantat som inloggning, eftersom det skulle kunna bli… obehagligt den dag någon absolut vill ha tag på informationen mot min vilja. Men jag har kanske sett för mycket film. Och vad gör man den dagen någon lägger ut databasdumpar eller liknande från hackade biometriska system på pastebin? Går till plastikkirurgen?

Det finns massor av andra idéer om hur vi ska kunna identifiera oss elektroniskt i olika system, men det tar vi i en annan bloggpost.

Kontentan är att lösenorden lär hänga kvar ett tag, men de är osäkra och ofta opraktiska på till exempel smartphones, även om det finns bra hjälpmedel. Vi kommer att få se flera nya lösningar och förhoppningsvis en standard som kan användas för flera typer av autentisering av olika aktörer.

Till dess säger jag som vanligt – använd ett program som hanterar lösenorden säkert, till exempel open source-programmet KeePass, som funkar väldigt bra.

Podcast: The YouPorn chat scandal

 

Due to the popularity surrounding the news about the leaked YouPorn chat information last week, we recorded a podcast in English on the topic.

For more updates on the YouPorn chat scandal, or just general security/programming stuff, please follow Anders Nilsson on Twitter: @nilssonanders

Porn site coders expose user info of millions

 

Related:
Infographics: YouPorn Chat Statistics
Podcast: The YouPorn Chat Scandal

 

I got contacted by Alltid Nyheter, from Swedish public broadcasting radio, regarding a thread on Flashback.org, Sweden’s largest web forum. User info of well over a million registered users was openly accessible on the chat site of YouPorn until the server was taken down yesterday.

>> Follow me on Twitter for more IT-security news and fun stuff <<

 

The exposed information contains e-mail addresses and passwords. This information can be used to identify porn consumers, but for some users more than a reputation is at stake.

It is common knowledge that even today a surprisingly large portion of Internet users use the same passwords for many (or all) of the services they use on the Internet, whether it is e-mail accounts, Facebook, PayPal, or other services.

For a security professional it is baffling how coders working on a website with such sensitive content can make mistakes of this magnitude. Allegedly hundreds of megabytes of data has been secured by people with unknown goals. Cyber criminals can easily go through these e-mail addresses and match them with passwords and this way gain access to e-mail accounts. Once they are in, they can secure even more sensitive information to use in phishing attacks, theft, or fraud.

It is difficult not to compare this case with the hacking of porn site Brazzers earlier this year, even though in this case the site wasn’t hacked.

Looking at the data, it seems like a careless programmer accidentally(?!) left debug logging on to a publicly accessible URL as early as November 2007, and it has been storing all registrations ever since.

Yesterday, it was found, probably by ”accident” by someone sweeping websites for publicly accessible, but non-linked (”hidden”) folders, looking for.. either porn or sensitive material like this, and struck gold.

Hackers have already started going through the lists, checking which users have the same password for e-mail or Facebook, and have posted some intimate pictures found in some users sent/received e-mail.

 

Svenska e-postadresser läckta från populär porrsida

Alltid Nyheter, Sveriges Radios nyhetskanal på nätet, hörde av sig till mig igår och undrade om jag kunde svara på lite frågor angående en tråd på Flashback. I tråden berättade en tipsare något väldigt intressant: På en chattserver som under porrsajten YouPorn fanns e-postadresser och lösenord för samtliga registrerade användare sedan 2007 helt okrypterade och öppet tillgänligt utan annat skydd än att de låg i en olänkad mapp.

Om man tittar på tillgängliga data så verkar det som om slarviga programmerare av misstag (eller?) lämnade kvar debugloggning på en öppen URL redan i november 2007. Där har alla registreringar lagrats sedan dess.

Loggarna hittades antagligen av ren tur igår av någon som letade på sidor efter just olänkade mappar på jakt efter pornografi eller just användbart material som det som nu har läckt ut. Det är ett inte helt ovanligt tillvägagångssätt och ofta är det ganska enkelt att gissa sig till namnet på olänkade mappar.

Servern togs snabbt ned av administratörerna, men skadan verkar redan vara skedd – uppgifterna finns redan ute. Det rör sig om uppåt 1,4 miljoner adresser från hela världen och de lösenord de angivit för att logga in på sidan.

Omkring 1400 adresser hade ändelsen .se och får väl anses vara bevisat svenska, men eftersom de allra flesta idag använder adresser från Hotmail och Gmail så är det verkliga antalet berörda svenskar sannolikt mycket högre.

Så vad kan man göra med en läckt e-postadress? Det första och minsta problemet är att det är ganska känsligt med porrsidor, de flesta vill nog hålla sina besök hemliga. Det finns av den anledningen en utpressningsrisk, men den är extremt liten.

Det riktigt stora problemet med det här är att adresserna har läckt ut tillsammans med lösenord. Det är nämligen förvånansvärt många människor som rutinmässigt använder samma lösenord till mängder av olika tjänster. I värsta fall kan alltså den som lägger rabarber på informationen komma åt dessa personers e-post eller Facebook, i annat fall andra tjänster.

Just detta har även hänt här. Hackare har redan börjat gå igenom listorna, och hittat Facebook-konton och e-post de kan komma in på, och har börjat publicera intima bilder som hittats i olika personers e-post.

Som jag skrivit många gånger förr är det oftast e-postkontot som är det viktigaste målet. Kommer man åt ditt e-postkonto är det lätt att komma åt annan information om dig. Den kan till exempel användas för phishing och att stjäla pengar, men man kan också enkelt begära nya lösenord till mängder av andra sidor och registrera nya. Är kaparen skicklig så märker du troligtvis inte heller av att kontot är hackat förrän andra konstiga saker börjar hända.

För ett företag är läckor som denna nästan värre än att få sin sajt hackad, vilket hände porrsajten Brazzers tidigare i år. Troligen sker läckor som denna oftare än vi tror, helt vanliga företag utan porrkopplingar utan att det skrivs värst mycket om det, just för att pornografi är ett känsligt ämne.

Bra om lösenord i Svenska Dagbladet

Lösenordshygien är ett ämne som alltid, alltid är aktuellt. Idag publicerade Svenska Dagbladet en riktigt bra artikel om säkra lösenord.

De tipsar också om att skaffa ett program för lösenordshantering, vilket jag brukar rekommendera starkt. Keepass är ett bra kostnadsfritt open source-program som förvarar dina lösenord skyddade och krypterade. Programmet genererar säkra lösenord som du aldrig behöver lägga på minnet, allt du behöver komma ihåg är ett enda lösenord – det till Keepass.

De flesta loggar ju in på flera olika datorer, kanske du invänder, och det stämmer ju. Det problemet kan man lösa genom att ha Keepass installerat på mobilen och lösenordsdatabasen på ett Dropboxkonto.

Läs även denna ett par veckor gamla artikel om nya tekniker som kan ersätta lösenord vid inloggningar.

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

Risker med gratis WiFi

Gratis WiFi erbjuds ofta på till exempel caféer eller till resande (på tåg, bussar etc), men som med allt annat online bör man vara försiktig med att kasta sig in i gratisanvändandet utan eftertanke. Ofta, men inte alltid, har den här typen av WiFi-uppkoppling en officiell hotspot som kräver ett godkännande, till exempel ett lösenord för åtkomst – detta är ett bra tecken på att kommunika­tionen sker på ett mer säkert sätt än om uppkopplingen vore helt öppen.

Det man också bör vara uppmärksam på är namnet på den hotspot man använder. Känner du inte igen namnet eller påminner det om ett namn du känner igen, fast någon bokstav är annorlunda? Var på din vakt!

En falsk uppkoppling registrerar en kopia av hotspotens kommunikation på en dator efter att ha skickat användarens information till den ”riktiga” uppkopplingen. Det sänker hastigheten något, men en långsam uppkoppling kan också vara ett tecken på att många personer använder samma hotspot parallellt, så det är inte helt enkelt att upptäcka en falsk uppkoppling.

Det man dock bör ha i åtanke när man använder denna typ av fri WiFi är att spara bankärenden, onlineshopping och annat mer känsligt tills man är säker på att man använder en pålitlig uppkopp­ling.

Cyberskurkar tjänade miljoner på falskt antivirus

Svenska Dagbladet och Dagens Nyheter rapporterar båda om ett stort tillslag där datorer och servrar i flera olika länder beslagtagits efter att man uppdagat en härva med falska antivirusprogram. Nära en miljon personer ska vara drabbade och det visar tydligt att personer som råkar ut för falska antivirusprogram väldigt ofta faktiskt betalar för att bli av med dem. Enligt TT ska bedragarna ha lyckats få in  460 miljoner kronor – cyberbrott har blivit mycket lukrativt.

Falska antivirusprogram är väldigt vanliga. Nästan alltid handlar de om att lura användaren att datorn är infekterad av virus eller trojaner som inte finns i verkligheten. På så sätt får man användaren att betala för att bli av med skadlig kod som inte finns med hjälp av programvara som inte fungerar. Det finns även värre varianter, så kallad ransomware, som låser datorn tills användaren betalar en summa för ett lösenord som låser upp den.

Här kan du lyssna  på en podcast vi gjorde förra våren som tar upp mycket matnyttigt om falska antivirusprogram.