Tag Archives: lösenord

Mer om lösenkoder

Svenskan skriver om de vanligaste lösenorden till iPhones och det är nedslående läsning. 1234, 0000, 8520 och 0258 – man tar sig för pannan, åtminstone om man arbetar med säkerhet.

Det är bra att morgon- och kvällstidningarna tar upp frågan, även om de mest gör det som kuriosa – även om jag reagerade på en del saker i en artikel i Aftonbladet. Finns det en större medvetenhet om frågorna så inser folk sakta men säkert hur viktigt det är att säkra sin personliga information i den digitala världen.

Påtvingat lösenordsbyte efter att populära WordPress-plugins preparerats med bakdörrar

TheNextWeb rapporterar att WordPress.org har påtvingat ett lösenordsbyte på konton hos wordpress.org, bbPress.org och BuddyPress.org efter att de populära plugin-programmen (tilläggen) AddThis, wpTouch och W3 Total Cache fick uppdateringar preparerade med bakdörrar.

Enligt uppgift verkar det som att det förmodligen bara är de specifika plugin-tillverkarnas konton som hackarna har fått åtkomst till, men för säkerhetsskull har säkerhetsteamet hos WordPress.org valt att påtvinga ett lösenordsbyte för alla konton, och har återställt orginalversionerna av tilläggen, medan de undersöker hacket.

 

Farliga lösenordstips i Aftonbladet

En artikel i Aftonbladet tar upp en undersökning som har analyserat 10 000 mobilkoder och tagit fram de allra vanligaste: 1234, 0000, 2580, 1111, 5555 osv. Den enda kod som verkade sticka ut var 5683, som dock visar sig bilda bokstäverna i LOVE på ett siffertangentbord.

Det som dock är överraskande är att psykologiprofessorn Sven Å Christianson på Stockholms Universitet uppmanar läsarna att välja koder som ligger nära i minnet. Varför inte någon kär persons personnummer? Han poängterar dock att personen kanske inte bör vara alltför nära. Ur ett minnesperspektiv är det jättebra, men ur ett rent säkerhetsperspektiv är det inget vidare. Om du absolut vill att din kod ska bygga på personnummer, så se åtminstone till att plocka siffror från ett par olika personers, och gör det på ett klurigt sätt.

Professorn säger en intressant sak redan i ingressen, att om man väljer en kod som 1111 så har man inget behov av att skydda sig. Visst, det är säkert den där personens uppfattning. Jag vill dock påstå att alla som tror att de inte har hemligheter har fel.

Informationen i din mobil ska inte hamna i fel händer. Den handlar ju faktiskt inte bara om dig.

 

Säkerhetsradion: Mac Defender och administratörskonton

Veckans avsnitt av Säkerhetsradion handlar om ett falskt säkerhetsprogram för Mac som har spridits under den senaste tiden, jag skrev lite om det förra veckan. Nyheten då var att skaparna hade utvecklat programmet lite, så att offret inte längre behöver ange administratörslösenord för att det ska kunna installeras.

Därför pratade vi idag lite om falska antivirusprogram, om det är något speciellt med sådana för Mac och om administratörskonton, något som finns på alla system, oavsett om det är Mac, Linux eller Windows.

Scareware för Mac går runt administratören

The Register skriver om ett ett nytt scareware-program som är det första falska antivirusprogrammet för Mac som inte kräver att användaren anger administratörslösenord för att installeras. Det är inte någon jättebedrift att åstadkomma detta, varken för Mac, Windows eller Linux, men det är en milstolpe, även om den är liten.

Det känns som om Mac och Windows i allt större utsträckning ägnar sig åt samma sport, även om det är långt kvar tills spelplanen är helt utjämnad.

Edit: Nu har IDG en artikel om  programmet.

Säkerhetsradion: Autentisering – hur sker morgondagens inloggning

Det är dags för podcast igen och denna vecka pratar vi om autentisering. Det är ett spännande och viktigt ämne som trots att det är nära besläktat med lösenordssäkerhet, inte har fått lika mycket uppmärksamhet här i detta blygsamma forum.

Vi pratar om lite olika tekniker:

  • Lösenord – vanligast och ganska osäkert, men ändå på många sätt överlägset.
  • Biometri – fingeravtryck och ögonskanning, säkert men farligt om informationen kommer ut.
  • Koddosor – vanliga på svenska banker. Säkert tack vare blandningen av kod och kravet på att du har en faktisk dosa i handen.
  • Keystroke dynamics – kul, men enligt mig inte värst användbart.

 

Facebook – nu med kryptering

Mycket om Facebook nu.

För ett tag sedan fick Mark Zuckerberg, Facebooks grundare, sitt eget konto kapat, berättar bland andra PC För alla. Inte så mycket mer att göra än att stämma in i tidigare kritik mot Facebooks ganska halvhjärtade säkerhetstänkande. Det kunde vara mycket bättre – en bra början vore att använda krypterade anslutningar – även om man självklart måste balansera användarvänlighet mot säkerhet. Det måste gå snabbt att registrera sig på och använda tjänster som Facebook, det är viktigt för affärsmodellen. Vissa säger att det i Zuckerbergs fall handlar om slapp lösenordshantering, och då är det inte mycket att göra åt.

Händelserna i Tunisien, där landets myndigheter stal lösenord och övervakade Facebook på nationell nivå för att försöka stävja de demonstrationer som delvis koordinerades i sociala medier, provocerade fram en reaktion från Facebook: alla som anslöt inom landets gränser erbjöds en säker HTTPS-anslutning.

Nu, dagar efter att Zuckerbergs konto kapades, ska Facebook enligt The Register erbjuda alla sina 500 miljoner användare SSL-krypterad inloggning. Man kan kanske säga ”äntligen”.

Säkerhetsnyheter på rad

Lösenordsbytardagen är kommen. Bra initiativ av PC för Alla. Byt lösenord ibland!

Ett säkert lösenord…

  • Byts regelbundet
  • Har minst 7 tecken, gärna fler
  • Blandar stora och små bokstäver med både siffror och symboler
  • Skrivs aldrig ut i e-post eller chattar

Ett bra tips är att använda ett program för lösenordshantering, det finns flera kostnadsfria lösningar att testa. Själv brukar jag rekommendera KeePass.

The Christian Science Monitor är inte en helt vanlig källa till säkerhetsnyheter för mig, men via Slashdot.org hittade jag en ganska gammal artikel om hur flottiga fingeravtryck på din smartphone gör det enkelt att hacka den. Det gäller särskilt Androidtelefoner där man kan logga in med en gest som i värsta fall lämnar ett tydligt mönster på skärmen. Ett enkelt knep för att undvika detta är att helt enkelt ta för vana att torka av då och då.

Stuxnet har allmänt ansetts vara unikt i sin komplexitet, men på konferensen Black Hat DC kom i dagarna en avvikande åsikt fram, vilket the The Register berättade igår. Säkerhetskonsulten Tom Parker menade att det finns brister i programmeringen som antyder att skaparna inte var de genier som det påståtts. Enligt Tom Parker hade bland annat bättre skriven kod mask inte läckt ut på Internet. Det går dock inte att komma ifrån att Stuxnet utnyttjade flera dittills okända säkerhetshål och faktiskt krävde stora kunskaper inom vitt skilda områden. Det är helt unikt.

IT World skriver om en ny variant av en gammal phishingteknik – det handlar om ett nytt sätt att få in skadlig kod på småföretagares datorer för att via dem komma in på bankkonton. Nu har cyberskurkarna kommit på att man kan föra in skadlig kod via falska jobbansökningar, och företag som vill anställa är lätta att hitta.

Tabnapping – ny form av nätfiske

Det är cirka tio år sedan den första webbläsaren med tabs, alltså flikar, dök upp. Nu har gränssnittsexperten Aza Raskin på Firefox upptäckt ett nytt sätt att utnyttja dem för nya äventyr inom den sociala ingenjörskonsten.

Enkelt utryckt fungerar det så att du lämnar en infekterad sida öppen i en flik medan du gör annat i andra flikar. Då tar den tillfället i akt och byter innehåll på den inaktiva fliken – förslagsvis till något som ser väldigt mycket ut som en inloggningssida till Facebook eller Gmail eller liknande. Minnet är som bekant kort och risken stor att man antar att man helt enkelt blivit utloggad från en sajt och snällt försöker logga in igen.

Det här är ett mycket smart men enkelt och troligen effektivt sätt att komma över inloggningsuppgifter och därmed mängder av känslig information. Det är även som många skrivit tidigare svårt att göra något åt problemet med mindre än att Javaskript stängs av i webbläsaren, vilket gör att de sidor som använder javaskript slutar fungera – och det är många. Däremot så rekommenderar jag tillägget NoScript om man använder sig av Firefox. Då kan man enkelt välja per webbsida när javaskript ska tillåtas.

Om tekniken har använts i verkligheten än, det låter jag vara osagt, men Raskin har släppt ut anden ur flaskan med sitt avslöjande. Nu får vi hoppas att webbläsarföretagen gör något åt svagheten innan nätfiskeflottan börjar använda metoden på allvar.

Ett sätt att skydda sig nämns i kommentarfältet till PC för allas artikel – att använda ett program för lösenordshantering som håller koll på att du verkligen befinner dig på rätt adress innan den matar in några uppgifter.

Läs mer på Scam detectives, The Register och PC För Alla.

Spammar din dator? Tio tecken att hålla koll på

I måndags skrev jag att jag skulle göra en lista över tecken på att en dator är infekterad med en botklient. Varför? För att de stora botnäten är en av de större säkerhetsfrågorna just nu och Koobface, Mariposa, Waledac och Storm är kända namn – Storm har för övrigt återuppstått, enligt en inte helt färsk artikel i The Register.

Så, hur vet man om datorn är infekterad av en botklient? Det är inte helt lätt. Själva idén med en zombiedator är att infektionen inte ska märkas. Något kan dock märkas utåt, till exempel mjukvarukonflikter eller korrupta filer, men det är svårt att se om man har en zombiedator eller om det bara är någon annan typ av skadlig kod.

Det finns dock några tecken som kan vara värda att hålla ett öga på – om inte annat är det bra att ha kunskapen i bakhuvudet. Om följande händer, är det något lurt på gång.

  1. Du kan inte ladda ner antivirusuppdateringar eller besöka återförsäljares webbsidor Skadlig kod försöker ofta hindra antivirusprogram från att köras eller installeras. Om du plötsligt inte kan uppdatera antivirusprogrammet eller inte kommer åt återförsäljarens hemsida kan du vara ganska säker på att det beror på skadlig kod.
  2. Du ser en lista över utgående Wall-inlägg som du inte har skickat på din Facebook-sida

    Postade länkar på Facebook

    Om du stöter på det här så bör du definitivt ändra ditt lösenord och se till att du inte har några infektioner, även om det kan finnas andra orsaker än skadlig kod – till exempel ett hackat konto. Tänk på att inte använda ditt Facebook-lösenord på flera sajter.

  3. Datorn tar lång tid på sig att stänga ner, eller stänger inte ner allsIbland innehåller skadlig kod buggar som kan orsaka problem, inklusive långa stängnings­tider och problem att stänga applikationer över huvud taget. Tyvärr kan buggar i operativsystemet och konflikter med legitima program göra detsamma.
  4. Programmen går mycket långsamtDet här kan betyda att ett dolt program använder en stor del av datorns resurser. I Aktivitetshanteraren eller motsvarande program kan man oftast se vilka program som tar upp mycket datorkraft eller minne.
  5. Du kan inte uppdatera operativsystemetDet här får man aldrig ignorera, även om det inte behöver betyda infektion – om du inte patchar systemet blir datorn med största sannolikhet infekterad förr eller senare.
  6. Internetåtkomsten blir allt trögareOm någon använder din dator för att skicka stora mängder spam, delta i en attack mot andra datorer eller ladda upp stora datamängder, kan det göra din uppkoppling riktigt långsam.
  7. Datorfläkten drar igång överväxeln i tomgångslägeDet här kan tyda på att program körs utan din vetskap och använder rejält med resurser. Det kan dock också vara ett gäng Microsoft-uppdateringar som installeras, smuts i datorn, eller så håller fläkten helt enkelt på att gå sönder.
  8. Familj och vänner har fått e-post som du inte har skickatDet här kan vara ett tecken på en bot eller något annat skadligt program, eller att ditt e-postkonto har blivit hackat. Det kan även vara någon av dina kompisar som haft din e-postadress i adressboken som blivit drabbad.
  9. Du stöter på pop-up-fönster och annonser i datorn trots att du inte använder någon webbläsare

    Även om det här är ett klassiskt tecken på olika typer adware, dvs. annonsprogram, så kan det vara en botklient som ligger bakom. Du bör definitivt ta itu med detta.
  10. Windows Aktivitetshanterare visar program med kryptiska namn eller beskrivningar

    Konstigt program i Aktivitetshanteraren

    Ibland använder även legitima program kryptiska namn. En titt i aktivitetshanteraren är oftast inte tillräckligt för att identifiera ett program som skadligt. Det kan hjälpa dig att hitta skadliga program, men du måste verkligen se till att validera resultatet. Att avsluta processer och ta bort filer för att du ”tror” att det är en botklient eller annan skadlig kod kan slå ut datorn så att du inte kan starta om den. Var väldigt försiktig med att lita på intuitionen.

Det var det. Som du ser finns egentligen det inget tydligt symptom på att du är en av stackarna i botnät. Däremot finns det många symptom att hålla koll på.

Lyssna även på vår podcast om slaget mot bonäten.