Tag Archives: säkerhetshål

Varför är DU en hackermåltavla?

Efter Prism och övervakningsskandalen i USA har diskussionerna kring datorintegritet gått varma. En vanlig reaktion från många har varit ”Jag har ingenting att dölja”.

Den här inställningen möts jag ofta av när det gäller datorsäkerhet. Många privatanvändare känner helt enkelt att deras digitala närvaro inte har någon betydelse för cyberbrottslingar och att de därför inte borde vara av något intresse för hackare. Tyvärr är den här inställningen är farlig eftersom den innebär en falsk trygghetskänsla och ofta negligerande av de egna IT-säkerhetsvanorna.

Du behöver inte vara miljonär eller toppolitiker för att vara en måltavla för cyberskurken. I princip är varje dator eller annan digital enhet ett attraktivt mål för en hacker. Eurosecure har gjort en inventering av all information som vanligtvis finns på en dator och det är det som gör den till en måltavla för cyberkriminella. Och det handlar inte alltid nödvändigtvis om pengar.

Bland dessa finns:

Privata bilder – Olaga spridning/användning i falska konton.

Konto- och inloggningsinformation till olika onlinetjänster – stulna sociala mediekonton, e-poståtkomst, identitetsstöld, åtkomst till känslig information osv.

Anhöriginformation – genom dig hitta känslig information om din familj eller dina vänner för att i sin tur även kunna utsätta dem för en attack.

Bankinformation – stulen kreditkortsinformation, hackat bankkonto osv.

Fjärrstyrningsmöjligheter – uthyrning av din dator till zombinätvärk för spridning av skadlig kod, eller riktade attacker.

 

 

Infographic2_annat teckensnitt

Mozilla Firefox 16 drogs tillbaka efter upptäckt säkerhetshål

Bara dagen efter att Mozilla släppt sin senaste uppdatering till webbläsaren Firefox valde man att tillfälligt ta bort version 16 av den populära webbläsaren. Från Mozillas håll varnades det om ett säkerhetshål som fanns med i releasen och som potentiellt kunde utnyttjas till att se vilka webbplatser som användaren har besökt. Det fanns även möjlighet att komma över URL-parametrar. Dock var Mozilla väldigt tydliga med att påpeka att det inte finns några belägg för att någon hunnit utnyttja hålet.

Om en angripare kommit åt URL-parametrar så kan denne genom att använda JavaScript, öppna andra fönster till användarens skyddade webbplatser, såsom Twitter- och Facebookkonton, bankkonton och liknande. I vanliga fall skulle webbläsaren skicka ett meddelande om nekad åtkomst, men Firefox 16 har släppt igenom dessa.

Tidigare har flera webbläsare lidit av problem där angripare kan komma över information om webbhistoriken genom att manipulera CSS som ser till att besökta länkar visas i en annan färg än länkar som redan besökts. De luckorna har täppts till i takt med att webbläsarna utvecklats och mer tid lagts på att försvåra för angriparna.

Rådet från Mozilla till sina användare blev att vänta med att uppgradera sina webbläsare tills problemet är åtgärdat och om möjligt, nedgradera till äldre versioner som Firefox 15.0.1 för att på så sätt undvika öppna dörrar.

Passa pappas appar

MacWorld skriver om ett säkerhetshål i iOS, det vill säga det operativsystem som körs i iPhones, iPods och iPads, en nyhet som först dök upp i New York Times. Som många andra nyheter om säkerhetshål i mobila plattformar handlar den här om vad en app ska ha tillgång till i enheten och inte. I det här fallet är det väldigt tydligt, väldigt få appar ska ha tillgång till dina foton och sker det ska du bestämma när och hur.

Här kan Apple helt klart bättra sig. Deras kontroll är hård, men i slutändan måste det till en förändring åt ena eller andra hållet. De får antingen bli ännu hårdare så att de rigorösa kontrollerna inte släpper igenom öppningar som den här, eller så får de bli mer liberala och tydligt berätta vilket ansvar som ligger på användaren.

Vad kan man lära sig av #sdgate?

När det första lugnet efter #sdgate-stormen börjar infinna sig i olika medier så finns det ett par saker man kan lära sig:

  • Lösenordssäkerhet. Lösenordssäkerhet. Lösenordssäkerhet.
    Att vara försiktig med sitt lösenord är något som många kanske tänker att de borde vara, men inte efterlever i praktiken. I det här fallet så är det två uppenbara saker som orsakat problem.

    Först och främst är det ett stort problem att folk använder samma lösenord på flera olika tjänster. Bloggtoppen hackades, och i samband med det spreds lösenorden. De som då har haft samma lösenord på sitt Bloggtoppen-konto som på t.ex. Twitter, sin e-post eller sin blogg kan redan ha fått sina andra konton hackade, utan att de vet om det. Det lutar ju mot att det var så de tog sig in på Petzälls konto, för att han använde samma lösenord där, som på sitt Twitter- eller e-postkonto.

    Man borde VERKLIGEN ha olika lösenord på olika tjänster, eller i alla fall se till att man har unika och säkra lösenord på de viktigaste kontona (främst e-posten då det kan användas för att ta över andra konton). Det finns flera olika lösningar som kan hjälpa användaren att ha säkra lösenord, och personligen så gillar jag programmet KeePass som finns för ”alla” operativsystem och mobiltelefoner.

    MEN, det är inte bara användarna som behöver tänka på lösenordssäkerhet, utan även utvecklare och webbtjänster måste ta det seriöst. När man utvecklar en tjänst där användarna ska kunna logga in måste man kunna autenticera dem på något sätt. Antingen använder man en tredjepartstjänst (t.ex. att man loggar in via sitt Google- eller Facebook-konto), eller att användaren får ett eget konto och lösenord tjänsten. Om man får ett eget konto på webbplatsen, så måste de spara användarnamn och lösenord i någon form. I värsta fall sparas de direkt i klartext, vilket gör att sajtägaren eller någon hackare kan se lösenorden på gång.

    Man kan även välja att spara lösenorden antingen krypterade, eller, något som är ännu säkrare, hashade. Då sparas istället för själva lösenordet, en checksumma av lösenordet. Hos Bloggtoppen sparades lösenorden med ett MD5-hash. Problemet med det är att med just MD5 så går det rätt snabbt att räkna ut vilket lösenord det är baserat på checksumman, och att det går att få ännu bättre säkerhet genom att använda ett så kallat ”salt”. Mer information om hash och salt finns på wikipedia. Istället för bara MD5, så kan man spara lösenordet hashat med ett salt, eller en säkrare algoritm, såsom Bcrypt.

  • Säkerhet vid utveckling
    Utöver problemet med att spara lösenord ”rätt”, så är det också viktigt att man ”programmerar säkert” för att minska risken att bli hackad. Bloggtoppen hackades via en så kallad SQL-injektion, vilket innebär att hackaren kan påverka det som skickas till databasen där allting sparas. På så sätt kan man hämta ut information om exempelvis lösenord, eller t.ex. skapa nya inlägg på en blogg, utan behörighet.

    Vid utveckling av webbtjänster finns det en sak som är viktigare än allting annat. Kontroll av input! Man måste kontrollera att man får in värden som man förväntar sig. Om du t.ex. har ett fält för ålder, finns det ingen anledning att någon ska skicka annat än siffror, så då ska allting annat än siffror blockeras på serversidan.

Som användare kan man inte alltid lita på att webbplatser man skapar konton på är säkra, men det minsta man kan göra, är att undvika att ha samma lösenord på olika webbtjänster. Det är kritiskt viktigt, något som snabbt visas i fall som dessa.

Det är långt från första eller sista gången som en webbplats hackas, och det är ofta bara en bråkdel av gångerna som sajtägaren vet om det, eller som användarna i sin tur får veta om att deras kontouppgifter kan ha spridits. Enligt uppgift så verkar säkerhetshålet på Bloggtoppen ha varit känt i flera månader. Om någon av de över 90.000 användare som hade konto där, hade samma (eller liknande) lösenord på sin e-post, sin Facebook eller sin Twitter, borde man faktiskt räkna med att någon okänd redan har loggat in där, och gått igenom allting. När sådana listor sprids publikt så brukar det inte ta lång tid innan alla konton testats, även om det är tiotusentals användare.

LulzSec dödar Murdoch i The Sun

I går kväll möttes besökare på brittiska The Suns hemsida av nyheten att tidningens ägare, Rupert Murdoch, är död. Murdoch, som även äger den skandaldrabbade och numera nedlagda News of The world, hade enligt artikeln begått självmord genom att ta en överdos. Nyheten var dock påhittad och ditplanterad av det anonyma hackernätverket LulzSec. Nätverket läckte också både mailadresser och lösenord tillhörande flera anställda på the Sun. Lulzsec kallar attacken ”Murdoch meltdown monday” och rapporterar nu via Twitter att de planerar fler attacker.

De la till en redirect via javascript på The Sun’s hemsida, som skickade besökaren till den hackade sidan ”new-times.co.uk” där de lagt upp den falska nyheten.

Den troliga vägen in är via ett säkerhetshål som hittades redan 2009 på ”new-times.co.uk” i samband med att de gjorde om sin hemsida. Guardian har mer information om hacket.

De pekade sedan om javascript-redirecten till sitt eget Twitterkonto där The Sun’s besökare möttes av följande:

Via Twitter meddelades även att de ”vet att de har slutat”, men inte kunde låta bli ge Murdoch en känga:


Kuriosa: Den katt som LulzSec har på sin sida kallas ”Nyan Cat”, som för ett tag sedan blev en känd meme. Vill man, så finns det ett program för Windows som byter ut alla ”förloppsindikatorer” (progress bars..) i alla program (t.ex. när man kopierar filer) mot just Nyan Cat.

Varning för säkerhetshål i Apples iOS

Den tyska myndigheten för IT-säkerhet gick igår ut med en varning att operativsystemet iOS har ett allvarligt säkerhetshål som kan utnyttjas för att stjäla data från iPhones, iPads och iPod Touch.

Säkerhetshålet blev känt genom hemsidan ”jailbreakme” där man kan jailbreak:a sin iOS-enhet bara genom att gå in på hemsidan.

Säkerhetshålet består i hur iOS hanterar PDF-filer. Med hjälp av detta så kan man köra valfri programkod på enheten bara genom att en PDF-fil öppnas. Detta säkerhetshål gör att man naturligtvis kan köra skadlig kod lika gärna som en ”snäll” jailbreak. Likaså kan telefoner, iPads och iPod-touch smittas genom att användaren besöker en webbplats där det finns en smittad PDF. På så vis kan kriminella komma åt allt på telefonen, iPaden eller iPoden. Man kan lätt se ett scenario där de kan få åtkomst till lösenord, foton, sms, kalendrar, e-postmeddelanden och till och med avlyssna telefonsamtal. Helt utan att användaren märker något.

Säkerhetsbristen finns på alla maskinvaror med iOS 4.3.3. Det innebär att många är i farozonen eftersom operativsystemet används i iPhone 3GS, iPhone 4, båda versionerna av iPad och iPod Touch. Det kan heller inte uteslutas att andra versioner av iOS har samma luckor i säkerheten. Apple har kommenterat säkerhetsproblemet och sagt att de kommer att släppa en patch, men man vet inte hur lång tid det tar innan den kommer, och innan alla har uppdaterat sina telefoner.

Tills dess att problemet har åtgärdats är det som vanligt bäst att vara försiktig med vilka sidor man besöker från sin i-enhet, och avstå från att öppna okända PDF:er, både i e-post och på webbplatser.

Statoil hackat dagar efter tips om säkerhetshål på onlineforum

LulzSec må ha lagt hackandet på hyllan men hackerattackerna fortsätter i en strid ström. Senast är ett dataintrång på Statoils webbplats som skedde i tisdags. Till följd av det har hemsidorna i Norge, Danmark och Sverige stängts ner och tillfälliga hemsidor har lagts upp.

Bild: Statoil

Det är ännu osäkert vilka data hackarna har kommit åt men det finns indikationer på att kunduppgifter kan ha stulits. I skrivande stund pågår en utredning för att fastställa intrångets omfattning.

Det fanns information om säkerhetshålet på Statoils webbplats på ett känt internetforum ett par dagar innan webbplatsen togs ner. Personen som skrev inlägget hade även lagt upp en mindre mängd information från Statoils databas och sa att han hade kommit åt 4000 statoilkort. Det här visar hur viktigt det är att systematiskt testa sitt IT-system och söka reda på svagheter innan hackare gör det åt en, men det ABSOLUT viktigaste är naturligtvis att göra det rätt från början redan vid utvecklingen. Som Bruce Schneier brukar säga ”Security is a process, not a product”.

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Hacka Google Chrome mot betalning

Ett bra sätt att hitta svagheter i mjukvara är att bjuda in duktiga hackare för att försöka hitta säkerhetshål. Detta gör nu Google inför hackertävlingen Pwn2own som hålls varje år vid CanSecWest-mässan i Vancouver, Computer Sweden skriver om detta här.

20 000 dollar får den som knäcker Chrome och Google har som första företag själva bidragit till prissumman.

En billig biljett till Vancouver kan du köpa här, här eller varför inte här och glöm inte att äta rätt och sova bra fram till den 9 mars, då tävlingen går av stapeln.