Tag Archives: Yahoo

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Ny podcast – Spam, skadlig kod och nätfiske på MSN Messenger

Spam och phishing sker som alla vet inte bara via e-post, utan ganska ofta via chattprogram som MSN Messenger, Skype och Yahoo Messenger. I veckans podcast berättar jag om det här fenomenet – bland annat hur det kan se ut, vad som sprids och hur man kan skydda sig.

Lyssna på säkerhetspodcasten om spam och phishing i chattprogram

Uppdatering från Microsoft för IE-hålet

Igår kväll var det äntligen dags för Microsoft att patcha det omtalade säkerhetshålet i Internet Explorer. Ända sedan december, då Google hackades av kinesiska cyberskurkar, har Microsoft haft problem, och i dagsläget konstaterar Google att man hellre drar sig ur Kina helt än låter denna typ av attacker ske.

34 andra amerikanska företag drabbades i attacken, som är allvarligast för Explorer 6, men även går att utnyttja i version 7 och 8. Däribland fanns Adobe och Yahoo och under den gångna helgen accentuerades problemen då tyska myndigheter avrådde användare från att använda Internet Explorer helt tills Microsoft lyckats lösa problemet. Även svenska Sitic rekommenderade att temporärt använda andra webbläsare, och nedladdningar av Firefox och Opera ökar kraftigt.

Microsoft rekommenderar att användarna stänger av ActiveX i Office, för att undvika intrång.

För instruktioner om inaktivering av ActiveX, se Office Online: Hur man inaktiverar ActiveX.

Och som vanligt, glöm inte att hålla Windows uppdaterat: http://update.microsoft.com/

Användaruppgifter till tusentals webbmailkonton på vift

I veckan har mängder av medier världen över tagit upp nyheten om att användaruppgifter till tusentals Hotmailkonton lagts ut på nätet – adresser som kommits över genom organiserat nätfiske. Enligt en artikel i Computer Sweden i tisdags ansåg branschorganisationen Anti-Phishing Working Group, APWG, att det inte var helt osannolikt att så många som mellan 10 och 20 miljoner av Hotmails 400 miljoner användare kan vara drabbade, ett nätt antal.

Det var innan det kom fram att det inte bara var Hotmailanvändare som var drabbade: kunder hos Yahoo, Google och flera andra operatörer hade också förmåtts att lämna ut sina uppgifter.

Attacker som den här visar med all önskvärd tydlighet hur viktigt det är att veta vad man klickar på ute på nätet. Ingen säkerhetsmjukvara i världen kan skydda en användare som själv lämnar ut känsliga uppgifter till brottslingar. Steg ett må vara ett antivirusprogram, men steg två bör vara utbildning.

Jag säger som jag brukar – byt lösenord regelbundet, använd aldrig någonsin samma lösenord till flera olika tjänster – och tänk efter innan du klickar.

Du kan lyssna på vår podcast om lösenordssäkerhet här.