2014 börjar med säkerhetsproblem - mer än 40 miljoner kontokortsuppgifter stulna
Det var strax före nyår som Target motvilligt erkände att inte bara hade deras system blivit hackat, dessutom hade känslig information om kundernas kreditkort. Information som kundernas namn, kortnummer, giltighetstid och CVV (den tresiffriga säkerhetskoden) blev stulna. Efter undersökning så ska Target även medgett att kundernas PIN nummer även blivit stulet, men att det är hårt krypterad och kräver en extern nyckel som inte fanns med på deras system vid intrånget. Totalt drabbades ca 40 miljoner kunder av intrånget.
Snapchat lyckades med konststycket att trots att man fått indikationer på att det fanns brister i deras system så gick man ut med en ganska korkad notis om att man fått information om att det fanns ett säkerhetsproblem, men att det inte var något att oroa sig för...
This week, on Christmas Eve, a security group posted documentation for our private API. This documentation included an allegation regarding a possible attack by which one could compile a database of Snapchat usernames and phone numbers.
Our Find Friends feature allows users to upload their address book contacts to Snapchat so that we can display the accounts of Snapchatters who match the phone numbers found in the address book. Adding a phone number to your Snapchat account is optional, but it’s helpful for allowing your friends to find you. We don’t display the phone numbers to other users and we don’t support the ability to look up phone numbers based on someone’s username.
Theoretically, if someone were able to upload a huge set of phone numbers, like every number in an area code, or every possible number in the U.S., they could create a database of the results and match usernames to phone numbers that way. Over the past year we’ve implemented various safeguards to make it more difficult to do. We recently added additional counter-measures and continue to make improvements to combat spam and abuse.
Självklart så var det precis vad som hände och på nyårsafton lades en databas upp med 4.6 miljoner användarnamn med tillhörande telefonnummer. Dock så är de sista siffrorna inte synliga, än, men man hintar om att man kan tänka sig att släppa på alla data, i sin helhet till rätt person/företag.
The company was too reluctant at patching the exploit until they knew it was too late and companies that we trust with our information should be more careful when dealing with it.
Jag tror att den kommentaren säger allt om hur dumt det är att gå ut och säga som Snapchat sa istället för att ta saken på allvar. Underskatta aldrig uppfinningsrikedomen, eller tiden denne är villig att lägga ner, hos en dedikerad hacker...
Sist i raden av intrång är Skype som lyckades få sitt Twitterkonto, Facebook konto och sin blogg kapad av The Syrian Electronic Army (SEA). Det tog inte lång tid innan SEA pumpade ut sitt anti-Microsoft budskap:
Don't use Microsoft emails(hotmail,outlook),They are monitoring your accounts and selling the data to the governments.More details soon #SEA— (@Skype) January 01, 2014
Meddelandet retweetades 8000 gånger innan Skype lyckades få kontroll på sitt konto igen. På deras blogg såg det ut så här:
Jag skulle säga att dessa incidenter bara är toppen på isberget och jag får den otäcka känslan av att det finns ett glapp mellan företags säkerhetstänk, och lösningar, jämfört med kompetensen och kunskapen hos dagens hackers. Det är inte riktigt lika illa som på -90 talet, men jag ser själv en viss slapphet när det gäller hantering av känslig information hos många aktörer, både små och stora. Det finns en slags övertro på tekniken, trots att det finns så många bevis därute för att det bara är en illusion om man inte går till extrema längder.
Jag tror också att detta bara är början och att vi under 2014 kommer att så många stora amerikanska företag bli utsatta för liknande attacker. Själv har jag redan fått ett nytt kreditkort innan 2013 var över på grund av säkerhetsintrång och jag skulle inte bli förvånad om jag får ett till av samma anledning under 2014...
-
- 0 1039
Akamai utsatt för ett av de värsta DDOS attackerna någonsin
Akamai är ett distributionsnätverk för internettrafik (content delivery network) med 2 500 datorhallar i 80 länder världen över. 165 000 servrar hanterar 2 biljoner anrop per dag och ca 6 000 nya servrar tillkommer varje månad.
Med den kapaciteten och med sin uppsättning som fungerar lite som en gigantisk cache där alla servrar kan kommunicera med varandra och själv räkna ut den mest optimala vägen för data så ska det till oerhört mycket innan en DDOS sänker deras nätverk.
Trots detta så var detta en väldigt kraftig Memcache-driven DDoS-attack som Akamai kände av. Akamais Prolexic-plattform kunde dock mildra attacken genom att filtrera all trafik som kommer från UDP-porten 11211, standardporten som används av Memcached.
– Vi har aldrig bekrämpat en sådan här stor attack av den här typen tidigare. Hade den varit riktad mot till exempel Sverige, hade den kunnat slå ut många viktiga samhällsfunktioner, ungefär som att hela Essingeleden alla filer i båda riktningar, samt andra vitala delar av det svenska vägnätet skulle slås ut. Det sätter det onekligen i perspektiv.
Många andra organisationer har haft liknande reflektionsattacker som startade förra måndagen, bland annat i Tyskland som har varit enormt drabbat. Vi räknar med många fler potentiellt större attacker inom kort, säger Erik Henriksson, kundansvarig på Akamai.
Enligt Akamai är svenska myndigheter är en riskgrupp för den här typen av attacker och Sverige fortsätter att falla på FN:s cyber security-lista.
– I Sverige är banker och de stora varumärkena inom detaljhandel bättre skyddade, alltså de branscher som verkar inom e-handel eller i någon form har sin affär online. Det sprids rykten i media angående vem eller vilka som ligger bakom de senaste attackerna. Rent tekniskt kan cyberattacker och attackmönster spåras, men att bekräfta på vems kommando är en helt annan sak och här vill jag inte spekulera, säger Erik Henriksson.
Akamai räknar med att flera attacker baserade på just memcached UDP reflection kommer att ske inom den närmaste framtiden. Lyckligtvis är detta en typ av attack som kan hanteras genom att begränsa trafik genom port 11211 och förhindra att trafik passerar genom den porten. Detta kommer dock att ta tid och problemen kommer att väx exponentiellt i takt med att flera reflektorer hittas av hackarna.
Hur mycket är 1,3TBps?
För att sätta den siffran i perspektiv kan vi börja med att omvandla 1,3
terabit/sekund till megabit/sekund vilket då blir 1 300 000 och ställa
det i jämförelse med ett genomsnittligt hem i Sverige som har cirka 22,5
Mbps enligt State Of the Internet 2017. Många har idag 100 Mbps men
även med 100 Mbps mot 1,3 miljoner är man ganska liten.
Man skullekunna dividera 1,3 Tbps med uppkopplingshastigheten ett genomsnittligt hushåll har och på så vis få ett antal hushåll det skulle motsvara.
Internets uppbygnad är mer komplex än så vilket gör den jämförelsen
ointressant. Internet är som många vet ett globalt nätverk som består av
många sammankopplade nätverk och då har man flera anslutningspunkter.
Om vi tittar på en anslutningspunkt exempelvis Netnod, en av de största
kopplingspunkterna i Norden, så kan man läsa på deras webbsida att
Stockholm har under 1,3 Tbps aggregerad trafik. Då skulle man kunna dra
slutsatsen att en attack i den storleksordningen skulle få stor
påverkan.
-
- 0 1063
Allvarlig krypteringsbrist upptäckt – tiotusentals webbsidor osäkra
Logjam upptäcktes när en grupp säkerhetsexperter undersökte krypteringsbuggen Freak som hittades tidigare i år. Båda bristerna är kopplade till säkerhetsprotokollen SSL och TLS som används av många sajter och mejlservrar. Rent praktiskt kan en hackare använda Logjam till att lura en webbsida att använda en krypteringsnivå på 512 bitar, vilket är mycket lägre än de flesta använder idag. Detta gör det betydligt lättare för en hackare att bryta igenom krypteringen.
– Det är faktiskt en brist i SSL-protokollet som har funnits i nästan två decennier nu, säger professor Matthew D. Green, som var med och hittade Logjam.
Säkerhetsexperterna bakom upptäckten har lagt upp en hemsida där de beskriver hur du kan skydda din webbläsare eller sajt mot Logjam. Internet Explorer har redan fått en säkerhetspatchning och Chrome, Firefox och Safari jobbar på en lösning. Det stora problemet gäller dock inte den vanliga surfaren på Internet utan de många mailservrar som inte uppdateras regelbundet.
– Det stora problemet är mjukvarufolk som kör mejlservrar som inte är välunderhållna. De tänker inte på dem. De bara sätter upp dem och glömmer bort dem, säger Matthew D. Green.
-
- 0 1046
Allvarliga säkerhetsbrister i din dator och mobiltelefon
Riktigt hur enkelt dessa två säkerhetsbrister är att utnyttja är fortfarande svårt att säga, men att det är ett allvarligt problem är ställt utan tvivel. Microsoft och Apple jobbar båda på att försöka täppa till problemet och många befarar att lösningen kommer att påverka prestandan hos de flesta datorer och mobiltelefoner.
Meltdown bryter den mest grundläggande isoleringen mellan användarapplikationer och operativsystemet. Denna attack gör det möjligt för ett program att komma åt minnet, och därmed även hemligheterna, av andra program och operativsystemet.
Om din dator har en sårbar processor och kör ett opatchat operativsystem är det inte säkert att arbeta med känslig information utan risk att läcka informationen. Detta gäller både för persondatorer och molninfrastruktur. Lyckligtvis finns det programvarupatcher mot Meltdown.
Stationära, bärbara och molndatorer kan påverkas av Meltdown. Mer tekniskt påverkas alla Intel-processorer som implementerar utförande utan förordnande, vilket är effektivt varje processor sedan 1995 (förutom Intel Itanium och Intel Atom före 2013).
Meltdown har testats framgångsrikt på Intel-processorgenerationer som släpptes redan i 2011. För närvarande har Meltdown bara verifierats på Intel-processorer. För närvarande är det oklart huruvida ARM- och AMD-processorer påverkas av Meltdown.
Cloud-leverantörer som använder Intel-processorer och Xen PV som virtualisering utan att använda patchar. Dessutom påverkas molnleverantörer utan verklig hårdvaruvirtualisering, beroende på behållare som delar en kärna, t.ex. Docker, LXC eller OpenVZ.
Spectre bryter isoleringen mellan olika applikationer. Det tillåter en angripare att lura felfria program, som följer bästa praxis, för att läcka hemligheterna. Faktum är att säkerhetskontrollerna av de bästa metoderna faktiskt ökar attackytan och kan göra applikationer mer mottagliga för Spectre.
Spectre är svårare att utnyttja än Meltdown, men det är också svårare att mildra. Det är dock möjligt att förhindra specifika kända utnyttjanden baserat på Spectre genom mjukvarupatcher.
Nästan alla system påverkas av Spectre: stationära datorer, bärbara datorer, molnservrar samt smartphones. Mer specifikt är alla moderna processorer som kan hålla många instruktioner under flygning potentiellt utsatta. I synnerhet har Spectre verifierats på Intel, AMD och ARM processorer.
Spectre och Meltdown är inte nya utan det finns rapporter om problemen så långt tillbaka som 2011. Om du vill veta mer så finns det ett dokument för meltdown och för Spectre som du kan ladda ner. Du kan också läsa mer om Spectre och Meltdown på den officiella sidan https://meltdownattack.com/.
-
- 1 1227
Bad Rabbit - nytt allvarligt ransomware
Bad Rabbit infekterar sina offers maskiner genom att lura sina offer med en falsk uppmaning att uppdater Adobe Flash Player. Offren luras att installera en uppdatering från en förfalskad Adobe-hemsida. På hemsidan injiceras viruset med javascript vilket leder till att filerna i offrets dator blir låsta och ett utpressningsmeddelande visas. Ett utpressningsmeddelade visas för att låsa upp filerna där offret krävs på cirka 280 dollar i Bitcoins med en tidsfrist på 40 timmar.
Bad Rabbit kan på samma sätt som Wannacry och Petya/NotPetya hitta alla lagrade inloggningsuppgifter på datorn och sprida sig vidare till andra maskiner i nätverket. Detta gör att viruset sprider sig snabbt genom nätverket när den väl fått fäste.
Skydda dig från Bad Rabbit
Om du råkar ut för Bad Rabbit så rekommenderas det inte att du betalar. Det är för att det varit lite si och så med tidigare ransomware och det är oklart hurvida skaparna va viruset håller det man lovar. Om du betalar så uppmuntrar du även till ytterligare tillväxt av ransomware, vilket ingen önskar.
Flera säkerhetsleverantörer säger att deras produkter skyddar mot Bad Rabbit, och andra har skickat ut automatiska patchar. Men för dig som vill vara säker om att inte drabbas kan du blockera körningen av filerna:
C: \ windows \ infpub.dat
C: \ windows \ cscc.dat
Använd sunt förnuft, kontrollera adresser innan du gör något och gå alltid till leverantörens hemsida själv innan du klickar på länkar. Se till att du löpande gör backup av din data så om du råkar illa ut så kan du iallafall återställa din data.
Har du råkat ut för ransomware eller malware på din dator tidigare? Hur hanterade du det och vilka tips kan du ge till andra?
-
- 0 984
Dustin i blåsväder efter att lagrat kundernas lösenord i klartext
Det var i torsdags som en medlem på Sweclockers postade ett inlägg gällande en konversation med support där det framkom att lösenordet sparades i klartext. Kort därefter kom en bekräftelse från Dustin att de beklagade att de faktiskt sparade lösenorden i klartext och att de är i en process att ändra detta genom en förändring i deras affärssystem.
Hej Dustin,
När jag pratade med er support idag kommenterade supportpersonen att mitt lösenord såg slumpgenererat ut (jag skulle logga in och hade tydligen inte ändrat sedan jag återställt det) varpå jag frågade "Va?! Kan du se mitt lösenord?", "Japp" svarade han och verkade inte tycka att det var något konstigt med det.
Personligen tycker jag att det är näst intill skandal att ni är så vårdslösa med era kunders lösenord. Dels tjänar det inget syfte att er supportpersonal har tillgång till kundernas lösenord, och en illasinnad anställd har makt att testa kundernas inloggningsuppgifter på andra sidor för få tillgång till deras konton. Men framförallt är det en säkerhetsbrist att ni lagrar lösenord enbart med en reversibel kryptering och inte med en envägs-hashfunktion. Grundläggande datasäkerhet.
-----
Hej!
Det är dåligt, det är riktigt dåligt. Vi är medvetna om detta och vi jobbar nu med att byta ut vårt affärssystem. Detta kommer vara klart inom kort. Då kommer användarvänligheten och framför allt säkerheten vara ordentligt mycket bättre.
Jag kan inte göra att annat än beklaga att det ser ut som det gör nu, men jag lovar dig att vi jobbar på det, och vi kommer ha ett bra system inom kort.
Visst kan man kasta sten på Dustin som idag sitter på ett system som lagrar lösenord (och förmodligen andra saker också) i klartext i sin databas, men de är iallafall på väg att göra förändringarna som behövs för ett säkrare system. Det finns många därute som fortfarande sitter på lösningar som gör på precis samma sätt och förmodligen har betydligt sämre säkerhet i övrigt än vad Dustin har.
För mig som jobbar med E-handel dagligen så har frågan dykt upp många gånger varför ebutiker inte presenterar säkerhetsaspekter på sina webbplatser som trust-faktorer och det enda svaret jag kan tänka mig är att det man är orolig för en juridisk aspekt, eller för att man helt enkelt har en osäker lösning och inte vill skylta med det.
Jag tror dock att precis som SSL indikationen visar att butiken krypterar överföringen i känsliga lägen så finns det utrymme att presentera en generisk säkerhetsikon för databas kryptering. Jag tror dessutom att det kan påverka konverteringen positivt.
...såvida man inte som Dustin har nu, saknar grundläggande databaskryptering på känsliga uppgifter för då lär konverteringen sjunka drastiskt. Det skulle vara intressant att veta hur försäljningen har påverkats av detta för Dustin och jag vill ändå påstå att även om detta självklart är katastrof för Dustin så gör de helt rätt när de erkänner det och inte försöker slingra sig.
Jag hoppas att Dustin kan få sitt nya affärssystem på plats fort och att den här stormen kan medföra något positivt över sig i längden, även om det förmodligen inte känns så trevligt just nu för Dustin...
-
- 1 1147
Gif bilder med PHP Skript
Internet Storm Center varnar för att php-exploits kan gömma sig i vad som på ytan ser ut som vanliga gif-bilder.
- Det är intressant och skrämmande att finna en fil som beter sig som en vanlig GIF-fil, men innehåller en script-exploit, skriver Internet Storm Centers Larna Hutcheson
Källa: Skadligt php-script maskeras som gif-bild
Lite elakt får jag säga att jag skrattade när jag läste den här "nyheten" eftersom fenomenet med gif filer som innehåller skadlig kod inte direkt är något nytt, snarare tvärtom. Jag har kontaktat diverse webbhotell och datacenter i flera år när jag hittar knäppgökar som försöker sig på att hacka sig in genom XSS (Cross-Site Scripting) attacker mot kunders konton och det händer då och då att det inkluderar gif filer på ett eller annat sätt. Jag har nog troligen kontaktat dom flesta stora image hosting företagen angående sådana filer genom åren, som imageshack och photobucket.
Dessa "giffar" är också ett stort problem för alla skript som tillåter uppladdning av bilder eftersom det blir en säkerhetsrisk, men med Mod_security och PHPSUEXEC har du iallafall lite säkerhet. Det som var nytt här dock är att filen inte bara innehöll php kod, utan först en helt legitim 1x1 gif, vilket jag inte sett tidigare.
Man lär sig nåt nytt (och ibland gammalt) varje dag!
-
- 0 912
Lunarstorm hackat
I ett stort angrepp på Lunarstorm ersattes uppskattningsvis 5000 medlemmars presentationssidor med en länk till ett forum på konkurrerande webbsidan Hamsterpaj. Ägaren Johan Höglund svär sig fri:
Visst skulle jag gärna se Lunarstorm i konkurs, men sådana här metoder använder jag inte, säger grundaren Johan Höglund till Aftonbladet.
Allt tyder på att ett så kallat cross site scripting har använts för att utnyttja ett säkerhetshål i sajten Lunarstorms programmering. En del rapporter om att medlemmar som klickat på länkar i sina gästböcker förekommer, men även dom som inte utfört denna handling har blivit drabbade.
Vi jobbar för att lösa det och kommer att kunna rädda den information som tagits bort, säger Bjarne Otterdahl, marknadschef på Lunarstorm, till Aftonbladet
Frågan är dock vad Lunarstorm kan göra för att säkra sina medlemmars fortsatta förnöjelse? En fullständig säkerhetsanalys verkar vara på sin plats. Det faktum att länken ledde till Hamsterpaj, en rivaliserande community verkar också märkligt och det skulle inte förvåna mig om det är en anställd på Hamsterpaj som roat sig utanför verksamhetens ramar på sin fritid. Det vore i så fall inte första gången någonting sådant hände bland svenska företag...
-
- 0 1065
Phishing!
I det här fallet hade skojarna lagt upp en serie kataloger som alla hette /www.bankofamerica.com/ så genom använda find kommandot kunda jag söka igenom servern efter dessa filer genom följande kommando:
find . -name *bank* -print
När jag väl hittade en katalog som passade in har dom lagt in ett skydd som förhindrar att man ändrar CHMOD eller raderar filerna genom FTP eller Cpanels kontrollpanel. Då fungerar följande kommando i SSH ypperligt:
rm -rf www.bankofamerica.com/
Det tar bort hela katalogen och alla underkataloger som en varm kniv genom smör.
Totalt har jag hittat över 2000 filer med felaktig CHMOD, så jag har skickat ut ett brev till alla kunder att hålla lite koll på skripten dom installerar och se över dom filer dom har på sina konton utifall jag missat något. Det tog ett tag, men förhoppningsvis ska det mesta vara tilltäppt nu iallafall. Hade gärna spenderat tiden på annat, men kundernas säkerhet går alltid först.
Andra SSH kommandon som är användbara är dom som föreslås av Cpanel:
netstat -anp : Look for programs attached to ports that you did not install / authorize
find / ( -perm -a+w ) ! -type l >> world_writable.txt : Look at world_writable.txt to see all world writable files and directories. This will reveal locations where an attacker can store files on your system. NOTE: Fixing permissions on some PHP/CGI scripts that are not properly coded will break them.
find / -nouser -o -nogroup >> no_owner.txt : Look at no_owner for all files that do not have a user or group associated with them. All files should be owned by a specific user or group to restrict access to them.
ls /var/log/: There are many different logs on your system which can be valuable resources. Check your system logs, apache logs, mail logs, and other logs frequently to make sure your system is functioning as expected.
-
- 0 946
reCaptcha 3 avgör om du är en människa automatiskt
Med smarta algoritmer ska nya reCaptcha kunna klura ut vilka beteenden som är mänskliga och vilka som är utförda av ondsinta bottar. I teorin iallafall. Som alla system som är baserat på regler så finns alltid problematiken med att alla regler kan programmeras på motsatta sidan.
Istället för att fylla i tester av olika slag så försöker reCaptcha 3 räkna ut vilka beteenden som eventuellt kan vara bottar. Olika resultat ger olika aktiviteter som manuell granskning, mail verifikation osv.
Som med alla typer av lärande system så kommer reCaptcha att finjusteras löpande och det blir en del saker som slinker igenom eller som blockeras felaktigt i början.
Tanken är dock utmärkt eftersom att tvinga användaren att genomlida kontroller har en betydande påverkan på konvertering. Jag ser fram emot att testa reCaptcha 3 och se hur det står sig mot andra liknande system.
-
- 0 1145
Säkerheten låg på sommaren
I IDG kan vi läsa om problemen med tomma IT avdelningar och dom problem som kan uppstå under sommarens heta dagar då semestertider hägrar. Även om artikeln tar upp problem med uppdateringar av Microsoft's produkter så kan vi med ganska stor sannolikhet säga att problemet gäller dom flesta IT relaterade uppdateringar, inklusive visrusskydd och anda säkerhetsuppdateringar.
Vi ser ju att problemen under sommaren med vikarier och tekniska problem som tar längre tid att ordna upp i sommarhettan i flera sammanhang. Bland annat så har ju bredbandsbolaget fortfarande problem med sin epost efter flera veckor och ingen kan väl ha missad den mentala härdsmälta som rikspolisstyrelsen råkat ut för i samband med deras barnpornografi filter.
Account
Navigation
Search
Configure browser push notifications
Chrome (Android)
- Tap the lock icon next to the address bar.
- Tap Permissions → Notifications.
- Adjust your preference.
Chrome (Desktop)
- Click the padlock icon in the address bar.
- Select Site settings.
- Find Notifications and adjust your preference.
Safari (iOS 16.4+)
- Ensure the site is installed via Add to Home Screen.
- Open Settings App → Notifications.
- Find your app name and adjust your preference.
Safari (macOS)
- Go to Safari → Preferences.
- Click the Websites tab.
- Select Notifications in the sidebar.
- Find this website and adjust your preference.
Edge (Android)
- Tap the lock icon next to the address bar.
- Tap Permissions.
- Find Notifications and adjust your preference.
Edge (Desktop)
- Click the padlock icon in the address bar.
- Click Permissions for this site.
- Find Notifications and adjust your preference.
Firefox (Android)
- Go to Settings → Site permissions.
- Tap Notifications.
- Find this site in the list and adjust your preference.
Firefox (Desktop)
- Open Firefox Settings.
- Search for Notifications.
- Find this site in the list and adjust your preference.