säkerhet

Föräldraskap vs. vuxenfilter

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , ,

What that means is that parents who opt their families into the scheme are in for a nasty shock: first, when their kids (inevitably) discover the vast quantities of actual, no-fooling pornography that the filter misses; and second, when they themselves discover that their internet is now substantially broken, with equally vast swathes of legitimate material blocked.

Cory Doctorow

Att stjäla e-post med hjälp av ett felstavat domännamn

Av Anders Thoresson i Bloggat 2 kommentarer Tags: ,

Hur många domännamn ska ett företag eller en organisation registrera? Med basen i Sverige, räcker det med .se eller behöver man komplettera med exempelvis .com och .net? Hur ska man tänka med felstavade varianter av företagsnamnet, ska man lägga klorna på företgaet.se och förretaget.se också? Eller kan man leva med den eventuella negativa publicitet som cybersquatting och typosquatting kan innebära?

Frågan är just nu extra aktuell, eftersom den nya porrdomänen .xxx är under uppstart. (Läs intressant diskussion om det på jardenberg.se).

Men eventuellt är det här inte bara en fråga om image gentemot omvärlden. Enligt en grupp amerikanska forskare utgör de här “falska” domänerna dessutom en viss säkerhetsrisk. Genom att skaffa domäner som påminner om amerikanska storföretags och sen koppla e-post-adresser till dem lyckades forskarna utföra så kallade man in the middle-attacker.

Normalt sett brukar MITM-attacker syfta på att en tredje part lyckas ta sig in i en krypterad förbindelse och skicka vidare information till de två som kommunicerar med varandra. Med likartade domännamn lyckades forskarna göra det samma för e-post. Genom att ta emot e-post som skickas till [namn]@bussines.com, läsa den och sen skicka vidare till [namn]@business.com kunde de utan upptäckt komma över en hel del känslig information:

The intercepted correspondence included employee usernames and passwords, sensitive security information about the configuration of corporate network architecture that would be useful to hackers, affidavits and other documents related to litigation in which the companies were embroiled, and trade secrets, such as contracts for business transactions. (Wired.)

En nog så bra illustration på det gamla påståendet om att okrypterad e-post är att betrakta som vykort, öppna för vem som helst att läsa.

Hyr ett botnät

Av Anders Thoresson i Bloggat Inga kommentarer Tags:

Criminals who operate large groupings of hacked PCs tend to be a secretive lot, and jealously guard their assets against hijacking by other crooks. But one of the world’s largest and most sophisticated botnets is openly renting its infected PCs to any and all comers, and has even created a Firefox add-on to assist customers.

Krebs on Security

Skydda dig mot Firesheep med hemmaroutern som VPN

Av Anders Thoresson i Bloggat En kommentar Tags: , , , , ,

Att Firesheep har varit dagens stora it-nyhet är det väl knappast någon tvekan om. Själv har jag inte hunnit testa verktyget, men Tomas Carlssons artikel hos Ny Teknik är rätt skrämmande läsning. Säkerhetsluckorna som Eric Butlers verktyg utnyttjar är inte nya. Men för första gången finns ett verktyg som är väldigt enkelt för vem som helst att använda.

Flera av de stora tjänster vars användare är i riskzonen för Firesheep säger idag att man ska se över säkerheten. Men det kommer att ta tid, och det finns gott om webbplatser med samma brister på nätet. Listan med webbplatser som Firesheep kan angripa är redan lång, delen med webbplatser som är på gång är ännu längre.

Läge att fundera på vad man som användare själv kan göra för att skydda sig alltså. Ett bra alternativ är att på egen hand kryptera trafiken, nu när jättar som Facebook och Twitter dröjer med att göra det. Lösningen kallas för VPN, och är i första hand ett verktyg för företagsanvändare. Det innebär att ett program i datorn skapar en krypterad “tunnel” hela vägen fram till företagets VPN-server. Därifrån fortsätter trafiken ut på nätet. Då är det förvisso i okrypterad form, men eftersom trafiken är krypterad när den lämnar din dator kan personer som använder samma trådlösa nätverk inte använda Firesheep för att komma över dina inloggningsuppgifter.

Men vad gör man som privatperson? Det finns flera företag som säljer VPN-lösningar till privatpersoner, AllTele och Ipredator är två exempel. Priserna varierar, från femtio kronor i månaden och uppåt. Men för den som inte vill eller har råd att betala, eller har svårt att hitta en VPN-leverantör som man känner att man litar på finns ett annat alternativ: Kanske går routern som står i hemmet att använda som VPN-server. Det är i alla fall möjligt med min.

Jag bryr mig inte om att gå igenom inställningarna i detalj, eftersom det här är något som skiljer sig från fabrikat till fabrikat. Men jag ska i alla fall förklara principen:

Det är inte bara dyr företagsutrustning som kan fungera som en VPN-server. Också mer avancerade modeller för hemmabruk har den möjligheten. För att ta reda på om just din modell klarar av det är tipset att googla på modellnamnet och VPN, eller titta i handboken om du har den kvar. Installationen kommer ske i tre steg:

  1. Först ska du se till att din router fungerar som VPN-server. Det innebär bland annat att den funktionen ska aktiveras. Bland annat kommer du få välja vilken typ av kryptering som ska användas. Välj gärna L2TP i kombination med IPSec, vilket är en av de kraftfullare varianterna som finns i hemutrustning. Du behöver också skapa ett användarkonto med ett användarnamn och ett lösenord. Här är det viktigt att vara noga med lösenordet, och välja ett med många bokstäver, siffror och andra tecken. Vad VPN-funktionen gör är nämligen att skapa ett “hål” genom din brandvägg, från internet och in i ditt hemmanätverk. Därför är det viktigt att se till att lösenordet är svårt att gissa eller ens knäcka. Har du tur stödjer din router också engångslösenord. Med ett program i din iPhone skapas då ett unikt lösenord varje gång du loggar in, vilket höjer säkerheten ytterligare. En annan sak du kan göra är att bara aktivera VPN-funktionen när du vet att du kommer att behöva den.
  2. Nästa steg är att se till att din bärbara dator, eller mobiltelefon för den delen, använder VPN. Oavsett vilket operativsystem du använder finns det stöd för VPN.
  3. Kontrollera att allt fungerar. Koppla upp dig via 3G-nätet och surfa in på http://whatismyipaddress.com. Där ser du vilken ip-adress datorn har när den är uppkopplad till internet direkt via 3G-abonnemanget. Anslut sedan till routern, via VPN, och besök http://whatismyipaddress.com igen. Om allt fungerar som det är tänkt kommer du nu se en helt annan ip-adress – den som din router i hemmet har.

En stor nackdel med den här lösningen är att hastigheten många gånger kommer att försämras rejält, jämfört med om du surfar i ett wlan utan VPN, eller för den delen använder någon av de kommersiella lösningarna. Anledningen är att många bredbandsabonnemang har olika maxhastighet för nedladdning och uppladdning. Normalt, när du sitter hemma, är det inget problem eftersom de flesta internetanvändare laddar ner mer än vad de laddar upp. Men när allt du gör från din bärbara dator när du är på resande fot först ska passera routern där hemma, då blir upplänkshastigheten en flaskhals.

Ett annat problem är att de flesta bredbandsabonnemang inte har en fast ip-adress. Det innebär att VPN-serverns adress kommer variera från gång till annan. Lösningen på det här ett konto hos tjänster som DynDNS. Då behöver du inte längre hålla en ip-adress i huvudet, utan får istället ett domännamn. Routern kommer sedan automatiskt att hålla DynDNS uppdaterad om vilken ip-adress den finns på.

Möjligen finns det fler problem, eller till och med risker, med den här lösningen, saker som jag inte tänkt på. Kommentera gärna i så fall!

Om allt det här kändes alldeles för komplicerat, eller om routern inte har en VPN-funktion, då finns det ändå några saker du kan göra för att skydda dig.

Har du ett trådlöst nätverk i hemmet, se till att kommunikationen är krypterad med WPA eller WPA2, inte det äldre och sämre WEP. Med WPA/WPA2 är det svårare (omöjligt?) att använda Firesheep i ditt nätverk. Samtidigt har du skaffat dig ett bättre skydd mot de säkerhetsrisker som Uppdrag Granskning sände ett inslag om den 13 oktober. Känner du dig osäker på inställningarna är ett alternativ att sluta surfa trådlöst i hemmet, och istället använda en nätverkskabel.

Ska du använda din bärbara dator på resande fot är ett enkelt alternativ att rata kaféets eller hotellets öppna wlan och istället använda mobiltelefonen eller ett modem för mobilt bredband och surfar via 3G-nätet.

Firesheep avslöjar dina lösenord på nätet

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , , ,

Idag är en bra dag att leta fram en nätverkskabel ur gömmorna, eller nöja sig med den långsamma hastighet som 3G-modemet erbjuder. Ett nytt program för att kapa kontouppgifter släpptes i helgen. Med det kan vem som helst logga in som dig på Facebook, Twitter och en mängd andra sajter. Lösningen är att undvika öppna trådlösa nätverk.

Utvecklaren Eric Butler visade upp Firesheep, ett tilläggsprogram till webbläsaren Firefox, på hackerkonferensen Toorcon i söndags. Syftet är att visa hur lätt många stora webbplatser tar på användarnas säkerhet.

Uppsåtet lyckades.

Kombinationen Firesheep och öppna trådlösa nätverk är en riktigt dålig kombination.

De flesta sajter, som Facebook och Twitter, skyddar sina inloggningssidor med kryptering, SSL, vilket bland annat syns genom att det står “https” istället för “http” före webbadressen.

Krypteringen är tänkt som ett skydd mot tjuvlyssning, ingen ska kunna snappa upp användarnas inloggningsuppgifter när de knappas in på datorn och skickas via nätet till webbtjänstens servrar.

Problemet, som Eric Butler vill rikta uppmärksamheten mot, uppstår när besökarna återvänder till webbplatsen.

För att underlätta för besökarna använder de flesta webbplatser så kallade cookies. En cookie är en liten datafil som webbläsaren sparar på datorns hårddisk. En av möjligheterna med cookies är att automatiskt logga in återkommande användare, så att de slipper mata in sitt användarnamn och lösenord vid varje besök till sajten.

Vilket är en bra idé. Om den genomförs på ett bra sätt.

Men det är här slarvet sker: Många sajter, listan på webbplatser vars användaruppgifter är möjliga att komma åt med hjälp av Firesheep är lång och innehåller bland annat Facebook, Twitter och Dropbox, bryr sig inte om att kryptera förbindelsen när informationen i cookie-filen skickas. Och på ett öppet trådlöst nätverk, som bland annat finns på många arbetsplatser och kaféer, är det då möjligt att använda Firesheep för att snappa upp innehållet i cookie-filerna och med en knapptryckning logga in som en annan användare.

Som användare finns några saker man kan göra för att skydda sig. Surfar du hemma och är osäker på om du har ett öppet eller skyddad trådlöst nätverk är ett alternativ att leta fram gammal nätverkskabel i en låda och stänga av det trådlösa nätverket i datorn. Behöver du surfa på stan kan det vara en bra idé att välja bort kaféets trådlösa nätverk och istället köra med ditt eget 3G-modem.

Ett mer avancerat alterantiv är att använda ett så kallat VPN, virtual private network. Det är en krypteringsteknik som ser till att datatrafiken som lämnar din dator är skyddat av ett krypteringslager. Många företag gör den tekniken tillgänglig för sina anställda. För privatpersoner finns också VPN-tjänster att abonnera på. Till webbläsare som Firefox och Google Chrome finns också tilläggsprogram som försöker tvinga användningen av kryptering.

På sikt kan man nog räkna med att företagen bygger om sina webbplatser, så att större delar av dem skyddas av kryptering. Värt att notera är att riskerna varit kända länge, utan att något gjorts. Facebook är ett exempel. Där går alla interna länkar till en okrypterad sida, även om du startar på https://www.facebook.com.

Värt att tänka på är också att säkerhetshålet inte bara är en risk för dig, utan också för alla dina vänner på bland annat Facebook. Även om du inte tycker att du lägger ut något känsligt kan det finnas andra som resonerar annorlunda.

För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det.

Säkrare på nätet med färsk webbläsare och OpenDNS

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , , ,

OpenDNS säkrar webbenEn phising-attack drar just nu fram över Twitter. Direktmeddelanden försöker lura användare att klicka på en länk och där mata in sitt användarnamn och lösenord. Just nu händer inget mer än att inloggningsuppgifterna används för att lura ännu fler Twitter-användare.

Än så länge har jag bara fått ett direktmeddelande med den aktuella länken, men av flödet på Twitter att döma är det rätt många som drabbats.

De vanliga rekommendationerna gäller, i det här fallet särskilt en: Lita på ditt eget omdöme. Om en svensk vän plötsligt skickar ett meddelande på engelska, “hey, is this you???”, då bör varningsklockorna åtminstone börja ringa. Håll också ett extra öga på vad det egentligen står i webbläsarens adressfält. Ser det ut som du är på Twitters inloggningssajt, men adressen är “twitter.login.kevanshome.org/login/?I7K8Z” — då är det något som är galet.

Men litar man inte på sitt eget omdöme, tror man inte att man själv kan avgöra vilka länkar som är säkra att klicka på, då finns det andra saker man kan göra. En är att uppdatera sin webbläsare. De senaste versionerna Firefox, Internet Explorer, Chrome och Opera har alla olika former av anti-phising-skydd.

Ytterligare ett skyddsnät får man om man byter ut sin internetoperatörs DNS-servrar mot OpenDNS. På nätet är alla webbplatser försedda med en ip-adress, en sifferkombination som är unik. Men för att vi användare ska slippa hålla långa sifferrader i huvudet har domännamn lagts som ett lager ovanpå. I webbläsaren skriver vi in www.nyteknik.se, webbläsaren frågar en DNS-server vilken ip-adress Ny Tekniks webbplats finns på, får 217.149.63.216 som svar och ansluter sedan dit.

Vad OpenDNS erbjuder är en säkerhetskontroll. Innan tjänsten svarar på webbläsarens fråga om var Ny Tekniks webbplats finns kontrolleras att Ny Teknik inte är med i någon av spärrlistorna OpenDNS har.

I enklaste versionen är OpenDNS gratis att använda. Det som krävs är att man registrerar sig och sen går in i datorns eller routerns nätverksinställningar och matar in adressen till OpenDNS-servrarna. Som instruktionsfilmen visar får man tydliga anvisningar om hur det går till i samband med att man skaffar sitt konto.

Med OpenDNS får man inte bara en säkrare webbupplevelse. Chansen är stor att den dessutom upplevs som snabbare. Anledningen är att OpenDNS har en stor databas med ip-adressen och domännamn, vilket gör att webbläsaren många gånger får ett snabbare svar på sin adressfråga.

Och om du är en av de som redan blivit lurade? Byt lösenord. På Twitter och på alla andra sajter där du har samma användarnamn och lösnord.

Uppdatering: Den som vill kan också följa @safety, där Twitter skickar ut säkerhetsinformation om sin tjänst.

Smarta telefoner virusmakarnas nya spelplan?

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , ,

Rick Astley som bakgrund i din Iphone utan att du vill det. Eller några Iphone-spel som stjäl dina telefonnummer.

Det är väl ingen vågad gissning att det här bara är början. Att de smarta mobilerna kommer blir nästa spelplan för virusmakare och andra som vill ställa till digital oreda. Jämfört med ett virus i datorn bör risken för direkt ekonomisk skada vara större.

Många säkerhetsexperter är överens om att de cyberkriminella har växlat spår. Från att skapa virus som bara förstör, till att utveckla program som kan användas för att stjäla kontokortsnummer, skicka spam eller andra sätt att tjäna pengar. Därmed är det inte alltid den som smittats av skadlig kod som står den ekonomiska risken.

Men i en mobiltelefon finns möjligheten att skicka sms, mms eller använda en ibland riktigt dyr internetuppkoppling…

Attacken på Twitter avslöjar mikrobloggandets akilleshäl

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , , ,

Gårdagens stora it-händelse var överlastningsattacken mot Twitter, Facebook, Blogger och Youtube.

Kapade datorer användes för att skicka så mycket trafik till webbplatserna att de under någon timme eller två inte gick att komma ihåg. Måltavlan var enligt Cnet en georgier som använder alla sajterna.

Just attacken mot Twitter visar hur sårbar kommunikationen på nätet kan vara — när det går att sätta likhetstecken mellan ett företag och den kommunikationsteknik som företaget gör tillgänglig.

Det är inte många år sedan Hotmail och e-post för många var synonymer. För Hotmail var det givetvis en enorm marknadsföringsmässig framgång, men i realiteten betydde det inte någonting. Det var fortfarande samma gamla e-post Hotmail erbjöd, om än i ett lättillgängligt webbgränssnitt. En överlastningsattack mot Hotmail skulle förvisso innebär att miljoner och åter miljoner människor tillfälligt skulle stängas ute från sin Hotmail-adress.

Men det skulle inte innebära att e-posten slutade att fungera på en global skala. Alla de internetanvändare som valt att lösa sina e-postbehov på andra sätt skulle kunna fortsätta att skicka och ta emot e-post som vanligt, undantaget trafik till och från Hotmail.

Många menar att mikrobloggandet är på väg att ta över e-postens roll för snabb kommunikation. Gårdagens attack mot Twitter visar att tekniken ännu inte är mogen för det.

För när e-posten är en decentraliserad teknik är mikrobloggandet fortfarande helt centraliserat. Det finns tjänster som konkurrerar med Twitter, som Jaiku och svenska Bloggy. Decentralisering, på sätt och vis, men det handlar om isolerade öar. Twitter-användare kommunicerar på sitt håll, Jaiku-användare hos sig.

Det är därför överlastningsattacken mot Twitter i ett slag kunde tysta kommunikationskanalen för runt 45 miljoner användare. Det fanns en single point of failure.

Attacken igår visar att mikrobloggandet behöver decentraliseras på samma sätt som e-posten. Det finns initiativ som strävar ditåt.

I våras gjorde jag en e-postintervju med Jyri Engeström, en av upphovsmännen bakom Jaiku. På frågan om inte tjänsterna för mikrobloggande måste börja prata med varandra var hans svar:

The architecture of the Internet is one of decentralization. That’s why it has become so pervasive. Translated to the realm of Web services, a user should be able to communicate with the people they care about regardless of what site they use. This requires standards that everyone can rely on. Probably the most important task today is to work on defining these standards. We’ve made good progress so far with initiatives like OAuth, OpenID, PortableContacts, and OpenSocial. Hopefully these will soon be joined by a set of activity streams standards that will make it possible for services to interoperate.

Det är bara att stämma in i den förhoppningen. Nu erbjuder nätets alla tjänster på sätt och vis redan redundans för varandra. Att Twitter går ner några timmar är inte på något sätt en katastrof, under tiden Twitters tekniken jobbar på att lösa problemet finns en uppsjö av alternativa kommunikationsvägar. Men det är inte bra nog.

Attacken visar att man inte får glömma det som är internets styrka — decentraliseringen — när man bygger nytt.

Dags att reda ut länkröran – följ i Nambus fotspår

Av Anders Thoresson i Bloggat Inga kommentarer Tags: ,

Se upp med vilka länkar du klickar på!

Det var ett av råden från Symantec när företaget igår presenterade sin lägesrapport över säkerhetshot på nätet.

Uppmaningen är inte på något sätt ny. Men att den tål att upprepas råder det ingen tvekan om. Phising-attacker, där offren luras att lämna i från sig kontokortsinformation på sajter som ser ut som banker, är fortfarande vanliga.

Det stora problemet är att det är svårt att omsätta det generella rådet ”var försiktig med länkarna” i praktiken. Att avgöra vad som är en säker och vad som är en farlig länk är inte enkelt.

Och tyvärr blir det inte enklare.

Sajter som krymper långa länkar har funnits ett tag och blir allt mer populära i takt med att mikrobloggandet växer. Med en begränsning på 140 tecken är det självklart smidigt med tjänster som bit.ly och tinyurl.com.

Men som Joshua Schachter, grundare till Delicious skriver, url-krymparna för också med sig en massa problem. Ett av dem handlar om användarbarhet:

The clicker can’t even tell by hovering where a link will take them, which is bad form. Some sites offer link previews, but there’s no way to make a preview preference stick globally across the many shortening services.

En bit.ly-länk är förvisso kort, men det är direkt omöjligt att avgöra var den leder.

Därför är Twitter-klienten Nambu en föregångare. Programmet gör nämligen domännamnet synligt. Det innebär att användaren direkt kan se vart länken leder, och enklare avgöra om den är värd ett klick. Risken för att luras in på spam-sidor eller andra mindre trevliga delar av webben minskar därmed markant.

Nambu är inte det enda programmet som har den här typen av funktion. Till Firefox finns exempelvis ett bit.ly-tillägg som på liknande sätt visar vad som finns bakom alla bit.ly-länkar man stöter på på nätet.

Fler program borde följa efter. Jag vill se inbyggt stöd för de mest använda url-förkortarna i chattprogramet, i e-postprogrammet, i webbläsaren. I alla program i min dator där en länk kan tänkas dyka upp.

För att minska risken att jag klickar på en skadlig länk.

Men också för att minska risken för att jag klickar på en länk som visar sig vara ointressant. Inte alla bedömdar sig med att skriva en liten beskrivning om vart den krympta länken leder.

Internet Explorer sätter stopp för farliga program

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , ,

I eftermiddag släpper Microsoft den nya versionen av webbläsaren Internet Explorer. Givetvis är det gott om nyheter i åttan, och som alltid (åtminstone på senare år) säger sig Microsoft ha satt säkerheten i fokus.

En av erfarenheterna man gjort är att användarna inte riktigt vet sitt eget bästa. Med IE8 förutsätter inte Microsoft längre att användarna har ett fungerande skydd mot malware på sina datorer. Försöker användaren ladda ner en fil som finns med i företagets databas över bekräftat skadliga program kommer en varningsruta upp, med en enda knapp: Avbryt. Vill man trots allt starta nedladdningen måste man klicka på varningstexten. Det låter krångligt, och det är självklart hela anledningen till att Microsoft valt det upplägget.

Under en dag vid datorn är det mer än en gång det dyker upp en ruta man bara klickar undan, utan att egentligen fundera särskilt mycket på vad den innehåller. Genom att ta bort okej-knappen tänker sig Microsoft att det ska bli slut på slentrianklickandet.

Initiativet låter som en bra idé. Ska bli spännande att se när Microsoft kan återkomma med statistik på hur många nedladdningar funktionen stoppar. Anti-phising-filtret, som funnits redan i tidigare versioner av IE, stoppar över en miljon attackförsök i veckan.

Edit: Läser hos BBC att bankbedrägerierna i Storbritannien fördubblades förra året. Bland annat genom att använda program som loggar tangenttryckningar. Tillvägagångssättet är enkelt: Lura någon att installera programmet, under förespegling att du ger dem något annat. Sen är det bara att luta sig tillbaka och vänta på att kontouppgifterna ska börja trilla in.

1 2