And The Band Played On

Etikett: hackare

Enklaste sättet att säkra dina lösenord är att glömma bort dem – eller använda post-it

losenordssakerhet

Nej, det där är inte mitt lösenord. På allvar.

Vi får höra i tid och otid att vi måste byta lösenord,  minst en gång i månaden. Dessutom måste lösenorden vara komplicerade och vara en blandning av siffror, bokstäver och specialtecken – och helst ska vi också ha olika lösen för varje tjänst och app som vi använder, vilket innebär ett hyfsat stort antal. Problemet blir ju hur i hela friden man ska komma ihåg dem alla?

Veckan som gick handlade mycket om internetsäkerhet och lösenordshygien, en diskussion som kom igång i svallvågorna av SVT:s avslöjande om att lösenord till tio miljoner svenska konton befann sig på drift – bland dessa skolministerns och flera andra politikers – efter att populära onlinetjänster som Dropbox, Linkedin och Tumblr hackats.

Visserligen piskades oron upp till lite väl höga nivåer om man ser till den egentliga skada som de listor på användar-id:n och lösenord som SVT Dold kommit över egentligen skulle kunna ställa till med. Dels var lösenorden från de hackade användarkontona lagrade i krypterad form – att knäcka sådana är både tidskrävande och extremt processorkrävande – och dels visade sig ”hacken” ha flera år på nacken. Dropbox användardatabas kom på drift redan 2012, något som tjänstens användare i princip omgående fick reda på via mejl (jag var själv en av dem). Dessutom nollställdes alla lösenord och Dropbox införde strax efteråt tvåstegsautentisering – något alla som är det minsta måna om tryggheten online naturligtvis aktiverat sedan flera år. Med detta dubbla säkerhetslager spelar det ingen roll om någon faktiskt kommer över ditt Dropbox-lösenord – en angripare behöver därutöver ha tillgång både till din telefon och ditt upplåsta sim-kort för att komma åt dina filer.

Tvåstegsautentisering är något som de flesta av de viktigare internettjänsterna numera har som standard. Givetvis ska man ha detta aktiverat på Google, Facebook, Twitter och Tumblr liksom alla andra sajter som erbjuder möjligheten. WordPress har det tyvärr inte inbyggt ännu – men funktionen borde inte vara långt borta som en ny del i Jetpacksviten. (Jag är dock mindre benägen att installera tredjeparts-pluginer som erbjuder tvåstegslogin, av den enkla anledningen att man aldrig riktigt vet vem som utvecklar dem och hur bra koll på säkerheten de har. Eller ens vad deras syften är… )

Hur som helst. Hela lösenordsdebatten är egentligen felställd. Givetvis fungerar det inte, som så kallade säkerhetsexperter uppmanar oss, att ha olika lösenord PÅ VARENDA SAJT MAN RÅKAR BESÖKA. Den strategin är dömd att misslyckas. Ingen kan komma ihåg alla, och även om man lagrar dem i ett lösenordsprogram (som 1Password eller Keeper) kommer du garanterat inte att orka kolla upp dem i tid och otid.

Istället bör du fråga dig: Varför ska jag komma ihåg några lösenord – över huvud taget?

För i praktiken är det ju så att det enda lösenord du faktiskt måste kunna utantill är det som du har till din mejl. Och den har du förstås placerat hos Google eller någon annan av nätets tungviktare som erbjuder flera säkerhetslager och dessutom har tillräckligt med bandbredd för att stå emot massiva ddos-attacker.

Har du gjort detta, kan du i princip glömma alla andra lösenord. Behöver du logga in på Tradera eller Blocket? Beställ ett nytt lösen, det tar bara ett par sekunder att nollställa det. Och när du gör det: välj något riktigt komplicerat, något som är i det närmaste omöjligt att komma ihåg (flera webbläsare, till exempel Safari på Mac, kan föreslå knepiga lösenord om man behöver hjälp). Spara sedan lösenordet i webbläsaren, så slipper du ange det när du loggar in i framtiden. Naturligtvis gör du undantag för sajter där det går att betala med kreditkort utan extra verifiering, exempelvis Paypal. Här sparar du aldrig dina lösenord, eftersom du någon gång kommer glömma att låsa skärmen på din jobbdator, varpå din lustigkurre till kollega passar på att lägga en gigantisk beställning på toapapper med expressleverans hem till dig.

När det däremot gäller mindre ”viktiga” nättjänster – kundklubbar, nedladdningssajter, utländska nätbutiker och platser där du inte sparar känsliga personuppgifter och kreditkortsdata – kan man istället använda ett och samma lösenord. Och då ett ganska enkelt som man garanterat kommer ihåg för att slippa återställa det i tid och otid. (Detta lösenord går givetvis också att spara i webbläsaren.)

Fördelen med detta upplägg är att om – eller när – den utländska nätbutiken med tvivelaktig säkerhet får se sin användardatabas fladdra iväg mot nätets mera ljusskygga avkrokar, så vet du att det bara är ditt ”slasklösenord” som hamnat i de onlinekriminellas garn. Och lyckas de mot förmodan avkryptera det, kommer det i sig att fungera som effektiv avledningsmanöver iväg från ditt andra, supersäkra och komplicerade mejllösenord.

Slutligen – hur välja ett übersäkert mejllösen? Härskarlösenordet som ska fungera som din befästning runt det allra heligaste du har – din mejladress. Det enkla svaret är: välj något som du garanterat kommer ihåg själv, men som ingen annan skulle komma på. I mitt fall skulle jag hypotetiskt kunna utgå från min sedan flera år avlidna mammas namn, födelseår och -ort. Eftersom hon är död går det inte längre att söka efter henne i register online, vilket gör att det endast finns att hitta i gamla kyrkoböcker. Och få ens i min familj känner till vad hon hette som ogift. Känns alltså relativt svårhackat.

Hypotetiskt skulle jag alltså kunna välja lösenordet Berit_Marianne_Född_Svensson_Tvååker_Jan7_1933 för att skydda mejlen. Det är långt, det är nära nog omöjligt att gissa även för dem som känner mig bäst, och i kombination med tvåstegsautenticering  borde det vara relativt svårhackat.

(Nu var det här förvisso bara ett exempel, min mamma hette inte Svensson och även om hon gjort det hade jag väl för sjutton inte skrivit ut mitt superhemliga lösenord på en öppen blogg – vem tar ni mig för..?)

Men ni hajar  ju tanken. Och i takt med att jag börjar ansättas av dåligt minne – jag är ju inte så ung längre – kan det kanske behövas en påminnelse ovanpå allt. Låt mig därför slå ett slag för en nygammal (o)vana och gör exakt det som varenda säkerhetsexpert varnade oss för på 90-talet när vi tog våra första stapplande steg ut på internet. Skriv alltså ner lösenordstipset på en lapp och lägg den i din byrålåda. Eller i plånboken. Eller vad sjutton – sätt den på datorskärmen där hemma, så att du garanterat inte tappar bort den.

Risken att någon skulle bryta sig in i din bostad, ta lappen, tolka ledtråden korrekt och dessutom få tag i din upplåsta telefon utan att du hinner reagera torde vara ganska liten.

Dessutom spår jag en ny storhetstid för Post-it.

Intressant?

Fler om , , ,

Drönarkrig für alle

På brittiska bloggen Drone Wars UK kan man läsa att satellitsystemet som används för att styra obemannade spanings- och attackflygplan, så kallade drönare, heter – håll i er – Skynet. Och som inte detta vore nog för att ge en skrämselhicka, ägs satelliter, datorsystem och programvaran som styr alltihopa av ett privat företag, Paradigm Secure. Uttalat på engelska låter det inte alltför olikt Cyberdyne Systems, det fiktiva (?) företaget bakom Terminator-filmernas version av Skynet – och hur det slutade vet vi ju alltför väl.

Drönare av T3-modell.

Till råga på allt ser både Reaper- och Predatordrönarna ut att vara modellerade direkt från Terminators Hunter Killer Drone, vilket väl är det slutliga beviset för att verkligheten imiterar dikten och vi alla är dömda till en snar och våldsam undergång. Snart kommer Skynet 5 att börja tänka själv, och döda oss alla med sin flotta av luftburna UAV:er (Unmanned Aerial Vehicles).

Drönare av modell MQ-9 Reaper, bestyckad och klar för start i Afghanistan.

Ok, det kanske inte riktigt händer på det sättet. Men om man bortser från de oundvikliga sci-fi-referenserna, kan man konstatera att de obemannade flygande farkosterna, eller drönare i vardagligt tal, håller på att förändra världens konflikter i grunden. Gränserna för var och mot vem man kan föra krig har suddats ut, samtidigt som det blivit snorbilligt att med teknikens hjälp ta livet av terrorister och upprorsmän i de mest otillgängliga delarna av världen. Som i Afghanistans eller Pakistans berg, där det tidigare krävts truppnärvaro på marken med allt vad detta inneburit av riskfyllda transporter och logistik.

Nu sitter ”piloterna” istället bekvämt framför en uppsättning bildskärmar i ett kontrollrum – till exempel på Holloman Air Force base i White Sands, New Mexico, varifrån en stor del av USA:s drönarkrigföring bedrivs. Därifrån styr piloterna sina plan via satellit tusentals mil bort. På förmiddagen kan det handla om ett spaningsuppdrag i Irak, och efter att ha brutit för lunch kan eftermiddagens uppdrag utspela sig i Afghanistan. Piloterna kan tillbringa kvällarna hemma med familjen, och de slipper riskera livet eller att bli nedskjutna och tillfångatagna. Och om en drönare trots allt skulle skjutas ned, handlar det om en förlust på ”bara” några miljoner dollar. Betydligt mer överkomligt än att förlora ett F-16-plan värt nära 20 gånger mer. Dessutom slipper man potentiella gisslansituationer och den rent operativa förlust det innebär att mista en utbildad stridspilot.

Faktum är att obemannad krigföring är det just nu snabbast växande området inom den amerikanska militären. Pentagon bygger ut sin drönarflotta med 30 procent, samtidigt som antalet drönarpiloter blir fler och fler. Inom något år räknar man med att det kommer att utbildas fler drönaroperatörer än traditionella stridspiloter. Och i takt med att tekniken utvecklas kommer fler militära aktiviteter att tas över av distanskrigarna. Det finns redan allt ifrån mekaniska robothundar som fjärrstyrs att desarmera misstänkta bomber till tungt bestyckade ”terminators” som kan assistera framryckande infanteri.

Och det är inte bara Pentagon som bedriver krig på distans. Även om hemlighetsmakeriet kring USA:s använding av obemannade flygplan är stort, är det känt att landet bedriver tre olika UAV-program. Det mest kända är Pentagons drönarprogram i Irak och Afghanistan, medan de andra två drivs av underrättelsetjänsten C.I.A samt det militära Joint Special Operations Command – varje organisation med sin egen dödslista på personer utvalda att elimineras med hjälp av drönare styrda från amerikansk mark. Det kan handla om rebeller i Centralafrika eller knarkkarteller i Colombia – ingen går säker för drönarna, som kan slå till när som helst, dag som natt.

Det finns förstås också problem med att föra krig på distans. En av de största är ett fenomen som är välkänt för alla som spelat datorspel via nätet: så kallad latency eller ”lagg”. Det innebär förenklat att det som drönarpiloten ser på sin bildskärm visas med en viss fördröjning. Det kan handla om bråkdelar av en sekund, men räcker för att göra det  svårt att träffa en rörlig måltavla. Förra året avslöjade Al-Qaida-krigare på den arabiska halvön för en jemenitisk reporter att när de hörde en amerikansk drönare närma sig, började de hoppa runt så mycket de kunde, för att på så sätt lura drönaroperatörerna att missa målet.

Drönare i Black Ops 2, på väg att förinta Los Angeles.

Att utvecklingen kan ge en fingervisning om hur framtidens krig och konflikter kan komma att utkämpas märks också i spelvärlden. I Activisions kommande förstapersonskjutare Black Ops 2 (release 13 november) är det just drönarkriget som står i centrum – eller rättare sagt vad som kan hända i en nära framtid när terrorister lyckas ta kontroll över de obemannade krigsmaskinerna. I en halvdokumentär trailer för spelet uttalar Oliver North (den amerikanske överstelöjtnanten som blev ökänd för sin inblanding i Iran-Contras-affären på 80-talet) följande tänkvärdhet:

”Jag är inte oroad för en kille som försöker kapa ett flygplan. Jag oroar mig för killen som vill kapa ALLA flygplan”.

Black Ops 2 ligger alltså helt rätt i tiden. I början av december förra året lyckades Iran komma över en amerikansk drönare, sannolikt genom att ta över styrsystemet på farkosten. Iranierna sägs nu vara på god väg att reverse-engineera drönaren och ta reda på hur den styrs. Det är alltså inte osannolikt att de iranska mullorna inom ett par år har ett eget UAV-program, vars udd med största sannolikhet kommer att riktas mot Israel.

Som sagt. Det är 2012, drönarkriget är i full gång och styrs av satellitsystemet Skynet.

What could possibly go wrong?

Intressant?

 Merläsning om drönarkriget:
Aljazeera | The decade of war to come

Ars Technica | E3 games exploit real fears in a tumultuous world

DN | Ingen kontrollerar privata drönare
DN | Forskare varnar: Drönare kan hackas av terrorister

Wired | Drone Wars – The Legal Debate Continues

Andra bloggar om , , , , , ,

750.000 hackare i din iPhone

SvT:s Rapport har de senaste veckorna ägnat en del research åt att avslöja hur lätt det är för hackers och cyberbrottslingar att ”kapa” våra datorer via öppna trådlösa nätverk – eller nu senast genom så kallade smartphones som saknar brandväggar och antivirus-skydd och därför i teorin står vidöppna för angrepp.

”Det är lite grand som att kliva 20 år tillbaka när man använde datorer utan att ha några egentliga skydd, man förlitade sig på att den som skickade saker inte var ond eller hade någon avsikt”, säger André Rickardsson, IT-säkerhetsexpert till Rapport.

Säkerhetsexperten visar därefter hur denne anonyme hackare, utrustad med ”verktyg på nätet” kan ta full kontroll över en telefon – via infekterade mejl eller SMS eller genom att injicera skadlig kod via den hotspot som surfaren kopplar upp sig mot.

Allt detta är givetvis möjligt att göra i teorin. Men bara för att det är teoretiskt möjligt innebär det inte att någon faktiskt gör det – i alla fall inte i någon skala där det ens börjar att bli ett egentligt problem. Precis som det är ett icke-existerande problem att hackare sitter i bilar utanför våra hus och avlyssnar öppna trådlösa nätverk efter finansiell information. Visst går det att göra, men det är fruktansvärt tidsödande att få fram någon information av värde.

Så här kan en nätbrottsling ta över min telefon, enligt sagda säkerhetsexpert:

  • Hackaren skickar ett SMS till mig med en länk till ett ”fulprogram”, som när det installeras installerar någon typ av bakdörr till telefonen, genom vilken hackaren kan komma in. Detta kräver dock att telefonen (iPhone) är jailbreakad, i annat fall installeras endast granskade och godkända program som kommer från Apples App Store. Det gäller även för så kallad root-access; för att kunna få upp ett terminalfönster och använda ett stulet root-lösen krävs jailbreaking, en operation som ett relativt litet antal iPhone-användare ägnar sig åt.
  • Hackaren utnyttjar en öppen Wifi-hotspot. På detta sätta kan hackaren byta ut den webbsida där iPhone-användaren surfar till en där en skadlig kod exekveras och på så sätt installerar en bakdörr på användarens telefon. Detta är om möjligt ännu mer tidskrävande. Först ska hackaren hitta ett öppet nätverk, eller knäcka WEP-krypteringen på ett, och därefter sitta och övervaka nätet till dess användaren i fråga väljer att koppla upp sig med sin iPhone över sitt hemmanätverk – istället för som vanligt via 3G-nätet som är hårt krypterat – innan han eller hon kan dirigera om iPhonesurfaren till sin falska sida.

Ovanstående går teoretiskt sett att göra – även om jag är tveksam till att det funkar på en oknäckt iPhone som Rapport hävdar. Men hacket är beroende av att så många faktorer ska infalla samtidigt att det aldrig kommer att användas av cyberbrottslingar i någon större skala. Det finns oändligt många enklare sätt att få tag på kontokortsnummer och personuppgifter – det finns sajter och nätverk där sådana byts i bulk – och risken är oändligt mycket större att någon kommer över bankomatkoder där folk tankar bilen eller kortnummer från folk som lägger kreditkortet i baren. Och att lura folk på pengar behöver man inte kunna ett dugg om datorer för att lyckas bra med; det är bara att lägga in en annons på en ”Billig MacBook 17″ i5″ på Blocket och begära förskottsbetalning…

Vad Rapport visar upp i sitt inslag är egentilgen bara att visa det som alla vet – att inga system är 100-procentigt säkra, och att den som verkligen vill göra skada också kan göra det. Men vad reportern missade att fråga var förstås om det är rimlig. Hur många har drabbats? Hur många dokumenterade fall finns det i Sverige och världen där människor blivit av med känsliga uppgifter genom säkerhetsluckor i sina smarttelefoner?

Jag skulle tro att antalet är ganska litet – inte alls i närheten av de 750.000 pedofilerna som sägs husera på Internet vid varje given tidpunkt…

Men säkerhetskonsulterna skrattar förstås hela vägen till banken – det har säkert rullat in ett antal nya beställningar från företag som vill säkra sin IT-miljö.

Pressen: DN, Aftonbladet, Expressen (2), Sydsvenskan
Bloggar:
TkJ, Macken, Allt om Mac, Teknikkonsument

Fler om , , , ,

Intressant?

© 2021 Fröjdhpunktse

Tema av Anders NorenUpp ↑

%d bloggare gillar detta: