Den här bilden dök upp i en artikel på Worse Than Failure:
Visst, det är nog ingen som kan gissa ditt lösenord - men blir det inte lite jobbigt att logga in? … Och gissningsvis måste du byta lösenord innan du lärt dig det gamla utantill…
IDG skriver om att det nu är dags för den första rättegången kopplad till viruskod i sverige. Den som är åtalad är en 33-åring från Härnösand. Det virus han är anklagaf för att ha skapat och sedan spridit är det Windows-virus som kallas för Ganda.
Ganda, som egentligen är en datormask, började spridas mars 2003 och första halvåret 2003 låg Gandaviruset på tredje plats över de mest spridda virusen i Sverige. Enligt IDG var hämd Härnösandsbons syfte med Ganda:
Enligt Härnösandsbon hade han blivit illa behandlad av skolväsendet. Han hade svårigheter att klara muntliga förhör och begärde enbart skriftliga. När det inte beviljades kände han sig diskriminerad. Gandaviruset hade en lista med hårdkodade mottagare. Dessa var journalister och skribenter på Tidningen Ångermanland, Aftonbladet, SVT Debatt och Flashback. Dessutom var det adresserat till mottagare på Skolverket.
Åtalspunkterna gäller dataintrång och grovt egenmäktigt förfarande vilka var för sig kan ge fängelse i upp till två år. Jag tycker att det skall bli mycket intressant att se domstolen bedömer att det är att sprida elak kod.
(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med - så nu kommer en radda postningar med lästips.)
Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.
Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga - utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, både tekniken i sig och användningen av tekniken, övergick från i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:
During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.
When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.
Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.
Det är två saker som jag reagerar på när jag läser Ilshammars rapport. Dels hur fort omslaget från en i grunden positiv inställning till en negativ inställning gick. På några få år, från 1968 till ungefär 1972, slår attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar på är vilka som gick i frontlinjen för att värna den personliga integriteten - det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag går i frontlinjen för att inskränka integriteten med hjälp av datorer.
Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.
En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)
Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot - phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc - detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk på Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltså en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i många fall global exponering.
I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.
Läsaren Rombobjörn postade en bra kommentar om knäppa CAPTCHAs:
Att använda punktskrift skulle kunna vara ganska listigt i ett forum för föräldrar till blinda barn till exempel. Formeln (som inte är en ekvation) är antagligen avsedd för matematiker. Om man inte kan förkorta den till ln 2 så tillhör man inte målgruppen.
Vad Rombobjörn pekar på är att dessa CAPTHAs, hur knäppa de ser ut att vara egentligen bygger på något mycket viktigt: semantisk förståelse. Rombobjörn har helt rätt och jag hade fel, detta är bra CAPTCHAs.
Och ja, det är en formel (eller ett uttryck), inte en ekvation. Eller som Via/Yes (vilket märke det nu är) uttrycker det i sin reklam: Ny, bättre formulering. 
Men det här (tack Martin E) är väl ändå en knäpp CAPTCHA?
Man måste vara en dator för att kunna titta på den tillräckligt länge för att klura ut koden.
CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, är samlingsnamnet på olika tekniker för att skydda webbplatser från program som agerar användare och exempelvis dränker nätforum med SPAM-postningar. Oftast utformas CAPTCHA:n som en bild som innehåller tecken som man som människa skall identifiera och skriva in i ett responsfält:
Naturligtvis pågår det ett upprustningskrig mellan de som utvecklar CAPTCHA-system och de som utvecklar program som tar sig förbi CAPTCHA-systemen. Resultatet är att SPAM-nissarna nu är med och driver utvecklingen inom bildseende, och att datorer i vissa fall ser ut att ha lättare än människor att använda webbplatser. I går sprang jag på ett skräckkabinett med CAPTCHAs som visar hur illa det blivit. Några exempel:
Braille-CAPTCHA
Antingen kan du inte läsa vad som står på skärmen, eller så kan du inte läsa vad som står på skärmen…
Matte-CAPTCHA
Det är jättelätt att logga in, lös bara ekvationen först.
Många möjligheters CAPTCHA
Text gömd bakom text - får man välja vilken text skall man skriva in?
Och så här håller det på - den ena varianten hemskare än den andra. Och det tragikomiska är att det ändå inte hjälper. Speciellt inte som i det här fallet:
Hoppsan, snyggt kodat! Krävs inte så mycket bildigenkänning för att hacka sig runt det systemet.
Microsofts bidrag till CAPTCHA-utvecklingen är Asirra - en husdjusbaserad lösning. I det här sammanhanget känns den både vettig och smart. Risken är väl att det slutar med LOL-Kitten-CAPTCHA… YES I CAN HAS LOGON, eller nåt.
Wired har publicerat en (kort) artikel om den tyska säkerhetsforskaren Lukas Grunwald
Artikeln berättar att Lukas, som tidigare visat att han kan klona RFID-chip i pass nu utvecklat en RFID-baserad attack mot pass-systemen.
Enligt artikeln lagras bildinformation på RFID-chippet i passet i JPEG200-format. Datat i en JPEG200-bild är komprimerat med en aritmetisk kompressor. Lukas attack går ut på att konstruera en speciell, patalogisk JPEG2000-bild, som när den expanderas, sväller över alla bredder och spränger det minne som används för dekompressionen. En klassisk buffertöverskrivningsattack som resulterar i att RFID-läsaren (eller det bakomliggande pass-systemet) slås ut.
Lukas Grunewald hävdar att det faktum att RFID-läsaren slås ut innebär att RFID-läsaren går att injektera med elak kod, exempelvis för att få den att istället använda en gammal bild och därmed sätta säkerheten i ett pass-system med RFID-utrustade pass ur spel.
Jag håller inte med om att en buffertöverskrivning som leder till en utslagning automatiskt implicerar en möjlighet att injektera kod eller på annat sätt manipulera det attackerade systemet, och Wireds artikel är för kort och luddig för att dra några egentliga slutsatser om vad Lukas åstadkommer i det attackerade systemet.
Men, bara det faktum att det går att gravt påverka/slå ut de nya pass-systemen på detta sätt tycker jag är mycket intressant i sig. Jag tycker att detta visar, och här delar jag Lukas åsikt, är att inbyggda system i allt för liten grad implementeras utifrån en kravställning som tittar på IT-säkerhet och hantering av felfall. Precis som Lukas säger har man antagligen tagit ett standardbibliotek för JPEG200-hantering och sedan helt struntat i att övervaka bildexpansionen. Indata från externa källor, speciellt i ett publikt säkerhetssystem som ett pass-system är, skall betraktas som potentiellt fientlig och behandlas därefter.
Och, det viktigaste, så länge som beställarna/kravställarna av inbyggda system inte tar med krav på säkerhet i sina beställningar kommer de allra flesta konstruktörer (de som inte är IT-säkerhetsparanoida redan innan) att implementera för att uppfylla de funktionella kraven och minimera implementationen i den normala kostnadsjakten. Det är så inbyggda system konstruerats i årtionden, men det börjar bli hög tid att vakna upp. Buffertöverskrivningsattacker är ingen nyhet precis, och bara för att man bygger inbyggda system får man inte vara omedveten om dessa problem.
En artikel på EE Times varnar för att mail som utlovar nakenbilder på kändisar som Angelin Jolie tyvärr bara innehåller elak kod. Mer exakt innehåller mailet trojanen Dloadr-BCP.
Det mest intressanta med den här nyheten är troligen att Sophos har fått EE Times att nappa på sin varning, vilket snarast tyder på nyhetstorka. Att skicka ut elak kod med löften om fina bilder på kändisar är ju knappast en nyhet. Att den här typen av attacker fortfarande används visar mest hur enkelt och billigt det är att skicka massor med mail - marginalkostnaden är väsentligen noll.
Frågan man kan ställa sig är om någon fortfarande går på den här typen av försök… Tyvärr ger ju Didier Stevens försök med Is your PC virus free? - Get it infected here! en skrämmande bild av hur en del användare föhåller sig till IT-säkerhet…
(Tillbaka från en resa till ett Internetlöst Europa…)
Enligt en artikel i NY Times ser det ut som att den första fungerande attacken mot iPhone har presenterats. De som utvecklat attacken har även lagt upp en egen webbplats med mer information.
Att döma av informationen på den webbplatsen är problemet att applikationer i telefonen, inklusive webbläsaren körs med administratörsrättigheter. Detta gör det möjligt att skriva elak kod som körs på telefonen då en användare surfar till en given webbplats. På webbplatsen ovan finns även ett dokument med information om säkerhetsmodellen i iPhone, ett dokument väl värt att läsa. Författarna skriver:
The security architecture of the iPhone can best be described as one of reducing the attack surface. This is accomplished by limiting the number of applications on the device and limiting the functionality of the existing applications. The device does not even contain common binaries such as bash, ssh, or even ls.
Unfortunately, once an iPhone application is breached by an attacker, very little prevents an attacker from obtaining complete control of the system. All the processes which handle network data run with the effective user id of 0, i.e. the superuser. This means that a compromise of any application gives the ability to run code in the context of that application which has the highest possible privilege level.
Hoppsan, undrar varför Apple såg det nödvändigt att göra på detta sätt…
Den här phisingattacken dök up på Flickr:
Ok, antagligen ett skämt - jag tyckte iaf att det var väldigt roligt. Dock visar en postning på Bruce Schneiers blog att det inte behövs speciellt mycket mer än ett papper för att luras. Ett tips i postningen beskriver hur man tar sig in på Oscarsgalan:
Show up at the theater, dressed as a chef carrying a live lobster, looking really concerned.
Det värsta är dock inte att det med social ingenjörskonst (mao: att lura folk) går att få tag på inloggning till banker eller se på en massa filmstjärnor som festar. Nej det värsta är att dom som borde veta bättre gör det svårt för användarna att veta vad som är ett försök att luras och vad som är seriöst och riktigt. Följande lilla text är från ett mail på banken Chase Manhattan till sina kunder:
From: "Chase Business Banking"Reply-to: ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.comTo: XXXXX@XXXXXXXX.XXXSubject: Chase Business Customers, we need your help!Date: Tue, 24 Apr 2007 XX:XX:XX -XXXXWe're working to better serve your business needs!================================================Dear Business Customer, We're updating our records and need your help to ensure we have thecmost up-to-date information about your business. This is an important step in ensuring that we can continue to provide you with timely and accurate information about your accounts.Go here to answer a couple of questions about your business profile:http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXXIt will take you less than 60 seconds, and then you're done! And remember, the more we know your business, the better we can serve your ever-changing needs.Thanks for choosing Chase. Sincerely, Janet M. HawkinsChief Marketing Officer Business Banking-----------------------------------------------------------------E-mail Security InformationIf you would like to learn more about e-mail security or want to report a suspicious e-mail, click here:http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXXNote: If you are concerned about clicking links in this e-mail, the Chase Online services mentioned above can be accessed by typing www.chase.com directly into your browser. —————————————————————–
(Gillar speciellt slutet om E-mail-säkerhet) Och sedan uppmanar bankerna sina kunder att se upp för phisingförsök via epost? Det är inte lätt att vara kund.
Intel har presenterat kommande utökningar av instruktionsuppsättningen för x86-processorer. De flesta nya instruktioner är kopplade till utökat stöd för vektorberäkningar. Streaming SIMD-extensions 4 (SSE4) innehåller i flera nya instruktioner avsedda att stödja 3D-acceleration och grafikspråk som CG. Så långt egentligen inget nytt, utan mer en evolution på tidigare instruktsutökningar.
Det intressanta är istället ett antal instruktioner avsedda att accelerera applikationer och då mer specifikt olika typer av mönstermatchning och integritetskontroll:
Som alltid måste applikationerna, och därmed kompilatorerna uppgraderas för att utnyttja dessa instruktioner. Men i en tid när scanning av virus, paketinspektion, signaturmatchning kräver allt mer resurser för att städa undan elak kod kan detta vara en steg framåt. För den som vill läsa mer finns ett PDF-dokument från Intel som beskriver utökningen.
