Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
May » 2007 » Kryptoblog

Archive for May, 2007

Statistik om attacker mot webbapplikationer

May 14th, 2007

(Uppdaterad 2007-05-15)

Web Application Security Consortium har kört ett nät med distribuerade honungsfällor och samlat in statistik om attacker mot webbapplikationer. Resultatet från undersökningarna fram till April i år har nu publicerats.

Under perioden januari tom april detekterades närmare en miljon transaktioner, av dessa triggades nästan 200 000 larm, dvs en transaktion som bedömdes försöka göra något elakt.

Att plocka ut det viktigaste från presentationen av resultatet är inte lätt, men det är värt att notera är spännvidden på de attacker som försöker användas. Från rent OS-specifika attacker till injekteringsattacker och attacker mot krypto- och autenticeringsmekanismer. Vidare anser konsortiet att det verkar som om skurkarna är allt annat än fega, och försöker inte direkt dölja sina attacker eller sina spår. Samtidigt KAN detta kanske förklaras av att de även ser att de flesta attacker i dag är automatiserade, inte manuellt utförda.

En annan intressant aspekt som projektet drar är att de som utför attackerna verkar först välja en attackmetod och sedan leta efter en webbplats att attackera. Dvs attackerna är inte riktade mot en specifik webblats, utan vilka webbplatser som blir drabbade beror på vilka attacker dom är sårbara för. Slutligen konstaterar projektet att ett enkelt applikationsfilter skulle plocka bort en stor del av de attacker som används.

Just nu finns det sju maskiner, från Ryssland till USA med i systemet och fler maskiner vore bra att få med. Så vill du delta är det bara att kontakta konsortiet.

IT-säkerhetsregler som din mamma skulle uttrycka det

May 14th, 2007

Sprang på följande lilla lista med regler för IT-säkerhet, direkt från din mamma:


  • Wash your data when it comes in from the Internet.
    Do you want to get viruses?

  • Don’t leave the firewall open!

  • Don’t share your shared secret with anyone else.

  • I don’t care whether your friends are doing it.
    On MY network, you’re not doing it, and that’s final.

  • Just wait until the CEO gets home!

  • You tracked that worm into the house.
    YOU clean it up.  I’m tired of cleaning up after all of you.

  • I don’t care who started it; I’m finishing it.
    Both of you, go to your offices!

  • No games until you clean up your hard drive!

  • When YOU pay for the computer,
    THEN you can keep it private.
    Until then, I’m coming in whenever I want.

  • How many times do I have to tell you not to open strange
    attachments??  Am I talking to a wall??

  • Because I’m the ISO, that’s why!

  • Just wait until you have users of your own,
    then you’ll understand.


Kom igen, lite roligt var det allt.

Creeper efter en vecka

May 14th, 2007

Patrik Wallström har publicerat en rapport med lite statistik efter en vecka med Creeper. Tydligen finns det bland annat personer på myndigheter som är intresserade av Svenska bittorrents. En annan populär webbplats är Gatukonst

(IN)SECURE – en bra tidning om säkerhet

May 8th, 2007

Jag sprang på en tidning på nätet om säkerhet som jag tycker verkar mycket intressant.

(IN)SECURE Magazine är en on-line tidning som ser ut att komma ut med 4-6 nummer per år beskriver sig själv som:

(IN)SECURE Magazine is a freely available digital security magazine discussing some of the hottest information security topics. It can be distributed only in the form of the original non-modified PDF document.

Tidningen ges ut av företaget HNS Consulting Ltd. Senaste numret (nr 11) innehåller bland annat artiklar om

  • Elektroniska pass.

  • Brandväggen IPtables

  • Reseportage från Blach Hat Briefings 2007

Jag tycker det verkar vara en seriös och välskriven tidskrift väl värd sitt pris.

Kolla var storebror kryper med creeper

May 8th, 2007

Patrik Wallström har tagit fram en liten webbtjänst kallad creeper som övervakar var storebror, dvs myndigheter besöker för webbplatser. Genom att använda referrer-information och jämföra detta med en lista med IP-adresser för olika myndigheter, organisationer, politiska partier etc skapas en lista över webblatser som personal på olika myndigheter besöker. Här finns listan över webbplatser som creeper har fångat upp.

Det viktiga för att få creeper att fungera är att webbplatser skickar över information till creeper. Detta sker genom att webbplatsen kompletteras med en liten bild där URL:en pekar på creeper:


Creeper

Vill du hjälpa till är det bara att lägga in koden på din webbplats. Det skall bli spännande att se vilket resultat som Pawal får fram på detta sätt. Creeper visar även hur enkelt det är att bygga upp ett enkelt system för att spåra användares aktiviteter på Internet.

IDG varnar för faran med öppen kod

May 7th, 2007

(Uppdaterad 2007-05-08)

Rubriken är lite raljant, men jag blir lite tveksam till IDGs nyhet om röstbaserad phising som dom valt att kalla Öppen växel öppnar för hackarna. Vad det hela handlar om är att bedragare har börjat försöka lura av personer konton och PIN-koder genom att sätta upp falska telefonbanker. I IDGs artikel blir det dock det faktum att telefoniserverprojektet Asterisk, är ett öppen kod-projekt som är problemet.

Problemet kallas vishing, en förkortning för voice phising. Fenomenet är dock inte nytt, utan att använda telefoner för att lura av människor Identitetsinformation, kontoinformation etc har funnits så länge som telefonen har varit en konsumentprodukt. Det nya är nu att bluffarna är något mer avancerade och använder VoIP-teknik för att genomföra attacken.

Genom att först skicka ett mail till potentiella bankkunder och tala om för dom att det finns ett problem som kräver att dom ringer ett visst telefonnummer. På detta vis får man offren att ringa till sin bluffbank där man sedan lurar av dom den information som krävs för att komma åt deras pengar.

Siphera Systems har en bra lista på olika typer av VoIP-baserade attacker. Bank of America är en av bankerna som drabbats av vishing. Mailet som skickades ut för att fånga deras kunder såg ut så här:

We are hereby notifying you that, after a recent review of your account activity, it has been determined that you are in violation of Bank of America’s Acceptable Use Policy. Therefore, your account has been temporarily limited for: hotjasmin.com cam shows. In order to remove the limit please call our TOLL FREE number [omitted].

Dvs ett ganska typiskt phising-mail, men med tillägget att ringa ett gratisnummer som då går till den falska banken. Litar inte kunderna på webben går det att fånga dom på telefon… Och att verktyget som används är byggt med öppen kod innebär inte att det är verktyget som är problemet. Skillnaden mellan Asterisk och tidigare programvarubaserade telefoniservrar är att Asterisk är ett så mycket mer kompetent verktyg – vilket är skälet till att det fått stor legitim användning.

Precise Biometrics levererar ID-lösning till Portugal

May 7th, 2007

En nyhet som jag inte sett fått så stor uppmärksamhet i Svenska medier är att Precise Biometrics skall leverera ID-lösning till Portugals innevånare. Initalordern är på 2 miljoner kort, med kommer att inkludera 14 miljoner licenser (är det samma som antal kort?).

I leveransen ingår även biometriska läsare med areasensorer:

Oavsett vad man tycker om biometri tycker jag att det är kul att det går bra för ett av Sveriges biometriföretag.

TV4 får inte dina deklarationsuppgifter

May 1st, 2007

Skatteverket meddelar på sin webbplats att TV4 inte får dina deklarationsuppgifter(!). Bakgrunden till meddelandet från Skatteverket är att TV4 har ett SMS-tipsnummer som är 71444, och Skatteverkets SMS-deklarationsnummer är 71144. Tydligen skickar folk fel så att TV4 från en del SMS avsedda för Skatteverket. Enligt Skatteverket skall du som deklarerar via SMS få ett besked om att meddelandet har kommit fram:

När du deklarerar via sms är det viktigt att du får en bekräftelse på att deklarationen är mottagen.

Inom 10 minuter efter att du har skickat ditt sms till 71144 ska du få ett returmeddelande: “Din deklaration har nu kommit till Skatteverket”.
 
Om du inte har fått detta meddelande så har din deklaration inte kommit fram. Det kan till exempel bero på att du har slagit fel sms-nummer eller på ett tekniskt fel. I så fall måste du skicka ett nytt sms. Instruktioner för hur du deklarerar via sms och din personliga säkerhetskod hittar du i den deklaration som har skickats hem till dig.


Har du inte fått detta meddelande bör du kolla var du skickade ditt SMS.