Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
IT-brott » Kryptoblog

Archive for the ‘IT-brott’ category

XKCD om kopieringsskydd

October 14th, 2008

XKCD, en ypperligt nördig, filosofisk och rolig nätserie har en bild på varför kopieringsskydd (DRM) leder till ökad piratkopiering:

XKCD om kopieringsskydd.

Kopieringsskydd flyttar över rätten till (legal) användning till mediaföretagens väl och ve, och i kombination med lagstiftning som försöker skydda DRM-systemen blir det svårt för konsumenter att använda legalt anförskaffat media.

Ett exempel på hur absurt det kan bli i verkligheten är det DRM-system varahuskedjan Wal*Mart lanserade i USA och där kundernas mediaspelare behövde kontakta en server hos Wal*Mart för att mediat skulle gå att spela upp. När Wal*Mart, bestämde sig för att spara pengar genom att stänga av servern innebar detta att kundernas inköpta DRM-skyddade media skulle bli oanvändbar. Efter kritik har nu Wal*Mart ändrat sig och lovar att hålla liv i servern för evigt. Eller i alla fall en stund till…

Debattinlägg om integritet och fildelning

April 3rd, 2008

Expressen har publicerat ett vad jag tycker intressant och bra debattinlägg om de hot mot vår integritet som dyker upp i jakten på illegal fildelning. Utgångspunkten för artikeln är det förslag regeringen lägger fram och som ser ut att gå mycket längre än vad EG-domstolen slagit fast behöver införas. Författarna till artikeln skriver bland annat:


Vi är bekymrade över att nätsamhällets löfte till medborgarna om en spännande demokratisering kan omintetgöras av beslutsfattare som värjer sig mot att ta del av tänkandet runt detta.

Vi är också oroade över att reglerarna tycks villiga att offra grundläggande demokratiska fri- och rättigheter för att upprätthålla gamla strukturer.

Dessa verkar på ett förbluffande lättvindigt vis acceptera generell registrering, övervakning och avlyssning av hela folkets kommunikation. Integritetsintresset är inte ens företrätt på utfrågningen.

Så här får det inte gå till. Riksdagen måste hålla en kompletterande utfrågning om nätsamhällets löften där även status quo får ifrågasättas och debatteras. Reglerarna kan inte enbart anpassa sig till dem som kan hotas av ny teknik.

Ett problem författarna tar upp är att i den utfrågning som upphovsrätt på Internet som arrangeras i dag ser ut att vara snedvriden.


När vi ser talarlistan för riksdagens “Offentliga utfrågning om Upphovsrätt på Internet” tydliggörs denna bristande förståelse för de förändrade samhällsroller som tekniken skapar. Evenemanget sänds direkt av SVT i morgon 3 april. Kulturutskottet låter hela sex organisationer tillkännage “branschernas synpunkter” för riksdagens ledamöter. Det handlar om organisationer med starka ekonomiska intressen av hårdare tag.

Två personer får framföra “konsumenternas synpunkter”. En är generalsekreterare för en statligt finansierad organisation. Den andre föreslog tillsammans med utredaren Cecilia Renfors att fildelande människor skall kunna förlora rätten att använda Internet och skrev i Expressen en artikel med titeln “Så rensar vi upp bland fildelarna”. Från Internetoperatörer och nätforskning får sammanlagt tre röster uttala sig.

Det har föreslagits att olika visionära tänkare skulle få höras men kulturutskottets kansli säger sig bara vilja bjuda in folk som “förespråkar de legala alternativen” och som “representerar någon”.

Författarna till artikeln är bland annat Jonas Bosson – Förening för en fri informationsinfrastruktur, Elza Dunkels – Umeå universitet, Eva Frölich – vd Frobbit AB, Patrik Fältström – Internetexpert i regeringens IT-råd, Oscar Swartz – Internetentreprenör, Staffan Truvé – vd på SICS och The Interactive Institute samt Dennis Töllborg – professor vid Handelshögskolan i Göteborg.

Näthuliganer orsakar epilepsi

April 1st, 2008

(Det här är en något annorlunda IT-säkerhetsnyhet, men jag blev riktigt ilsk när jag läste om händelsen.)

Näthuliganer, på engelska kallade griefers har attackerat ett webbforum för folk som lider av epilepsi. Genom att fylla Epilepsy Foundations sidor med animationer avsedda att trigga epileptiska anfall och länkar till sidor med animationer, ljud m.m. har dom fått folk att råka illa ut. En av dessa var RyAnne Fultz:


RyAnne Fultz, a 33-year-old woman who suffers from pattern-sensitive epilepsy, says she clicked on a forum post with a legitimate-sounding title on Sunday. Her browser window resized to fill her screen, which was then taken over by a pattern of squares rapidly flashing in different colors.

Fultz says she “locked up.”

“I don’t fall over and convulse, but it hurts,” says Fultz, an IT worker in Coeur d’Alene, Idaho. “I was on the phone when it happened, and I couldn’t move and couldn’t speak.”

After about 10 seconds, Fultz’s 11-year-old son came over and drew her gaze away from the computer, then killed the browser process, she says.

RyAnne var inte den enda som drabbades:


“Everyone who logged on, it affected to some extent, whether by causing headaches or seizures,” says Browen Mead, a 24-year-old epilepsy patient in Maine who says she suffered a daylong migraine after examining several of the offending posts. She’d lingered too long on the pages trying to determine who was responsible.

Det är inte alla epileptiker som lider av fotosensitiv epilepsi. Men för de som har detta kan TV-program eller reklamskyltar vara ett problem. Detta visades bland annat i Simpsonsavsnittet Thirty Minutes Over Tokyo där familjen råkar få på TV-programmet Battling Seizure Robots.

Simpsons ser på Battling Seizure Robots

Simpsons-sketchen var en parodi på en verklig händelse där ett avsnitt av Pokemon med kraftigt blinkande animationer oavsiktligt triggade epilepsi hos ett antal tittare.

Men att göra detta avsiktligt och att rikta in sig på folk som lider av epilepsi genom att attackera ett forum som används för att få råd, stöd och hjälp att hantera sin epilepsi? Fy f-n.

Öppen utfrågning om IT-säkerhet

March 31st, 2008

Riksdagens utskott Trafikutskottet och försvarsutskottet anordnar en öppen utfrågning om IT-säkerhet. Utskotten skriver i inbjudan att:


IT-säkerhet är en viktig del i den fortsatta IT-utvecklingen där beroendet av IT-system i såväl offentlig som privat sektor alltmer ökar. Enligt vissa studier är mer än 99 procent av det svenska samhällets kritiska infrastruktur beroende av Internet som den stora bäraren av information.

Användningen av IT, som är väl integrerat i vårt samhälle, gör att frågor om tillit och säkerhet i våra IT-system måste beaktas inom alla samhällsområden och sektorer för att människor ska kunna känna förtroende för tekniken, för myndigheter och för e-förvaltningen. Det breda informationssäkerhetsarbetet i samhället och statens roll i detta är en fråga som kräver fortsatt och kontinuerlig analys, inte minst givet den snabba utveckling som kännetecknar IT-området.

Trafikutskottet och försvarsutskottet har därför tagit initiativ till en öppen utfrågning för att inhämta information om de aktuella utmaningarna på IT-säkerhetsområdet samt om vad som görs och behöver göras för att trygga säkerheten i den fortsatta utvecklingen av IT-samhället.

Utfrågningen inkluderar ett antal presentationer, bland annat kommer följande personer att hålla en presentation:


9.05-9.15 De samhällskritiska systemens sårbarhet
Dan Larsson, informationssäkerhetsexpert, Försvarets radioanstalt (FRA)

9.15-9.25 Hälsoläget på Internet i dag
Anne-Marie Eklund-Löwinder, kvalitets- och säkerhetschef, Stiftelsen för Internetinfrastruktur (.SE)

9.25-9.35 Nätangrepp – Trender och åtgärder
Kurt Erik Lindqvist, vd, Netnod Internet Exchange AB

9.35-9.50 Handlingsplan om informationssäkerhet
Ingvar Hellquist, chef informationssäkerhetsenheten, Krisberedskapsmyndigheten (KBM)

9.50-10.05 Säker och robust elektronisk kommunikation
Anders Johanson, chef, nätsäkerhetsavdelningen
Stefan B. Grinneby, chef för Sitic (Sveriges it-incidentcentrum)
Post- och telestyrelsen (PTS)

10.20-10.30 Kampanjen Surfa Lugnt – erfarenheter och utmaningar
Roland Ekström, projektledare, Kampanjen Surfa Lugnt

10.30-10.40 Internetframsyn och IT-säkerhet
Östen Frånberg, projektledare, Kungl. Ingenjörsvetenskapsakademien (IVA)
(Internetframsyn är ett IVA-projekt om Internets framtidsfrågor)

Utfrågningen sker i Andrakammarsalen i Riksdagen och startar 09:00. Det kommer även att sändas webb-TV från utfrågningen och den startar 08:50. URL:en till webb-TV kommer att publiceras på sidan om utfrågningen.

Kreditkort med RFID – utan skyddmekanismer!

March 20th, 2008

Boing Boing TV (BBtv) har ett reportage från O’Reillys Emerging Technology-konferens som visar hur American Express nya kreditkort med inbyggt RFID-chip visar sig släppa i från sig kortnummer, namn på personen kortet är utställt till och giltighetstiden – detta utan några som helst krav på autentisering från läsaren eller andra skydd av informationen.

Minst sagt skrämmande. Skrämmande att ett företag som sysslar med krediter 2008 kan släppa en sådan här osäker produkt och skrämande att man uppenbarligen bryr sig så lite om sina kunders säkerhet.

Pablos Holman mannen i videon som demonstrerar attacken, använder en RFID-läsare han enligt egen utsago köpt på Ebay för 8 USD, så mycket är American Express kunder säkerhet värd.

Brott på Internet – på Polismuseet

January 9th, 2008

Polismuseet i Stockholm pågår en tillfällig utställning om brott på Internet.

Bild från utställningen.
(Ingen aning vad detta skall föreställa, men har tydligen med utställningen att göra... 😉

Utställningen beskrivs av Polismuseet på följande sätt:


Internets möjligheter att nå massor av människor snabbt och samtidigt har också medfört ökad brottslighet.

Polismuseets nya utställning Brott på Internet beskriver Internets utveckling ur ett historiskt och tekniskt perspektiv och lyfter fram hur brottsligheten på nätet har utvecklats. Här beskrivs också vad polisen gör för att bekämpa brott som begås på Internet.
En ordlista ger besökaren möjlighet att förstå skillnaden mellan phishing, skimming, spam och andra begrepp som dyker upp allt oftare omkring oss.

I utställningen finns också bland annat en fallbeskrivning av den så kallade Alexandramannen. Mannen, som kallade sig för Alexandra när han var på Internet, lurade unga flickor att ha kontakt med och träffa honom. Han dömdes till tio års fängelse.

Utställningen riktar sig först och främst till vuxna och föräldrar som inte förstår vad deras barn sysslar med på skärmen.

Det står inte hur länge utställningen pågår (mer än att den är tillfällig). Hinner jag upp till Stockholm och till museet skall jag försöka ta mig dit. Annars får gärna någon läsare posta en berättelse (eller länk till någon som varit där).

Ekonomi och affärsmodell för IT-brott

January 3rd, 2008

Bruce Schneier pekar på en mycket intressant artikel som tar upp ekonomin och affärsmodellerna som driver IT-brotten.

Artikeln tar bland annat upp hur den svarta ekonomin på Internet är en högt globaliserad, outsourcad verksamhet där allt kan säljas som en tjänst, inklusive access till trojaner:


In March the price quoted on malware sites for the Gozi Trojan, which steals data and sends it to hackers in an encrypted form, was between $1,000 (£500) and $2,000 for the basic version. Buyers could purchase add-on services at varying prices starting at $20.
...
According to reports, the malware was available this summer as a service from iFrameBiz and stat482.com, who bought the Trojan from the HangUp team, a group of Russian hackers. The Trojan server was managed by 76service.com, and hosted by the Russian Business Network, which security vendors allege offered “bullet-proof” hosting for phishing sites and other illicit operations.

Artikeln hänvisar även till forskaren Peter Gutmann som publicerat en mycket extensiv och läsvärd rapport kallad TThe Commercial Malware Industry. Tanka ned och läs. Skrämmande men nyttig läsning.

Aftonbladet hackad av VFB

January 3rd, 2008

En grupp som kallar sig Vuxna Föbannade Hackare (VFB) har hackat Aftonbladet. Joakim Jardenberg på Mindpark har en bra sammanställning av vad som hänt. Ett av problemen hos Aftonbladet är de dåliga lösenord som personalen använder. Nästan så här:

Dilbert om lösenord

Patrik Fältström har fyllt på med tankar om lösenord samt de DNS-problem som Aftobladet drabbats av.

Gula lappar och sätt att avslöja säkerhetsproblem

December 29th, 2007

(Det här brukar vara ett hett debattämne så jag sätter väl på mig jul-asbest-kallingarna…)

Bruce Schneier har en postning om sin blogg om hur polisen i Conyers, USA agerar för att minska mängden inbrott i parkerade bilar.

Vad polisen gör i Conyers är att gå runt på parkeringsplatser och titta vad som finns i bilarna.

Polisen letar efter gods att stjäla.

I de bilar polisen ser att det finns värdesaker att sno sätter polisen en varningslapp på bilen. En stor, gul lapp.

Här finns det saker att stjäla!

Men jösses?!

Inom IT-säkerhet pratar man om olika sätt att berätta om/avslöja säkerhetsproblem. Termer som full disclosure, reasonable disclosure används för att beskriva hur någon som upptäcker ett säkerhetsproblem agerar. Det har länge pågått en debatt om för- och nackdelarna med de olika sätten att agera.

Det är sannolikt så att hade vi inte haft folk som öppet rapporterat om svagheter i IT-system hade mängden säkerhetsproblem som fixats varit mycket mindre. Vi har efter åratal av incidenter fått upp ett arbetssätt hos de flesta företag att leta efter svagheter i sina produkter, men även fått arbetssätt att reagera på och hantera svagheter som rapporteras av användare och aktörer.

Samtidigt verkar det finnas en klar koppling mellan en publicerad svaghet och nya svagheter som elak kod använder för att ta över ett system. Att publicera en svaghet får alltså konsekvenser något den som publicerar svagheten måste vara medveten om.

Jag säger inte att man inte skall publicera. Vad jag säger är att den som levererar produkten/tjänsten svagheten är kopplad till måste få en chans att reagera. Men om denna inte reagerar går det inte heller att vänta i all evighet. Så publiceringen måste ske. Den stora frågan är vad som tas med i publiceringen. Vad är det som avslöjas om svagheten?

Detta är en svår balans. Den som publicerar vill kunna visa upp så mycket att andra skall kunna verifiera att det finns en svaghet. Samtidigt kan detta innebära att de som vill utnyttja svagheten för onda syften snabbt kan ta till sig svagheten och omsätta den i verkliga attacker.

Tittar man på publicerade svagheter varierar innehållet från allmänna beskrivningar, ex ett fel av typ XYZ har upptäckts i delen ABC av produkten GHI, till färdiga program och script för att utnyttja svagheten. Även om jag kan tycka att det är kul att testa en del exempelkod anser jag att det på det stora hela är oansvarigt.

Ett Svenskt exempel på vad jag anser vara oansvarigt avslöjande är hur Dan Egerstad på Deranged Security i höstas postade inloggningsuppgifter för eposten till olika ambassader runt om i världen på sin webbplats. Att undersöka Tor är helt rätt, att när man upptäcker säkerhetsproblem kontakta de drabbade är helt rätt. Men att hänga ut de drabbade på det sätt Dan gjorde är fel. Mycket fel.

Jag har svårt att se att polisen i Conyers agerar mycket annorlunda. Att de går runt och upptäcker att folk är slarviga med att plocka undan värdesaker är helt rätt. Men sättet man agerar för att få bilägarnas (användarnas) uppmärksamhet är fel. Man hade kunnat agera mycket annorlunda. Ex skriva upp bilnumren och sedan skicka brev (eller tom böter) till bilägarna.

Och detta kanske är poängen: Även om det är en myndighet, tom den polisiära makten som avslöjar ett säkerhetsproblem eller en svaghet går det inte att agera hur som helst. När SVT avslöjar att ICA-handlare märker om köttfärs är detta inget som drabbar utan gagnar konsumenterna. Men när polisen hjälper biltjuvarna att hitta till godsakerna är det fel sätt att agera.

Säkerhetsproblem är dumt, men det gör inte att vi kan agera korkat när vi upptäcker dom.

Uppdatering 2008-01-03:
Björn Persson pekade på att det skett en uppdatering i historien om polisen och deras gula lappar. Justin Troutman, en av användarna på Bruce Schneiers blog kontaktade polisen i Conyers och fick deras förklaring:


I contacted Conyers Police Department, basically iterating the same thought that this lets thieves know which vehicles they should be paying attention to.

Their response to me was:

“Thank you for contacting the Conyers Police Department. We appreciate that you took the time to write us with your comments about our flyer initiative.

Unfortunately, the media did not impart the whole story in regard to the flyers. Flyers were not just placed on vehicles that contained visible items. Flyers were also placed on vehicles that contained no visible items with a note saying “Nothing Observed (Good Job!)”. All vehicles were targeted. This initiative was not aimed only at vehicles that had items actually visible. Therefore, the flyers would not have been of any use to a thief for targeting vehicles since vehicles without items also received flyers. In addition, it was also not reported that all of the areas had extra patrols and officers on foot who were distributing the flyers.

We are sorry that the media did not provide this information despite the fact we asked them to. We hope that makes you see that our initiative was better planned than you believed.”

Hopefully, thieves won’t be able to easily differentiate between a flyer that indicates loot versus a flyer that indicates no loot; if the former looks noticeably different, they’ll ignore the latter.

Dvs man lappade alla bilar – Men notera att det fanns en skillnad i hur lapparna såg ut, det är inte uppenbart om skillnaden gör det enkelt att identifiera (för tjyvar) intressanta bilar eller ej.

IKEA slarvar med kunders information

November 22nd, 2007

Enligt en artikel på Metro.se har IKEA slarvat med hur dom hanterar sina kunders personliga information.

IKEA - från Metro.se

Artikeln berättar att för de kunder som använt IKEAs egna kreditkort IKEA Handa har IKEA tydligen skrivit ut både kreditkortsnummer och personnummer på kvittona. Enligt artikeln kan upp mot hundra tusen personer vara påverkade. Datainspektionens jurist Mats Björklund tror gör bedömningen att IKEA brutit mot lagen.

Att så flagrant feppla med kunders information är inte vanligt. Däremot stör jag mig närmast dagligen på hur kortnummer skrivs ut på kvitton. Standarden som finns specificerar att minst fyra siffror skall ersättas med en asterisk. Men standarden specar inte vilka fyra siffror. Det är inte ovanligt att två kvitton tillsammans gör att man får fram hela numret.