Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
IT-brott » Kryptoblog

Archive for the ‘IT-brott’ category

Ross Andersson söker efter ondska

November 22nd, 2007

En av mina stora idoler på säkerhetsfronten, forskaren Ross Andersson har hälsat på Google och hållit en presentation. Presentationen Searching for Evil finns på YouTube och är väl värd att titta på:

Sammanfattningen på YouTube förklarar vad presentationen handlar om:


Computer security has recently imported a lot of ideas from economics, psychology and sociology, leading to fresh insights and new tools. I will describe one thread of research that draws together techniques from fields as diverse as signals intelligence and sociology to search for artificial communities.

Evildoers online divide roughly into two categories – those who don’t want their websites to be found, such as phishermen, and those who do. The latter category runs from fake escrow sites through dodgy stores to postmodern Ponzi schemes.

Att stjäla ett virtuellt serverrum – går det?

November 16th, 2007

Pratade precis med en kollega om virtualiseringssystem för Mac, mer exakt Parallels och VMware Fusion.

Windows i Parallels
Windows i Parallels.

Vi pratade bland annat om en fin finess med virtuella system: Att dom går att ta en kopia på och flytta till andra plattformar. Tydligen gick det bla bra att flytta VM-filer (dvs kompletta, installerade system) från Linux till Mac.

Att kunna ta en backup på sitt serverrum är kanonbra och något som tala till virtualiseringens fördel. Men vilka nya risker med informationsläckage innebär virtualisering. Finns det risk att serverrummet kommer på avvägar när atomerna byts mot bitmönster.

Vad tror du, kommer vi snart att få läsa rubriker som att Hackers stal storföretaget VOLVAABBSSONs server med företagets personalhanteringssystem?

(Jag Googlade, men hittade inget om stöld kopplat till virtuella system/maskiner.)

Dagens terroristhot – röstsyntes

October 11th, 2007

Jösses, allting kan tydligen omformuleras till ett terroristhot. BBC har en artikel om det senaste och hemskaste av hot: datorer som pratar som människor – röstsyntes.

Artikeln handlar om att datorer börjar bli så kraftfulla att det går att ljudmässigt modellera människans hela röstorgan.
Människan, sedd från sidan.

Genom att modellera hela röstorganet kan sedan extremt människoliknande tal skapas. Och (naturligtvis) är detta då ett terroristhot eftersom skummisar som Bin Laden då skulle kunna fejka att dom är någon helt annan och skapa förvirring. Eller som Dr Howard uttrycker det:


The terrorism aspect would come in if the technology were used for more malicious purposes, such as someone taking over a communications network for a country and broadcasting a speech apparently from the country’s leader.

“This gives rise to this notion of what I call vocal terrorism as a possible scenario in the future, which I’m suggesting one should be thinking about now and not thinking about when it happens.

“It’s not scaremongering; it’s trying to say to people, ‘we have to think about these things’,” he said.

Visst, tekniken i sig kan användas både för bra och dåliga syften, men att ropa terrorist? Dom fick iaf uppmärksamhet för sina resultat… Vad blir nästa steg, förbud för privatpersoner att inneha samplers och datorer med röstsyntes (där försvann min Mac)?

Första virusrättegången i sverige

October 8th, 2007

IDG skriver om att det nu är dags för den första rättegången kopplad till viruskod i sverige. Den som är åtalad är en 33-åring från Härnösand. Det virus han är anklagaf för att ha skapat och sedan spridit är det Windows-virus som kallas för Ganda.

Ganda, som egentligen är en datormask, började spridas mars 2003 och första halvåret 2003 låg Gandaviruset på tredje plats över de mest spridda virusen i Sverige. Enligt IDG var hämd Härnösandsbons syfte med Ganda:


Enligt Härnösandsbon hade han blivit illa behandlad av skolväsendet. Han hade svårigheter att klara muntliga förhör och begärde enbart skriftliga. När det inte beviljades kände han sig diskriminerad. Gandaviruset hade en lista med hårdkodade mottagare. Dessa var journalister och skribenter på Tidningen Ångermanland, Aftonbladet, SVT Debatt och Flashback. Dessutom var det adresserat till mottagare på Skolverket.

Åtalspunkterna gäller dataintrång och grovt egenmäktigt förfarande vilka var för sig kan ge fängelse i upp till två år. Jag tycker att det skall bli mycket intressant att se domstolen bedömer att det är att sprida elak kod.

Skimming i bilder

June 21st, 2007

En tjusig liten bildserie tagen från en övervakningskamera visar hur stöld av kontokort och PIN-kod kan gå till. En uttagsautomat riggas med en liten plastklämma som gör att maskinen varken kan läsa från kortet eller lämna tillbaka det:

När sedan en kund (offret) försöker använda automaten fastnar kortet och den vänliga samariten kommer till undsättning. Tipset är förvånande nog: Pröva att slå in din PIN-kod igen:

Och när kunden ger upp plockas plastflärpen loss och kortet används för att länsa kontot på pengar. Lite hobbysnickrande och social ingenjörskonst var det som krävdes. Tack och lov åker skurkar som dessa fast.

IT-kommissionen 2.0

June 21st, 2007

Det blev en ny IT-kommission, fast precis som Webben 2.0 är det same same but different och nu är det istället ett IT-råd med delvis nya namn. Näringsdepartementet beskriver syftet med IT-rådet på följande sätt:

Rådet skall vara ett forum för strategisk diskussion mellan regeringen och företrädare för olika samhällsområden och ge perspektiv på lokal, regional och nationell nivå, utifrån ett näringspolitiskt angreppssätt. Syftet med rådets arbete är bland annat att utbyta åsikter och dela erfarenheter, och att uppmärksamma och diskutera framtida utmaningar. Eftersom IT i stor utsträckning påverkas av den internationella utvecklingen ska detta perspektiv också uppmärksammas.

Personerna som ingår i rådet är:

  • Caroline Andersson, Manager och ansvarig för affärsområde Offentlig sektor, konsultfirman BearingPoint

  • Bo Dahlbom, Professor, Göteborgs universitet

  • Jonas Bergqvist, Verkställande direktör, LRF-konsult

  • Håkan Eriksson, Forskningschef, Ericsson

  • Helena Ervenius, Ansvarig för it-frågor, Regionförbundet Kalmar

  • Anne-Marie Fransson, Förbundsdirektör IT & Telekomföretagen inom Almega

  • Patrik Fältström, Senior Consulting Engineer, Cisco

  • Lars Hultkrantz, Professor i nationalekonomi, Örebro universitet

  • Kristina Höök, Professor i människa-maskin interaktion vid Data- och Systemvetenskapliga Institutionen, Stockholms Universitet

  • Maria Khorsand, Tillträdande vd och koncernchef, Sveriges Tekniska Forskningsinstitut

  • Eva Lindqvist, Styrelseordförande och ledningskonsult. F.d. Senior VP, Mobile Business, TeliaSonera

  • Nicklas Lundblad, Stabschef, Stockholms Handelskammare

  • Ingrid Udén Mogensen, Chief Information Officer, informationssäkerhetsansvarig, Electrolux

  • Ann-Marie Nilsson, Direktör Proment, f.d. vd IT-företagen

  • Jan Rosén, Professor i immaterialrätt, Stockholms Universitet

  • Pär Ström, Integritetsombudsman, tankesmedjan Den nya välfärden

  • Roger Wallis, Professor KTH, Dept of Media Technology & Graphic Arts

  • Shori Zand, Koncernchef, Storken barnmorskemottagningar


Rådets uppdrag löper fram till slutet på 2008. Den stora frågan är inte om rådet kan tillföra kompetens, utan att politiker och förvaltning tar till sig av rådets kompetens. Annars blir det mycket snack och lite verkstad.

Statistik om attacker mot webbapplikationer

May 14th, 2007

(Uppdaterad 2007-05-15)

Web Application Security Consortium har kört ett nät med distribuerade honungsfällor och samlat in statistik om attacker mot webbapplikationer. Resultatet från undersökningarna fram till April i år har nu publicerats.

Under perioden januari tom april detekterades närmare en miljon transaktioner, av dessa triggades nästan 200 000 larm, dvs en transaktion som bedömdes försöka göra något elakt.

Att plocka ut det viktigaste från presentationen av resultatet är inte lätt, men det är värt att notera är spännvidden på de attacker som försöker användas. Från rent OS-specifika attacker till injekteringsattacker och attacker mot krypto- och autenticeringsmekanismer. Vidare anser konsortiet att det verkar som om skurkarna är allt annat än fega, och försöker inte direkt dölja sina attacker eller sina spår. Samtidigt KAN detta kanske förklaras av att de även ser att de flesta attacker i dag är automatiserade, inte manuellt utförda.

En annan intressant aspekt som projektet drar är att de som utför attackerna verkar först välja en attackmetod och sedan leta efter en webbplats att attackera. Dvs attackerna är inte riktade mot en specifik webblats, utan vilka webbplatser som blir drabbade beror på vilka attacker dom är sårbara för. Slutligen konstaterar projektet att ett enkelt applikationsfilter skulle plocka bort en stor del av de attacker som används.

Just nu finns det sju maskiner, från Ryssland till USA med i systemet och fler maskiner vore bra att få med. Så vill du delta är det bara att kontakta konsortiet.

IDG varnar för faran med öppen kod

May 7th, 2007

(Uppdaterad 2007-05-08)

Rubriken är lite raljant, men jag blir lite tveksam till IDGs nyhet om röstbaserad phising som dom valt att kalla Öppen växel öppnar för hackarna. Vad det hela handlar om är att bedragare har börjat försöka lura av personer konton och PIN-koder genom att sätta upp falska telefonbanker. I IDGs artikel blir det dock det faktum att telefoniserverprojektet Asterisk, är ett öppen kod-projekt som är problemet.

Problemet kallas vishing, en förkortning för voice phising. Fenomenet är dock inte nytt, utan att använda telefoner för att lura av människor Identitetsinformation, kontoinformation etc har funnits så länge som telefonen har varit en konsumentprodukt. Det nya är nu att bluffarna är något mer avancerade och använder VoIP-teknik för att genomföra attacken.

Genom att först skicka ett mail till potentiella bankkunder och tala om för dom att det finns ett problem som kräver att dom ringer ett visst telefonnummer. På detta vis får man offren att ringa till sin bluffbank där man sedan lurar av dom den information som krävs för att komma åt deras pengar.

Siphera Systems har en bra lista på olika typer av VoIP-baserade attacker. Bank of America är en av bankerna som drabbats av vishing. Mailet som skickades ut för att fånga deras kunder såg ut så här:

We are hereby notifying you that, after a recent review of your account activity, it has been determined that you are in violation of Bank of America’s Acceptable Use Policy. Therefore, your account has been temporarily limited for: hotjasmin.com cam shows. In order to remove the limit please call our TOLL FREE number [omitted].

Dvs ett ganska typiskt phising-mail, men med tillägget att ringa ett gratisnummer som då går till den falska banken. Litar inte kunderna på webben går det att fånga dom på telefon… Och att verktyget som används är byggt med öppen kod innebär inte att det är verktyget som är problemet. Skillnaden mellan Asterisk och tidigare programvarubaserade telefoniservrar är att Asterisk är ett så mycket mer kompetent verktyg – vilket är skälet till att det fått stor legitim användning.

Sverige får lag mot överbelastningsattacker

April 27th, 2007

I går klubbade riksdagen igenom ett förslag att kriminalisera överbelasningsattacker. Att sänka en webbplats och därmed göra den oåtkomlig för användarna kommer att klassas som ett dataintrång. Lagen är i första hand ett sätt att harmonisera lagstiftningen om skydd av informationssystem inom EU. Men flera webbplatser och tjänster på nätet i Sverige har drabbats av DDoS-attacker de senaste åren, bland annat mot IRC-servrar och inte minst mot Polisens webbplats efter tillslaget mot The Pirate Bay. Dessa händelser har säkert varit med i diskussionerna när lagförslaget arbetades fram. Lagförslaget slår nu fast:

straffansvar för den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en uppgift som är avsedd för automatiserad behandling. Det straffbara förfarandet tar alltså sikte på åtgärder som verkar på ett sådant sätt att de stör eller hindrar att sådana uppgifter kan användas på avsett sätt. Som exempel på sådana åtgärder kan nämnas tillgänglighetsattacker eller överbelastningsattacker.”

Beslutet att godkänna Justitieutskottets betänkande 2006/07:Ju13 var inte det minsta kontroversiellt – ingen talare var anmäld inför beslutet. Lagen träder i kraft 2007-06-01. Straffet för en attack skall vara böter eller fängelse i upp till två år.

Ännu en phisingattack mot en bank

April 26th, 2007

Den här phisingattacken dök up på Flickr:

Ok, antagligen ett skämt – jag tyckte iaf att det var väldigt roligt. Dock visar en postningBruce Schneiers blog att det inte behövs speciellt mycket mer än ett papper för att luras. Ett tips i postningen beskriver hur man tar sig in på Oscarsgalan:
Show up at the theater, dressed as a chef carrying a live lobster, looking really concerned.
Det värsta är dock inte att det med social ingenjörskonst (mao: att lura folk) går att få tag på inloggning till banker eller se på en massa filmstjärnor som festar. Nej det värsta är att dom som borde veta bättre gör det svårt för användarna att veta vad som är ett försök att luras och vad som är seriöst och riktigt. Följande lilla text är från ett mail på banken Chase Manhattan till sina kunder:
From: "Chase Business Banking"
Reply-to: <a class="moz-txt-link-abbreviated" href="mailto:ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com">ChaseBusinessBanking.XXXXXXXXXXX@reply.chase.com</a>
To: <a class="moz-txt-link-abbreviated" href="mailto:XXXXX@XXXXXXXX.XXX">XXXXX@XXXXXXXX.XXX</a>

Subject: Chase Business Customers, we need your help!
Date: Tue, 24 Apr 2007 XX:XX:XX -XXXX
We're working to better serve your business needs!
================================================
Dear Business Customer,  We're updating our records and need your help to
ensure we have thecmost up-to-date information about your business.
This is an important step in ensuring that we can continue to provide you
with timely and accurate information about your accounts.
Go here to answer a couple of questions about your business profile:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX.XXXXXXXXX</a>

It will take you less than 60 seconds, and then you're done!
And remember, the more we know your business, the better we
can serve your ever-changing needs.
Thanks for choosing Chase.
Sincerely,  Janet M. Hawkins
Chief Marketing Officer Business Banking
-----------------------------------------------------------------
E-mail Security Information
If you would like to learn more about e-mail security or want to
report a suspicious e-mail, click here:
<a class="moz-txt-link-freetext" href="http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX">http://click.chase.com/XXXXXXXXX.XXXXX.X.XXXX</a>
Note: If you are concerned about clicking links in this e-mail,
the Chase Online services mentioned above can be accessed
by typing <a class="moz-txt-link-abbreviated" href="http://www.chase.com/">www.chase.com</a> directly into your browser.
-----------------------------------------------------------------
(Gillar speciellt slutet om E-mail-säkerhet) Och sedan uppmanar bankerna sina kunder att se upp för phisingförsök via epost? Det är inte lätt att vara kund.