Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1292
Dumheter » Kryptoblog

Posts Tagged ‘Dumheter’

Busiga säkerhetsfrågor

May 14th, 2010

Bruce Schneier postade för några dagar sedan om att hitta på bus med säkerhetsfrågor – den typ av frågor man måste ge ett svar på för att sedan kunna användas för att autenticera sig om det skulle behövas. Några av Schneiers förslag på frågor och svar är:

Q: Do you know why I think you’re so sexy?
A: Probably because you’re totally in love with me.

Q: Need any weed? Grass? Kind bud? Shrooms?
A: No thanks hippie, I’d just like to do some banking.

Q: The Penis shoots Seeds, and makes new Life to poison the Earth with a plague of men.
A: Go forth, and kill. Zardoz has spoken.

Q: What the hell is your fucking problem, sir?
A: This is completely inappropriate and I’d like to speak to your supervisor.

Q: I’ve been embezzling hundreds of thousands of dollars from my employer, and I don’t care who knows it.
A: It’s a good thing they’re recording this call, because I’m going to have to report you.

Q: Are you really who you say you are?
A: No, I am a Russian identity thief.

Naturligtvis hakar en massa läsare på och kommentarerna till Schneiers postning innehåller en del riktigt roliga – och en del riktigt bra frågor. För själva poängen är att om dessa frågor och svar skall vara bra säkerhetsmässigt skall dom inte vara enkla att gissa.

Naturligtvis var det mer än en som kom på att man skulle kunna använda dessa frågor som ett sätt att försöka attackera en tjänst, detta då det man matar in antagligen skickas rätt in i en databas. En som redan tänkt i dessa banor är Randall Munroe, skaparen av serien XKCD:
XKCD - Litte Bobby Tables.

Men nu visar det sig att detta antagligen hänt i verkligheten. BoingBoing har en postning om att banken The Sacramento Credit Union har följande information om vad som gäller för hemliga fraser:

The answers to your Security Questions are case sensitive and cannot contain special characters like an apostrophe, or the words “insert,” “delete,” “drop,” “update,” “null,” or “select.”

Gissningsvis har dom lärt sig detta den hårda vägen…

SHA-3 (sången, inte hashfunktionen)

April 27th, 2010

Sprang på en film på Youtube som visar att allt inte är torrt och seriöst på konferenser som Eurocrypt. Här är The SHA-3 Song:

Köp datorspel – sälj din själ

April 18th, 2010

Fox News rapporterar att en brittisk återförsäljare lagt beslag på 7500 kunders själar.

Sälj din själ.

Enligt artikeln hade återförsäljaren GameStation lagt in en klausul i sitt avtal om att kunderna vid köp av ett spel även skrev bort sin juridiska rätt till sin själ. Stycket i avtalet löd:


“By placing an order via this Web site on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant Us a non transferable option to claim, for now and for ever more, your immortal soul. Should We wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamesation.co.uk or one of its duly authorised minions.”
...
“we reserve the right to serve such notice in 6 (six) foot high letters of fire, however we can accept no liability for any loss or damage caused by such an act. If you a) do not believe you have an immortal soul, b) have already given it to another party, or c) do not wish to grant Us such a license, please click the link below to nullify this sub-clause and proceed with your transaction.”

Avtaltstexten lades in som ett första april-skämt, men GameStation vill även visa på en viktig poäng – folk läser inte avtalen de godkänner. GameStation kommer att skicka ut brev till sina kunder där sektionen i avtalet tas bort.

Det stora bekymret med den här typen av avtal är att det är så långa och krångliga att det som vanlig dödlig, icke-jurist knappast klarar av att läsa och begripa implikationerna (även om man nog fattat GameStations avtalstext). När Apple uppdaterade avtalet för iTunes för iPhone fick jag upp ett dokument på telefonen på 75(!) sidor att läsa igenom. I stort sett en DoS-attack på sina kunder att skicka ut en sådan text. Även Facebook, Google m.fl. har fått kritik för sina långa avtal.

I sammanhanget tycker jag att det arbete Alan Siegel gjort och som han presenterade på TED är helt rätt:

En riktigt besvärlig CAPTCHA

March 5th, 2010

Det här (ett skämt) skulle vara en riktigt besvärlig CAPTCHA:
Besvärlig CAPTCHA
... Och den skulle väl antagligen bara fungera så länge som ingen maskin klarat av Turingtestet.

Ännu ett finfint phisingförsök

February 6th, 2009

Fick ett mail med ett finfint phisingförsök för ett par dagar sedan:

Titel: Upgrade Your ltu.se Email


The Helpdesk Program that periodically checks the size of your e-mail space is sending you this information. The program runs weekly to ensure your inbox does not grow too large, thus preventing you from receiving or sending new e-mail. As this message is being sent, you have 18 megabytes (MB) or more stored in your inbox. To help us reset your space in our database, please enter your current user name

(_________________) password (_______________)

You will receive a periodic alert if your inbox size is between 18 and 20 MB. If your inbox size is 20 MB, a program on your Webmail will move your oldest e-mails to a folder in your home directory to ensure you can continue receiving incoming e-mail. You will be notified this has taken place.

If your inbox grows to 25 MB, you will be unable to receive new e-mail and it will be returned to sender. All this is programmed to ensure your e-mail continues to function well.

Thank you for your cooperation.
Help Desk.
Important: Email Account Verification Update ! ! !

Visst är det fint med väl markerade ställen att skriva i identitet och lösenord. Men mailquota? På 25 MBye? 2009? Jösses, var fick dom det konceptet ifrån….

Skall man vara ärlig och lite allvarlig var detta inte det sämsta phisingförsöket jag sett (den här, också riktad mot LTU-användare är mycket sämre.). Språket är bra och LTU har många utländska anställda och studenter så ett mail från Help Desk på engelska är rimligt.

Men ett phisingmail måste innehålla någon slags problem som mailet försöker uppmärksamma offret på. Och även om det handlar om webbmail tillhandahållet av ett universitet känns mailquota, speciellt i den storleken väldigt, väldigt gammaldags och inte speciellt trovärdigt.

Säker kommunikation från förr

November 29th, 2008

Boingboing dök det upp en länk till en sida med en helt fantastisk bild på en utrustning för att fixa säker röstkommunikation från förr:

Kryptotelefon från förr

Man förstår att hon ser så glad ut när man får använda en sån fräck pryl. Och bara 275 USD! Vad är väl Sectras Tigertelefoner mot detta?.

Maskinen verkar vara portabel då den har egen matning. Uppenbarligen används någon slags symmetrisk skramlingsteknik då maskinen behöver paras ihop med en annan maskin för att skapa en säker förbindelse. Att döma av annonsen är det Delcon Division, en gammal del av HP som sätter koden/nyckeln i maskinen. Notera att dom påpekar att koden är inlåst i deras valv.

Sökte lite på Delcon Division och fick bland annat upp länkar till gamla nummer av HP Journal från 1967 med artiklar om ultraljudsutrustning skrivet av folk från Delcon Division.

Avslöjande bilder på flygplatser i USA

October 27th, 2008

På Boingboing finns en tråd om det nya röntgen/genomlysnings/scannersystem som TSA i USA håller på att skaffa för att kunna se vad flygpassagerare gömmer under kläderna. Tråden på Boingboing pekar på en artikel hos Spiegel Online med lite avslöjande bilder.

TSA-snubbe kollar på pr0n.
Så här ser det ut när TSAs personal tittar på pr0n.

Passagerare i TSAs maskin.
En stackars passagerare instängd i TSAs maskin.

Passagerareren - nu på bild.
Samma passagerare så som TSAs anställda ser henne.

En annan passagerar som fastnat hos TSA.
En annan passagerare som fastnat i TSAs maskin.

Ännu en vacker bild.
Ytterligare en potentiell skurk som fastnat.

Allvarligt talat, kan man komma mycket närmare ett flagrant exempel på intrång i den personliga integriteten?

Är det detta vi måste stå ut med för att flyga? Och om du tror att detta egentligen löser ett säkerhetsproblem, läs Bruce Schneiers postningar om säkerhetskontroller på flygplatser och verklig säkerhet.

Risken att den här tekniken verkligen stoppar en terrorist är extremt liten – det kommer inte att ske. Risken att bilder på folk tagna i maskinen läcker ut och på olika sätt ställer till med obehag, används för utpressning och andra, mindre spektakulära brott däremot är antagligen rätt stor.

XKCD om kopieringsskydd

October 14th, 2008

XKCD, en ypperligt nördig, filosofisk och rolig nätserie har en bild på varför kopieringsskydd (DRM) leder till ökad piratkopiering:

XKCD om kopieringsskydd.

Kopieringsskydd flyttar över rätten till (legal) användning till mediaföretagens väl och ve, och i kombination med lagstiftning som försöker skydda DRM-systemen blir det svårt för konsumenter att använda legalt anförskaffat media.

Ett exempel på hur absurt det kan bli i verkligheten är det DRM-system varahuskedjan Wal*Mart lanserade i USA och där kundernas mediaspelare behövde kontakta en server hos Wal*Mart för att mediat skulle gå att spela upp. När Wal*Mart, bestämde sig för att spara pengar genom att stänga av servern innebar detta att kundernas inköpta DRM-skyddade media skulle bli oanvändbar. Efter kritik har nu Wal*Mart ändrat sig och lovar att hålla liv i servern för evigt. Eller i alla fall en stund till…

Danske Banks hemska webbapplikation

September 12th, 2008

Kollegan Kalle tipsade för ett tag sedan om en tråd på DailyWTF om den hemska webbapplikation som Danske Banke introducerade i Finland efter köpet av Sampo. Värt att läsa om man vill se ett IT-projekt som uppenbarligen gick snett från början.

SampoBank

Det finns även en Wiki som samlar information om alla hemskheter i SampoApplet. Bland detaljerna man kan hitta där finns en lista på vad SampoApplet försöker samla information om i GNU/Linux:


/proc/asound/cards
/proc/cpuinfo
/proc/ide0/hda
/proc/ide1/hdc
/proc/ide2/hdb
/proc/ide3/hdd
/proc/ide/hda
/proc/ide/hdb
/proc/ide/hdc
/proc/ide/hdd
/proc/meminfo
/proc/partitions
/proc/pci
/proc/sys/kernel/hostname
/proc/version

Vad skall banken med information om CPU och hårddisk-partitioner till? Motsvarande saker gäller i Windows och på Mac.

Märklig kod för slumpmässig header

June 3rd, 2008

DailyWTF dök det upp en postning om en märklig kod som försöker åstadkomma slumpmässiga headrar. Koden i fråga ser ut så här:

Dim rNumber As Integer = 0
rNumber = RandomNumber(13, 1)
Select Case rNumber
Case 0

Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 1 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 2 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 3 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 4 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 5 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 6 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 7 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 8 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 9 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 10 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case 11 Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
Case 12 Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"
Case Else
Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"
End Select

(Que pasa? WTF?! Eller på Dalsländska: Ööööööö...)

Personen som postade koden hade pratat med personen som skrivit koden, och motiveringen till koden var:


It makes it more random because you get more repeats when you select from two random numbers than you do with thirteen.

Nära skjuter ingen hare…