Q: Do you know why I think you’re so sexy?
A: Probably because you’re totally in love with me.

Q: Need any weed? Grass? Kind bud? Shrooms?
A: No thanks hippie, I’d just like to do some banking.

Q: The Penis shoots Seeds, and makes new Life to poison the Earth with a plague of men.
A: Go forth, and kill. Zardoz has spoken.

Q: What the hell is your fucking problem, sir?
A: This is completely inappropriate and I’d like to speak to your supervisor.

Q: I’ve been embezzling hundreds of thousands of dollars from my employer, and I don’t care who knows it.
A: It’s a good thing they’re recording this call, because I’m going to have to report you.

Q: Are you really who you say you are?
A: No, I am a Russian identity thief.

Naturligtvis hakar en massa läsare på och kommentarerna till Schneiers postning innehåller en del riktigt roliga – och en del riktigt bra frågor. För själva poängen är att om dessa frågor och svar skall vara bra säkerhetsmässigt skall dom inte vara enkla att gissa.

Naturligtvis var det mer än en som kom på att man skulle kunna använda dessa frågor som ett sätt att försöka attackera en tjänst, detta då det man matar in antagligen skickas rätt in i en databas. En som redan tänkt i dessa banor är Randall Munroe, skaparen av serien XKCD:

Men nu visar det sig att detta antagligen hänt i verkligheten. BoingBoing har en postning om att banken The Sacramento Credit Union har följande information om vad som gäller för hemliga fraser:

The answers to your Security Questions are case sensitive and cannot contain special characters like an apostrophe, or the words “insert,” “delete,” “drop,” “update,” “null,” or “select.”

Gissningsvis har dom lärt sig detta den hårda vägen…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Enligt artikeln hade återförsäljaren GameStation lagt in en klausul i sitt avtal om att kunderna vid köp av ett spel även skrev bort sin juridiska rätt till sin själ. Stycket i avtalet löd:

“By placing an order via this Web site on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant Us a non transferable option to claim, for now and for ever more, your immortal soul. Should We wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamesation.co.uk or one of its duly authorised minions.”
...
“we reserve the right to serve such notice in 6 (six) foot high letters of fire, however we can accept no liability for any loss or damage caused by such an act. If you a) do not believe you have an immortal soul, b) have already given it to another party, or c) do not wish to grant Us such a license, please click the link below to nullify this sub-clause and proceed with your transaction.”

Avtaltstexten lades in som ett första april-skämt, men GameStation vill även visa på en viktig poäng – folk läser inte avtalen de godkänner. GameStation kommer att skicka ut brev till sina kunder där sektionen i avtalet tas bort.

Det stora bekymret med den här typen av avtal är att det är så långa och krångliga att det som vanlig dödlig, icke-jurist knappast klarar av att läsa och begripa implikationerna (även om man nog fattat GameStations avtalstext). När Apple uppdaterade avtalet för iTunes för iPhone fick jag upp ett dokument på telefonen på 75(!) sidor att läsa igenom. I stort sett en DoS-attack på sina kunder att skicka ut en sådan text. Även Facebook, Google m.fl. har fått kritik för sina långa avtal.

I sammanhanget tycker jag att det arbete Alan Siegel gjort och som han presenterade på TED är helt rätt:

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Titel: Upgrade Your ltu.se Email

The Helpdesk Program that periodically checks the size of your e-mail space is sending you this information. The program runs weekly to ensure your inbox does not grow too large, thus preventing you from receiving or sending new e-mail. As this message is being sent, you have 18 megabytes (MB) or more stored in your inbox. To help us reset your space in our database, please enter your current user name

(_________________) password (_______________)

You will receive a periodic alert if your inbox size is between 18 and 20 MB. If your inbox size is 20 MB, a program on your Webmail will move your oldest e-mails to a folder in your home directory to ensure you can continue receiving incoming e-mail. You will be notified this has taken place.

If your inbox grows to 25 MB, you will be unable to receive new e-mail and it will be returned to sender. All this is programmed to ensure your e-mail continues to function well.

Thank you for your cooperation.
Help Desk.
Important: Email Account Verification Update ! ! !

Visst är det fint med väl markerade ställen att skriva i identitet och lösenord. Men mailquota? På 25 MBye? 2009? Jösses, var fick dom det konceptet ifrån….

Skall man vara ärlig och lite allvarlig var detta inte det sämsta phisingförsöket jag sett (den här, också riktad mot LTU-användare är mycket sämre.). Språket är bra och LTU har många utländska anställda och studenter så ett mail från Help Desk på engelska är rimligt.

Men ett phisingmail måste innehålla någon slags problem som mailet försöker uppmärksamma offret på. Och även om det handlar om webbmail tillhandahållet av ett universitet känns mailquota, speciellt i den storleken väldigt, väldigt gammaldags och inte speciellt trovärdigt.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Man förstår att hon ser så glad ut när man får använda en sån fräck pryl. Och bara 275 USD! Vad är väl Sectras Tigertelefoner mot detta?.

Maskinen verkar vara portabel då den har egen matning. Uppenbarligen används någon slags symmetrisk skramlingsteknik då maskinen behöver paras ihop med en annan maskin för att skapa en säker förbindelse. Att döma av annonsen är det Delcon Division, en gammal del av HP som sätter koden/nyckeln i maskinen. Notera att dom påpekar att koden är inlåst i deras valv.

Sökte lite på Delcon Division och fick bland annat upp länkar till gamla nummer av HP Journal från 1967 med artiklar om ultraljudsutrustning skrivet av folk från Delcon Division.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Så här ser det ut när TSAs personal tittar på pr0n.

En stackars passagerare instängd i TSAs maskin.

Samma passagerare så som TSAs anställda ser henne.

En annan passagerare som fastnat i TSAs maskin.

Ytterligare en potentiell skurk som fastnat.

Allvarligt talat, kan man komma mycket närmare ett flagrant exempel på intrång i den personliga integriteten?

Är det detta vi måste stå ut med för att flyga? Och om du tror att detta egentligen löser ett säkerhetsproblem, läs Bruce Schneiers postningar om säkerhetskontroller på flygplatser och verklig säkerhet.

Risken att den här tekniken verkligen stoppar en terrorist är extremt liten – det kommer inte att ske. Risken att bilder på folk tagna i maskinen läcker ut och på olika sätt ställer till med obehag, används för utpressning och andra, mindre spektakulära brott däremot är antagligen rätt stor.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Kopieringsskydd flyttar över rätten till (legal) användning till mediaföretagens väl och ve, och i kombination med lagstiftning som försöker skydda DRM-systemen blir det svårt för konsumenter att använda legalt anförskaffat media.

Ett exempel på hur absurt det kan bli i verkligheten är det DRM-system varahuskedjan Wal*Mart lanserade i USA och där kundernas mediaspelare behövde kontakta en server hos Wal*Mart för att mediat skulle gå att spela upp. När Wal*Mart, bestämde sig för att spara pengar genom att stänga av servern innebar detta att kundernas inköpta DRM-skyddade media skulle bli oanvändbar. Efter kritik har nu Wal*Mart ändrat sig och lovar att hålla liv i servern för evigt. Eller i alla fall en stund till…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Det finns även en Wiki som samlar information om alla hemskheter i SampoApplet. Bland detaljerna man kan hitta där finns en lista på vad SampoApplet försöker samla information om i GNU/Linux:

/proc/asound/cards
/proc/cpuinfo
/proc/ide0/hda
/proc/ide1/hdc
/proc/ide2/hdb
/proc/ide3/hdd
/proc/ide/hda
/proc/ide/hdb
/proc/ide/hdc
/proc/ide/hdd
/proc/meminfo
/proc/partitions
/proc/pci
/proc/sys/kernel/hostname
/proc/version

Vad skall banken med information om CPU och hårddisk-partitioner till? Motsvarande saker gäller i Windows och på Mac.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

(Que pasa? WTF?! Eller på Dalsländska: Ööööööö...)

Personen som postade koden hade pratat med personen som skrivit koden, och motiveringen till koden var:

It makes it more random because you get more repeats when you select from two random numbers than you do with thirteen.

Nära skjuter ingen hare…

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.