Efail

EFAIL är här – avaktivera din PGP-plugin!

Tyska forskare har upptäckt en sårbarhet i PGP, den 27 år gamla krypteringsstandarden för epost. På webbplatsen Efail.de presenterar de sina resultat, som i korthet går ut på att en angripare kan passa på och läsa krypterade mejl efter att användarens epostklient avkrypterat dem genom ett insticksprogram (plugin) för PGP. Rådet är därför att tillsvidare avaktivera sådana insticksprogram.

Amerikanska Electronic Frontier Foundation sammanfattar denna potentiella megafail och berättar att de själva förlitar sig på PGP i sin kommunikation – både internt och externt.

Tills sårbarheten är tätad gör man bäst i att kryptera och avkryptera manuellt, eller kommunicera över andra krypterade kanaler. OTR-krypterad XMPP-chatt är ett bra alternativ – använd gärna 5 juli-stiftelsens jabberserver!

Podcast: Premiär för boksnack!

5 juli-podden goes bokcirkel, typ, och först ut är Kevin Mitnicks bok The Art of Invisibility.

Boken blir vår utgångspunkt för ett samtal om personlig it-säkerhet: Truecrypt och Veracrypt, evil maid- och cold boot-attacker, USB rubber ducky och inte minst de ack så viktiga USB-kondomerna.

Är boken då läsvärd? Nej. Varför får du höra i avsnittet.

Vi nämner även boken Dark Territory: The Secret History of Cyber War av Fred Kaplan.

Githubprojektet vi nämner är sshluks: LUKS crypto containers over SSHFS on untrusted remote storage.

Vi hälsar Karl Ståhl välkommen till 5 juli-podden, som leds av Karl Andersson som en del av 5 juli-stiftelsens arbete för ett fritt internet.

Inspelat i Stockholm och Berlin fredagen den 16 februari 2018.

Ladda ner

68: Premiär för boksnack! (MP3)

Strava global heatmap

Data från fitnessappar kan avslöja militärer

Fitnessappen Strava har hamnat i blåsväder sedan det visat sig att deras globala ”heat map” visar var amerikanska soldater i krigsområden tar sin morgonjogg. Washington post förklarar hur:

In war zones and deserts in countries such as Iraq and Syria, the heat map becomes almost entirely dark — except for scattered pinpricks of activity. Zooming in on those areas brings into focus the locations and outlines of known U.S. military bases, as well as of other unknown and potentially sensitive sites — presumably because American soldiers and other personnel are using fitness trackers as they move around.

En heat map – eller värmekarta – visar vilka sträckor som är mest populära bland appens användare; ju fler som använt sin GPS för sin cykeltur eller löprunda på en viss väg, desto tydligare syns den vägen på kartan. Så här ser Stravas heat map för centrala Stockholm ut:

Strava heat map Stockholm

Strava har nu svarat på kritiken genom att be användarna i känsliga områden att göra sina aktiviteter privata – då används de inte i värmekartan nämligen. Företaget antyder också att de kan komma att samarbeta med militären:

We take the safety of our community seriously and are committed to working with military and government officials to address sensitive areas that might appear.

Slutligen tipsar Strava sina användare om en äldre bloggpost som visar hur man gör sin profil eller sina aktiviteter privata.

Kommentar

Det finns fler skäl än militära hänsyn att se över sina inställningar i GPS-appar. Skulle det till exempel vara möjligt att försäkringsbolag använder ens GPS-data i en rättegång efter en olycka för att leda i bevis att man cyklat alldeles för fort – vid olyckstillfället eller kanske i största allmänhet? Att man cyklat mot enkelriktat eller har för vana att undvika cykelbanor? Tja, vem vet. GPS-apparna är ännu i sin linda, men själv har jag som mångårig användare av just Strava sedan länge gjort min profil privat.

VPN-leverantör flyr Sydkorea inför eventuellt tillslag

Private Internet Access drar sig ur Sydkorea. Det meddelar den amerikanska VPN-leverantören på sin blogg.

Beslutet kommer efter att företaget fått information om att sydkoreanska myndigheter kommer att gå in i serverhallen i morgon – den 24 januari 2018 – för att spegla PIAs servrar. PIA har därför tagit servrarna ur bruk och raderat allt innehåll från dem.

Private Internet Access har tidigare dragit sig ur Ryssland för att de inte kunnat garantera sina användares integritet. Enligt en intervju med företagets vd Ted Kim följer företaget situationen i Storbritannien noggrant sedan införandet av Investigatory Powers Act 2016 – lagen som fått öknamnet ”Snooper’s Charter”.

Samtidigt i Kina

Det finns uppgifter om att Kina ska ha dragit åt snaran ytterligare kring användande av VPN-tjänster. Företag som använder VPN-tjänster måste registrera sig, annars kommer internetleverantören att blockera deras åtkomst till webben, enligt uppgifterna. Det är oklart om dessa eventuella regleringar även gäller privatpersoner.

VPN-tjänster har existerat i en juridisk gråzon i Kina. Så sent som i december 2017 fick en man som drev en VPN-tjänst fem års fängelse, men samtidigt har myndigheterna sett genom fingrarna på företag som använt VPN-tjänster.

Det har tidigare rapporterats att kinesiska internetleverantörer beordrats blockera privatpersoners användande av VPN från den 1 februari 2018.

VPN betyder Virtual Private Network och är ett sätt att undgå övervakning genom att låta ens internettrafik gå genom en server placerad i annat land, till exempel.

Transparens

Svenska 5 juli-stiftelsen, som står bakom nyhetsbloggen Femte juli, driver Integrity VPN.

India ID leak Aadhaar

Indiens ID-databas läckt – för 64 kronor

Indiska tidningen The Tribune lyckades få adminaccess till landets databas med över en miljard medborgares ID-uppgifter. En reporter på tidningen lyckades köpa inloggningsuppgifterna för 500 rupier, vilket motsvarar 64 kronor.

Buzzfeed spårade upp försäljaren, som berättade att han själv köpt tillgång till databasen för 6000 rupier (772 kronor). Denna summa lät honom skapa ett obegränsat antal adminkonton, som han nu höll på att sälja vidare för 500 rupier styck för att nå breakeven och förhoppningsvis börja tjäna pengar på sin investering.

Indiska regeringen gick ut och kallade The Tribunes scoop för ”fake news”:

Den här historien må vara extrem, men den visar på hur system för lagring av känsliga uppgifter aldrig är säkrare än de människor som handhar dem. På amerikanska Department of Homeland Security är det till exempel anställda (eller tidigare anställda) som står för de flesta läckorna.

Historien visar också hur ”fake news” används på ett allt mer lättvindigt sätt av regeringar som är missnöjda med vad fria medier rapporterar. Det kan vara värt att ha i bakhuvudet när demokratier som Tyskland och Frankrike vill förbjuda information de klassar som ”fake news”.

Huvudbilden är ett montage av foton av bill wegener och Marius MasalarUnsplash.

Sprid budskapet om lösenordshanterare!

Du som följer den här nyhetsbloggen är förmodligen mer tekniskt insatt än gemene man. Du är den som hjälper dina vänner med allt från att förklara vad nätneutralitet är till att installera en ny skrivare.

Kanske har du, som jag, under minst något decennium ständigt upprepat det här mantrat för dina tekniskt mindre bevandrade vänner: Backup, backup, backup! Jag säger det hellre för många än för få gånger. Jag vill inte höra från ännu en författare att hela romanen försvunnit. ”Vadå backup?” Och den som en gång blivit bränd sprider budskapet till sina bekanta för att andra inte ska åka på samma smäll.

Numera har folk i allmänhet kommit över den digitala barnsjukdomen att inte säkerhetskopiera. En medvetenhet har spritt sig, även bland tekniska dilettanter. Och så har det ju blivit så enkelt för vanligt folk att säkerhetskopiera – Apple och andra leverantörer gör det automatiskt genom Icloud och liknande tjänster som är påkopplade per default.

Nu, mina tekniska vänner, är det dags för nästa folkkampanj: Lösenordshanterare.

Folk måste sluta använda samma lösenord överallt. Att få sitt konto hackat för tio år sedan var visserligen inte roligt, men i dag är det en närmast existentiell katastrof. Ändå fortsätter folk välja idiotlösenord – här är topplistan över läckta lösenord för 2017, sammanställd av Motherboard:

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

En lösenordshanterare slumpar fram olika lösenord för varje sajt och du kan själv välja hur långt och komplicerat lösenordet ska vara. Det enda du behöver komma ihåg är huvudlösenordet, förslagsvis en lång mening som du aldrig glömmer. Resten sköts automatiskt – du ser aldrig lösenorden!

Många lösenordshanterare kommer med plugins till webbläsare, som i idealfallet gör inloggandet både smidigt och säkert. Dock bör man vara försiktig med autofill-funktionen; såväl webbläsare som tredjepartsplugins loggar in användaren automatiskt, vilket kan utnyttjas av annonsörer. Här måste man ge kanadensiska företaget Agilebits och deras lösenordshanterare 1password respekt, eftersom de av säkerhetsskäl vägrat införa autofill trots att många användare vill ha det, enligt en talesperson:

People ask us for automatic autofill, it’s a commonly requested feature. People post on our forums saying ‘your competitors have automatic autofill and you don’t. I need this feature.’ They like the idea of going to a website and just being logged in.

Men även om olyckan skulle vara framme och ett lösenord blir kidnappat genom något elakt script på någon sajt, så gör en lösenordshanterare att detta lösenord i vilket fall inte används på någon annan sajt. Princetonforskaren Gunes Acar, som författade studien om hur annonsörer kan utnyttja autofillfunktionen, säger:

I think password managers in general are a positive security feature—password reuse is a big problem. But the defaults [to autofilling] should be reconsidered, users should be in the loop.

Läs mer om studien och om 1passwords resonerande i Wireds artikel med den talande titeln: GET A PASSWORD MANAGER. NO MORE EXCUSES.

Meltdown och Spectre – så farliga är veckans säkerhetshål

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Starbucks använde sitt ”gratis wifi” till att bryta kryptovaluta på användarnas datorer

Okej, det hände bara på en Starbucksrestaurang i Buenos Aires, Argentina, och wifileverantören har nu fått en åthutning av den amerikanska kaffekedjan.

Det var Noah Dinkin som uppmärksammade beteendet i en tweet den 2 december 2017:

Starbucks svarade den 11 december 2017:

Men ändå, händelsen visar hur utsatt man är som användare av gratis wifi.

Vem vet vad som händer på andra Starbucksrestauranger – eller på andra firmors publika trådlösa nätverk för den delen.

Att bryta kryptovaluta på wifianvändarnas datorer måste man säga har en viss nivå av originalitet. Att bara spionera på kundernas trafik är betydligt lättare och säkert vanligt förekommande.

Läs hela historien hos Motherboard: Starbucks Wi-Fi Hijacked People’s Laptops to Mine Cryptocurrency

Apple tätar galen säkerhetsläcka

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

macos_highsierra_hole2

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.