Meltdown och Spectre – så farliga är veckans säkerhetshål

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Starbucks använde sitt ”gratis wifi” till att bryta kryptovaluta på användarnas datorer

Okej, det hände bara på en Starbucksrestaurang i Buenos Aires, Argentina, och wifileverantören har nu fått en åthutning av den amerikanska kaffekedjan.

Det var Noah Dinkin som uppmärksammade beteendet i en tweet den 2 december 2017:

Klicka här för att visa innehåll från Twitter

Starbucks svarade den 11 december 2017:

Klicka här för att visa innehåll från Twitter

Men ändå, händelsen visar hur utsatt man är som användare av gratis wifi.

Vem vet vad som händer på andra Starbucksrestauranger – eller på andra firmors publika trådlösa nätverk för den delen.

Att bryta kryptovaluta på wifianvändarnas datorer måste man säga har en viss nivå av originalitet. Att bara spionera på kundernas trafik är betydligt lättare och säkert vanligt förekommande.

Läs hela historien hos Motherboard: Starbucks Wi-Fi Hijacked People’s Laptops to Mine Cryptocurrency

Apple tätar galen säkerhetsläcka

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Klicka här för att visa innehåll från Twitter

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

macos_highsierra_hole2

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Klicka här för att visa innehåll från Twitter

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.

Macanvändare, varning för Proton!

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

USA vill ställa man i Iran inför rätta för att ha hotat lägga ut spoilers till Game of Thrones

En 29-årig man i Iran hackade sig in i amerikanska tevekanalen HBOs nätverk och hittade information om handlingen i teveserier, bland andra ”Game of Thrones” och ”Curb Your Enthusiasm”, som inte sänts klart än. Han krävde företaget på 6 miljoner dollar i bitcoin, annars skulle han lägga ut spoilers på nätet.

Nu drar amerikanska åklagare mannen inför rätta, skriver Techcrunch.

USA kan förstås inte göra vad de vill med utländska medborgare i utlandet, så åtalet ska kanske ses symboliskt. Kanske är det amerikansk frustration som avspeglas i det frodiga språkbruket i åtalet.

FBI uttalar sig så här om 29-åringen:

In the simplest of terms, he lurked in the alleyways of the Internet, identified the vulnerabilities of his victim, and pickpocketed their information from thousands of miles away. After he had successfully identified their proprietary secrets, he held their future for ransom.  Today’s charges show that international cybercriminals are never beyond the reach of U.S. laws.

Och åklagaren säger så här:

Mesri now stands charged with federal crimes, and although not arrested today, he will forever have to look over his shoulder until he is made to face justice.

Åklagaren fortsätter:

American ingenuity and creativity is to be cultivated and celebrated — not hacked, stolen, and held for ransom.  For hackers who test our resolve in protecting our intellectual property — even those hiding behind keyboards in countries far away — eventually, winter will come.

Det kan i sammanhanget vara intressant att veta hur den 29-årige iraniern tog sig in i HBOs system. Det ska ha skett via de anställda på kanalen, vars privata konton iraniern hackade.

Amerikansk ”genialitet och kreativitet” ska givetvis ”odlas och hyllas”, som åklagaren skriver – just ”Curb Your Enthusiasm” (”Simma lugnt, Larry”) tillhör mina egna absoluta favoriter bland teveserier.

Men kanske bör företag som vill behålla sina hemligheter i fred inte bara lita till polis och åklagare (som i åtalet nämner, ”for informational purposes only”, att maxstraffet för överföringsbedrägeri är 20 års fängelse) – utan också se över sina anställdas säkerhetsrutiner.

Uber betalade utpressare 100 000 dollar för att hålla tyst om 57 miljoner läckta användarkonton

I oktober 2016 lyckades hackare få tillgång till uppgifter om 57 miljoner användare av det amerikanska företaget Ubers app för samåkning.

Bland uppgifterna fanns användarnas namn, mejladresser, telefonnummer och i vissa fall även information om körkort och registreringsnummer, eftersom 7 miljoner konton tillhörde förare.

Hackarna kontaktade Uber och begärde 100 000 dollar för att inte läcka uppgifterna.

Nu har det visat sig att Uber gick med på kravet, rapporterar Bloomberg. Dåvarande vd Travis Kalanick lät Ubers säkerhetsavdelning förhandla med hackarna, som företaget nu antar har raderat alla uppgifter.

Nuvarande vd Dara Khosrowshahi skriver i ett uttalande:

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Den där sista meningen är intressant. Menar Uber alltså att 57 miljoner konton kan läcka utan att företagets infrastruktur anses knäckt? Det är kanske dags att börja inkludera molntjänster från tredje part i begreppet, annars betyder det ju ingenting.

Ubers säkerhetschef Joe Sullivan sparkades när händelsen uppdagades.

FBI kan ha klantat sig i avkrypteringen av Sutherland Springs-skyttens iphone

Enligt obekräftade källor ska den misstänkte gärningsmannen i söndagens skjutning i Sutherland Springs, Texas, USA, ha haft en iphone, och enligt andra källor ska FBI inte ha kontaktat Apple under de första 48 timmarna efter gärningsmannens död för att få hjälp med att låsa upp denna iphone, rapporterar Reuters:

The delay may prove important. If Kelley had used a fingerprint to lock his iPhone, Apple could have told officials they could use the dead man’s finger to unlock his device, so long as it had not been powered off and restarted.

Vem vet, kanske behövde inte FBI Apples hjälp med att förstå att de kunde låsa upp telefonen med den dödes finger.

Men nyheten ska ses mot bakgrund av ”slaget om krypteringen” som utkämpades mellan FBI och Apple efter San Bernardino-skjutningen 2015, då FBI krävde att Apple skulle utveckla verktyg för att avkryptera innehållet i en telefon som använts av en av gärningsmännen. Apple vägrade och företagets vd Tim Cook skrev ett öppet brev till kunderna där han förklarade Apples beslut.

Kan Apple och Google se dina privata porrbilder?

Frågan ställs av Techcrunch med anledning av dessa företags till synes magiska förmåga att tagga användarnas foton med de föremål de innehåller. (Jag verkar inte ha den funktionen på min ipad, men iphoneanvändare kanske vet vad som menas.)

Techcrunch förklarar att inga bilder skickas till företagen för analys – algoritmerna är numera så sofistikerade och optimerade att de arbetar lokalt på våra telefoner.

Men vem vet. Techcrunch lovar återkomma med företagens svar på frågor om hur de behandlar användarnas data.

Vad man också bör vara uppmärksam på är vilka friheter enskilda appar tar sig, efter att man gett dem tillgång till telefonens foton eller rentav dess kamera.

En utvecklare med kopplingar till Google visade nyligen hur en iphoneapp med kamerarättigheter teoretiskt sett kan ta bilder utan att användaren märker det, och direkt ladda upp dessa bilder.

Frågan är dock om en sådan app skulle slinka igenom Apples strikta godkännandeprocess. Samma idé i en androidtelefon är kanske mer realistisk.

Tacka NSA för de senaste utpressningsvirusen

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.