VPN-leverantör flyr Sydkorea inför eventuellt tillslag

Private Internet Access drar sig ur Sydkorea. Det meddelar den amerikanska VPN-leverantören på sin blogg.

Beslutet kommer efter att företaget fått information om att sydkoreanska myndigheter kommer att gå in i serverhallen i morgon – den 24 januari 2018 – för att spegla PIAs servrar. PIA har därför tagit servrarna ur bruk och raderat allt innehåll från dem.

Private Internet Access har tidigare dragit sig ur Ryssland för att de inte kunnat garantera sina användares integritet. Enligt en intervju med företagets vd Ted Kim följer företaget situationen i Storbritannien noggrant sedan införandet av Investigatory Powers Act 2016 – lagen som fått öknamnet ”Snooper’s Charter”.

Samtidigt i Kina

Det finns uppgifter om att Kina ska ha dragit åt snaran ytterligare kring användande av VPN-tjänster. Företag som använder VPN-tjänster måste registrera sig, annars kommer internetleverantören att blockera deras åtkomst till webben, enligt uppgifterna. Det är oklart om dessa eventuella regleringar även gäller privatpersoner.

VPN-tjänster har existerat i en juridisk gråzon i Kina. Så sent som i december 2017 fick en man som drev en VPN-tjänst fem års fängelse, men samtidigt har myndigheterna sett genom fingrarna på företag som använt VPN-tjänster.

Det har tidigare rapporterats att kinesiska internetleverantörer beordrats blockera privatpersoners användande av VPN från den 1 februari 2018.

VPN betyder Virtual Private Network och är ett sätt att undgå övervakning genom att låta ens internettrafik gå genom en server placerad i annat land, till exempel.

Transparens

Svenska 5 juli-stiftelsen, som står bakom nyhetsbloggen Femte juli, driver Integrity VPN.

India ID leak Aadhaar

Indiens ID-databas läckt – för 64 kronor

Indiska tidningen The Tribune lyckades få adminaccess till landets databas med över en miljard medborgares ID-uppgifter. En reporter på tidningen lyckades köpa inloggningsuppgifterna för 500 rupier, vilket motsvarar 64 kronor.

Buzzfeed spårade upp försäljaren, som berättade att han själv köpt tillgång till databasen för 6000 rupier (772 kronor). Denna summa lät honom skapa ett obegränsat antal adminkonton, som han nu höll på att sälja vidare för 500 rupier styck för att nå breakeven och förhoppningsvis börja tjäna pengar på sin investering.

Indiska regeringen gick ut och kallade The Tribunes scoop för ”fake news”:

Den här historien må vara extrem, men den visar på hur system för lagring av känsliga uppgifter aldrig är säkrare än de människor som handhar dem. På amerikanska Department of Homeland Security är det till exempel anställda (eller tidigare anställda) som står för de flesta läckorna.

Historien visar också hur ”fake news” används på ett allt mer lättvindigt sätt av regeringar som är missnöjda med vad fria medier rapporterar. Det kan vara värt att ha i bakhuvudet när demokratier som Tyskland och Frankrike vill förbjuda information de klassar som ”fake news”.

Huvudbilden är ett montage av foton av bill wegener och Marius MasalarUnsplash.

Sprid budskapet om lösenordshanterare!

Du som följer den här nyhetsbloggen är förmodligen mer tekniskt insatt än gemene man. Du är den som hjälper dina vänner med allt från att förklara vad nätneutralitet är till att installera en ny skrivare.

Kanske har du, som jag, under minst något decennium ständigt upprepat det här mantrat för dina tekniskt mindre bevandrade vänner: Backup, backup, backup! Jag säger det hellre för många än för få gånger. Jag vill inte höra från ännu en författare att hela romanen försvunnit. ”Vadå backup?” Och den som en gång blivit bränd sprider budskapet till sina bekanta för att andra inte ska åka på samma smäll.

Numera har folk i allmänhet kommit över den digitala barnsjukdomen att inte säkerhetskopiera. En medvetenhet har spritt sig, även bland tekniska dilettanter. Och så har det ju blivit så enkelt för vanligt folk att säkerhetskopiera – Apple och andra leverantörer gör det automatiskt genom Icloud och liknande tjänster som är påkopplade per default.

Nu, mina tekniska vänner, är det dags för nästa folkkampanj: Lösenordshanterare.

Folk måste sluta använda samma lösenord överallt. Att få sitt konto hackat för tio år sedan var visserligen inte roligt, men i dag är det en närmast existentiell katastrof. Ändå fortsätter folk välja idiotlösenord – här är topplistan över läckta lösenord för 2017, sammanställd av Motherboard:

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

En lösenordshanterare slumpar fram olika lösenord för varje sajt och du kan själv välja hur långt och komplicerat lösenordet ska vara. Det enda du behöver komma ihåg är huvudlösenordet, förslagsvis en lång mening som du aldrig glömmer. Resten sköts automatiskt – du ser aldrig lösenorden!

Många lösenordshanterare kommer med plugins till webbläsare, som i idealfallet gör inloggandet både smidigt och säkert. Dock bör man vara försiktig med autofill-funktionen; såväl webbläsare som tredjepartsplugins loggar in användaren automatiskt, vilket kan utnyttjas av annonsörer. Här måste man ge kanadensiska företaget Agilebits och deras lösenordshanterare 1password respekt, eftersom de av säkerhetsskäl vägrat införa autofill trots att många användare vill ha det, enligt en talesperson:

People ask us for automatic autofill, it’s a commonly requested feature. People post on our forums saying ’your competitors have automatic autofill and you don’t. I need this feature.’ They like the idea of going to a website and just being logged in.

Men även om olyckan skulle vara framme och ett lösenord blir kidnappat genom något elakt script på någon sajt, så gör en lösenordshanterare att detta lösenord i vilket fall inte används på någon annan sajt. Princetonforskaren Gunes Acar, som författade studien om hur annonsörer kan utnyttja autofillfunktionen, säger:

I think password managers in general are a positive security feature—password reuse is a big problem. But the defaults [to autofilling] should be reconsidered, users should be in the loop.

Läs mer om studien och om 1passwords resonerande i Wireds artikel med den talande titeln: GET A PASSWORD MANAGER. NO MORE EXCUSES.

Meltdown och Spectre – så farliga är veckans säkerhetshål

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Starbucks använde sitt ”gratis wifi” till att bryta kryptovaluta på användarnas datorer

Okej, det hände bara på en Starbucksrestaurang i Buenos Aires, Argentina, och wifileverantören har nu fått en åthutning av den amerikanska kaffekedjan.

Det var Noah Dinkin som uppmärksammade beteendet i en tweet den 2 december 2017:

Starbucks svarade den 11 december 2017:

Men ändå, händelsen visar hur utsatt man är som användare av gratis wifi.

Vem vet vad som händer på andra Starbucksrestauranger – eller på andra firmors publika trådlösa nätverk för den delen.

Att bryta kryptovaluta på wifianvändarnas datorer måste man säga har en viss nivå av originalitet. Att bara spionera på kundernas trafik är betydligt lättare och säkert vanligt förekommande.

Läs hela historien hos Motherboard: Starbucks Wi-Fi Hijacked People’s Laptops to Mine Cryptocurrency

Apple tätar galen säkerhetsläcka

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

macos_highsierra_hole2

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.

Macanvändare, varning för Proton!

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

USA vill ställa man i Iran inför rätta för att ha hotat lägga ut spoilers till Game of Thrones

En 29-årig man i Iran hackade sig in i amerikanska tevekanalen HBOs nätverk och hittade information om handlingen i teveserier, bland andra ”Game of Thrones” och ”Curb Your Enthusiasm”, som inte sänts klart än. Han krävde företaget på 6 miljoner dollar i bitcoin, annars skulle han lägga ut spoilers på nätet.

Nu drar amerikanska åklagare mannen inför rätta, skriver Techcrunch.

USA kan förstås inte göra vad de vill med utländska medborgare i utlandet, så åtalet ska kanske ses symboliskt. Kanske är det amerikansk frustration som avspeglas i det frodiga språkbruket i åtalet.

FBI uttalar sig så här om 29-åringen:

In the simplest of terms, he lurked in the alleyways of the Internet, identified the vulnerabilities of his victim, and pickpocketed their information from thousands of miles away. After he had successfully identified their proprietary secrets, he held their future for ransom.  Today’s charges show that international cybercriminals are never beyond the reach of U.S. laws.

Och åklagaren säger så här:

Mesri now stands charged with federal crimes, and although not arrested today, he will forever have to look over his shoulder until he is made to face justice.

Åklagaren fortsätter:

American ingenuity and creativity is to be cultivated and celebrated — not hacked, stolen, and held for ransom.  For hackers who test our resolve in protecting our intellectual property — even those hiding behind keyboards in countries far away — eventually, winter will come.

Det kan i sammanhanget vara intressant att veta hur den 29-årige iraniern tog sig in i HBOs system. Det ska ha skett via de anställda på kanalen, vars privata konton iraniern hackade.

Amerikansk ”genialitet och kreativitet” ska givetvis ”odlas och hyllas”, som åklagaren skriver – just ”Curb Your Enthusiasm” (”Simma lugnt, Larry”) tillhör mina egna absoluta favoriter bland teveserier.

Men kanske bör företag som vill behålla sina hemligheter i fred inte bara lita till polis och åklagare (som i åtalet nämner, ”for informational purposes only”, att maxstraffet för överföringsbedrägeri är 20 års fängelse) – utan också se över sina anställdas säkerhetsrutiner.

Uber betalade utpressare 100 000 dollar för att hålla tyst om 57 miljoner läckta användarkonton

I oktober 2016 lyckades hackare få tillgång till uppgifter om 57 miljoner användare av det amerikanska företaget Ubers app för samåkning.

Bland uppgifterna fanns användarnas namn, mejladresser, telefonnummer och i vissa fall även information om körkort och registreringsnummer, eftersom 7 miljoner konton tillhörde förare.

Hackarna kontaktade Uber och begärde 100 000 dollar för att inte läcka uppgifterna.

Nu har det visat sig att Uber gick med på kravet, rapporterar Bloomberg. Dåvarande vd Travis Kalanick lät Ubers säkerhetsavdelning förhandla med hackarna, som företaget nu antar har raderat alla uppgifter.

Nuvarande vd Dara Khosrowshahi skriver i ett uttalande:

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Den där sista meningen är intressant. Menar Uber alltså att 57 miljoner konton kan läcka utan att företagets infrastruktur anses knäckt? Det är kanske dags att börja inkludera molntjänster från tredje part i begreppet, annars betyder det ju ingenting.

Ubers säkerhetschef Joe Sullivan sparkades när händelsen uppdagades.