Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

USA vill ställa man i Iran inför rätta för att ha hotat lägga ut spoilers till Game of Thrones

av

En 29-årig man i Iran hackade sig in i amerikanska tevekanalen HBOs nätverk och hittade information om handlingen i teveserier, bland andra ”Game of Thrones” och ”Curb Your Enthusiasm”, som inte sänts klart än. Han krävde företaget på 6 miljoner dollar i bitcoin, annars skulle han lägga ut spoilers på nätet.

Nu drar amerikanska åklagare mannen inför rätta, skriver Techcrunch.

USA kan förstås inte göra vad de vill med utländska medborgare i utlandet, så åtalet ska kanske ses symboliskt. Kanske är det amerikansk frustration som avspeglas i det frodiga språkbruket i åtalet.

FBI uttalar sig så här om 29-åringen:

In the simplest of terms, he lurked in the alleyways of the Internet, identified the vulnerabilities of his victim, and pickpocketed their information from thousands of miles away. After he had successfully identified their proprietary secrets, he held their future for ransom.  Today’s charges show that international cybercriminals are never beyond the reach of U.S. laws.

Och åklagaren säger så här:

Mesri now stands charged with federal crimes, and although not arrested today, he will forever have to look over his shoulder until he is made to face justice.

Åklagaren fortsätter:

American ingenuity and creativity is to be cultivated and celebrated — not hacked, stolen, and held for ransom.  For hackers who test our resolve in protecting our intellectual property — even those hiding behind keyboards in countries far away — eventually, winter will come.

Det kan i sammanhanget vara intressant att veta hur den 29-årige iraniern tog sig in i HBOs system. Det ska ha skett via de anställda på kanalen, vars privata konton iraniern hackade.

Amerikansk ”genialitet och kreativitet” ska givetvis ”odlas och hyllas”, som åklagaren skriver – just ”Curb Your Enthusiasm” (”Simma lugnt, Larry”) tillhör mina egna absoluta favoriter bland teveserier.

Men kanske bör företag som vill behålla sina hemligheter i fred inte bara lita till polis och åklagare (som i åtalet nämner, ”for informational purposes only”, att maxstraffet för överföringsbedrägeri är 20 års fängelse) – utan också se över sina anställdas säkerhetsrutiner.

Uber betalade utpressare 100 000 dollar för att hålla tyst om 57 miljoner läckta användarkonton

av

I oktober 2016 lyckades hackare få tillgång till uppgifter om 57 miljoner användare av det amerikanska företaget Ubers app för samåkning.

Bland uppgifterna fanns användarnas namn, mejladresser, telefonnummer och i vissa fall även information om körkort och registreringsnummer, eftersom 7 miljoner konton tillhörde förare.

Hackarna kontaktade Uber och begärde 100 000 dollar för att inte läcka uppgifterna.

Nu har det visat sig att Uber gick med på kravet, rapporterar Bloomberg. Dåvarande vd Travis Kalanick lät Ubers säkerhetsavdelning förhandla med hackarna, som företaget nu antar har raderat alla uppgifter.

Nuvarande vd Dara Khosrowshahi skriver i ett uttalande:

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Den där sista meningen är intressant. Menar Uber alltså att 57 miljoner konton kan läcka utan att företagets infrastruktur anses knäckt? Det är kanske dags att börja inkludera molntjänster från tredje part i begreppet, annars betyder det ju ingenting.

Ubers säkerhetschef Joe Sullivan sparkades när händelsen uppdagades.

FBI kan ha klantat sig i avkrypteringen av Sutherland Springs-skyttens iphone

av

Enligt obekräftade källor ska den misstänkte gärningsmannen i söndagens skjutning i Sutherland Springs, Texas, USA, ha haft en iphone, och enligt andra källor ska FBI inte ha kontaktat Apple under de första 48 timmarna efter gärningsmannens död för att få hjälp med att låsa upp denna iphone, rapporterar Reuters:

The delay may prove important. If Kelley had used a fingerprint to lock his iPhone, Apple could have told officials they could use the dead man’s finger to unlock his device, so long as it had not been powered off and restarted.

Vem vet, kanske behövde inte FBI Apples hjälp med att förstå att de kunde låsa upp telefonen med den dödes finger.

Men nyheten ska ses mot bakgrund av ”slaget om krypteringen” som utkämpades mellan FBI och Apple efter San Bernardino-skjutningen 2015, då FBI krävde att Apple skulle utveckla verktyg för att avkryptera innehållet i en telefon som använts av en av gärningsmännen. Apple vägrade och företagets vd Tim Cook skrev ett öppet brev till kunderna där han förklarade Apples beslut.

Kan Apple och Google se dina privata porrbilder?

av

Frågan ställs av Techcrunch med anledning av dessa företags till synes magiska förmåga att tagga användarnas foton med de föremål de innehåller. (Jag verkar inte ha den funktionen på min ipad, men iphoneanvändare kanske vet vad som menas.)

Techcrunch förklarar att inga bilder skickas till företagen för analys – algoritmerna är numera så sofistikerade och optimerade att de arbetar lokalt på våra telefoner.

Men vem vet. Techcrunch lovar återkomma med företagens svar på frågor om hur de behandlar användarnas data.

Vad man också bör vara uppmärksam på är vilka friheter enskilda appar tar sig, efter att man gett dem tillgång till telefonens foton eller rentav dess kamera.

En utvecklare med kopplingar till Google visade nyligen hur en iphoneapp med kamerarättigheter teoretiskt sett kan ta bilder utan att användaren märker det, och direkt ladda upp dessa bilder.

Frågan är dock om en sådan app skulle slinka igenom Apples strikta godkännandeprocess. Samma idé i en androidtelefon är kanske mer realistisk.

Tacka NSA för de senaste utpressningsvirusen

av

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.

Krack och Roca – så farliga är veckans säkerhetshål

av

Amerikanska Electronic Frontier Foundation (EFF) har publicerat en grundlig genomgång av Krack, det vill säga den sårbarhet för trådlösa nätverk som presenterades i måndags.

EFFs slutsats är att Krack inte är så farligt som man kan tro, eftersom:

Note that WPA’s privacy goals were always very limited. It was never intended to provide complete confidentiality of your data all the way to its final destination. Instead, protocols like TLS (and HTTPS) exist which protect your data end-to-end.

EFF har varit en förespråkare av krypterad webbtrafik, HTTPS, just för att komma runt risken för avlyssning i både kabel och trådlösa nät.

Krack möjliggör förvisso avlyssning av trafik, men avlyssnaren måste vara på plats med en antenn, vilket gör att tekniken är olämplig att använda i större skala. EFF menar att den krackfria avlyssning som sker på ISP-nivå är lika allvarlig.

Detta sagt, patcha upp era trådlösa routrar och enheterna som ansluter till dem, avslutar EFF.

Och hur farligt är Roca?

Just som Krack sågs som det värsta hotet presenterade tjeckiska och slovakiska forskare Roca – Return of Coppersmith’s Attack.

Roca gör det möjligt att använda den publika delen av en RSA-nyckel för att lista ut den privata delen. Attacken fungerar bara på nycklar som genererats med ett kodbibliotek utvecklat av det tyska företaget Infineon Technologies AG.

Wccftech beskriver den viktigaste skillnaden mellan Krack och Roca:

While KRACK may have been taking all of the news space, ROCA is an even bigger issue since while KRACK only works for attackers that are within range, ROCA has serious ramifications both in the government and outside.

Forskarna kommer ge närmare detaljer under en säkerhetskonferens i Dallas den 2 november.

VPN-tjänst sparade användarnas loggar och lämnade ut dem till polisen

av

I USA har VPN-tjänsten Pure VPN (ingen relation till förra artikeln) lämnat ut loggar av användarna till myndigheter, som genom dessa kunde få fast en kille som trakasserade en tjej.

Det intressanta i sammanhanget: Pure VPN hävdade att de inte sparade några loggar:

We Do Not monitor user activity nor do we keep any logs.

Händelsen understryker hur man som användare är helt utlämnad åt att lita på VPN-operatören. Det är närmast regel att VPN-leverantörer slänger sig med fraser som ”We log nothing – period” och så vidare – men vem vet hur det egentligen ligger till? Och vem som ligger bakom tjänsten?

5 juli-stiftelsen driver VPN-tjänsten Integrity VPN. Jag nämner det delvis för transparensens skull, men också för att en av grundidéerna bakom Integrity VPN var att användaren ska kunna se tydligt vilka det är som ligger bakom tjänsten (här är de). Dessa människor har alltså satsat sin trovärdighet på att leverera en seriös tjänst – de har något att förlora på ett integritetshaveri liknande det som Pure VPN orsakade. Det är den typen av öppenhet och ansvarstagande som i stort saknas i VPN-branschen.

VPN betyder Virtual Private Network och är en anonymiseringsteknik.

Är du renlärig nog för att gilla Purism?

av

Purism är företaget som vill skydda sina användares privatliv. I somras släppte Purism två bärbara datorer efter en crowdfundingkampanj som drog in 2,5 miljoner dollar.

Läs gärna denna utförliga recension av Librem 13 v2, skriven av en österrikisk utvecklare.

Nu är det dags att ta steget över till telefoner. Efter att ha crowdfundat 1,5 miljoner dollar kommer Purism att börja tillverka telefonen Librem 5:

The device promises total protection of your privacy, thanks to custom hardware, support for Linux-based software platforms (including PureOS), and features like end-to-end encrypted communications as well as hardware killswitches for the camera, Wi-Fi, Bluetooth and baseband.

”It will be a phone for the people, by the people”, säger företaget i en video.

Vad tycker ni om Purisms produkter?

Bärbara datorer är en sak och det är roligt att Purism tar upp kampen mot Apple och company där, som den nya underdogen.

Däremot har jag svårt att förstå poängen med en smartphone som värnar om sin ägares integritet. Är inte själva poängen med en denna leksak att ge upp integriteten medan man skrollar sig genom det ena flödet efter det andra? Den som verkligen värnar om integriteten skippar smartphonen helt och hållet. Att göra en smartphone integritetsvänlig är lite som att göra ett happy meal nyttigt. Det går, men … what’s the point?

Ge mig gärna mothugg.

Minns även Blackphone – ”a smartphone built to ensure privacy” – som lanserades av det schweiziska företaget Silent Circle 2014. Två år senare var företaget nära bankrutt. Numera marknadsför man bara en mobil brandvägg.

Och minns för all del också Firefox OS, det öppen källkod-baserade operativsystem för telefoner som Mozilla lanserade 2012 och lade ner 2016.

Slutsats: Folk vill inte ha integritetsvänliga telefoner. I alla fall inte när de ser ut som något från 2009 samtidigt som de stora tillverkarna överträffar varandra i bling.

Apparna som spionerar på dig

av

Att många appar för telefonen tillskansar sig mer information om användaren än de behöver är nog ingen nyhet för Femte juli-läsaren. Men exakt hur stora friheter apparna – eller deras utvecklare, rättare sagt – tar sig framkommer i ny forskning vid Karlstads universitet.

Doktoranden Nurul Momen säger till Sveriges Radio:

Även om jag inte använder appen och telefonen ligger på ett bord är apparna aktiva. De vaknar upp och tillskansar sig min privata information, vad jag har sparat, var jag har varit och så vidare. Vi vet inte varför, men det är vi intresserade att ta reda på mer om.

Momen har utvecklat ett program som visar vilka appar som är ”överprivilegierade”, till exempel genom att kräva access till telefonens mikrofon.

Programmet är ännu bara på prototypstadiet, men Momen skulle gärna se ett framtida samarbete med Konsumentverket, för att öka medvetenheten om appspionaget.

Allvarligt säkerhetshål i färska Macos 10.13 High Sierra

av

High Sierra, som den senaste versionen av Apples operativsystem Macos heter, har i dagarna gett macanvändare världen över en ny bakgrundsbild med den amerikanska bergskedjan i höstskrud. Vackert!

I övrigt låg de flesta nyheterna under huven. Vi har berättat om de nya säkerhetsfunktionerna i webbläsaren Safari, som bland annat blockerar vissa typer av cookies från alltför aggressiva annonsörer. Denna nyhet i Ios 11 har alltså nu också kommit till Macos 10.13 High Sierra.

Men allt är inte frid och fröjd. Säkerhetsanalytikern Patrick Wardle har hittat ett allvarligt säkerhetshål i funktionen Keychain, där han lyckades komma åt användares lagrade lösenord i klartext:

Normally, all Keychain information is locked down with a user’s master password. But Wardle was able to extract passwords from the Keychain without entering a master password, showing that an attacker with access to an unlocked computer might be able to steal Keychain data.

Hacket funkar även i äldre versioner av Macos. Wardle rapporterade buggen till Apple den 7 september 2017 och säger till Gizmodo att han räknar med att Apple snart släpper en patch. Tills dess kommer han inte att göra hacket offentligt.

De macanvändare som angett ett separat huvudlösenord för Keychain berörs inte av säkerhetshålet.