Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Allvarligt säkerhetshål i färska Macos 10.13 High Sierra

av

High Sierra, som den senaste versionen av Apples operativsystem Macos heter, har i dagarna gett macanvändare världen över en ny bakgrundsbild med den amerikanska bergskedjan i höstskrud. Vackert!

I övrigt låg de flesta nyheterna under huven. Vi har berättat om de nya säkerhetsfunktionerna i webbläsaren Safari, som bland annat blockerar vissa typer av cookies från alltför aggressiva annonsörer. Denna nyhet i Ios 11 har alltså nu också kommit till Macos 10.13 High Sierra.

Men allt är inte frid och fröjd. Säkerhetsanalytikern Patrick Wardle har hittat ett allvarligt säkerhetshål i funktionen Keychain, där han lyckades komma åt användares lagrade lösenord i klartext:

Normally, all Keychain information is locked down with a user’s master password. But Wardle was able to extract passwords from the Keychain without entering a master password, showing that an attacker with access to an unlocked computer might be able to steal Keychain data.

Hacket funkar även i äldre versioner av Macos. Wardle rapporterade buggen till Apple den 7 september 2017 och säger till Gizmodo att han räknar med att Apple snart släpper en patch. Tills dess kommer han inte att göra hacket offentligt.

De macanvändare som angett ett separat huvudlösenord för Keychain berörs inte av säkerhetshålet.

Striden om privatsfären

av

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.

 

Vem försöker attackera nätaktivister?

av

Amerikanska Electronic Frontier Foundations (EFF) rapport Phish for the Future går igenom de phishingförsök som människorättsaktivister på organisationerna Free Press och Fight for the Future blivit utsatta för.

Det intressanta är att det inte handlar om phishing i form av massutskick, utan om ”spear phishing” – alltså riktade phishingförsök. Angriparna har i många fall varit ihärdiga och inte gett upp om den första attacken misslyckats. Rapporten beskriver en synnerligen intrikat attack:

One attempt, which targeted Evan Greer, Campaign Director of Fight For The Future, pretended to be a question about where to find the link to buy her music, which is available online. Evan replied with a link. The attacker replied with an email in which they complained that the link was not working correctly, having replaced the link with a phishing page made to look like a Gmail login.

Andra mejl kunde innehålla clickbaitrubriker om Donald Trump, fri press, demokrati och andra beten som man hoppades att de anställda på just dessa organisationer skulle nappa på.

Frågan är vem eller vilka som ligger bakom attackerna. EFF skriver:

Although this phishing campaign does not appear to have been carried out by a nation-state actor and does not involve malware, it serves as an important reminder that civil society is under attack.

Slutligen konstaterar EFF att tvåfaktorsautentisering effektivt stoppar den här typen av phishingförsök.

Project Zero – Googles digitala insatsstyrka

av

Computer-forensics firms and investigators determined that [Google] had been hacked not through any fault of Google’s own software, but via an unpatched flaw in Microsoft Internet Explorer 6. Why, [Google co-founder Sergey Brin] wondered, should Google’s security depend on other companies’ products?

In the months that followed, Google began to get more aggressive in demanding that rivals fix flaws in their software’s code. The battles between Google and its peers soon became the stuff of legend. At the center of several of these spats was none other than bug hunter Tavis Ormandy, known for his smashmouth approach to getting flaws fixed.

Läs den fascinerande historien om hur Googles mytomspunna Project Zero bevakar webben och uppmärksammar dess aktörer på allvarliga säkerhetshål:

Fortune: Google’s Elite Hacker SWAT Team vs. Everyone (juni 2017)

Apple tar användarnas parti mot fräcka annonsörer – hyllas av EFF

av

I förrgår släpptes Ios 11, den senaste versionen av Apples operativsystem för mobila enheter som Iphone och Ipad.

En nyhet värd att uppmärksamma är det som Apple kallar ”intelligent tracking prevention”, som blockerar tredjepartscookies i webbläsaren Safari. Blockeringen är så effektiv att den fått sex amerikanska annonsörsorganisationer att protestera mot funktionen i ett öppet brev, som publicerats av Adweek (via The Guardian).

Apple kontrar med att man inte blockerar annonsörer som spelar med öppna kort, bara dem som spårar surfarna över flera webbplatser. Läs mer om tekniken hos Webkit, som är den renderingsmotor, baserad på öppen källkod, som Safari använder.

Apple hyllas nu av amerikanska Electronic Frontier Foundation (EFF), som noterar att Apple ligger i framkant i integritetsfrågorna:

Apple has been a powerful force in user privacy on a mass scale in recent years, as reflected by their support for encryption, the intelligent processing of user data on device rather than in the cloud, and limitations on ad tracking on mobile and desktop.

EFF riktar också kritik mot annonsindustrin:

Rather than attacking Apple for serving their users, the advertising industry should treat this as an opportunity to change direction and develop advertising models that respect (and not exploit) users.

Kultfakta: Den svenska knutpunktsoperatören Netnod meddelade att trafiken slog rekord klockan 19 den 19 september 2017 – se graf nedan (facebooklänk). Netnod kan inte se vad trafiken gällde, men det var just då som Ios 11 blev tillgängligt att ladda ner!

Netnod-graf över intenettrafiken i Skandinavien den 19 september 2017, när Ios 11 släpptes

Mer kultfakta: En hel del av nyheterna på Femte juli skrivs numera på en Ipad Pro med Ios 11.

Så kan hackare angripa datorer genom övervakningskamerors infraröda ljus

av

Israeliska forskare har tagit fram skadlig kod som kan använda övervakningskamerors infraröda ljus för att läcka data från datorn som koden är installerad på.

Den skadliga koden gör om de data som ska läckas till en serie ettor och nollor, som den signalerar ut genom den anslutna övervakningskamerans infraröda ljus i en hastighet av 20 bitar per sekund. Den som ska ta emot läckan filmar området som täcks av det infraröda ljuset (eftersom ljuset studsar på väggar behöver man inte ens filma själva kameran) och analyserar sedan filmen för att sätta ihop de signalerade bitarna igen.

Förutom att extrahera data på detta sätt fungerar verktyget åt andra hållet också: Genom att låta den skadliga koden i datorn bevaka strömmen från en övervakningskamera kan en angripare låta en infraröd LED blinka ut data som den skadliga koden sedan extraherar ur strömmen. Denna infiltration kan ske i hela 100 bitar per sekund.

Infrarött ljus är osynligt för människor, men används i övervakningskameror för att ge dem mörkerseende. Därmed kan såväl läcka som infiltration ske utan att närvarande människor märker något.

Lägg till detta att övervakningskameror finns typ överallt i dag, i synnerhet på ställen som anser sig ha något att skydda. Bleeping Computer skriver:

Because of today’s proliferation of CCTV and surveillance solutions, malware like aIR-Jumper could be used to steal data and control malware installed on a wide variety of networks, ranging from corporations to secure government institutions, and from police departments to advanced research labs.

Verktyget kallas Air-jumper (eller aIR-Jumper) eftersom det möjliggör dataläckage även från ”air-gapped networks”, det vill säga nätverk som är så känsliga att de inte har någon kontakt med internet – ett slags digitala luftfickor alltså.

Återstår bara att hitta ett sätt att få in den skadliga koden på datorerna i luftfickan. Något för Elliot i teveserien Mr Robot kanske.

Läs mer

Bleeping Computer: Malware Uses Security Cameras With Infrared Capabilities to Steal Data

Bakdörr hittad i populärt wordpresstillägg

av

Uppmärksamma wordpressanvändare upptäckte nyligen att det populära tillägget Display Widgets innehöll skadlig kod i sina senaste versioner. Koden gjorde det möjligt för en utomstående att ta sig in via en bakdörr och skapa nya sidor på användarens webbplats. De nya sidorna innehöll spamlänkar men visades inte för inloggade användare, vilket gjorde dem svåra för en sajts administratör att upptäcka.

WordPress är världens populäraste CMS (Content Management System) och är kanske mest känt som bloggverktyg. Tillägget Display Widgets gjorde det möjligt att välja vilka widgets som skulle visas på vilka sidor. När den skadliga koden upptäcktes och Display Widgets togs bort från WordPress officiella tilläggssamling hade tillägget 200 000 användare. (Jag var en av dem, men jag använde Display Widgets på en avsomnad sajt som var så ouppdaterad att jag inte ens hunnit uppdatera till de skadliga versionerna av tillägget.)

Det har nu visat sig att WordPress varnat tilläggets ägare tre gånger tidigare för att ha brutit mot reglerna för tillägg. WordPress har kritiserats för att inte ha gått hårt nog åt tilläggets ägare, men ta i beaktande att tilläggssamlingen underhålls av ideella krafter.

Hur gick det till?

Sajten Bleeping Computer berättar att det populära tillägget såldes i maj 2017 för 15 000 dollar och att de skadliga uppdateringarna dök upp kort därefter. Sajten går igenom varje uppdatering; hur de anmäldes och slutligen togs bort av WordPress – bara för att följas av nya uppdateringar med den skadliga koden utformad eller dold på ett annat sätt.

Vem låg bakom den skadliga koden?

Sajten Wordfence har spårat köparen av tillägget och genom ett fängslande detektivarbete tagit reda på mer om honom. Den nye ägaren av Display Widgets visar sig vara en 23-årig man som specialiserat sig på att köpa populära tillägg, eventuellt för att manipulera dem på samma sätt som skedde med Display Widgets. Wordfence lyckas till och med kommunicera med honom. 23-åringen säger sig vara sjuk i lungcancer och ”only have a few months/maybe a year left on this earth”. De hittar honom i diverse sociala nätverk och konstaterar att han lever lyxliv i Monaco, kör en Ferrari och går på exklusiva cocktailbarer där drinkarna kostar 16 dollar styck.

Filosofisk kommentar

Läs gärna Wordfence genomgång! Det finns något rörande över den. All denna infernaliskt inkilade skadliga kod, alla dessa spamsidor och affiliatelänkar som dyker upp på webben i tid och otid. Bakom alltsammans finns alltid ett ansikte, och den här gången tillhör det en 23-årig brittisk brat som dessutom verkar samarbeta med någon i Ryssland. Det känns som att få glänta lite på dörren till internets undervärld. Tycka vad man vill om de där 18-25-åriga grabbarna (vem orkar ägna sig åt denna katt-och-råtta-lek efter 30?) som oförtröttligt hittar nya vägar att klämma ut ännu en dollar, men visst är de en del av internets ekologi.

Skydda dig mot Blueborne

av

Forskare vid Armis, ett företag specialiserat på säkerhet för sakernas internet (”internet of things”/iot), har upptäckt ett säkerhetshål i den trådlösa standarden Bluetooth. Hålet gör det mycket lätt att infiltrera enheter med Bluetooth påslaget, skriver Ars Technica:

Virtually any Android, Linux, or Windows device that hasn’t been recently patched and has Bluetooth turned on can be compromised by an attacking device within 32 feet. It doesn’t require device users to click on any links, connect to a rogue Bluetooth device, or take any other action, short of leaving Bluetooth on. The exploit process is generally very fast, requiring no more than 10 seconds to complete, and it works even when the targeted device is already connected to another Bluetooth-enabled device.

Forskarna har döpt säkerhetshålet (eller attacken det möjliggör) till Blueborne. De rapporterade det i tysthet till berörda tillverkare, som under sommaren släppte uppdateringar som tätade hålet.

I tisdags berättade man offentligt om Blueborne, och därmed är det också dags att se till att man som användare är fullpatchad.

  • Appleanvändare som använder senaste version av Ios är inte berörda.
  • Även Microsoft och Google har uppdaterat sina produkter till att inte vara sårbara.
  • Om Samsung skriver Armis: ”Contact on three separate occasions in April, May, and June. No response was received back from any outreach.”

Wired rekommenderar att man stänger av Bluetooth när man inte använder det, men det är lättare sagt än gjort för enheter som ständigt använder till exempel ett trådlöst tangentbord.

Läs mer