Mirror.co.uk kunne søndag 27. september melde at en hacker som sonet en dom på 6 år for svindel på £ 6.5 millioner, hadde hacket fengselets datasystemer. Den noe bisarre historien kommer frem bare en uke etter at Sunday Mirror kunne melde at en insatt hadde fått laget en nøkkel som kunne åpne store deler av fengselets dører.
Bakgrunnen for historien er at guvernører ønsket en intern TV-stasjon for fengselet. Dermed satte de den dømte hackeren Douglas Havard (27) på saken med å lage et spesielt program for å tilby TV-tjeneste. Havard ble forlatt ubevoktet ved datamaskinen, hvor han så kunne gå videre inn i systemet for å implementere en rekke passord. Dette endte med at han var den eneste som kunne få tilgang til fengselets sentrale systemer. Både kilder i Ranby Prison, og en talsmann for det britiske fengselssystemet har kalt hendelsen utrolig, og legger til at innsatte ikke skal kunne ha uovervåket tilgang til datamaskinene.
Et eksternt konsulentfirma måtte leies inn for å få systemene tilbake, og kommer i tillegg til regningen på £ 78.000 for å bytte låser.
Samtidig som sosiale medier øker sin brukermasse og verdi, øker også interessen fra kriminelle for å utnytte dette. Bloggen til PandaLabs kom 18. september med en interessant innlegg for hvordan hackere nå tilbyr deg passordet på en hvilken som helst Facebook-konto. Det eneste du trenger å gjøre er å registrere deg, opplyse om en Facebook ID, og velge «Hack it». Så langt, så bra. I følge PandaLabs er det sannsynlig at de faktisk får tak i passordet på kontoen, men det er ikke noe du vil få uten videre. For å få tilgang til passordet må du overføre $100 via banken Western Union.
Men, så enkelt skal det heller ikke vise seg å være. Selv etter at pengene er overført, vil balansen på din konto stå i $0. Du står der altså $100 fattigere, og uten passordet du førskte å tilegne deg. Menneskene bak tjenesten regner det med andre ord for lite sannsynlig at du vil melde svindelen til Politiet.
Men, det finnes også flere måter å tilegne seg andres kontoer. Et eksempel er hvordan daværende visepresidentkandidat Sarah Palin ble hacket. Ved enkle kontrollspørsmål kan passordet nullstilles, og du kan selv velge et nytt. I dette tilfellet skal hackeren ha kjent til Sarah Palins fødselsdato og postnummer. Han gjettet seg også til at Palin møtte ektemannen på high school. Denne kombinasjonen var nok til å endre passordet til «popcorn».
Et ytterligere problem kan være når en epostkonto først er kompromittert. Mange nettjenester sender en epost for å bekrefte at epostkontoen du har benyttet for å aktivere tjenesten eksisterer. I denne eposten er det gjerne en lenke du må trykke på for å aktivere den nye kontoen, men det kan også være påloggingsdetaljer med for eksempel passordet du har valgt i klartekst. Det vil da være en smal sak å komme seg videre til andre kontoer du disponerer.
Det er også mulig å prøve rå styrke for å knekke et passord. Dette går i bunn og grunn på å prøve mange forskjellige kombinasjoner av varierende tegn og lengde. Jo flere kombinasjoner av bokstaver, tall og spesialtegn du benytter, jo sikrere vil passordet være, og det vil ta lenger tid å knekke. For å beskytte seg best mulig bør man bruke flere forskjellige passord og skifte disse ofte. Passordene bør samtidig inneholde både store og små bokstaver, tall og spesiale tegn (f.eks #, $, & o.s.v.)
Du kan teste dinne passord med f.es Microsoft’s Password Checker eller få hjelp til å velge et sterkt passord ved hjelp av denne passord-guiden.
Datatilsynets direktør Georg Apenes. Foto av Jarle Vines.
Stortingsvalget 2009 er over, og meningene er mange om hvordan de fire neste årene vil bli. Samtidig som Norges Naturnvernforbund mener at miljøet er årets taper, har Datatilsynets direktør Georg Apenes andre bekymringer.
Apenes frykter økt overvåkning, og utroper personvernet som årets taper. Og frykter er kanskje ikke ubegrunnet. Etter årets Stortingsvalg er det et knapt flertall for å innføre dirketivet, melder Nettavisen.no.
En lignende artikkel på nettstedet Digi.no heveder at EUs datadirektiv vil bli innført i Norge, siden Arbeiderpartiet og Høyre til sammen utgjør et solid flertall med sine 94 av 169 mandater. Selv om det er en tvil i partiene om innholdet i EUs datalagringsdirektiv er neppe dette det største hinder for å innføre det, da de samtidig frykter at et veto vil sette EØS-avtalen i fare.
Formålet med direktivet er i bunn og grunn å lagre informasjonen om kommunikasjon mellom to personer. Hvem du har ringt eller sendt epost til, når dette skjedde, hvor var du, hvor var mottager, hvor lenge varte kommunikasjonen og så videre. Mange argumenter kan benyttes for de som ikke har noen problemer med å bli overvåket. Har man intet å skule, er det ikke et problem! Men, har man den holdningen har man snart en hel del andre problemer også.
Et blogg-innlegg av Edward Felten på Freedom To Tinker fra Mars 2003 viser interessante bivirkninger av en lov fremlagt av politikere. Tittelen Use a Firewwall, Go to Jail sier det meste, og artikkelen fremhever en del av skadevirkningen dersom loven skulle bli vedtatt.
Det er heller liten tvil om at de som er bevisste på sitt eget personvern og sikkerhet vil komme med flere løsninger for å gjøre kommunikasjonen tryggere i tiden som kommer, mens de ubevisste vil gjøre sitt for å sette stadig flere kameraer i våre gater og hjem!
Det har den siste tiden florert rykter om at Facebook-applikasjonen Fan Check er et virus. Blandt annet kan man se advarsler om at viruset vil spre seg til alle på vennelisten din innen 24-48 timer, dersom du ikke fjerner applikasjonen.
Som så mange andre advarsler brukere kan sende ut er dette falsk alarm, og problemene kan komme når du søker etter hjelp istedenfor. Sikkerhetsfirmaet Sophos har lagt ut en video som demonstrerer hva som skjer når folk prøver å finne informasjon om «viruset». Dette kan i mange tilfeller føre til «scareware» som forteller deg at din maskin er infisert av virus, og tilbyr programmer som skal reparere skaden. Mot en økonomisk kompensasjon selvfølgelig.
Grunnen til at Fan Check kan bli oppfattet som et virus er at den ødelegger deler av veggen til brukere med applikasjonen installert. Dette kommer av dårlig kode, og ingenting annet.
Microsoft har bekreftet at deres nyeste operativsystemer er rammet av en gammel velkjent feil. Feilen skal kunne ramme operativsystemene Windows Server 2008, Windows Vista samt Windows 7 RC. Operativsystemer som Windows 2000, Windows XP, Windows 7 RTM samt Windows Server 2008 R2 skal ikke være rammet av feilen som nevnes.
Feilen, som bare kan beskrives som en gammel traver ble først introdusert med Windows 3.1 og Windows 95, og er kjent under navnet Teardrop. Kort fortalt går dette på å sende et lemlestet IP fragment med overlappende og overdimensjonert nyttelast til en datamaskin over et nettverk. Datamaskinen vil da vise den velkjente blåskjermen og/eller restarte.
Microsoft er klare over problemet og nevner den i Microsoft Security Advisory (975497), men det er ikke kjent når de vil ha en patch klar som fikser problemene.
Som en midlertidig løsning til de som bruker de berørte operativsystemene kan det være verdt å enten deaktivere Server Message Block v2 (SMB2) ved hjelp av registeret, eller å blokkere TCP portene 139 og 445. Det første alternativet anbefales kun til avanserte brukere, mens det andre alternativet blokkerer bruken av en rekke viktige programmer, samt Windows-tjenester man benytter seg av flere ganger daglig.
Dersom man alikevel ønsker å forsøke seg på å endre registeret, kan oppskriften på dette leses under «Workarounds» på Microsoft Security Advisory (975497). Det er også utgitt en såkalt Proof-of-concept som man kan finne på http://milw0rm.com/exploits/9594, hvor feilen er kategorisert som medium/høy.
Vel, siden man har kjøpt et domene og webhotell er det kanskje på tide å benytte seg av det. Så langt har unnskyldningen vært at harddisken har tatt kvelden, men fra og med i dag er denne vekk. Har fått installert en Western Digital VelociRaptor på 150GB som hoveddisk. Denne overtar etter min gode Western digital Raptor på 74GB.
Dessverre er det også andre ting som står på agendaen for tiden, og ikke bare bytte av harddisk. Neste prosjekt nå er å flytte fra Kristiansand til Drammen, og begynne i ny jobb. Denne går på IT Drift og jeg vil få et delt ansvar over intet mindre enn 700 servere så vidt jeg har forstått. Dette er en utfordring jeg gleder meg til å ta fatt på.
Innholdet på denne bloggen er ikke 100% fastsatt enda, men følg med så skal vi se om den ikke tar form. Etter planen vil det i tillegg til personlige ting og hendelser komme oppdateringer fra IT-verdenen med hovedfokus på sikkerhet og programvare. Ellers gjennstår det en del ting før den er helt oppe og kjører også.
