Säkerhetsbimbo.se











{mars 28, 2013}   BYOS – Bring your own software

Vi uppdaterar BYOD  till BYOS – bring your own software! Idag använder anställda Dropbox för dokumentdelning, tar automatiskt backup på företagsmailen i Iphonen via Icloud samt installerar egna appar (potentiella säkerhetshål) på jobbmobilen. Hur ska vi förhålla oss till detta? Vad behöver vi göra? Jättebra fråga som jag ska försöka bena lite i, i samband med Sig securitys årsstämma den 24:e april. Kanske ses vi där?

sanna006 @ 12:38 e m [filed under säkerhet, skadlig kod Lämna en kommentar »


{september 12, 2012}   Akta dig för ananasen – har du också wifi påslaget?

WiFi PineappleVar på Labcenter ikväll på en utmärkt social engineering kväll med flera skojiga demos. En av prylarna som verkligen fångade mitt intresse var ananasen, eller rättare sagt WiFi Pineapple Mark IV. Denna pryl är en acesspunkt som fungerar helt genialt. Om man vill avlyssna andras data, det vill säga. Ananasen nyttjar det faktum att de flesta bärbara datorer, paddor och smarta telefoner med wifi påslaget automatiskt connectar till kända nätverk. Ens egen wifi pryl går ut med frågan ”Finns mitt nätverk med SSID ”XXX” här?” Ananasen svarar ”jajamensan, här är jag, ”XXX”, det är bara att connecta”. Och plötligt är man uppkopplad på farliga vatten utan att ha rört ett finger. Creepy eller hur? Fler än jag som stänger av wifi på alla grejer nu? De nämnde också Airdrop-ng som bryter ens fungerande wifi uppkoppling mot en accesspunkt genom att skicka en massa falska instruktioner om att det inte fungerar. När min anslutning då bryter, för att starta om, tar denna accesspunkt snabbt hand om min nya anslutningsförfrågan. Och återigen, är man uppkopplad mot farliga vatten utan att ha rört ett finger. Sista godbiten ikväll blir demot om telefon spoofing. Om man förfogar över en växel, exepemlvis en  ip-baserad växel, som exempelvis Asterisk som är open source, så kan du ju bestämma själv vilket nummer du vill visa att du ringer ifrån. Så att låtsas vara en annan person, verifierat enbart på telefonnumret borde inte vara så svårt. Det jag däremot inte visste, är att röstbrevlådan också går på detta. Så om du vill höra någons röstmedelanden, ring bara ett samtal till röstbrevlådan från personens telefonnummer! Så, vad lär vi oss av detta? Slå av wifi på alla prylarna och aktivera lösenord pö röstbevlådan. Stay safe!

sanna006 @ 7:58 e m [filed under mobilt, säkerhet, social engineering tagged , , , Lämna en kommentar »


{februari 24, 2012}   När användarvänligheten går före säkerheten
En sak hände mig för någon vecka sedan. Jag skulle installera content management systemen Joomla och WordPress på mitt webbhotell via autoinstalleraren Installatron, problemet var att jag hela tiden fick ett felmededelande gällande databaserna. Jag har installerat en del Joomla och WordPress manuellt i mina dagar, men nu hade jag bestämt mig för att jag ville köra den enklaste vägen. Efter lite mailväxling med supporten, som inte löste problemet, så ber jag dem att trycka på knappen från sitt håll, eftersom det verkar vara möjligt för dem, men inte mig och sedan skicka mig inloggningsuppgifter. Så skedde, men den vänliga personen skrev att jag själv får sätta lösenord. Hur menar personen då, tänkte jag, det måste man ju sätta under installationsprocessen? Sedan kom verkligheten ikapp mig och jag fick ägna mig åt någon form av brandkårsutryckning, som tog över mitt fokus. Några dagar senare hade jag möjlighet att återuppta webbprojektet och min första tanke var ”om jag surfar in just nu så är det väl en vanlig standard wordpress installation , jag får väl gå in och styra upp den lite”.  Men
när jag surfade in och såg  hur första sidan såg ut så var det ingen underdrift att säga att jag satte kaffet i fel strupe. När man surfade in på  domänen i fråga (som är en aktiv domän som används) så möttes besökaren av  en pausad installationsprocess och uppmaningen ”Mata in vilket admin lösenord du vill ha för domänen”. Helt bisart!  Och detta hade alltså varit online i flera dagar, och skulle kunna varit ännu längre om jag inte haft tid att åteuppta uprojektet just då. Så, vad hände? Jag satte ett lösenord , men mailade hotellet och talade om att jag fått en smärre chock av hanteringen. Jag fick ett  mycket bra bemötande av samma  supportagent som bad om ursäkt och det gladde mig (eftersom man inte kan räkna med det idag). MEN, knäckfrågan är , hur får man in ett säkerhetstänkande för ny personal, eller gammal med för den delen? Jag tror att personen som hjälpte mig kände sig väldigt serviceminded som lät mig själv välja lösenord, tills jag hörde av mig och gnällde  över att jag inte gillade hanteringen.  Är säkerhetsmedvetandet någonting inlärt eller en paranoid gen?  Vad betyder egentligen säkerhet? Finns det någon bransch där säkerhet inte är en av de fem-tio viktigaste delarna i en verksamhet?  Är säkerhet oviktigt om man jobbar i affär?  Med lokalvård?  Med försäljning? På cafe?  Hur många av  ägarna till sådana företag lägger tid på att identifiera risker och minska sannorlikheten att det inträffar med hjälp av  utbildning.  Nu sticker jag ut hakan lite till. Hur vanligt är det inom IT-branschen?  Administrativ personal inom  IT branschen?  Ekonomi, HR, Lokalvård… Vilka åtgärder kan du ta för att  öka säkerheten redan  idag?
sanna006 @ 11:20 f m [filed under säkerhet tagged , , , Lämna en kommentar »


{november 24, 2011}   Hacka bilar och flygplan

Bilar blir smartare och smartare, men liksom med våra smarta mobiler, så tar det tid innan säkerheten kommer in i bilden. Dags att skaffa brandvägg till din nya smartbil kanske? Behövs det verkligen? Jag blev tipsad av en kille på Internetdagana (Kiitos Kari/Codenomicon) om några som framgångsrikt, på distans, påverkat både motor och broms funktionalitet (ingående information). Jag fick också kännedom om killen som tog sig in i flygplansystemets hjärta via infotainmentsystemet.. alltså, via underhållningssystemet(!) där man väljer vilken videofilm man ska se under flyget. Tydligen var det en switch där några portar hanterade infotainmentsytemet och några andra flygmiljön. Mellan dessa fanns ett trust som möjligjorde det hela. Förvisso en felkonfning, men hur vanligt är inte det? Kan det finnas andra plan med samma problem? Högst sannolikt. Här kan man verkligen snacka om att itsäkerheten påverkar den fysika säkerheten IRL, på samma sätt som exemeplvis strömförsörjningen till livsuppeållande maskiner på ett sjukhus.. Kanske läge att höja vårt säkerhetsfokus ett snäpp till gällande våra fordon. Bättre att bygga säkert från början än patcha i efterhand. Förutom mer destruktiva hyss som att krascha bilar och plan erbjuder ju också stryrningsmöjligheter en del lukrativa affärskoncept. Varför inte öppna en restaurang och stryra dit alla bilar till exempel. Så länge bilen har en människa som sitter i den finns det förhoppningvis någon som kan larma om riktningen ändras. Men förarlösa bilar är idag en realitet. Google har exempelvis en bil som bränt av runt 8700 mil på gatorna i Karlifornien och flera amerikanska delstater lagstiftar nu om trafikregler för självstyrande bilar. Jag är grymt nöjd med att flygkedjan Norweigian erbjuder gratis trådlöst till alla resenärer i deras nyare flygplansmodeller, men nästa gång personen brevid dig spelar flygsim på sin bärbara, kanske du ska kolla en extragång att han inte dricker alkohol, för det kan vara han som är pilot :)

P.S Om du är mer nyfiken på IT i bilar, kan du kolla Jörgen Städjes artikel på ämnet i Techworld.

sanna006 @ 12:50 e m [filed under säkerhet tagged , , , , , , Lämna en kommentar »


{mars 11, 2011}   Vem behöver antivirus till mobilen?

Har du antivirus till din mobil? Har du en smartphone? Jag är inne på min tredje eller fjärde smartphone och har först nu installerat ett antivirusprogram, valde en gratis variant av samma firma som jag kör på datorn, om inte annat kan jag utvärdera lite och fundera lite på hur det känns att ha antivirus i mobilen, om det försämrar prestanda och annat man kanske oroat sig för. När man hade en ”dumphone” fanns inga antivirusprodukter till denna, men man hade ju och andra sidan inte heller speciellt mycket att skydda. Det skulle vara sina kontakters telefonnummer då (som för alldel kan vara till stora nytta för någon som behagar utföra lite social engineering) samt förståss sånt som har med själva abonnemanget att göra, d.v.s. inte så kul om någon nyttjar ditt abonnemang vare sig de vill ringa koreanska betalnummer eller utföra brottsliga handlingar med hjälp av din telefon, där sedan polisens spår leder direkt till dig. Ovan är väl ungefär vad någon skulle kunna ställa till med på din gamla telefon, men din nya smartphone, har ju förståss oändliga möjligheter både för dig och för busen. Vad du kan göra med din telefon, kan förståss busen också göra, förutsatt att du på något sätt släppt in skadlig kod. Utför du bankärenden per telefon? Då kanske busen också kan göra det. Ansluter du till företaget? Toppenmöjlighet för busen! Använder du tjänster som Dropbox, där du lagrar en del filer online, så kan busen ha fri passage.

Om vi ska vara lite paranoida, som vi säkerhetsmänniskor tenderar att vara, kan också en relativt harmlös tjänst som exempelvis list-tjänsten ”Remeber the milk”, vara ett utmärkt sätt för någon som vill låtsas vara du, att ha stenkoll på din exakta agenda för den närmaste tiden. ”Tjena Göran, Jag vet inte om du hörde att jag skulle till konferensen i Dublin, men just nu håller jag på och bokar biljetterna, och det verkar som att jag behöver informatiom x och y för att säkerställa att vi kommer från vårt företag. Storchefen är ju i Sälen, jag ringde faktiskt upp lite blommor dit som kommer idag, han har ju fyllt år, så jag tänkte att han kanske kunde få koppla av lite för en gångs skull, och att jag inte skulle behöva störa honom, tror du att vi kan lösa det här på ett smidigt sätt? Liknande är förståss fullt möjligt om man håller koll på någon annans att göra listor, och om man har ett välsmort munläder. Hur ofta tror ni att operationen nedan skulle misslyckas? Säkert ibland, men oftast inte, tror jag. Att tekniken med mobilbetalningar med nfc redan finns, även om den inte används i någon större utsträckning gör problemet än större. Troligen kommer mobilbetalningar användas av en större andel personer än de som valt att köra bankappar initialt.

Tiden är förbi då ett sunt bondförnuft kunde skydda oss, om det är på ditt ansvar att känslig företagsdata läckt ut så kan du inte skydda dig själv genom att säga ”Men, så konstigt, jag brukar ju alltid avgöra om ett program (eller en länk för all del) är pålitligt eller ej, med min magkänsla, och det har inte hänt hittills att jag gjort fel.” Det kanske är vårt ansvar att ligga lite före? Dessutom ingår ibland även annat nyttigt som antitheft, sekretess och smsblockerings-funktionalitet. Du kan kan ju alltid läsa Computer Swedens test av mobila antivirusprogram och varför inte börja med att skaffa ett skydd till din egen mobil? Finns det förbättringspotential i ditt företags mobilsäkerhet?

P.S. Du missar väl inte Dataföreningen och Sig Securitys  årliga IT-säkerhetskryssning i maj? I år sticker vi till Riga och det kommer att vara fokus på IT-brott och sociala medier.

sanna006 @ 11:01 f m [filed under mobilt, skadlig kod, social engineering tagged , , , , , , , Lämna en kommentar »


{maj 28, 2010}   Kedjans tunnaste länk..

Säker hårdvara och tekniska skydd är fina grejer, men som vanligt behövs det utbildning också, och kanske ännu inte viktigare, en förmåga att tänka säkerhet även i verksamheten. De två exemplena nedan utspelades under våren 2010 mellan mig och två olika företag, en bank och ett handelsföretag.

Exempel 1: Jag är med i en ideell förening och ska vara en av de som kan betala fakturor och ersätta utlägg från föreningens bankkonto. Därför kontaktar jag dess bank för att höra hur vi ska gå tillväga för att skaffa behörighet till mig. Du behöver komma in med ett styrelseprotokoll som talar om att du ska vara berättigad att sköta bankkontot, meddelar damen. Och en kopia av föreningens stadgar. Som extra säkerhet. Okej, säjer jag, det var inte mycket till säkerhet. Ja, ideella föreningar behöver inte anmäla sin styrelse till bolagsverket, så det finns inget register vi kan titta i, sade hon. Jaha, jag förstår, svarade jag, men det känns ändå som väldigt låg säkerhet eftersom det inte borde ta mer än fem minuter att hitta en stadgar på nätet och förfalska ett styrelseprotokoll..  Efter en stunds tystnad utbrister bankdamen ”Men det vore ju olagligt”. Suck. Jag har hört att det finns sådana som inte ens låter sig stoppas av den typ av detaljer, i synnerhet inte om man kan tillskansa sig pengar.. eh.. undrar om exempelvis Rädda barnen är en ideell förening och vilken bank de har? Nej, skämt åsido, men högre säkerhetstänkade kan man kanske förvänta sig av bankpersonal åtminstone. Jag begär inte att hon ska ändra rutinerna för min del, men hon var så totalt oförstående till att det var ett osäkert system är faktiskt ett problem i sig själv.

Exempel 2. För en kunds räkning ringde jag ett samtal till ett företag där vi är faktura kunder och sade att vi tänkte åka in och handla lite på eftermiddagen. Jag är konsult här sade jag, så jag kan inte rutinerna, behöver vi ta med oss något speciellt för att verifiera att vi är fakturakunder? Uhum, sade den damen, för att kunna svara på det, måste du uppge företagets organisationsnummer, sedan kan jag ge er ert kundnummer och den information du behöver veta. ”Vet du, sade jag till damen”, eftersom jag jobbar på många olika företag så har jag inte bolagets organisationsnummer i huvudet, så jag gör som jag brukar och surfar in på www.allabolag.se och söker upp vad företaget har för organisationsnummer. Jag lade till, det kan du också göra om du inte vet numret, istället för att fråga mig.. Typ.

Och, sist men inte minst kan jag avsluta med lite säkerhetsskvaller J Spenderade valborg på en BBQ i England där jag pratade med en person som berättade att av alla IT-företag han arbetat på så var det Panasonic som var mest ”rigida” i sina säkerhetskrav.  De bärbara datorerna utrustades med programvara som analyserade hur man hanterade dem (med de anställdas kännedom förstås) och baserat på dem fick man en rekommendation om vilka som även fortsättningsvis borde tillåtas hem datorerna. Trots denna djupa analytiska metod, blev en kvinnlig kollega till personen jag pratade med rekommenderad att dock inte ta med sin dator hem, annat än i nödfall, baserat på faktorerna att hon var  1. Kvinna. 2. Kort. Det ni? Det kanske var det som var felet med damen på banken och handelföretaget, de kanske var lite korta? På återseende!

sanna006 @ 9:25 f m [filed under utbildning Lämna en kommentar »


{februari 5, 2010}   Att uppdatera den mänskliga brandväggen med program från SVT

På alltför undangömd plats, på Kunskapskanalen, visades igår den 1 februari det spännande och skrämmande programmet ”Nätterrorist till salu” från 2009. Vill SVT tjäna samhället lyfter man fram detta program till en mer tillgänglig kanal som alla kan se. Repris på Kunskapskanalen den 7 februari.

För att skapa ett säkrare internet måste den vanlige internetanvändaren få klart för sig VARFÖR det är viktigt att uppdatera, ha säkerhetsprogramvara och vara allmänt förnuftig när det gäller nätlivet. ”What’s in it for me” har varit den bästa motivationen för många. Programmet ”Nätterrorist till salu” borde ge många ett bredare perspektiv på problemet; kan man ta över ett land via internet? Kan strömförsörjning och annan infrastruktur slås ut av massiva attacker från kapade hemdatorer? Det 50 minuter långa kanadensiska programmet följdes av ett studiosamtal med  Lars Nicander, Centrum för Assymetriska Hot- och TerrorismStudier på Försvarshögskolan och den alltid lika kunnige Pelle Hellqvist från Symantec. Dessa 25 minuter gav svar på många frågor rörande svenska förhållanden och ställde också nya, som varför Sverige ännu inte har någon informationssäkerhetsminister…

Se till att så många internetanvändare som möjligt ser reprisen på söndag!

annakarinb @ 2:03 e m [filed under säkerhetsbimbo tagged , , , , Lämna en kommentar »


{september 21, 2009}   IRL test: USB minnet var trojanfritt i 20 minuter

Deltog nyligen på en trevlig konferens och bland konferensmaterialet fanns också varsin ny USB pinne. En av deltagarna behövde skriva ut ett papper inför mötet och begav sig till receptionen. Om du ger mig filen på USB så skriver jag ut den, erbjöd sig receptionisten tjänstevilligt. ”Åh, filen är på mailen” svarade den behövande varvid receptionisten replikerade ”Där finns en dator” och pekade på en av de offentliga datorerna i receptionen. Deltagaren satte in sitt nya USB minne, men misslyckades med att spara filen från mailen och frågade därför mig senare under dagen ”Kan vi se om du kan ta hem filen från min mail?” Vi testade och noterade att det gick bra, men när vi skulle spara den på hans USB minne hittades en trojan på stickan och datorn ville inte befatta sig med minnet något mer. En snabb upprepning av procueduren fast till min nya USB pinne istället, talade om för oss att trojan smittan inte kom via hans bifogade fil, utan via hans USB pinne. Som inte varit någon annanstans än i receptionsdatorn senden plockades ur förpackningen. Så, jag sade till i receptionen.  Deltagaren som behövde skriva ut fick min pinne och själv sitter jag nu med en USB som min dator inte vill ta i med tång ens :) Vad kan vi då dra för lärdom av detta? Fixa dina utskrifter själv kanske? Får väl hoppas att konferensanläggningar generellt har en högre säkerhetsstandard? Någon som har några erfarenheter kring detta?

sanna006 @ 10:41 f m [filed under skadlig kod tagged , , , Lämna en kommentar »


{september 1, 2009}   Om skyldigheten att få göra fel ibland…
Handgranat?

Handgranat?

Följande telefonsamtal utspelade sig mellan två säkerhetsbimbos för några dagar sedan

- Hej, har precis kommit från frissan, ser inte klok ut, vet du vad hon har gjort?
- Det ligger en handgranat här. På vår gård. Undrar om den är riktig? Vi lägger på så skickar jag en bild.
- Hej, nu har jag fått bilden. Usch, den ser riktig ut.
- Ja, den är kanske lite mindre än vad den borde vara. Har ju aldrig sett en riktig. Jag ska titta lite närmare.
- Nej gå därifrån! Den kan faktiskt vara riktig och smälla.
- Jag väntar tills det kommer någon att fråga.
- Ring polisen!
- Det känns dumt, tänk om det bara är en leksak. Vad ska de tro då? Bimbo…

Efter en stunds diskussion fram och tillbaka om vilken skyldighet man har och varför man borde ta det säkra framför det osäkra, ringer upphittaren polisen. De kommer farande och konstaterar snabbt att det är en leksak i plast, lite mindre och tillverkad så att plasten ska se ut som metall. Polisen tyckte att det var klokt att kontakta dem.

Men ska man verkligen behöva vända ut och in på frågan hur man ska göra i en situation där säkerheten kan ifrågasättas? Ska man behöva känna obehag för att kanske bli sedd som ”dum”?

Borde det inte vara en självklarhet för mig som anställd att meddela rätt instans om jag, mot bättre vetande eller av ren okunskap, har ställt till med något eller känner mig osäker på om jag gör rätt? Att inte behöva bli bemött med en suck eller få frågan ”vad har du gjort nu då?”. Att få supporten att inte bara rätta till det jag och mina kollegor ställt till med utan att också, med rätt attityd, vara med och skapa trygga medarbetare som vågar ställa frågor och berätta om sina eventuella misstag.

annakarinb @ 11:24 f m [filed under säkerhetsbimbo Lämna en kommentar »


{augusti 21, 2009}   April, april .. jag kan lura dig vart jag vill ..
få företag motstår en attack med social engineering.. Tanken ovan är inte baserad på någon vetenskaplig undersökning utan snarare ett antagande om hur människan fungerar. Vi vill vara hjälpsamma, vi tror gärna gott om folk och även bland de mest ”paranoida” säkerhetstänkarna kan det ibland saknas ”inskolning” för vilka tillvägagångssätt folk faktiskt kan ha när de försöker komma åt saker. Vi håller så gärna upp dörren om folk har händerna fulla, i synnerhet om denna någon hållit upp den tidigare dörren för oss, trots all bråte de släpar på. Inte är vi så onda, att vi i det läget ställer frågan ”Ursäkta, men har du verkligen rätt att vara i den här lokalen?” Om man inte känner några skrupler när man lurar någon (och tro mig, sådana finns det gott om), så löper man inte speciellt stor chans att bli avslöjad om det inte finns inbyggda kontroller samt kunskap om hur den typen av bedrägeriförsök faktiskt utförs. Inte skulle någon kunna vara så fräck, tänker vi, men det kan dom! Om jag ringer dig en dag och presenterar mig som en kollega från ett av bolagets kontor, men utan att ställa några obehagliga frågor, utan bara ”chittchatta” lite och kanske till och med smickra dig lite ”Jo, vi har blivit tillsagda att titta lite mer på hur ni sköter backuperna hos er, för det verkar ju ha fungerat utmärkt, till skillnad från vår lösning”).. Du kollar inte nödvändigtvis upp mig i det läget, jag har ju inte efterfrågat någon sekretessbelagd information. Det gör jag först några veckor senare, när jag med andan i halsen ringer upp och säger att nu är det verkligen panik och kan du inte plocka fram inloggningsuppgifterna X eller information Y, annars kommer chefen att strimla mig och jag är dessvärre ute på stan och har inte tillgång till systemen och kan heller inte berätta att jag är ute för chefen.. klart man vill hjälpa till, eller hur? trust_me

Jag kanske vet att du har en kollega som heter Albin Jakobsson som är på semester i Sälen (det stod i hans blogg nämligen). Jag kanske inte vet vad han har för mailadress, men det är inga problem att skapa upp en gmail som skulle kunna vara Albins privata adress och göra ett försök att få någon information överskickad ”till Sälen”, som han inte insåg att han skulle behöva förrän han kom fram, eftersom han egentligen inte tänkt jobba. Och Albin lovar t.o.m. att bjuda på öl när han är tillbaka om du vill vara så vänlig att ordna detta lite snabbt. Och, tyvärr är täckningen lite dålig och Albin spenderar all tid i backen nu, så mailen är bästa kommunikationsmedlet.. Det kan vara krångligt när problem inte går att lösa rent tekniskt, utan måste informeras bort, eller lösas på något annat sätt.. hur hindrar man exempelvis någon som har tillgång till ett system från att missbruka sin ställning.. Jag hörde någonstans att någon sade ”Jo, jag känner till väldigt mycket konfidentiell information som potentiellt skulle kunna skada mitt företag om det kom i fel händer. Men naturligtvis finns det inte i min horisont att på något sätt bidra till en sådan handling.. förutsatt att jag inte tjänar FETT med pengar på det förståss  samt upplever det som relativt säkert.” Så där är vi igen.. människan..

Disclaimer:Säkerhetsbimbo.se skrivs av tjejer med säkerhetsintresse inom IT-frågor. Vi utger oss inte för att vara IT-säkerhetsexperter generellt, även om sådana kan komma i göra inlägg i bloggen.

sanna006 @ 2:03 e m [filed under social engineering tagged , 1 Kommentar »


« Tidigare inlägg
Nästa sida »
et cetera
Följ

Få meddelanden om nya inlägg via e-post.