Jeg skrev fornyligt lidt om CryptoLocker, og der er ny sket så meget nyt, at det er på sin plads en med lille opfølgning. Udover at bagmændene er teknisk dygtige/kompetente, så viser den seneste udvikling også, at de også er dygtige digitale købmænd, der forstår at optimere deres indtjening.

Kort fortalt, så er CryptoLocker en ny virus, som med stærk kryptering tager alle de personlige data, som den kan finde på din computer som gidsel. Når krypteringen er overstået, sendes krypteringsnøglen ud på internet, og du har kunnet købe den tilbage i 72 timer, hvis du ville have adgang til dine data igen - eller lade være med at betale og have mistet adgang til dem.

I sidste uge opstod der et interessant problem - Oracle, der står bag Java fri gav en sikkerhedsopdatering med 51 opdateringer, hvoraf de 50 af dem angiveligt kunne udnyttes “remote” - dvs. det krævede ikke end gang, at den, der ville misbruge sikkerhedshullet havde fysisk adgang til maskinen, men blot at de kunne lokke en bruger til at besøge en (web)side, der fik lov at køre lidt java-kode, som udnyttede hullet.

Jeg har på det seneste et par gange på Twitter (og dermed også Facebook) brokket mig lidt over login systemer på det seneste. Noget tyder i hvert fald på, at det der burde være en rimelig og ansvarlig politik og “best practice” politik, overhovedet ikke følges - selv når der er tale om nye (og prestigefyldte) websites.

Note: Det følgende er skrevet i håbet om at være nogenlunde forståeligt af alle, og der er derfor bevidst lavet nogle simplifikationer og udeladt detaljer - f.eks. omkring “salt” af hash algoritmer. Jeg håber trods dette, at den har værdi og giver mening.

Man bliver helt træt, når man læser, de fjollerier, som nogle sikkerhedschefer i danske pengeinstitutter finder på at melde ud, og man får næsten trang til at sende dem en t-shirt (Nykredit blå naturligvis), som belønning for dages citat på ComOn.dk.

Udtalelsen, der giver basis for præmien er følgende:

“Dybest set giver det ikke mere sikkerhed at anvende specialtegn. …” siger sikkerhedschef Niels O. Rasmussen hos Nykredit. (comon.dk)

Et kodeord med med bogstaver og tal har en væsenligt ringere entropi end et med specialtegn, og derfor vil det dybest set være væsenligt mere sikkert. Han anfører i øvrigt også, at muligheden for at kunne bruge special tegn er med til at sikre, at folk ikke skriver passwordet ned, og at der spærres for kontoen efter 3 forkerte forsøg.