Digital afpresning

Udover alle de fantastiske ting, som vi efterhånden har lært at bruge computere til, så er der også altid fulgt en bagside med. Udover “de gode” programmer, som vi selv opsøger og benytter, så har der også fra computernes tidligste barndom også eksisteret “onde ting” i form af vira, orme og andre uønskede ting.

I gennem de seneste par år har der – specielt på Windows platformen – været et våben kapløb, hvor anti-virus programmerne kæmpede en kamp for at holde sig et skridt foran (når det går godt) de seneste vira, der rammer nettet. I de fleste tilfælde har det heldigvis overvejende været en kamp, som den mellem graffiti malere og myndighederne – og hvor den reele skade som oftest var minimal, hvis blot den blev behandlet med den rette digitale medicin.

Det har dog på det seneste ændret sig, da der er kommet en ny virus på banen, der er langt værere end noget tidligere  – og som desværre nok vil vise sig at være forløber for hvad der venter fremover. Denne nye virus hedder CryptoLocker.

Alvor bag truslerne…

I sin spredning ligner CryptoLocker tidligere vira, men der hvor den er anderledes, er i den skade den laver. Spredningen sker typisk via email attachments hæftet på spam-mails – det har det dog med at ændre sig, i takt med at mail-spam filtrene lærer at fange den slags mails.

Når ens computer inficeres med CryptoLocker, så leder virusen systematisk efter alle billeder, dokumenter og andre personlige filer, som man har liggende på maskinen. De ting den finder krypteres (med moderne og stærk kryptering), og nøglen der skal bruges for at kunne dekryptere tingene sendes til en server på nettet og slettes lokalt.

SkraldespandNår dette er sket, præsenteres ofret for en skærm, hvor man har 72 timer til at købe sine data tilbage, sker det ikke inden for de 72 timer, slettes nøglen, der skal bruges til at genskabe filerne igen og de krypterede data/filer er i praksis for evigt tabt.

Hvor nogle tidligere vira har truet med at slette ens harddisk eller “FBI” fortæller at man har gjort noget forkert, men kan betale en bøde online, så er der med CryptoLocker en helt ny alvor bag truslen, og der er – rent teknisk – tilsyneladende ikke noget, som et anti-virus program kan gøre, for gendanne, genskabe eller reetablere de data, som CryptoLocker har taget som gidsel.

At CryptoLocker virker effektivt er der i øvrigt flere historier på nettet, der syntes at bekræfte. Den mest anvendte måde at betale løsesummeren er via noget, der hedder “MoneyPak” – og som der flere steder lige frem skulle være udsolgt, da der har været så stor efterspørgsel efter dem.

Hvad kan man gøre?

Hvis du ikke vil risiskere at blive afpresningsoffer for CryptoLocker, så er der nogle ting, som du kan gøre, for at forhindre det – eller minimere skaderne, hvis det sker. Her er nogle forslag:

  • Indtil videre er det kun Windows maskiner, der rammes, så kører du Mac eller Linux, så kan den (endnu ikke ramme dig).
  • Sørg for at have en off-line backup af dine data – altså på en disk eller i “skyen” (f.eks. Carbonite), som IKKE er tilsluttet maskinen, da CryptoLocker kigger på alle diske den kan se for at finde data, den kan tage som gidsel.
  • Lad være med at klikke på links i email (lad være med at blive offer for phishing). Hvis du får mail fra Skat, din bank eller andre, der beder dig gøre noget, så åben selv en browser og gå til deres website og find det, som de vil have dig til.
  • Åben ikke vedsendte filer i mails, hvis det ikke er noget, som du på forhånd har aftalt med afsenderen, at du skulle modtage.
  • Sørg for at holde din maskine opdateret med seneste udgave af alle programmer. Secunia PSI er et godt værktøj til at hjælpe med dette.
  • Lad være med at installere noget på din computer, som du ikke selv har opsøgt. Når man besøger en side, der fortæller, at du mangler en plugin for at kunne se siden, så find selv den plugin fremfor at lade en tilfældig side på nettet installere noget du ikke ved hvad er på din maskine.

Skulle du alligevel blive ramt – og ikke har backup, så virker det indtil videre til, at der ikke er meget andet at gøre, end betale de US$300, som de kriminelle bag CryptoLocker kræver af dig – og så håbe, at du får adgang til dine data igen.

Hvis du vil vide mere…

Find min Android

Der er fuld fart på tilføjelsen af features og nye egenskaber i smartphones, og nogle gange går det næsten så stærkt, at man ikke kan følge med. En af de seneste features, som jeg faldt over, er en lille indbygget (og lettere skjult) funktion i Android, som kan bruges til at finde telefonen, slette indholdet på den og få den til at ringe, hvis man har glemt hvor den er – det er gratis og det er indbygget i selve Android.

Må jeg præsentere: Android Device Mananger.

For at benytte funktionen skal du først aktivere den på din Android telefon (, tablet eller andet der kører android og har internet forbindelse). Det gør du på følgende vis:

  • Gå ind i “Settings“.
  • Vælg “Security“.
  • Find punktet “Device Administrators“, klik på det og aktiver det.

Nu er du klar til at bruge funktionen – Det gør man via websitet “Android Device Manager“. Når du åbner siden kommer du til en side der ligner følgende:

android-device-manager

 

Den blå prik på kortet viser hvor ens Android enhed er (såvidt Google ved).

På det hvide kort ser man…

  • Navnet på ens enhed (“Flemmings Gala…”), så hvis man har flere kan man kende dem fra hinanden.
  • En lille “drop down” hvor man kan se hvilke enheder, der har funktionen aktiveret (og som man har adgang til).
  • En lille pen, som giver mulighed for at navngive enhederne. En Samsung Galax S3 vil normalt blot hedde GT-I9300, når den dukker op første gang, da det er dens “tekniske model navn”.
  • En opdater knap, som forsøger at bekræfte at telefonen er, hvor kortet neden under viser.
  • I teksten under telefonen står noget om hvornår positionen seneste er opdateret samt usikkerheden på placeringen.
  • Endeligt er der to knapper – “Ring” og “Erase”. Ring får telefonen til at ringe højt, så du kan finde den, hvis den er forsvundet. Erase giver dig mulighed for at slette alt indhold på telefonen, hvis du har mistet den.

Hvilke Android enheder virker det med?

Funktionen skulle virke med alle Android versioner fra version 2.2 og nyere. I praksis burde det virke på alle aktuelle telefoner. Du kan se hvilken version af Android  din telefon kører ved at gå ind i “Settings“, “About Device” (nederst i listen) og på den side vil versionsnummeret så under “Android Version“.

Hvad skal der til førend den kan administeres med Android Device Manager?

Udover at du skal have en version af Android, der understøtter funktionen – og aktiveret den som beskrevet ovenfor, så skal du også være logget ind på telefonen med den Google konto, som du kigger på websitet med for at kunne se Android enheden.

Normalt er det ret enkelt – hvis du kan læse din Gmail på telefonen (/tablet’en), så vil du med samme mailadresse kunne se telefonen i Android Device Mananger.

Hvis du vil se hvilke konti, der er logget ind på telefonen, så kan du finde dem ved at gå til “Settings” og under overskriften “Accounts” finde punktet “Google”. Her vil den vise hvilken (eller hvilke) konto(/konti ), der er logget ind på telefonen.

 

 

Kan du fortælle mig mit kodeord?

Jeg har på det seneste et par gange på Twitter (og dermed også Facebook) brokket mig lidt over login systemer på det seneste. Noget tyder i hvert fald på, at det der burde være en rimelig og ansvarlig politik og “best practice” politik, overhovedet ikke følges – selv når der er tale om nye (og prestigefyldte) websites.

Note: Det følgende er skrevet i håbet om at være nogenlunde forståeligt af alle, og der er derfor bevidst lavet nogle simplifikationer og udeladt detaljer – f.eks. omkring “salt” af hash algoritmer. Jeg håber trods dette, at den har værdi og giver mening.

Der er 2 åbenlyse faresignaler, man bør være opmærksom på, hvis man har med online login-systemer at gøre:

  1. Man bør aldrig nogensinde blive tvunget til at have en maksimal længde på passwords (i hvert fald ikke på under 40-50 tegn).
  2. Et website bør aldrig nogensinde kunne gensende dig dit password via en “glemt kodeord” funktion.

Ad 1) I “gamle dage” da man lavede de første websites med logins, der skulle det sikkert bare gå stærkt, og sikkerhed var typisk noget, der blev kigget på “når man fik tid”. Derfor var der mange sites, som startede med en tabel i en database, der ret beset bestod af et felt til brugernavn og et til passwordet – matchede de to med det, som brugeren tastede ind, blev han godkendt.

Udover det åbenlyst uheldige i at enhver udvikler, webmaster og andre med adgang til denne database, uden videre vil kunne udgive sig for at være brugeren, så er der også det problem, at hvis man har “indbrud” på serveren (populært sagt, at den bliver “hacket”), så vil de ubudne gæster også kunne skaffe sig en kopi af samtlige brugernavne og tilhørende passwords. Det skete f.eks. for Yahoo! i sommers, hvor over 450.000 brugernavne og kodeord (i klar tekst) blev kopieret af folk, der havde fundet en sikkerhedsbrist i et af deres sites.

Når man har brug for kunne genkende en bruger, så er det ikke brugerens password, man har brug for at gemme – det er en sikkerhed for at brugeren har tastet det rigtige password, og her kan matematikken hjælpe.

Der findes nemlig såkaldte “hash funktioner“, som er en slags en-vejs kryptering. Man giver et kodeord til en hash funktion, og den returnerer altid det samme samme. Svaret har altid samme længde, og der bør ikke findes nogen mulig måde, at komme fra svaret, der er kommet ud af Hash funktionen tilbage til det oprinelige kodeord.

Laver man login systemer i dag, så er det resultatet af hash funktionen man gemmer, ikke brugerens kodeord. Med hash funktionen(*) kan ingen ud fra den gemte tekst som udgangspunkt se brugerens kodeord (og dermed misbruge det), men vi kan stadigt være helt sikre på, at brugeren kender kodeordet, der hører til brugerens konto.

Ad 2) Hvis websitet er i stand til at sende eller på anden måde udlevere dit kodeord, så forudsætter denne handling, at det er gemt i klar-tekst (eller i det mindste på en sådan måde, at det kan bruges tilbage til klar-tekst).

Givet mange har for vane, at genbruge samme brugernavn og kodeord igen og igen på tværs af mange sites – twitter, facebook og mange, mange andre steder, så er det, at ens brugernavn og kodeord ligger i klar-tekst på et tilfældigt site, ikke kun et problem for det ene site, hvis de som Yahoo! har digitalt indbrud og fremmede får en kopi af brugerkonti.

Websites, der har lavet sikkerheden rigtigt, har typisk også en “glemt kodeord” procedure. Den fungerer typisk ved at man enten får udstedt et nyt midlertidigt kodeord og får dette via mail, telefon eller lignende (og ofte tvinges til at skifte dette ved første brug, så ingen efterfølgende har mulighed for at kende dit personlige kodeord) – eller også sender de et link med en lang kode i, som giver adgang til at lave et nyt kodeord.

Lidt om hash funktioner

Der findes mange forkellige hash funktioner. Nogle af de mest kendte er CRC32, MD5 og SHA1. Funktionerne bruges ikke kun i forbindelse med passwords, men også i forbindelse med “checksummer”, så man f.eks. kan lave en “hash” af to tekster, og hvis den bliver ens, så er teksterne antageligvis ens.

En hash kvalitet måles ud fra flere forskellige parametre, blandt andet hvor tung den er at lave for serveren, hvor tilfældigt resultatet er i forhold til hvad man giver den af input (om det er muligt at se mønstre i det, der kommer ud) og hvor lang den hash (resultat), der resulterer i.

Spam på fisketur

Ens digitale mailboks syntes at være under et konstant og vedvarende angreb af folk. I “gamle dage” (hvilket normalt betyder for få år siden), var målet primært at sende reklamer for viagra og alt muligt andet skummelt snavs.

Det næste skridt på bølgen af digitalt affald var mails, som forsøgte at få alt muilgt malware, virus og andet snavs ind på maskinen, og hvor anti-virus, anti-malware og lignende programmer i den grad har fået deres sag for.

Den trejde bølge af digitalt affald, som de fleste efterhånden oplever, er såkaldte phising mails. Vi mangler endnu et godt dansk navn for denne type mails, men genren er efterhånden veldefineret kaldes “phising mails” og formålet er – udover fortsat at snige skumle programmer ind på din pc – også at lokke oplysninger ud af dig – typisk logins, bankoplysninger eller lignende.

En af de seneste phising mails, som havnede i min mailboks så således ud:

Spot en phishing mail…

Denne mail indeholder heldigvis flere af de klassiske tegn på en phising mail:

  • Henvendelser fra Skat starter sjældent med teksten “Kære skatteyder,”.
  • Sætningen “Jeg sender denne e-mail for at annoncere:” er – selv for kancellisprog – dårligt dansk – og det dårlige sprog går igen flere steder i mailen.
  • Når beløb angives på dansk, benytter vi sjældent valuta koden “DKK” (selvom den er “teknisk korrekt”), men blot kr. eller kroner.
  • På dansk benytter vi punktum som tusind-seperator, og kommer til øreangivelse – ikke omvendt, som tilfældet er i mailen.
  • Hvis man kører musen henover “Klik her”, så går linket ikke til skat.dk – men et fremmed domæne – i forsøget på at snyde modtageren, så har afsenderen lavet et site med en addresse, der heder – nogetskummelt.com/skat.dk/ i forhåbning om at man bare ser, at der står skat.dk i mailen.

Hvis det er en phising mail…

Når du modtager en phising mail, så smid den ud med det samme. Lad være med at hente billeder, lad være med at klikke på links og lad være med at besvare den.

Ved at hente billederne, er du som oftest med til at bekræfte, at mailen er kommet frem til en modtager – og selvom denne mail måske ikke fik dig i fælden, så kan de jo altid prøve igen.

Det samme gælder, hvis man besvarer mailen. I bedste fald, så er det en falsk afsender, men i værste fald, er du med til at bekræfte, at din mailaddresse findes og det er værd at forsøge at sende spam, malware og phising mails til dig, i håbet om at få dig i fælden på et tidspunkt.

Ved at klikke på links, så risikerer du at komme ind på sider, der forsøger at installere malware, vira eller anden ondskab på din maskine.

Hvis du er i tvivl…

Hvis du er i tvivl om en mail du har modtaget er phising eller ej, så er et par tips, der kan hjælpe med at afklare det i en fart:

  • Hvis mailen indeholder stave- eller grammatikfejl, så den ikke lyder dansk, så er det tegn på phising.
  • Det er ofte phising, hvis budskabet i mailen ikke er logisk for eksempel:
    at du har vundet noget i en konkurrence, du ikke har deltaget i.
    at dit mobiltelefonni-selskab gerne vil give dig en gratis iPhone, men ikke  kender dit navn og addrese.
    at en rejse jorden rundt udbydes til en urealistisk billig pris.
  • Hvis mailen ikke er udsendt af/fra virksomhedens domæne (- mails fra DSB, bør altid komme fra en @dsb.dk adresse), så er det ofte phising.

Hvis du stadigt er i tvivl, så så åben selv en browser, gå ind på virksomhedens website og søg oplysninger via websitet, fremfor at klikke på links i mails.

Hvem er typisk “misbrugs ofre”

Når du modtager phising mails, så er det typisk følgende virksomheder, der forsøges misbrugt:

  • Teleselskaber, herunder specielt mobil-selskaber: Typisk er formålet at kunne skaffe sig adgang til at kunne sende overtakserede SMS’er, lave dyre opkald til numre i udlandet eller lignende.
  • Banker: Formålet er typisk at lave røveri mod netbanker, og overføre dit indestående til konti i udlandet, hvor pengene ret bekvemt kan forsvinde sporløst.
  • Andre finansielle virkesomheder: Paypal og lignende – motivet er det samme som for hvad angår banker, men qua paypal opererer internationalt, så er der også mange flere potentielle ofre.
  • Det offentlige: Alle har en relation til offentlige myndigheder, og det virker derfor mere plausibelt, at der kommer en mail til en fra en offentlig myndighed.

Du kan i øvrigt finde meget mere om phishing problemet – og flere gode råd på Mit TDC’s sikkerhedssite.

Sikkerhed og Java

Vi bruger efterhånden Internet (og IT-systemer generelt) til rigtigt mange kritiske ting, og som følge heraf syntes det også at blive stadigt mere attraktivt at finde sikkerhedshuller og udnytte disse.

Det seneste store hul, der blev fundet, var i Java (7), og det var et gumt sikkerhedshul, der endda virkede på tværs af Windows, Mac og Linux (såfrem man kørte med nyeste version af Java). Det er et såkaldt “Zero day” hul – det vil sige, at det er opdaget ved at nogle udnyttede det. Computerworld beretter dog, at det rygtes, at Oracle (der leverer Java) kendte til hullet månedsvis uden dog at levere en opdatering, der lukkede det.

Generelt har anbefalingen i de internationale medier været, at man blot burde afinstallere og fjerne Java, hvis man ikke havde brug for det. En af årsagerne til denne anbefaling var blandt andet at de værktøjer, som findes til at (nemt) udnytte sikkerhedshuller, allerede var blevet opdateret, så de også kunnne misbruge dette seneste hul. Der var med andre ord god grund til at tro, at mange ville blive ramt af digitale angreb, som en direkte følge af Java problemet.

Det er måske meget fint, for alle uden for Danmark, men desværre har vores alle sammens NemID, der bruges til NetBanker, e-Boks, den offentlige digitale verden og andre steder, valgt at bygge hele deres løsning på Java, og deres anbefalinger omkring sikkerhedsissues tangerer det tragi-komiske.

Hullet har været kendt en uges tid, og frem til i dag, har der været radiodødt fra Oracle’s side. Det er sjældent et godt tegn, da det typisk betyder, at Oracle holder fast i deres plan om kun at opdatere Java 3 gange om året. Næste planlagte opdatering var først den 16. oktober. Der har heldigvis været tilstrækkelig kritik og mediestorm omkring emnet, at Oracle i dag har frigivet en opdatering, der lukker hullet. Tak.