torsdag den 10. april 2014

Muligt "hul" på LinkedIn

UPDATE: 

 Trods en tests igår viser det sig ved efterfølgende tests at "hullet" ikke slår igennem udaftil. Derfor kan vi konkluderer, at der ikke er et sikkerhedsproblem selvom vi undrer os over funktionerne. 
_____

 Det viser sig at være muligt, at ændre vitale informationer hos alle ens 1. connections og på alle man har inviteret til at connecte (selvom de ikke har accepteret) på LinkedIn. Om der er tale om en fejlindstilling i administrationen af en enkelt profil eller om det er et kendt "hul" vides ikke. Uanset hvad er det meget uheldigt. 

"Jeg har personligt set, hvad det er eMino Security kan gøre og det skræmmer mig, at det er muligt" siger Birgitte Kofod, formand for rådet for digital sikkerhed. 

 eMino Security går nu igang med, at undersøge "hullet" til bunds og forventer at kunne give LinkedIn en melding i løbet af fredag. eMino Security ønsker ikke, at offentliggøre "hullet" da det kan skabe unødig uro.
Indsendt af kl. Ingen kommentarer:

torsdag den 27. marts 2014

Pas nu på med de informationer på nettet!


Vi har efterhånden lært at mails fra skat der kræver konto oplysninger ikke er rigtige, så hvad gør hackerne så? De målretter deres angreb ved at bruge lidt tid på info søgning og håb om at man accepterer en fiktiv venneanmodning eller linkedin connection. 

 Fakta er at vi i stigende grad afgiver informationer om os selv på nettet via sociale medier, blogs, kommentarer, evalueringswebsites, dba, ect. Om man helt skal holde sig væk er et godt spørgsmål. Helt grundlæggende så er det summen af de samlede informationer man kan finde der udgør en risiko. Når man kommenterer indlæg som her eller f.eks. på en avis giver man uvildigt informationer der kan bruges mod en.

 Og det er tit chokerende for folk når vi præsenterer dem for hvad vi på lovlig vis kan finde ud af om dem på kort tid ved, at bruge de rigtige værktøjer. 

 Hvis jeg skulle give et råd så opret en fiktiv mail og identitet og brug den de steder hvor du afgiver "følsom information". Lad være med at bruge din Facebook eller Twitter konto til login på diverse services.

 Et eksempel er et sted som Trustpilot. Trustpilot indeholder ret interessante informationer om brugerne. Heldigvis er der mange der ikke lige afslører deres identitet ved at kalde sig f.eks. "Kunde". Men som et lille åbenlyst eksempel så se på denne profil:

 Eksempel 

 Det er ret let at finde ud af at brugeren Erik Lund Panduro formegentlig er gift med Lissie. Erik arbejder hos Nordisk Institutionsmedia og bor Krovej 2B, 5874 Hesselager. Erik kan fanges på 21472740. For en hacker eller identitetstyv vil det være let at fortsætte og finde flere informationer og enddag vide fra hvilke firmaer der skulle sendes fiktive mails for at forsøge at få f.eks. dankort oplysninger. Man kunne begynde at se om Anja og Line Maria kunne være døtrene. Men fakta er at viden om salg af guld og hurtiglån er brugbar viden i en hackers/tyvs verden. 

 Hvorvidt det er en reel trussel handler om hvem man er, hvad man har på spil og om man kan gennemskue de mails og connections man får. Desværre viser vores undersøgelser at alt for mange accepterer venneanmodninger og connections uden at vide hvem de lukker ind, ligesom man ukritisk deler informationer der alene synes ufarlige men samlet kan udgøre en reel trussel.  

 Og det er ikke kun hackerne der bruger informationerne. Vi har gennem tiden hjulpet mange med at få et overblik over de samlede informationer på nettet og få fjernet dem der er uønsket ved at kontakte dataholder. På den anden side har har vi hjulpet arbejdsgivere, forsikringsselskaber og detektivbureauer med at finde informationer om personer. Så overvej hvordan du bruger nettet og hvad du inddirekte og direkte fortæller om dig selv. 

Indsendt af kl. 2 kommentarer:

lørdag den 28. december 2013

CCFE

Certified Computer Forensic Examiner. Så kom beviset på endnu en bestået certificering.

Certificeringen bestod af 2 dele, dels en multiple choice test på tid og en praktisk del hvor en kopi af en harddisk skulle gennemsøges for spor og beviser på, at have været brugt til ulovligligheder.

Jeg har indtil nu været brugt af dedektivbureauer samt mistænksomme privatpersoner der ville have deres partners harddisk undersøgt for spor på utroskab.

Med certificeringen på plads kan virksomheder der har mistanke om medarbejderes svindel få undersøgt om der er hold i dette, inden en politianmeldelse. Ligeledes vil forsikringsselskaber og revisionsselskaber kunne drage fordel i at genskabe/efterforske på data. Hvorvidt staten af og til udliciterer opgaver til specialister er jeg ved at undersøge.

Skulle du ønske en fortrolig snak om mulighederne i forhold til it efterforskning så kontakt mig gerne på telefon 40 87 60 91

Kenneth Jørgensen, eMino Security & Forensic
Indsendt af kl. Ingen kommentarer:

tirsdag den 10. december 2013

Codan og Csis føljeton



(Dette blog indlæg er en opfølgning på min reaktion mod Codan og Csis´s agressive markedsføringskampange mod små og mellemstore virksomheder i forhold til at tegne en krimforsikring, da den ikke dækker det der oftes er problemet, nemlig driftstabet fra virksomheden rammes til den er på foged igen. Derudover finder jeg det problematisk når rådgivnings virksomheder ikke er uvildige. eMino Security er en uvildig rådgivningspartner når det handler om hjælp til it-sikkerhed.)

 Først tak til alle jer i mit netværk der var medvirkende til, at Codan reagerede og nu gerne ville sende mig deres guide og betingelser som jeg har gennemgået. 

 I forhold til krimforsikringen har jeg stillet 6 uddybende spørgsmål til Codan. 

 Det er en overordnet en fin guide. Det er altid svært at tale om "vigtigste råd" i forbindelse med it-sikkerhed, men Codans 3 råd (antivirus, opdatering og backup) er relevante og hænger (sjovt nok) sammen med kravene i Codans forsikring. Jeg savnede rådet om opmærksomhed og sund fornuft fra medarbejderne, men det var beskrevet på den efterfølgende side. 

 Jeg er MEGET UENIG i tippet omkring det gode password. Idag handler password om længde, forskellighed og udskiftning. 7 tegns password, som tippet viser i Codans vejledning, er simpelthen ikke godt nok. Se evt. mit blog indlæg om emnet.


 Codan kunne godt i vejledningen have nævnt, at man kan få hjælp hvis man rammes. DK-cert kan kontaktes 24/7 for analyse og giver forslag til løsninger - se https://www.cert.dk/kontakt/

 Det bliver spændende at følge Codans og de øvrige forsikringsselskabers sager i de tilfælde hvor forsikringen ikke dækker, da der er mange krav og fortolkningsmuligheder. 

 SØGNING: Kender du nogen som har en netbanksforsikring / krimforsikring og som ikke har fået godkendt erstatning så vil jeg meget gerne i kontakt med dem. 

 Hvis du keder dig så prøv at søge på krimforsikring på Codans hjememside - ret sjovt søgesvar man får ud af det (-:
Indsendt af kl. Ingen kommentarer:

onsdag den 30. oktober 2013

Smarttv og it-sikkerhed


eMino Security har igennem længere tid testet smarttv og mulighederne for at hacke dem, herunder at udnytte et evt. indbygget webcam til at overvåge rummet som smarttvet står i.

Konklusionen er klar på det smarttv der er testet på - det er ikke smarttvet som produkt der udgør en trussel, men mere andre omstændigheder i forbindelse med smarttvet. 

De omstændigheder eMino Security vurderer udgør en trussel for it-sikkerheden er:

  • Enhver enhed på ens netværk udgør en trussel. Det gælder for smarttv som for andre enheder, åat de jævligt skal opdateres. Denne process er ikke lige let på alle smarttv og der er ikke indbygget automatisk information om hvornår der er en opdatering klar.
  • Fakta er, at de fleste smarttv sender i "plaintekst" hvilket betyder at data som f.eks. login og kreditkortoplysninger sendes ukrypteret og dermed kan ses hvis man ER blevet hacket. Det tv eMino Security har testet på, informerede om dette forhold.
  • Et tv laver meget trafik på netværket og har man opsat et trådløs netværk gør den øgede trafik det lettere at hacke netværket hvis man ikke har den fornødne sikkerhed.
  • En ny gruppe af brugere er kommet til. Mange finder ud af hvor let det er at købe ting og hente programmer via smarttvet og hvor brugeren måske tidligere ikke har anvendt nettet til e-handle og downloads begynder man at gøre det nu, uden at kende farerne.
  • TV producenterne har ingen gode grunde til at skulle poste mange penge i sikkerhed når tvet i forvejen er presset i pris (dette er naturligvis en påstand fra vores side).
  • Det er ikke tydeligt hvordan kontrollen med de programmer (apps) man kan hente til tvet er. Er det som til android "et slaraffenland for alle" eller som til ios "et meget kontrolleret land".

Det er vores vurdering, at hvis man tager de fornødne forholdsregler som ved enhver anden enhed man har på sit netværk, så er det lige nu kun en meget lille personkreds der har kompetencerne til at hacke et smarttv direkte.

Indsendt af kl. Ingen kommentarer:

torsdag den 8. august 2013

Tilbage på arbejde - har du styr på dit password?

Det vurderes, at mindst 70% af danskerne bruger passwords der enten starter og/eller slutter med et tal - er du en af dem?. 

 Flere og flere ved heldigvis at længden af et password og brugen af store og små bogstaver, tal og tegn har en væsentlig betydning. 

 Faktisk bør dit password indeholde mere end 10 tegn og bestå af en blanding af store små bogstaver, tal og tegn.

Det er lykkedes eMino Security at cracke 3.2 milliarder (us billion) passwords i sekundet ved at udnytte kraften i grafikkortene**

Det betyder at hvis dit password er på 8 tegn og består af:
  • små bogstaver (eks. dortemus), kan det crackes på 1 minut
  • små bogstaver og tal (eks. lars2013), kan det crackes på 14,5 mimutter
  • små og store bogstaver (eks. DorteMus), kan det crackes på under 5 timer
  • små og store bogstaver og tal (eks. Lars2013), kan det crackes på 18,9 timer
  • små og store bogstaver, tal og almindelige specialtegn (eks. PeR!2013), kan det crackes på 10 dage

Bruger du f.eks. 12 tegn og kun små bogstaver vil cracktiden blive lige under 1 år!

 Det højeste vi har set nogen opnå er 154 milliarder (us billioner) passwordcracks i sekundet, hvilket betyder at PeR!2013 kan crackes på 5,2 timer!


Udover at tjekke dine passwords til forskellige services, så husk også at tjekke passwordet på dit trådløse netværk. Bruger du wpa kryptering kan en hacker opsnappe kodeudvekslingen og cracke koden i ro og mag.

eMino Security vil naturligvis fortsætte jagten på endnu bedre cracking resultater (-:

** Teknisk: Cuda Multiforcer under slackware med 2 overcloked 660 nvida grafikkort med hver 960 cuda cores - send mail til kbj@emino.dk hvis du vil vide mere om teknikken bag.
Indsendt af kl. Ingen kommentarer:
Etiketter: , , ,

tirsdag den 18. juni 2013

Hvem narrer hvem?



TDC, DSB, eller DSB's kunder? 

Af en eller anden grund - sikkert praktisk - udleveres der ikke længere vouchere til det trådløse net i toget på strækningen Aalborg - København. 

I stedet kan kunder på DSB1 logge sig gratis på TDC hotspot ved hjælp af vognnummer og pladsnummer. 

Men det er ikke noget problem at angive at man sidder på en DSB1 plads selvom man ikke gør - og vupti er man gratis på nettet.

Da vi testede en plads med et vognnummer der ikke var DSB1 så fik vi sørme også gratis net. 

 Og ikke nok med det. To pc'er der angav det samme vogn- og sædenummer kunne også logge på... 

Spørgsmålet er om det er TDC der narrer DSB eller det er DSB der narrer DSB1-kunderne eller er det faktisk DSB-kunderne der narrer både DSB, DSB1-kunderne og TDC....

Indsendt af kl. 3 kommentarer:
Abonner på: Opslag (Atom)