Weblog for Lars Sommer

Jeg blev kontaktet af en bekendt via Facebook, som spurgte til lidt gode råd efter noget malware eller en spamrobot havde haft fingre i hendes mailkonto.

Hendes spørgsmål og mit svar er generelle nok til det kan hjælpe andre, og den sidste lille krølle på historien er sød.

- – - – - -

Hej lars.

Jeg har et lille problem med min hotmail… den bliver ved med at sende de her engelske spam mails til alle i min kontaktbog. anja anbefalede at jeg ændrede mit password for det virkede for dennis, men er der andet jeg kan gøre for at “rense” min mail?

mvh pernille

- – - – - -

Hejsa

Presumed Security samt Security Through Obscurity, med henblik på fysisk sikkerhed i hjemmet

Nu har adskillige sagt at jeg blogger for lidt og chatter for meget.
Det må jeg hellere forsøge at gøre noget ved.

Det bliver først to korte anekdoter, og senere måske en anmeldelse af et produkt.

Presumed Security i hjemmevideo

Kort før jul købte en bekendt et videoovervågningssystem til sit hus, efter adskillige hjemmerøverier og indbrud i nærområdet.
Han satte to kameraer op, samt en fælles videoserver til dem. Via hjemmenetværket var det muligt at logge ind på videoserveren og se det optagede. Udstyret var sat til kun at optage når nogen gik forbi kameraerne.

Herefter kunne familien være tryg.
Eller hvad?

Jeg kom til testfremvisning af sikkerhedsudstyret.
Kameraerne optog såvel når katten gik forbi som når det blæste en smule udenfor. Deres finjustering kunne måske foretages et sted i softwaren…
Afspilning af gemte klip? – Nåh, det kunne vi ikke få til at virke.
Er videoserveren sikret så tyven ikke bare render væk med den? – Nå, ikke.

Det er et godt eksempel på Presumed Security, eller på dansk, Antaget Sikkerhed.
Typisk bruges begrebet om systemer hvor angriberen antager at systemet er for sikkert til at bryde ind i. Men i dette tilfælde passer det også fint den modsatte vej.

En fornuftig løsning må være et videosystem med et par kameraer der er så små at tyven ikke ser dem, en videoserver der virker, og gemmer dataen på en anden lokation, kombineret med et stort falsk kamera, kraftigt lys i indkørslen, samt skiltning om alarmudstyr.
Det kan givet vis give en Presumed Security overfor indbrudstyven, og samtidig en kameraløsning der virker “sikker” udfra en IT-sikkerhedsstuderendes synspunkt.

Jeg er meget modtagelig overfor forslag til videoovervågningssystemer til private.

Security Through Obscurity i dørlåsen

Da jeg for nyligt læste debatter [1][2][3] igennem om bankenøgler og dirke til dørlåse, blev jeg overrasket over folks naivitet.
Der er forbavsende mange der kritiserer TV for at have sendt udsendelser der viser hvor usikre mange dørlåse er. Der er ligeledes stor kritik af de folk der spørger til hvordan de f.eks. laver en bankenøgle, eller hvordan den virker.

HVAD TÆNKER I PÅ ?! – I tænker i hvert fald _meget_ kortsigtet.

Faktum er at mange husstande og biler (80 % ?) er beskyttet med elendige låse, der intet er værd overfor hverken indbrudstyve eller forsikringsselskaber.
Ved at tie det faktum ihjæl, er der alle tiders gode muligheder for østeuropæiske tyvebander og tilsvarende. For de ved da godt at låsene er usikre.

Selv i Danmark kan man frit købe låsepistoler, dirke og bankenøgler. Så tyvene, altså dem der interesserer sig for at åbne låse, har gode muligheder.
De privatpersoner, altså boligejere som typisk ikke interesserer sig for at åbne låse, ville jo ikke vide at deres lås var pivåben, hvis det ikke blev kastet i hovedet på dem via TV.

Man kan argumentere for at låseproducenterne (eller forsikringsselskaberne?) skulle gå aktivt ud og kontakte alle de havde solgt låse til, og tjene lidt på at tilbyde at opgradere til en sikker lås. I stil med softwareproducenterne der nogle gange selv sender sikkerhedspatches ud til deres software, før der kommer fulde beskrivelser af sikkerhedshullerne på nettet.
Men nu registrerer låseproducenterne altså ikke at du har købt en gammel Ruko-lås for 12 år siden, og har ikke lige din mailadresse i dag..

Så lad os da få emnet eksponeret så klart og tydeligt det er muligt, og tag dig så sammen og køb en ny og sikker lås for pokker da!

Du kan købe dirkeudstyr og låsepistoler på bl.a. LockPick.dk

Jeg modtager gerne forslag til sikre dørlåse til private.

For nylig tabte jeg et par dråber vand på mit MacBook-tastatur, og fik heldigvis tørret dem af før de kom ned i den.

Det ledte mig til at finde en tastaturbeskyttelse til MacBooken.

Efter lidt søgen, fandt jeg adskillige billige på MyTrendyPhone.dk, og endte med at købe den billigste til 42 kr.

Den ser ud som billedet her viser. Den er møg grim, og giver en følelse af at taste i en slags halvflydende gummimasse.
Men den beskytter helt sikkert mod de fleste mindre væskeuheld.

Den er ydermere vist lavet til amerikansk tastatur, med en knap mindre, så der er to steder den ligger lidt underligt, omend ikke videre generende.

Til 42 kr er det et stykke udemærket beskyttelse, hvis man altså kan leve med at ens maskine ser ud som om den har regnjakke på, og man taster halvt så hurtigt …

Jeg vil nu gerne give lidt mere, hvis jeg kunne få noget pænere og bedre. Sig til hvis du kender noget.

Det er dejligt at Danmarks Radio har direkte links til DR1 og DR2, men jeg ser normalt ikke DR.

Så jeg er på jagt efter andre direkte links, til streams der virker smertefrit med mplayer og/eller VLC.

Jeg faldt over siden Online365, som har samlet en bunke kanaler fra flere steder i verden. Super lækkert, men noget bøvl at skulle se TV inde på en hjemmeside. Jeg blev ret irriteret da jeg opdagede deres halvhjertede forsøg på at blokere for højrekliks via JavaScript.

Nu har jeg lavet et kort shellscript, der fisker alle deres direkte links til streamene ud, og laver shell-aliaser, så jeg f.eks. blot skal skrive setv_kanalnavn, for at starte mplayer med den rette stream-URL.

Før jeg frigiver scriptet mere tydeligt end på billedet, vil jeg gerne høre at det er helt tilladt at “høste” URLerne på det måde.

Ligeledes vil jeg rigtig gerne høre fra DIG, hvis du har en samling direkte links til gode TV-stationers streams, eller hvis du har nogle gode kilder til det, der holdes opdaterede.

I mellemtiden kan du også blot smide mig en mail på lasg@lasg.dk, hvis du vil kigge på mit script.

Jeg ville lige tjekke lidt kurser og muligheder hos Studienævnet for Elekronik og Informationsteknologi på esn.aau.dk. Tidligere har jeg skrevet om denne del af Aalborg Universitet, fordi den har været udsat for diverse hackerangreb, bl.a. her og her.

Når sådan noget er sket flere gange, øger man naturligvis sikkerheden, således det ikke sker igen.

Ikke?

Jeg nøjes med at bringe et enkelt billede denne gang. Kig på den røde pil, og bemærk at Aalborg Universitet mener der er en vis sammenhæng mellem kompetenceudvikling og Xanax.

Tør jeg stole på eksamensdatoer, afleveringsdatoer, kursusbeskrivelser, telefonnumre og mailadresser, med sådan en sikkerhed?

Kort anmeldelse af Blockmaster Safestick

Jeg fik en gratis Blockmaster Safestick af IT-sikkerhedsfirmaet C-cure til test.
Efter at have leget lidt med den i forskellige systemer, var jeg klar til noget skarp kritik af den manglende operativsystemkompabilitet.

Tilfældigt opdagede jeg at QpoX allerede havde blogget om dette, så jeg vil nøjes med at give ham fuldstændig ret på det område.
Blockmaster Safestick virker ikke i Linux, BSD eller OSX, eller noget somhelst andet, udover Microsoft. (Min personlige holdning er at man ikke bør håndtere fortrolige eller hemmelige oplysninger ukrypteret på et Microsoftsystem overhoved. Søg evt. efter antallet af sikkerhedsproblemer, hvis du er i tvivl.)
På bagsiden af pappet står den virker i VMware i Linux og OSX, men det er helt forkert. VMware er et program til at virtualisere, og køre operativsystemer gennem, ikke til at anvende USB-sticks i.
Nå, QpoX har helt ret. Lad os i stedet kigge på andre dele af Blockmaster Safestick, og se om det mon ikke er bedre.

I brevet fra C-cure.dk står bl.a. “Ingen andre produkter kombinerer organisatoriske sikkerheds- og fleksibilitetskrav som SafeStick”.
Hvis du er en smule erfaren udi IT-sikkerhed og operativsystemer, kan du holde det op imod at Blockmaster Safestick kun virker i Windows.

At brevet så er underskrevet et firma der hedder IT2Trust, og der ikke står C-cure nogen steder øger blot min forvirring.
Vil det være en god blackhat business case at opsnappe USB-stick-bestillinger, annullere dem, og så selv sende en malwarefyldt USB-stick afsted?
Nå pyt, vi stoler på hinanden.

Rent fysisk er Blockmaster Safestick primært lavet i metal, hvilket gør den robust og flot. Bagsiden er dog af plastik, hvilket resulterede i at den gik fra hinanden da jeg trak i den. Det er enormt dumt.
Det ville være et fysisk flot og holdbart produkt hvis det var ren aluminium det hele.

Intensionen bag Blockmaster Safestick er rigtig flot. Krypteringen er ikke til at se i dybten, så jeg skal ikke kunne sige om den er sikker eller ej. Hvis de har implementeret en AES256 og RSA1024 på en fornuftig måde, er det jo i sig selv rigtig fint.
Det er også meget flot af C-cure at de sender et eksemplar til gratis test. Det blev jeg positivt overrasket over og glad for. Tak for det.

Men jeg er generelt ret skuffet over Blockmaster Safestick, og kan slet ikke anbefale det til professionelt brug.
Det er måske egnet til virksomheder der ikke interesserer sig for IT-sikkerhed, og dem er der også rigtig mange af. Desværre har de så næppe interesse for et produkt der netop bør øge sikkerheden.

Nu har jeg takket og primært uddelt negativ kritik. Der må kunne skabes noget godt ud af historien også.
Jeg sidder og tænker lidt over en lignende løsning der er fleksibel.
Hardwareuafhængig, så den kan bruges på alle billige USB-sticks, og USB-harddiske. Software til flere forskellige operativsystemer, samt naturligvis åbne implementationer af sikkerhedsmekanismerne, så alle kunder selv har muligheden for at verificere sikkerheden.

Gode ideer og inputs modtages!

Dette er skrevet til folk der normalt ikke er i berøring med IT-sikkerhed.

Da en kollega spurgte til hvordan han sikrede sin hjemmeside mod hacking og defaces, fik vi en lille snak om værktøjer og metoder.
Typisk, når der er tale om små og mellemstore virksomheder, plejer jeg at anbefale dem at få lavet sikkerhedstest, pentesting og sikkerhedspolitik via et eksternt konsulentfirma som f.eks. Aconiac.com.

I dette tilfælde er min kollega selv i stand til at køre et par programmer, og har ikke noget super kritisk på sit system. Så han tager selv ansvaret, og ønsker blot lidt info om nemme og brugervenlige programmer til selv at lave sikkerhedstest med, mod sin ene server med sin ene hjemmeside.

Sikkerheden, og dermed også sikkerhedstesten, skal ses i to adskildte kategorier. Serverens programmer og services for sig, og web-applikationerne for sig. Det er vigtigt at teste begge dele.

Før i tiden var mange sikkerhedsfejl i servernes programmer, og det var gennem f.eks. en usikker mailserver eller webserver en server blev udnyttet. I dag er det i højere grad gennem webapplikationerne. Idet de kan mere og mere, og bliver mere og mere komplekse, giver det større grundlag for flere sikkerhedshuller.

For at anbefale et par programmer til sikkerhedstest af server og webapplikationer, er det nemmest at linke til de to gode lister her:  sectools.org/vuln-scanners.html og  sectools.org/web-scanners.html

Nogle af programmerne er dog ret dyre, og nogle kan være besværlige at bruge, hvis du ikke interesserer dig for sikkerhed.

For at starte med serveren, så er det absolut bedste værktøj Nessus. Det er gratis at bruge privat, med en “home feed”, der skal registreres med en mail-adresse. Det indeholder mange tusinde tests mod forskellige operativsystemer og typiske serverprogrammer. Et skan med en opdateret Nessus bør give dig udemærkede informationer om den nuværende status. Du får en rapport, hvor de fundne sårbarheder er markeret med rødt eller gult, alt efter hvor kritiske de er.
Som regel er rapporten godt uddybende, inklusiv information om hvordan du udbedrer de fundte sårbarheder. Hvis du alligevel har behov for hjælp med at sikre serveren, er du meget velkommen til at kontakte mig.

Af dyrere betalingsprogrammer bør både Retina og Core Impact nævnes. Du kan prøve en gratis demo af dem på  www.eeye.com og  www.coresecurity.com
Hvis du ikke selv har mulighed for at købe programmerne, kan du relativt billigt købe skanninger med programmerne hos diverse sikkerhedsfirmaer.

Til webapplikationerne er det gratis Nikto i top. Det skanner efter tusinder af sårbarheder, og kan benytte diverse plugins til yderligere funktionalitet. Desværre kommer opdateringerne til sårbarhedsdatabasen ikke så ofte som den kunne. Men Nikto er stadig et super godt udgangspunkt.

Af betalingsprogrammer til webapplikationssikkerheden, bør WebInspect og Acunetix nævnes. Ligesom med betalingsprogrammerne til serversikkerheden, findes disse to også i gratis prøveudgaver på www.spidynamics.com og  www.acunetix.com
Ligesom med servertestprogrammerne, kan du få lavet enkelte skanninger med de nævnte programmer, relativt billigt.

Er du i den situation at du selv har udviklet en webapplikation, eller har en skræddersyet løsning kørende, er det vigtigt at du får lavet manuel gennemgang af den også. De nævnte programmer virker typisk mest effektivt overfor udbredte webapplikationer.

Udover de omtalte programmer, er det bedste du kan gøre, at holde dine serverprogrammer og webapplikationer opdaterede.
Mange har tilknyttet en mail-liste hvor der kun sendes info om opdateringer og patches ud på. Sådan en liste er det vigtigt at være tilmeldt, så du får info om opdateringer og kan nå at opdatere _før_ et hul er udnyttet, og ikke blot opdatere når du tilfældigt opdager der er en ny version.
Hvis du ikke har tiden til det, anbefaler jeg igen at få et eksternt firma til det.

Du er velkommen til at skrive, hvis du har problemer eller spørgsmål til programmerne, eller deres brug.

Post Danmark skal jo explicit have en flytteanmeldelse når man flytter. Det kan man sikkert gøre nemt via E-Posthuset, hvis det ellers fungerede når man er anonym i CPR (Hvorfor er CPR anonymitet så primitivt at man ikke selv kan vælge hvem der må hente oplysninger ud?).

Da vi er to der flytter pr 1. juni, sendte vi flytteanmeldelsen allerede d.21. april, og skrev den skulle gælde pr 25. maj, da det sikkert ikke virker med det samme.

På flytteanmeldelsen står der man skal anføre navne på alle dem der flytter. Der er to linjer til at skrive navne på. Der er een linje til en underskrift i bunden. Jeg anførte begge navne, og skrev under. Der er heldigvis også plads til man kan anføre eventuelt telefonnummer. Så kan Post Danmark jo ringe hvis der er problemer eller lignende.

D.25. maj, altså den dag vi forventer flytteanmeldelsen gælder fra, kommer flytteanmeldelsen retur sammen med et brev, stemplet d.22. maj.

Brevet er underskrevet Flytteafdelingen hos Post Danmark, omend det er skrevet i førsteperson ental.

Vores flytteanmeldelse kan desværre ikke gennemføres, fordi der skal være underskrifter fra alle myndige personer i husstanden. Det er dejligt at få besked om, en måned efter flytteanmeldelsen er sendt, og den dag vi forventer den træder i kræft.

Jeg kunne rigtig godt tænke mig at vide:

• Hvorfor skal navne på alle der flytter, angives på samme flytteanmeldelse?
• Når der kun er plads til een underskrift?
• Hvad er formålet med at anføre telefonnummer, når det alligevel ikke bruges?
• Er det normalt at behandle flytteanmeldelser i sidste øjeblik, og først gøre opmærksom på fejl, når flytteanmeldelsen gerne skulle træde i kræft?

Trend Micro holdt partnerseminar onsdag d.6. maj 2009 i København. Der var mødt i omegnen af 20 mennesker op til dagen, der startede med fælles frokost.

Efter Kim Lindberg bød velkommen, fik vi en introduktion til Trend Micro Worry Free Business Security Hosted. Udover et enormt langt navn, er det en smart service til meget små firmaer (under 10 computere), som alternativ til at have antimalware-produkter installeret på hver enkelt maskine.

Dagens mest spændende oplæg, var David Sancho fra Trend Labs, der gav et indblik i de seneste teknologier fra Trend. Han kom dog også ind på hvordan sikkerhedstruslerne ser ud i dag. Før i tiden var det lyst og nysgerrighed der drev de ondsindede hackere. En “Fordi jeg kan, og vil vise at jeg kan”-mentalitet. I dag er hovedparten drevet af økonomien i stedet. En “Fordi jeg kan tjene lette penge på det”-mentalitet.

Trend påstår at den økonomiske gevindst i IT-kriminalitet overstiger gevindsten ved f.eks. narkohandel. Samt at straf og risiko for at blive opdaget, er ekstremt meget mindre. Derfor er det et oplagt marked for banditterne, og derfor stiger antallet af IT-kriminelle eksplosivt.

Som interessant teknisk indslag, viste David Sancho et par moderne måder at angribe private brugere på, samt hvad de IT-kriminelle kan udføre med en bagdør installeret på borgernes PC, udover det gængse med botnets og keylogging. Det kommer der muligt mere om herinde.

Efterfølgende fik vi en salgstale om et par andre Trend Micro produkter, der ikke var nær så interessante som Worry Free Hosted. Dagen blev afsluttet ved de to distributører Infinigate og ArrowECS.

En kollega spurgte ind til hvordan man laver systemoprydning og vedligholdelse i Mac OSX.

En del af dette kan nemt gøres ved hjælp af to gratis programmer.

Programmet OnyX kan lave forskellige oprydningsopgaver på harddisken, tjekke filsystemet, og køre diverse små stykker vedligeholdelse af de indbyggede programmer i OSX.

Det kan yderligere automatisk tjekke harddisken og filsystemet ved opstart, hvilket gør det til et super nemt værktøj at bruge.

Programmet Maintenance laver forskellig vedligeholdelse og oprydning. Det kan reparere permissions, køre periodiske scritps, genbygge databasen for Spotlight, og rydde ud i gamle cacher.

Du må endelig sige til, hvis du kender andre gode og relevante programmer til daglig systemvedligholdelse.