Milo

  • Med et stadig stigende antal detektiv / murder mystery serier og film der ser dagens lys, er den fælles tendens det uvisse. Det mystiske og hemmelighedsfulde fascinerer den brede befolkning. Tager man et kig tilbage, ser man at tendensen ikke er ny, men mere det nyeste skud på stammen – lysten til at afsløre og afmystificere er noget der ligger dybt i os mennesker. Selv de mindre nysgerrige iblandt os finder en vis tilfredsstillelse i at dele viden, som ikke er tilgængelig for andre. Hvor detektivhistorier og kryds & tværs tiltaler det brede publikum, så har hackere valgt at stille denne lyst ved at erhverve sig viden, der umiddelbart virker utilgængelig.

    Navnet hacker bliver nu brugt til at betegne den gruppe af individer, der besidder evnen til at lokalisere og erhverve sig informationer tilgængelig fra Internettet, der er forsøgt skjult og/eller sikret. Medierne udviser en stigende interesse for disse hackere og de nærmest magiske bedrifter de kan udrette, men alt for ofte fokuserer medierne på det mystiske, det uforklarlige, den gode historie og fastholder dermed den generelle opfattelse at hackere og computerspecialister lever i en særlig verden utilgængelig for almindelige mennesker. Men ganske som den magiske aura omkring en tryllekunster forsvinder så snart man forstår hvad der foregår kan hackerens metoder og værktøjer virke langt mindre skræmmende så snart man indser hvad der sker bag kulisserne.

    I dette indlæg giver jeg en kort beskrivelse af de første værktøjer hackere benytter når de forsøger at skaffe sig adgang til en anden persons oplysninger.

    Kvalificerede gæt, er ofte det første skridt på vejen. Det lyder måske ikke så sexet som man kunne have håbet, men det har vist sig at virke igen og igen. Først prøver vi med nogle kombinationer af navne; dit, din partners, dine børns og dine kæledyrs – oplysninger der med tiden er blevet let tilgængelig via blandt andet Facebook og Google. Har vi ikke noget held med det personlige forsøger vi med navnet på firmaet du arbejder i og smider gerne nogle tal efter 123, telefonnummer eller årstal er altid gode bud. Slår vi ud igen så forsøger vi med nogen af de mest populære kodeord; 123456, password, 123123, admin, letmein, password1, qwerty, abc123, 123456789,monkey, princess, trustno1, 111111, iloveyou, computer, welcome, internet, baseball, football, whatever, secret, matrix, 102030, test …..

    Gav dette heller ikke pote, bevæger vi os videre i værktøjskassen.

    Pass reuse, er en anden meget low tech tilgang hvor vi udnytter ofrets hukommelse. Hver dag skal vi logge på adskillige tjenester som E-mail, Sociale medier sider, Arbejds PC’er, Hjemme computere, Mobiltelefoner, Bank etc. og selvom vi godt ved at vi ikke burde genbruge vores kodeord, så ender det ofte med at vi bare genbruger det kodeord vi nu kan huske til et væld af tjenester og kun beskytter det vigtigste med noget stærkere. Ved at søge rundt i de tjenester et offer bruger kan man enten finde deres password direkte i en lækket bruger database fil eller der kan i nogen tilfælde identificeres et nemmere mål hvor koden så kan tilegnes.
    Blandt de mest udbredte leaks filer er Adobe(152.445.165 individer), G-mail(4.789.599 individer) og Snapchat(4.609.615 individer) som alle er let tilgængelige fra diverse forums.

    Brute force, er vores næste værktøj vi tager fat i. Det kommer til at tage længere tid og det bliver oftest meget tydeligt at et angreb er under vejs, hvilket er grunden til at vi venter lidt med bare at forsøge alle kombinationer – men vi kommer ikke altid udenom.

    Exploitation, eller software hacking kan være nødvendigt hvis vi ikke har mulighed for at gætte utallige gange. Vi forsøger simpelthen at bryde det stykke software eller den service brugeren benytter sig af. Kan vi lave et bufferoverflow, en SQL injection eller sender de trafikken over en usikker kanal? Der er en lang række sårbarheder, der kan ende med at give adgang helt uden at kende brugerens password.

    Shotgun, er en af de mere aggressive værktøjer i vores kasse. Vi forsøger at exploite alt hvad der rører sig på serveren for at finde nogen mulige sårbarheder – ofte ved at bruge automatiserede scanningsværktøjer som Nmap, Burp eller Nikto. Mens vi er i gang kan vi også sende nogen spear-phishing angreb mod det offer vi har interesse i.

    Så her har i nogle af de mest almindelige værktøjer mange hackere benytter sig af. Det ovenstående vil jeg nok mest betegne som the script-kiddy approach, hvilket er den mindst tekniske version af en hacker. De er langt fra de mest farlige, men det er klart dem der findes i det største antal og med mindre du er af en ekstraordinær interesse, så er det sandsynligvis dem du eller dit firma vil rende ind i.

    Jeg håber her at have afmystificeret mediernes ”hacker” og givet en hurtig gennemgang af nogle af de faser de vil forsøge sig med, når de vil skaffe sig adgang til skjult eller sikret information. Hvad man bør tage bort fra dette er, at dit passwords længde tæller for meget – hvis det ikke kan findes i en ordbog. Sætninger er ligeledes en dårlig ide og længden af passwords der er sætninger, skal ses som antallet af ord og ikke antallet af bogstaver. Så hav hovedet med jer når der skal vælges passwords og sørg nu for ikke at genbruge kodeord hos services der ikke kan tilbyde jer en ordentlig sikkerhed.

  • Thumbnail!–:dk–Jobsøgning er noget vi nok alle sammen har, eller kommer til, at beskæftige os med i løbet af vores karriere. Jeg har for nyligt selv været jobsøgende og må sige at jeg har været mindre end imponeret over […]

  • Så er tiden atter kommet til, at tage et kig på de lidt mere oversete sider, af vores ellers så elskede dagligdags cloudprogrammer. Denne gang vender vi luppen mod Dropbox, som er en af de mest brugte cloud storage services, med mere end 300 millioner brugere.
    Sidst vi tog et kig på cloud services og deres skavanker, var vi kun optaget af privacy overvejelser. Denne gang vil vi udvide lidt, og tage et kig på servicens generelle sikkerhed. Fra et sikkerhedsmæssigt perspektiv har Dropbox en mindre end imponerende track record, hvilket peger på en virksomhed, der endnu ikke behersker, eller endda fuldt ud forstår, de grundlæggende begreber i software sikkerhed. Lad os tage et kig tilbage over de senere år – på hvad jeg vil kalde deres ”greatest hits”;
    Marts 2011
    Dropbox applikationen til smartphones valgte ikke at gøre fuld brug af en SSL/TLS krypterede forbindelser. Metadata som filnavne, størrelser, ændringstidspunkter og data type.
    Data der enten kan være afslørende i sig selv, eller som kan bruges til at lave avanceret angreb som spear phishing og DropSmack.

    Authentication procedurerne blev deaktiveret i forbindelse med en opdatering, hvilket gav adgang til alle brugerkonti uden brug af password – whoopsie daisy.
    Faren ved at miste alt dataen er jo åbenlys, hvad enten det er fordi nogen stjæler det eller fordi nogen sletter indholdet. Andre potentielle angreb, som dette kan lede til er ransomware hvor en ondsindet bruger, krypterer dit data med deres egen nøgle og ”sælger” dig nøglen til dit data tilbage.

    April 2011
    Authentication tokens i klartext, der tilmed kunne flyttes til andre enheder og som selvfølgelig aldrig udløber. Brugere får desuden ingen besked om tilslutningen af nye enheder, da de ”teknisk” set bare er flere udgaver af de allerede eksisterende enheder.
    Så vi ender med at hvis man opsnapper en authentification token, har man adgang til den tilkoblede Drobox account indtil den slettes, uden at den originale ejer opdager at hans data har et ekstra publikum.

    Juni 2011
    Hashværdimanipulation tillod brugere at tilgå vilkårlige filer ved at manipulere hashudregningsfunktionen. Dropbox tillod altså alle med adgang til en Dropbox konto at tilgå vilkårlige filer – også selvom disse ikke var tilknyttet denne bruger.

    Det er ganske forbløffende, hvordan virksomheder i denne størrelse stadig kan undlade at etablere hvad man må kalde grundlæggende sikkerhedsforanstaltninger, såsom at koble brugere og deres data og sørge for at kritisk funktionalitet, eksempelvis loginfunktionen, kræver en hemmlighed, så som et token eller kodeord.
    Hvis vi kigger på privacy delen af Dropbox, så er den faktisk langt bedre end den vi observerede hos Google. Der er dog nogen få steder man skal være opmærksom på hvis vi snakker personfølsom information.
    Lad os starte med at kigge på ejerskabet af det data, der bliver gemt på deres servere

    When you use our Services, you provide us with things like your files, content, email messages, contacts and so on (“Your Stuff”). Your Stuff is yours. These Terms don’t give us any rights to Your Stuff except for the limited rights that enable us to offer the Services.We need your permission to do things like hosting Your Stuff, backing it up, and sharing it when you ask us to. Our Services also provide you with features like photo thumbnails, document previews, email organization, easy sorting, editing, sharing and searching. These and other features may require our systems to access, store and scan Your Stuff. You give us permission to do those things, and this permission extends to trusted third parties we work with. …

    Section Your Stuff & Your Permissions
    from Dropbox Terms of Service, in effect March 24, 2014

    Det fremgår heraf, at Dropbox ikke tager ejerskab af noget, der er uploadet, som helt sikkert er et krav. Bevæger vi os fremad, skriver de at man bevarer retten til at få adgang til data med henblik på at levere deres tjenester såsom previews, søgning og så videre. Dette synes ikke omfattende og er en nødvendighed for deres ydelser. Der er dog et spørgsmål om udvidelsen til “trusted” tredjeparter. Dette er ikke nødvendigvis et stort problem, men ifølge loven er det en nødvendighed, at den registeransvarlige er opmærksom på disse tredjeparter, så der kan etableres data-processor aftaler.
    Kigger vi lidt videre finder vi også:

    Others working for Dropbox. Dropbox uses certain trusted third parties to help us provide, improve, protect, and promote our Services. These third parties will access your information only to perform tasks on our behalf and in compliance with this Privacy Policy. …Dropbox Privacy Policy, in effect March 24, 2014

    Her ser vi samme problem som før, og dette vil have samme løsning. Læser vi lidt videre, finder vi også frem til et andet potentiel problem:

    Retention. We’ll retain information you store on our Services for as long as we need it to provide you the Services. If you delete your account, we’ll also delete this information. But please note: (1) there might be some latency in deleting this information from our servers and back-up storage; and (2) we may retain this information if necessary to comply with our legal obligations, resolve disputes, or enforce our agreements. …Dropbox Privacy Policy, in effect March 24, 2014

    Formuleringen her må siges at være særdeles vag. Selvom man kan forvente noget ventetid mellem sletning og fysisk fjernelse, så skal der sættes en øvre grænse for hvor langt tid det må tage. Dette er et krav fra persondataloven, der kræver at dataejere kan fjerne data inden for en fornuftig tidsramme. Den anden del af det ovenstående, vedrørende de lovmæssige krav, er åbenlys og i sig selv meget forståelig. Men det er jo ikke kun dit lands love de skal følge, men også love nedsat for de lande hvor dataene opbevares samt de lande hvor firmaet har hovedsæder. Dette kan nemt blive et juridisk problem, da Dropbox hurtigt kommer i en situation, hvor de enten kan følge Amerikansk eller Europæisk lovgivning, men ikke begge. Dette er en langt større problemstilling, som ikke knytter sig specifikt til Dropbox – et emne, der er for stort til at vi tager hul på det her, men som vi kan kigge på i et andet blogindlæg.
    Så selvom Dropbox har en mere medgørlig privacy politik end den vi fandt hos Google Drive, så har der været nogle meget seriøse problemer med deres sikkerhed. Så hvor jeg godt kunne finde på at bruge Dropbox til at gemme mine mindre personlige dokumenter, så anbefaler jeg at erhvervsrelateret data holdes derfra og tilsvarende alt data der er mere personfølsomt en e-mails. Hvis vi kun tænker privacy, er Dropbox hvad man kan forvente til privat brug, men persondataloven gør, at det ikke vil være lovligt at bruge deres service til at gemme personfølsomme data.

  • Not down with the Danish language? no worries – Grap this link for an English version of this post .

    Hvad enten man vil det eller ej, så er det et faktum at flere og flere af vores personlige oplysninger er at finde på nettet. Alt fra offentlige services til vores bankoplysninger, fra tøjbutikker til dating services – nettet er det sted, hvor borgerne interagerer og hvor virksomheder udøver deres håndværk. Desværre må vi erkende at sikkerhed og privatlivets fred er blevet tilgået for let. Love er indført, primært gennem det europæiske Data Protection Directive, der fastlægger rammerne for hvordan data om europæiske borgere skal behandles, men vores data bevæger sig ofte ud over den europæiske handels unions grænser, hvor disse bestemmelser ikke længere har nogen effekt. Et godt eksempel på dagligdags applikationer hvor vi mister kontrollen over vores personlige data er cloud storage applikationer som Dropbox, OneDrive og GoogleDrive. Disse applikationer har givet os muligheden for at tilgå vores data fra hvilket som helst sted med en internetforbindelse, på et vilkårligt tidspunkt gennem en stadig voksende mængde enheder. Men er du klar over hvad du opgiver for denne bekvemmelighed?
    Lad os tage et lille kig ned i deres brugsvilkår.

    For Google Drive er data ejerskab skrevet som:
    …Some of our Services allow you to upload, submit, store, send or receive content. You retain ownership of any intellectual property rights that you hold in that content. In short, what belongs to you stays yours. …
    Section Your Content in our Services
    From Google Terms of Service, In effect April 14, 2014.

    Så ejerskabet bliver ikke taget fra dig – so far so good. Men vi skal ikke læse meget videre for at finde en sektion, der virker til at modsige dette.

    … When you upload, submit, store, send or receive content to or through our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights you grant in this license are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones. This license continues even if you stop using our Services (for example, for a business listing you have added to Google Maps). Some Services may offer you ways to access and remove content that has been provided to that Service. Also, in some of our Services, there are terms or settings that narrow the scope of our use of the content submitted in those Services. Make sure you have the necessary rights to grant us this license for any content that you submit to our Services.
    Our automated systems analyze your content (including emails) to provide you personally relevant product features, such as customized search results, tailored advertising, and spam and malware detection. This analysis occurs as the content is sent, received, and when it is stored. …
    Section Your Content in our Services
    From Google Terms of Service, In effect April 14, 2014.

    Godt så – Google tager altså ikke ejerskab over dataen, men forbeholder sig stadig retten til at gøre med den præcist hvad de vil. Formuleringer som afledte værker er enormt vage og rettighederne til at kommunikere, udgive, offentligt udføre, offentligt vise og distribuere, er nogen af de mest ekstreme jeg nogen sinde er stødt på. De skriver dog at rettighederne kun vil blive brugt med det formål at opretholde, promovere og forbedre deres services, samt til at udvikle nye. Men hvor meget er det lige at de begrænser sig her? Google laver jo efter hånden alt, lige fra online advertising til selvkørende biler – og når rettighederne tilmed inkluderer nye services, er begrænsningen et sted mellem minimal og ikke eksisterende. For os data-ejere kan det simpelthen ikke retfærdiggøres at give Google disse rettigheder, især ikke hvis vi snakker personligt data og for firmaer vil det direkte være i strid med loven – Det stopper dog ikke mange fra at gøre det.

    Så hvad er mulighederne. I store træk har du tre; 1) sørg for at holde dit privat data væk fra de sårbare steder i skyen – en tilgang der kræver en del research, 2) Antag at dem du overlader dit data til aldrig kunne finde på at gøre noget uhensigtsmæssigt med det – den så kaldte struds-tilgang 3) eller du kan forsøge dig med at sikre dit data – et emne som jeg vil gennemgå i kommende blogindlæg.Engelsk ikke lige din kop te? det klare vi nemt – Klik på dette link for at finde en dansk version .

    There is no escaping the reality that more and more personal information have made the moved to the Web. Everything from the public services to our bank information, from the clothing stores to dating services – the Web is the place where citizens interact and where businesses ply their trade. Unfortunately with this move, has come the uncomfortable realisation that the security and privacy of these services are not keeping pace. Laws are in place, primarily through the European Data Protection Directive, which establishes a framework for how data on European citizens are to be handled, however, our data is often moved beyond the European Economic Area, which limits text extent these provisions are able to secure the data. A good example of everyday applications where we lose control of our personal data is cloud storage applications like Dropbox, OneDrive and Google Drive. These applications have allowed us to access our data from anywhere with an internet connection at any time through the multitude of devices. But are you aware of what you forfit for this convenience?
    Looking into the ownership issue, it seems apparent Google does not claim ownership of the data which is uploaded to its services. This is formulated in Google Terms of
    For Google Drive er data ejerskab skrevet som:

    …Some of our Services allow you to upload, submit, store, send or receive content. You retain ownership of any intellectual property rights that you hold in that content. In short, what belongs to you stays yours. …
    Section Your Content in our Services
    From Google Terms of Service, In effect April 14, 2014.

    So far so good, but the very next sections seems inconsistent with this:

    When you upload, submit, store, send or receive content to or through our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights you grant in this license are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones. This license continues even if you stop using our Services (for example, for a business listing you have added to Google Maps). Some Services may offer you ways to access and remove content that has been provided to that Service. Also, in some of our Services, there are terms or settings that narrow the scope of our use of the content submitted in those Services. Make sure you have the necessary rights to grant us this license for any content that you submit to our Services.

    Our automated systems analyze your content (including emails) to provide you personally relevant product features, such as customized search results, tailored advertising, and spam and malware detection. This analysis occurs as the content is sent, received, and when it is stored. …
    Section Your Content in our Services
    From Google Terms of Service, In effect April 14, 2014.

    This means that while Google does not claim ownership of the files uploaded they retain the rights to do anything with the data in any purpose they deem it necessary for. Formulations such as creative derivative works seems extraordinarily vague and the rights to communicate, publish, publicly perform, publicly display and distribute such content are some of the most extensive you can come across. It does state that these rights are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones, but what does that really say. The formulation is again vague and rights to use user owned data to any Google service, present and future, is quite similar to all rights as Google is one of the largest and most wide spread corporations of our time. This is clearly an issue of a one-size-fits-all policy, which grants unreasonable amount of control over users data. The reasons for making such an policy seems fairly straightforward, as quite broad rights are needed to and could work as a top level policy, if more narrower and more specific policies existed for their individual products. From a data-controllers viewpoint, it is no way justifiable to grant Google these rights over personal data and as such this makes their Terms of Service incompatible with the Act.

    So what are our options. Broadly speaking, we are left with three; 1) make sure we keep our private data away from the vulnerable places in the cloud – an approach that requires quite a bit of research, 2) Assume that the services we hand our data to would never think of doing anything inappropriate with it – the so-called ostrich approach 3) or you can try to ensure your data – a topic which I will discuss in future blog posts