McAfees digitala plånbok som inte kan hackas … har hackats

John McAfee grundare av säkerhetsföretag med samma namn är inte de små ordens man och nyligen förkunnade han att hans digitala plånbok skulle vara omöjlig att hacka. Naturligtvis gick det som det brukar – plånboken har nu hackats.

John McAfee lovade också 100 000 dollar till den som lyckades för att understryka att han menade att han skapat en digital plånbok som skulle  vara säkrare än alla andra liknande tjänster.

CNet

Hackad

Nu ser det ut som att plånboken har hackats:

It’s this simple:

  • Bitfi confirmed to CNET that the wallet has been rooted, to the point that hackers are able to get the wallet’s hardware (roughly equivalent to a small Android tablet) to display anything they like on the screen. That alone satisfies one common definition of “hack.”
  • Bitfi says it doesn’t agree that rooting is hacking — but told CNET that Bitfi’s definition of a hack is “anything done to the wallet that would cause a loss of funds.”
  • Pen Test Partners, a noted security research firm that CNET has cited numerous times, tells CNET that it has been able to actually pull cash out of the wallet, too.
Därför ska du slå på tvåfaktor-inloggning

Därför ska du slå på tvåfaktor-inloggning

I dagarna kom rapporter om att konton hackats på Instagram, bildtjänsten. Konton har tagits över och bilder har bytts ut. Det är numera en tråkig verklighet i vår digitala tillvaro – konton hackas och tas över men det finns ett enkelt och effektivt skydd som du absolut bör slå på – om det finns för den tjänst du vill skydda.

Lösningen kallas tvåfaktor-inloggning, 2FA, och den bygger på att du ska använder en tredje faktor för att logga in. Oftast är det en pinkod, en serie siffror, som skickas till dig via ett meddelande/SMS. Du loggar in som vanligt med namn/e-post och ett lösenord och sedan bekräftar du din inloggning med sifferkoden.

Sifferkod

Sifferkoden kan också genereras med hjälp av en app där tjänsten vet vilken sifferkod du ska mata in för att kunna logga in på ditt konto. Hela poängen med 2FA är att om någon vill kapa ditt konot så krävs att denne någon också stjäl din iPhone, din Mac eller din iPad. Tjuven måste komma över någon av dina Apple-prylar för att på det sättet kunna komma åt ditt konto. Tjuven måste också ha dina övriga uppgifter naturligtvis.

Du kan idag skydda de flesta av dina viktiga konton med 2FA:

  • Apple ID
  • Facebook
  • Instagram
  • Discord
  • Linkedin
  • Twitter
  • Pinterest

Listan kan göras längre och har du idag ett konto, kontrollera om det kan skyddas med 2FA. Finns funktionen – slå på den den.

Amazons Echo kan hackas och spionera på dig

Amazons Echo kan hackas och spionera på dig

Kinesiska säkerhetsforskare har visat Amazons Echo (Alexa) kan hackas och den smarta högtalaren med en digital assistent skulle kunna användas för att spionera på dig. Nu ska noga understrykas att en sådan attack kräver stort kunnande, resurser och att det i skrivande stund inte är särskilt sannolikt att det skulle gå att genomföra i praktiken.

Just nu så får den attack som de kinesiska forskarna har presenterat mer ses som en teoretisk modell men den visar också att även de system som vi tror är mycket säkra kan attackeras.

Exploateras

För att attacken ska lyckas krävs dels en manipulerad högtalare, dels att svagheter och säkerhetshål i Amazon Echos bakomliggande system exploateras. Attacken görs i två steg.

En högtalare plockas isär, kretsarna med mjukvaran (firmware) tas ut och byts ut mot manipulerad mjukvara. Sedan sätts högtalaren samman igen och ansluts till Amazons nät.

De andra steget innebär att Amazons nät, anslutningar och gränssnitt exploateras. Attacken gör mot det protokoll som högtalarna använder för att kommunicera med Amazon.

Åtgärdade

Amazon har åtgärdat bristerna i gränssnitt och sitt system vilket gör att den nu presenterade metoden inte längre fungerar, inte ens i teorin. Metoden fungerar dessutom bara i mindre omfattning, inom ett begränsat område, ett hotell med flera Alexa-enheter till exempel.

Wired

Finska myndigheter utslagna av attack

Finska myndigheter utslagna av attack

Den finska polisen, tullen, försvarsmakten och de flesta av de finska ministerierna hemsidor låg helt eller delvis nere under stora delar av söndagskvällen. I princip slogs hela den finska statsförvaltningen ut i en massiv och omfattande överbelastningsattack.

Attacken inleddes strax före halv fem på söndagseftermiddagen och den riktades mot finska myndighetssidor. Under flera timmar så slogs hemsidorna ut helt eller delvis och attacken pågick fortfarande vid 23-tiden igår kväll. Även nu på måndagsmorgonen så gick det inte att nå soumi.fi, den finska samlingsportalen för statsförvaltningen.

DDoS-attack

En överbelastningsattack, DDoS-attack (Denial of Service) , är en attack där en webbplats dränks med skräptrafik tills webbplatsen inte klarar att hantera alla anrop. Efter attacken mot den finska statsförvaltningen så hart nu arbetet på att återställa webbplatserna och att försöka spåra vem eller vilka som ligger bakom attacken.

– Överbelastningen skedde cirka kl. 16.30, och problemet har lösts. Alla webbsidorna har inte ännu återställts men uppbyggnadsarbetet pågår, säger Pasi Lehmus, vd för Statens center för informations- och kommunikationsteknik Valtori.

svenska.yle.fi

Ryssland låg bakom massiv attack på svenska medier

Den 19 mars 2016 inleddes en massiv attack riktad mot flera stora svenska medier. Aftonbladet, Svenska Dagbladet, Dagens Nyheter, Sydsvenska och Dagens Industri slogs ut och var svåra eller omöjliga att små under flera timmar. Den 24 mars upprepades attacken där Ryssland nu pekas ut som ansvarig i diplomatpost skickad till USAs ambassadörer.

Det är inte första gången som Ryssland pekas ut. Det gjordes bara några dagar efter det att attacken genomförts sedan det visat sig att trafiken kom via ryska servrar. Nu ska för tydlighetens skull tilläggas att enbart det faktum att trafiken kom från ryska servrar i sig inte utgör något bevis för att Ryssland låg bakom attacken.

Macken 19 mars 2016Omfattande Ddos-attack mot svenska medier

Attack

Du kan hyra en samling servrar för att genomföra en överbelastningsattack, bland annat från internetleverantörer i Ryssland. En attack kostar allt från några dollar till några hundra dollar beroende på tid och omfattning. Attacken mot de svenska medierna var stor, omfattande och mängden trafik var massiv. Så stor att mediernas hemsidor och datorsystem dränktes av skräptrafiken.

Kort efter attackerna så pekade amerikanska myndigheter ut Ryssland som ansvariga i meddelanden som skickades ut till USAs ambassadörer runt om i världen. Meddelanden som nu har lämnats ut med stöd av det som kallas Freedom of Information Act och informationen har nu publicerats av Buzzfeed.

 

Miljoner Android-enheter är sårbara redan vid köpet

Miljoner Android-enheter är sårbara redan vid köpet

Wired skriver om ett omfattande säkerhetsproblem med Android-telefoner – de innehåller sårbarheten och problem redan vid köpet. Problem som bakats in i det som kallas firmware.

Firmware är mjukvara som startas innan operativsystemet startas, i det här fallet Android. Det är mjukvara som knyter samman hårdvarans olika delar och som startar operativsystemet.

SECURITY MELTDOWNS ON your smartphone are often self-inflicted: You clicked the wrong link, or installed the wrong app. But for millions of Android devices, the vulnerabilities have been baked in ahead of time, deep in the firmware, just waiting to be exploited. Who put them there? Some combination of the manufacturer that made it, and the carrier that sold it to you.

Wired

Modifieringar

Det är modifieringar av den ursprungliga koden. Det är funktioner som tillverkarna vill ha med och med ett ökat antal funktioner så ökar också risken för buggar och för säkerhetsproblem som kan exploateras.

The Black Hat talk focuses largely on devices from Asus, LG, Essential, and ZTE. That last one should pique some interest; DHS has suggested that the China-based company poses a security threat, though the agency hasn’t shared any concrete evidence to that effect.

problemen finns alltså inte bara i mindre kända Android-telefoner utan även de stora tillverkarna har problem med de formbare som de använder. Tillverkare så som LG, Asus och ZTE.

Mackens Fråga: Vad tycker du om Registeele/Regice/Regirock raider?