av Mikael Winterkvist | apr 7, 2024 | Bluesky, Mastodon, Säkerhet
Google betalar, Apple betalar, Microsoft betalar och så finns det mer ljusskygga bolag som betalar för information om buggar och bäst betalar sig de som kallas ”Zero-Day”. Allvarliga, hittills okända buggar som skulle kunna exploateras och användas i attacker.
Generellt så betalar de seriösa bolagen mindre för buggar än vad mindre nogräknade obskyra säkerhetsbolag sägs göra men du tvingas då att ge dig in i en undre värld med allt vad det innebär. Nu har företaget Crowdfense publicerat en prislista. Företaget säger sig köpa in information om buggar och affärsidén är att sedan sälja informationen vidare.
SMS/MMS Full Chain Zero Click: från 7 till 9 M USD
Android Zero Click Full Chain: 5 M USD
iOS Zero Click Full Chain: från 5 till 7 M USD
iOS (RCE + SBX): 3,5 M USD
Krom (RCE + LPE): från 2 till 3 M USD
Krom (SBX): 200 000 USD
Krom (RCE utan SBX): 200 000 USD
Safari (RCE + LPE): från 2,5 till 3,5 M USD
Safari (SBX): från 300 till 400 000 USD
Safari (RCE utan SBX): 200 000 USD
Crowdfense liksom konkurrenten Zerodium säger att informationen säljs vidare till andra organisationer, som uppges vara statliga myndigheter eller statliga entreprenörer. Det hävdas att informationen då används för att uppdatera och utveckla hackningsverktyg för att kunna spåra och spionera på brottslingar.
Prislistor
Det finns även andra prislistor som bygger på utbetalningar som gjorts av lite mer kända bolag:
Google Chrome zero-days: upp till 3 miljoner USD
Safari zero-days: upp till 3,5 miljoner dollar
iMessage zero-days: mellan $3 och $5 miljoner
WhatsApp nolldagar: mellan $3 och $5 miljoner
Oavsett om du väljer att sälja din information till ett mera känt bolag där informationen kommer att användas för att täppa till och åtgärda säkerhetsproblem eller inte så kan du tjäna stora pengar på att jaga buggar.
TechCrunch
av Mikael Winterkvist | apr 6, 2024 | Bluesky, Mastodon, Säkerhet
Därför ska du hålla dina prylar uppdaterade
”Jag vill inte installera uppdateringen därför att det alltid är något som går sönder”
Känns argumentet igen?
Låt mig ta ett konkret exempel på varför du ska uppdatera dina prylar och vad som kan inträffa om du inte gör det.
Alla prylar, telefoner, surfplattor, datorer, kameror och allt som kopplas upp på nätet kan ses av andra och de kan bli föremål för attacker. Nu ska riskerna inte överdrivas och det finns ingen anledning till att befara det värsta men du bör hålla dina uppkopplade prylar uppdaterade av just det skälet. Just du kan bli intressant trots att du tycker att du inte har något av världe, något som är särskilt intressant eller något som kan vara av intresse för någon utomstående.
Det är nämligen det första misstaget många gör. Det är inte du som avgör vad som är intressant. Det gör den som attackerar dig.
Exempel
Tillbaka till ett konkret exempel – den här bloggen. Den har sannolikt litet eller inget intresse för någon. Det är en liten blogg som innehåller texter, bilder och videor. Trots det så gör det regelrätta försök att logga in, hitta konton och lösenord och det görs riktade försök att exploatera kända buggar.
Det är här dina prylar kommer in i bilden. Varje sekund, varje minut och varje timme så scannas nätet, automatiskt i jakten på sårbara system, enheter och prylar.
Exempel 1:
Tidigare i år så upptäcktes en allvarlig bugg i ett script som ingår i en så kallad slider, en bildvisningsfunktion i en plugin för WordPress. Under den kommande veckan så gjordes det 7 försök att exploatera denna bugg, ett per dag. Nu används inte denna plugin och har aldrig gjort men scanningarna fortsätter.
Exempel 2:
Nyligen upptäcktes en säkerhetsbrist i WordPress, i funktionen för att logga in med tredjepartsprogram och appar. Buggen är åtgärdad men det görs i snitt 4-5 försök, dagligen, för att se om Macken är sårbar.
Försöken
Försöken görs av IP-nummer från hela världen och det är inte säkert att det är riktiga IP-nummer och det är sannolikt inte riktiga användare. Det är script och automatiska funktioner som scannar del efter del av nätet i jakten på sårbara enheter.
Jag försöker inte skrämma dig bara beskriva hur nätet ser ut och vad som pågår, varje dag, dygnet runt och att det som vi kan tycka är naturliga måltavlor förvisso finns i fokus men om oturen är framme och just din eller min pryl scannas så kan vi också hamna i fokus.
Sannolikheten för det är liten men den finns och framför allt – det finns ingen anledning att du ska hamna i fokus. Uppdatera dina prylar är mitt enkla råd.
av Mikael Winterkvist | mar 26, 2024 | Bluesky, Mastodon, Säkerhet, Threads
Den uppdaterade versionen av ClearVPN tillåter användare över iOS-, macOS-, Android- och Windows-enheter att enkelt ansluta till servrar i 45+ länder, vilket möjliggör privat surfning, sömlös streaming av globala innehållsbibliotek och säker användning av offentliga Wi-Fi-hotspots.
– Vi på MacPaw har en vision där vi vill försöka att se till att datorer och annan elektronik fungerar tillsammans med och för användare. Med den här nya designen så exemplifierar ClearVPN vår visionen genom att erbjuda en privat, säker onlineupplevelse genom en vackert utformad app som fungerar sömlöst på alla enheter, säger Oleksandr Kosovan, VD och grundare av MacPaw.
I ClearVPNs uppdaterade gränssnitt bibehålls enkelheten med en knapp som användarna har haft i MacPaws andra produkter som CleanMyMac och CleanMy®Phone. Med ett enda tryck kan användare öka sin onlinenärvaro och få tillgång till den bästa tillgängliga servern för deras behov. De nya iOS-widgetarna ger omedelbar VPN-anslutning, medan Siri Shortcuts-integration tillåter automatisering av ClearVPN för scenarier som att aktivera det när du går med i offentliga Wi-Fi-nätverk.
”ClearVPN är utformad för att vara en modern VPN-lösning som utökar och skyddar varje användares onlineupplevelse genom elegant, enkel design”, säger Ivan Ablamsky, Lead Product Manager för ClearVPN på MacPaw. ”Vårt mål är att förena MacPaws produktsvit under en sammanhållen, användarvänlig estetik som ger integritet och åtkomst till hands.”
Ukraina
Sedan Rysslands invasion av Ukraina 2022 har ClearVPN tillhandahållit en gratis premiumversion till alla ukrainare globalt och på ryskockuperade territorier, vilket säkerställer deras säker tillgång till pålitliga informationskällor. MacPaw grundades i Kiev och förstår vikten av digital integritet mitt i det pågående kriget. Företagets expertis när det gäller att skydda online integritet visade sig vara avgörande under denna tid.
Nyckelfunktioner i det omgjorda ClearVPN
•Intuitivt gränssnitt med ett tryck för sömlös VPN-anslutning
•”Optimal Location”-algoritm som bestämmer den bästa servern för användarens behov genom att analysera faktorer som plats, närhet till servrar, tjänsttillgänglighet, serverbelastning och avstånd mellan servrar
•Tillgång till blixtsnabba servrar i nästan 45+ länder optimerade för användarnas behov
•Kryptering på toppnivå med avancerade protokoll för att säkerställa integritet
•Branschledande säkerhet med en strikt no-log policy
•iOS- och macOS-widgets för omedelbar VPN-anslutning
•Siri Shortcuts-integration för att automatisera VPN baserat på användarscenarier
•ClearWeb, ett nytt Chrome-tillägg från ClearVPN för att blockera annonser och onlinespårare
Språk som stöds
•engelsk
•ukrainska
•spanska
•franska
•tysk
av Mikael Winterkvist | mar 26, 2024 | Bluesky, Mastodon, Säkerhet
Apple har släppt en uppdatering av iOS 17 till version 17.4.1 och det är en uppdatering som innehåller åtminstone två viktiga säkerhetsuppdateringar. Detsamma gäller iPadOS och macOS. Därför bör du uppdatera dina prylar och du bör göra det nu.
Den senaste veckan så har Apple uppdaterat, iOS, iPadOS och nu senaset även macOS. De nya versionerna innehåller inga nya funktioner men flera viktiga säkerhetsuppdateringar varav några exploateras aktivt ute på nätet.
iOS/iPadOS
CoreMedia
Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
WebRTC
Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
Båda dessa säkerhetsbuggar kan exploateras för att köra obehörig kod på en sårbar enhet vilket gör buggarna synnerligen allvarliga.
macOS
CoreMedia
Available for: macOS Sonoma
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
WebRTC
Available for: macOS Sonoma
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
Buggar
Det handlar om samma typ av buggar i iOS/iPadOS och macOS – buggfar som kan exploateras i samband med att du processar bilder i din enhet – vilket inte är detsamma som att redigera bilder. Teoretiskt kan det räcka med att en bild ska visas.
Du uppdaterar snabbast och enklast med den inbyggda funktionen, direkt i din iPhone, iPad och/eller Mac-dator.
av Mikael Winterkvist | mar 20, 2024 | Bluesky, Mastodon, Säkerhet
Bedrägerier, inte sällan riktad mot äldre, där bankkonton plundras och enskilda rånas på sina livs besparingar är en lönsam ”industri” som omsätter enorma belopp – i ett system byggt och utformat av bankerna, med säkerhetsfunktioner utformade av bankerna – där deras kunder blir av med sina pengar. Vem bär ansvaret?
Antalet anmälda brott ökade under 2023. Fram till och med augusti i år, förr året, så hade polisen fått in 5 312 anmälningar — vilket är en ökning 23 procent jämfört med hela 2022. Antalet anmälningar har fördubblats mellan 2020 och 2022, på bara två år.
2020 anmäldes 6 877 bedrägeribrott det första halvåret mot personer över 65 år. 2021 var den siffran 8 874 och 2022 var det hela 12 388 anmälda fall det första halvåret.
Enligt polisen så kan det handla om så enorma summor som upptill 50 miljoner kronor, i månaden, för en enda större liga och det finns uppgifter om åtminstone 5-6 större kluster med kriminella som ägnar sig att ge sig på äldre, enskilda med olika former av funktionsnedsättningar – samhällets svagaste.
Skrupellösa
Uppdrag Granskning har kommit över inspelade konversationer när bedragare lurar äldre och det är en skrämmande inblick i helt skrupellösa kriminella som lurar äldre att de har ringt till bankernas säkerhetsavdelningar.
SVTPlay: Hackaren
Steg för steg luras offren till att tro att deras konton är under attack, att de riskeras att tas över av kriminella – allt medan bankens säkerhetsavdelning ser till att flytta undan deras pengar. Offren duperas till att starta BankID och flytta sina pengar – till bedragarnas konton. Hackaren har kunnat avlyssna allt, telefon, meddelanden och även de kriminellas enheter – samtalen dem emellan.
Det enorma insamlade materialet har lämnats över till Uppdrag Granskning och Polisen vilket lett till flera gripanden och en polsianmälan av hackaren.
Här kan du läsa mer om hur du skyddar mot bedrägerier:
Säkerhetskollen
av Mikael Winterkvist | mar 17, 2024 | Bluesky, Mastodon, Säkerhet
Plötsligt har du bytt adress, du bor inte längre där du bor därför att någon gått in och ändrat din bostadsadress.
En adressändring är också ett vanligt inslag i det som kallas för ID-kapning, någon stjäl din identitet och utger sig för att vara du, försöker ta olika typer av lån, köper saker på kredit och så vidare. Det kan ta tid innan du upptäcker det därför att bedragarna har begärt en adressändring och din post eftersänds – till bedragarna.
Adresslåset
Med adresslåset kan du, utan kostnad, spärra obehörig adressändring, eftersändning och lagring av din post samt bevaka ändringar
på din folkbokföringsadress. Du får en varning via sms och e-post om någon förändring sker hos Skatteverket.
Låset är personligt och kopplat till ditt personnummer. När ditt lås är aktivt måste ändringar av din adress signeras med BankID.
Du aktiverar tjänsten på några minuter, ha ditt BankID tillgängligt, logga in, aktivera sen är det klart.
