av Mikael Winterkvist | sep 17, 2023 | Säkerhet
2FA, tvåfaktor, är ett extra säkerhetslager som rekommenderas för alla dina konton – och speciellt för viktiga konton. Apple ID, dina konton i sociala medier och så vidare. Så här byter du 2FA-program och app – från Google Authenticator (som många använder) till ett annat program och en annan tjänst som inte snokar på dig.
Tekniskt och funktionellt så är det inget fel på Google Authenticator. Programmet fungerar alldeles utmärkt och det är gratis men det är sökjätten Google och tro inte för en sekund att data inte samlas in om dig – det är Googles hela bärande affärsidé. Dessutom så är Google Authenticator begränsat i sin funktionalitet och det kan därför vara en god idé att byta program, app och tjänst.
Så här gör du
Det finns inget blixtsnabbt, enkelt sätt för att exportera ut alla dina konton och sedan bara importera in dem i ditt nya program – tyvärr. Det handlar om koder som ska genereras upp och det är unika engångskoder vilket betyder att det är en hel del säkerhets förknippat med hela funktionen så av det skälet så kan du inte exporter och importera. Du måste göra bytet manuellt.
- Logga in
- Slå av 2FA
- Slå på 2FA igen men scanna av QR-koden med ditt nya program
- Bekräfta koden
Klart!
Se också till att generera upp nya backup-koder som du kan använda om det av outgrundlig anledning inte skulle fungera neon gång då du ska logga in eller om du blivit av med appen som generar dina 2FA-koder.
Spara dina backup-koder på säker plats – skyddade med lösenord i Anteckningar/Notes eller i 1Password för att ta två exempel som fungerar.
Säkerhetslager
Med 2FA så har du ett extra säkerhetslager som skyddar dina konton och även om en obehörig skulle komma över alla dina namn och lösenord så krävs en engångskod för att kunna logga in. Det rekommenderas att generera koderna lokalt, i din Mac eller i din iPhone – inte fp dem skickade som ett meddelande men är det enda metoden som finns att tillgå så är det bättre än bara namn och lösenord.
Vill du öka skyddet runt dina konton ytterligare så kan du välja hårdvara – en liten dongel, USB eller USB-C som du ansluter för att kunna logga in. Den fungerar precis som vilken annan nyckel som helst och du använder nyckeln som genererar de koder du behöver – utan att du behöver göra annat än att ansluta nyckeln.
Step Two
Själv använder jag Step Two som finns för macOS, iOS och iPadOS. Konton synkroniseras via Apples iCloud och jag valde Step Two därför att programmet ingår i SetApp, ett abonnemang som jag redan har. För att kunna använda Step Two i min iPhone så fick jag köpa appen för 129 kronor, engångssumma, medan jag redan har Step Two för mina Mac-datorer inom ramen för SetApp.
Det är ett snyggt, prydligt program och app som gör sitt jobb utan en massa ”bells and whistles” – det fungerar helt enkelt och nu har jag Step Two i alla mina enheter – även i min Apple Watch Ultra.
av Mikael Winterkvist | sep 16, 2023 | Säkerhet
Apple stärker säkerheten runt iOS och din iPhone och din iPad ytterligare i och med lanseringen av iOS 17 och iPadOS 17. Här är Magasin Mackens guide till de nya säkerhetsfunktionerna.
Spårning och kartläggning
Apple förbättra skyddet mot ”tracking”, spårning och kartläggning av vad du gör ute på nätet med, och i, webbläsaren Safari. Idag är tillägget av så kallade spårningsparametrar ett vanligt sätt att samla in IP-adress (platsinformation) och enhetsinformation. Förutom adressen till en webbplats så läggs en rad unika siffror in som ska bilda ett digitalt fingeravtryck för dig och din enhet.
I Safari, Mail och Messages kan iOS 17 automatiskt upptäcka dessa typer av webbadresser och ta bort spårningsdelen i realtid, direkt. Du kan slå på funktionen för allt surfande eller bara privat surfning.
Så här aktiverar du funktionerna:
- Öppna appen Inställningar i iOS 17
- Scrolla ned till det sista alternativet, med titeln Avancerat
- Tryck på Avancerat spårnings- och fingeravtrycksskydd
- Välj önskat alternativ
Privat surfning
Apple lägger till ett extra säkerhetslager för privat surfning genom att lägga till möjligheten att slå på och slå av funktionen med Face ID. I iOS 17 kan du växla ”Kräv Face ID för att låsa upp privat surfning” för att skydda dina flikar. Åtgärden krävs varje gång du stänger Safari eller låser din iPhone.
Funktionen är även tillgänglig i macOS Sonoma men då verifierar du med ditt lösenord eller Touch ID istället.
- Öppna Inställningar på din iPhone som kör iOS 17
- Scrolla ner till Safari
- Kontrollera att Kräv ansikts-ID för att låsa upp privat surfning är aktiverat
Skydda dina bilder
Skyddet av dina bilder stärks i de nya versionerna av Apple operativsystem. Appar som tidigare har haft tillgång till dina bilder (efter att du har godkänt det) i sex månader, eller längre, kommer nu att kräva ytterligare en bekräftelse. Du kommer att få att en uppmaning om att begränsa appens åtkomst eller fortsätta att tillåta full åtkomst till ditt bibliotek.
Väljer du ”Begränsa åtkomst” kommer du att bli ombedd att välja specifika bilder eller videor varje gång du vill dela media med appen – ett betydligt bättre sätt än att ge en app eller en tjänst full tillång till alla dina bilder.
Check in
Check in är en helt ny funktion. Tanken är att du snabbt ska kunna meddela nära och kära att du har kommit hem, nått din destination och att allt har gått bra. Du kanske är på väg hem efter en festkväll, en sen natt, och vill kunna meddela några utvalda när du är hemma. Då kan du göra det med Check In. Du kan skicka ett meddelande, automatiskt, när du har kommit fram – till utvalda mottagare – och det är viktigt att understryka att sändare och mottagare måste ha funktionen aktiverad.
Så här kan du ställa in Check In:
- Öppna Messages-appen i iOS 17
- Välj mottagare som du vill skicka en incheckning till också och tryck på + längst ned till vänster
- Tryck på Mer för att visa fler alternativ
- Checka sedan in
- Efter att ha gått igenom inställningssidorna kommer du att se incheckningen visas i Meddelanden. Där kan du sedan redigera plats och andra alternativ, om du går eller kör exempelvis.
Radera 2FA-meddelanden
Nu kan du ställa in att tvåfaktor-meddelanden ska raderas automatiskt.
Använder du tvåfaktor, 2FA, ofta så kan du ha en gång rad med meddelanden med koder. De kan du nu radera, automatiskt.
- Öppna appen Inställningar och gå till Lösenord
- Tryck på Lösenordsalternativ
- Slå på Rensa automatiskt
av Mikael Winterkvist | sep 8, 2023 | Säkerhet
Under torsdagen så släppte Apple uppdateringar för alla sina operativsystem, iOS, iPadOS macOS och watchOS, och det är en serie mycket viktigt uppdateringar. Bland annat så har Apple åtgärdat en säkerhetsbugg som exploateras bland annat av spionprogrammet Pegasus.
Det handlar om buggar som aktivt exploateras ute på nätet just nu vilket gör att det är viktiga uppdateringar som du absolut bör, eller rent av ska, installera, snarast.
I och med att det handlar om buggar som obehöriga försöker exploatera skriv så har Apple snabbt släppt uppdateringar. Bland buggfixarna så finns en så kallad zero-klick sårbarhet som alltså ska ha exploateras av det ökända spionprogrammet Pegasus.
Interaktion
Sårbarheten, som upptäcktes av Citizen Lab, är känd som BLASTPASS. Det tillåter angripare att attackera iPhones som kör den senaste versionen av iOS (16.6) utan någon interaktion från offret. I klartext – buggen kan exploateras, Pegasus och andra spionprogram kan installeras utan att användaren klickar på något eller bekräftar installationen. Allt som kärvs ä’r att ett meddelande öppnas.
Exploateringen involverar PassKit-bilagor som innehåller skadliga bilder som skickas från en angripares iMessage-konto till offret. När offret öppnar bilagan exekveras den skadliga koden och enheten infekteras med Pegasus spionprogram.
Pegasus
Pegasus är ett kraftfullt spionprogram som kan användas för att spåra ett offers plats, spela in deras samtal och meddelanden och till och med komma åt deras kamera och mikrofon. Det har använts av regeringar för att rikta in sig på journalister, aktivister och politiska motståndare.
Pegasus spyware har använts för att hacka journalister, advokater och aktivister
av Mikael Winterkvist | aug 20, 2023 | Säkerhet
I januari 2018 fick vi vetskap om buggar i Intels processorer, Spectre och Meltdown. Oberoende forskargrupper publicerade detaljer om de säkerhetsbristerna som kunde leda till att kod kunde exekveras i sårbara system. Nu är det dags igen och den här gången har buggarna fått namnet Downfall.
De tidigare bristerna påverkade olika typer av processorer, framför allt Intel, men även AMD, och ARM-baserade processorer som de som finns i iPhones och iPads. Apple Silicon bygger för övrigt på ARM. Intel med flera, även Apple, tvingades att snabbt ta fram buggfixar för att stoppa pågående attacker av obehöriga. I flera fall så bestod buggfixarna av ändringar i operativsystemens kod eftersom den kod som styr processorerna internt inte gick att ändra på.
Buggfixar
I några fall ledde buggfixarna till att påverkade Mac-datorer fick något sänkt prestanda vilket Apple inte alls uppskattade och det finns flera, med insikt i hur hela ärendet hanterades internt inom Apple, som berättat att det fick Apple att öka arbetet med att utveckla sin egen plattform, Apple Silicon. Intels buggar och Intels oförmåga att utveckla processorer som var påvisbart snabbare för varje ny generation var viktiga anledningar till att Apple gick över till Apple Silicon; en process som vi är inne i slutfasen av.
Intel är på väg att fasas ut men fortfarande så finns det en stor skara Mac-användare som använder Intelbaserade Mac-datorer – och de kan påverkas av Downfall.
Downfall
Den 9 augusti 2023 så berättade forskaren Daniel Moghimi, på Black Hat USA 2023-konferensen, om en ny bugg, Downfall (CVE-2022-40982). Moghimi hade då rapporterat sårbarheten till Intel nästan ett år tidigare, i augusti 2022. Av säkerhets skäl så hemlighölls all information till augusti i år.
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryption keys, and private data such as banking details, personal emails, and messages. Similarly, in cloud computing environments, a malicious customer could exploit the Downfall vulnerability to steal data and credentials from other customers who share the same cloud computer.
Downfall
Exploateras
Exploateras Downfall så kan minne, krypteringsnycklar, kontoinformation och annan känslig information läsas av i ett sårbart system. Daniel Moghimi själv presenterade det som kallas ”proof of concept”, ett bevis på hur buggen kan exploateras, där krypteringsnycklar stals från OpenSSL.
Intel har släppt uppdateringar för berörda processorer, liksom Dell, Lenovo och andra tillverkare har börjat släppa BIOS-uppdateringar för drabbade, sårbara datorer. Apple däremot har varit tyst – trots att medierna efterfrågat kommentarer och mer information.
Apples motsvarighet till uppdateringar av BIOS är Firmware-uppdateringar och såvitt vad som är känt så har Apple inte släppt några uppdateringar för att åtgärda Downfall. Apple släpper Firmware-uppdateringar tillsammans med uppdateringar av MacOS och det finns ingen information om några uppdateringar. Det finns överhuvudtaget ingen information om Downfall på Apple supportsidor – ingen som jag har lyckats att hitta.
Summera
Så vi vet inte om Downfall påverkar äldre Mac-datorer, vi vet inte om eller hur buggen skulle kunna exploateras och vi vet inte om Apple planerar en uppdatering som ska hantera och åtgärda säkerhetsproblemet.
Apple gör det Apple tyvärr burkar göra när det kommer till säkerhet – håller käften och idkar ”security by obscurity”.
av Mikael Winterkvist | aug 19, 2023 | Säkerhet
Nu har ytterligare ett spionprogram hackats och källkod och uppgifter om kunder har lagts ut på nätet. Det är Android-programmet SpyHide, utvecklat i Iran, som fått sina servrar hackade vilket resulterat att källkod och uppgifter om kunder nu publicerats på nätet.
Spyhide är en övervaknings-app som installeras på offrets telefon av någon som har inloggningsuppgifterna. Appen är designad för att förbli dold på telefonens startskärm vilket gör SpyHide svår att upptäcka och svår att ta bort. När den har installerats så samlar SpyHide, dolt och och kontinuerligt, in telefonens kontakter, meddelanden, foton, samtalsloggar, inspelningar samt detaljerad plats i realtid. SpyHide ser hela tiden till att berätta var telefonen och offret finns geografiskt.
Hackades
I slutet av juli i år så hackades SpyHide av den schweiziska hackaren maia arson crimew. Attacken och intrånget möjliggjordes via det webbaserade grafiska skal som SpyHide tillhandahöll för sina kunder. Via denna webblösning så kunde kunder ta del av den stulna information som HideSpy kontinuerligt samlade in från avlyssnade offer. Genom att exploatera ett säkerhetshål i instrumentpanelens kod, fick hackarna tillgång delar som ingick i HideSpys interna funktioner, däribland databaser, dokument och källkoden till appen.
Android-enheter
SpyHides databas visade sig innehålla ett detaljerat register över cirka 60 000 komprometterade Android-enheter över ett tids-spann som sträcker sig tillbaka till 2016 fram till datumet för intrånget, vilket gjordes i mitten av juli i år. Databasen inkluderar samtalsloggar, textmeddelanden och exakt platshistorik som går tillbaka flera år. SpyHide har även samlat in information om varje fil, när ett foto eller en video tagits och när filerna laddades upp. Appen har även samlat in information om när samtal spelades in och hur länge samtalen pågick.
Our analysis shows Spyhide’s surveillance network spans every continent, with clusters of thousands of victims in Europe and Brazil. The U.S. has more than 3,100 compromised devices, a fraction of the total number worldwide, yet these U.S. victims are still some of the most surveilled victims on the network by the quantity of location data alone. One U.S. device compromised by Spyhide had quietly uploaded more than 100,000 location data points.
TechChrunch
I databasen finns även drygt 750 000 enskilda och organisationer som registrerat sig i avsikt att använda SpyHide – vilket betyder att nuvarande kunder och eventuellt blivande kunder nu offentliggjorts och publicerats på nätet.
DDoS-Secrets
Källkod och användardata för spionprogramvaran SpyHide för Android från 2016 till mitten av juli 2023.
SpyHides programvara har tvecklats i Iran och servrarna finns i Tyskland och enligt TechCrunchs analys så kan minst 750 000 användare och cirka 60 000 komprometterade enheter finnas i ett övervakningsnätverk som sträcker sig över alla kontinenter.
DDoS-Secrets
Spionprogrammet LetMeSpy läggs ned sedan hackare raderat företagets server
av Mikael Winterkvist | aug 13, 2023 | Säkerhet
Det pågår en handel med stulna konton ute på nätet, varje dag, varje timme och de säljs i grupp eller auktioneras ut ett och ett. Konton som antingen stulits i samband med intrång med så enkla lösenord att de har kunnat att knäckas eller gissas fram. Det finns siffror som säger att nio av tio intrång görs med stulna konton – någon annans uppgifter. Det är dags att skaffa ett program för att hantera dina lösenord.
Det finns en grundregel inom säkerhet – ingen ska få följa sitt eget lösenord. Även om vi tror oss vara smarta. listiga och även om vi tror oss välja ett svårgissat lösenord så är vi vanemänniskor. Vi väljer ord och fraser som vi känner igen eller som vi tror oss kunna komma ihåg och det är akilleshälen som obehöriga, hackare mycket väl känner till.
Hackaren
Har du ett konto i sociala medier så kanske du har angivit dina favoritböcker, favoritfilmer eller favoritmusik. Det är en bra start för en hackare för att börja leta efter fungerande lösenord. Din bil, ditt mellannamn, barnens namn, båtens namn eller stugans namn är inte heller dåliga ställen att starta på. Vid de tillfällen då gamla servrar har fasats ut och ska pensioneras så brukar systemansvariga exportera ut gällande lösenord som har använts – Secret och Top Secret brukar ligga med i toppen tillsammans med qwerty, abc123 och fotbollslag och hockeylag, Detsamma gäller lösenord som måste se ut på ett visst sätt. Ställs det krav på ett ett tecken som inte är en siffra eller en bokstav – utropstecken eller liknande ska finnas med i lösenordet så petar de flesta av oss in det tecknet som det sista tecknet i våra lösenord. Det vet hackaren.
Lösenordslistor
Oskyddade dokument, anteckningar, listor med konton och lösenord ligger påfallande ofta lätt sökbara i mobiltelefoner och datorer. En kort stunds access, några sekunder så kan den listan stjälas. Lägg sedan till att alldeles för många av oss har samma lösenmord till en rad viktiga konton. Ett namn och ett lösenord fungerar för e-post, Apple ID och andra viktiga konton.
Allt detta vet hackaren som har långa listor på lösenord som ofta förekommer och som kommer att kunna köra olika kombinationer blixtsnabbt därför att bland hackarens verktyg så finns program som systematisk provar olika namn och lösenord tillsammans.
Öppna uppgifter
Jag har själv, för kunds räkning, kartlagt anställda inom ett bolag, startat ute på parkeringsplatsen, skrivit om alla registreringsnummer och bilmärken, gått vidare med att plocka fram ledningsgruppen – som passande nog fanns med på bild i den senaste årsredovisningen som jag kunde hämta ut på Bolagsverket. Jag samlade in information om 10-15 personer som jag kunde gissa mig till sannolikt hade hög access till företagets datorsystem. jag hoppade däremot över företagets VD och styrelseordförande. Detta var den typen av bolag där andra försåg just de personerna med den information om de underlag som de behövde i sin dagliga verksamhet. Jag räknade med att just de två inte hade tillgång, någon högre tillgång till et datorsystem vars säkerhet skulle testas. Jag fick betalt för att försöka att ta mig in.
Inom 14 dagar så hade jag ett fungerande konto på hög nivå och två konton på mellannivå. Hur jag gick tillväga är en sak som stannar mellan mig och företaget men jag kan tillägga att detta är inte det enda uppdraget med snarlikt utfall.
Min poäng är, återigen, att vi inte ska välja lösenord, det ska systemet göra och vi ska inte heller hantera våra lösenord själva. Användarna är nästan alltid ett systems svaga punkt och deras hantering av kontouppgifter är det hackare fokuserar på.
Byta lösenord
Tidigare så gavs ofta rådet att byta lösenord, oregelbundet och alltså tvinga användarna att byta lösenord då och då. Något som visat sig vara kontraproduktivt. Vi kommer, stegvis, att välja allt osäkrare lösenord därför att vi har dålig fantasi eller för att uppmaningen att byta lösenord komma olägligt, när vi har bråttom.
Du har en inbyggd lösenordshanterare i din Mac, iPhone och iPad – KeyChain och du kan lagra dina lösenord, krypterade och skyddade i Apple moln – iCloud Keychain.
Slå på iCloud Keychain på din iPhone, iPad eller iPod touch
- Tryck på Inställningar, tryck på [ditt namn] och välj sedan iCloud.
- Tryck på Lösenord och nyckelring.
- Slå på iCloud-nyckelring. Du kan bli ombedd att ange ditt lösenord eller ditt Apple ID-lösenord.
Slå på iCloud Keychain på din Mac
- Välj Apple-menyn > Systeminställningar (eller Systeminställningar).
- Klicka på ditt namn och klicka sedan på iCloud. I tidigare versioner av macOS klickar du på Apple ID och sedan på iCloud i sidofältet.
- Aktivera lösenord och nyckelring.
iCloud skyddar din information med end-to-end-kryptering, vilket ger den högsta nivån av datasäkerhet. Dina data skyddas med en nyckel som är gjord av information som är unik för din enhet och kombinerad med din enhets lösenord, som bara du känner till. Ingen annan kan komma åt eller läsa dessa data, varken under transport eller lagring.
Med iCloud Keychain aktiverat så sparas dina löse nord, automatiskt, och de synkroniseras automatiskt.
Komplement
För egen del så har jag 1Password som ett komplement och som backup för iCloud Keychain. Programmet finns där alla dina Apple-prylar (iPhone, iPad och Mac). Då kan du spara betal/kreditkort och annat, anteckningar och annan viktig information – skyddad och synkroniserad.
Nu till det viktigaste av allt – låt programmen skapa dina lösenord när du lagrar dem. Då skapar du slumpmässiga lösenord som inte kan kopplas till dig som person. Vidare – slå på och använd tvåfaktor, 2FA. Då skyddas dina konton med ett extra, lösenord, engångslösenord vilket ökar skyddet runt dina konton, väsentligt.
