av Mikael Winterkvist | jan 7, 2023 | Säkerhet
Anonymous har slagit till mot Technoserv – närmare 1.2 TB data stals vid intrånget och bland alla dokument så finns dokument som visar på hur bland andra den ryska oligarken, tidigare ägaren till Chelsea FC, Roman Abramovich, skapat skalbolag i olika delar i världen för att undkomma skatt.
Strax före jul så slog Anonymous mot ryska Technoserv, ett IT-bolag. Cirka 1,2 TB filer från Technoserv (numera T1 Integration), en grupp IT-företag som specialiserar sig på systemintegration, nätverks- och molntjänster, informationssäkerhet och dataminering. Enligt hackarna innehåller uppgifterna cirka miljoner filer med AutoCAD-designer, kontrakt med kunder och partners och anställdas PII.
Skalbolag
Sammanlagt så stals 325 000 filer och 72 000 e-postmeddelanden från olika västerländska bolag som tillhandahåller företagsregistrering, administration, tillgångsförvaltning och holdingbolagstjänster tillsammans med passtjänster.
Uppgifterna avslöjar de verkliga ägarna till de skalbolag som bildats av dessa företag, såväl som överföringar av aktier, bankdokument och andra affärsprodukter.
Distributed Denial of Secrets
av Mikael Winterkvist | jan 2, 2023 | Säkerhet
Ett nytt skadligt program för Linux har utnyttjat 30 sårbarheter i föråldrade WordPress-plugin-program och teman för att distribuera skadliga JavaScript.
Säkerhetsexperter vid Doctor Web upptäckte nyligen ett program med skadlig kod, namngiven som Linux.BackDoor.WordPressExploit.1, som attackerar WordPress-webbplatser genom att försöka att utnyttja 30 sårbarheter i flera föråldrade plugins och teman.
Injecerar
Programvaran injicerar skadlig JavaScripts på / sårbara webbsidor och när användare klickar på sidan omdirigeras de till andra webbplatser som kontrolleras av angriparna.
Programmet är skrivet för både 32-bitars och 64-bitarsversioner av Linux med stöd för bakdörrsfunktioner. Den skadliga koden har övenm instruktioner för att attackera en specifik webbsida (webbplats), växla till standbyläge, stänga av sig själv och pausa loggning av dess åtgärder.
Innan den attackerar en webbplats kontaktar den skadliga programvaran C&C-servern och får adressen till webbplatsen som ska infekteras. Sedan försöker Linux.BackDoor.WordPressExploit.1 att utnyttja sårbarheter i följande plugins och teman om de är installerade på målwebbplatser:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Har du en webbplats så se över vilka tillägg som du använder och vilka versioner du använder. Finn ett tillägg med på listan så uppdatera – omgående.
av Mikael Winterkvist | dec 28, 2022 | Säkerhet
Strax före jul gick LastPass med mer information om ett intrång av obehöriga och medgav då att intrånget var långt mera allvarligt än vad de första uppgifterna sa. Lösenord, kunders lösenord, hade stulits vid intrånget.
Efter att ha gått igenom alla tekniska påståenden säger nu en säkerhetsforskare att situationen är mycket värre än vad företaget hävdar och menar att uttalandet är ”fullt av utelämnanden, halvsanningar och direkta lögner.”
Wladimir Palant skriver på sin säkerhets-blogg, Almost Secure, har gått igenom 14 olika uttalanden i LastPass-uttalanden om intrånget. Palant, går igenom allt från företagets löften om transparens till sina egen säkerhetspraxis. Wladimir Palant anser att LastPass har tonat ner riskerna och är skyldig till ”grov vårdslöshet”.
Ett av påståendena i fråga är LastPass som säger till kunderna ”Om du använder standardinställningarna ovan skulle det ta miljontals år att gissa ditt huvudlösenord med allmänt tillgänglig lösenordsknäckningsteknik.”
Deras uttalande är också fullt av utelämnanden, halvsanningar och direkta lögner. Eftersom jag vet att inte alla kan se igenom allt, tänkte jag att jag skulle plocka ut ett gäng meningar från detta uttalande och ge ett sammanhang som LastPass inte ville nämna.
Palant säger att det snarare handlar två månader än ”miljoner år” för den genomsnittliga personen:
Jag översätter: ”Om du har gjort allt rätt kan ingenting hända dig.” Detta bereder återigen grunden för att skylla på kunderna. Man skulle anta att människor som ”testar den senaste teknologin för lösenordsknäckning” skulle veta bättre än så. Som jag har räknat ut, skulle det ta mindre än en miljon år i genomsnitt att gissa ett riktigt slumpmässigt lösenord som uppfyller deras komplexitetskriterier med ett enda grafikkort.
Men mänskligt valda lösenord är långt ifrån slumpmässiga. De flesta människor har problem med att komma ihåg ett riktigt slumpmässigt lösenord på tolv tecken. En äldre undersökning fann att det genomsnittliga lösenordet hade 40 bitar av entropi. Sådana lösenord kan gissas på lite mer än två månader på samma grafikkort. Även ett ovanligt starkt lösenord med 50 bitar av entropi skulle ta 200 år i genomsnitt – inte orealistiskt för ett högvärdigt mål som någon skulle kasta mer hårdvara på.
What’s in a PR statement: LastPass breach explained
Intrånget hos LastPass: Dina lösenord kan nu vara i händerna på hackare
Efter det senaste intrånget – kan du lita på LastPass?
av Mikael Winterkvist | dec 23, 2022 | Säkerhet
Intrånget nyligen i LastPass datorsystem har visat sig vara långt mycket allvarligare än vad den första undersökningen visade. Nu kommer nya uppgifter som säger att de obehöriga som tog sin i i företagets datorer kommit över användares lösenord, krypterade lösenord men användares samling av lösenord stals vid intrånget.
Inledningsvis så meddelade LastPass att källkod och annan information stulits från en molntjänst som företaget använder. Den fortsatta utredningen har dock visat att de som tagit sin i LaspTass datorsystem gått vidare och kommit över lagrade lösenord via en säkerhetskopia:
Hittills har vi fastställt att när molnlagringsåtkomstnyckeln och dekrypteringsnycklarna för dubbla lagringsbehållare erhölls, kopierade hotaktören information från säkerhetskopian som innehöll grundläggande kundkontoinformation och relaterad metadata inklusive företagsnamn, slutanvändarnamn, faktureringsadresser, e-postadresser, telefonnummer och de IP-adresser som kunderna fick tillgång till LastPass-tjänsten från.
Hotaktören kunde också kopiera en säkerhetskopia av kundvalvdata från den krypterade lagringsbehållaren som lagras i ett proprietärt binärt format som innehåller både okrypterad data, såsom webbadresser till webbadresser, såväl som helt krypterade känsliga fält som användarnamn på webbplatser och lösenord, säkra anteckningar och formulärfyllda data. Dessa krypterade fält förblir säkrade med 256-bitars AES-kryptering och kan endast dekrypteras med en unik krypteringsnyckel härledd från varje användares huvudlösenord med vår Zero Knowledge-arkitektur. Som en påminnelse är huvudlösenordet aldrig känt för LastPass och lagras eller underhålls inte av LastPass. Krypteringen och dekrypteringen av data utförs endast på den lokala LastPass-klienten. För mer information om vår Zero Knowledge-arkitektur och krypteringsalgoritmer, se här.
Det ska understrykas, igen, att samlingarna med lösenord, användarnas lösenord är krypterade.
LastPass
av Mikael Winterkvist | dec 16, 2022 | Säkerhet
Apple har nu lanserat ännu mer kraftfull kryptering och ett ännu bättre skydd för data som du lagras i Apples moln, iCloud. Så här slår du på de nya funktionerna – när funktionen kommer till Sverige någon gång under 2023.
Det handlar omkring det som kallas end-to-end kryptering vilket enkelt förklarat betyder att du, och bara du, kan se och ta del av information om lagras – i det här fallet i Apples moln. Kryptering skyddar information från det att den lämnar din enhet, tills dessa att den algras och tvärtom – från det att du begär ned informationen från målet tills dess att den landat hos dig.
Det betyder att inte ens Apple kan ta del av det du lagrar.
Skyddad
Den nya funktionen, som Apple kallar Advanced Data Protection, lägger till end-to-end-kryptering för säkerhetskopior av dina Apple-enheter lagrade på iCloud. Avancerat dataskydd är för närvarande tillgängligt i USA, och Apple-användare runt om i världen kommer att få det någon gång 2023.
Nu ska tilläggas att detta inte gäller all information – kalender, påminnelser och en del annan information som ska kunna synkas snabbt mellan olika enheter krypteras inte med end-to-end. Bilder, dokument, säkerhetskopior däremot kan skyddas med end-to-end kryptering.
Du kommer att kunna lägga till en återställningsnyckel så att du har en extra säkerhet att kunna låsa upp all lagrad information. Utöver det så är det sedan bara att aktivera den avancerade kryptering och skyddet för all de information som du vill skydda.
Klart!
av Mikael Winterkvist | dec 16, 2022 | Säkerhet
Det amerikanska justitiedepartementet (DOJ) har beslagtagit och stängd ned ett stort antal domäner som använts för att marknadsföra DDoS-tjänster.
De nu aktuella företagen har gjort det enkelt och billigt, även för icke-tekniska användare, att starta kraftfulla DDoS-attacker (Distributed Denial of Service) för att slå ut webbplatser. DOJ anklagade också sex amerikanska män för databrott relaterade till deras påstådda ägande av de populära DDoS-för-uthyrningstjänsterna.
Hyr en hackare
Det kallas DDoS-for-Hire, en tjänst som du kan anlita för att dränka en annan webbplats med skräptrafik och därmed slå ut en webbplats. Det kan vara en speltjänst, ett online-casino, en konkurrerande e-handlare eller någons privata blogg som du har retat dig på. De här tjänsterna tillhandahåller en enkel tjänst där du betalar och anger när en attack ska sättas in. Har du behov av det så kan du hyra och anlita en hackare som attackerar den webbplats du har valt även på andra sätt.
Webbplatserna som var inriktade på den här operationen användes för att starta miljontals faktiska eller försök till DDoS-attacker riktade mot offer över hela världen. Medan vissa av dessa tjänster påstod sig erbjuda ”stressare” tjänster som påstås kunna användas för nätverkstestning, fastslog FBI att dessa påståenden var en låtsaselse, och ”tusentals kommunikationer mellan administratörer på startsidan och deras kunder … gör klart att båda parter är medveten om att kunden inte försöker attackera sina egna datorer”, enligt ett intyg som lämnats in till stöd för domstolsbehöriga beslut om att beslagta startarwebbplatserna.
De samordnade brottsbekämpande åtgärderna kommer strax före julhelgen, vilket vanligtvis medför en betydande ökning av DDoS-attacker över spelvärlden.
DoJ
Utpressning
Attacker har använts för utpressning – en webbplats slås ut med skräptrafik och sedan krävs en summa för att attacken ska upphöra. Det finns även exempel på hur konkurrerande bolag använt attacker mot varandra, spelsajter, vadslagningssajter och online-casinon har utsatts för DDoS-attacker på detta sätt.
Sex personer, män, åtalas nu för olika typer av brott, kopplade till den här typen av tjänster och det handlar om ett mycket stort antal brott utslagna på flera års verksamhet. I ett av fallen så handlar det om över 30 miljoner attacker med närmare två miljoner registrerade användare.
Krebs on Security
