Finally someone gets it

I’ve been holding a bunch of lectures on information security over the years. One of my favorite tricks is to ask what the most efficient tool to crack security is. The answer, of course, is a hammer. My students tesnd to cringe up slightly when I tell them about just how EFFICIENT it is to smash fingers with a hammer as a means to get passwords. Anyhow. Xkcd (which in general is awesome) has captured this extremely well.

Advertisement

Vi har ju talat om detta med straff och mjuka datorbrott förr…

För ett tag sedan skrev jag om hur enkelt det var att genomföra attacker på bankernas säkra inloggningstjänster. Om ni inte minns det, så läs längre ner på sidan. Hur som helst. När jag föreläser om dessa ämnen brukar jag nämna att det finns en låg förståelse för komplexiteten och allvarligheten i dessa brott. Det visar sig att DI har kollat upp vilka straff som delats ut till de som har lurats att medverka i penningtvättande.

(more…)

Den Nya Mobilrevolutionen verkar lida av ett feltänk.

Läser i IDG om Near Field Communication, NFC. Snart ska man kunna betala med mobilen, yada yada. Sådant vi hört om länge, men det intressanta är att liknande lösningar faktiskt används i praktiken. Det används tydligen som digitala nycklar i Vara kommun. Ett citat ur artikeln:

“Digitala nycklar är ett annat exempel som tjänar nytta åt både privatpersoner och företag. I Vara Kommun, där hemtjänsten fått delta i pilottester, har responsen varit mycket god. Framförallt har tekniken sparat dem mycket tid i form av smidigare nyckelhantering. Digitala nycklar upplevs också säkrare och enklare då de inte går att kopiera och inte kan försvinna. Och i och med att pin-kodsverifiering endast öppnar dörren för behöriga, på enbart utsatta tider om man så vill.”

Någon som ser ett problem här? Kännetecknas digitala produkter, rent generellt, av att inte kunna kopieras eller försvinna? Dessutom så har de lagt till med pin-kodsverifiering, denna grund för all bra säkerhet… Eller inte. Jaja, de verkar i alla fall inte satsa på den hemska tekniken biometri…

Lösenord ska användas också, inte bara vara teoretiskt säkra.

Säkerhetsexpert Per Hellqvist varnar för nätfiske via falska youtubesidor. Spännande. Jag tycker alltid det är intressant med nya attackmetoder för Phishing. Per har också generellt vettiga råd om att man ska vara lite småparanoid på nätet. Bra så. Vad som är mest intressant är Pers råd för att att skapa ett säkert lösenord. Och, jag tar mig friheten att citera dem nedan:

1. Rent tekniskt sätt är det bra att använda sig av både stora och små bokstäver.
2. Kombinera bokstäverna med specialtecken.
3. Satsa också på att lägga in siffror i sitt lösenord.
4. Lösenordet bör vara relativt långt, mellan 12 och 15 tecken, och inte innehålla ord som finns med i något lexikon på något språk.

När jag läser de här råden hoppas jag att Per har blivit felciterad, eller så är detta ryckt helt ur sitt sammanhang. När jag läser artikeln verkar den riktad mot normalanvändare. Ni vet, normala människor. Sådana som kan ha svårt att komma ihåg lösenord som ser ut så här:
Sj8/5/7bg))y!!b

Råden i sig är ytterst vettiga i TEORIN, men i praktiken är de närmast värdelösa. Ytterst få kan komma ihåg den sortens lösenord. En oroande stor del av alla användare använder synnerligen usla lösenord (Sigge/Sigge är ju ett klassiskt exempel, men också Sommar, Vinter, eget namn, hockeylag, etc.). Att tro att de användarna ska gå från en sådan låg nivån av lösenord, till de Per rekommenderar ovan är fullständigt verklighetsfrämmande och rent av lite humoristiskt.
Per har också skrivit en bok med råd om hur man skyddar sina barn på Internet. Den säljs med sedvanlig FUD (“Internet är ett laglöst land utan sheriff och fullt av faror för ditt barn!”) och jag blir onekligen lite nyfiken på om han ger samma råd vad gäller lösenord där? Är de reglerna ovan vad man ska tuta i sin åttaåring som precis skaffat sig ett e-mailkonto?

Nog om detta, jag är som sagt hoppfull om att det är taget lite ur sitt sammanhang.

Bra metoder för rimliga lösenord finns det gott om, dock. Ett enkelt sätt att få en ökad säkerhet är att ha lösenord baserade på första bokstaven i något citat eller låt man tycker om. Du gamla du fria-inledningen blir då “dgdfdfhn”. Enkelt att komma ihåg. Ju mer obskyr musik/citat ju bättre. Dock också möjligt att generera och lägga i de databaser som används för att knäcka lösenord, varför säkerheten i det inte är optimal. För att göra det svårare kan utökade tecken läggas till, eller kanske istället använda andra, eller tredje, bokstaven i varje ord.  Det är såklart inte ett lösenord som är lika “säkert” som de Per tipsar om, men de är något som går att minnas.

Min favoritlösning på denna problematik är däremot passfraser. Jag kan skriva mycket om det, men i korthet går det ut på att man använder en fras istället för ett lösenord i de system som stödjer det. Istället för “sommar” så kan man använda “jag tycker mycket om sommaren”. Istället för “dgdfdfhn” enligt ovan, så kan man ta hela rasket “du gamla du fria du fjällhöga nord”. Så länge man använder ovanliga, ologiska och gärna personliga, meningar får man en mycket bra säkerhet då fraserna blir mycket svåra att knäcka. Blandar man sedan in lite stora och små bokstäver, felstavningar, mellanslag och siffror, blir det riktigt bra. “Duu gamla Du fr!a du fjallhoga Nörd”. Prova själva, det är enklare än man kan tro. Poängen är att en passfras är en väldigt enkel förbättring, som faktiskt folk kan lära sig. Det är inte perfekt, men det är en väldigt bra bit på vägen.

Nyhetstorka & Kunder Som Saknar Självdistans

Ok, låt mig börja med att påpeka att jag skrev om det här för snart ett och ett halvt år sedan:

Dressmann Har En Väldig Förkärlek För Effektiva, Expansiva och Ordningssamma Klädhängare

Med kort och allt. Och jag har sett dem i flera år, bland annat används liknande hängare i en kristen second-handbutik jag besökt. Hur som helst är det lite roligt tycker jag, men enligt Aftonbladet så har tydligen flera läsare hört av sig om blivit upprörda av dem. På allvar. Det är säkert samma personer som gråter så snart de ser siffrorna 18, 88, eller bokstäverna A, H. Och så vidare. Folk har ingen självdistans. Och Aftonbladet har tydligen varken bra journalister (Arkert kanske kan överraska i framtiden dock) eller något vettigt att skriva om. Tidningen blir allt mer lik två personer. Den promiskuösa skvallerkärringen och den elaka gubben som inte tycker att någon ska få göra något, och tar minsta sten på vägen som en plan att skymfa allt som är heligt. Pinsamt.

Artikel om Skyttets Framtid.

För den som är skytteintresserad så har jag skrivit ett litet inlägg om skyttets framtid, det finns att läsa på Arnes pistolskyttesida.

The Process of Switching to a iMac

So, I’ve become fed up with the windows operating system. Or, well, perhaps not, but the lust for something different has been there for a long time now… A very long time. In fact, I decided to switch to OSX a long time ago, but decided to wait for the new model iMac. Which was massively delayed, sadly. But early this summer the new models were released, while I was in SF, actually, so I had a chance to check them out there. Beautiful machines!
I did order one late August, a 24″ with the 2.4 GHz processor (I did not really see the need for the 2.8) and the new, small, wireless keyboard. The keyboard was massively delayed, however, and according to apple I would have to wait for almost two months before I got the machine. Then, out of the blue, they informed me that the machine was shipped, and all I had to do was to wait a week for delivery.
The machine, however, was well worth the wait. It is simply stunning. Almost surreally beautiful, far more than my old PC. Which, honestly, is about as beautiful as a pile of plastic with lots of cables on it. As far as I can tell, the iMac is really quiet, but that probably is due to the fact that the PC is so loud…
Adapting to the OSX way of working was a surprisingly swift procedure, even if I had not used OSX at all before. Not that I know everything, but as it turns out I can do pretty much anything I need to do rather easily. Installing programs is quite easy and instinctive, and other than that, well, most software is either similar between the platforms, or usable enough.

There are certain things I like a lot about the iMac:
– Widgets. They are really useful, and implemented well with the Dashboard. In fact, I am writing this in a Widget that allows me to update my blog.
– The hardware. It is so nice. Simply a beautiful machine.
– Ease of use. Now, I am a pretty experienced user, mind you, but I do appreciate the simplicity. I am lazy, and really do not want to spend time to learn how to do mundane things.
– System wide spellchecking. That is – there is a possibility for spellchecking in almost all software. Nice.

Things I dislike
– The mighty mouse. Who designed that crap? Honestly, it is simply horrible to use. I lasted for all of 20 minutes using it, and don’t believe that I ever will try it again. I was under the impression that they had adapted to the critique they got in the beginning, but no. It simply sucks.
– There really aren’t as much software to OSX as there is for windows. Now, this is a good and a bad thing. There almost always, in my experience, is a piece of software that will do whatever it is you want to do, but in the Windows world, there probably is at least 10. So it all ends up with you having to do a bit more googling to find the software, but it will be there. And, limited choices aren’t always that bad. You don’t have to try a bunch of software to know what solution fits you. Sometimes this is frustrating, however. I tried to find software to convert videos to ipodplayable formats. And almost all hits where software for windows, EVEN among the recommended software on mac/ipod forums. Frustrating, but, there are software for the Mac too, so no biggie.
– I’ve had one case where the machine “hanged”, and stopped responding, forcing a reboot. There are some rumors about trouble with an upgrade, but I don’t really know. It happened once, will look into it if it happens again.

Things I will be doing
– Upgrading the machine to more memory. Will the 1GB that was included is quite enough for most small tasks (surfing, word-processing, etc.) it is obviously to little once one starts to play with virtual machines etc. Memory is quite cheap now, so I’ll be adding 2GB more ram.
– More hard disk space (for storage). Yeah, I like ample storage, so I’ll be adding a couple of external HDs. In fact, I choose not to upgrade the internal HD, not because of price (even though that was a factor) but because by keeping a small internal HD and storing other, less relevant stuff on external storage, I’ll be able to do system wide backups on an external hard drive. Will try that this weekend. Should be fun to see if it works.

I’ll update more in the future as I try stuff and learn about them. Up till this point it has been an overwhelmingly positive experience to switch.

Flygbolag, Panik, Yttrandefrihet och Idiotiska “Kändisar”.

I SvD idag kan vi läsa att Dilba är en humoristisk tjej med glimten i ögat som inte tar någon skit från ett dåligt system.

“På frågan vart hon skulle åka svarade popstjärnan “Vad tror du? Jag ska spränga flygplan” ”

Av någon outgrundlig anledning såg inte (det amerikanska!) flygbolaget genialiteten i Dilbas lysande komik. Ja, tänk vad roligt om fler var sådana satiriska genier, då kunde vi ju få njuta av än längre väntetider vid flyget, och visst är väl just väntandet det roligaste med resan? Hur som helst så fick, konstigt nog, inte Dilba flyga med till USA.
US Airways försäkrar dock att det inte rör sig diskriminering, något man inte kan vara säker på, tycker jag. Det kan ju faktiskt vara så att Dilba blev diskriminerad för att hon är en idiot som ser till att det blir en massa förseningar och problem med flyget och egentligen aldrig borde få flyga igen.

Det finns ju massor med exempel på folk som faktiskt fått hårda straff, rent av fängelse om jag minns rätt, för liknande skämt i samband med flygningar förut. Vad passagerare ofta missar är att de som jobbar med säkerhetskontroller etc. faktiskt inte ska ha någon humor. Jag skulle i alla fall inte vilja leva i en värld där säkerhetskontrollanten får svaret “jag ska spränga flygplan” och bara skrattar och skickar vidare den aspirerande komikern/terroristen. Förvisso tror jag att flygplatssäkerhet är till största delen båg, en show för ögon mer än för säkerhet, men det får ju finnas gränser. Om man inte tror på systemet så kan man åtminstone tro på sina medpassagerare och undvika att jävlas med dem med än mer förseningar. Och så kan kan ju alltid skriva ilskna blog-inlägg istället… :-)

Why Computer Forensics is a Bad Idea

In CIO there is a really good article on why Computer Foreniscs is, as we say in the security business, hard. And by that we mean really, really hard.

The general problem here is that people assume that foreniscs is a good science with results that can not be (easily) manipulated, because we see the “science” of it in shows like CSI. And, from what I understand, traditional forensics is quite hard to manipulate. It is not possible for an amateur to fake blood splatter, to change traces of DNA, or even to easily manipulate footprints etc. The trouble is that with computer forensics we are dealing in a digital world where changes can be made, easily and without that much prior knowledge.

In fact, there is a wast selection of ready made tools available for the user with even the most basic googling skills and an interrest in the subject. The makers of forensic tools are running a constant battle with the anti-forensic tools, and there will never be a winner. In fact, the race itself makes everyone a loser. Because it is so easy to manipulate computer forensic data, it is arguable that it can be used in a court of law at all. Would we use DNA samples as evidence, if anyone could easily manipulate DNA data? No, we would not. Yes, there is a lot of users who does not have the knowledge to run these tools on their computers; but the problem is that other users might. The most obvious defense would of course be to argue that someone else has used the computer to do nefarious acts. And as a defense it is quite a good one. A good attacker would not leave any traces at all, so how can you disprove that argument?

Basically, we are stuck. Computer forensics are probably useful in certain cases, but the tendency to base investigations on their results, or even to confuse the validity of it with traditional forensics, is dangerous. In fact, we must probably face the fact that computer evidence really only have a very narrow usage, and must be combined with a lot of traditional police work if we are going to have any kind of legal protection as individuals.

Guantánamo Torde Vara En Bättre Miljö Än Vissa Svenska Häkten (Sensations-Statistik)

Det är alltid intressant att läsa om Guantánamo-“fängelset”. SvD kör idag en intressant artikel. Här förfasar sig journalisten (med rätta!) över de självmord som förekommit på basen och framhåller dessa som ett exempel på de hemska förhållanden som råder. Självmord torde vara en ganska bra måttstock på hemska förhållanden (eller slarviga vakter, dåliga psykologer, snett urval av fångar, dålig medicinering eller en massa andra skäl). Vad som vore minst lika intressant är för journalisten att göra ett besök på Göteborgshäktet, som tycks vara “bättre” än Guantánamo på att driva folk till självmord. De har rent av haft tre självmord på en månad. Med 200 platser på Göteborgshäktet och 400 på Guantánamo kan vi med den enklaste formen av matte och journaliststatistikslutledningsförmågan se att Göteborgshätet har ungefär 50 % värre förhållanden än Guantánamo. Och om vi tar in tiden som en liten tydligare faktor (3 självmord på en månad i Göteborg, 4 själmord på ett år i Guantánamo), så är Göteborgshäktet hela 18,75 gånger värre än Guantánamo.

Kanske ska vi kika lite på vad vi utsätter folk för i Sverige innan vi börjar döma andra länder? Den utan skuld kan kasta första stenen…