Billede: Facebook

Hvis Facebook mistænker at din konto er under angreb fra en hacker der arbejder for en nation, vil de nu sende dig en advarsel om dette.

I denne advarselstekst anbefales det også, at du slår 2-faktorverificering til, hvormed der menes logingodkendelse.

Facebooks sikkerhedschef Alex Stamos udtaler:

These types of attacks tend to be more advanced and dangerous than others...
... We strongly encourage affected people to take the actions necessary to secure all of their online accounts

Der vides ikke hvordan Facebook helt præcist ved når der er tale om et statsautoriseret angreb versus et som ikke er, men Facebook forsikrer at de kun vil bruge denne advarsel når de har solide beviser på at oplysningerne er korrekte.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   2164

Billede: Flavio Takemoto, FreeImages.com

Sikkerhedseksperter har ytret ønske om, at producenter af netværksudstyr bør gøre router firmwares til open source, da det vil styrke sikkerheden at få flere øjne på koden.

Problemet med den nuværende model, er at ikke alle routerproducenter er lige flinke til at udsende patches, når en ny sårbarhed opdages.

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   1931

Billede: Flavio Takemoto, FreeImages.com

Adobe Flash plugin'et er generelt på vej ud. Mange reklamer og online spil benytter dog stadigvæk Flash, og rigtigt mange har således stadigvæk Flash Player installeret.

Nu har Adobe udgivet en advarsel om en alvorlig sikkerhedsfejl, som kan medføre at en hacker kan overtage kontrollen af computeren.

De berørte Flash Player versioner er 19.0.0.207 og tidligere, for Mac, Windows og Linux.

Adobe arbejder i øjeblikket på en patch, som vil udkomme engang i løbet af næste uge.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1979

Billede: Jason Morrison, FreeImages.com

Et nyt lovforslag fra forsvarsminister Peter Christensen (V), skal give øgede beføjelser til Center for Cybersikkerhed (CFCS). Lovforslaget er fremsat på baggrund af bekymringer over stats- og industrispionage, og går på at teleudbyderne kan påtvinges at etablere "konkrete foranstaltninger" for at "sikre informationssikkerheden".

Teleindustrien er dog ikke glade for dette lovforslag, da der ikke er klarhed om hvor grænserne og beføjelserne går rent juridisk, hvis dette lovforslag skulle blive indført.

I forhold til tidligere udkast af lovforslaget, er der dog ikke længere problemer med potentielle privatlivskrænkelser, men direktør for teleindustrien, Jakob Willer, udtaler blandt andet:

Det er en blankocheck i forhold til, hvad de kan stille krav om. Det er det, vi frygter: Hvad kan de stille krav om? Og hvad kan vi vurdere har samfundsmæssig betydning? Det er jo elastik i metermål, der ligger i den formulering.
...
Det er dybt problematisk for selskaber, der skal agere på et kommercielt marked.

Redaktør: jakobdam   |   Indsendt af: thimon   |   1   |   2058

Billede: Gustavo Molina, freeimages.com

Hitachis chefingeniør Michael Hay, har på en podcast givet et indblik i hvordan han forestiller sig, at man kan forudsige forbrydelser, baseret på analyse af store mængder data.

I øjeblikket ser vi overvågningskameraer i det offentlige rum, og de sociale medier bruges flittigt til deling af små og store ting i folks liv. Indtil nu har alle de forskellige datakilder været separerede - men målet er at lave et "Predictive Crime Analysis"-system som kan sammenkæde de massive mængder data fra bl.a. overvågningskameraer og sociale medier, for at finde mønstre med kriminelle karaktertræk.

Politiet skal bl.a. kunne tracke en enkelt person på tværs af de forskellige videokameraer i en by, eller opdage mistænkelige adfærdsmønstre ved at analysere personens tweets og facebookopdateringer.

Redaktør: jakobdam   |   Indsendt af: thimon   |   9   |   2179

Billede: Flavio Takemoto, FreeImages.com

En af de mest kendte og benyttede kryptografiske algoritmer, er SHA-1 (Secure Hash Algorithm 1).

Allerede i 2005 fandt cryptoanalytikere angreb på SHA-1, der tydede på at algoritmen ikke var til at sikre ting på sigt.

Alle store browsere har haft planlagt at stoppe med at acceptere SHA-1-baserede signaturer fra januar 2017, men en ny undersøgelse fra forskere fra Wiskunde & Informatica i Holland, Inria i Frankrig og Nanyang Technological University fra Singapore, tyder på at SHA-1 vil blive brudt allerede inden årets udgang.

Dette kan potentielt set være katastrofalt, idet mere end 28% af verdens digitale certifikater benytter SHA-1.

Den tidligere advarsel fra 2012, lød nemlig på at real-workd kollissionsangreb på SHA-1, først ville kunne betale sig i 2018. Dette var baseret på estimatet at det ville koste $ 700.000 dollars at udføre et direkte kollissionsangreb på SHA-1 i 2015, og blot $ 173.000 dollars i 2018. Hvor førstnævnte beløb er højt selv for interessegrupper indenfor hackere, så vurderes sidstnævnte beløb til at være indenfor deres rækkevidde.

Men baseret på undersøgelsen af forskere fra de 3 universiteter, vurderes det at sådan et angreb kan financieres i år, for mellem $ 75.000 dollars og $ 120.000 dollars. Årsagen hertil er at forskerne har opdaget en måde hvorpå grafikkort kan bruge teknikken "boomeranging", for at finde SHA-1 kollissioner.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1823

Billede: Danske Bank

Efter en samtale om danske bankers HTTPS sikkerhed på en hacker festival nær Berlin, valgte den hollandske Sijmen Ruwhof at kigge nærmere på en af de større danske bankers hjemmesider, nemlig Danske Bank.

Efter et kig gennem HTML-koden på Danske Banks kunde login, fandt hollænderen noget yderst mistænkeligt. I en JavaScript kommentar bemærkede han intern server information. Efter dekodning af disse data, viste det sig at være forskellige server variabler som også indeholdt klient data. Grundet cache, var det ikke hollænderens egen klient informationer han så, men en anden besøgendes information.

Danske Bank har siden udmeldt at deres server ved en fejl var i fejlfindingstilstand, men at der ikke har været uautoriseret adgang til netbanken og at data'ene ikke kunne bruges til at skabe adgang dertil eller adgang til kunde data.

Redaktør: stig.voss   |   Indsendt af: thimon   |   5   |   5396

Billede: Flavio Takemoto, FreeImages.com

Rigsrevisionen har lavet en større undersøgelse, der har kortlagt sikkerhedsniveauet i flere offentlige systemer.

De kritiserer direkte Energinet.dk, BaneDanmark, National Sundheds-IT, Statens IT, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.

I den nye rapport skriver Rigsrevisionen:

"Ingen af de 6 undersøgte institutioner har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme."

De udvidede administratorrettigheder giver det højeste adgangsniveau, med fuld kontrol over IT-systemer og data.

En mangelfuld styring og kontrol med de udvidede administratorrettigheder betyder der er en potentiel stor sikkerhedsbrist, som der skal rettes op på.

De nævner endvidere at enkelte ikke-personlige kodeord, ikke er blevet skiftet siden slutningen af 90'erne, og størstedelen af kodeordene er op til 7 år gamle. Ingen af de førnævnte institutioner har haft skiftet kodeord årligt.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1862

Billede: Flavio Takemoto, FreeImages.com

National Institute of Standard and Technology (NIST), har nu frigivet den endelige udgave af Secure Hash Algorithm-3 (SHA-3), der er efterfølger til SHA-2.

SHA-3 afløser ikke SHA-2 ifølge Shu-jen Chang fra NIST, men tilbyder i stedet en backup. SHA-2 har ikke udvist problemer, men skulle den gøre det har man altså nu SHA-3 som en backupløsning.

SHA-3 blev til via en offentlig konkurrence, hvor algoritmen Keccak vandt i 2012. Der var 64 projekter tilmeldt konkurrencen, hvoraf et af dem bestod af et hold med 4 danskere fra DTU samt 3 østrigere. De nåede til finalen som en af de 5 finalister, men blev slået af Keccak.

Redaktør: jakobdam   |   Indsendt af: vandborg   |   3   |   2141

Billede: Tesla Motors

Tesla Model X med mågevingerne kommer til september. SUV'en med de karakteristiske mågevingedøre (som Tesla kalder falkevinger) skulle være kommet for flere år siden, men er blevet udskudt flere gange pga. problemer.

Sikkerhedseksperter fra firmaet Lookout, har opdaget et sikkerhedshul, der dog kræver fysisk adgang til bilen, ved at føre et netværkskabel bag det digitale instrumentbræt. Dermed kan man overtage bilens styring. Eksperterne fra Lookout har arbejdet sammen med Tesla om at få lukket sikkerhedshullerne.

Redaktør: jakobdam   |   Indsendt af: AmandaR   |   3   |   2957

Billede: Sureash Kumar, freeimages.com

Sikkerhedsforskere har færdiggjort en teknik, der profilerer folks måde unikke indtastnings karakteristika. 

Teknikken indsamlet brugeres indtastnings data - og kan derefter bestemme med høj nøjagtighed, om samme bruger logger på samme site efterfølgende. 

Teknikken måler på de små forskelle der er, når hver person indtaster - pauser mellem anslag og tiden hver tast er holdt nede. Dette kan betragtes som et digitalt fingeraftryk, idet det er unikt for hver person.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: stig.voss   |   8   |   2107

Billede: Microsoft

Normalt ruller Microsoft opdateringer ud på om tirsdagen (kendt som Patch Tuesday), men en ekstraordinær sikkerhedsbrist har gjort at de allerede mandag, lavede en hasteopdatering for at lukke hullet.

Man kan blive hijacket hvis man åbner et inficeret dokument eller blot ser et inficeret website, der bruger OpenType fonte.

Dette gælder alle Windows-versioner, så alle opfordres til at få opdateret deres Windows øjeblikkeligt.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   0   |   1914