Posted by Ulf Hedlund on Oct 26, 2010
För drygt ett dygn sedan släppte Eric Butler sin Firefox-addon Firesheep och igår natt satt jag själv och provade den i min laptop. Jag satte upp laptopen mot min egen trådlösa accesspunkt, startade Firesheep och loggade sedan in på Facebook från min andra laptop. Firesheep gav mig genast en länk med mitt namn och gav mig en session där jag kunde “ta över” Facebook-sessionen.
Ungefär där var jag nöjd, ett snyggt demo av ett välkänt problem. Dvs, problemet har varit välkänt för alla som vet något om IT-säkerhet i allmänhet och web i synnerhet. Det här...
Read More
Posted by Ulf Hedlund on Mar 21, 2009
Emellanåt träffar jag folk som inte tycker det finns någon anledning att använda något virusskydd i sin dator. “jag surfar aldrig till några skumma sajter” brukar vara ett vanligt argument.
Gårdagens trojan hos Expressen är ett aktuellt exempel på varför det argumentet inte håller. Moderna sajter återpublicerar på olika sätt info som kommer från annat håll.
I det här fallet tycks det ha varit Expressens väderinfo-leverantör som varit den egentliga boven. Men, för den skrupellöse finns det en del pengar att tjäna genom trojaner och botnät, det kan lika...
Read More
Posted by Ulf Hedlund on Mar 19, 2009
Jag hade nog förutfattade meningar om fårfarmare, jag trodde inte att de också kunde vara über-geeks. Nu vet jag att jag hade fel på den...
Read More
Posted by Ulf Hedlund on Mar 12, 2009
Häromdagen rapporterade Apple Insider att det finns presentkort till iTunes att köpa på kinesiska auktionssajter. Nu har jag försökt hitta mer info och det verkar faktiskt som om någon har listat ut den algoritm Apple använder för att generera engångskod för dessa presentkort.
Ganska märkligt om Apple byggt sin lösning på det sättet, normalt har man en central databas som listar alla giltiga engångskoder så att man enkelt kan verifiera dem när de ska användas som betalning. Så fungerar tex skrapkoderna för att fylla på telefonkort och på det sättet behöver själva...
Read More
Posted by Ulf Hedlund on Mar 5, 2009
Under förra året blev flera svenska sajter utsatta för intrång och information om deras användare kom på villovägar. Sajterna hanterade detta olika, man kan göra det på rätt sätt eller på fel sätt. De flesta hamnade i den senare kategorin.
I kvällens mailskörd fann jag ett mail från Spotify som uppmanade mig att byta lösenord på mitt konto.
Hade de blivit hackade? Nej.
Däremot har det funnits en svaghet i protokollet som används när användarens Spotify-klient pratar med Spotify-servern. Protokollet innehåller bland annat funktioner för att fråga servern om...
Read More
Posted by Ulf Hedlund on May 25, 2008
Om man, rent hypotetiskt, skulle vilja fuska i en SMS-baserad omröstning, så skulle man kunna göra ungefär så här:
Köp en lista med stulna men fungerande kortnummer.
Köp SMS i bulk av lämplig leverantör med hjälp av de stulna kortnumren.
Köp tillgång till några timmars användande av ett botnet
Använd botnetet för att generera fejkade röstnings-SMS, med avsändarnummer som originerar från “rätt” land
Vinn omröstningen
Om man skulle vara en glad hacker, låt säga en rysk för exemplets skull, med ett bra kontaktnät, så kanske man inte ens behöver betala...
Read More
