client-side scanning

(CSS) – granskning av bilder på mobiltelefon eller dator i syfte att upptäcka otillåtna motiv som sexuella övergrepp mot barn. – Granskningen görs av program på mobiltelefonen eller datorn (klienten), men bilderna jämförs med bilder som finns i en databas på en server. Bilder som finns på mobiltelefonen eller datorn skickas alltså över internet, om än i krypterad form, och kan skickas vidare till polisen. – 2021 meddelade Apple att företaget skulle införa client‑side scanning i iOS, operativsystemet för iPhone, i syfte att upptäcka bilder på sexuella övergrepp mot barn (CSAM). Detta möttes av protester, eftersom CSS, när det väl har införts, skulle kunna användas för att upptäcka vilket material som helst på enheten – bilder, text, ljud – och skicka det vidare till polis, underrättelsetjänst eller andra. – Se artikeln ”Bugs in our pockets: the risks of client-side scanning” (cl.cam.ac.uk…) av kända säkerhetsforskare som Ross Anderson, Whitfield Diffie, Ronald Rivest, Bruce Schneier med flera. – I december 2022 blev det känt att Apple inte kommer att införa client-side scanning.

[innehållsfiltrering] [iOS med flera] [övervakning] [ändrad 8 december 2022]

lösenordsstyrka

bedömning av hur säkert ett lösenord är mot försök att hitta det. Angripare kan försöka att gissa lösenordet eller använda datorprogram för att systematiskt pröva tänkbara lösenord. Det finns två angreppssätt:

  • Uttömmande attack. Ett datorprogram prövar alla tänkbara teckenkombinationer upp till en viss längd. För angriparen är problemet med sådana attacker är att många system bara tillåter ett fåtal försök med felaktiga lösenord innan de stoppar all inloggning för en tid. (Men det finns system som saknar den spärren.) För att få hög lösenordsstyrka mot uttömmande attacker bör man därför välja ett så långt lösenord som möjligt, gärna en lösenfras (morotkebnekajseviolettgräs) – lösenfraser har fördelen att de är lätta att minnas;
  • Ordlisteattack. Angriparen har ett program som prövar ord och namn samt kända vanliga lösenord från en lång lista. För att få hög lösenordsstyrka mot ordlisteattacker kan man ha lösenord som är slumpmässiga följder av tecken. Om man använder ord eller namn bör man ändra stavningen och stoppa in siffror och andra tecken. Många tjänster kräver att lösenord innehåller stora och små bokstäver samt siffror och andra tecken. Lösenfraser försvårar ordlisteattacker. 

– Man bör definitivt inte ha lösenord på en lapp under skrivbordsunderlägget eller välja uppenbara lösenord som namn på barn eller husdjur. Säkerhetsexperten Bruce Schneier rekommenderar att man har långa lösenord och skriver upp dem på en lapp som man har i plånboken. Man bör också byta ut förinställda lösenord (standardlösenord). Det är omstritt ifall det är bra att byta lösenord regelbundet – en del anser att det mest skapar krångel (eller att folk byter från ett lättgissat lösenord till ett annat) och att det är bättre att ha långa, säkra lösenord som inte behöver bytas ut. – Lösenordsstyrka kan testas på sajten testalosenord.se. – På engelska: password strength.

[lösenord] [ändrad 7 december 2020]

lösenordsförnyelse

obligatorisk lösenordsförnyelse, regelbunden lösenordsförnyelse – krav att användare i ett nätverk byter ut sina lösenord med bestämda mellanrum. Det kan vara var tredje månad, en gång i halvåret, varje år eller något annat. – Flera experter anser att regelbunden lösenordsförnyelse inte höjer it‑säkerheten, utan snarare tvärtom, främst därför att användarna tenderar att återanvända sina gamla lösenord med minsta möjliga ändring enligt mönster som mittlosenord1, mittlosenord2, mittlosenord3… Behovet av att hålla reda på många lösenord, som dessutom måste bytas ut med jämna mellanrum, gör också att användarna tenderar att använda samma, eller snarlika, lösenord till många tjänster. Det underlättar för hackare. – En bättre lösning enligt it‑säkerhetsexperten Bruce Schneier (se denna länk) är att välja lösenord som inte liknar något som står i ordlistor, men som ändå går att komma ihåg. Han har också rekommenderat mycket långa lösenord, eftersom hackare bara brukar pröva lösenord upp till en bestämd längd. – Den svenska it‑säkerhetsexperten Anne‑Marie Eklund‑Löwinder, tidigare på Internetstiftelsen påpekar (se denna länk) att stulna lösenord som regel används omedelbart. Att byta lösenord regelbundet är därför som att byta ut dörrlåset efter inbrottet. – På engelska: password rotation, ofta försvenskat till lösenordsrotation. Den benämningen kan skapa intrycket av att samma lösenord cirkulerar bland användarna, så därför är lösenordsförnyelse tydligare.

[lösenord] [ändrad 19 juli 2022]

Shadow Brokers

en mystisk grupp hackare som i augusti 2016 påstod att den hade stulit dokument och hemliga program från den amerikanska signalspanings‑organisationen NSA. – En del av det stulna publicerades på nätet, men Shadow Brokers skrev att resten skulle säljas till högstbjudande. Eventuellt kommer filerna och programmen från organisationen The Equation Group, som är knuten till NSA. – Om Shadow Brokers påståenden är sanna är det mycket genant för NSA och The Equation Group, som i en rapport från Kaspersky beskrevs som en av de mest sofistikerade cyberattackgrupperna i världen. – Den världsomfattande attacken Wannacry i maj 2017 gjordes med användning av ett attackprogram, EternalBlue, som hade skapats av NSA och läckts av Shadow Brokers. – Läs denna kommentar av säkerhetsexperten Bruce Schneier.

[dataläckor] [hackare] [ändrad 2 april 2022]

Random darknet shopper

ett konstprojekt där ett dator­program varje vecka fick bitcoin för 100 dollar för att slump­mässigt köpa något på nätet. – Programmet letade alltså reda på sajter som sålde saker och valde själv vad det skulle köpa. Det hade tillgång till de mer hemliga delarna av nätet, darknet. Oftast köpte programmet oskyldiga saker som jeans, men det köpte också ecstacytabletter och ett falskt ungerskt pass. Det aktualiserade frågan om vem som var juridiskt ansvarig för de inköpen. – Programmets inköp beslagtogs i januari 2015 av polisen (länk). – Random darknet shopper skapades av gruppen !medien­gruppe Bitnik (länk). Det ingick 2014 i utställningen The darknet from memes to onionland (länk) i Sankt Gallen i Schweiz. – Kommentar av säkerhets­experten Bruce Schneier: länk.

[e-handel] [juridik] [konst och litteratur] [kuriosa] [ändrad 17 juni 2019]

Heartbleed

ett allvarligt fel i ett system för kryptering av webb­kommu­nika­tion, upptäckt i april 2014. Det gäller kryptering med Open SSL. – Buggen Heartbleed gav in­kräktare möjlighet att komma åt andra an­vändares lösenord för webbkommu­nika­tion, och därmed också möjlig­het att komma åt deras privata tjänster och konton. – Heart­bleed blev känt den 7 april 2014, och en rättelse pub­li­ce­rades samma dag, men det krävs att rättelsen installeras på miljontals ställen. Felet beskrevs som kata­strofalt. Säkerhetsexperten Bruce Schneier skrev att på en skala från 1 till 10 är detta en 11. – Läs mer på cert.se (länk). – IDG:s artiklar om Heartbleed: länk.

[it-säkerhet] [ändrad 10 mars 2020]

Schneiers lag

”Vem som helst kan uppfinna ett säkerhetssystem som hon själv inte kan knäcka.” – Med andra ord: den som har konstruerat ett säker­hets­system är inte rätt person att avgöra hur säkert det är. – Lagen formulerades av den amerikanska säker­hets­experten Bruce Schneier, se här.

[it-säkerhet] [lagar] [ändrad 23 december 2017]

Foxacid

hemliga internetservrar som NSA använder för att i smyg installera infiltrations­program på an­vänd­ares datorer. Det gäller användare av nätverket Tor, som döljer vem som kommunicerar med vem. – För att installera infiltrations­programmen utnyttjar NSA en sårbarhet i webbläsaren Firefox, därav namnet Foxacid. En utförlig beskrivning finns i denna artikel av Bruce Schneier.

[avläsning] [övervakning] [ändrad 16 maj 2018]

Quantum

  1. – hemliga servrar som NSA uppges ha in­stal­lerat på inter­nets stamnät. De används för att upp­fånga viss trafik och utsätta den för man-i-mitten-attacker. Trafiken slussas vidare till andra NSA‑servrar, se Foxacid, som in­stal­lerar in­fil­tra­tions­pro­gram i an­vändarnas datorer. An­vänd­arna märker inget, utan tror att de har kommit till de webb­platser de tänkte besöka. – Läs mer i denna artikel av Bruce Schneier;
  2. – för kvantdatorer med mera, sök på kvant-.
  3. Firefox Quantum, se Firefox.

[avlyssning] [underrättelseverksamhet] [webbläsare] [övervakning] [ändrad 28 september 2017]