Google dorking

sökning efter känslig information på företags webb­sidor genom avancerade sökningar med Google*. – Google dorking förut­sätter att företag och andra organisa­tioner har låtit känslig och hemlig informa­tion stå på webbsidor som är allmänt tillgäng­liga, även om de ansvariga troligen inte inser det. Sådan informa­tion kan vara dokument, lösenord, länkar till annan hemlig information eller annat. Med vanliga sökningar på Google hittar man inte den informa­tionen (det är i varje fall inte enkelt), men med mer avancerade sökinstruk­tioner kan man så att säga hitta nålen i höstacken. – Google dorking är helt lagligt. Vad man gör med den påträffade informa­tionen behöver däremot inte vara lagligt. Det ligger alltså på företag och organisa­tioner att försvåra sådana sökningar. – Ordet: Ordet dork står för något som påminner om nörd, men det är svårt att inse vad det har med Google dorking att göra. Möjligen har den som hittade på uttrycket anspelat på det ovanliga ordet dork/dirk för ’kniv’, ’dolk’, eventu­ellt besläktat med svenska dyrk. Uttrycket är känt sedan början av 00-talet.

ftp

file transfer protocol – vanligt protokoll för att hämta och skicka filer via internet. – Ftp förut­sätter att an­vänd­a­ren har rätttig­het att använda både den av­sänd­ande och den mot­tag­ande datorn, vilket innebär att man måste ha namn och lösenord även för den dator som filen hämtas från. – Men en vanlig variant, anonymous ftp, nöjer sig med att man loggar in som ”anonymous”. – Jäm­för med sftp och ftp/s.

hänvisnings-url

(referring url) – webbadress (url) som används i ett it-system för att begränsa åt­komsten till vissa webb­sidor. – Sys­temet fungerar så att den som vill kunna göra affärer genom ett företags webb­sida först måste registrera sin egen webbsida hos före­taget. Det är kundens webbsidas url som kallas för hän­vis­nings-url. Webb­före­tagets webbsida släpper bara in kunder från en registre­rad url. Det fungerar därför att webb­servern kan avläsa vilken webb­sida besökaren närmast kommer från. Besökaren måste alltså gå direkt från sin hän­vis­nings-url till webb­före­tagets webbsida, annars blir hon inte insläppt. Detta kan kom­plett­e­ras med an­vändar­namn och lösenord.

identity crash

identitetskollaps, id-sammanbrott – när man inte kan hålla i sär alla identiteter som man har på internet. Alltså användarnamn och lösen­ord på olika sajter.

diceware

metod att skapa lösen­ord med tärningar. – Man skriver upp re­sul­tatet av fem tär­nings­kast (till exempel 5,3,6,2,3) och slår sedan upp talet (i detta fall 53623) i en speciell tabell. Tabellen har ett ord för varje tänkbart fem­siff­rigt utfall av tär­nings­kasten, närmare bestämt 7 776 olika ord. Orden har inget direkt samband med siffer­serierna. Det är lämp­ligt att upprepa pro­ce­duren så att man får ett lösen­ord som består av flera ord –— fem eller fler re­kom­men­deras. – Det finns ord­listor för dice­ware på många språk, bland annat svenska (länk). (53623 blir ”sekin” i den svenska ord­listan, och ”taikiu” på maori.)– – Po­ängen med dice­ware är att det är bättre att slumpa fram orden i ett lösenord (eller ”lösen­fras”) än att välja dem själv, eftersom ord som man väljer själv kan vara lätta för andra att gissa. Och det är lätt att komma ihåg lösenord som består av riktiga ord. –– Trots namnet på ware är dice­ware inget program. –– Dice­ware ut­veck­la­des av ameri­kanen Arnold Rein­hold, se diceware.blogspot.com.

Ava

AVA – verktyg för test av ett företags mot­stånds­kraft mot social manipulering. (Alltså försök att få an­ställda att röja hem­lig­heter, som lösen­ord, genom be­dräg­ligt be­te­ende, på engelska social engineering.) –Ava ut­sätter an­ställda för fingerade försök till social manipulering. – Ava har ut­veck­lats av den nya­zee­ländska säker­hets­experten Laura Bell, grundare av före­taget Safe­stack (länk). – Se avasecure.com.

domän-i-mitten-attack

(domain-in-the-middle attack) – användning av en lätt felstavad domän för att komma åt information. –An­griparen startar en så kallad dubbel­gångar­domän (till exempel computresweden.se i stället för computersweden.se) och hoppas få besökare som oav­sikt­ligt har skrivit fel adress. Dessa b­esökare slussas omedelbart vidare till den rätta domänen, men när trafiken passerar genom dubbel­gångar­domänen har an­griparen möjlig­het att snappa upp lösen­ord och annan information. – Jäm­för med man-i-mitten-attack.

digital asset

digital tillgång – en persons e-post­konton, konton på sociala nätverk, auktions­sajter, betal­nings­sajter och annat. – Ut­trycket an­vänds vid döds­bo­ut­red­ningar: en av­liden persons konton kan vara båda okända och oåt­kom­liga i brist på lösen­ord. Även om de digitala till­gångarna saknar eko­no­miskt värde kan in­for­ma­tionen vara be­ty­delse­full för de an­höriga. I USA finns företag som ägnar sig åt digital estate manage­ment för att förebygga detta problem.

vänteläge

(standby, standby mode) – när datorn minskar energi­för­bruk­ning och aktiverar säker­hets­meka­nismer därför att den till­fälligt inte an­vänds. – Vänte­läge är det vanligaste energi­spar­läget (det finns flera). Datorn är på­slagen men används inte, energi­krävande funk­tioner är helt eller delvis av­stängda, men datorn kan på någon sekund tas i bruk igen. Datorer brukar auto­ma­tiskt gå i vänte­läge efter en viss tid, eller också kan an­vändaren ställa datorn i vänte­läge. – I vänte­läge blir bild­skärmen svart eller visar en skärm­släckare, hård­disken kan ”par­ke­ras” (sluta snurra) och pro­ces­sorn sänker takten. Syftet med vänte­läge är dels att spara energi, dels att för­hindra att obe­hö­riga an­vänder datorn: för att avbryta vänte­läge brukar det krävas lösen­ord. Vänte­läge skyddar däremot inte datorn mot förlust av data vid ström­avbrott. – Bransch­stan­darden acpi defi­ni­erar flera nivåer av vänte­läge samt det djupare energi­spar­läget vilo­läge (hiber­nation).