SQL-injektion

(SQL injection) – metod för dataintrång som utnyttjar svagheter i SQL, ett språk som hanterar kommunikation mellan användare och databaser. Svagheten är att SQL inte alltid kan skilja mellan text och instruktioner (programkod). I stället för att ange ett lösenord vid inloggning kan man därför, om man har de kunskaper som krävs, i fältet för lösenord mata in en instruktion som gör att databasen antingen lämnar ifrån sig rätt lösenord eller tror att lösenordet redan är inmatat. Lösningen är hårdare typning – systemet ska veta att det som matas in i vissa fält alltid är text, aldrig instruktioner. – Läs mer i Wiki­pedia* (länk).

skiftkänslig

(case sensitive) – som gör skillnad mellan stora och små bokstäver. Exempel: lösen­ord är alltid skift­känsliga. Så om du har lösenordet ”lösenOrd” måste det skrivas exakt så, inte som ”lösenord” (fel). Kallas också för skiftlägeskänslig eller versalkänslig. – Se Data­term­gruppen* (länk).– Skiftkänslighet är ofta viktigt inom it, men inte alltid. Bland sådant som nästan alltid är skiftkänsligt finns:* användarnamn;
* filnamn;
* instruktioner (kommandon);
* lösenord;
* programkod;
* taggar;
* variabler.– Allmänt kan man säga att ju mer fack­kunskaper som krävs för att man ska skriva viss text, desto mer sannolikt är det att texten är skiftkänslig. Stor och liten bokstav kan användas för att markera viktiga skillnader. Program och tjänster för icke-specialister brukar inte vara versalkänsliga.

asymmetrisk kryptering

kryptering med två nycklar, en offentlig och en privat. Det är den typ av kryptering som används på internet. – Den används till exempel när man uträttar bank­ärenden på nätet. Det kallas också för kryp­te­ring med öppen nyckel. –– Asym­met­risk kryp­te­ring skiljer sig från traditionell symmetrisk kryptering genom att inga hemliga kryp­­te­­rings­­nycklar behöver ut­växlas mellan parterna i en kom­mu­ni­ka­tion:

  • Den som vill ta emot kryp­te­rade med­de­lan­den pub­li­ce­rar en så kallad publik (=offent­lig) nyckel som är till­gäng­lig för alla;
  • Den som vill sända ett krypterat med­de­lande hämtar mot­taga­rens publika nyckel (se ovan) och kryp­terar med­de­landet med den nyckeln;
  • Mot­ta­garen av det kryp­te­rade med­de­landet de­kryp­terar det med en annan nyckel, nämligen med sin egen privata (och hemliga) nyckel;
  • Det går inte att använda den publika nyckeln för att de­kryp­tera med­de­landet.–

– Fördelen med asymmetrisk kryp­te­ring jämfört med den sym­met­riska kryp­te­ring som an­vändes förr (och som fort­farande används, se nedan) är att två parter kan kom­mu­ni­cera utan att någon gång utbyta hemliga kryp­te­rings­nycklar. Det är möjligt därför att den ena nyckeln, den publika nyckeln som av­sänd­aren an­vänder, inte behöver vara hemlig –– den bör inte vara hemlig. Den publika nyckeln tillhör mot­ta­garen, som kan pub­li­ce­ra den öppet på en så kallad nyckel­server.– Trots att den publika nyckeln kan vara till­gäng­lig för vem som helst går det inte att tolka det kryp­te­rade med­de­landet med hjälp av den publika nyckeln. (Det är i varje fall så tids­kräv­ande att det skulle gå lika fort att gissa.) Det går bara att de­kryp­tera med­de­landet med den andra nyckeln, den privata nyckeln, som bara mot­ta­garen har till­gång till (om hon inte är mycket slarvig). – Jämför med en brev­låda med lås: vem som helst kan stoppa in ett brev, men bara den som har nyckeln kommer sedan åt breven.– – I praktiken sköts allt detta av sär­skilda program (se krypto­system), och mot­tag­aren behöver van­ligt­vis bara ange ett lösen­ord för att det kryp­te­rade med­de­landet ska de­kryp­teras med den privata nyckeln.– – Det kan verka paradoxalt att den publika nyckeln, som används för att kryptera med­de­landen, inte kan an­vändas för att de­kryp­tera samma med­de­landen. Det beror på att kryp­te­ringen görs med så kallade en­vägs­funk­tioner. Det innebär att man inte kan köra kryp­te­rings­algo­rit­men (som är känd) bak­länges och komma tillbaka till ut­gångs­punkten (klar­texten). Om man för­söker göra det stöter man på miljon­tals al­ter­na­tiva lös­ningar som måste prövas var för sig. – Att mot­tag­aren med sin privata nyckel kan de­kryp­tera med­de­landet beror på att det finns ett kom­pli­ce­rat mate­ma­tiskt samband mellan den privata nyckeln och den publika nyckeln. Den privata nyckeln är så att säga en hemlig genväg tillbaka till klar­texten.– – Nackdelen med asymmetrisk kryptering är att det går lång­samt. I praktiken använder man därför kom­bi­na­tioner av asym­met­risk kryp­te­ring och sym­met­risk kryp­te­ring. Den asym­met­riska kryp­te­ringen används bara för ut­väx­ling av en­gångs­nycklar. Själva med­de­landet kryp­teras sedan med en sym­met­risk al­go­ritm som AES. (Överkurs: Det finns andra typer av asym­met­risk kryp­te­ring än kryp­te­ring med öppen nyckel, till exempel varianter där sändaren och mot­tag­aren har varsin nyckel och båda nyck­larna måste hemlig­hållas, men de är ovanliga.)– Asymmetrisk kryptering används också för elek­tron­iska signa­turer–– Historia: Den första offentligt kända al­go­ritmen för asym­met­risk kryp­te­ring var RSA-algo­ritmen, som pre­sen­te­rades 1977. (Engels­mannen Clifford Cocks, se Wiki­pedia*: länk, upp­fann RSA-al­go­ritmen redan 1973, men hans upp­finning hemlig­stämp­lades.)– – Läs också om Diffie––Hellman. – Det mest kända krypto­systemet för asym­met­risk kryp­te­ring är PGP.

kaknappning

(cookiejacking) – att läsa kakorna på någon annans dator i syfte att komma över lösen­ord. Lösen­ord och andra in­logg­nings­upp­gifter till skyddade webb­platser sparas nämligen ofta som kakor (cookies) för att an­vända­ren inte ska behöva logga in på nytt varje gång hon går till en ny sida under ett besök på samma webb­plats. – Kak­napp­ning upp­täcktes 2011, och gick då att genomföra på Internet Explore­r, men inte på andra webb­läsare, och krävde rätt om­ständ­liga arrange­mang. – Se artikel från nyhets­byrån Reuter.

kill password

spärrlösenord, avstängnings­lösen­ord – lösen­­ord som stänger av en an­ord­ning för gott, eller så att den bara kan väckas till liv av den som stängt av den. An­vänds i stöld­skydda­de datorer och mobil­­tele­foner (det ”dödande” lösen­ordet skickas tråd­löst av ägaren) och i rfid-chipp. – Se också kill switch och över­fallskod.

cprm

content protection for recordable mediakopierings­skydd som fungerar direkt på hård­disken (eller annat lagrings­medium). Utan ett lösen­ord kan man varken kopiera, flytta eller radera cprm-skyddade filer på hård­disken. Materialet lagras också på hård­disken på ett speciellt sätt som leder till att automatisk backup, de­fragmentering och an­vändning av raid-teknik blir omöjlig. Ett för­slag om att göra cprm till del av ata-specifikationen för gräns­snittet mellan dator och hård­disk blev känt i slutet av år 2000 och ledde till hög­ljudda pro­tester. – Cprm ut­vecklades av före­taget 4C Entity. 4C Entitys be­skrivning av cprm finns här.

John the Ripper

vanlig lösenordsknäckare – ett program som räknar ut lösenord till webb­sidor och andra lösen­ords­skyddade konton. John the Ripper kan också avslöja krypterade lösenord. Kan laddas ner från openwall.com/john.

Firesheep

program som uppfångar in­logg­nings­upp­gifter från Firefox från andra datorer med trådlös inter­net­anslut­ning. – Pro­gram­met släpptes för att fram­tvinga högre säker­het, men det kan natur­ligt­vis också an­vändas för data­intrång. Fire­sheep kom 2010 och ut­vecklas inte längre. – Bak­grund: När man loggar in på en sida på inter­net kryp­teras an­vändar­namn och lösen­ord nästan alltid. Även om någon upp­snappar an­vändar­namn och lösen­ord är in­for­ma­tionen oan­vänd­bar, eftersom den är kryp­terad. Men in­logg­nings­upp­gift­erna sparas också på datorn som en sessions­kaka. De upp­gift­erna över­förs från datorn till servern varje gång som an­vänd­aren besöker en annan sida på samma sajt, och då är upp­gift­erna inte kryp­te­rade. Den som av­lyss­nar trådlös trafik från en dator kan alltså enkelt upp­snappa okryp­te­rade in­logg­nings­upp­gifter. Fire­sheeps existens mo­ti­veras med att det är ett sätt att tvinga fram kryp­te­rade kakor. – Fire­sheep kan laddas ner från codebutler.com/firesheep. – Läs också om Cookie Cadger, ett nyare liknande program.