contact chaining

kontaktlänkning – kartläggning av personers kontakter i flera led. – Kartläggningen utgår från vilka personen ringer till, skickar e‑post till eller har kontakt med på andra sätt. Därefter kartlägger man de personernas kontakter på samma sätt, och så vidare. (Se sex leds avstånd och sociogram.) Resultatet blir ett mycket stort antal kontaktkedjor. – Enligt Edward Snowdens avslöjanden har den amerikanska signalspaningsmyndigheten NSA samlat in kontaktkedjor, som löpande uppdateras, för USA:s hela befolkning. Motiveringen ska vara att man, om en person misstänks för terroristbrott, omedelbart ska kunna ta fram den misstänktas kontakter. Kritiker anser att kontaktkedjorna kan användas för att få vem som helst att framstå som kriminell eller klandervärd på grund av någon man känner direkt eller indirekt.  Enligt uppgifter som citeras i denna artikel i Wired har den lagrade mängden data blivit så stor att NSA inte hinner med att analysera den.

[kartläggning] [28 maj 2020]

Ghidra

ett program för dekompilering, utvecklat av amerikanska NSA. – NSA, som annars är hemlighetsfullt, presenterade Ghidra på säkerhetsföretaget RSA:s årliga konferens, RSAC, i mars 2019: därefter släpptes Ghidra med öppen källkod. Se NSA:s webbsidor. Det har påpekats att Ghidra är modulärt uppbyggt, och att NSA troligen inte har släppt alla delarna. – Dekompilering eller bakåtkompilering (på engelska: reverse engineering) är analys av binärkoden till program i syfte att återskapa källkoden. Källkoden kan sedan undersökas av experter. – Det finna andra program för dekompilering, och det spekuleras i varför NSA har bestämt sig för att offentliggöra Ghidra. En fördel för användarna är att Ghidra är gratis. – Se RSAC:s konferensprogram (borttaget). – Namnet kommer troligen från ett japanskt filmmonster – se Wikipedia.

[it-säkerhet] [programmering] [ändrad 6 april 2019]

Territorial dispute

ett program som varnar angripare som redan har tagit sig in i ett it-system för andra angripare. Det har kallats för en nödutgång. – Programmet tros vara utvecklat för att ge angriparen en chans att dra sig ur och sopa igen spåren efter sig innan angriparen blir upptäckt av en annan angripare. – Territorial dispute ingår i den samling hackarverktyg som gruppen Shadow brokers offentliggjorde 2016. Programmen uppgavs vara stulna från den amerikanska signalspaningsorganisationen NSA. – Se denna beskrivning (länk) från ungerska CrySys.

[it-säkerhet] [ändrad 3 oktober 2019]

Wannacry

ett utpressningsprogram som i maj 2017 gjorde den dittills kanske mest omfattande attacken mot datorer i hela världen. – Wannacry utnyttjade en sårbarhet i Windows. Vilka som låg bakom attacken var länge okänt, men i juni 2017 uppgavs att NSA anser att Nordkorea låg bakom – se denna artikel. – Attacken inleddes den 12 maj, och hade samma dag drabbat uppskattningsvis 230 000 datorer i 150 länder. De drabbade uppmanades i ett budskap på datorns bildskärm att betala motsvarande 300 dollar i bitcoin för att kunna an­vända sina datorer igen. – Spridningen av Wanna­cry bromsades den 13 maj av en program­me­r­are som upptäckte att Wanna­cry hade en inbyggd avstängningsmekanism, som den programmera­ren framgångsrikt använde – se denna artikelMalwareTech. (Samma programmer­are greps i augusti 2017 i USA misstänkt för att ha sålt banktrojanen Kronos.) – Sårbarheten i Windows upptäcktes först av NSA, som hemlig­höll den, även för Micro­soft, och i stället utvecklade attackmetoden EternalBlue för att kunna göra intrång i Windows‑system. Hackargruppen Shadow Brokers kom över koden till EternalBlue och släppte den i april 2017. Det är troligen den koden som har använts i attacken. Micro­soft hade också upptäckt sår­bar­heten, och hade redan i mars 2017 skickat ut en patch som oskad­lig­gjorde EternalBlue, men många organisationer hade inte installerat patchen. Dess­utom använde många företag då fortfarande Windows XP†, som Microsoft inte längre underhåller, och alltså inte heller skickar ut patchar till. (Fast Microsoft gjorde ett undantag och skickade efter attacken ut en patch mot Wannacry för Windows XP.) Microsoft har riktat hård kritik mot NSA för att NSA hemlighöll sårbarheten, se detta inlägg på Microsofts officiella blogg. – Wannacry spreds på flera sätt: som virus och genom nätfiske. När det har in­fek­te­rat ett it‑system sprids det som en mask. – Wannacry kallas också för Wannacrypt, WannaCrypt0r, Wanna Decryptor och WCRY.

[attacker] [skadeprogram] [ändrad 27 april 2020]

NiFi

Apache NiFi – ett system som hanterar dataflödet i stora it‑system. Sådana system kallas ibland för datalogistik. Ett grafiskt användargränssnitt visar i realtid all förflytt­ning av data och indikerar fel. Användaren kan ingripa och styra om dataflödet vid behov. – NiFi utvecklades av den amerikanska signalspaningsmyndigheten NSA under namnet Niagara Files, därav NiFi (uttalas najfaj). NSA släppte senare projektet med öppen källkod. Apache Soft­ware Foundation tog 2014 över utvecklingen. – Se nifi.apache.org.

[data] [förkortningar på N] [it-system] [ändrad 14 november 2017]

Shadow Brokers

en mystisk grupp hackare som i augusti 2016 påstod att den hade stulit dokument och hemliga program från den amerikanska signalspanings‑organisationen NSA. – En del av det stulna publicerades på nätet, men Shadow Brokers skrev att resten skulle säljas till högstbjudande. Eventuellt kommer filerna och programmen från organisationen The Equation Group, som är knuten till NSA. – Om Shadow Brokers påståenden är sanna är det mycket genant för NSA och The Equation Group, som i en rapport från Kaspersky beskrevs som en av de mest sofistikerade cyberattackgrupperna i världen. – Den världsomfattande attacken Wannacry i maj 2017 gjordes med användning av ett attackprogram, EternalBlue, som hade skapats av NSA och läckts av Shadow Brokers. – Läs denna kommentar av säkerhetsexperten Bruce Schneier.

[dataläckor] [hackare] [ändrad 2 april 2022]

SHA-2

en algoritm för beräkning av kondensat (hashar) avsedd för krypterad datakommunikation. – SHA‑2 har med början 2016 ersatt föregångaren SHA‑1 i protokollet HTTPS, som används för skyddad kommunikation på webben. SHA‑1, som är från 1973, anses inte längre säker. SHA‑2 är från 2001 och har utvecklats av NSA. Algoritmen anses säker för överskådlig framtid. – Övergången till SHA‑2 har stött på problem, eftersom många kontokortläsare och annan utrustning för betalningar och uttag använder SHA‑1 och inte kan uppgraderas utan höga kostnader. (Läs också om SHA och SHA‑3.)

[kryptering] [matematik] [ändrad 5 mars 2023]

tidtagningsattack

  1. – sätt att upptäcka sårbarheter i it‑system genom att mäta hur lång tid systemet behöver för att behandla olika indata. Tidtagningsattacker beskrevs först 1996 av Paul C Kocher i denna artikel;
  2. – metod att spåra avsändaren till medddelanden i Tor‑nätverket. (Tor är ett nätverk för ospårbar kommunikation på internet.) – Metoden förutsätter att angriparen kan övervaka meddelanden som skickas in i Tor‑nätverket och som kommer ut ur det. Genom att jämföra in- och utgående meddelanden kan angriparen med statistiska metoder dra slutsatser om vilka par som är samma meddelande, fast i olika skepnad. (Tor är konstruerat så att det meddelandet i krypterad form (kryptotexten) förändras under sin färd genom internet; bara den slutliga mottagaren ska kunna läsa det i klartext.) – Tidtagningsattacker används, påstås det, av underrättelsetjänster som NSA. – Klienten Astoria för Tor‑nätverk är konstruerad för att försvåra tidtagningsattacker.

– På engelska: timing attack.

[attacker] [personlig integritet] [ändrad 16 maj 2018]

Quantum Insert

en metod för installering av spion­program. – Quantum insert används, enligt Edward Snowdens avslöjanden, av NSA och GCHQ. Det är en så kallad man‑on‑the‑side attack, känd sedan åtminstone 2013. När den dator som ska infekteras anropar en webbsida styrs trafiken om så att datorn i stället laddar ner en annan webbsida. Det ger angriparen möjlighet att installera program på den angripna datorn. De programmen kan sedan, utan att den angripna datorns ägare är medveten om det, kartlägga vad som görs på datorn. Metoden sägs ha använts för att komma åt datorer som man inte kan angripa direkt. – Tekniken har, enligt Snowdens uppgifter, använts för spionage mot misstänkta terrorister i Mellan­östern, men också mot anställda på Opec och på belgiska teleoperatören Belgacom. – Nederländska it‑säkerhetsföretaget Fox IT (länk) uppgav i april 2015 att det hade utvecklat en metod för att stoppa Quantum insert, se detta blogginlägg: länk. – Läs också om DITU, Dropout Jeep, Foxacid, Karma Police, Optic nerve, Quantum, Sorm, Tao och Turmoil.

[avlyssning] [avslöjanden] [it-säkerhet] [ändrad 15 juni 2017]