sandqvist.place - Min historia

WordPress, hemmalivet, sagor, bygg och fixa, it, web, hosting och Internet

Kategori: Säkerhet

Meltdown och Spectre

Så, då har vi en riktigt smällkaramell till det nya året.

Det började hummas redan om det här i ett inlägg på Reddit för tre dagar sedan som finns här ->

Efter det så har än det ena och en det andra säkerhetsföretagen och bloggarna gått ut med information om vad det här handlar om.

Meltdown och spectre

Vad är det?

Ja, till att börja med verkar dom ha fått sig var sin logo. Eftersom dom va lite småfräna så börjar jag med bilderna.

meltdown

Meltdown

 

spectre

Spectre

 

Meltdown och spectre är två buggar som har upptäckts just före det nya året och har dumpit ner som en liten explosion i it-kretsar.

I praktiken handlar det om Intel och deras processorer, typ hjärnan, själva hårdvaran i en dator som man kan komma åt med program för att läsa av hemliga uppgifter. Elakingar kan alltså med programvara komma åt kärnan i datorn och läsa av information från andra program, tex inloggningar och koder till facebook, banken eller allt annat.

Medan dagarna har gått har mera information kommit ut som visar att det inte bara är intels processorer (från 1995, jisses) som påverkas av detta utan även ARM och AMD. Då informationen är lite spretig just nu så är jag inte säker på exakt hur mycket av AMDs grejer som påverkas.

Förutom detta påverkas förstås olika typer av molnlösningar, servrar, serverfarmar och naturligtvis hela din hemmiljö, pcs, bärbara samt förstås paddor och mobiltelefoner.

Hur blir man hackad via de här sårbarheterna?

Ja, det är faktiskt få som skriver om detta. Om jag förstått det rätt behöver ju angriparen komma åt din dator som ”admin” typ. Det kan ju ske genom flera olika malware eller andra sätt förstås.

Ett annat sätt kan ju vara att man skapar ett javascript som finns på en hemsida som körs när du besöker siten. Om inte din webbläsare kan bromsa detta, kan du ligga risigt till.

Ett tredje sätt kan ju vara att du tex har en vps i en ej skyddad miljö och en angripare har en annan vps i samma miljö. Där kan vi ha lite molntrubbel som gör att det är extra viktigt för just leverantörer av den här typen av tjänster snabbt patchar sina system.

Vad kan du göra?

Egentligen är svaret ganska enkelt. Som vanligt, se till att uppgradera dina grejor. Den här gången gäller det i praktiken all utrustning du fingrar på, oavsett märke. Få inte panik och surfa runt på någon site, eller googla runt så du hamnar på någon oseriös site som istället för att hjälpa dig installerar malware eller annat skräp.

Uppdatera ditt operativsystem SAMT alla webbläsare du kör, mobilt, padda mfl.

Vad hände på Intel?

Om jag förstod saken rätt så upptäcktes första buggen redan i juni 2017 av Google Project Zero och dom aviserade Intel om detta redan då. Det som många lyfter ögonbrynen över idag är att självaste chefen (CEO  Brian Krzanich) sålde av några aktier efter dom fått reda på detta för några kronor…

http://nordic.businessinsider.com/intel-ceo-krzanich-sold-shares-after-company-was-informed-of-chip-flaw-2018-1?r=US&IR=T

Vill du veta mera?

Följ gärna #spectre och #meltdown på twitter. Annars finns en rätt bra sammanfattning på siten https://meltdownattack.com/ om du vill fördjupa dig lite mera.

Till sist. Den här informationen är mycket förenklad och uppgifterna är hämtade från olika platser på nätet och jag garanterar inte till 100 att allt jag skriver är sant och riktigt då allt är så nytt och kommer från olika källor.

Om din WordPress blir hackad

Många funderar ju vad som händer om en webbplats blir hackad. Gammalt i tiden gjorde ju hackare detta dels för att visa att dom kan men sen även för att visa någon typ av budskap på hemsidan. Med tiden har detta förändrats. Nu ligger det en hel del ekonomiska motiv bakom det hela, jag ska ge ett litet exempel här:

Häromdagen fick jag ett mail från ”Netflix” med ärendet konto upphängd – kod 99006

Så här såg det ut:

Netflix scam mail

Om man försiktigt pekar på länken (Klicka INTE) logga in till Netflix, går det snabbt att konstatera att länken minsann inte går till Netflix utan till en helt annan webbplats som jag inte nämner vid namn. Då jag inte heller klickat på länken så vet jag förstås inte riktigt hur sidan ser ut, men kan förstås ana att de vill ha mina inloggningsuppgifter till netflix, där man kan ha lagrat sina kortuppgifter förstås.

Var kommer mailet ifrån då?

Nå, hur kom det sig att det här dök upp i min inkorg, och varför har regeringen skickat det? Det förefaller som att faktura@government.se faktiskt skickat det här mailet. En snabb till på whois visar ju att government.se faktiskt ägs av Regeringskansliet, så det är ju en seriös domän eller hur?

Naturligtvis dyker det ju upp en del frågor och funderingar, varför skulle regeringens fakturaavdelning vilja be dig uppdatera betalningsinformationen på Netflix? Haha, lite får man ju skratta i alla fall. Men som sagt, det är en seriös domän och den finns och fungerar….. fast, den har ingeting med det här att göra, alls.

Vem som helst kan sätta avsändare till vad som helst!

Tänk, och märk väl mina ord. Vem som helst kan sätta en avsändare till vad som helst, det är skitenkelt och alla som har outlook kan faktiskt göra det!

Vi tar en djupdykning i meddelandets ursprung och kollar lite

Jag raderar en del rappakalja, men tar med det jag tycker är lite intressant.

Först ser vi att det kommer in till outook.com där jag har min mail

Received: from DB6PR0601MB2375.eurprd06.prod.outlook.com (10.169.213.18) by
Authentication-Results: spf=none (sender IP is 80.88.126.9)
smtp.mailfrom=government.se; vildmarksdata.se; dkim=none (message not signed)
header.d=none;vildmarksdata.se; dmarc=none action=none
header.from=government.se;
Received-SPF: None (protection.outlook.com: government.se does not designate
permitted sender hosts)

Bakåtspårar…

Här ser vi att det gått genom vårt mailfilter

Received: from mail.vildmarksdata.net (80.88.126.9) by
AM5EUR03FT057.mail.protection.outlook.com (10.152.17.44) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.20.239.4 via Frontend Transport; Sun, 3 Dec 2017 23:27:23 +0000
Received: from smtpfilter.vildmarksdata.net ([80.88.126.19])
by mail.vildmarksdata.net (IceWarp 12.0.2.0 x64) with SMTP id 201712040027248596
for <niklas@vildmarksdata.se>; Mon, 04 Dec 2017 00:27:24 +0100
X-Halon-ID: 804a2ebf-d881-11e7-ade2-00155dfc07cb

Här ser vi nåt intressant, mailets ursprung är ifrån en mailserver som heter s2.mydevil.net

Received: from s2.mydevil.net (unknown [212.91.26.159])
by smtpfilter.vildmarksdata.net (Halon) with ESMTPS
id 804a2ebf-d881-11e7-ade2-00155dfc07cb;
Mon, 04 Dec 2017 00:27:17 +0100 (CET)

Här ser vi att det skickas från s2-servern och taggar från-adressen till faktura@government.se

Received: from localhost
([127.0.0.1] helo=s2.mydevil.net ident=aukcje)
by s2.mydevil.net with esmtp (Exim 4.89 (FreeBSD))
(envelope-from <faktura@government.se>)
id 1eLdfJ-000Elv-CK
for niklas@vildmarksdata.se; Mon, 04 Dec 2017 00:27:17 +0100
To: <niklas@vildmarksdata.se>
Subject: =?UTF-8?B?S29udG8gdXBwaMOkbmdkIC0ga29kOTkwMDY=?=

Här har vi då äntligen hittat källan till eländet! Vi har en webbplats i WordPress som är hackad. Den heter zaklejki.pl (toppdomän i polen) och kör uppenbarligen WordPress, då man ser wp-content i sökvägen, dessutom ser vi ip-nummret på siten!

X-PHP-Script: zaklejki.pl/wp-content/plugins/apikey/w1w.php for 91.142.209.122, 91.142.209.122
X-PHP-Originating-Script: 12939:w1w.php
From: =?UTF-8?B?TmV0ZmxpeCs=?= <faktura@government.se>

Vad kan vi lära oss av detta då?

Säkra upp din WordPress webbplats och se till att alla dina plugins också är uppdaterade. Det kan faktiskt vara så att den här skadliga koden finns på din sida utan att du eller dina kunder vet om det!

Backup online

Skriver och bloggar lite idag på firmans hemsida om vikten av backup. Tycker du kan läsa och fundera på det 🙂

Angående polistätheten i Södra Lappland

Sverige är inte alltid rättvist, och där det felar mest det är ju självaste staten. Statens långa blåvita arm ska omfamna oss alla! Vi har ett gäng närpoliser inom våra inlandskommuner som gör ett riktigt bra jobb. Precis som all annan blåljuspersonal kan dom inte berätta om sitt arbete pga tystnadplikt, men vi kan ju förstå. Södra Lappland, är en del av Sverige och här precis som andra ställen händer det saker. Vi har stölder, inbrott, olyckor, fylla, droger, bränder, misshandel och så vidare. Bara för att vi är mindre folk utspridda på större yta ska väl inte vi behöva bli drabbade och ha orimligt långt till hjälp när den behövs? Den långa blåvita armen har blivit sladdrig och når inte hela vägen längre.

Var är skriken, demonstrationerna och politikerna?

Huvudskyddsombudet i polisregion Nord har tidigare krävt minst två polispatruller i området som innefattar Sorsele, Storuman, Vilhelmina, Dorotea, Åsele samt Lycksele kommun. Detta under vardagskvällar och nätter. Detta skriver SVT i sin artikel här

Frågan har prövats först i förvaltningsrätten och nu även i kammarrätten. I båda instanserna valde man att gå på polisledningens linje.

Jag funderar ju om någon i polisledningen satt sin fot i den här bygden? Tänk om dom skulle bryta sin fot här?

I baksätet på brandbilen

Har suttit i baksätet på brandbilen på väg ut till en trafikolycka och hört polisen frågat på radion om vi brandmän kan kolla läget om polis verkligen behövs på plats eftersom dom är sisådär 2 timmar bort. Vi kan gärna rapportera om vi misstänker droger eller alkohol. Hörde jag verkligen rätt?? Är så irriterad att nu fan skriver jag om det här i min blogg. På en trafikolycka ska polis vara på plats. Punkt. Kom detta fram i samtalen månntro med förvaltnings och kammarrätt? Hur det verkligen är i verkliga livet.

Gör om och rätt

Tycker faktiskt att Polisledningen ska göra om och rätt och fixa den här situationen till det bättre så vi får tillgång till samma trygghet (eller ja, lite bättre än nu) som resten av Sverige.

Går det skramla ihop några hundra poliser till en fotbollsmatch i en stad, borde det väl gå skramla ihop till en liten patrull till. Ytan är ju nästan som Danmark. Snälla.

Angående spam i WordPress

Skrev ju om detta igår i ett inlägg. Det är ju alldeles vansinnigt vad det pågår grejer mot en helt vanlig WordPressinstallation. WP Cerber har på ca ett dygn ”hindrat” 2050 misstänkta aktiviteter av både spam mot kommentarer med också bruteforceförsök till inlogg.

Det här verktyget gör nytta.

Har du inget liknande, installera!

 

Spam i kommentarer

Som jag har väntat, tick tack tick tack. Det tog ungefär 6 månader från blogstartup tills dom hittade mig, spammarna. ”Dom” har roat sig i helgen med att spamma ett kommentarsfält med fantastiska erbjudanden om viagra, cialis, amoxicillin och levitra med flera konstiga tabletter och grejer. Och ja, jag skriver ut dessa i texten också som ett subexpriment för att kolla hur många människor/maskiner som söker och klickar på inlägg med den här typen av ord. Dock skippar jag dom i en rubrik, bara för att..

Hur ser det ut i admin?

Tog en skärmdump så du också kan se det. Har alltså utökat antalet kommentarer på mina blogginlägg från 21 till vid skärmdumpen dryga 150. Tack och lov visas dom ju inte förrän du som admin väljer att godkänna dom. Dock är ju det här ett tidsödande arbete, kan vi lösa det på ett smartare tro?

Hur fixar vi detta!?

Akismet, skulle säkert många svara. Eftersom det är naturligt att ”googla” när man stöter på ett problem så gör ju jag också det. Har surfat runt lite och läst om Akismet, som är bra, men tydligen finns det några andra lösningar också som verkar lovande. Ibland när jag söker på Google så ställer jag in sökmotorn att visa resultat publicerade senaste månaden, då kan man få se lite nyare roligare saker. Akismet hörs vara bra, men erfarna bloggers påstår att det ändå missar ca 10% av spammen, jag hoppar över Akismet och testar en ny grej!

WP-Cerber

Har hittat ett plugin som säger sig vara bra, jag installerar och testar detta istället! Du ska förutom kunna blocka spam även blocka bruteforceinloggningar mot din admin, sätta ip access samt spåra bots och det jag är mest nyfiken på är invisible reCAPTCHA for WordPress!

Cerber Security & Limit Login Attempts

Installerat!

Nu har jag laddat ner och installerat pluginet, viktigt att gå igenom alla inställningarna! Det handlar om allt från inloggningar mot din site, till botar och vitlistning av ip-adresser mm. Verkar riktigt bra, när man väl kommit igenom alla inställningarna.

Glöm inte att sätta upp recaptca enligt deras guide här http://wpcerber.com/how-to-setup-recaptcha/

På Google registrerar du dig för invisible recaptcha så här:

Glöm inte att skicka in site key och secret key in i WP Cerber under antispam.

COOOOLT, efter jag aktiverat den här tjänsten så stoppades ett ip direkt, så fantastiskt nöjd jag är! (än så länge med detta plugin)

E-post och säkerhet

Jag har i ett tidigare inlägg skrivit om e-post och hur man aktiverar den på en domän. Det jag kommer att berätta nu tål att berättas och spridas tycker jag. Det kan eventuellt bli en del text men jag hoppas du hänger med i mina tankar! E-post och säkerhet hänger ihop, mera idag än någonsin tidigare. Det är nog väldigt få människor som fattar hur viktig just din e-post är.

E-post, den gemensamma nämnaren

Så fort du skapar ett konto på nätet, det gäller en webshop kanske, eller din el-leverantör, fotbollsföreningen eller något annat medlemsregister du deltar i så ska du skapa ett konto. I princip alla konton man skapar idag baseras på din e-postadress. En gång i tiden för länge sen, eller ja, för några år sedan kunde jag konstatera att man oftast skapade ett konto med ett användarnamn (random) och ett lösenord. Sedan, väl inloggad knappade du också in en e-postadress också på ditt konto, men det kom som i andra hand.

Det här innebar förstås att när mängden nättjänster utökades blev också din fantasi påverkad och till slut hade du ingen pejl på vilket användarnamn du hade vart… Och då kom vi fram till att det är jättejobbigt att glömma och byta användarnamn och lösenord.

så, med ett användarnamn, lösenord och e-postadress blev det krångligt. Alla tjänster hade ju en gemensam nämnare, och det var e-postadressen!

Människan, den lataste figuren i universum hittills!

Lata som vi äro allihopa så vill vi ju förenkla saker och ting. Det är väl det som har gjort att vi utvecklats som vi har gjort historiskt sett. Varför gå till grannbyn, när man kan rida, sen ta bilen, eller skicka ett brev, ett mess en snap eller… ett e-postmeddelande? Vi är lata av naturen, till både för och nackdel tycker jag. Fördelen är ju förstås att vi utvecklar nya tjänster och produkter som gör att vi belastas mer eller mindre både fysiskt och psykiskt. Nackdelen är ju att ibland kan vi nog förenkla för mycket.

Så, från användarnamn, lösenord och e-postadress bantades många system ner till att endast innehålla användarnamn och lösenord, varav användarnamnet blev till din e-postadress. Smaskens sa hackaren och började gnugga sin händer! 🙂

Flera system, flera användare, flera lösenord men bara en användare

Så, om man nu tänker helt logiskt….

Du har en e-postadress kopplad till flera olika tjänster på nätet, i vissa av dessa tjänster har du automatsparat dina kreditkortsuppgifter t.ex. Du har även kopplat din e-postadress till dina favoritmedier som facebook, instagram, snapchat mfl. Det enda en sk angripare eller hackare behöver komma åt är din e-postadress.

Din e-postadress… Låt det sjunka in en stund..och räkna till tre.

  • 1
  • 2
  • 3

Det viktigaste du har idag är inte din börs, din telefon, ditt kreditkort eller din älskling… haha, jo kanske det, men efter din kärlek kommer faktiskt din e-postadress med lösenordet kopplat till den!

Men min e-postadress kan väl inte bli hackad?

JA, det kan den och det händer varje dag! Jag är personligen vittne till det. Det skrivs inte speciellt mycket om det här på Internet. Många tycker det är lite pinsamt, folk skäms och företag vill absolut inte att sånt här ska komma ut på ett eller annat sätt. Och dessutom, det är väl inte så farligt, eller??

Hur blir en e-postadress hackad?

Det finns många sätt din e-postadress kan bli hackad på, här är några exempel.

  1. Du använder något av de vanligaste och enklaste lösenorden. Skärp dig och fixa ett mera komplext lösenord!
  2. Du byter aldrig lösenord. Så sant, du har samma lösen år ut och år in
  3. Du använder samma lösenord på flera ställen (känner du igen dig?)
  4. Du kör okrypterat (du skickar och tar emot e-post i klartext, det är samma sak som att skriva ett gammaldags hett kärleks brev till din blivande ex-fru, på baksidan av ett kuvert)

Vad används en hackad e-postadress till?

Tack och lov måste jag nästan säga används din hackade e-postadress nästan uteslutande till att skicka skräpmail, eller mail med länkar till sidor som är obra, eller erbjudanden om diverse piller som gör dig till sexatlet eller en brontosaurius. Om dessa ”kreativa” typer vore lite mera sofistikerade och kunde det svenska språket skulle du bli bra nog mycket mera orolig vid det här laget.

Det normala fallet går till som så att när din e-post väl blivit hackad så kan ”förövaren” eller hackaren avvakta tills det är ”out of officetid” för svenskarna, normalt efter 18 och gärna storhelger innan dom slår till. Som jag tidigare berättade kräver numera nästan alla servrar att du verifierar dig med användarnamn och lösenord. När dom väl slår till så kan ett botnät användas och sen sätter dom igång och bombarderar ”din” mailserver, din leverantör av e-posts server med en massa smtp-kommandon från en massa olika ip-nummer om att skicka mail till tusentals mottagare. Det är här din leverantörs förmåga och e-postfilter verkligen prövas. Det är alltså en användare med korrekt användarnamn och korrekt lösenord som helt plötsligt går bananas och skickar onormalt mycket e-post på onormalt kort tid. Det finns väl anledning att återkomma till detta i ett framtida inlägg tycker jag. Hur hanteras den här typen av attacker hos din leverantör idag?

Hur märker jag om min e-postadress är hackad?

Det märker du genom att du börjar få en massa studsar. Sannolikt av typen non delivery reports eller liknande som säger typ: Jag kan inte hitta mottagaren du försöker maila till. Samt att du kan ha många sådana konstigheter i din inbox.

Lösningen= BYT lösenordet fort som bara den!

Vad skulle en hackad e-postadress kunna användas till?

Burr, knappt så jag törs skriva det här, men jag anser jag måste eftersom jag vill banka in lite förstånd i huvudet på mina läsare, mina två tre läsare kanske 🙂

Efter en viss analys av ditt nuvarande innehåll i din mailkorg skulle man kunna begära ut nya lösenord till alla dina tjänster, shoppar, sociala medier du har tillgång till. Man kan skicka brev till din chef, eller om du är chef, be någon skicka pengar till ett konto. Man kan logga in i shoppar där du sparat ditt kreditkort och handla på andra siter med det, skapa andra konton på andra tjänster med dina uppgifter, byta elavtal och säga upp din lägenhet kanske? Och sist men inte minst, lägga upp någonting nice i ditt instagramflöde…. som också råkar visas på din hemsida… Som också har en inloggning…. med din mailadress….

Så, rent konspiratoriskt kanske det inte ens är jag som skriver det här inlägget!? HJÄLP 🙂

Jag har också noterat att väldigt många e-tjänster idag faktiskt skickar ut glömda lösenord i klartext, eller andra inloggningar som i praktiken är en synd att göra.. Försök i möjligaste mån att undvika detta.

En annan grej som styrs av din e-postadress är ju din domän. Vet du vilken e-postadress som faktiskt har kontroll över din domän? Kolla upp det är du snäll!

Ponera att hackaren kommit över ett adminkonto för din e-postdomän och kan komma åt denna ofantligt viktiga e-postadress. Tänk dig om hela din domän blir kapad och flyttad någonstans? Vilka konsekvenser skulle det innebära, totalt e-posthaveri och all it skulle slås ut på ett par timmar. Jag kollar upp några viktiga e-postadresser här för skojs skull!

All den här datan är ju publikt tillgänglig så det är ju inga hemligheter detta.

volvo.se -> Innehavarens e-postadress domainreg@volvo.com
ericsson.se -> Innehavarens e-postadress domainadmin@ericsson.com
stockholm.se -> Innehavarens e-postadress hostmaster@stockholm.se

Så, om ”någon” kommer över dessa adresser kan konsekvenserna bli ofattbara, för att inte nämna och man kommer ett eller ett par steg högre i hierarkin, stockholm.se som exempel ligger hos Ports AB och om dom får intrång eller blir hackade, eller ännu högre, man kommer åt datat på .se (iis.se) då är mardrömmen ett faktum.

Men tillbaka till verkligheten.

Vare sig du eller jag kan ju påverka det här på något sätt eller i större utsträckning om det är onåbart för vår del. Dock, det vi kan påverka ska vi verkligen se till att fixa!

Går det att skydda sig mot e-posthack?

Jag vet faktiskt inte, är väl det ärligaste svaret jag kan ge dig! Men det går ju alltid att göra det liite svårare för andra att komma åt dina grejer.

  1. Fixa dig en lösenordshanterare. Det är bara att inse, du kan inte ha 100 olika lösenord på 100 olika ställen i huvudet, om du inte är ett underbarn. Det finns lite olika sådana tjänster på marknaden. Ofta har du då ett masterlösenord som du sätter på hanteraren så har du alla andra sedan i den fina databasen. Masterlösenordet skriver du också in i ditt testamente för dina efterlevandes skull! Jag kör keepass, men det finns säkert andra system, modeller och funktioner som passar dig!
  2. Tvåfaktorautentisering är bra. Men, som jag skrev tidigare är vi ju lata av naturen och tvåfaktorautentisering kan va döjobbigt för en användare, men det är rätt bra tycker jag. Facebook och google är två exempel som börjat ta detta på allvar och som uppmanar dig att koppla ditt telefonnummer till ditt konto vilket kan göra du även måste verifiera en inloggning via en kod som kommer via sms, skitbra tycker jag!
  3. Byt lösenord (ja, kanske inte varje dag, men skriv in i kalendern å fixa det. Gör du det två gånger om året så kan du säkert klappa dig för bröstet och vara bland dom bästa i klassen.
  4. Skicka och ta emot all e-post krypterat, glöm inte de mobila enheterna,
  5. Ha inte samma jäkla lösenord överallt!
  6. Be om hjälp! Det finns dom som kan se över hela din it-miljö och säkra upp den tillsammans med dig.

Puh, det va ett av de längre inläggen, men jag brinner för den här typen av tankegångar och funderingar och vill verkligen uppmärksamma om problemen och möjligheterna vi har idag gällande alla typer av säkerhetsaspekter. Låt oss hjälpa varandra.

Kommentera och dela gärna!