Arkiv för kategori ‘Uncategorized’

image

För oss som gillar att alltid köra det senaste kan det vara intressant att veta att det nyligen släpptes en publik beta av Microsofts antivirusprogram Microsoft Security Essentials.

image

Läs mer om nyheterna i betan på Steven Binks blogg:

http://bink.nu/news/new-microsoft-security-essentials-beta-now-public.aspx

Update:

Det verkar som att de har stängt eller tagit bort betan på Connect-siten. För den som ändå vill testa finns den att ladda ner här (tänk dock på riskerna med att ladda ner mjukvara från andras siter, även om Softpedia har relativt gott rykte):

http://www.softpedia.com/progDownload/Microsoft-Security-Essentials-Download-131683.html

Annonser

diaspora%20logo

Diaspora (uttalas daj-ÄSS-pora) är det senaste sociala nätverket som vill konkurrera med Facebook. Frågan är om de kommer att misslyckas som alla andra?

Idén bakom Diaspora är faktiskt ganska bra. Det är open source och påminner till utseende och funktion om både Google+ och Facebook. Man kan sätta upp egna noder (så kallade pods) som man äger och driftar själv. Vill man inte drifta en pod själv finns det publika pods man kan gå med i.

Men det finns alltså ingen central funktion som äger, styr och hanterar allt. Dina foton och inlägg finns på “din” server. Allt är säkert och privat redan från början (enligt utvecklarna) och eftersom det är open source kommer slutanvändare själva att kunna utvärdera/förbättra/anpassa.

Man kan hitta och lägga till personer som finns i andra pods genom federering, så alla dina vänner behöver inte skaffa ett konto i just din pod. Man loggar visserligen alltid in på den poden man skapade sitt konto på, men kan alltså följa vänner som har konto på andra pods.

Killarna bakom Diaspora har satt upp en egen pod som hittas på https://joindiaspora.com, den är tyvärr invite only jus nu. Säg till om du vill ha en invite, jag vet inte hur många jag har, men jag ger bort så länge det finns. De har hittils över 175 000 användare på joindiaspora.com. Fast det är ju en bit kvar till Facebooks 800 miljoner användare.

Här finns en lista på andra pods: http://podupti.me.

Min Diaspora-profil finns på https://joindiaspora.com/u/tomaafloen

Det finns natruligtvis nackdelar med detta systemet också. Om du lägger ut en rolig bild som börjar spridas är det från din server alla kommer att ladda den. Och vad händer om din pod krashar?

Namnet Diaspora betyder sprida ut, vilket verkar vara ett logiskt namn med tanke på designen. Även maskrosen som symbol passar ju in.

Diaspora startades upp som ett Kickstarter-projekt. Man förklarade vad man ville åstadkomma och folk donerade tillräckligt med pengar för att de skulle kunna satsa på utvecklingen av det. Man hade som mål att samla in 70 000 kr, man fick in nästan 1,4 miljoner!

Kommer folk snart att tröttna på Facebook och alla deras impopulära förändringar, irriterande spel och tillägg, struliga sekretessinställningar och det faktum att de har kopior av dina bilder och inlägg? Ja, då är nog Diaspora ett vettigt alternativ. Eller kommer alla att stanna kvar på Facebook för att alla andra är där? Det är nog min gissning.

Tyvärr gick en av utvecklarna av Diaspora, Ilya Zhitomirskiy, bort nyligen.

Facebook i kronologisk ordning igen

Publicerat: 21 november 2011 i Uncategorized

Är det bara jag som har missat att man kan ställa in Facebook så att den visar alla inlägg i kronologisk ordning igen?

Så var det ju från början och när Facebook införde så kallade Höjdpunkter/Topphändelser protesterade folk, men fanns sig snart i det ändå, som med alla förändringar:

funny-graphs-they-did-what

Att få inläggen i tidsordning är superenkelt.

Logga in på Facebook och klicka på Sortera:

image

Välj här mellan Höjdpunkter först eller Senaste händelser först:

ScreenClip(54)

Man kan tydligt se om man har valt Senaste händelser först:

image

Säkerhetshumor

Publicerat: 17 november 2011 i Uncategorized

human_error

Det finns en sårbarhet i TCP/IP-stacken i Windowssystem som gör att man teoretiskt kan utföra en Denial of Service-attack (DoS) eller mindre sannolikt även exekvera kod, så kallad Remote Code Execution.

Läs mer om vilka system som är sårbara och hur man patchar i mitt inlägg på Onevinns officiella blogg:

http://blogg.onevinn.se

Secure Mobile Devices

Publicerat: 26 oktober 2011 i Uncategorized

Det står mycket i media nu för tiden om osäkerheten i mobiler och surfplattor. Det finns dock säkerhetslösningar, läs mer om det på våran blogg:

http://blogg.onevinn.se/2011/10/26/sakert-eller-osakert/

Återskapa en stängd flik

Publicerat: 4 oktober 2011 i Uncategorized

Brukar du också ha många flikar öppna i din webbläsare med saker som du tänker läsa/göra lite senare? Händer det att du ibland stänger fel flik av misstag?

Med kombinationen Ctrl-Shift-T kan man återskapa en stängd flik. Trycker man flera gånger återskapas flikarna i den ordning man stängde dom. Dessutom kommer flikarnas history att vara kvar, så du kan backa bakåt.

Detta är ju bra för flikar man stänger av misstag, men det finns ju en säkerhetsaspekt med detta också, att andra kan återkapa dina stängda flikar med surfhistorik. Så glöm inte att använda din webbläsares “privat surfnings”-funktion när du använder delade datorer och inte vill lämna spår efter dig.

Ctrl-Shift-T funkar på samma sätt i de flesta webbläsare, men privatfunktionen skiljer lite:

Webbläsare Namn kortkommando
Internet Explorer InPrivate Browsing Ctrl-Shift-P
Firefox Private Browsing  Ctrl-Shift-P
Chrome Incognito Ctrl-Shift-N

Whoops, Microsoft!

Publicerat: 4 oktober 2011 i Uncategorized

Under några timmar den 30 september började Microsofts antiviruslösning för privatpersoner – Security Essentials – identifiera webbläsaren Chrome som en lösenordsstjälande trojan med namnet PWS:Win32/Zbot.

image

Microsoft skriver:
On September 30th, 2011, an incorrect detection for PWS:Win32/Zbot was identified and as a result, Google Chrome was inadvertently blocked and in some cases removed. Within a few hours, Microsoft released an update that addresses the issue. Signature versions 1.113.672.0 and higher include this update. Affected customers should manually update Microsoft Security Essentials with the latest signatures. After updating the definitions, reinstall Google Chrome. We apologize for the inconvenience this may have caused our customers.

Chrome togs bort på en av mina datorer, men det var inga problem att ominstallera Chrome igen efter antivirus-uppdatering. Lite pinsamt för Microsoft dock, även om dom inte är varken först eller sist att göra ett sånt här misstag. De rättade i alla fall till det snabbt.

Mer info: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=PWS:Win32/Zbot

Häftig synvilla

Publicerat: 13 september 2011 i Uncategorized

Ok, jag inser att detta varken har med Windows eller IT-säkerhet att göra, men det var så fasinerande att jag bara måste dela med mig.

Denna bilden innehåller inte blåa och gröna spiraler:

SammaFärg

De har faktiskt exakt samma färg, RGB 0-255-150.

Jag förstår om du inte tror mig, det gjorde inte jag heller första gången jag såg det, men om du använder t.ex. pipetten i Photoshop ser du att det faktiskt är så. Du kan också zooma in bilden:

image

Tricket är att hjärnan bedömer färger utifrån andra omkringliggande färger. Orange gör att färgen tolkas mer grönaktig och rosa gör att samma gröna färg ser blå ut.

Diginotar, vad hände egentligen?

Publicerat: 5 september 2011 i Uncategorized

Fox-IT, ett externt företag som officiellt har fått granska fallet, släppte precis sin rapport:

http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/09/05/fox-it-operation-black-tulip/rapport-fox-it-operation-black-tulip-v1-0.pdf

Jag har inte läst den själv än, det får bli imorgon. Nu sova!

BackTrack 5 R1 släppt

Publicerat: 18 augusti 2011 i Uncategorized

image

Idag släpptes BackTrack 5 R1. Några citat från utvecklarna:

This release contains over 120 bug fixes, 30 new tools and 70 tool updates.

The kernel was updated to 2.6.39.4

We’ve released Gnome and KDE ISO images for 32 and 64 bit (no arm this release, sorry!), as well as a VMWare image of a 32 bit Gnome install, with VMWare Tools pre-installed.

Här kan du läsa mer och ladda ner:
http://www.backtrack-linux.org/backtrack/backtrack-5-r1-released/

Jag fick alldeles nyss ett meddelande om att ett "lyckat” inloggningsförsök hade skett på mitt Facebook-konto, från en mobil enhet i Stockholm. Med lyckat menar jag att det var rätt användarnamn och lösenord.

Hade jag inte aktiverat att jag dessutom måste godkänna Facebook-inloggningar från nya enheter via ett SMS till min mobil så hade den personen alltså lyckats logga in som mig. Det var med andra ord tack vare SMS:et med engångskoden som jag fick reda på det skedde.

När jag själv loggade in på Facebook (från en enhet som redan godkänts) hade jag en Notifiering med ett nytt inloggningsförsök, med info om vilken typ av enhet (mobil) och en karta (det var Stockholm). Tycärr sparades inte den i Notifieringshistoriken, så jag har ingen skärmdump på det.

För att aktivera detta på ditt Facebookkonto, logga in och gå till Konto Kontoinställningar och klicka på Ändra vid Kontosäkerhet.

Under Godkända inloggningar, kryssa i "Kräver att jag anger en säkerhetskod som skickats till min mobil".

Det var ett tag sedan jag aktiverade detta, så jag kommer inte ihåg när och hur man anger sitt mobilnummer, men det är nog ganska självförklarande.

Jag bytte självklart lösenord på Facebook direkt, jag kom faktiskt till byta lösenord-sidan när jag klickade i att det inte var jag i själva Notifieringen.

Jag vet inte hur de kände till mitt lösenord, det var 10 tecken, blandade helt utan logik (inte ens för mig). Jag använder det inte på någon annan site heller.

En brasklapp: Det fins säkert nån anledning till detta kan ha skett utan att någon faktiskt försökte logga in, jag kan dock inte komma på nån. Det kanske inte heller var från Stockholm, jag vet inte hur de vet det, GeoIP eller GSM-triangulering kanske? Oavsett så är det bra att aktivera detta skydd.

Med hjälp av WMI-kommandot qfe kan man (bland annat) lista alla installerade hotfixar på en Windowsdator.

Kör man

C:\>wmic qfe > patchar.txt

skapar man en textfil med samtliga installerade patchar på den datorn som kommandot körs på.

Om man kombinerar detta med findstr kan man snabbt kontrollera om en specifik patch är installerad enligt följande:

wmic qfe | findstr <kbnummer>

Är den inte installerad får man ingen träff:

C:\>wmic qfe | findstr KB123456C:\>

Ä den installerad får man en träff, som även innehåller en länk till mer info om patchen:

C:\>wmic qfe | findstr KB2525835
http://support.microsoft.com/?kbid=2525835 CLIENT1 Security Update
KB2
525835 NT AUTHORITY\SYSTEM 6/14/2011
C:\>

Hoppas nån har nytta av tipset!

———————————-

Edit: Uppdaterade kommandona ovan från ”kbid=2525835” till ”KB2525835”, då inte alla patchar innehöll KB-nummret i support-länken. Tack till Anders Olsson som noterade detta!

En kollega till mig undrade hur jag installerade Windows Home Server 2011 på en Acer H340, som på grund av att de är en utgående modell är riktigt billiga just nu. 3TB disk för 3000 kr eller 5TB för 3500 kr. Det är ju nästan billig nog för bara diskutrymmet, men här ingår Windows Home Server 2003 och själva servern också!

Jag började skriva instruktionerna i ett mail, men insåg halvvägs att jag lika gärna kan blogga om det istället.

Normalt brukar en Windowsinstallation inte vara något problem, men det som gör H340 lite speciell är att den inte har något grafikkort, den har inte ens en skärmkontakt. Den kommer som sagt förinstallerad med Windows Home Server 2003 och den administreras normalt via klientagent (som installeras på datorer som ska backuppas av WHS) eller via en webbläsare. Men nu ville jag alltså uppgradera min H340 till WHS 2011, helt utan möjlighet att se hur installationen går eller göra några val under installationen.

Innan du uppgraderar till WHS: Jag funderar ibland på att gå tillbaka till WHS 2003, då den har så kallad DrivePooling. Stoppar man i en ny disk blir det inte ytterligare en enhet eller ett nytt share, utan det befintliga utrymmet (som delas av alla shares) utökas bara, oavsett om en nya disken är ATA, SATA eller USB. Dessutom kan man välja om ett share ska vara duplicerat, dvs att allt innehåll i den mappen alltid ska ligga på två fysiska diskar (ifall en disk går sönder har man ändå all data i den mappen kvar). En slags fattigmans-RAID på share-nivå.

I WHS 2011 tog de bort detta och varje share ligger på en utpekad disk och måste man manuellt hantera detta. Även om det finns inbygga Wizards för att migrera shares mellan diskar är det inte optimalt. Just nu har jag mapparna Filmer och Filmer2 och det är precis det jag vill undvika. Det finns tredjepartsprodukter som löser detta i WHS2011, till exempel Driver Bender, DriveHarmony och StableBit Drivepool,  men alla dessa är bara i betastadiet än så länge och jag vågar inte labba med min personliga data. Jag har alltså inte testat någon av dem än, skriv gärna en kommentar om du har erfarenheter.

Ok, hur gör man då för att installera Windows Home Server 2011 på en dator utan skärm med hjälp av ett USB-minne?

Först måste du ha ett USB-minne (nähä?). Den måste vara 8Gb, 4Gb räckte precis inte. Jag hade ingen, så jag köpte en Zap Slider 8GB för 139 kr på Teknikmagasinet.

Sen ska vi göra USB-minnet bootbart. Tänk på att detta rensar allt på USB-minnet!

Starta cmd som administrator och skriv in följande kommandon:

  1. diskpart
  2. list disk (notera USB-minnets nummer i listan)
  3. select disk [nummer]
  4. clean
  5. create partition primary
  6. select partition 1
  7. active
  8. format fs=fat32
  9. assign
  10. exit

Köp eller ladda hem Windows Home Server 2011. Den finns t.ex. på Amazon, Newegg eller på TechNet/MSDN.

Kopiera hela DVD-innehållet (eller extrahera ISO-filens hela innehåll) till USB-minnet.

Skapa en ny textfil med namnet cfg.ini och placera den i roten på USB-minnet. Kopiera in texten nedan, ändra sedan det fetstilta till det som du vill ha. Detta är alltså en svarsfil som gör valen åt dig under installationen:
———————————————————
[WinPE]
InstallSKU=SERVERHOMEPREMIUM
ConfigDisk=1
CheckReqs=0
WindowsPartitionSize=61440
Processed=true

[InitialConfiguration]
AcceptEula=true
ServerName=Servernamn
PlainTextPassword=Lösenord
PasswordHint=Lösenordstips
Settings=All
———————————————————

För att enkelt kunna backa tillbaka till det förinstallerade WHS2003 tog jag ur den förinstallerade OS-disken som följde med (den var tydligt markerad med en klisterlapp) och installerade WHS 2011 på en annan disk. Se till att bara ha en disk i servern när du ska installera!

Sen är det bara att stoppa i USB-pinnen, starta servern och hoppas. Att disken låter (även om H4340 är relativt tyst hörs det) och att lampan på USB-minnet blinkar är bra tecken.

Jag bevakade min routers DHCP och när en ny adress dök upp (efter kanske 10-15 min) surfade jag till den IP-adressen och fortsatte konfigurationen av WHS2011 där.

Lycka till, Mattias! Hör av dig om du har frågor…   Smile

Jag har tidigare bloggat om både antiviruset Microsoft Security Essentials och virusborttagningsverktygen Microsoft Malicious Software Removal Tool och Microsoft Safety Scanner, men alla dessa kräver att datorn kan starta upp och faktiskt går att använda. Så är ju inte alltid fallet och vissa virus blockerar även så att installerade antivirusprogram inte fungerar korrekt.

För att hantera detta har Microsoft släppt en beta-version att ett verktyg som de kallar Microsoft Standalone System Sweeper. Med hjälp av detta verktyg skapar man en bootbar CD eller USB-minne och kan därmed göra en så kallad offline scan. Man startar alltså upp ett separat OS i RAM-minnet och skannar sedan av hårddisken som din vanliga Windowsinstallation ligger på. Då kan inte virus hindra dig eftersom det faktiskt inte körs utan bara ligger där och väntar på att bli borttaget 🙂

Jag har inte hunnit testat detta verktyg själv än. Om du testar det det, skriv gärna en kommentar här på bloggen om dina erfarenheter.

Verktyget är nog inte menat att spridas till alla än, på nedladdningssidan står det ”Thank you for contacting Microsoft Support. You have been directed here to download and install the beta version of Microsoft Standalone System Sweeper Beta”.

Läs mer och ladda ner här:
http://connect.microsoft.com/systemsweeper

Notera att om du ska ladda ner 32-bitars eller 64-bitars beror på vilken arkitektur systemet som du ska skanna har, inte systemet som du ska köra verktyget på för att skapa CD-skivan/USB-minnet.

image

Nyligen upptäckte Kaspersky en ny trojan som bygger på trojanen Banker. Den verkar enbart rikta in sig på bankkunder i Brazilien, men jag tyckte den var så intressant så jag ville blogga om vilka tekniker den använde för att lura slutanvändarna.

Trojanen utnyttjar ett säkerhetshål i gammal Java Runtime Environment (JRE). Den möjliggör en så kallad drive-by-download, dvs det räcker att man besöker en webbsida med en elak Javaapplet för att man ska få trojanen installerad. Flera populära brazilianska webbsidor hade hackats och fått denna applet installerad på sina webbservrar, så tipset “undvik skumma sidor” hade inte hjälpt.

Följande filer packades upp av trojanen:

image

Med hjälp av reg-filen slår man av User Account Control (UAC) och installerar ett fulcertifikat i Trusted Root Certificate Store, dvs det anses som fullt betrott av datorn.

imageTrojanen fungerar även på 64-bitars Windows. Men 64-bitars Windows är normalt skyddat med PachGuard (eller Kernel Patch Protection som det också kallas), vilket innebär att bara betrodda signerade drivrutiner kan installeras. Hur gick de runt detta då?

 

Jo, med hjälp av bat-filen konfigureras datorn (med bcdedit.exe) att starta upp Windows i TESTSIGNING-läge vid nästa omstart, läs mer om det här. Detta innebär att man accepterar ett specialcertifikat som Microsoft tillhandahåller för att förenkla tester för utvecklare. Jag har sagt det förr och kommer att behöva säga det igen: Finns det en “bakdörr/genväg/testfunktion” i en säkerhetslösning kommer den förr eller senare att utnyttjas av elakingarna också.

Så efter nästa omstart av offret installeras de bifogade drivrutinerna helt utan varningar. Dessa drivrutiner ser till att dölja trojanens existens på datorn genom att hooka in sig på Windows-API:erna som listar mappinnhåll och vilka tjänster som körs. Den döljer – på en låg nivå i systemet – alla referenser till sig själv. Det är detta som är själva definitionen av ett rootkit.

Trojanen lägger dessutom till adresser till Brazilianska banker i hosts-filen på datorn. Hosts-filen är en lokal fil som innehåller dns-namn med motsvarande IP-adresser. Denna lista kollas av Windows innan man går vidare med andra försök till namnuppslagning. Får man en träff här går man alltså inte vidare till DNS-förfrågningar.

Exempel på innehåll i en hosts-fil (jag har fejkat innehållet):

image

IP-adresserna som trojanen styrde om offren till hade kopior av bankernas inloggningssystem. De hade också SSL-cert som var signerade av fulcertet som installerats i offrens datorer. För slutanvändaren så det alltså helt ok ut. Man körde ju HTTPS, det var inga varningar och adressen var rätt.

Trojanen avaktiverade dessutom säkerhetsfunktioner som vissa av bankerna hade installerat i sina klienters webbläsare.

Inte ens SMS-koder eller bankdosor hade hjälpt, de som skapade trojanen kan ju skicka SMS-koden eller challenge/respons (modifierad vid behov) mellan offret och den riktiga banken. Detta hade dock gjort att elakingarna bara kunde logga samtidigt som när offret gjorde det, inte när de ville. Men man behöver ju bara vara inloggad en gång för att tömma kontot.

Ok, så hur kunde offren skyddat sig då? Man bör inte göra bankärenden på samma dator som man använder för att surfa runt på. Man kan använda bootbar live-CD, virtuella maskiner eller olika fysiska maskiner. Lite besvärligt, men många Brazilianare önskar nog att de hade gjort så.

Om man av någon anledning väljer att inte skilja på surf och bankärenden då?

Patcha allt! Inte bara Windows utan även alla program, plugins och tillägg. Använd SUMO och/eller Secuina PSI som jag har bloggat om tidigare för att underlätta detta. Uppdaterat antivirus är förstås också ett måste.

Att titta på utgivaren av SSL-certifikatet hade inte gett så mycket, eftersom det enda som behöver skilja mellan det riktiga och det fejkade är dess thumbprint. Namet på det utgivande certifikatet sätter ju hackern till vad han vill.

Jag använder en plugin till Firefox som heter Certificate Patrol. Jag ska blogga om det nån gång, men den hade varnat mig om att bankens certifikat – även om det var giltigt – hade bytt utgivare. Detta kan visserligen ske utan att det är ”fel”, men det skulle i alla fall göra att jag skulle besöka sidan från en annan dator på ett annat nät och se om det var bytt på den också, speciellt om förra certets giltighetstid inte var på väg att gå ut (Certificate Patrol har koll på det). Detta under förutsättning att jag installerat pluginet innan jag fick trojanen förstås.

Säga vad man vill, men man blir både imponerad och skrämd av så här sofistikerade attacker.

Microsoft släppe nyss en beta av Microsoft Forefront Endpoint Protection 2012.

De största nyheterna är att den stödjer System Center Configuration Manager 2012, har rollbaserad administration samt effektivare distribution av säkerhetspatchar.

Ladda ner här:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=b64c2029-0f56-4606-ba0c-ea92e03541f5

Läs mer om vad Forefront Endpoint Protecion är på Forefront MVPn Anders Olssons blogg:
http://forefront.psynet.se/endpoint-protection/

HeroLogo_sirv10

Microsoft släppte nyligen en ny version av sin säkerhetsrapport som kommer ut halvårsvis. Den heter Microsoft Security Intelligence Report volume 10 (July – December 2010) och olika varianter av den kan laddas ner här:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=821e0433-5b9d-422d-8d78-ab641ee6e132

Den stora är lite tung att läsa med sina 559 sidor, men Key Findings Summary på 9 sidor sammanfattar det viktigaste.

Här kan du läsa lite mer om Security Intelligence Report:
http://www.microsoft.com/security/sir/

image

Om du – som jag – ofta använder verktyg från sysinternals, t.ex. Process Explorer, BGinfo, Autoruns, ZoomIt, TCP View, Disk2vhd, psexec etc, kommer du kanske att uppskatta detta tips.

I en kommandoprompt i Windows, skriv följande kommando:

pushd \\live.sysinternals.com

Då skapas en tillfällig enhetsbokstav som kopplas mot Sysinternals WebDav-share med de senaste versionerna av deras verktyg.

image

Kommandoprompten byter även current path till den nya enheten, så för att köra ett av verktygen är det bara att skriva namnet och trycka på enter. Tab completion funkar men tar några sekunder.

Här listar jag alla verktyg som börjar på pro:

image

Du kan även se enhetsuppkopplingen i Utforskaren:

image

När du avslutar den aktuella kommandoprompten kopplas uppmappningen ifrån automatiskt.

Vill du ha en permanent uppkoppling är det bara att manuellt mappa en enhetsbokstav mot \\live.sysinternals.com.

Här finns mer info om alla verktygen:
http://technet.microsoft.com/sv-se/sysinternals

BackTrack 5 släppt

Publicerat: 10 maj 2011 i Uncategorized

För en halvtimme sedan meddelade @BackTrackLinux via Twitter att BackTrack 5 är släppt:

http://www.backtrack-linux.org/downloads/

Happy Hacking, men glöm inte att vara snäll!