När du loggar in någonstans, som i detta exempel, så använder du dig av en ”singel” login. Till skillnad från ”two step verrification” som bygger på något du vet (lösenordet) och något du har (en login dosa eller liknande). Men både ”singel” och ”two step” bygger egentligen på att du vet två saker, användarnamn och lösenord. Det ena funkar inte utan det andra! Så om en angripare har den ena informationen så har han/hon gjort halva jobbet. Oftast använder hemsidor din e-postadress som användarnamn. Eftersom din e-post är unik för dig i sammanhanget så är det en rätt smart implementation. Dock ställer det till problem när en angripare väljer att göra en riktad attack mot dig.
Ovan ser du ett felmeddelande från Facebook som snällt talar om för mig att kalle@anka.se inte är registrerad i deras system. Så om jag har en person som jag vill attackera och har ett antal olika e-postadresser till så kan jag snabbt prova igenom och se vilken som finns registrerad eller inte på Facebook innan jag ger mig i kasst med att knäcka lösenordet. Om Facebook istället bara hade talat om för mig att tyvärr lyckades vi inte logga in dig med den kombinationen av e-postadress och lösenord så hade jag fortfarande inte vetat om lösenordet eller e-post adressen var fel.
iCLoud har helt klart förenklat min backupstrategi. Online och helt klart set-and-forget. Återställningen går snabbt, jag kan hitta min data och även min telefon, om jag tappat bort den. Varje natt ligger min telefon i hallen och gör en komplett backup av sig själv via min wifi-anslutning och min data är säker….
Det finns dock ett stort problem med detta! Inte i Apples implementation egentligen men i användarnas lathet samt appbyggarnas oaktsamhet.
Test av hur folk använder iCloud
Jag gjorde ett enkelt test. Tog reda på 20 personer med olika bakgrund i min närhet som jag visste hade smartphones. 12 av dem visade sig ha iPhone och var villiga att vara med på ett experiment. 7 av dem visade sig använda iCloud. Efter bara 10 minuter hade jag knäckt deras lösenord på deras konton utan några program eller andra hjälpmedel. Bara genom att gissa och titta igenom den information som fanns tillgänglig på deras Facebook profiler. Att ha sin favorit TV-serie som lösen är illa nog men en hade sitt förnamn så det blir ju värre. Varför hade dem så dåliga lösenord? Samtliga svarade i stort sätt samma sak: -”Jag behöver ju det varje gång jag laddar ner en app!”
Nu hade jag tillång till deras geografiskaposition när jag ville utan att de märkte något. De hade ju tagit Apples rekommendation och slagit på “Hitta min iPhone” funktionen. De som använde sig av Photostream delade snällt med sig av dagen tagna bilder så snabbt telefonen fick wifi-anslutning. Så nu kunde jag övervaka och följa deras liv på ett ganska intimt sätt utan att de hade en aning om det. Men jag kunde egentligen inte påverka något.
Nästa test jag gjorde var att återställa några iPhones jag hade liggande med deras iCloud-backup. Nu hade jag en fullt återställd kopia av deras telefon som den såg ut kvällen innan. Jag kunde titta på samtliga sms konversationer, anteckningar och även bilder från dem som inte använde Photostream.
När du återställer backupen till en annan telefon än den som den blev gjord av måste du mata in alla lösenord för mailkonton igen. En bra säkerhetsimplementation från Apples sida. Som jag nämde tidigare är dock inte appmakarna riktigt lika framsynta. Facebook appen t.ex. är bara att logga in på utan bekymmer. Jag kan läsa konversationer, titta på bilder, lägga till och ta bort i stort sätt allt. Blockera användare eller ta bort blockeringar. Lika illa är det med Google Authenticator, Twitter, WordPress, Dropbox m.fl. Detta gör att jag genom att knäcka ett lösenord som de valt att ha ett enkelt lösen på kommer åt flera tjänster som de troligen valt starkare lösenord på.
Förbättra säkerheten
Så vad kan man göra för att göra det hela lite säkrare? Självklart är det bästa att välja ett mer avancerat lösenord! Men det finns även några saker till man bör tänka på:
Använd inte samma konto för iCloud som för iTunes store.
Använd en annan e-postadress än den som du lämnar ut till folk.
Byt lösenordet med jämna mellanrum.
Nu för tiden får man kallt räkna med att det alltid är någon som försöker komma åt din information för olika syften. Man måste vara nogrann med sin säkerhet särskilt när man har ett lösenord som i detta fall skyddar åtkomst till många tjänster!
Tanken var att det skulle bli semester denna och nästa vecka! Sola på dagarna och sitta och jobba med lite spännande projekt på kvällarna. Så har det inte riktigt blivit! Har använt kvällarna till att sitta framför datorn men det har varit jobb hela veckan. Det är bara än dag jag inte loggat 8 timmar eller mer. Inte alltid planeringen håller. Samtidigt har det blivit mycket kväll/natt så jag har kunnat njuta av solen på dagarna vilket gör att det känns rätt semester likt ändå. Men nu är jag i mål med de akuta grejerna som jag var tvungen att fixa denna vecka så nu ser jag framemot en långhelg i alla fall över midsommar.
Planerna för midsommar är lite spridda och tveksamma än så länge. Känns lite som i julas när det helt plötsligt var jul och jag hade inte hunnit komma i stämning alls. Får väl se vad det blir men jag skall iväg på frukost/brunsh i alla fall. Sen kan det vara att vi kör hemma hos mig med mat, fylla och nattdopp. Får väl se vad det blir av det… Nu har ni fått se en bild på mitt hemmakontor jag har fixat i ordning i alla fall!
Läste en artikel på Aftonbladet (http://www.aftonbladet.se/nyheter/article14969495.ab) härom dagen som jag funderat en del över. I korthet så säger polisen att följande har hänt: En kille stannar med sin bil vid en trafikolycka han inte varit inblandad i och blir ombedd att åka vidare. Han kör då i hög hastighet gör en 180graders sväng och försöker köra på en polisbil samt en polisman. En civil polisbil tar upp jakten och killen kör efter några hundra meter på en cyklist som dör på plats. Enligt polisens första uttalande avbröt de jakten efter bara några hundra meter, innan cyklisten blev ihjälkörd, eftersom hastigheten bedömdes vara för hög.
Någon dag senare intervjuades vittnen som sa att polisen inte alls hade avbrutit utan passerade platsen i hög fart redan innan den ihjälkörda cyklisten hunnit landa på backen. (http://www.aftonbladet.se/senastenytt/ttnyheter/inrikes/article14977358.ab) Nu ändrar polisen sin version till att de avbrutit jakten och sedan sett mannen bli på körd/överkörd och då tagit beslutet att bilisten måste stoppas till varje pris eftersom han var en fara för allmänheten.
Jag tycker hela denna diskussion är helt absurd! Om alla dessa skriverier gör att polisen väljer att inte följa efter misstänkte längre för att det går för fort så kommer varje småtjuv köra som om han var på en F1 bana. Polisen måste få verka mot brottslingarna och ges rätt verktyg för det. Låt dem jaga folk men ge dem mer utbildning i framförandet av sina bilar. Sluta lasta bilarna fulla över bakaxeln så det har lika dålig väghållning som en tallrik filmmjölk! Samma sak gäller med deras tjänstevapen, varför får en polis mer eller mindre skrivbordstjänst i två veckor bara han knäpper upp hölstret? Om de inte skall få använda vapen varför har de fått dem då?
Samtidigt är det helt sorgligt att de har så dålig vapenhantering så att en rånare kan skjuta med en startpistol mot dem utan att de hör skillnad. De returnerar elden på 30m håll, tömmer två magasin, träffar inte någon av rånarna men bygger om fasaden till ett gym totalt. (http://www.aftonbladet.se/nyheter/article14482140.ab) Det är dags att polisen får rätt förutsättningar för att göra sitt jobb och inte hela tiden skall bedömas med så trånga ramar. Det är ju inget enkelt jobb de är satta att göra!
Istället sätts det konstiga statistikmål så de hellre lägger 30min på att tjafsa med mig om belysningen på min bil (Polisen ljög i rapporten!) än att patrullera på avenyn en fredagskväll. Känns som många hamnat i en situation där polisen är motpart till vanliga medborgare angående skit saker istället för medpart till oss mot den grova brottsligheten. Tycker att det är konstigt att vi på 5 år fått 3000 nya poliser ändå löser man färre brott än på 20år. Det innebär att någonstans prioriteras alla dessa resurser helt fel! Då kan man ju ta SD vägen och skylla på invandrarna men sist jag kolla så var väl alla polischefer medelålders svenska män med byxstorlek 54 och uppåt?!?
Igår paddlade vi havskajak med jobbet. Första gubben gjorde halv eskimåvändning 10m från bryggan. Själv kändes det lite ovant men kom snabbt in i det och hittade tillbaka till balansen och tryggheten trots att det var längesen sist. Är riktigt sugen på att köpa en egen kajak men de går ju lös på typ 10000:- och det gör en ny cykel och en luftvärmepump också… Prioriteringar….
Hur som helst så tog vi en runda från Billdal runt Lövön och tillbaka, riktigt nice! Var lagom med sjö och inte för mycket vind. En kollega ”fuskade” på vägen hem och använde ett paraply som segel. Intressant ide även om det förtar hela grejen lite.
Sen körde vi lite grillning och avslutade med att bada, eller jag badade och resten av firman satt med tröja och jacka och tittade på….
Bara två dagar till denna vecka sen är det semester och tid att varva ner lite. Har lite upp huggen semester i år så det blir väl som vanligt när man väl varvat ner skall man tillbaka till jobbet igen. Några veckor senare när allt kommer igång igen så skall man tillbaka på semester och försöka varva ner igen. Idag blir det extra stressigt eftersom vi ska iväg på kick-off med jobbet och paddla havkajak i eftermiddag. Skulle nog behövt en vecka till innan semestern men då hade den blivit lika stressig med andra saker antagligen…..
Nästa vecka är det dags för semester! Två veckor innan jag är tillbaka på kontoret. Inga direkta planer mer än midsommar. Tänkte ta det lugnt, sova så länge jag vill, träna och roa mig med lite projekt som jag inte hinner med annars. Har fullt upp på jobbet och idag blev det från sju på morgonen till nästan sju på kvällen. Ska bli riktigt skönt med ledighet då jag inte måste ställa klockan.
Har som sagt en massa trevliga projekt som jag inte hunnit med. Bland annat skall jag bygga vidare på min custom membership provider till .Net som jag inte hunnit med på länge. I första versionen tog jag egentligen bara Microsofts källkod och skalade bort behovet av dbo schema i databasen. Det som skall implementeras här näst är automatiskt skapande av databasen samt integration med Facebook så jag slipper skriva den koden varje gång. Har ett antal siter jag jobbar med nu och det hade varit kul att lyckas publicera i alla fall en eller möjligen två av mina senaste projekt efter semestern. Har funnits så lite tid till allt sånt.
Så för er som är intresserade så kan det komma en massa spännande framöver. Har även gjort några spännande upptäckter av säkerhetskaraktär som skall publiceras efter lite mer tester.
