It-mediet ComON har udgivet en historie om et sikkerhedshul i iOS, altså styresystemet på iPhones, iPods og iPads. Som det normalt er tilfældet, når det gælder sikkerhedshistorier relateret til mobile applikationer, er det app-rettigheder, der er i fokus – altså hvilke data en app kan få adgang til eller ej.

Det er tidligere kommet frem, at populære applikationer til iPhone er i stand til at kopiere telefonens adressebog og sende oplysningerne tilbage over nettet.

Nu går problematikken så på, at mobil-applikationer også kan tiltuske sig adgang til dine private billeder, hvis du har givet tilladelse til, at applikationen kan bruge din aktuelle placering. Endnu er det dog ikke klart, om der findes apps på App Store, der udfører den noget tvivlsomme handling.

Eftersom fotobiblioteket indeholder såkaldte geo-tags – i dette tilfælde geografiske koordinater, tidspunkt og dato – kan billederne i teorien bruges til at kortlægge din færden.

Så selv om Apple screener alle apps, inden de kommer med i App Store, er der god grund til at være påpasselig, når du giver apps rettigheder til at indsamle data.

Vi har netop konstateret, at en ny byge af phishing-mails går efter Nordea-kunder. Med teksten: “Kære kunde Nordea, du har 1 New Security besked! Du har modtaget denne fil, fordi din Nordea konto er blevet midlertidigt suspenderet”, forsøger svindleren at lede dig ind på et phishing-site, hvor du skal indtaste fornavn, efternavn, kreditkortnummer, udløbsdato, sikkerhedskode samt de sidste fire cifre i dit cpr-nummer.

Linket fører til internetadressen “ercboxoffice.com”, der lader til at være hacket, og fører dernæst til en tysk adresse – “historische-bilder-dresden.de”, som ligeledes er blevet kompromitteret, og det er lykkedes svindlerne at placere den falske Nordea-side her.

Det farlige ved det aktuelle phishing-forsøg er, at sproget er et nogenlunde korrekt dansk, og topbanneret kan måske overbevise nogle brugere om, at Nordea står bag. Internetadressen bør dog få alarmklokkerne til at ringe. Generelt vil banker aldrig kontakte deres kunder direkte via mail, men benytter eget beskedssystem. Hvis du er i tvivl, så ring til din bank.

Har du erfaringer med phishing-mails, der vil franarre dig penge, så tøv ikke med at dele dem herunder.

Det relativt åbne system – sammenlignet med Apples iOS – har betydet, at Android-platformen har spurtet forbi konkurrenterne, fordi mange apps har været tilgængelige først til Android. Google kunne for nylig fortælle, at der er blevet hentet apps fra Android Market mere end 11 milliarder gange.

Desværre har cyber-svindlere samtidig haft lettere ved at snige skadelige apps ud til slutbrugeren, og mængden af Android-malware har hidtil kunnet opdeles i to grupperinger: Decideret skadelige apps produceret af hacker-communitiet og tilsyneladende harmløse apps, der indeholder en eller anden form for skadeligt indhold.

Men nu skrider Google til aktion. Og frem for at forlænge ansøgningsproceduren og dermed potentielt skade Androids åbne natur har søgefirmaet valgt en noget anderledes tilgang: En malware-scanner, der kan opsnuse skadelige Android-apps. Scanneren er, ikke overraskende, døbt ’Bouncer’.

Når udvikleren uploader en app, går Bouncer automatisk ind og udfører en foreløbig scanning for at blive klog på, om app’en har lyssky intentioner. Apps, der allerede findes på Marketplace, bliver dog også løbende undersøgt for mistænksom aktivitet.

Ifølge Google er mængden af potentielt skadelige app-downloads fra Android Marketplace faldet med 40 procent, siden scanneren blev introduceret i 2. halvår 2011, sammenlignet med første halvdel af året.

Vi hilser initiativet velkomment, men du skal huske, at det ikke sikrer dig mod en dårlig oplevelse med Android. Det er særligt vigtigt at passe på apps, der anmoder om adgang til bestemt oplysninger – de såkaldte permissions. Det er eksempelvis mistænksomt, hvis en pauseskærm beder om adgang til dine kontaktoplysninger og øvrige personlige detaljer – eller adgang til SMS-funktionen.

Det skriver it-magasinet Alt om DATA. Artiklen fortæller, at titusindvis af brugere har accepteret det falske budskab som gode varer og delt links til svindel-sites med deres Facebook-venner.

- De falske sites benytter sig af en nogenlunde ensartet model, nemlig at lede
brugeren videre til en række øvrige sites, vedkommende skal ”like”, hvis
Timeline-funktionen angiveligt skal blive frakoblet. Det sørgelige resultat er,
at brugeren på kort tid ikke blot har klikket ”Synes godt om” på en række sider
– men også har tilbudt alle sine Facebook-venner at gøre det selv samme, fortæller Alt om DATA.

I værste fald kan det betyde, at godtroende brugere inviterer hackere indenfor, der får albuerum til at installere skadelig software på computeren. Endnu er det dog ikke kommet så vidt. Det er derfor vigtigt at være kritisk, eftersom svindelnummeret er baseret på, at en Facebook-ven anbefaler linket. Vi kalder det social engineering, da svindleren har brug for en persons tillid, hvis det skal lykkes at fuppe ofrene. Og vi har en tendens til at sænke paraderne, når bekendte “blåstempler” online-indhold.

Husk derfor altid at være kritisk og værn om dit privatliv, når du opholder dig på Facebook.

Otte bankkunder har i forbindelse med falske mails, der foregav at komme fra Nordea, afleveret bruger-id, adgangskode og en nøgle fra nøglekortet til en person bag en falsk hjemmeside. Oplysningerne er blevet brugt til at overføre penge til udlandet.

Det er vigtigt at understrege, at den tekniske sikkerhed i NemID er uændret, og at brugerne er korrekt autentificeret af systemet. Der er tale om et trick i samme skole som fralokning af kreditkortoplysninger, hvor de kriminelle sender en bølge af mails, der udnytter brugernes tillid til kendte logoer og ønske om at få orden i sagerne.

Sagen giver anledning til igen at gøre opmærksom på, at man aldrig må udlevere sine NemID-oplysninger til nogen, hverken i den digitale eller i den analoge verden. Der er ingen, hverken banker eller offentlige myndigheder, der på noget tidspunkt vil sende en mail ud med et link til at logge ind med NemID. Hvis man modtager en sådan mail, er den falsk og bør slettes.

• ESET Live Grid med cloud-baseret rygtekontrol
• Fintmasket kontrol af flytbare medier
• Forældrekontrol (kun i Smart Security 5)
• Avanceret Host-baseret Intrusion Prevention System (HIPS)
• Gaming Mode

ESET’s tidligere cloud-baserede detektering ThreatSense.Net har ved hjælp af whitelisting af sikre filer optimeret opsporingen af malware. Systemet er efter opdateringerne omdøbt til ESET Live Grid. Navneskiftet symboliserer både den rygtebaserede kontrol og de nye produktversioners forbedrede præcision og trusselssporing. ESET’s produkter har længe været anerkendt som de ressourcebesparende alternativer, en position som understreges yderligere med 5. generation. Produkterne lærer lidt efter lidt, hvilke filer på pc’en der er klassificeret som sikre. Det betyder, at ydeevnen forbedres betydeligt, når programmerne har været anvendt i et stykke tid.

ESET’s trusselstatistikker har måned efter måned vist, at eksterne medier som fx USB-nøgler fortsat bruges til at sprede virus og skadelig kode.

-Når en USB-nøgle er aktiv, kan den overføre en skjult virus til pc’en, uden den behøver være koblet til internettet. Den nye version af vores sikkerhedsprogram indeholder en funktion til kontrol af eksterne enheder, så man nemt kan afgrænse præcis hvilke USB-nøgler eller cd’er/dvd’er, der må anvendes på pc’en, siger Minna Vadsager, Country Manager i EuroSecure, som er ESET’s nordiske distributør.

Man kan vælge at blokere bestemte medier baseret på en række parametre som fx medietype, producent og størrelse. Man kan også whiteliste USB-nøgler og andre enheder.

Forældrekontrol

Med funktionen Forældrekontrol kan forældre blokere websteder, der kan indeholde potentielt stødende materiale. Det gøres ved på forhånd at definere, hvilke typer af sider, man ønsker at beskytte sit barn mod. Man kan registrere en ”brugertype” for hver konto, så hver bruger har sin egen gruppe af pre-definerede kategorier af websider, som ikke må vises, når brugeren er online.

Den nye host-beskyttelse (HIPS, eller Host Intrusion Prevention System) giver et ekstra sikkerhedslag og gør det muligt for den teknisk avancerede bruger at tilpasse hele systemet og hver proces til egne behov. Man kan definere regler for, hvilke processer eller filer der skal have adgang til forskellige filer og registernøgler.

Godt nyt til spil-entusiaster

Gamer mode er en ny funktion til dem, der spiller spil både online og offline. Den nye gamerindstilling deaktiverer advarselsvinduer og skifter til ”silent mode” for at spare endnu mere på systemressourcerne. Gamer mode forbedrer ikke kun spiloplevelsen, men passer også godt til andre aktiviteter som bruger fuldskærm, såsom præsentationer og film.

Ud over disse fremtrædende funktioner kan brugeren glæde sig over den forbedrede grafiske grænseflade, som er mere intuitiv, transparent og enkel at navigere rundt i.

Dette gav ESET Irland en anledning til at få udført en undersøgelse blandt landets computerbrugere, for at se om de var smartere end som så. Svaret blev, at de irske brugere er, om ikke andet, så lidt smartere. Undersøgelsen blev udført for at finde ud af hvilken slags passwords irerne bruger, og hvor sikre de er. Undersøgelsen blev lavet af Amárach på vegne af ESET Irland. For at lave en gyldig undersøgelse, blev der brugt en varieret målgruppe, på i alt 1000 mennesker. Et udsnit på 850 blev hentet online og 150 blev udført ansigt til ansigt for at sikre et fuldt repræsentativt udsnit.

De irske computerbrugere blev spurgt om deres passwords mindede om koderne, i en af de 7 foruddefinerede grupper som kunne vælges, og som afspejlede forskellige niveauer af kompleksitet og derfor også stigende niveauer af beskyttelse
Spørgsmålet de stillede lød ”Hvordan ser dit e-mail password ud?” og svarene som deltagerne kunne vælge var følgende:

1. Jeg bruger en kombination af bogstaver og tal som password (f.eks.: jimmy34, per45xyz, ilrw12).
2. Jeg bruger et enkelt ord eller en sekvens som password (f.eks.: password, colin, 13435).
3. Jeg bruger et fiktivt ord som password (f.eks.: lianwer, gianron, cavoveti).
4. Jeg bruger små og store bogstaver og tal som password (f.eks.: Roisin 75, OpeRal1982).
5. Jeg bruger små og store bogstaver, specialtegn og tal som password (f.eks.: MoCon-07, McBett0982!).
6. Jeg bruger sætninger/udtryk som password (f.eks.: Huskatringetilmor,  jegeruovervindeligI).
7. Jeg kender ikke mit password til min e-mailkonto, fordi min computer husker det.

Resultatet var, at selvom kun ca. 10 % brugte komplekse passwords, hvilket er at foretrække, så er følgende alligevel et skridt i den rigtige retning:

• 38 % bruger en kombination af små og store bogstaver samt tal i deres password.
• 10 % bruger komplekse password.
• 10 % flere bruger små og store bogstaver og tal.

Dette viser, at 58 % af de adspurgte ikke tilhører den kategori af computerbrugere, som bruger de simple ”12345” passwords. Så de konstante forsøg, både fra ESET og andre, på at øge bevidstheden hos brugerne må have virket til en vis grad.

I en artikelserie har David Harley også været omkring emnet password sikkerhed, men set i lyset af den seneste tids hacking episoder er det værd at påpege, at ”verdens bedste password” ikke er noget værd, hvis ikke siden eller servicen som det bruges i forbindelse sammen med, ikke passer godt nok på det”, fra Password Strategies: Who Goes There artiklen i SC Magazine.

Så selvom vi har et fantastisk detaljeret og omfattende White paper skrevet af David Harley og Randy Abrams tilgængeligt på Good Password Practice, og vi har det irske eksempel, som viser at computerbrugere begynder at tage de gode vaner til sig, skal der stadig ydes en indsats for at sikre, at serviceudbydere forstår vigtigheden af data-beskyttelse og tager de nødvendige forholdsregler, som sikrer at fortrolige data, forbliver fortrolige.

Forbrugerrådet lavede en test for at se hvor let det var at lokke folk til at udlevere  CPRnummer og betalkortoplysninger på deres hjemmeside, hvis de fik udsigt til at vinde en iPad og resultatet var skræmmende. Alt for mange deltagere udleverede både CPR-nummer og kontokortoplysninger ved udsigten til at vinde en iPad.

Identitetstyveri er en alvorlig sag.

Hvem har egentlig brug for at vide dit CPRnummer? Man bør være meget påpasselig med at udlevere CPRnummer og andre personfølsomme oplysninger på nettet, da man aldrig ved, hvordan disse risikerer at blive brugt. Forbrugerrådet skriver her mere om reglerne som gælder, når man kan kræve oplysninger om dit CPR-nummer.

Vær altid meget restriktiv med dine personlige oplysninger på nettet!

Wired skriver om sikkerhedsproblemerne hos Dropbox i mandags.

Dropbox, det populære sted for lagring og deling, havde i mandags alvorlige problemer med sikkerheden. Hvem som helst kunne logge ind på valgfri konto med en valgfri adgangskode i 4 timer.

En ret så interessant mailudveksling om buggen hos Dropbox findes på Pastebin.