Apple ændrer sikkerhedsprocedure efter hack

Et sikkerhedshul hos Apple og Amazon fik fatale konsekvenser for amerikansk journalist

Hør udsendelse

Mat Honan er en kendt journalist på Wired.com. Han har dækket teknologibranchen i mere end et årti. Vi taler med andre ord om en meget teknologi-kyndig mand, der ejer de nyeste gadgets, og kender deres styrker og svagheder. Men en fredag eftermiddag i starten af august blev hele hans digitale liv lagt i ruiner på 40 minutter. De stjal hans identitet på Twitter og slettede alle fotos af hans 18 måneder gamle datter på hans bærbare computer.

“Jeg var taget tidligt hjem fra arbejde. Pludselig slukkede min mobil. Jeg troede, at batteriet var dødt eller at jeg måske skulle opdatere noget på den. Jeg gik nedenunder til min computer for at slutte mobilen til den. Da jeg åbnede min bærbare Mac, fik jeg en fejlmelding. Den fortalte mig, at min gmail-adresse var forkert. Så pludselig blev skærmen grå, og min MacBook bad mig om en fire-cifret PIN-kode. På det tidspunkt gik det op for mig, at jeg blev hacket, og jeg kunne bogstaveligt talt se indholdet af min computer blive slettet,” fortæller Mat Honan til det amerikanske radioprogram On the Media.

Hul i sikkerhed hos Apple
Det skulle vise sig, at det ikke var Mat Honan, der havde begået en fejl. Det var ikke et uforsigtigt klik på et link i en e-mail fra en ukendt afsender, og han havde heller ikke opgivet sit kreditkortnummer til en fremmed. Alligevel havde det ikke været svært for hackere at få adgang til alle Mat Honans data. De fandt nemlig det svage led mellem Honans konti hos Amazon og Apple til at bryde ind i hans liv. Det var med andre ord, fordi Honan stolede på to af verdens største internetvirksomheder og deres sikkersprocedurer, at hans digitale identitet blev ødelagt og stjålet fra ham.

Først kontaktede hackerne Amazon. De havde Honans e-mail adresse fra hans hjemmeside, ligesom de kendte hans fysiske adresse, fordi de havde slået den op online. Med de oplysninger kunne de få tilknyttet et ekstra kreditkort til en Amazon konto. Få minutter efter ringede hackerne til Amazon igen. De lod som om, at de havde mistet adgangen til deres konto. Hvis man giver Amazon et navn, en faktureringsadresse og et kreditkortnummer – i dette tilfælde det samme kreditkortnummer, som de selv havde tilknyttet i deres forrige telefonopkald – ja, så tilknytter Amazon en ny e-mail adresse til ens konto. Hackerne lagde røret på, loggede ind på Amazon og bad om at få nulstillet mit password. Det nye password blev leveret til den nye e-mail adresse. Hackerne kunne nu logge ind på Honans Amazon konto og se samtlige kreditkortnumre på kontoen.

Men de havde kun brug for de sidste fire cifre af et kreditkort for at fortsætte deres destruktive togt gennem Mat Honans digitale liv.

Sidste fire cifre i kreditkort var nok
“De sidste fire cifre er alt, hvad Apple finder nødvendigt for at udstede en midlertidig nulstilling af ens adgangskode. Så snart hackeren havde de fire cifre og min adresse, mit navn og min e-mail – så kunne de få nulstillet min konto hos Apple og begynde at lave ravage.”

Hackerne ringede til Apples telefonsupport og fik et nyt password. Så havde de adgang til hans mail og til hans iCloud – Apples back-up tjeneste. Det gav adgang til at slette alt indhold på alle hans Apple maskiner – iPhone, iPad og MacBook. Det er egentlig ment som tyverisikring. Hvis man får stjålet et af sine Apple apparater, så kan man fjernbetjene sletningen af alt indhold på dem, så tyven ikke får adgang til det.

Slettede familiefotos
I stedet blev det hackerne, der slettede indholdet af Mat Honans MacBook – inklusive alle fotos af de første 18 måneder af hans datters liv – som ikke var backet op. Men inden de slettede det hele, så fiskede de hans passwords til Gmail ud af mailboxen. Mat Honan brugte nemlig sin Applemail, som backup-mail adresse for Gmail og Twitter, hvis han skulle miste adgang til dem. Så slettede de hele hans Google-konto, før de overtog hans Twitter-konto.

Det tog hackerne 40 minutter at køre hele forløbet igennem. Imens legede Mat Honan med sin datter, opdagede at iPhonen var død, opdagede at hans bærbare gik ned, flåede alle apparater ud af internetforbindelsen og ringede til Apple. Men kun to minutter efter havde hackerne adgang til hans Twitter-konto, der var deres virkelige mål. Herfra begyndte de at sprede racistiske ytringer og anden snavs i hans navn. Til Mat Honans held var de ikke interesserede i hans bankkonti.

Chattede selv med hackerne
Mat Honan lånte sin nabos computer og oprettede en ny Twitter profil. Han begyndte at følge sin egen Twitter konto og begyndte at kommunikere med hackeren, der jo havde overtaget hans brugernavn @mat

“Jeg begyndte at kommunikere med en af de mennesker, der havde kontrol over min Twitter-konto. Tilsyneladende var det et team og jeg fik kun kontakt med én af dem – men jeg lovede, at hvis han ville fortælle mig, hvordan han gjorde alt dette, ville jeg ikke melde ham til politiet. Så gik han gennem alle trin, og det var virkelig en øjenåbner for mig.”

Eftersom Mat Honan er en estimeret teknologijournalist i USA, så lyttede både Amazon og Apple til ham. Amazon har ændret deres procedure, så man ikke længere kan ringe til dem med et kreditkortnummer og på den måde få adgang til en konto. Apple lader ikke længere deres telefonsupport udstede nye adgangskoder. Man er nødt til at gå online og besvare sikkerhedsmæssige spørgsmål for at få et nyt password. De har opdaget, at de sidste fire cifre i et kreditkortnummer er for usikker en løsning.

Fotos af datter væk for evigt

Honan har været i stand til at genskabe sin Google-konto ved hjælp af deres online værktøjer. Han har endnu ikke kunne genskabe sine data fra sin MacBook. Fotos af hans 1,5 år gamle datter sammen med deres nu afdøde oldeforældre er uigenkaldeligt forsvundet. Hackeren – der hævder at være 19 år gammel – har fortalt Honan, at det var hans makker, som slettede alt på harddisken – og at han ikke selv ville gøre det samme. Og givet en undskyldning. Hvorfor gjorde han det? Fordi @mat er et cool, kort brugernavn på Twitter, som han gerne vil bruge. Med andre ord – blot en drengestreg.

LINKS:

Mat Honans historie med hans egne ord i wired.com

Interviewet med Mat Honan blev lavet af On the Media

Reklamer

ACTA – handelsaftale eller webcensur?

Hør udsendelsen


Sjældent har noget skilt vandene som den internationale handelsaftale ACTA.

Harddisken og dagbladet Information havde mandag den 27. februar indkaldt til høring om den omstridte handelsaftale, som 7.000 danske demonstrede imod foran Christianborg lørdagen inden.

Kritiske høringssvar

Harddisken og Information har modtaget 14 høringssvar fra ialt 17 organisationer. Feltet spænder vidt fra Bibliotekarforbundet til Forbrugerrådet, Dansk IT og KODA. 11 af de 14 svar er stærkt kritiske overfor ACTA.

Ved høringen mandag eftermiddag kl. 17 bliver svarene overrakt til Handelsminister Pia Olsen-Dyhr (SF), der sammen med IT-ordfører Britta Thomsen (S) og Morten Messerschmidt (DF, MEP) vil debattere med organisationerne og de 230 tilmeldte gæster i halvanden time.

Stor uenighed

“ACTA kan ses som et produkt af store multinationale rettighedshaveres kommercielle interesser, som på potentiel bekostning af borgernes grundlæggende rettigheder, er en trend i retning mod et mindre frit og langt mere overvåget og indskrænkende internet.,” skriver Dansk Energi, Forbrugerrådet og Telekommunikationsindustrien i deres høringsvar.

På den anden side står et svar fra en en rækker kulturpersoner, der kalder sig “en uafhængig gruppe af kreative producenter”, som hævder, at ACTA ikke ændrer ved gældende danske lovgiver og videre skriver:

“Det er, som ACTA-debatten vender verden på hovedet. De, der skaber og producerer kunst, film, musik, spil og litteratur bliver i debatten fremstillet som nogen, der er ude på at knægte ytringsfriheden.”

LINKS:
Masser af ACTA-dækning på DR
Masser af internet-memer (som Anonymous-masker og Rick Astley-musik)
Det Digitale Indre Marked – som en del af den digitale agenda i EU
Ian Hargreaves’ rapport om copyright i England

Ny trussel mod internetfriheden?

I sidste uge gik Wikipedia i sort, og dusinvis af større og mindre it-firmaer gik i fælles aktion mod de amerikanske lovforslag SOPA og PIPA.

SOPA og PIPA skulle stramme beføjelserne i de allerede eksisterende lovgivninger om ulovlig kopiering af film, tv, musik og så videre, men mange mente, at lovforslagene var alt for vidtgående.

Det virkede – men
Og demonstrationen så ud til at virke – SOPA og PIPA blev foreløbigt lagt på hylden, og skal i hvert fald nu igennem en grundig behandling, før de bliver fremsat igen.

Men i mellemtiden er nye love på området blevet sneget ind, næsten under radaren, kan man sige, i form af den globale handelsaftale ACTA – Anti Counterfeit Trade Agreement.

ACTA har været undervejs i mange måneder, og og selvom den er blevet kritiseret for både sit indhold og for hemmelighedskræmmeriet omkring forhandlingerne, så har mange lande allerede stemt for – herunder USA og EU – dermed også Danmark, der i går skrev under i Japan.

Vagtmænd på nettet
ACTA giver ophavsretsejerne vide muligheder for fx at lukke hjemmesider de mistænker for at dele ulovligt kopieret materiale, men pålægger også internetudbydere at fungere som en slags vagtmænd over for trafikken i deres net – begge dele med ret uoverskuelige konsekvenser for både søgemaskiner, firmaer som TDC og Telia og for helt almindelige netbrugere.

Derudover handler ACTA bla. om kampen mod kopiering af fysiske varer – kopiprodukter – og medicin og meget andet.

Uanset indholdet, så er der mange som har kritiseret netop de hemmelige forhandlinger, hvor kun meget få aktører og primært de – der har interesse i at lave så stramme beskyttelsesregler for ophavsretshavere som muligt – er blevet hørt.

Det siger i hvert fald mange kritikere, heriblandt den respekterede Electronic Frontier Foundation og det franske site La Quadrature du Net, der har lavet et helt site om ACTA.

Også EUs ACTA-“rapportør” trak sig igår tilbage i protest mod de lukkede forhandlinger.

Er den så stemt igennem?
Nej, selvom EU har underskrevet aftalen, så skal den stadig godkendes af Parlamentet.

Derfor håber mange aktivister nu, at de kan nå at smide grus i maskineriet, ligesom man gjorde med SOPA og PIPA.

Aftalen skal efter planen ratificeres af Europa-parlamentet i juni måned.

Harddisken følger op på sagen i næste uges program…

LINKS:
EU-medlem Marietje Schaakes artikel om ACTA og hvad man stadig kan nå at gøre

Franske La Quadrature du Net’s ACTA-site

Patricks gode råd om passwords

– Der er ikke noget der er 100 procent sikkert når det gælder sikkerhed og it. Det kan man lige så godt lære at leve med, sagde it-sikkerhedsguruen Bruce Schneier i sidste uges Harddisken.

Det betyder selvfølgelig ikke at man bare skal give op, der er masser af ting man selv kan gøre.

Lav gode passwords

Udover antivirus-programmer, firewalls og PIN-koder er passwords jo et af de områder hvor vi oftest stifter bekendtskab med behovet for sikkerhed og beskyttelse – og desværre også et område hvor rigtig mange af os har dårlige vaner.

Derfor følger Patrick Mylund Nielsen fra sikkerheds-firmaet Kaspersky Lab op med et par gode råd til dem, der trods alt gerne vil beskytte sig så godt som det nu lader sig gøre.

Ord, tegn eller sætninger?

Hvis man bare vælger et enkelt password skal det helst være minimum 12 tegn langt, og det skal helst være en række af tilfældige tegn – ikke noget med ord, som kan findes i ordbogen, og slet ikke noget med at bruge navnet på sin søster eller folkeskole eller noget som andre kan gætte.

Men det kan være svært at huske, og derfor kan det være en idé at bruge en kodesætning istedet for bare et enkelt ord.

– Sætninger er nemmere at huske end tilfældige tegn, men sværere for hackere og deres computerværktøjer at gætte, siger Patrick Mylund.

Det er også meget vigtigt at bruge forskellige passwords på de forskellige tjenester – ellers har en hacker jo meget nemmere adgang til alle ens konto og tjenester, hvis de bare får fat i det ene password.

Det giver så til gengæld et nyt problem, nemlig at mange af os har dusinvis af tjenester som vi bruger hver dag, og så kan det være svært at huske alle sine passwords.

Få styr på de mange passwords

Derfor anbefaler Patrick Mylund også at man overvejer at bruge en password manager.

– En password manager holder styr på dine brugernavne og passwords til de forskellige tjenester, og kan sættes op til bare automatisk at logge dig ind på fx Facebook, siger han.

Gode manager-programmer kan også hjælpe dig med at skabe lange, tilfældige og sikre passwords til nye tjenester – for nu hvor du ikke selv skal huske dem behøver de jo ikke være ord eller sætninger!

Noget du ved og noget du har

Endelig skal man overveje om man måske vil bruge det man kalder to-faktor-sikkerhed. Det er fx sådan noget som NemID, hvor man udover sit brugernavn og et password også skal bruge en kode – i dette tilfælde på papkort eller den nye elektroniske nøgle.

– Kombinationen af “noget man ved” og “noget man har” – password og ekstra nøgle – er noget af det sikreste vi har som også er praktisk anvendeligt i hverdagen, siger Patrick Mylund.

LINKS:
Hør indslaget med Patrick Mylund (til sidst i ugens Harddisk)
Hør interview med sikkerhedsguruen Bruce Schneier (i slutningen af sidste uges Harddisk)
Aktuel sag om svenske password-hacks – Expressens artikler
Gode råd om passwords på Version2
Password-managers
Kaspersky om passwords

Pandebånd giver bedre søvn

Pandebåndet Zeo måler dine hjernebølger, mens du sover

Hør udsendelse

Vi ved alle sammen, hvordan hele dagen kan være ødelagt, hvis man ikke har sovet godt om natten. Spørgsmålet er bare – hvad vi kan gøre ved det? Det er ikke altid nok at gå tidligt i seng. Men nu har en flok amerikanske studerende udviklet et pandebånd, der kan hjælpe os til at sove bedre og vågne friske og veludhvilede.

Zeo blev udviklet, men vi stadig gik på universitetet. Vi ville lave et stykke teknologi, som vækker dig på det rette tidspunkt, når du er udhvilet. Vi fandt ud af – at for at gøre det, så skal man måle hele søvnperioden, og hvad der sker, mens vi sover,” siger Ben Rubin, der i dag har virksomheden Zeo, der sælger et $99 pandebånd, som måler dine hjernebølger, mens du sover.

“Søvneksperter fortalte os, at det er umuligt, medmindre man har et søvnlaboratorium med alt det rigtige udstyr såsom med 21 elektroder til at sætte på hovedet. Det kan ikke gøres hjemme hos én selv i ens egen seng.”

Søvn er vigtig for krop og hjerne
Men med en blanding af naivitet og stædighed så konstruerede Ben Rubin og hans partnere et letvægts pandebånd, der består af et pandebånd af stof med tre indbyggede sensorer. Man har pandebåndet på, mens man sover. Sensorerne måler hjerneaktiviteten, og viser hvor meget REM søvn og hvor meget dyb søvn man får. REM søvn er vigtigt for vores hjerneaktivitet – dyb søvn er vigtigt for kroppen. Pandebåndet tæller også,  hvor mange gange man har været vågen. Ben Rubin og hans partnere fandt ud af at søvn er meget vigtigere vores helbred, end vi umiddelbart tror. Søvnen har indflydelse på kroniske hjertesygdomme og diabetes. Men en god søvn kan også give bedre sex, mere energi, bedre ydeevne når vi dyrker sport.

Pandebåndet skaffede Ben Rubin plads blandt de 35 ny innovatorer under 35 år, som magasinet Technology Review kårer hvert år og præsenterer på konferencen Emerging Technology i Boston.  TR35 kaldes de.

Rådgivning om søvn
Men en ting er selve pandebåndet – en anden ting er konceptet omkring det. Ben Rubin har lavet et søvnrådgivningsfirma omkring sin teknologi. Meningen er, at hjælpe os med at få en bedre søvnkvalitet gennem konstant at samle data ind om vores søvnmønstre og på basis af de data give gode råd til, hvad der kan være anderledes.

Pandebåndet har tre bløde sølvpuder. Man tager pandebåndet på med sølvpuderne mod panden og falder i søvn. Sensorerne måler ens hjerneaktivitet gennem natten, og om morgenen har man en masse data. I den første udgave af Zeo blev de overført til et vækkeur. Men i den seneste udgave bliver ens data overført via Bluetooth – altså trådløst – til en app på ens smartphone. De bliver delt med Zeo, som kan give gode råd. Hvis det fx tog 25 minutter at falde i søvn, så kan de tilbyde teknikker til at falde hurtigere i søvn. Eller Zeo har måske registreret, at ens telefon har flyttet sig meget langt, hvilket betyder, at man er ude at rejse. Så kan Zeo tilbyde værktøjer til at minimere jetlag på 3-4 dage i stedet for de 8-10 dage, det normalt kan tage at komme sig.

Pandebånd er ligeså godt som laboratorium
Ifølge Ben Rubin er kvaliteten af de data, hans pandebånd leverer ligeså god som det et professionelt laboratorium kan præstere, fordi Zeo både måler hjernebølger og muskel- og øjenbevægelser. Det betyder, at pandebåndet både måler dyb søvn, rem søvn og hvorvidt man er vågen eller sover.

Alle ens data bliver regnet sammen til en score, der viser ens søvnkvalitet. Aftenen før vores interview havde Ben Rubin en score på 88. Hans gennemsnit svinger fra midt i 80erne til de lave 90ere. Jo tættere på 100 desto bedre. Hvis Ben Rubin passer sin søvn og sin fysiske træning, så får han typisk et tal i de høje 90ere.

Send søvndata til smartphone
I fremtiden bliver data fra pandebåndet udvidet med endnu flere muligheder. Ved hjælp af ens smartphone vil Zeo kunne mange andre ting. Mikrofonen kan fortæller, om man snorker. Telefonen kan også måle, om der er meget lys i soveværelset, som måske gør, at man vågner for tidligt og ikke får nok REM søvn. På Zeos website kan man også taste oplysninger ind og fortælle hvilke aftener, man har drukket meget kaffe eller alkohol og sammenligne den information med ens søvndata.

Og på basis af den viden, kan Zeo anbefale en række øvelser eller praktiske tiltage som fx et mørklægningsgardin eller at undgå en stor kop kaffe før sengetid.

Glemmer du, så husker dit personlige arkiv på nettet

Screenshot fra EgoArchiveMange kender nok situationen med at man besøgte en vigtig webside i sidste uge, men glemte at sætte et bogmærke så man kunne finde det igen.

Eller at en af vennerne lagde en video på Facebook, som nu forlængst er forsvundet i informationsstrømmen.

Man kan selvfølgelig forsøge sig med Google, men dér bevæger man sig pludselig ud i millioner af hjemmesider istedet for de hundreder eller højst tusinder af sites man selv har været inde på.

Og hvad gør man så?

Ja, hvis det står til østrigerne Max Kossatz og Gerald Bäck, så tyer man straks til EgoArchive – deres bud på en slags personlig Google-tjenste, der kun søger i netop DIN historie.

Det personlige arkiv

Når man er oprettet som bruger og er logget ind, så kører EgoArchive bare i browseren i baggrunden.

– EgoArchive snupper al tekst fra de sider man besøger og et hurtigt snapshot af siden – og knytter man sin Twitterkonto og sin Facebookprofil til tjenesten oven i, så kan man også søge i tweets og Facebook-opdateringer, siger Max Kossatz.

Bogmærker på steroider

Der findes naturligvis i forvejen mange måder at forsøge at holde styr på sin surfhistorie og på de sider man regner med at man gerne vil besøge igen.

Man kan helt basalt jo bruge browsernes indbyggede bogmærker – hvor tingene blandt andet kan organiseres i mapper under forskellige emner og så videre – men det er ikke ideelt, mener Gerald Bäck.

– Browserhistorikken gemmer kun webadresser og titler på siderne, og er i øvrigt kun tilgængelig på éns egen maskine, mens EgoArchive altså gemmer alting på nettet, siger han.

Man kan også bruge en af de mange webtjenester som del.icio.us eller Diigo, hvor man gemmer siderne (eller billeder eller klip fra teksten) under sin profil på sitet.

Det betyder at alle éns bogmærke er tilgængelige hvorsomhelst fra – hvis man altså logger ind på tjenesten – men det kræver stadig at man huskede at gemme siden da man besøgte den. Og det smarte ved EgoArchive er altså, at man ikke løbende skal vurdere om man skal kunne finde en bestemt side igen senere.

Ikke rigtigt social endnu

Til gengæld er EgoArchive lidt bagefter når det gælder sociale muligheder. Del.icio.us har et kæmpe netværk af brugere, som deler deres bogmærker og tips til spændende sider med hinanden, og Max og Gerald er først for nylig begyndt at bygge dele-features ind i deres tjeneste.

Selv siger de, at det er fordi deres fokus har været på stabilitet og ikke mindst sikkerhed.

– Vi går meget op i privatliv, og vi har villet sikre at dine data kun kan bruges af dig – indtil du altså selv vælger at dele dine bogmærker, siger Max Kossatz.

Hør mere om de personlige data vi gemmer på nettet og hvem der kontrollerer dem – i Ugens Harddisken

Tillid er godt, brugerkontrol er bedre

Hør udsendelsen

Forleden afgjorde datatilsynet i Schleswig-Holstein at Facebooks ‘Synes godt om’-knap overtræder tysk og europæisk lov, og beordrede samtlige offentlige myndigheder med fansider hos det amerikanske netværk til at lukke deres profiler og i øvrigt fjerne synes-godt-om-knappen fra deres websider.

Problemet er i en teknisk henseende, at oplysninger om tyske borgere bliver gemt på servere hos Facebook i USA, og i en lidt bredere forstand at Facebook kan bruge klikkene til at opbygge profiler af brugerne og deres interesser.

Det er ikke første gang der har været ballade i Tyskland, hvor især Google og altså Facebook er genstand for intens opmærksomhed når det gælder overvågning og retten til privatliv.

Uanset om man nu synes at de er lovligt strenge i Tyskland eller ej, så peger det aktuelle problem med synes-godt-om-knappen på langt mere omfattende udfordringer i en verden med Facebook-billeder, individualiserede Google-søgninger og for den sags skyld også NemID og forsøg med digitale valg.

Hvem kontrollerer vores digitale spor?

Vi lægger tonsvis af materiale på nettet hos dusinvis af forskellige tjenester, og trækker et spor af data efter os hele tiden.

Og spørgsmålet om hvem der egentlig ejer, kontrollerer og kan bruge det indhold og de data vi deler er superkomplekst og bestemt ikke løst til alles tilfredshed idag.

I dagens udsendelse ridser vi problemet op og spørger også en dansk specialist hvordan vi måske kan løse bare nogle af problemerne.

Nyheder og spilpirateri

I ugens it-nyheder følger vi bla. op på historierne om HPs afvikling af deres pc- og tablet-forretning, og på kampen mellem Apple og Samsung.

Til sidst i programmet ser vi nærmere på en ny undersøgelse af spilpirateri, som bla. har set på præcis hvor mange spil der egentlig bliver downloadet ulovligt i de berygtede torrent-netværk.

MEDVIRKENDE:
Fabio Sergio, Frog Design
Cornelius Puschmann, Düsseldorf Universitet
Max Kossatz, EgoArchive
Gerald Bäck, EgoArchive
Stephan Engberg, Priway
Anders Drachen, Aalborg Universitet
Jan Neiiendam, Computerspilzonen

LINKS:
Rethinking Personal Data – rapport fra World Economic Forum
MyCube – personligt data-lager
Bruce Schneiers opdeling af de data vi deler
EgoArchive
Rapport fra workshop om ‘security by design’ hos It- og Telestyrelsen med Stephan Engberg
Spilpirateri-undersøgelse
Computerspilzonen