Dumpster diving?

Åkej, här kommer sista rapporten från en event, sen lovar jag att hålla mig till gadgets som vanligt, så jag får behålla Eric som läsare :) Detta skrivs på Viking Line båten Cinderella på Dataföreningens årliga IT-säkerhetskryssning. Under några år har jag varit med som arrangör, men nu är det skönt att bara åka med som ”ansvarslös” resenär :) Förutom hyttnyckel tilldelades vi också ett RFID kort och blev tillsagda att vi skulle se upp för vad vi hade för oss och med vem :) Dagen började igår med Symantecs Per Hellqvist som på ett mycket underhållande vis berättade om elakingarna i branschen och hur de arbetar. Vi fick exempelvis insikt i hur botmaster Ancheta, 21, som hade fler bottar än hans maskinpark kunde hantera, vilket resulterade i att han blev tvungen att delegera ut vissa delar av sitt botnät till hjälpsamma vänner. Per berättade också om deras affärsmodellerna, dagens internetbusar arbetar egentligen som ett normalt fungerade företag, med avdelningar som R&D (letar säkerhetshål), Manufactoring, Business development, Sales, Logistics, Investment. Och naturligtvis ingår även support, uppdateringar och buggfixar (den onda programvaran Storm uppdateras exempelvis var 15:e minut :) Vi är nu väldigt långt från den gamla bilden med okunniga scriptkiddies som använder färdiga program.

Per talade också om att dagspriset för ett fungerande kreditkort med CVV nummer ligger på sex cent och kreditkortsinformation används också som en egen valuta i dessa sammanhang (Jag har 25 kreditkortsdata, vad får jag för det?) Och killarna i Russian Business Network verkar stå för en stor del av den dåliga trafiken numera. Inom det ryska nätverket har de roliga namn som Godfather, Flyman och Flymans Uncle och bakom namnen döljer sig en del högt uppsatta ryska politiker. Varför det, undrar ni? Kanske deras åtalsimmunitet spelar in? :) Exempelvis kan Nordea trojanen för några år sen härledas till Flymans Uncle. Per sade också att när man jobbar i antivirussupporten så är det aldrig någon som har klickat på något, däremot har de alltid ”lånat ut” datorn. Men numera hjälper det sällan att “ingen exekverat något program”, eftersom det mesta trasslet kommer via SQL injections. Ett “bra” sätt när man vill sprida elak kod är att lägga upp det på sajter där folk inte ville erkänna att de varit (som barnporr o.s.v.). Annat intressant var när han visade sajten Dark Market, där exempelvis matrix001 säljer hologram med duvor på… (som för övrigt också används av Visa). Per berätta också om boven Dimitri som när han fick påhälsning av polisen stod och lagade en rejäl wok på spisen, men inte med ris och grönsaker, utan kreditkort, mobiltelefoner och hårddiskar. Han hävdade att han trodde att det var konkurrenter som var ute efter information. Typ.

Efter en dragning av Agneta Syren från Länsförsäkringar om psykopater och andra psykiska störningar (samt hur dessa påverkar kriminella sinnen) åt vi en trevlig middag och detta år blev kvällen inte allt för sen.. fick säkert tre, fyra timmar innan det var dags för champangefrukost :)

Första morgonföredraget hölls av Marcus Nohlberg under namnet “Automatiserad social engineering”. Marcus har skrivit en doktorsavhandling i social engineering och berättade att så många som 15-30% går på de allra enklaste social engineering tricken, i synnerhet om de förenklar för dem själva, exempelvis om de slipper “starta om datorn ifall de lämnar ut en kod”. Han frågade också hur många som ägnat sig åt dumpster diving (skojigt nog var det väldigt många fler än de som räckte upp handen när han frågade vilka som ser på tv-serien Lost, där antalet var noll). Spear phising (d.v.s. riktad phising) samt road apples (utplacerade USB minnen) nämndes också. När Marcus pratade Nigeria brev kom jag att tänka på en artikel i SvD om ett internetcafe i ett afrikanskt land där det satt skyltar uppsatta i lokalen där det stod typ ”Please, no Nigera letters from here! /Thanks, Staff”. Social media, som Facebook diskuterades också och Marcus berättade att han och hans studenter har skapat en bot som inte fastnar i deras filter. Bottens funktion är att den skapar ett konto och lägger till lite nya vänner i maklig takt.. Vi funderade också kring hur mycket ska man egentligen avslöja på Facebook, och hur mycket ska man skriva på en blogg? Inte speciellt mycket, sett ur ett säkerhetsperspektiv. Krångligt tycker jag. Nu använder jag förvisso inte Linkedin för (arbetsrelaterade) status uppdateringar, men jag kan absolut se enorma fördelar med att göra det om man exempelvis vill ha input från någon som löst ett problem man har. Lite som diskusions-forumsaktivitet, fast inom sitt eget nätverk, där man kanske är ännu mer benägen att hjälpa till och kanske ännu mer benägen att ge utförliga och korrekta svar. Jag har ju alltid gillat forum skarpt ur den synpunkten, mycket bättre än chatt, MSN, IRC och andra realtidskommunikationer.

Ett bra sätt att få stopp på den nya tidens hot är att ta bort den ekonomiska vinningen för de numera “rationella” hackarna som bara vill tjäna pengar. Exemplet “pump and dump” nämndes där man löst det så att om en aktie trissas upp via den typen av mail så begränsas handeln med berörd aktie i några dagar. Marcus introducerade oss också för Maple Story som är som en plantskola för framtida bedragare. Till skillnad från i WoW, World of Warcraft “straffas” man inte när man tar över någon annans konto, vilket resulterat i hyfsat avancerade samarbeten globalt bland ungdomar som tillämpar långsiktiga strategier för att tillsammans inge förtroende och hjälpa, dock med målsättningen att senare ta över kontot. Slutligen, vad menades då med automatiserad social engineering? Ja, exempelvis ryska programvaror som håller liv i många chattar samtidigt. Dessa har inte lika hög nivå som om konversationen skötts av en riktig människa, men räckvidden gör att det ändå är lönsamt (som spam). Nämnas kan också att Marcus använde för övrigt online presentations-programvaran prezi (.com) vilket var väldigt snyggt! Det påminner mig om att det står på min att göra lista över vilka grejer jag ska testa.. Marcus bloggar på nohlberg.wordpress.com.

Per Oscarsson från Myndigheten för Samhällsskydd och beredskap pratade om klassificering av information och Patrik Håkansson från Ericsson om hot och risker i en global miljö. Patrik visade bland annat klipp ur Ericssons interna utbildningsfilm för säkerhet samt deras incidenthanteringssystem SIMS. Han berättade också att han är på väg att stationeras i Asien, vilket är ganska tacksamt ur IT-säkerhetssynpunkt för där händer ”aldrig” några incidenter :) Patrik berättade också om avancerat spoofing försök mot Ericsson via bifogade PDFer. Avsändaradressen i detta fall, var en erkänt och väntat sådan, tagen från Finansinspektionens insiderlista. Spåren i det här fallet slutade på en trådlös McDonalds hotspot i Frankrike. En paneldebatt under temat ”Får man ta trådlöst med sig till himlen” avslutade dagen. Jag hade önskat mig trådlöst till publiken, är det inte underligt att det alltid ska vara så svårt att fixa. Tänk vilken goodwill med annonser på ICT Fair i stil med ”Ericsson fixar trådlöst, anslut dig med uppgifterna XX”.

Sist, men inte minst, kan jag berätta att jag besökt Second Wednesday igen och det var lika kul den här gången. Den här gången fick vi veta mer om Googles operativsystem Android. Och, jag var ju på jakt efter en Netbook, primärt för resor och konferenser och fastnade slutligen för en superfin Lenovo (helt otippat faktiskt, jag tittade egentligen bara på andra märken). En rolig sak med min Lenovo är att den har ansiktsigenkänning när man loggar in. Min vanliga arbetsdator (en Vaio SZ med kolfiberchassi) har fingeravtrycksinloggning, men ansikte känns ju ännu mer hightech. Däremot är det synd att den inte brukar släppa in mig när jag druckit ett glas vin :) Eller tur :) Lenovon ligger på en batteritid på ungefär 5 och en halv timme vilket räcker fint! Ciao och på återseende!

Tamba.co.uk har gjort ett coolt spel som lär besökarna hitta på mässan redan i hemmets lugna vrå.

Som utlovat kommer här några rader om webbmässan I London Internet World - business in the digital age! Det är tredje gången jag åker över, men dessvärre känns det både mindre och tunnare sen sist, hoppas att det inte är min USA resa som satt den nya ribban högre. Några av de intressantaste föredragen jag var på handlade om mobilwebben och e-postmarknadsföring. Seminariet om mobilwebben slog snabbt sönder myterna nedan i tur och ordning. 1. Mobilt innehåll får inte kosta (jodå, bara det är tillräckligt viktigt, som biljetter eller något man vill konsumera, som spel, musik eller program) 2. Det är som en liten webbsajt (Fel! Fokusera på vad folk kan tänka sig att göra på mobilen). 3. One mobile site fits all (nej, tyvärr inte.. testa, testa, testa.. ) 4. Folk vill inte registrera sig (Eh..jo, mycjet hellre än att skriva in ett krångligt lösenord via mobilen igen och igen och igen). 5. Extras are good (Not! Extragrejer som bara är ditslängda tenderar att bara stjäla uppmärksamhet och irritera istället för att skapa mervärde.

Webb 2.0 och Social Media sysselsatte många av besökarna på mässan

Ett av mina andra favorit seminarier handlade om e-post och hur man egentligen skriver nyhetsbrev som folk läser… Företaget Adestra (som skapat bra innehåll till mailserminerier även tidigare år) visade bl.a. en undersökning där man kollat hur frekvensen på mailutskicket påverkade olika faktorer. Jag tror att det var någonting i stil med att man testat att minska utskicksfrekvensen på ett mailutskick (jag har ännu inte hunnit få denna presentation skickad till mig). Detta ledde till att antalet nya baserade på mailutskicket minskade. Sedan testade man med en ny grupop människor som inte ftt mailet tidigare och dessa fick direkt gå in på den lägre frekvensen av utskick. Detta visade sig påverka dem i stor grad, förutom att säljfrekvensen inte ändrades så ökade läsfrekvensen med hela 85% och 57% mindre Unsubscribe förfrågningar. Så stör inte folk med mail i onödan alltså! Vi fick också reda på att över hälften har väldigt dålig koll på om deras nyhetsbrev överhuvudtaget kommer fram eller om de läses samt att det enskilt största hotet mot e-post-marknadsförings-kampanjer är att adresserna inte längre är korrekta, tätt följt av brist på tid och resurser för att sköta utskicken..

Coolaste montern stod Punkyfish, som satsar mycket på social media, för. Jag frågade hur ett företag på bästa sätt ska etablera sig på ställen som exempelvis Facebook och fick då höra om exempelvis ett blöjföretag som tillverkat en Facebook applikation som med hjälp av en gammal kinesisk formel ”räknar ut” om man väntar en pojke eller en flicka. Sedan sprids detta med texten ”Sandra is expecting a boy, what will you have?” Mycket inovativt! Men, för övrigt, inte så mycket nytt under solen i år alltså, eller så är det jag som är lite mätt på upplevelser..

Jag hann också smita in på Info Security Europe som låg i mässlokalen bredvid på Earls Court. Något väldigt roligt var när jag läste i IT Security Today till min glädje insåg att de hade ”IT Security Horoscopes” :) För min del (jag är fisk) fick jag veta följande:

With Mercury approaching in your chart, it’s time to look out – the threat of attack is heightening! Just as Aphrodite and Eros were turned to fish and were bound together so they didn’t lose their way, you too must handle the dual problems of reducing your attack surfaces and enforcing business acceptable behavior…

Sist, men inte minst, jag trodde inte att det var fysisk möjligt att vara uttråkad på OxFord Street, men nu vet jag, det kan hända mig också, fast troligtvis inte igen. Och glöm inte att testa det roliga spelet som Tamba byggt till Internet World!