Dumpster diving?

Åkej, här kommer sista rapporten från en event, sen lovar jag att hålla mig till gadgets som vanligt, så jag får behålla Eric som läsare :) Detta skrivs på Viking Line båten Cinderella på Dataföreningens årliga IT-säkerhetskryssning. Under några år har jag varit med som arrangör, men nu är det skönt att bara åka med som ”ansvarslös” resenär :) Förutom hyttnyckel tilldelades vi också ett RFID kort och blev tillsagda att vi skulle se upp för vad vi hade för oss och med vem :) Dagen började igår med Symantecs Per Hellqvist som på ett mycket underhållande vis berättade om elakingarna i branschen och hur de arbetar. Vi fick exempelvis insikt i hur botmaster Ancheta, 21, som hade fler bottar än hans maskinpark kunde hantera, vilket resulterade i att han blev tvungen att delegera ut vissa delar av sitt botnät till hjälpsamma vänner. Per berättade också om deras affärsmodellerna, dagens internetbusar arbetar egentligen som ett normalt fungerade företag, med avdelningar som R&D (letar säkerhetshål), Manufactoring, Business development, Sales, Logistics, Investment. Och naturligtvis ingår även support, uppdateringar och buggfixar (den onda programvaran Storm uppdateras exempelvis var 15:e minut :) Vi är nu väldigt långt från den gamla bilden med okunniga scriptkiddies som använder färdiga program.

Per talade också om att dagspriset för ett fungerande kreditkort med CVV nummer ligger på sex cent och kreditkortsinformation används också som en egen valuta i dessa sammanhang (Jag har 25 kreditkortsdata, vad får jag för det?) Och killarna i Russian Business Network verkar stå för en stor del av den dåliga trafiken numera. Inom det ryska nätverket har de roliga namn som Godfather, Flyman och Flymans Uncle och bakom namnen döljer sig en del högt uppsatta ryska politiker. Varför det, undrar ni? Kanske deras åtalsimmunitet spelar in? :) Exempelvis kan Nordea trojanen för några år sen härledas till Flymans Uncle. Per sade också att när man jobbar i antivirussupporten så är det aldrig någon som har klickat på något, däremot har de alltid ”lånat ut” datorn. Men numera hjälper det sällan att “ingen exekverat något program”, eftersom det mesta trasslet kommer via SQL injections. Ett “bra” sätt när man vill sprida elak kod är att lägga upp det på sajter där folk inte ville erkänna att de varit (som barnporr o.s.v.). Annat intressant var när han visade sajten Dark Market, där exempelvis matrix001 säljer hologram med duvor på… (som för övrigt också används av Visa). Per berätta också om boven Dimitri som när han fick påhälsning av polisen stod och lagade en rejäl wok på spisen, men inte med ris och grönsaker, utan kreditkort, mobiltelefoner och hårddiskar. Han hävdade att han trodde att det var konkurrenter som var ute efter information. Typ.

Efter en dragning av Agneta Syren från Länsförsäkringar om psykopater och andra psykiska störningar (samt hur dessa påverkar kriminella sinnen) åt vi en trevlig middag och detta år blev kvällen inte allt för sen.. fick säkert tre, fyra timmar innan det var dags för champangefrukost :)

Första morgonföredraget hölls av Marcus Nohlberg under namnet “Automatiserad social engineering”. Marcus har skrivit en doktorsavhandling i social engineering och berättade att så många som 15-30% går på de allra enklaste social engineering tricken, i synnerhet om de förenklar för dem själva, exempelvis om de slipper “starta om datorn ifall de lämnar ut en kod”. Han frågade också hur många som ägnat sig åt dumpster diving (skojigt nog var det väldigt många fler än de som räckte upp handen när han frågade vilka som ser på tv-serien Lost, där antalet var noll). Spear phising (d.v.s. riktad phising) samt road apples (utplacerade USB minnen) nämndes också. När Marcus pratade Nigeria brev kom jag att tänka på en artikel i SvD om ett internetcafe i ett afrikanskt land där det satt skyltar uppsatta i lokalen där det stod typ ”Please, no Nigera letters from here! /Thanks, Staff”. Social media, som Facebook diskuterades också och Marcus berättade att han och hans studenter har skapat en bot som inte fastnar i deras filter. Bottens funktion är att den skapar ett konto och lägger till lite nya vänner i maklig takt.. Vi funderade också kring hur mycket ska man egentligen avslöja på Facebook, och hur mycket ska man skriva på en blogg? Inte speciellt mycket, sett ur ett säkerhetsperspektiv. Krångligt tycker jag. Nu använder jag förvisso inte Linkedin för (arbetsrelaterade) status uppdateringar, men jag kan absolut se enorma fördelar med att göra det om man exempelvis vill ha input från någon som löst ett problem man har. Lite som diskusions-forumsaktivitet, fast inom sitt eget nätverk, där man kanske är ännu mer benägen att hjälpa till och kanske ännu mer benägen att ge utförliga och korrekta svar. Jag har ju alltid gillat forum skarpt ur den synpunkten, mycket bättre än chatt, MSN, IRC och andra realtidskommunikationer.

Ett bra sätt att få stopp på den nya tidens hot är att ta bort den ekonomiska vinningen för de numera “rationella” hackarna som bara vill tjäna pengar. Exemplet “pump and dump” nämndes där man löst det så att om en aktie trissas upp via den typen av mail så begränsas handeln med berörd aktie i några dagar. Marcus introducerade oss också för Maple Story som är som en plantskola för framtida bedragare. Till skillnad från i WoW, World of Warcraft “straffas” man inte när man tar över någon annans konto, vilket resulterat i hyfsat avancerade samarbeten globalt bland ungdomar som tillämpar långsiktiga strategier för att tillsammans inge förtroende och hjälpa, dock med målsättningen att senare ta över kontot. Slutligen, vad menades då med automatiserad social engineering? Ja, exempelvis ryska programvaror som håller liv i många chattar samtidigt. Dessa har inte lika hög nivå som om konversationen skötts av en riktig människa, men räckvidden gör att det ändå är lönsamt (som spam). Nämnas kan också att Marcus använde för övrigt online presentations-programvaran prezi (.com) vilket var väldigt snyggt! Det påminner mig om att det står på min att göra lista över vilka grejer jag ska testa.. Marcus bloggar på nohlberg.wordpress.com.

Per Oscarsson från Myndigheten för Samhällsskydd och beredskap pratade om klassificering av information och Patrik Håkansson från Ericsson om hot och risker i en global miljö. Patrik visade bland annat klipp ur Ericssons interna utbildningsfilm för säkerhet samt deras incidenthanteringssystem SIMS. Han berättade också att han är på väg att stationeras i Asien, vilket är ganska tacksamt ur IT-säkerhetssynpunkt för där händer ”aldrig” några incidenter :) Patrik berättade också om avancerat spoofing försök mot Ericsson via bifogade PDFer. Avsändaradressen i detta fall, var en erkänt och väntat sådan, tagen från Finansinspektionens insiderlista. Spåren i det här fallet slutade på en trådlös McDonalds hotspot i Frankrike. En paneldebatt under temat ”Får man ta trådlöst med sig till himlen” avslutade dagen. Jag hade önskat mig trådlöst till publiken, är det inte underligt att det alltid ska vara så svårt att fixa. Tänk vilken goodwill med annonser på ICT Fair i stil med ”Ericsson fixar trådlöst, anslut dig med uppgifterna XX”.

Sist, men inte minst, kan jag berätta att jag besökt Second Wednesday igen och det var lika kul den här gången. Den här gången fick vi veta mer om Googles operativsystem Android. Och, jag var ju på jakt efter en Netbook, primärt för resor och konferenser och fastnade slutligen för en superfin Lenovo (helt otippat faktiskt, jag tittade egentligen bara på andra märken). En rolig sak med min Lenovo är att den har ansiktsigenkänning när man loggar in. Min vanliga arbetsdator (en Vaio SZ med kolfiberchassi) har fingeravtrycksinloggning, men ansikte känns ju ännu mer hightech. Däremot är det synd att den inte brukar släppa in mig när jag druckit ett glas vin :) Eller tur :) Lenovon ligger på en batteritid på ungefär 5 och en halv timme vilket räcker fint! Ciao och på återseende!

Roligt i taket på flygplatsen i Chicago

Hejsan! Beklagar min bloggfrånvaro, det beror på en utlandsvistelse som ni nu kommer få veta “allt” om :) Dataföreningen ordnar årligen en utvecklingsresa till USA och i år fick jag förmånen att delta. Besöken har hittills bara gällt Silicon Valley, d.v.s. San Fransisco, men i år åkte vi också till New York, vilket var väldigt kul! Kortfattat så startade vår resa en fredagsmorgon och samma kväll landade vi i San Fransisco, efter en mellanlandning i Chicago. Vår grupp på drygt tjugo personer checkade in på Hilton och smet iväg på en bluesklubb (vi hann med några sådana under vistelsen). Lördagen var fri för egna aktiviteter och söndagen innehöll en guidad stadstur samt besök på två vingårdar, varav den ena var Ravenswood som råkar vara ett av mina favoritviner.

På måndagen var det en tidig uppstigning eftersom jag och Inger bestämt oss för att ta en powerwalk innan bussen hämtade oss (hela veckan bestod av tidiga mornar, bussen kom sällan senare än 07.30). Första stoppet var hos Juniper där vi bland annat fick träffa en av grundarna, Pradeep Sindhu. Han pratade mycket datahallar och berätta vilka tre kriterier som är viktiga enligt honom när man ska bestämma var man ska bygga nya hallar, nämligen billig ström, tillgång till en snabb anslutning samt ett politiskt stabilt klimat i landet. Det kanske var något sånt som Google tänkte på när de bestämde sig för att bygga upp en stor serverhall i finska Fredrikshamn. Vidare talade Juniper om att hårdvaran kommer blir mer och mer plug and play, d.v.s. mindre konfiguration kommer att krävas. De gav ett exempel på McDonalds restauranger som kräver bra uppkoppling för att styra inleveranserna av mat, men utan att samtidigt ha någon nätverkstekniker anställd. Alltså helt enkelt, Simplify mgmt :) De passade också på att skoja om vår nya Ipred lag när de nämnde att

“Nätverkstrafiken ökar ju hela tiden, förutom i Sverige förra veckan”.

Många adaptrar blir det :)

De tjänster som kommer att driva på trafiken är främst Saas tjänster, High definition video, P2P trafik & rich media social networking.

Eftermiddagen spenderades hos Citrix som kör under den hedervärda parollen “Anyone can work & play from anywhere”. Citrix lösningar används av både Google och Amazon och de berättade en del om Zen produkterna.

På tisdag hämtade bussen upp oss redan klockan 0700 för att åka till MySQL User Conference 2009. Efter det inledande välkomsttalet fick vår grupp en stund på tu man hand med bl.a. Mårten Mickos, tidigare VD samt Karen Tegan Padir som tagit över rodret. MySQL är ju en otrolig framgångssaga och Facebook, Youtube och Google hade nog inte varit var de är idag utan databasen i fråga. De berättade om en ny programvara för att hitta felaktigheter och beskrev de tidigare krångliga procedurerna med “log crawling” och i samband med det skämtade talaren om “Log crawling, oh, I can see someone starting to cry back there”. MySQL delade också med sig av problem de haft, bland annat den fruktade OOM Crisis (Out of memory). MySQL:s communitychef Kaj berättade också om hur de använder sig av sitt community gällande testning, men också som en bas att rekrytera ifrån.

Stortavlor: Let there be sims!

Efter en god lunch med MySQL åkte vi vidare till IT-säkerhetskonferensen RSA som hölls i Moscone center, som faktiskt var på gångavstånd från vårt hotell. Mötet med RSA var mer av ett samtal än ett föredrag och jag passade på att ställa frågan “has the security awareness increased among the average joe, or the average employee, or do we still give out our password if we get a chocolate bar?” Svaret var något nedslående, om hotbilden modifieras en aning ser vi den fortfarande inte, d.v.s. phising försök gällande banker väcker alarmklockor numera, medan ett mail som säger sig komma från någon annan typ av företag som frågar efter samma uppgifter ges full trovärdighet. Efter mötet var vi välkomna ut i mässhallen där jag spenderade många timmar. Bland annat träffade jag företaget IronMan som erbjuder Usbminnen som kan manageras centralt och Tipping Point som sysslar med IPS (intrucion preventions system). Jag passade på att fråga Tipping Point varför inte IDS (intrucion detection system) och IPS kom samtidigt, när man väl kunnat identifiera ett intrångsförsök vill man väl stoppa det?, men personen jag talade med svarade att man helt enkelt inte litat tillräckligt mycket på tekniken tidigare och därför kanske varit orolig för att fel typer av trafik skulle stoppas automatiskt. Jag satt och en stund framför krypteringsföretaget PGP (Pretty Good Privacy) scenen där de dessutom hade den goda smaken att bjuda på öl (i ölsejdlar av hårdplast med PGP logga).

USA besökare från Dataföreningen

På onsdag morgon bär det av till HP Labs i Palo Alto, där vi fick lämna in våra kameror och mobiler i receptionen. “HP Labs innovates beyond the roadmap” och har ett flertal olika labb i olika länder som specialiserat sig på olika saker. De samarbetar också med många universitet runt om i världen. De berättade också en lustig historia om en av deras researchers som inte lyckade komma in på jobbet en dag när de på grund av celebert besök hade utökad säkerhet. De beväpnade vakterna med hundar kunde inte tänka sig att den okammade, toffel- och shortsklädde faktiskt personen arbetade där :) Vi hann också med ett besök i IdeaLab där vi fick se en del spännande saker samt ett besök på Bill Hewlett och Dave Packards kontor där vi passade på att fotografera vår grupp.

När vi ändå är inne på HP kan det vara på sin plats att berätta en historia om när Carly Fiorina var VD (jag har läst hennes biografi). Under ett av sina besök i Asien blev hon tilldelad en egen geisha. Lite osäker på “användningsområdet” funderade hon på att “avsäga sig sin”, men fick då reda på att viktig funktion för geishan var att tömma ut glaset i en hink när de andra var upptagna med att konversera. På det sättet behöver man inte tappa ansiktet av att varken bli för berusad eller känna sig tvingad att tacka nej till en drink.

Nästa stopp blir ett kortare besök på Stanford University där man verkligen kan känna historiens vingslag. Framåt senare eftermiddag åker vi vidare till VMWare, som är världsledande på viritualiseringslösningar. Förutom presentationer bjöd de på en buffé med lite förfriskningar. Sen åkte vi tillbaka till Hilton för att packa väskorna eftersom vi kommer att åka vidare direkt till flygplatsen efter morgondagens företagsbesök.

Trevligt hos Oracle :)

På torsdagsmorgon levereras bussen oss till Oracle. En av deras dragningar var en av de få som var icke tekniska och handlade om hur de har arbetat för att inlämma sina många företagsförvärv i sin egen verksamhet. Och sedan bär det av till NY. Vi checkar in på Warick Hotel runt halv ett och trots at vi förlorat tre timmar eftersom San Fransisco och NY har olika tidszoner så tar vi oss iväg till Carniege Delicatessen där man kunde få en macka som bestod av en rejäl hög med skinka med en liten brödskiva ovanpå.

At Microsoft Technology Center

Fredag i NY inleds med ett besök på Microsoft Technology Center på centrala Manhattan. Där demar en entusiastisk Tobi saker som world wide telescope, autocollage (detta är jag nyfiken på) och round table som är en typ av videokonferensprogramvara där man kan följa en pågående konferens via en webbsida. Roundtable kameran filmar åt alla håll och kan följa en rörelse eller röst, så om en person exempelvis går runt konferensbordet följs han av kameran (även om kameran fysiskt är stilla och bara filmen som visas upp anpassas). Man kan också spela in videosessionerna och med hjälp av lite datamining undersöka saker som exempelvis hur många procent av tiden en person pratar. Tobi visade också hur man kunde kommunicera med sitt e-postprogram samt kalender via telefon. Det kan absolut vara hjälpsamt, idag ringer jag min sambo och frågar vart jag skulle :) En annan skojig sak var Surface som jag hoppas kunna beskriva närmare vid ett senare tillfälle, det är en yta med touch screen där man exempelvis kan dra bilder och dokument med fingrarna och spela piano direkt på bordet.

Platt, plattare, flat iron building :)

Grand finale, d.v.s. vårt sista företagsbesök var på NASDAQ OMX där vi efter en genomgång av deras verksamhet och framtidsvisioner fick närvara och också medverka i stängningen av börsen. Under vårt tjoande och applåderande startades nedräkningen och sedan blev vår grupp fotograferade i studion.

En sammanfattning av resan för min del lyder

INBLICK, INSPIRATION & VISION!

Vad pratar alla om i USA? Molnet, precis som hemma. Amazon, som faktiskt i grunden är ett IT-företag (jodå) har med hjälp av billig hårdvara (så billig att man räknar med en viss procents bortfall) erbjudit andra företag datalagring. I vissa fall så pass billig att företagen inte kan motivera att lägga hanteringen inhouse. Redan idag lagrar Amazon över 52 miljarder filer för kunders räkning. Även storföretagen börjar snegla åt detta håll. Om du vill veta mer om vad Amazon håller på med finns en informativ artikel i Computer Sweden.

Detta inlägg skrivs för övrigt på min nya Lenovo Ideapad, som jag tycker väldigt mycket om. Jag sitter just nu i London på Internet World 2009 och kan stolt meddela att jag checkade in via mobilen (flyger med BA). Räkna med en sum up från mässan i nästa inlägg.

Jag avslutar som Shakespeare “Beklagar att inlägget blev lite långt, men jag hade inte mer tid”.