Dumpster diving?

Åkej, här kommer sista rapporten från en event, sen lovar jag att hålla mig till gadgets som vanligt, så jag får behålla Eric som läsare :) Detta skrivs på Viking Line båten Cinderella på Dataföreningens årliga IT-säkerhetskryssning. Under några år har jag varit med som arrangör, men nu är det skönt att bara åka med som ”ansvarslös” resenär :) Förutom hyttnyckel tilldelades vi också ett RFID kort och blev tillsagda att vi skulle se upp för vad vi hade för oss och med vem :) Dagen började igår med Symantecs Per Hellqvist som på ett mycket underhållande vis berättade om elakingarna i branschen och hur de arbetar. Vi fick exempelvis insikt i hur botmaster Ancheta, 21, som hade fler bottar än hans maskinpark kunde hantera, vilket resulterade i att han blev tvungen att delegera ut vissa delar av sitt botnät till hjälpsamma vänner. Per berättade också om deras affärsmodellerna, dagens internetbusar arbetar egentligen som ett normalt fungerade företag, med avdelningar som R&D (letar säkerhetshål), Manufactoring, Business development, Sales, Logistics, Investment. Och naturligtvis ingår även support, uppdateringar och buggfixar (den onda programvaran Storm uppdateras exempelvis var 15:e minut :) Vi är nu väldigt långt från den gamla bilden med okunniga scriptkiddies som använder färdiga program.

Per talade också om att dagspriset för ett fungerande kreditkort med CVV nummer ligger på sex cent och kreditkortsinformation används också som en egen valuta i dessa sammanhang (Jag har 25 kreditkortsdata, vad får jag för det?) Och killarna i Russian Business Network verkar stå för en stor del av den dåliga trafiken numera. Inom det ryska nätverket har de roliga namn som Godfather, Flyman och Flymans Uncle och bakom namnen döljer sig en del högt uppsatta ryska politiker. Varför det, undrar ni? Kanske deras åtalsimmunitet spelar in? :) Exempelvis kan Nordea trojanen för några år sen härledas till Flymans Uncle. Per sade också att när man jobbar i antivirussupporten så är det aldrig någon som har klickat på något, däremot har de alltid ”lånat ut” datorn. Men numera hjälper det sällan att “ingen exekverat något program”, eftersom det mesta trasslet kommer via SQL injections. Ett “bra” sätt när man vill sprida elak kod är att lägga upp det på sajter där folk inte ville erkänna att de varit (som barnporr o.s.v.). Annat intressant var när han visade sajten Dark Market, där exempelvis matrix001 säljer hologram med duvor på… (som för övrigt också används av Visa). Per berätta också om boven Dimitri som när han fick påhälsning av polisen stod och lagade en rejäl wok på spisen, men inte med ris och grönsaker, utan kreditkort, mobiltelefoner och hårddiskar. Han hävdade att han trodde att det var konkurrenter som var ute efter information. Typ.

Efter en dragning av Agneta Syren från Länsförsäkringar om psykopater och andra psykiska störningar (samt hur dessa påverkar kriminella sinnen) åt vi en trevlig middag och detta år blev kvällen inte allt för sen.. fick säkert tre, fyra timmar innan det var dags för champangefrukost :)

Första morgonföredraget hölls av Marcus Nohlberg under namnet “Automatiserad social engineering”. Marcus har skrivit en doktorsavhandling i social engineering och berättade att så många som 15-30% går på de allra enklaste social engineering tricken, i synnerhet om de förenklar för dem själva, exempelvis om de slipper “starta om datorn ifall de lämnar ut en kod”. Han frågade också hur många som ägnat sig åt dumpster diving (skojigt nog var det väldigt många fler än de som räckte upp handen när han frågade vilka som ser på tv-serien Lost, där antalet var noll). Spear phising (d.v.s. riktad phising) samt road apples (utplacerade USB minnen) nämndes också. När Marcus pratade Nigeria brev kom jag att tänka på en artikel i SvD om ett internetcafe i ett afrikanskt land där det satt skyltar uppsatta i lokalen där det stod typ ”Please, no Nigera letters from here! /Thanks, Staff”. Social media, som Facebook diskuterades också och Marcus berättade att han och hans studenter har skapat en bot som inte fastnar i deras filter. Bottens funktion är att den skapar ett konto och lägger till lite nya vänner i maklig takt.. Vi funderade också kring hur mycket ska man egentligen avslöja på Facebook, och hur mycket ska man skriva på en blogg? Inte speciellt mycket, sett ur ett säkerhetsperspektiv. Krångligt tycker jag. Nu använder jag förvisso inte Linkedin för (arbetsrelaterade) status uppdateringar, men jag kan absolut se enorma fördelar med att göra det om man exempelvis vill ha input från någon som löst ett problem man har. Lite som diskusions-forumsaktivitet, fast inom sitt eget nätverk, där man kanske är ännu mer benägen att hjälpa till och kanske ännu mer benägen att ge utförliga och korrekta svar. Jag har ju alltid gillat forum skarpt ur den synpunkten, mycket bättre än chatt, MSN, IRC och andra realtidskommunikationer.

Ett bra sätt att få stopp på den nya tidens hot är att ta bort den ekonomiska vinningen för de numera “rationella” hackarna som bara vill tjäna pengar. Exemplet “pump and dump” nämndes där man löst det så att om en aktie trissas upp via den typen av mail så begränsas handeln med berörd aktie i några dagar. Marcus introducerade oss också för Maple Story som är som en plantskola för framtida bedragare. Till skillnad från i WoW, World of Warcraft “straffas” man inte när man tar över någon annans konto, vilket resulterat i hyfsat avancerade samarbeten globalt bland ungdomar som tillämpar långsiktiga strategier för att tillsammans inge förtroende och hjälpa, dock med målsättningen att senare ta över kontot. Slutligen, vad menades då med automatiserad social engineering? Ja, exempelvis ryska programvaror som håller liv i många chattar samtidigt. Dessa har inte lika hög nivå som om konversationen skötts av en riktig människa, men räckvidden gör att det ändå är lönsamt (som spam). Nämnas kan också att Marcus använde för övrigt online presentations-programvaran prezi (.com) vilket var väldigt snyggt! Det påminner mig om att det står på min att göra lista över vilka grejer jag ska testa.. Marcus bloggar på nohlberg.wordpress.com.

Per Oscarsson från Myndigheten för Samhällsskydd och beredskap pratade om klassificering av information och Patrik Håkansson från Ericsson om hot och risker i en global miljö. Patrik visade bland annat klipp ur Ericssons interna utbildningsfilm för säkerhet samt deras incidenthanteringssystem SIMS. Han berättade också att han är på väg att stationeras i Asien, vilket är ganska tacksamt ur IT-säkerhetssynpunkt för där händer ”aldrig” några incidenter :) Patrik berättade också om avancerat spoofing försök mot Ericsson via bifogade PDFer. Avsändaradressen i detta fall, var en erkänt och väntat sådan, tagen från Finansinspektionens insiderlista. Spåren i det här fallet slutade på en trådlös McDonalds hotspot i Frankrike. En paneldebatt under temat ”Får man ta trådlöst med sig till himlen” avslutade dagen. Jag hade önskat mig trådlöst till publiken, är det inte underligt att det alltid ska vara så svårt att fixa. Tänk vilken goodwill med annonser på ICT Fair i stil med ”Ericsson fixar trådlöst, anslut dig med uppgifterna XX”.

Sist, men inte minst, kan jag berätta att jag besökt Second Wednesday igen och det var lika kul den här gången. Den här gången fick vi veta mer om Googles operativsystem Android. Och, jag var ju på jakt efter en Netbook, primärt för resor och konferenser och fastnade slutligen för en superfin Lenovo (helt otippat faktiskt, jag tittade egentligen bara på andra märken). En rolig sak med min Lenovo är att den har ansiktsigenkänning när man loggar in. Min vanliga arbetsdator (en Vaio SZ med kolfiberchassi) har fingeravtrycksinloggning, men ansikte känns ju ännu mer hightech. Däremot är det synd att den inte brukar släppa in mig när jag druckit ett glas vin :) Eller tur :) Lenovon ligger på en batteritid på ungefär 5 och en halv timme vilket räcker fint! Ciao och på återseende!