Forskere har kommet frem til tre grunnleggende ting i twitter plattformen som er et problem for brukernes sikkerhet.

Etter mye om-og-men har jeg bestemt meg for å prøve å ta dette prosjektet litt lengre. Hele bloggen var i utgangspunktet et prøveprosjekt, men det ser ut til at den har klart å skape ihvertfall litt interesse der ute. Derfor var det på tide å flytte bort fra Google sin blogger plattform.

Brute force, eller prøv og feil angrep som vi kan kalle det (i mangel på et bedre alternativ) er en veldig enkel metode å knekke krypto nøkler eller passord. Angrepsmetoden er ikke sett på som en stor trussel når det gjelder kryptonøkler siden det finnes raskere og bedre metoder å angripe kryptografi på.
Når det gjelder å knekke passord, kan metoden være svært effektiv dersom man ikke tar forhåndsregler når man designer systemet.

Det nye store på phishing fronten er altså in-session-phishing, noe som utnytter en bug i javascript motoren til alle de store nettleserene. Metoden krever at du allerede er logget inn på en nettside, og deretter åpner en ny fane og går inn på en annen side som er infisert med ondsinnet kode.

Grunnen til at jeg ikke har noe tro på at dette kommer til å bli en stor trussel er for at det er for mange tilfeldigheter som skal til for at angrep skal bli vellykket. Det er også lite å tjene på å benytte seg av denne metoden, i forhold til tradisjonell phishing.

De fleste har nok helt sikkert fått med seg at en gruppe forskere har klart å knekke en av de grunnleggende teknologiene for sikker kommunisering på internett, nemmelig Secure Sockets Layer. Dette er teknologien alle nettbanker i dag bruker for å kryptere trafikken mellom din nettleser og nettbanken slik at andre ikke kan lese eller manipulere denne. SSL sørger også for at du får en verifikasjon på at serveren du snakker med faktisk er din nettbank.

Cross Site Scripting, eller XSS er sammen med SQL injection ett av de vanligste sikkerhetshullene i webbasert programvare.
Enkelt forklart går XSS ut på å manipulere innholdet på en nettside ved ulike metoder. Hvis du vil lese mer om XSS, ta en titt i Wikipedia.
Selv om den vanligste typen av XSS sårbarheter er midlertidlige (Non-Persistent) så er dette faktisk noe man bør ta alvorlig.

Mange bruker i dag usb disker eller minnepinner for å overføre filer mellom arbeidsplass og hjemme PC. Dette er spesielt fordelaktig dersom innholdet er av den typen du ikke vil at andre skal få tak i, og dermed ikke ønsker å lagre det på nett. Men, det er tungvindt, og mister du lagringsmedia, så har du ofte ikke bare mistet filene dine (for backup er jo litt mye å forlange) men du må også anse innholdet på diskene for komprimitert.

Ja, jeg sier vi, siden jeg er en utvikler selv.
Men jeg vet noe som tydligvis ingen andre vet. Ellers så er de for å late til å bry seg.
Jeg snakker om cross site scripting, eller XSS om du vil. Det tok meg ganske nøyaktig 10 minutter å finner tre norske nettsider som er sårbar for XSS angrep, to av de er utviklet av seriøse selskap.

Velkommen til denne bloggen om Informasjonssikkerhet, på norsk.

I nærmeste fremtid vil det forhåpentligvis dukke opp flere og flere meningsfulle innlegg om informasjonssikkerhet. Både monologer (som forhåpentligvis utvikler seg til dialoger) om diverse konsepter, men også nyoppdagede sårbarheter som ikke er tilgjengelig andre steder på nett.