Microsoft præsenterede sin Windows 7 ved PDC 2008 (Professional Developers Conference).
Det mindste, man kan sige, er, at windows 7 ligner en del Windows Vista med enkelte forandringer, der minder om Gnomes vinduesystem (en af brugerfladerne, der bruges på Linux) eller Mac OS X forhenværende brugerflade (Tiger).
Som man kan se her er proceslinjen ændret. Den ligner Mac’ens dock fra Tiger (2-dimensionelt, den nye er i 3D), ikonerne er blevet større og mere knapprægede:
Stadig i den gamle Mac’s ånd kan man nu højreklikke på knappen på proceslinjen og få de mest almindeligt brugte funktioner.
Mange brugere klagede over UAC i Windows Vista (User Account Control), som var en funktion, der advarede (i tide og utide) brugeren i tilfælde, hvor Vista syntes at mene at tro at tænke at forestille sig, at en malware var på spil og ændrede filer på computeren.
Dette vil kunne reguleres på den nye Windows 7.
Wi-Fi vil være nemere at indstille og brugeren vil kunne styre det gennem en eneste vindue, ikke flere som hidtil.
Endelig vil man også have Explorer 8 og Media Center i denne version. Man vil genfinde den mørke baggrund, men fontene er ændret og mere læselige.
Alt i alt er det ikke de store forandringer, og Microsoft har tydeligvis ladet sig kraftigt inspirere af andre styresystemer, blot med 10 års forsinkelse.
Det er betænkeligt, at det første, Microsoft gør, er at ændre brugerfladen i stedet for at forbedre deres system og først bagefter fuldende brugerfladen: Gamle vin på nye flasker?
Når man skriver noget med et tastatur, rammer tasterne følere i tastaturet, og dataene bliver videreført til computeren og tolket derefter.
Hver af disse tastetryk udløser en mængde elektricitet, som er forskellig for hver tast (ellers ville computeren jo ikke vide, hvilken tast der er blevet trykket på).
Indtil nu har mange troet, at man skulle installere et program på offerets computer for at kunne opsnuse det, der indtastes (en såkaldt Keylogger).
Det er ikke nødvendigt, påstår Martin Vuagnoux og Sylvain Pasini: Ved al strøm er der elektromagnetisk stråling, som naturligvis er forskellig fra tast til tast.
Ved at få en antenne til at pege mod et tastatur kan man, ved at tolke disse felter, få at vide, hvad der er blevet tastet.
Antennen, som i og for sig kan være så enkel som et stykke ledning, kan snuse tastaturtryk på op til 20 meters afstand.
Vuagnoux og Pasini har testet 11 tastaturer, som alle kan aflyttes (deraf også det nye Apple-tastatur).
Der er ikke tale om at gribe ind i trådløse systemer eller andet. Der er her tale om ganske almindelige tastaturer med ledning.
Du kan se demonstrationen som videoer her.
Dog er det vigtigt at bemærke, at foreløbigt tager det en del computertid og regnekraft at tolke disse få tastetryk (læg mærke til den tid, det tager), så det er ikke i morgen, at en hacker vil kunne opsnappe ens tastetryk og følge ens brev til moster Agathe m.m. indtil det tidspunkt, hvor man skriver noget interessant.
Men truslen er her og skal tages alvorligt for, som vi ved, med moderne computerteknologi er det hele bare et spørgsmål om tid, så det ville være smart, hvis tastaturkonstruktører begyndte at sikre deres materiale allerede nu (Tak til Spagnum for link).
Når man har noget som Hackademiet, skal man regne med lidt af hvert.
Det sker naturligvis jævnligt, at folk kontakter mig enten for at få mig til at hacke andres sider/computere, eller for at lære at smadre andres systemer. Det, selv om det står klart og tydeligt i FAQ’en for Hackademi, at det gør vi ikke, og at det ikke er formålet med det.
Så er der de misundelige, der forsøger med negativ reklame og klager. Dem tager vi os ikke ret meget af, også ud fra princippet at det er bedre at få negativ omtale fra sådanne personager frem for positiv omtale fra samme, og at i dette tilfælde er det rent faktisk god reklame for os.
Endelig er der Karl Smart’erne, som prøver at hacke sig ind på os eller stjæle vores materiale.
Det er tilfældet med “Mads Gade”, som har forsøgt at følge en af vores hackademi-lektioner om, hvorfor man skal kryptere sine paypal-knapper.
Hvis du har været på Hackademi, ved du, at man kan ændre den slags på ukrypterede knapper (og naturligvis også, hvordan man krypterer knapperne for at forhindre den slags).
I stedet for at kryptere knapper osv., kan man også bruge et færdigt system, som PayDot – ingen grund til at genopfinde hjulet, vel?
PayDot har sit eget system med ukrypterede knapper, men til gengæld bliver beløbet tjekket med databasen for at se, om det passer, og Mads fik naturligvis ikke noget link til sin “næsten-gratis bog”.
Tror Mads vitterligt, at man kan fange ræven i dens egen fælde?
Seks minutter senere skrev Mads Gudhjælpemig til Britt og beklagede sig over ikke at have fået sin (u)lovligerhvervet bog!
Heldigvis er vores sans for humor på højde med Mads’ dumhed.
Vi har naturligvis tilbageholdt Mads’ 0,01 til minde om, hvordan det kan gå folk uden megen virkelighedssans.
I stedet for at spille World of Warcraft burde Mads bruge mere tid i skolen, så ville han nemlig ikke længere være “skole elev“, men måske kunne han udvikle sig til at blive til en fornuftig voksen?
Hvorfor har vi ikke haft vores traditionnelle 11/09-video i år?
Siden 2001 har har Al-Qaida hvert år givet os en video med terroristernes nr. 1 (Bin Laden) eller nr. 2 (al Zawahiri), som pegede en hævngerrig pegefinger mod himlen for at markere jubilæummet for massakren over uskyldige mennesker den 11/09-2001.
Men i år bestemte hackere det anderledes.
Selv om videoen var annonceret af As-Sahab (Al-Qaidas “kommunikationsafdeling”), udkom den ikke.
De havde annonceret det, man kunne se et banner på deres hjemmeside med en skygge og et spørgsmålstegn med ordene: Vent på den 11/09.
Siden … Ikke en pind!
Det, der skete, var, at hackere angreb Al-Qaidas internetskommunikationsmidler, hvilket forhindrede dem i at vise noget som helst over hovedet. Det fortæller en kilde nær de amerikanske efterretningstjenester.
To hackere er især mistænkte for at have forhindret videoen i at blive vist. Den ene er Aaron Weiburd fra siden “Internet haganah” .
Aaron Weiburd kan dog være svær at følge, for han flytter ofte, men han er yderst genial til at opspore disse forskellige islamistiske sider og sende deres IP-ud m.m. … (Ups!)
Den anden mistænkes for at være Rusty Shackleford fra siden “My pet Jawa“.
Det er ikke første gang, at hackere forstyrrer terroristernes planer.
I 2004 angreb en amerikansk hackergruppe, som kalder sig TeAmZ Abu Musal, al-Zarkawis hjemmeside. Han var Al-Qaidas repræsentant i Irak. Hackerne brød sig ikke så meget om, at vedkommende viste vestlige mennesker i gang med at blive halshuggede live på siden, så de havde lavet en defacing, så siden i stedet for viste en pingvin med pistol.
Sidste år havde den amerikanske regering udgivet Bin-Ladens video to dage før den dato, Al-Qaida ville vise den på, blot for at vise, at USA havde dekrypteret terrorgruppens internetpasswords.
Det lykkedes hackere at trænge ind i et edb-netværk, som gav adgang til partikelacceleratoren, Hadron LHC (Large Hadron Collider), den største accelerator i verden, som blev startet i onsdags.
Det lykkedes hackerne at efterlade en internetside på CERN (Centre Europeen de Recherche Nucléaire) i Geneve.
Siden, som er underskrevet af “The Greek Security Team”, gør grin af stedets sikkerhed og kalder dens opbyggere for “skolebørn”.
Ifølge Gillies, en talsmand for CERN, har hackerne ikke ødelagt noget. Alt tyder på, at det blot var tale om personer, der ønskede at bevise, at CERN kunne blive offer for pirater.
Målet med LHC er at knuse protoner, der bevæger sig i modsatrettet retning, for at få partikler, som har aldrig eksisteret, til at blive til.
I løbet af en del af et mikrosekund vil den accelerator genskabe de betingelser, som var gældende i universet lige efter Big Bang og før end de grundlæggende partikler samlede sig for at skabe atomkerner.
To første partikelstråler har i onsdags taget en tur rundt i den 27 km lange ring, som er begravet 100 meter under jorden på grænsen mellem Frankrig og Schweiz.
En sikkerhedshul i iPhone tillader uautoriserede brugere at få adgang til private kontakter, e-mails og sms, selv om telefonen er låst.
Hullet eksisterede allerede på version 2.0 og 2.01 og er der stadig på version 2.02 af iPhone.
Det er noget af det nemmeste i verden at bryde ind på en låst iPhone.
Du kan se det på videoen her, og forklaringen er ganske enkelt:
- iPhonen spørger om koden.
- Du trykker på “emergency call”.
- Så dobbeltklikker du på Home knappen (forholdsvis hurtigt efter hinanden, den kan man være nødt til at gøre flere gange).
- Du befinder dig så i Foretrukne.
Deraf kan du så gå til den persons sms, e-mail, og hvis en url er angivet, safari. På en jailbreaked iPhone kan safari endda browse filer i telefonen, hvilket gør, at piraten kan spadsere rundt i offerets telefon.
Apple siger, at de godt kender til dette hul i hvert fald, men de har altså åbenbart ikke rettet det endnu.
En patch skulle være undervejs.
I mellemtiden, hvis du skal undgå den slags, skal du i Indstillinger => Generelt sætte Hjemmeknappen til at være “iPod” i stedet for Telefonfavoritter.
Dette vil betyde, at en pirat vil havne på din iPod i stedet for.
Så du skal nok være opmærksom på hvilke film, du har gemt der ;->
Du kan få omgående adgang til kurserne Hacking Newbie+ og Wi-Fi hacking.
… Og så får du også rabat … indtil i morgen!
Hacking for newbies:
Videokurset har oprindeligt været brugt som et virtuelt kursus via vores e-skole. Kursisterne betalte 80 euro (600 kr.) for kurset.
Her er lidt om indholdet: Vi vil først lære at finde oplysninger om et system eller om et offer. Så bagefter vil vi se i to retninger: Web-hacking: hvordan finder vi en servers svage punkter vha. en scanner og med Google. Vi vil lave en sikkerheds-scanning af et website. Lære om misbrug af skjulte tags. Hack en internet-bruger: Phishing og tyveri af identitet er forholdsvist nem at gøre, det lærer vi her. Dernæst ser vi på e-mail-hacking samt en gennemgang af de mest almindelige svagheder, som kan udnyttes.
Vi vil her koncentrere os om Windows og de måder, det kan angrebes på. Hvad er en overflow, og hvordan kan dette bruges til at tage kontrol over en maskine eller smadre den. Vi ser også, hvordan man kan misbruge Windows’ fjernkontrol, og hvordan en hacker vil skjule sine spor bagefter. Det er nemt at skrive i registreringsdatabasen. Vi ser lidt hvordan man kan smutte forbi antivirusprogrammer, firewall m.m. og pille ved en Windows-maskines registreringsdatabase.
Ved hvert af disse tiltag ser vi på modtrækket – hvordan kan DU beskytte dig mod en hacker, der har den viden.
Naturligvis er kurset på dansk, så det kan forstås. Du behøver ikke nogen forudsætninger for at være med.
Videokurset Newbie+ koster kun 400 kr.
Wi-Fi hacking for begyndere
Videokurset har oprindeligt været brugt som et virtuelt kursus via vores e-skole. Kursisterne betalte 100 euro (750 kr.) for kurset.
Her er lidt om indholdet: Wi-Fi er blevet mere og mere almindelig, og du skal bekytte dit system på helt andre måder, end du tror. De fleste er tilfredse med et antivirus-program og en Firewall, men … Vidste du, at der er mange andre ting, man kan gøre med dit netværk? Fx bruge den til angreb på andre? Vi ser på hvad er 802.11 standard og deres fejl. Vi går rundt om hardwaren. Samt ser, hvordan man kan scanne et Wi-Fi netværk og med hvad.
Vi går derefter videre og ser på de forskellige værktøjer for at cracke krypteringen og den såkaldte WEP-key samt forskellige indtrængningsmetoder og systemangreb.
Naturligvis ser vi også på de forskellige metoder til at beskytte sig og … om de dur?
Kort sagt: Vi går vejen rundt om Wi-Fi’en og dens svagheder.
Naturligvis er kurset på dansk, så det kan forstås. Du behøver ikke nogen forudsætninger for at være med.
En tysk systemudvikler, Artur Wachelka, siger, at han har opdget en bug i FaceBooks brugerflade: Gennem denne bug skulle man kunne indhente cookies på brugernes computer, og ved hjælp af dem skulle man kunne få adgang til pågældende brugers konto.
Ifølge Artur Wachelka er det en meget alvorlig bug, som han opdagede ved et tilfælde, idet han var i gang med at arbejde på et skakspil på Facebook.
Bugget befinder sig på Facebook FBML, som er den udviklingsplatform, som Facebook sætter til rådighed for brugerne, så de kan udvikle applicationer og nye funktioner.
Ifølge Artur Wachelka er det nok at afvikle et bestemt JavaScript i brugerens browser for at få adgang til vedkommendes cookies, eller starte en popup på brugerens computer.
Naturligvis, og med mere ondsindet kode, kunne man ændre indstillingernes til vedkommendes konto eller slette venner, m.m.
Dog siger Artur Wachelka, at buggen ser ud til kun at være aktiv på de konti, som er opdaterede af brugerne for nyligt.
Den tyske systemudvikler fortæller, at han har kontaktet Facebooks supportteam for at fortælle dem om buggen og ved at give dem en demonstrationskode (proof-of-concept code, som det så fint hedder), som beviser dette.
Men supporteamet har ikke taget Wachelkas advarsler alvorligt og forsikrer, at FBML-platformen blev skrevet således, så man ikke kan eksekvere Javascript.
Derfor har Wachelka valgt at offentliggøre informationen.
Facebook fortaler igen i dag, at problemet er “under analyse”.
Den er, til dato, ikke rettet.
Facebook renser ikke tredjepartsprogrammers indhold, hvilket har ført til flere sikkerhedshuller og spændende sager i de seneste år.
I maj i år blev det ramt af et Cross Site Scriptings-hul (XSS) og et sikkerhedshul, som offentliggjorde alle Paris Hiltons private billeder (samt mange andre brugeres).
Flere sikkerhedsforskere har fornyligt fortalt, at en orm angriber Facebook og andre netværkssider.
For en måned siden lod Eric Szulczewski masken falde.
Den 43-årige konsulent fra Clarendon Hill opgav sit navn til medierne og fortalte, at han var medlem af gruppen Anonymous, som har erklæret krig mod Scientologi.
Anonymous erklærede sekten krig i begyndelsen af 2008 og agtede at stoppe sektens finansielle udnyttelse af dens medlemmer og beskytte udtryksfriheden, en ret, som hackergroupen mener, sekten bryder ved at forfølge dem, der opponerer imod den.
Denne annoncering kom oprindeligt som et svar på sektens forsøg på at stoppe spredningen af en video med Tom Cruise, som roser Scientologi.
Ifølge bevægelsen er denne video beregnet til internt brug, og bevæbnet med copyright-loven har sekten fået bl.a. YouTube og andre sider til at fjerne videoen.
Et medlem af Anonymous kommenterer: “Denne såkaldte Scientologikirke misbruger copyright- og varemærkelovene for at udføre deres planer. De prøver ikke blot at forbyde udtryksfriheden, men de perverterer retfærdigheden ved at tvinge dem, der taler imod dem, til stilhed.”
Ifølge Anonymous protesterer disse ikke mod Scientologi som “religion”, men mod Scientologis metoder mod dets medlemmer.
Mens de protesterer, dækker Anonymous’ medlemmer deres ansigt med masker for ikke at blive genkendt og for at undgå repressalier.
Szulczewski fortæller, at bevægelsens såkaldte “fair game” princip tillader ethvert medlem af sekten at forfølge modstandere.
Anonymous anklager offentligt scientologer for at ruinere livet og rygtet af dem, der taler imod dem, eller som vælger at gå fra dem.
De fortæller ligeledes, at sektens politik tillader dem at tilbageholde medlemmer mod deres vilje, at tvinge medlemmer til at afbryde forbindelsen med deres familie, og at tilbageholde medicin fra dem, der behøver det.
Kort sagt ser Anonymous ud til at have udviklet sig fra at være en “hackergruppe” til en protestbevægelse mod Scientologi.
Szulczewski er godt klar over, at han nu er blevet et oplagt mål for de af sektens medlemmer, der nu vil forfølge ham, men han er ikke bange:
- Jeg ved, hvad de kan finde på at gøre, siger han, men jeg frygter dem ikke. Det er jo det, de vil.
Du kan se flere detaljer om krigen mellem Scientologi og Anonymous her:
Det er mere end nogensinde en nødvendighed at patche servere for at lukke DNS-hullet.
Alle detaljer om dette hul er lige blevet udsendt på nettet samt metoden og koden til at udnytte hullet.
Oplysningerne er blevet offentliggjort deriblandt af Metasploit.
Dette betyder, at nu er pirater i besiddelse af de nødvendige værktøjer til at udnytte det så berømte DNS-hul, som sikkerhedsekspert Dan Kaminsky havde fundet.
Kaminsky havde valgt at holde hullet hemmeligt i den tid, der var nødvendigt til at lave en patch, nemlig for at det ikke skulle blive udnyttet.
Han havde regnet med at offentliggøre alle detaljer til metoden den 6. august i anledning af Black-Hats Konferencen i Las Vegas, men piraterne slog ham på målstregen.
Informationen lækkede
Informationen blev lækket af Halvar Flake, direktøren for firmaet Zynamics, som har udgivet en beskrivelse af hullet på sin blog.
Disse oplysninger blev derefter taget op igen i en blog for firmaet Matasano Security, som fjernede dem igen, men tydeligvis for sent.
Hullet kan udnyttes med værktøjer fra metasploit til at omdirigere bankkunder, eller kunder i e-butikker, til en udnyttet DNS-server, så man kan fange deres bankinformationer.
Dette er fuldstændigt usynligt for brugeren, og intet antivirus- eller anti-phishing program vil se det, da det hele foregår på DNS-serverens niveau.
Det fortæller en kilde nær de amerikanske efterretningstjenester.
Det lykkedes hackere at trænge ind i et edb-netværk, som gav adgang til partikelacceleratoren, Hadron LHC (Large Hadron Collider), den største accelerator i verden, som blev startet i onsdags.
