Naturligvis har jeg en iPhone. Købte min flere måneder før den officielt blev lanceret i Frankrig.

iPhone er — i Frankrig — bundet til Orange, og det koster en formue, hvis man skal købe den uden kontrakt. Omend jeg kan forstå, at man sælger nye telefoner dyrere, når der ikke er støtte fra operatøren, så talte vi her om langt over det dobbelte.

Desuden så vil jeg ikke bindes til nogen operatør overhovedet (og især ikke Orange!).

Derfor har min iPhone altid været hacket.

Fordelen ved en hacket iPhone var også, at man kunne installere en masse smarte programmer (gratis eller betalende) lavet af flere fælleskaber. Og det var meget rart.

I sin tid var det at låse en iPhone søreme vanskeligt. Der skulle pilles, laves en hele masse, findes alle mulige filer rundt omkring på nettet, m.m. Det var søreme svært.

Det er meget nemmere i dag.

Den nye firmware, version 2.0, er kommet ud for knap en uge side.

Det er den firmware, der bruges på de nye iPhone (3G), men den kan installeres gratis på de “gamle” iPhones og på iPod Touch for et mindre beløb.

Naturligvis er den nye version også hacket, og dev-team har (endnu en gang) gjort miraklet muligt.

Her får du brugsvejledning til at hacke din iPhone 3G eller din “gamle” iPhone med den nye version af softwaren.

Det, du vil se, er på en Mac OS X, men programmet findes til Windows også, og jeg går ud fra, at fremgangsmåden er den samme, men det ved jeg ikke. Jeg har ikke prøvet det.

Jeg kan kun sige, at via Mac OS X versionen virker det fint og uden problemer.

Helt i bunden af artiklen har du også førstehjælp, hvis det går galt, men jeg kan sådan set ikke garantere noget, vel?

1) Først skal du downloade og installere den nye version af softwaren (2.0) gennem din iTunes. Når iTunes spørger dig, om du vil gendanne fra en gammel installation eller lave en ny, skal du vælge ny.

2) Imens den gør det, kan du sagtens downloade og installere hackerprogrammerne. Du kan finde Pwnage Tool forskellige steder. Du kan downloade programmet:

a) Herfra (Mac),

b) herfra (Mac),

c) eller herfra (Mac).

Der burde være en Windows-version af metoden her.

Du skal også bruge en Bootloader program. Der er tale om en pakket fil, du bare skal pakke ud samme sted som programmet (fx på dit skrivebord).

Programmet kan selv finde det, men hvis ikke, så kan du fortælle det, hvor filerne befinder sig, ved at browse dertil.

Du kan downloade bootloader-programmet herfra.

Der burde findes en Windows-version af filerne:

a) Her for iPhone 1. generation, som skal opgraderes,

b) og her for de nye iPhone 3G.

Når du har downloadet og installeret programmerne, skulle din iPhone gerne være gået “brick” (mursten).

I den tilstand, den er i nu, kan du bruge den som papirpresse — med hvilken du dog kan ringe til 112.

Nu skal vi have lidt liv i dyret.

Du kan slukke iTunes, hvis du vil.

Så starter du programmet Pwnage Tool.

Når du kører Pwnage, burde du se denne skærm:

“Gammel” iPhone til venstre, iPod Touch i midten og den nye 3G til højre. Jeg har så sat flueben ud for min model ved at klikke på den.

Bemærk, at øverst kan du se Simple mode, Expert mode og Log. Jeg nøjedes med Simple mode.

Du klikker bagefter på den blå pil i bunden.

Du vil kunne se den ny software, du klikker på den, så der kommer hak i den.

Klik derefter på den blå pil.

Jeg fik følgende billede første gang, fordi jeg ikke vidste, at man skulle downloade denne hersens bootloader.

Du burde ikke se det, da du har downloadet og udpakket filen. Hvis ikke, skal du ikke søge på webbet, men browse til filen (har du husket at pakke den ud?).

Så, her igen, du burde ikke se ovenstående skærm, men rent faktisk denne her:

Om jeg vil? Naturligvis vil jeg!

Her, hvis du klikker på No, har du tabt mig på vejen.

Du klikker på Yes, naturligvis, for derefter at se det her:

Og her skal du klikke på No.

Første gang jeg prøvede, trykkede jeg da Yes, eftersom min iPhone var lovligt købt (ifølge fransk lov). Men lovlig købt ifølge fransk lov betyder ikke lovligt købt i Apples øjne!

Derfor, medmindre du skal bruge din iPhone med AT & T, så er den ikke “legit”. klik No.

Hvis du klikker Yes, vil alt se ud til at fungere fint, og installationen vil fortsætte, og efter at have ventet på at det hele blev overstået efter en ti minutters tid vil du være den lykkelige ejer af en mursten med et ananas-logo i stedet for et æble.

Godt.

Du har nu trykket No og fortsætter.

Så arbejder din maskine, og du kan se en masse ikoner, der flyver i en fin lille kasse:

Det, programmet gør, er at lave en ny “Opdateringsfil” version 2.0, som er hacket.

Du bliver bedt om administratorpasswordet på et tidspunkt. Det skal du skrive, for at filen bliver færdigbygget.

Du bliver spurgt, om du har brugt den metode før.

Klik på No.

Jeg har installeret det flere gange (da jeg dummede mig flere gange) og har skrevet No hver gang. Det går fint.

Så behøver du blot at følge anvisninger for at sætte din iPhone i DFU-mode (restore mode).

Du behøver blot at følge anvisningerne og holde de forskellige knapper trykket og for en god orden skyld er de:

- iPhone er i USB-porten.

- Hold knappen Power og Hjem trykket ned, indtil skærmen blinker.

- Før logoet kommer frem, skal du slippe Power-knappen (det drejer sig rent faktisk om 10 sekunder), men du bliver ved med at holde Hjem-knappen trykket ned, indtil computeren fortæller dig, at du er i DFU-mode.

Det kan du se bl.a. fordi iTundes popper op og fortæller dig, at den har fundet en telefon i restore mode:

Du trykker på OK.

Så holder du ALT/Option tasten nedem imens du klikker på Gendan- (eller Restore-) knappen.

Du vil så befinde dig i din stifinder (eller Finder).

Du browser, indtil du finder den hackede IPSW-fil, som blev lavet af programmet, og som burde befinde sig på dit skrivebord.

Åbn den.

Så bliver iPhones software gendannet, og du kan nu bruge din ny-hackede iPhone.

Små problemer?

Du kan komme ud for, at det ikke virker efter hensigten. Her får du de mest almindelige småproblemer og deres løsninger:

• Du får Error 1600 fra iTunes eller Error 6 (ukendt fejl), imens programmet laver filen (i loggen vil du måske kunne se fejlen i at lave x12220000_4_Recovery.ipsw).
  I så fald skal du bare gå i ditbrugernavn/Bibliotek/iTunes/Device Support og slette det, der befinder sig der. Hvis mappen Device Support ikke eksisterer, skal du lave den. Kør PwnageTool igen.
• Mail fungerer ikke og går ned.
  Almindeligt problem med de fleste hack. Husk at skrive Nej, når computeren spørger dig, om den skal lave en gendannelse ud fra din tidligere backup. Du er nødt til at sætte den som en ny iPhone.
• Jeg får logoet med ananas, men min iPhone virker stadig ikke.
  Du har ikke gjort det, jeg sagde. Husk at svare No til, at din iPhone er “legit”.

Man tror det næppe. Hvem kunne forestille sig, at ICANN, som er den almennyttige forening, der tager sig af com-domainnavne, er blevet franarret to domæner af en social engineer (altså ikke-teknisk hack, men ren og skær fup!).

På en foreløbigt ukendt måde (vi prøver at skaffe flere oplysninger), blev domænenavnene icann.com og iana.com overført fra ICANN til en anden person.

Hvordan i alverden det lykkedes at få ICANN til at gå med til at registrere sine egne domænenavne til andre er lige p.t. stadig en gåde.

De besøgende på IANA.com og ICANN.com plejede at blive videresendt til IANA.org og iCANN org, men det holdt de altså op med. I stedet for blev de besøgende videresendt til en helt anden side.

Angrebet varede i 20 minutter, så fik ICANN fat i sine domæner igen.

ICANN siger, at de agter at tage forholdsregler, så den slags ikke sker igen. De agter at bruge andre sikkerhedsprocedurer.

Det ville have været smart at uddanne personalet mod Social Engineering, før de blev ramt, men af skade bliver man klog (men sjældent rig!).

I de sidste år har de angreb, som er lykkedes bedst, været social engineering. Hvorfor arbejde hårdt med teknik for at få et password, når man i løbet af et kvarters tid kan få andre til at give passwordet fra sig?

Det er — rent faktisk — emnet for Chills nye bog: Fejl 40 – psykologien bag hacking, hvor der fortælles om, hvordan man gør den slags, og om hvillke foranstaltninger der skal tages for at undgå det.

Bogen, som kommer til koste 45 €, kan stadig — i skrivende stund — fås til 37 € her.

Microsoft har givet politiet en samling værktøjer, som kan forbigå deres eget sikkerhedssystem, BitLocker. Dog skal man bruge det på computeren på stedet.

Da organiseret kriminalitet næsten som standard bruger kryptering, har Microsoft udviklet visse værktøjer, som kan forbigå disse krypteringer.

Værktøjsamlingen hedder Computer Online Forensic Evidence Extractor (COFEE) og er blevet givet gratis til politiet siden juni 2007. COFEE bruges i dag af ca. 2.000 betjente verden over.

Indtil nu har politiet, hvis de ankom på et forbrydelsessted, taget computeren med, hvilket var noget af et problem, da de krypterede data, som er ukrypterede, mens sessionen er åben, bliver krypteret, når computeren slukkes.

COFEE indeholder over 150 værktøjer, som kan være på en USB-nøgle, altså nærmest en dataknækker-schweizer-kniv. Den kan virke sammen med et hvilket som helst krypteringsprogram. COFEE tager en slags “fotografi” af samtlige kritiske data, som befinder sig i rammen eller på harddisken, i løbet af ca. 20 minutter (der skal ellers bruges 4 timer, hvis man skal gøre det manuelt). Så bliver dataene knækket.

Naturligvis kan man sætte systemet til at kræve password ved indsætning af USB-materiale for at stoppe COFEE. Men et password kan knækkes, og man kan “tvinge” den arresterede til at fortælle sit password.

Dog efterlader det en med et spørgsmål: Hvis BitLocker kan gennembrydes vha. disse programmer: Hvordan kan vi være sikre på, at kun politiet er i besiddelse af, og altid kun vil være i besiddelse af, disse værktøjer?

Hvilken garanti har vi for at, hvis Microsoft kan finde ud af at forbigå sin kryptering, at andre ikke kan finde ud af det?

Sidste spørgsmål: Hvor sikker er den slags kryptering så?

(Billedet: Nye hackerværktøjer).

Infosecurity (eller Infosec) er et europæisk træf, som handler om informationssikkerhed. Det er blevet afholdt årligt i Storbritannien siden 1995.

Og i år var det et yderst originalt studium, der blev præsenteret.

Det blev påvist, at brugerne ville give deres adgangskode væk mod et stykke chokolade.

Sikkerhedseksperterne gik rundt i Londons hovedbanegård for at stille spørgsmål til de rejsende.

Et af spørgsmålene var, hvorvidt de ville give deres password fra sig mod at modtage et stykke chokolade.

Dog er det tydeligt, at de ansatte er blevet mere opmærksomme på problemet, og studiet påviste, at i 2007 opgav 64 % af de ansatte deres password.

I 2008 er der “kun” 21 %, der ville falde i fælden.

På den anden anden side er 21 % mere end rigeligt.

Vigtig detalje: Det viser sig i det samme studium, at lidt over halvdelen af dem, der blev spurgt, kendte deres kollegers password.

58 % indrømmede, at de ville give deres adgangskode per telefon til nogen fra IT-afdelingen.

35 % fortalte, at andre kendte chefens password.

I samme undersøgelse viste det sig også, at 61 % fortæller deres fødselsår uden at tænke sig om (dette – eller børns/ægtefælles fødselsdag – bliver ofte brugt som password).

60 % af mændene og 62 % af kvinderne gav uden besvær følsomme opslysninger fra sig (navne, telefonnumre m.m.) efter at have fået at vide, at de havde vundet en rejse til Paris.

Hvis du vil vide mere om, hvordan vores åbenmundethed kan udnyttes, og hvordan du beskytter dig, kan du hente bogen “Fejl 40 – Psykologien bag hacking” her: http://www.fejl40.info/

Fra den 30. juni i år vil Microsoft stoppe udviklingen og installationen af Windows XP. Det betyder, at styresystemet ikke længere vil blive solgt eller installeret på nye computere.

Microsoft har indtil nu haft store problemer med at få solgt Windows Vista, og de regner med, at brugerne vil tage skridtet til at bruge Vista, når de ikke længere vil kunne få Windows XP.

I mellemtiden klager brugerne. De har endda startet en underskriftindsamling, så Windows XP kan leve videre.

I skrivende stund har over 100.000 skrevet under.

En analytiker hos IDC fortæller, at man regner med, at 60 % af brugerne og 70 % af firmaerne stadig vil bruge Windows XP i december 2008.

Om der er tale om sabotering, om en teknisk fejl, om en fabrikationsfejl, eller hvad i alverden det går ud på, ved ingen. Men der er blevet fundet malware i Proliant USB-nøgler fra HP.
Det er en blandet fornøjelse, man kan få, når man køber en splinterny Hewlett Packard USB-nøgle på 256 MB eller 1 GB.

En hel del af disse indeholder nemlig virusserne W32.Fakerecy og W32.SillyFDC. Og disse er tydeligvis tilføjet nøglerne på fabrikken.

Lige så snart dyrene bliver forbundet til en computer, angriber den HP’s Proliant-server.

Det er i øjeblikket uvist, hvor mange nøgler det drejer sig om, og i hvilke lande de befinder sig lige p.t. Har du lyst til at spille Lotto?

Før i tiden var det disketter, der var de bedste til at sprede virusser med. Nu har USB-nøgler overtaget denne rolle.

Der findes et hav af virusser, der er programmeret til at køre fra USB-nøgler, fx USBWorm, som laver kopier af sig selv, Chasnah, som får en besked på indonesisk frem på din skærm, SillyFD, der dukker op med beskeden “hacked by 1byte”, USBToy, som reproducerer sig hurtigere end rotte-kaniner og skriver en tekst på kinesisk, hver gang du starter din computer … Kort sagt: Der er nok at se til!

Derfor husk at have din antivirus à jour, og forhindr USB-nøgler i at eksekvere noget program overhovedet, og tag den gode vane at formatere den USB nøgle, du lige har købt, før du gør noget som helst andet.

Især hvis du lige har købt en HP på 1 GB! (Se HPs sikkerhedsmeddelelsen her)

Ret opfindsomt. En privatdetektiv, som har forskellige identiteter (Bettie Bingham, Mathlew Bingham, Clew Erthon, …) sender mails rundt på nettet.

Mailen er blevet modtaget i USA, Canada, Frankrig, Australien … Altså arbejder manden hårdt.

Hans mail ankommer med et emne, som tiltrækker sig opmærksomhed: “Danger”.

Indholdet er godt fundet på, brug af Social Engineering og læserens nysgerrighed:

“Mit navn er xxxxx. Jeg er privatdetektiv for politiet. Jeg ville advare dig om, at din telefon snart vil blive sat under aflytning. Vil du vide, hvem der har bedt om den aflytning? P.S.: Ja, jeg ved, at du ikke tror på mig, derfor får du her et uddrag af en telefonsamtale, der blev optaget i går, og som vil bevise for dig, at dette er sandt. Aflytningen er i den vedhæftede fil. Passwordet er 12345 (eller qwerty, 123qwe, …)“.

Denne mail vil sandsynligvis pirre de flestes nysgerrighed.

Den vedhæftede fil, som kræver et password, er tilsyneladende en MP3-fil, og gemt i den falske lydfil er der en ægte virus.

Dens mission er at installere et spionprogram, som vil aflytte (denne gang i virkeligheden) offerets computer, hvilket er piratens mål.

Husk: Tag ikke imod slik fra fremmede!

Siden sidste onsdag (den 26. marts) og tre dage frem har hacker-konkurrence CanSecWest fundet sted.

En af de etaper, konkurrencen indeholder, er den såkaldte: PWN2OWN (PWN to OWN contest), hvor hackerne får tre dage til at prøve at hacke sig ind på forskellige computere og styresystemer.

Computerne bliver sat på deres eget Access Point (med den nyeste patch, men derudover er de startet op som standard-installeret) og hackerne kan forbinde sig til dem via ethernet eller Wi-Fi.

Den første, der finder hullet (der er forskellige betingelser for at vinde og progressive regler i løbet af de tre dage), kan gå hjem med den og i år også med 10.000 $ (dog kun én gang per person per hack. Man må ikke bruge samme metode på flere maskiner).
Den, der overlever tre dage, bliver til prisen for den bedste taler.

De tre maskiner i år var:

- En Fujitsu U810 med Vista SP1
- En MacBook Air med OS X 10.5.2 og
- En Sony Vaio VGN-TZ37CN med Ubuntu 7.10

MacBook Air fik den tvivlsomme ære af at være den første til at blive hacket. Den holdt i lidt under to minutter.

Vinderen blev Charlie Miller, som vandt 10.000 $ ved at udnytte et sikkerhedshul i Safari. En snyde-Webside og vupti! Manden var inde og kunne snuppe informationer på samme måde, som han har påvist det med iPhone.

Hullet vil blive afsløret, lige så snart Apple har lukket det.

Udnyttelsen går ud på at få brugeren til at klikke på et link i Safari. Linket åbner en port, som tillod Miller at komme ind igennem med Telnet. Da han først var kommet ind, kunne han køre de koder, han ville.

Den næste OS, der sprang, var Microsofts Windows Vista SP1. Dér blev der udnyttet en 0day hul for Flash Player. Også denne metode bliver ikke afsløret, før hullet er lukket.

Den eneste maskine, der holdt mod hackerne har været Ubuntu 7.10 som forblev lukket som en østers.

Slysoft, som er især kendt for sine programmer til at klone DVD, ISO, m.m. og som har specialiseret sig i at cracke datasikkerhed, har lige udsendt en pressemeddelese, ifølge hvilken sikkerheden på Blu-Ray ikke længere udgør et problem.

Slysoft fortæller, at de er i stand til at omgå beskyttelserne AACS og BD+, som forhindrede kopiering af film i Blu-Ray-format.

Slysoft har bygget et program, der hedder AnyDVD HD, som gør, at man kan lave en (backup!) kopi af sin film.

http://www.kortlink.com/se-her/anydvdhd

Du kan også downloade filen som 21 dage gratis prøveversion herfra.

Siden 2003 soler Slysoft sig i Antigua (Caribien).

Det oprindeligt tyske firma blev nødt til at forlade sit hjemmeland efter forandringen i loven i Tyskland, som, lige som i Frankrig, gør forhandling af programmer, der kan sprænge kopisikkerheden, ulovlig.

Slysoft blev tvunget ud af landet for at kunne fortsætte med at tilbyde programmer som CloneCD og CloneDVD.

Slysoft blev allerede dengang erklæret fjende nr.1 af AACS … Det her vil ikke forbedre deres syn på Slysoft …

Gruppen Anonymous, som har erklæret krig til Scientologi (se artiklen her), ser sig nu bekæmpet med samme våben.

Anonymous har angrebet sekten på forskellige måder: bombetrusler, falske telefonopringninger, dødstrusler og forsøg på DoS på forskellige af bevægelsens hjemmesider.

Men siden har Scientologi, som man kunne have sagt sig selv, modangrebet.

Sekten har afsløret identiten af flere af Anonymous’ medlemmer, hvilket gør, at de ikke er så anonyme længere.

Ikke nok med, at disse medlemmers identiteter afsløres, men de er blevet offentliggjort med bynavne, fotografier og navne som video på YouTube og andre online video-hjemmesider.

For øjeblikket nævnes fire personer. Der er tale om Ryan Benno (Valencia), Jonathan Brown (Tarzana), Sean Carasov (Los Angeles) og William Mardis (Seminole).

På en musikals baggrund fortæller Scientologi:

Den 17. januar 2008 erklærer en gruppe, som kalder sig Anonymous, som mål at tilintetgøre Scientologikirken.

Dette blev efterfulgt af bombetrusler, dødstrusler og en lang liste af forfølgelse og materielle ødelæggelser.

Ethvert medlem af Anonymous kan betragtes som medskyldig i disse kriminelle handlinger.

Manges identiteter er kendt.

Så følger der en maske samt billedet af et af medlemmerne. Man kan se hans kodenavn, hans billede og på et kort, den by, han bor i.

Anonymous er så gået ind i en anden fase af krigen mod Scientologi: De er i fuld gang med at gøre det, de bebrejder Scientologi, nemlig få disse videoer slettet fra nettet.

Scientologi har anerkendt, at de har lavet disse videoer: – Vi har detektiver, som har fundet disse tre mænd. Når man bliver truet på livet, tager man det ret tungt.

Det var ikke muligt, foreløbigt, at få en kommentar fra disse tre medlemmer af Anonymous. De er måske for optagede af at få slettet videoer rundt omkring.

Du kan se disse videoer her, men jeg ved ikke hvor længe, de vil blive ved med at kunne ses.