Copy Link
Add to Bookmark
Report

No Shit Issue 01

eZine's profile picture
Published in 
No Shit
 · 4 years ago

  


____
/ \ ____ __ ____
\ /______/_ /_ ___/ /_
\ / _ / \ / _/
\/ __ \_/ __ / / /
Nummer #1 / \ \ \ /__/__/__/ December 1995
\__/_______/ no shit!


Throw your ipspoof.c in the air,
and wave it around like you just don't care!




BRAINSTORM
NÜgra vÑl hÑngda ord 1.0

IRC
ôverlevnadsguide fîr #hack.se 2.0
En W4ReZ d00d pÜ IRC 2.1

HACK
Har Dataphone fixat alla sina sÑkerhetsproblem nu? Jo, sÑkert... 3.0
Basic Flaws in Internet Security and Commerce - Spoofing on the fly 3.1

WWW
FITTA! Vad FAN Ñr det fîr fel pÜ den hÑr sidan! 4.0

NYTT
Blandade nyhetsklipp som rapporterar om hackertrÑskat 5.0
AmatîrmÑssig girighet styr BSAS agerande 5.1
Microsoft jagar pirater i norden 5.2
Dags fîr BBS-dom - i elfte timmen 5.3
Hot Java îppnar bakdîrren till din dator 5.4
Jurist vill gîra olÑsliga bevis straffbara 5.5
Den typiske IT-brottslingen finns inte 5.6
Befarad terrorvÜg med elektroniska vapen 5.7
Superformattering blev fîr dyrt fîr 16-Üringen 5.8
Fîrbjud kreditkortskîp per telefon 5.9
Befarad terrorvÜg med elektroinska vapen 5.10
Rysk hacker stal miljoner 5.11

SURF
ér dina bokmÑrken kompletta? 6.0
Sidor som mest bestÜr av lÑnkar till andra sidor 6.1
Utilities 6.2
HÜrdvara och liknande 6.3



(C)opyright? Nope.



/* -------------------------------------------------------------

All information i !shit publiceras endast i studiesyfte och
som underhÜllning. En del saker vi beskriver Ñr olagliga,
och vi fîrutsÑtter att du inte Ñr sÜ korkad att du fîrsîker
gîra nÜgonting liknande sjÑlv.

------------------------------------------------------------- */


___ ___ __ __ __ _ __ ____ ___ ___ _ __
___ | _)| )/ | | \ |( _|_ _) _ \ ) V | _____________________________
1.0 |____)_)_\_|_|__|_\__|___)|__|\___/_)_\_v__| av Shellshock

All tillgÑnglig statistisk data talar fîr att detta fîrmodligen Ñr det sista
numret av !shit. Det Ñr lÑtt att ta fram en fet lista pÜ fîrsta numret av
olika p/h/a/c/v-mags, men nÑr man fîrsîker hitta #2 sÜ har listan decimerats
avsevÑrt. Anledningen Ñr givetvis att det inte finns nÜgot andra nummer.

Knulla statistiken - vi gîr ett fîrsîk att bryta trenden. Om du vill hjÑlpa
oss, skicka in frÜgor, uppslag pÜ artiklar, eller en hel jÑvla phile om du
kÑnner fîr det. Den Ñdla tanken Ñr att vi ska fîrsîka ha nÜgot fîr alla,
oavsett fîrkunskaper. Det kommer givetvis aldrig bli mer Ñn en just en Ñdel
tanke, men man ska ha mÜl i livet. I alla fall har jag fîr mig att vÜr SYO
sa nÜgot sÜnt pÜ hîgstadiet...

Skicka din skit till: shshock@alpha.c2.org

__ ___ ___
___ | | ) __) _____________________________________________________________
2.0 |__|_)_\___) Hangin' on #hack.se

Precis som alla channels sÜ suger #hack.se bigtime stîrre delen av tiden,
men tack vare att fler och fler svala snubbar tittar in allt oftare sÜ kan
det faktiskt vara vÑrt att ge oss en chans.

NÜgra ledtrÜdar fîr nybîrjare:

- Alla som kan nÜgonting pÜ #hack.se har skaffat sig den kunskapen genom att
HACKA. DÑrfîr har vi inte tid att BARA sitta framfîr irc 12 timmar varje
dygn. Idle Ñr fîr de upplysta. Vi gîr andra saker samtidigt, och om nÜgon
inte svarar, ta en toy, vÑnta, eller Üterkommer senare.

- FATTA att du inte kan komma in och îppna med en frÜga typ "HUr h4ckar man
T3lia? Jag vill ha o2o-axxess!". I helvete jag kommer att berÑtta det fîr
dig. Varfîr skulle jag?

- Om du mot all fîrmodan skulle ha en BRA frÜga, men ÑndÜ inte fÜr svar.
Tjata INTE. Det Ñr okey om du inte kan sÜ mycket, ta det lugnt, var vÑnlig
och om du verkligen vill lÑra dig sÜ kommer du fÜ hjÑlp. Men att vara
odrÑglig kommer bara att fÜ dig kickad..

Detta Ñr ett exempel frÜn hÑromdagen pÜ #hack.se. Liknande hÑndelser ___
utspelar sig tyvÑrr varje dag. 2.1


<pHOo> hej!
<pHOo> testade dataphone...
<Chaoz> hej phoo
<Chaoz> Jahapp..
<Chaoz> hur gick det da?
<pHOo> men jag kommer inte fîrbi "password:"
<Chaoz> Jahapp.. =)
<pHOo> snÑlla! sÑg hur man gîr...
<pHOo> du har vÑl hackat dataphone?
*Chaoz* ... En W4ReZ d00d...
*** Signoff: blur (LiCe - Over 500 users can't be wrong.)
<pHOo> hoho? :)
*** pHOo has been kicked off channel #hack.se by shshock (shshock)
*** pHOo (---@---.modem.umu.se) has joined channel #hack.se
<pHOo> va faan!
*** blur (---@---.---) has joined channel #hack.se
<pHOo> chaoz: va fan hÑnde?
<pHOo> chaoz: har du ingen valid login till dataphone att ge mig? :)
<pHOo> chaoz: pL3@z3... ;)
*** pHOo has been kicked off channel #hack.se by Chaoz (Chaoz)


_ __ __ ___ _ __
___ | L |/ | _| / / _______________________________________________________
3.0 |_||_|_|_|___|_|_\

Dataphone Ñr en isp som visar upp ett osunt mÜtt av naivitet nÑr det gÑller
sÑkerheten i deras system. SÑkert brister det Ñven i kompetensen, men om de
haft nÜgon respekt fîr sina kunder sÜ hade de skaffat sig hjÑlp utifrÜn att
sÑkra upp sina burkar.

Kombinationen av att de inte skuggat passwd och samtidigt tillÜtit sina
anvÑndare att ha hur enkla lîsenord som helst, har som fîljd att konton
frÜn Dataphone senaste tiden varit - hur ska jag sÑga - *ganska* enkla att
komma îver.

Men till och med en ledtrÜdslîs admin pÜ Dataphone kan ana orÜd nÑr en
av hans anvÑndare Ñr inloggad sju gÜnger, via telnet-sessioner frÜn lika
mÜnga olika sites. DÑrfîr har *en del* konton stÑngts av. Exempelvis
Sandor Nilsson (password "master") nedan.

Login: sandor Name: Sandor Nilsson
Directory: /export/home/users/s/sandor Shell: /bin/cracked
Last login Tue Dec 12 19:51 (MET) on ttyqd from legolas.mdh.se
New mail received Mon Dec 11 18:17 1995 (MET)
Unread since Thu Dec 7 11:10 1995 (MET)
No Plan.

Scriptet /bin/cracked Ñr enligt fîljande:

#!/bin/tcsh

cat /etc/cracked.txt
sleep 5
exit
#END

Och filen /etc/cracked.txt ser ut sÜ hÑr:

Your account has been found to be cracked and has been abused by others.
Please contact us on 08-734 0606.

I vanlig ordning sÜ kommer detta fîrmodligen att tystas ner, och jag tror
inte att nÜgon som varit ofîrsiktig och loggat in via telnet direkt frÜn sin
egen dator, behîver kÑnna sig orolig fîr reprisaliser. Dataphone vill nog
helst inte att datorpressen fÜr nys om deras bristade sÑkerhet.

Men det enda de har gjort Ñr att stÑnga ute nÜgra warezpuppies som bytt till
sig ett konto mot en zer0 d4y. De som fortfarande har access kommer
fîrmodligen att skîta det hela lite snyggare, och DP kommer aldrig att mÑrka
att de Ñr dÑr... Suckers.

______________________________________________________________________________
3.1
HÑr Ñr en intressant artikel skriven av fyra studenter pÜ Berkley, som
fîrhoppningsvis ger upphov till en massa intressanta ideer. En kopia
finns pÜ http://http.cs.berkeley.edu/~gauthier/endpoint-security.html


Basic Flaws in Internet Security and Commerce

We've gotten a bit of press on this so far...

The NYT article seems to imply that we discovered these holes. We did not
discover them, and we never claimed to have discovered them. We wrote the
following document to an audience who we assumed also knew that these were
not new security holes. We wanted to discuss them for the following reasons:

* Many security products (Kerberos, AFS, NFS, Netscape, Microsoft) have
ignored (for all practical purposes) the issue of trusting your
executables.
* To show how easy it is to mount attacks on the integrity of software
(for example, via distributed file systems, NFS specifically)
* Why there should be concern about endpoint attacks now more than ever
(financial incentive for attacks, strong protocols forcing attention to
the endpoints).
* Discuss the details of the NFS exploit. We knew of no other actual
implementation of this well known potential breach of security. The
ease of the attack and the subtle variations possible were interesting.

----------------------------------------------------------------------------

We believe that the current focus on secure session-layer protocols and
sufficient randomness have obscured more fundamental flaws in end-to-end
security. In particular, secure end-to-end transactions require two parts: a
secure protocol to communicate over untrusted channels, and trusted code at
both endpoints. The latter problem has received less attention, but destroys
security regardless of the quality of the protocols or of the random
numbers.

We have implemented a series of related attacks utilizing IP spoofing:

* We can spoof NFS to patch binaries on the fly if we are on any subnet
between the NFS client and NFS server. We used this to turn legitimate
Netscape browsers into versions that used a fixed key (known only to
us), thus invisibly eliminating security.
* The same trick allows us to defeat Kerberos security by attacking
kinit.
* We can also spoof NFS file-handle lookups, so that we can replace any
file (such as .login) with another file that runs with root access
privileges (even if the requesting user cannot).

These work because the trusted path to executables is really not trustworthy
in most environments. Although we use on-the-wire patching to compromise
executables, the client binaries can also be compromised during download, by
on-the-wire patching of FTP or HTTP transfers. Trojan horses and viruses
could also patch the client software after it's on the local disk,
especially on systems like Windows 95 that do not provide access control for
files.

Given that these are realistic threats, we believe that these issues must be
resolved before internet security and commerce are realistic.

----------------------------------------------------------------------------

We began to consider in more detail some fundamental weaknesses of common
network security practices that would lead to trivial further attacks on
Netscape as well as many other security tools like Kerberos. It was our goal
to demonstrate that it is trivially possible to patch executables
on-the-wire to completely compromise their security.

In doing so, we hope to reinforce the point that security is an end-to-end
problem that is far harder than getting the protocols correct. Strong,
correct protocols only make more subtle endpoint attacks more likely,
especially in light of the potential for financial gain as the amount of
commerce on the Internet increases. Most of the attacks we discuss are
suitable for the systematic exploitation of large groups of users: an entire
organization, or even a large fraction of the user base of a particular
piece of software.

In many computing environments a pool of common executables, like the
Netscape binary, are provided to clients by a fileserver. In such systems,
including NFS, AFS and Windows NT, there is no authentication of the file
contents sent between clients and servers.

In these systems there are provisions for sophisticated access checks to
determine file permissions, at open or handle lookup time. But the file
contents that are read from the server are not authenticated in any secure
way. The client has no way to determine if the bytes are indeed being sent
by the server.

Our first attack model is one in which the attacker has (promiscuous)
network access to any machine on any ethernet subnet between the fileserver
and the clients under attack. In under a day we produced software that can
exploit the lack of authentication in NFS to patch the object code of any
executable on-the-wire as it travels between the NFS server and the client
machine.

The technical details of the attack are rather simple. To retrieve data from
the NFS server a client sends a short request message detailing which block
from the file it is interested in (where a block is a range of bytes). The
attack software is located on an ethernet segment between the client and the
NFS server, so is able to snoop this traffic.

The attack software snoops, waiting for any request for a particular block
of a particular executable; for example, the block containing the
session-key generation code in the Netscape executable. It is then able to
forge a reply from the NFS server and transmit it to the client. If the
forged packet reaches the client before the legitimate reply, it is accepted
and the legitimate reply is discarded as a duplicate.

There is obviously a race condition between the injection of the forged
response and the true response. Since the attacking software is focused
solely on this task, while the fileserver is certainly servicing requests
from many clients, it stands a very good chance of winning the race. We have
observed that the attacking software wins the race a large fraction of the
time.

Given this ability it becomes possible to compromise the security features
of any executable loaded from the network. We have examined the Netscape
v1.1N executable and located the code that selects the session key. By
patching only 4 bytes we were able to cause the selection of a predictable
session key every time the browser engages in the SSL protocol. It is then
trivial to snoop and decrypt all traffic from the browser to secure servers,
obtaining credit card numbers or other private information.

Since this is really an attack on the client, it is not limited to the
Netscape browser. On the contrary, it is extremely widely applicable. An
appropriate patch to the Kerberos kinit executable makes possible the
compromise of any passwords entered by users, and therefore all of the
authentication facilities provided by Kerberos.

In many environments, including our own here at UC Berkeley, all the
Kerberos application binaries are served from an NFS server. This represents
a major flaw in security as our attack demonstrates. Having authenticated
file services (kerberized NFS or AFS) is useless if the integrity of the
kinit executable cannot be ensured (most easily by obtaining it from local
disk).

However, making local copies of crucial binaries is not sufficient in the
face of a more serious set of variants on the NFS spoofing attack. The
spoofing software can be placed as before, in a position to snoop requests
to the NFS server. As clients issue a lookup filehandle request the spoofing
software can return the handle to a different executable and also forge its
attributes. By tricking users into executing code that is setuid root,
unlimited access to the client's workstation can be obtained easily.

It is possible to mount NFS partitions so that setuid root executables will
not be honored by the client. Still, the spoofing software can make
arbitrary NFS filehandle lookup requests succeed, and substitute a trojan of
some sort. The attacker could cause misspellings of commonly executed
commands to appear to succeed, or could spoof other files that are trusted
by the operating system. For example, the user's .login file is a natural
and easy target from which to leverage further damage.

This implies that it is unsafe to execute any program obtained via an
insecure channel to an NFS server, no matter what the privilege level of the
client user.

Neither is it limited to NFS or file-serving protocols in particular.
Protocols based on TCP, rather than UDP, are just as vulnerable. It is
possible to hijack non-authenticated TCP connections, although it is
somewhat more complicated.

Attacks based on spoofing traffic coming from the distribution site of
popular software packages is also possible. Berkeley, for example, is a
mirror site for the Netscape browser. Any student with promiscuous network
access on a machine between the ftp server and the main link to the larger
Internet could have installed similar patching software to patch the huge
number of copies of the binary that were retrieved from server.berkeley.edu.

More mundane attacks based on trojan horses or viruses remain viable today.
These attacks must exploit some other weakness in a system's security to
infiltrate, but once in place they can perform patches to local binaries to
fully compromise a system. Previously such attacks were mostly motived only
by ego or malice; it is now more valuable to compromise a client invisibly,
so that the user believes the system is secure. Thus, unlike traditional
viruses, the new strains will aim to have no visible effect on the system,
thus making them difficult to detect and easy to spread unintentionally. Our
patch of Netscape has this flavor.

We realize that it is impossible to eliminate all security holes; one can
always question whether it is safe to trust the hardware, or whether outside
channels used for communication of public keys or checksums are truly
secure, etc. Fortunately, in practice it should suffice to handle far less
than all of these risks. We hope to have demonstrated one gaping hole in
practical security today, and to have highlighted the problem of the trusted
endpoint.

There is one simple step that we can suggest that would go a long way
towards improving the security of endpoints. Increasing the practice of
software providers widely publishing cryptographically secure checksums of
their executables would be extremely helpful. A small amount of paranoia and
care must be applied to securing the executables used in the verification
process. A read-only floppy disk would be appropriate to hold the
verification software, for example.

We are concerned that security on users' workstations and PCs is currently
insufficient. When real money is at stake, endpoint security must withstand
greater scrutiny. In summary, protecting the communications channel doesn't
help if the endpoints can be subverted. We implemented and discussed several
related attacks that replace legitimate programs by compromised versions.
Until we can trust every program that executes between the time we boot and
the time we finish the secure protocol, we cannot reliably authenticate
anything. Today there is no basis for this trust.

Eric Brewer, brewer@cs.berkeley.edu
Paul Gauthier, gauthier@cs.berkeley.edu
Ian Goldberg, iang@cs.berkeley.edu
David Wagner, daw@cs.berkeley.edu


__ __ __ __
___ \ \/\/ /\/\/ /\/\/ / _____________________________________________________
4.0 \_/\_/\_/\_/\_/\_/ Kreativ HTML-kodning

HÑr Ñr en liten godbit som krashar alla kÑnda versioner av Netscape, alla
plattformar. Perfekt fîr att filtrera bort alla lamers frÜn din kewla hemsida.
LÑgg bara en ref till nedanstÜende med texten "The Hackers Handbook". Funkar
varje gÜng. Och du ska inte tro att de ger upp efter fîrsta fîrsîket...

<table>
<tr><td width=500>
<table>
<td width=1000></td>
</table>
</td></tr>
</table>


__ _ _ _ ____ __
___ | \ | ) |_ _) ) _______________________________________________________
5.0 |_\__|_ |__|__| Nyhetsklipp frÜn oktober och november
(___/

---------------------------------------------------------------------------
AMATôRMéSSIG GIRIGHET STYR BSAS AGERANDE 5.1 Datateknik, 95-11-30
---------------------------------------------------------------------------

Enligt BSA Ñr 59 procent av all programvara i Europa piratkopierad
jÑmfîrt med 35 procent i USA. De har rÑknat ut att om den europeiska
piratkopieringen skulle sjunka till amerikansk nivÜ sÜ skulle det i
Sverige skapas 8000 nya jobb och skatteintÑkter pÜ 1,8 miljarder
kronor.

BSA Ñr en internationell organisation som aktivt arbetar fîr att
stopp pÜ stîld av programvaror genom information, utbildning och
rÑttsliga ÜtgÑrder, med stark tonvikt pÜ det senare. Indignerat
fîreslÜr BSA kraftfulla ÜtgÑrder i avskrÑckande syfte mot den
tilltagande brottsligheten. De fîreslÜr ett ÜtgÑrdspaket med
straffsatser i klass med knarkhandel.

-Piratkopiering Ñr idag ett stort socialt och ekonomiskt problem,
fîrfasar sig Robert Holleyman, BSAs hîgste chef i en pressrelease, och
menar att den sociala vÑlfÑrden Ñr i fara. Egentligen Ñr de bara ute
efter dina pengar.

BSA agerar i sina medlemmars intresse och Ñr bara intresserat av
pengar. I alla fall dÑr BSA Ütalat nÜgon fîr piratkopiering har de
gjort upp i godo, dvs hellre tagit pengar, Ñn dragit fallet i domstol.
IstÑllet fîr att komma tillrÑtta med det grundlÑggande problemet, att
det faktiskt stjÑls programvara, anvÑnder BSA juridiska finter och
cowboytaktik fîr att gîra tvivelaktiga husrannsakningar hos de
fîrmodade piraterna. Philippe Kahn, fd koncernchef i Borland, sÑger
till Datateknik att problemet Ñr enkelt:

-Jag har alltid trott pÜ att arbeta med kunderna. Jag tror inte
pÜ att processa. Om det finns ett problem ska man sÑtta sig runt ett
bord och lîsa det. BSAs attityd Ñr att processa fîrst. Inte min stil.

NÑr ett program piratkopieras beror det helt enkelt pÜ att det Ñr
fîr dyrt. I Japan piratkopieras det friskt, trots att Japan hîr till ett
av de lÑnder som har vÑrldens lÑgsta brottslighet. Kopieringen Ñr en fîljd
av att en japansk version av exempelvis Excel kostar 30 000 kronor.
Skillnaden i antal piratkopierade program mellan Sverige och USA
beror givetvis pÜ att programvara i genomsnitt Ñr 20 procent billigare
i USA.

Jag har inte rÜd att betala tre tusen kronor fîr att ha Microsoft
Word hemma. AlltsÜ lÜnar jag ett pÜ jobbet. Om det vore dîdsstraff pÜ
att kopiera Word skulle jag anvÑnda nÜgot annat program. Detta beteende
îkar andelen piratkopierade program i BSAs statistik, men det motsvarar
inga som helst fîrlorade intÑkter.

All den programvara BSA anser vara piratkopierad skulle nÑmligen
aldrig ha sÜlts. BSA tar inte hÑnsyn till om jag bara vill anvÑnda ett
program nÜgra enstaka gÜnger. DÑrfîr kopierar de flesta alla program
till sin lokala PC fîr enkelhets skull. Jag har ett exemplar av
redigeringens Photoshop pÜ min burk. BSA tar inte hÑnsyn till att det
Ñr betydligt lÑttare att lÜna grannens program dÜ och dÜ fîr att utfîra
nÜgon uppgift. Fick jag inte skulle jag be redigeringen, som har en
legal kopia, att utfîra uppgiften.

BSA tar inte heller hÑnsyn till om jag lÜnar ett program av en
kollega bara fîr att prova det. Kopplingen mellan en minskad pirat-
kopiering, îkade skatteintÑkter och nya arbetstillfÑllen Ñr ocksÜ rent
nonsens. Vilka skatteintÑkter skulle staten fÜ? ér det tull? Eller moms?
De 1,8 miljarder kronor Svenska staten skulle fÜ i skatteintÑkter
motsvarar en och en halv miljon sÜlda Officepaket, en orimlighet i sig.

BSA redovisar aldrig hur 8000 nya arbetstillfÑllen i Sverige skulle
skapas. Kan det vara arbete i kopieringsfabriker? Eller distribution av
Postens fîretagspaket? Om programvarufîretagen krÑver att jag ska vara
fullstÑndigt moralisk, krÑver jag att de ocksÜ ska agera moraliskt. Det
gîr dom inte. Licensavtalen Ñr groteska. Microsoft exempelvis
garanterar att programmet i allt vÑsentligt fungerar under tre mÜnader.
Fîr 5000 kronor fÜr man alltsÜ ett program som fungerar sisÜdÑr i 90
dagar.

I hjÑlpsystemet till Windows 95 stÜr det 3413 ord om piratkopiering,
men bara 153 ord om hur man kopierar en fil mellan tvÜ PC.

Microsoft visade en vinst pÜ 11,6 miljarder kronor senaste
bokslutsÜret. Fîretaget Ñr registrerat i den amerikanska delstaten
Delaware fîr att slippa betala skatt.

Det Ñr helt enkelt amatîrmÑssig girighet som styr BSAs agerande.


---------------------------------------------------------------------------
MICROSOFT JAGAR PIRATER I NORDEN 5.2 Computer Sweden, 95-11-24
---------------------------------------------------------------------------

Microsoft tar i med allt hÜrdare nypor mot piratkopierare. DÑrfîr har
Norvald Heidel pÜ Microsoft Norge utsetts till nordisk piratjÑgare. Han
ska arbeta îver hela den nordiska marknaden med att motverka och
informera pressen om piratverksamhet.


---------------------------------------------------------------------------
DAGS FôR BBS-DOM - I ELFTE TIMMEN 5.3 Datateknik, 95-11-16
---------------------------------------------------------------------------

NÑsta vecka stÜr den riksbekante BBS-piraten i Helsingborg till svars
infîr Hîgsta domstolen. Hans fall har dragits i lÜngbÑnk sedan vÜren
1992 och lagen han ska dîmas efter har bÜde hunnit Ñndras och bli
fîrÜldrad igen.

Helsingborgaren var den fîrste svenske BBS-Ñgare som spÜrades och
polisanmÑldes av den internationella piratjÑgarorganisationen Business
Software Alliance (BSA), dÜ relativt ny i Sverige. Det unika med fallet
var att Üklagaren med stîd av upphovsrÑttslagen sîkte fÜ fastslaget att
BBS-Ñgare har ett juridiskt ansvar fîr innehÜllet i sina databaser.
ètalet fîljde tvÜ huvudlinjer. Dels hade helsingborgaren redan genom
att inrÑtta sin BBS gjort sig medskyldig till den piratkopiering
anvÑndarna kunde tÑnkas utfîra nÑr de skickade in sina programfiler
till basen, sammanlagt 136 olika kommersiella datorprogram, dels hade
han tillhandahÜllit dessa kopior till 80 betalande anvÑndare, vilket
Üklagaren ansÜg stÜ i strid med lagens fîrbud mot utlÜning och
uthyrning till allmÑnheten.

Under rannsakningen i domstolarna har Üklagaren successivt tvingats
banta Ütalet. I HD omfattar det endast spridning av kopior frÜn ett
tjugotal program till cirka 40 anvÑndare. Ett brott som helsingborgaren
friades frÜn i hovrÑtten med hÑnvisning till hans ej motbevisade
invÑndning att det bara varit vÑnner och bekanta som haft tillgÜng till
programmen. Det HD nu ska prîva Ñr bland annat om dessa 40 anvÑndare
kan anses utgîra allmÑnheten vilket hÑvdas av RiksÜklagaren, som nu
îvertagit mÜlet.

MÜnga viktiga frÜgor har inte fÜtt nÜgra svar hittills i processen.
Somt har domstolarna inte tyckt sig behîva ta stÑllning till, annat har
de slingrat sig fîrbi utan nÑrmare analys.

Till exempel: Vad Ñr kopior och vad Ñr exemplar nÑr datorprogram
skyfflas in och ut ur databaser? Vad innebÑr det nÑr nÜgon utfîr
kopiering fîr sitt enskilda bruk? Vad menas med spridning,
tillhandahÜllande, uthyrning och utlÜning? Kan kopior frÜnolagliga
kopior nÜgonsin bli lagliga kopior? Kan man sÑgas ha hyrt eller lÜnat
ut nÜgonting, fastÑn man i praktiken har det kvar? éven om landets
hîgsta dîmande instans nu rÑtar ut ett antal frÜgetecken, kommer det en
smula sent.

TvÜ statliga utredningar arbetar redan med att skriva nya lagar fîr
BBSer och databaser. Nyligen hîlls hearing kring ett lagutkast som
stipulerade sÜvÑl Ñgaransvar som kontinuerlig spÜrning (loggning) av
anvÑndarna. Men protesterna blev sÜ starka att utredningen nu begÑrt
ett halvÜr extra fîr att jobba om fîrslaget.

OcksÜ hos nya datalagsutredningen stÜr BBSerna pÜ dagordningen. Ett
prejudikat frÜn HD îver vad upphovsrÑtten duger till i
programleverantîrernas envisa kamp mot olovlig kopiering fÜr med andra
ord begrÑnsad aktualitet. Det troliga Ñr dock att den kommande HD-domen
fÜr till effekt att lagstfitarna îkar takten.


---------------------------------------------------------------------------
HOT JAVA ôPPNAR BAKDôRREN TILL DIN DATOR 5.4 Datateknik, 95-11-16
---------------------------------------------------------------------------

Luckor i Hot Java, Sun Microsystems blÑddrare fîr tillÑmpningar
skrivna i programsprÜket Java, gîr Java till ett lÑmpligt verktyg fîr
vissa typer av dataintrÜng (cracking). Det skriver tvÜ forskare frÜn
Princetonuniversitetet, Drew Dean och Dan Wallach, i en rapport.

Forskarna har analyserat kÑllkoden till den aktuella testversion,
1.0a3, av Hot Java och upptÑckt flera tveksamheter. Till exempel kan
ett Javaprogram Ñndra instÑllningarna sÜ att en utomstÜende kan se (och
Ñndra i) all trafik till och frÜn anvÑndarens Hot Java-blÑddrare. I
datasÑkerhetskretsar kallas det man in the middle-attack, alltsÜ att
placera sig mellan en dator man vill hÜlla koll pÜ och omvÑrlden.

Java Ñr ett generellt programsprÜk i stil med C++ men det har
konstruerats i ett bestÑmt syfte: att skriva program som laddas ner
frÜn en dator till en annan îver Internet och exekveras i mÜldatorn.
Det Ñr inte det enda sprÜket med den egenskapen, Kaleidas ScriptX och
General Magics Telescript har den ocksÜ, men det tycks ha stîrst chans
att etablera sig som standard pÜ Internet. Bland annat dÑrfîr att
Netscape har licensierat Java och lagt in det i sin WWW-blÑddrare.

Mîjligheten att ladda ner programkod gîr att det gÜr att utveckla
betydligt intressantare tillÑmpningar med Java Ñn med HTML, som
anvÑnder textfiler. è andra sidan uppstÜr det sÑkerhetsproblem som inte
finns i HTML, och det Ñr ett par sÜdana problem som Dean och Wallach
vill sÑtta fingret pÜ.

De skiljer pÜ sÑkerhetsproblem som beror pÜ Ü ena sidan en dÜlig
implementation, Ü den andra fundamentala svagheter i sprÜket eller
blÑdderprogrammets uppbyggnad. Man in the middle-attacken ovan Ñr av den
fîrsta typen och kan relativt lÑtt fixas till; enligt rapporten Ñr den
rÑttad i den kod som Netscape har fÜtt. Detsamma gÑller ett annat fel som
tillÜter ett Javaprogram som kîrs i Hot Java 1.0a3 fîr Windows att fylla
skivminnet med data. En sÜdan attack fîrstîr visserligen inte data som
redan finns dÑr, men datorn blir obrukbar tills skivminnet rensats. Denial
of service kallas den typen av intrÜng.

En Ñnnu enklare form av denial of service Ñr att skriva ett program
som lÑgger beslag pÜ 100 procent av CPU-tiden eller tillgÑngligt minne
och tvingar anvÑndaren att starta om datorn. Inte heller det kan Hot
Java gardera sig mot.

Till kategorin fundamentala svagheter rÑknar forskarna framfîr allt
att ett Javaprogram kan ta reda pÜ relativt mycket information om den
dator det kîrs pÜ, som till exempel datorns namn och IP-adress och
under vilket namn anvÑndaren Ñr inloggad. I Unix gÜr det ocksÜ att fÜ
information om vilka program som Ñr installerade genom att lÑsa vissa
operativsystemvariabler. Visserligen fîrsîker Hot Java tÑppa till
luckan genom att dels begrÑnsa den information som ett program kan
lÑsa, dels spÑrra sÜ att det inte kan skicka den vidare till nÜgon
annan dator.

Men som Dean och Wallach visar gÜr det inte att stÑnga luckan helt
utan att samtidigt ta bort en stor del av nyttan med Java. MÜnga
Javaprogram har till exempel ett legitimt behov av att kontakta den
WWW-server de laddades ner frÜn fîr att hÑmta mer data, och dÜ kan det
samtidigt lÑcka information. LikasÜ behîver Javaprogrammerarna tillgÜng
till maskinnÑra data fîr att kunna skriva spel och andra tidsberoende
program.

Det faktum att Hot Java sjÑlvt Ñr skrivet i Java och dess interna
variabler dÑrfîr Ütkomliga frÜn sprÜket bidrar ocksÜ till osÑkerheten,
liksom att de sÑkerhetskritiska funktionerna Ñr spridda îver hela
programkoden istÑllet fîr att vara samlade pÜ ett stÑlle.

Dean och Wallach fick de fîrsta priserna, varsin t-trîja, i en
nyutlyst tÑvling,The Hack Java Promotion, som anordnas av samma
organisation som tidigare haft tÑvlingar i att knÑcka Netscape. Mer om
tÑvlingen kan man lÑsa pÜ http://www.c2.org/hackjava, och dÑr finns
ocksÜ lÑnkar till Deans och Wallachs arbete.


---------------------------------------------------------------------------
JURIST VILL GôRA OLéSLIGA BEVIS STRAFFBARA 5.5 Computer Sweden, 95-11-10
---------------------------------------------------------------------------

Dansk polis kan inte utreda ett hackerbrott, eftersom bevismaterialet
Ñr krypterat.

Den misstÑnkte vÑgrar att ge polisen nyckeln till kryptot. Detta
borde vara straffbart, anser en dansk juristprofessor, som i sÜdana
fall vill ha omvÑnd bevisbîrda.

Fîrbud mot kryptering av datakommunikation Ñr meningslîst och
ogenomfîrbart. Det skriver danska teknologirÜdet i en fÑrsk rapport.
Att lagstifta om att anvÑndarna ska deponera sina nycklar, sÜ att
polisen vid behov kan avlyssna och tolka krypterad datakommunikation
tror teknologirÜdet inte heller pÜ.

-Fîr telefoni kan man skapa ett kryptosystem som ger polisen
tillgÜng till nyckeln efter beslut om avlyssning i domstol. Men fîr data-
kommunikation och diskar bîr man inte ge myndigheterna mîjlighet till
avlyssning. TvÑrtom bîr systemen byggas upp sÜ att det ger maximal tro-
vÑrdighet, heter det i teknologirÜdet rapport.

RÜdet tar ocksÜ upp ett fîrslag frÜn juristprofessorn Mads Bryde
Andersens. Han vill ge domstolarna rÑtt att dîma en misstÑnkt som
vÑgrar att lÑmna ut nyckeln till krypterat material, och dÑrmed
omîjliggîr utredning. Detta innebÑr i praktiken omvÑnd bevisbîrda,
alltsÜ att den misstÑnkte mÜste bevisa sin oskuld. Detta, anser
teknologirÜdet, Ñr ofîrenligt med dansk rÑttstradition.

Mads Bryde Andersen hÑvdar att detta Ñr enda sÑttet att utreda sÜdana
brott. Att knÑcka meddelanden som krypterats med datorbaserade metoder
krÑver superdatorer.

"Macronite", en dansk hackare som greps av polisen i Frederikshavn
i vÜras, Ñr ett pÜtagligt exempel. Strax innan han greps krypterade han
sina hÜrddiskar, och han vÑgrar att avslîja krypteringsnyckeln.
Kriminalinspektîr Carl Johan Andersen undrar om kostnaden skulle stÜ i
proportion till nyttan fîr utredningen om polisen i Frederikshavn
tillgrep den enda utvÑgen, dekryptering med superdatorer.

__________________________________________________________________
Kommentar: Vi har precis hîrt rykten om att ovanstÜende "incident"
har satt igÜng krafter inom vÜrt eget land, som nu
arbetar fîr ett lagfîrslag som ska gîra det straffbart
att inte lÑmna ut sin krypteringsnyckel om rÑtts-
vÑsendet krÑver sÜ. Vi Üterkommer i Ñrendet, var sÜ
sÑker!


---------------------------------------------------------------------------
DEN TYPISKE IT-BROTTSLINGEN FINNS INTE 5.6 Datateknik, 95-11-02
---------------------------------------------------------------------------

Leverantîrer av IT-sÑkerhet som lejer Leif GW Persson till att prata
fîr varan riskerar att binda ris Üt hela affÑrsid`n. Redan GWs
îppningsreplik sÑnker det mesta av alla noga utmejslade sÑljargument
fîr samlade sÑkerhetstrategier.

-Den typiske IT-brottslingen finns inte! ICLs seminarium fîrra
veckan om ett nytt behîrighetssystem kunde dÑrfîr lika gÑrna ha blivit en
bumerang. Hur ska man skydda sig, nÑr inga tydliga hot finns? -Med
annan brottslighet Ñr det tvÑrtom. Majoriteten vanliga brott begÜs av
en ytterst liten del av den manliga befolkningen. Den Ñr dessutom
utseendemÑssigt mycket vÑl definierad. -Vid grova vÜldsbrott Ñr
sambanden Ñnnu starkare mellan den faktiska gÑrningsmannen och den man
fîrvÑntar sig. Som till exempel typfallet helt vanlig kvinna funnen
mîrdad i skogsdunge. -I nio fall av tio Ñr mîrdaren hennes nÑrmaste
manlige bekant! -Det typiska nÑr mîrdaren kÑnner sitt offer Ñr nÑmligen
att han gîmmer kroppen fîr att hinna samla sig fîre det oundvikliga
besîket av polisen.

SÜ enkla samband har kriminologerna inte hittat fîr IT-
-brottslingar. De senast publicerade siffrorna îver svensk
datakriminalitet Ñr en kort tabell i en doktorsavhandling fîrra Üret.
Systemvetaren Stewart Kowalskis fann att Üren 1987 till 1989
rapporterades 47 databrott. Uppdelade efter tillvÑgagÜngssÑtt hade
datorn/datorprogrammet varit brottsverktyg i 19 fall och angreppsobjekt
i 2 fall, det handlade om piratkopiering eller programÑndringar i 14
fall samt dataintrÜng i resterande12 fall.

En sannolikt representativ statistik, gissar GW Persson. I sin egen
forskargÑrning som professor i kriminologi vid polishîgskolan har GW
hittat fyra personlighetstyper som begÜr IT-relaterade brott

Hackern attackerar sjÑlva datorsystemen, som regel bara fîr att fÜ
access. Spionen letar efter information. Bedragaren Ñr ute efter pengar
och Bror Duktig frÑmst efter Ñra och berîmmelse. Men enligt GW Persson
ÑndÜ rÑtt alldagliga personer. Spionen luskar i kundregister och
offerter, men Ñr ibland en annars ofîrvitlig polisman som bara fÜtt fîr
sig att kolla upp vÑnner och bekanta i polisregistret. Bedragaren Ñr
som oftast en fîrskingrande bankkamrer. Och en riktig Bror Duktig
avslîjade sig fîr vÑrlden i optionsmÑklaren Nick Leeson nÑr han blÜste
brittiska Barings Bank pÜ 14 miljarder kronor.

Av presumtiva terrorister i datasystemen Ñr hackern den som skÑllts
som farligast. Men bland GWs fîrbrytartyper Ñr han en rÑtt sÑllsynt
huvudperson. TvÑrtom, i IT-sammanhang fÜr kriminalgÜtorna ofta sin
upplîsning enligt samma mall som hos Agatha Christie. -I sÑrklass
vanligast nÑr fîretag rÜkat ut fîr IT-brott Ñr att gÑrningsmannen finns
bland personalen. Vilket avsevÑrt fîrsvÜrar kontrollen, tillÑgger GW
med adress till alla systemadministratîrer som ofta hÑvdar att svaret
ligger i bÑttre îvervakningsteknik.

-Ofta ligger lojalitetskonflikter med arbetsgivaren bakom, eller
ekonomiska och andra privata problem.

Arbetsgivaren kanske har Ülagt sina anstÑllda en tystnadsplikt som
de pÜ grund av personliga egenskaper inte kan leva upp till.
-KÑnnetecknande fîr mycket kreativa personer Ñr att de Ñr îppna och
gillar att berÑtta om sina jobb.

Vilket med îdets ironi enligt GW kan ge helt oînskade resultat.

-En lÑkemedelsjÑtte som tystar sina anstÑllda med hÜrda
tystnadsplikter riskerar att slÜ ihjÑl kreativiteten. Enligt GW Ñr enda
motÜtgÑrden kontinuerlig personalkontroll, med bîrjan redan vid rekryteringen.
-Mîter man sin kamrer pÜ Solvalla Ñr det ett varningstecken man bîr ta
pÜ allvar.

Till och med sÑkerhetschefen sjÑlv kan vara boven. -BÑsta
sÑkerhetschefen Ñr en medelÜlders kvinna som slutat med uteliv och
hÜller sig med relativt begrÑnsat umgÑnge, lyder GWs rekommendation.
-SÜ ser det knappast ut idag. Det normala ute pÜ fîretagen Ñr den
sÑkerhetsanvarige har mer muskler Ñn genomsnittet, och dessutom ett
militÑrt fîrflutet. -Och det, vet man ju, Ñr en sort som ofta rÜkar i
trubbel.


---------------------------------------------------------------------------
BEFARAD TERRORVèG MED ELEKTRONISKA VAPEN 5.7 Computer Sweden, 95-10-20
---------------------------------------------------------------------------

De flesta fîretag har idag tillgÜng till de senaste
sÑkerhetsprogrammen: virusprogram, datakryptering och brandvÑggar i
Internet.

Men hur skyddar de sig mot HERF-kanoner och EMPT-bomber? Det Ñr
namnet pÜ tvÜ av de senaste elektromagnetiska vapnen som nu diskuteras
flitigt bland sÑkerhetsansvariga.

HERF-kanoner (High Energy Radio Frequency) och EMPT-bomber
(Electromagnetic Pulse Transformer) Ñr vapen dÑr elektromagnetisk
strÜlning riktas mot ett mÜl - samma id` som mikrovÜgsugnen. De finns
med pÜ en lista îver de senaste hoten mot datasÑkerhet som diskuterades
pÜ en konferens om informationsstîlder (Information Warfare) i Montreal
nyligen.

De flesta systemansvariga bryr sig inte sÜ mycket om den îkade
mÑngden elektromagnetiska vapen. De tror inte att datorerna och
kommunikationssystemen Ñr hotade av illvilliga infoterrorister med
vapen som skulle kunna komma frÜn StjÑrnornas krig. Men
sÑkerhetsexperterna menar att det inte kommer att drîja lÑnge innan
nÜgon missnîjd anstÑlld, utpressare eller terrorist riktar vapnet mot
datorn och fîrvandlar viktig information till digital soppa. - BÜde
tekniken och kunnandet finns redan. Vad man dÑremot inte har tÑnkt pÜ
Ñr att dessa vapen kan anvÑndas fîr en massiv attack, sÑger Winn
Schwartu som arbetar som datasÑkerhetskonsult.

Paul Strassman, fîre detta informationschef pÜ USAs
fîrsvarshîgkvarter Pentagon och numera fîrelÑsare om informationskrig,
menar att de flesta fîretag inte alls Ñr beredda pÜ den hÑr sortens
attacker. - De potentiella inkrÑktarna Ñr mycket mer kunniga Ñn de som
bîr skydda sig. Ett litet antal infoterrorister kan utmanîvrera
pÜkostade skydd helt och hÜllet, menar han.

I USA finns flera topphemliga elektroniska vapen och dessa anvÑndes
med fîrîdande resultat i kriget mot Irak. TyvÑrr verkar det, enligt
experterna, varken behîvas vetenskapsmÑn eller miljoner fîr att bygga
otrevliga elektroniska vapen.

Elektroniska vapen Ñr inte heller det enda hotet mot fîretagen.
Undergroundtidningar och databaser Ñr fyllda med annonser fîr andra
typer av vapen och verktyg, till exempel virusbibliotek, elektroniska
lÜdor fîr att lura telefonsystemet, lîsenordsspÜrare, spionutrustning
och goda rÜd till den blivande infoterroristen. - Utrustning fîr
infoterrorister Ñr snart en jÑttemarknad och det Ñr otÑcka saker du kan
kîpa. Du kan Ñven hyra hackers om du vill fÜ saker utfîrda, sÑger
Strassman.

Schwartu har i sin bok "Information Warfare - Chaos on the
Information Superhighway" beskrivit de olika verktygen och hur de
anvÑnds. Konferensdeltagarna hade delade meningar om hur allvarligt man
ska ta hotet om informationsstîlder. - SÑkerhetsÜtgÑrderna i den egna
dataavdelningen har stîrt dataflîdet genom att stîrningar sÑnts ut,
sÑger John Pastore, chef vid ett amerikanskt finansfîretag. Det Ñr
liten risk att nÜgot hÑnder, men det kostar stora pengar att skydda
sig.

Om exempelvis kreditkortsbetalningarna pÜ hans fîretag gick ned en
dag, skulle fîretaget aldrig kunna ÜterhÑmta sig. - Man mÜste ta
elektroniska vapen pÜ allvar, sÑger Pastore. De flesta deltagarna var
dock skeptiska. - Det verkar inte gÑlla oss. Jag oroar mig mer fîr
stîld av fîretagshemligheter, sÑger en deltagare. - Ja, vi har pratat
om det, men det kommer inte upp pÜ varje styrelsemîte precis, menar en
annan.

MÜnga fîretag ser cyberspace som en elektronisk guldgruva dÑr man kan
vara anonym och enkelt gîra saker och fÜ lîn fîr mîdan. Hotet kommer
inte frÜn hackers. Vissa fîretag kommer inte kunna lÜta bli att kîra om
sina konkurrenter genom att skada deras informationssystem. -
Industrispionaget har îkat ordentligt sedan det kalla kriget tog slut,
menar Alan Pickering frÜn det kanadensiska fîrsvaret. Varfîr kîpa nÜgot
nÑr du kan stjÑla det? FBI kÑnner till 57 lÑnder som har konstruerat
program fîr att spionera pÜ fîretagen i Silicon Valley.


---------------------------------------------------------------------------
SUPERFORMATTERING BLEV FôR DYRT FôR 16-èRINGEN 5.8 Datateknik, 95-10-19
---------------------------------------------------------------------------

-1500 kronor! DÜ fÜr ni hellre ta hÜrddiskarna. Den 16-Ürige yngling
som gjort sig skyldig till upprepade dataintrÜng i Uppsala universitets
datanÑt blev av med sina tvÜ skivminnen, trots advokatens fîrsîk i
sista stund att rÑdda dem undan fîrverkande.

Superformattering anvÑndes av Uppsalapolisen i samband med
TeliarÑttegÜngen i vÜras. Huvudmannen i det unga hackergÑng som dîmdes
fîr att ha fîrfalskat Telias telefonkort erbjîds att istÑllet fîr
konfiskation av beslagtagna skivminnen fÜ den brottsliga informationen
pÜ dem permanent raderad. -Men det blev vÑldigt dyrt fîr oss,
konstaterar Rikspolisstyrelsens datatekniske expert Stefan Kronqvist.
Notan gick lîs pÜ 11000 kronor, mycket beroende pÜ att RPS mÜste
komplettera sin datautrustning fîr att klara uppgiften.

Kostnader som polisen fick stÜ fîr.

NÑr 16-Üringens advokat vid huvudfîrhandlingen fîr halvannan mÜnad
sedan begÑrde samma behandling fîr sin klients del, uppstod frÜgan vem
som skulle betala? MÜlets avgîrande skîts fram nÜgra veckor fîr att
parterna skulle utreda saken, men nu har domen fallit.

16-Üringen dîms till 70 dagsbîter î 30 kronor (totalt 2100 kr) fîr
att han via lÜnade anvÑndaridentiteter tog sig in pÜ universitetets
datanÑt vid ett stort antal tillfÑllen. Hans enda syfte var att fÜ
gratis tillgÜng till Internet och det kostade inte universitetet ett
enda îre.

De tvÜ skivminnena med program, lîsenord mm frÜn universitetsnÑtet
fîrklarades dock fîrverkande. -Vi skulle fÜ betala 1500 kronor fîr
radering av diskarna och det tyckte vi inte det var vÑrt, fîrklarar
advokat Leif Ericksson.

Betalningen avsÜg konsultarvode till ett privatfîretag som
kriminaltekniska anstalten i Linkîping (SKL) fîrut anlitat i liknande
fall. Ett fîretag som ironiskt nog finns i Uppsala. SKL anser sig inte
kompetent att sjÑlv utfîra raderingen, som gÜr under benÑmningen
superformattering. Exakt hur denna gÜr till Ñr polisen fîrtegen om. Man
fruktar att fîr mÜnga detaljer kan kan ge vinkar om hur den raderade
informationen kan ÜteruppvÑckas.

Principen Ñr dock att man fyller skivminnet med nonsensinformation
och formatterar om den, i flera omgÜngar. -Metoden Ñr absolut sÑker,
hÑvdar Stefan Kronqvist till fîrsvar mot den kritik som fîrekommit om
att datakunniga bovar ÑndÜ lyckats plocka upp sina gamla filer frÜn de
omformatterade minnena.

Alternativet till omformattering Ñr att skivminnen fîrverkas/
konfiskeras av staten, vilket i mÜnga fall betyder att de blir liggande
i nÜgon kÑllare hos polisen. Regelboken sÑger att de ska fîrstîras, men
det Ñr sÑllan sÜ sker om inte det inte rîr ytterst kÑnsliga data.

I framtiden blir det alltsÜ kostsamt fîr databrottslingar att begÑra
radering och ÜterlÑmnande av skivminnen som ingÜtt i brottsrekvisitan.
I vissa fall kan de ÑndÜ komma att dîmas att betala fîr en
superformattering, nÑmligen nÑr stulen datorutrustning ska ÜterlÑmnas
till rÑttmÑtig Ñgare. RPS ser det som en allvarlig sÑkerhetsrisk att
polisen inte sjÑlv utfîr omformatteringen. KÑnsliga uppgifter frÜn
skivminnena kan gÜ tillbaka till bovarna via lÑckor i de anlitade
konsultfîretagen.


---------------------------------------------------------------------------
FôRBJUD KREDITKORTSKôP PER TELEFON 5.9 TT-Telegram, 95-10-03
---------------------------------------------------------------------------

Nu vill lÑnspolismÑstaren i Malmî Hans Wranghult fîrbjuda
kreditkortskîp per telefon.

Anledningen Ñr att det lÑttillgÑngligt pÜ datanÑtet Internet finns
uppgifter som gîr det mîjligt att utfîra avancerade
kontokortsbedrÑgerier.

Den som har ett rymligt samvete och Ñr datakunnig kan med ett falskt
kontokortsnummer kîpa varor i till exempel TV-shop eller pÜ postorder,
rapporterar Sveriges Radios Ekoredaktion. - Genom att fîrbjuda inkîp
per telefon eller postorder dÑr man anger att debiteringen fÜr belasta
ett visst angivet kreditkortsnummer fîrhindrar man ocksÜ mîjligheten
att begÜ brotten enligt modellen som Internetprogrammet
tillhandahÜller, anser Hans Wranghult, som Ñr medlem i en grupp inom
Interpol som arbetar med att fîrhindra databrottslighet.

Mats Andersson pÜ rikskriminalens underrÑttelsetjÑnst har studerat
den hÑr typen av brottslighet. - PÜ Internet finns det uppgifter om hur
man kan generera nummer pÜ kontokort, sÑger Mats Andersson,
rikskriminalens underrÑttelsetjÑnst, till TT. - Vi Ñr îvertygade om att
det hÑr ingÜr i ett internationellt sÑtt att arbeta bland brottslingar.
Exakt samma typ av brottslighet har dykt upp i flera europeiska lÑnder,
Ñven Sydafrika och pÜ andra stÑllen runt om i vÑrlden. Mats Andersson
sÑger att det inte Ñr olagligt att sprida den hÑr sortens information,
inte med nuvarande lagstiftning. Han berÑttar ocksÜ att
kontokortsfîretagen arbetar hÜrt fîr att ligga ett steg fîre
databrottslingarna.

Bakgrunden till den hÑr typen av brottslighet finns i USA. DÑr
knÑckte ett gÑng datahackers koden till kontokortsfîretagen
nummerserier. Sedan lade de in informationen pÜ Internet. Det finns
ocksÜ brottslingar som gÜr steget lÑngre och fabricerar egna kontokort.
Med kunskap om hur kontokortens serier Ñr uppbyggda kan de fîrse korten
med "rÑtt" nummer.

En internationell liga som specialiserats sig pÜ den hÑr sortens
bedrÑgerier greps i bîrjan av hîsten i Stockholm. Vill det sig riktigt illa
finns redan numret och uttagen belastar en ovetande kontokortsinnehavare.
Men dÜ har bankerna gÜtt in och tÑckt fîrlusterna, enligt Mats Andersson.
Behîver den som har ett bankomatkort eller ett Minutenkort vara orolig?
Ingen har hittills klarat av att fiffla pÜ det hÑr viset med dessa bankkort,
enligt vad Mats Andersson kÑnner till. è andra sidan gÜr tekniken framÜt
och de datakunniga brottslingarna blir mer och mer avancerade, pÜpekar han.


---------------------------------------------------------------------------
HACKERS KNéCKTE FRANSKA FôRSVARSHEMLIGHETER 5.10 TT-Telegram, 95-09-20
---------------------------------------------------------------------------

Datorhackers har tagit sig in i den franska marinens datorsystem och
fÜtt tillgÜng till franska och allierade fîrsvarshemligheter, skriver
den satiriska franska tidningen Le Canard Enchain` pÜ onsdagen.

Tidningen, var namn betyder den fjÑttrade ankan, specialiserar sig
pÜ undersîkande journalistik. Den uppger att intrÜnget gjort
amerikanska och brittiska militÑrer fullstÑndigt rasande.
DatorknÑckarna gjorde sitt intrÜng i juli och lyckade dÜ plocka Üt sig
sÜ kallade akustiska profiler pÜ hundratals franska och allierade
îrlogsfartyg. Profilerna utgîrs av den fîr varje enskilt fartyg
karaktÑristiska ljudbild som hîrs under vatten och som anvÑnds av
ubÜtar fîr att skilja vÑn och fiende Üt. President Jacques Chirac
uppges ha givit order om en stîrre utredning av saken. Det franska
fîrsvaret vill inte kommentera historien men fîrsvarsminister Charles
Millons kansli bekrÑftar den.

Misstankarna riktas nu mot Ryssland. Men en del franska militÑrer
misstÑnker att det i sjÑlva verket Ñr amerikansk militÑr som gjort
intrÜnget fîr att prîva de franska kollegernas datorsÑkerhet.


---------------------------------------------------------------------------
RYSK HACKER STAL MILJONER 5.11 Computer Sweden, 95-08-25
---------------------------------------------------------------------------

En 24-Ürig rysk matematiker stÜr Ütalad fîr att ha brutit sig in i
Citibank New Yorks sÑkerhetssystem pÜ Wall Street och flyttat
bankkunders pengar till sitt eget konto. 2,8 miljoner dollar (20
miljoner kronor) lyckades hackern komma îver.

RÑttegÜngen sker i London, men Citibank vill fÜ mannen utlÑmnad till
USA. SjÑlva brottet begicks frÜn mannens kontor i St Petersburg fîr ett
Ür sedan. Flera amerikanska storbanken har sedan dess diskuterat hur
sÑkerheten i systemen ska kunna bli bÑttre.


__ _ _ ___ ___
___ ( _| U | ) = __________________________________________________________
6.0 ___)___)_)_\_|

Den hÑr listan Ñr mest fîr den mindre erfarna surfaren, eftersom den inte
innehÜller nÜgra revolutionerande hemligheter. Den som redan scannat webben
har sÑkert redan hittat dessa sidor. Min fîrsta tanke var att dumpa alla mina
bokmÑrken, men jag mÑrkte att det rÑcker med att lista ett urval, eftersom de
innehÜller lÑnkar till alla andra sidor.


LÑnkar ___
------ 6.1
http://www.df.lth.se/~triad/Triad_Home.html
http://pacificnet.net/~captnate/
http://www.spatz.com/pecos/hack.html
http://www.defcon.org/
http://w3.gti.net/mod/
http://www.l0pht.com/
http://www.multiple.org/
http://www.2600.com/
http://www.fc.net/phrack.html
http://underground.org/
http://www.paranoia.com/~coldfire/


Utils ___
----- 6.2
http://www.first.org/tools/tools.htm
http://wildsau.idv.uni-linz.ac.at/~klon/underground/underground.html


HÜrdvara ___
-------- 6.3
http://www.spystuff.com/
http://www.2020tech.com/maildrop/

<EOF>

next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT