Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday 17 September 2013

2013.09.17 - Nyhetsbrev

Belgacom hacket og NSA mistenkes av mange å stå bak. For lange passord kan bli en svakhet. Hull hos XXL.no muliggjorde spørringer mot folkeregisteret.

Belgacom hacket og NSA mistenkes av mange å stå bak

Belgias største mobiloperatør har anmeldt en "ukjent tredjepart" som har hacket inn i flere av systemene deres og tatt kontroll over disse. Belgacom har ikke offisielt sagt hvem denne tredjeparten kan være, men andre kilder mener det er NSA eller GCHQ fra Storbritannia. Angriperne skal ha kommet seg unna med store mengder data fra anropslogger.
Referanser
http://gigaom.com/2013/09/16/belgian-telco-says-it-was-hacked-while-reports-point-to-nsa-or-gchq-as-culprit/

For lange passord kan bli en svakhet

Algoritmen PBKDF2 brukes til å transformere et passord til et kryptografisk hash for lagring av passord i databasen, men den samme opperasjonen må også gjøres for testing av passord gitt av brukeren. Siden PBKDF2 ikke setter noen grense for passordlengde, åpner dette for en type DoS-angrep der en angriper kan okkupere en servers resurser ved å skrive inn lange passord som angriperen vet ikke vil bli godkjent. Problemet utbedres ved å sette en øvre grense for hvor langt et passord kan være.
Referanser
http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Hull hos XXL.no blottla folkeregisteret

Digi.no rapporterer om et nå fikset hull hos sportskjeden XXL.no som gjorde det mulig å hente ut fornavn, etternavn, bostedsadresse, postnummer og poststed om man hadde fødselsnummeret. Det hele fungerte ved at du gikk til en bestemt URL med et parameter som tok et siffer på 11 tall (fødselsnummer) og ut ifra det fikk du informasjonen, om fødselsnummeret eksisterte.

Dette kunne veldig lett blitt gjort automatisk og noen kunne ha tatt seg muligheten til å hente ut masse informasjon.
Referanser
http://www.digi.no/922764/blottla-folkeregistreret

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>