Via CERT-SE hittar vi följande bra inlägg om vikten av att skydda sina kontouppgifter.

Graham Cluley skriver att det är viktigt att skydda kontouppgifter och använda stark autentisering (om möjligt) till sociala mediewebbplatser, som till exempel Facebook och Twitter.

Just a username/password combination isn’t enough when a social media account is an important part of your business or public image.

Det gäller i allra högsta grad myndigheter och företag som använder sig av sociala medier för att kommunicera med medborgare. Man bör noga utvärdera eventuella risker med att använda kommunikationsplattformar som saknar möjlighet till stark autentisering och där man kan få problem med att mitigera effekterna om inloggningsuppgifter skulle hamna på avvägar.

Artikeln som CERT-SE rekommenderar finns att läsa här: http://nakedsecurity.sophos.com/2012/04/16/hyatt-acai-berry/ och vi har även skrivit om Facebook och dess tvåfaktorsautentisering här.

Följ oss på Twitter: http://twitter.com/kryptera

Vi har nu bytt utseende här på Kryptera.se, det är Blaskan från Per Sandström som står för utseendet.

Se mer på http://www.permalink.se

Psst! Du glömmer väl inte att följa oss på Twitter där vi uppdaterar med nyheter om kryptering och IT-säkerhet.

Följ oss på Twitter: http://twitter.com/kryptera

Den sociala mediersajten Twitter har nu sett till att https-kryptering används som standard för samtliga användare. Detta är en bra riktning och för att citera Olle E. Johansson från Twitter:

@kryptera @pawal When do we get #ipv6 on #twitter – after HTTPS we need dnssec and IPv6.

— Olle E. Johansson (@oej) February 14, 2012

Så får vi hoppas att Twitter inför DNSSEC och IPv6.
Källa: Twitter

Följ oss på Twitter: http://twitter.com/kryptera

Du missar väl inte att vi även finns på Twitter? Där får du krypto och IT-säkerhetsrelaterade nyheter mellan uppdateringarna här på bloggen.

Klicka på bilden för att komma till vår Twitter-profil:

Följ oss på Twitter: http://twitter.com/kryptera

Den populära mikroblogg-tjänsten Twitter börjar successivt med att slå på https för samtliga avändare. Vi rapporterade i Mars att Twitter slagit på https och valet att nu gå över helt till https beror troligtvis på attacker såsom Firesheep.

Källa:

Du kan även titta på supportsidan: support.twitter.com/articles/481955-how-to-enable-https

Följ oss på Twitter: http://twitter.com/kryptera

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Uppdatering: Nu har även IDG skrivit om denna nyhet.

Följ oss på Twitter: http://twitter.com/kryptera

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta:

• TKJ
• Jardenberg

Följ oss på Twitter: http://twitter.com/kryptera

Det har uppdagats en ny typ av fjärrmässiga tidsattacker (exploiting remote timing attacks). Det var under konferensen BlackHat som gick av staplen för några dagar sedan i Las Vegas där kryptogurun Nate Lawson visade hur det är möjligt att lista ut huruvida den första byten i en HMAC-sträng är korrekt eller ej. Denna typ av attack påverkar exempelvis oAuth eller OpenID och används av flertalet stora webbtjänster såsom Twitter.

Det är inte första gången som tidsattacker utnyttjas fjärrmässigt i kryptoimplementeringar, utan detta har påvisats ett antal gånger historiskt.

Läs mer på Nate:s blogg eller ComputerWorld.

Följ oss på Twitter: http://twitter.com/kryptera

Kryptera.se finns nu även på Twitter, följ oss gärna där: http://twitter.com/kryptera

Följ oss på Twitter: http://twitter.com/kryptera

PHP-säkerhetsgurun Stefan Esser skriver ett inlägg på Twitter. Detta är nog inte helt ovanligt kan tänkas

Följ oss på Twitter: http://twitter.com/kryptera