Megaläcka av patientdata i 52 länder – röntgenbilder på helt öppna servrar

En stor skandal som rör it inom vården rullas just nu upp i framför allt USA och Tyskland. Skandalen har vissa likheter med 1177-fallet som Computer Sweden avslöjade i vintras, men i det nya fallet gäller det inte samtal utan bilder från röntgenundersökningar och mri- och ct-skanningar. Likheten med 1177-fallet ligger i att bilderna i många fall har legat helt öppna på olika servrar, eller skyddats med ett minimum av säkerhet, samt att läckan drabbar miljontals patienter.
Fallet i USA och Tyskland, men även i många andra delar av världen, rör sig kring så kallade pacs-servrar, där pacs står för picture archiving and communication systems. Pacs-servrar tar emot och lagrar bilder och andra patientdata kring bilderna, men öppnar även för att dela informationen mellan läkare, vårdenheter och sjukhus.
Pacs låter läkare och andra specialister kan dela information och göra olika typer av medicinska bedömningar på distans, till exempel kan en husläkare från sin klinik se bildinformation som tagits på ett sjukhus.
De läckande pacs-systemen upptäcktes först av Dirk Schrader på det tyska it-säkerhetsföretaget Greenbone Networks. Schrader upptäckte läckor i 52 olika länder runt om i världen, bland dessa tre sjukhus och cirka 30 öppna pacs-servrar i Tyskland och 187 pacs-servrar i USA. Inga pacs-servrar i Sverige verkar ingå i läckan.
Schrader delade sin upptäckt med Bayerischer Rundfunk och ProPublica. ProPublicas avslöjande visar att 13,7 miljoner medicinska bilder varit öppet tillgängliga att titta på online, varav över 400 000 bilder har kunnat laddas ned av obehöriga. Allt som allt har man funnit över 16 miljoner bilder världen över, inklusive personuppgifter som namn, födelsedatum och i förekommande fall personnummer. De organisationer vars Pacs-servrar stått öppna riskerar brott mot den amerikanska lagen Health Insurance Portability and Accountability Act, HIPAA.
Forskare har varnat för svag säkerhet i åratal
Att pacs-system utgör en risk är ingen nyhet för vårdsektorn. I åratal har Oleg Pianykh, chef för medicinsk analys på radiologen på Massachusetts General Hospital, varnat för att denna typ av läckor kan inträffa.
Dirk Schrader.
2016 publicerade Pianykh en vetenskaplig rapport i en medicinsk tidskrift där han menar att pacs-system har kodats med antagandet att säkerheten för systemet ligger på it-säkerhetssystemen under pacs-servern. När sedan pacs-systemen genom åren kopplats upp mot internet har säkerheten hamnat i händerna på it-säkerhetspersonal som i sin tur gjort antagandet att säkerheten hanteras i pacs-servern. I sin rapport 2016 redogjorde Pianykh för 2 700 osäkra pacs-servrar i USA.
En bild av hur gamla de berörda systemen kan vara kommer från den standard, kallad dicom, som radiologer och leverantörer av bildsystem inom vården etablerade för att standardisera hur utrustningarna ska kommunicera sinsemellan och hur de ska dela information. Detta standard skapades 1985.
Är svenska pacs-system säkra?
Den svenska marknaden för pacs-system domineras av svenska Sectra AB som har en marknadsandel på cirka 70 procent, och även en marknadsandel på cirka fem procent i USA. Det finns ytterligare tre aktörer i Sverige och den sammanlagda installationsbasen i Sverige är cirka 100 pacs-system, varav nästan alla ägs och drivs av landstingen. I Sverige används pacs-systemen utöver röntgen- och mri-bilder, även inom patologin.
Torbjörn Kronander, koncernchef och vd på Sectra AB, säger till Techworld att de inte drabbats av läckorna, varken i USA eller någon annanstans.
– Dessa system kan vara gamla, de utvecklades på 1990-talet och vi gjorde vår första installation 1993. Då tänkte ingen på säkerhet och det hände att man skrev lösenorden på en tavla. Vi har sett hoten mot pacs-systemen komma, men vi har använt vår kunskap från vår försvarsverksamhet för att säkra våra pacs-system, säger Torbjörn Kronander.
– Vad jag vet har läckor från pacs-system aldrig hänt i Sverige. Vi har råkat ut för ett fall av ransomware (gisslanattacker) i USA, och vi var med under ransomware-attacken mot sjukvården i Storbritannien, men inget av dessa berodde på våra system utan på de underliggande operativsystemen.
Skulle det som hände i USA kunna hända i Sverige?
– Det kan hända; de som säger att de har 100 procent säkerhet ljuger, men risken är mycket lägre i Sverige. Vi var tidigt ute med säkerhet inom vården i Sverige och medvetandet är högt, men de ligger tyvärr efter med detta i USA, säger Torbjörn Kronander.
Läs också:Mätvärden direkt i mobilen sparar tusentals timmar för vården2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet Läs mer…

Linkedin ligger nere i stora delar av Europa

För närvarande ligger LinkedIns tjänster nere. På linkedin.com får besökaren ett felmeddelande och linkedin.se ser ut att ha ett fel med certifikatet, osäkert vilken typ av fel.
Att döma av kartan på downdetector.com verkar större delen av Europa ligga nere, och rapporterna ökade från en till 37 på kort tid efter klockan 13 svensk tid.
TechWorld fortsätter att undersöka avbrottet.
Läs också:Krav i USA: Google måste avslöja alla som laddat ned vapen-appDomstol: Dataskrapning av profiler på Linkedin tillåtet Läs mer…

Telekomintrånget växer – Tele2 andra operatören som drabbats

Som Computer Sweden kunde berätta i fredags har teleoperatören Telenor drabbats av ett intrång med följden att över 30 000 kunduppgifter hamnat i orätta händer. Kunduppgifterna har hamnat hos oseriösa säljbolag som riktat in sig på att värva kunder till konkurrenten Tre.
Kunduppgifterna hamnade hos säljbolaget i vintras efter att legitima konton till säljstödssystemet utnyttjats av obehöriga. Dessa konton används normalt av återförsäljare och andra partner, men på något sätt har dessa konton hamnat i orätta händer. Exakt hur det har kunnat ske har hittills inte framkommit.
Enligt nya uppgifter till Computer Sweden har någon utvecklat en bot som utfört automatiserade slagningar i Telenors kunddatabas Score. Vem som utvecklat botten framgår inte, men på något sätt har resultatet av bottens slagningar i Telenors databas hamnat i händerna på företaget Operatörspartner, som enligt Telenor försett säljbolaget Abonnera med kunduppgifterna.
Mikko Viitala, presschef på Telenor, kan varken bekräfta eller dementera förekomsten av bottar utan hänvisar till den pågående utredningen.
– Det finns en hypotes vi arbetar efter men vi kan i det här skedet inte uttala oss närmare då utredning pågår, säger Miiko Viitala.
Frekvensen i slagningarna mot Score tyder på att det sannolikt rör sig om en bot. Slagningarna var så frekventa att Telenors varningssystem reagerade. Enligt Computer Swedens uppgifter har Telenor efter incidenten implementerat tvåfaktorsautentisering för att säkra upp tillgången till säljstödssystemet. Det är en naturlig metod för att skydda sig mot botar.
Även operatören Tele2 har drabbats
Computer Sweden kan nu berätta att även operatören Tele2 har drabbats av samma typ av intrång i säljstödssystemet som Telenor. Det intrånget ska ha börjat den 2 januari i år, alltså till och med tidigare än i fallet Telenor, och upptäcktes förra veckan. Också här har drabbade kunder kontaktats av telefonförsäljare.
I en incidentanmälan till PTS skriver Tele2 att ”två unika och personliga användarkonton till vårt säljsystem, och som har tilldelats medarbetare på ett återförsäljarföretag, har använts för onormalt många uppslag i systemet från årsskiftet”.
Tele2 skriver vidare i sin anmälan att de har kunnat konstatera att de som utnyttjat systemet har gjort så från ip-adresser som inte tillhör det återförsäljarföretag som de två kontona var avsedda för. Tele2 skriver att ”de som har tilldelats konton i systemet har inte hanterat sina kontouppgifter på korrekt sätt vilket möjliggjort att de kunnat nyttjas av obehörig. De aktuella kontona har stängts av och samarbetet med aktuell återförsäljarbutik har sagts upp”.
Joel Ibson.
Hur många Tele2-kunder som drabbats har maskerats av PTS, likaså hur många främmande ip-adresser det rör sig om. Men Joel Ibson, presschef på Tele2, bekräftar för Computer Sweden att det rör sig om runt 2 800 kunder.
Enligt Joel Ibson är det samma säljbolag som kontaktat Tele2:s kunder som kontaktat Telenors: Abonnera Sverige AB.
– Ett fåtal kunder har berättat att de blivit kontaktade av Abonnera. Allt tyder på att slagningarna har gjorts som underlag för telefonförsäljning av konkurrerande mobilabonnemang, säger Joel Ibson.
I Tele2:s fall verkar det röra sig om manuella slagningar i databasen. Trots det vidtar företaget liknande åtgärder som Telenor för att säkra kontona.
– Vi vidtar åtgärder för att det inte ska hända igen. Vi tittar även på att införa individuella konton kopplade till Bank-id, säger Joel Ibson.
Läs också:Hackade kunddata från Telenor användes för att rekrytera kunder till TreCom Hem skickar okrypterade mejl till kunder med lösenord i klartext Läs mer…

Hackade kunddata från Telenor användes för att rekrytera kunder till Tre

Det var i fredags som det framkom att teleoperatören Telenor utsatts för ett dataintrång i ett säljstödsystem, med resultatet att abonnemangs- och personuppgifter om 32 087 kunder läckt ut. Nu kan Computer Sweden berätta att uppgifterna kommit i händerna på ett telemarketingföretag som använt dem för att rekrytera kunderna till konkurrenten Tre.
Dataintrånget hos Telenor berodde enligt en källa med insyn i ärendet, på att ett lösenord kommit i orätta händer.
Exakt på vilket sätt lösenordet kommit ut, exempelvis genom nätfiske, är något som Telenor fortfarande utreder. Telenor kunde upptäcka intrånget, efter sex månader, genom en automatiserad frekvensanalys av antalet förfrågningar i den aktuella databasen. De uppgifter som kan omfattas är namn, adress, telefonnummer, typ av tjänst, tjänsteanvändning, prisuppgifter samt fakturainformation, inklusive puk-kod. Det framgår av anmälan operatören gjort till PTS och som Computer Sweden tagit del av.
Telenor har enligt anmälan varit i kontakt med drabbade kunder, som uppgett att deras uppgifter används för ”oseriös marknadsföring” och försäljning av en konkurrerande operatörs abonnemang.
I anmälan uppges att det säljbolag som ringt upp Telenors kunder heter Abonnera Sverige AB, men säljarna har i sin tur sagt till Telenors kunder att de fått deras uppgifter från företaget Operatörspartner Sverige AB. Att företaget det handlar om är Abonnera Sverige AB bekräftas också av operatören Tre.
Mårten Lundberg, kommunikationschef på Tre, säger till Computer Sweden att Tre fick reda på incidenten genom en dialog med Telenor samma dag incidenten uppdagades.
– Vi fick veta detta direkt i och med intrånget. Vi för en dialog med Telenor i detta ärende för att komma till botten med det som har hänt, säger Mårten Lundberg.
Mårten Lundberg, Tre.
Enligt Mårten Lundberg var Tres första åtgärd att stänga av Abonneras tillgång till Tres system, vilket skedde redan samma dag intrånget uppdagades. Tre har även sagt upp avtalet med Abonnera med omedelbar verkan.
– Vi har tillsatt en egen utredning och för en kontinuerlig dialog med både Telenor och Abonnera. Vi kan just nu inte utesluta att det skett något brottsligt.
Tre kan inte svara på om Abonnera faktiskt lyckats att få över några av Telenors kunder till Tre, men Mårten Lundberg säger att det inte kan utesluts, och att det är något den fortsatta utredningen får visa.
– Vi diskuterar kontinuerligt med Telenor om hur många som har kontaktats av Abonnera. Vi ser mycket allvarligt på detta.
När Computer Sweden försöker nå de utpekade företagen kommer vi fram till samma supportfunktion. Computer Sweden har när detta skrivs inte lyckats nå ansvariga på varken Abonnera Sverige AB eller Operatörspartner Sverige AB.
Läs också:Tele2 vårdar nätvärk med nytt nätverkTele2 storsatsar på hushållen med nya Com Hem-musklerna Läs mer…

”Very Attacked People” – Företagets farligaste anställda?

E-post fortsätter att vara den dominerande attackvektorn mot företag och organisationer och nätfiske-kampanjer ökar i både intensitet och sofistikering. Men attackerna är inte jämnt fördelade, vissa personer får ta emot betydligt fler nätfiske-mejl än andra, och det har inte alltid att göra med att dessa personer arbetar i mer utsatta positioner inom sina organisationer.
Enligt en analysrapport från it-säkerhetsföretaget Proofpoint, som tagit ett grepp om ”den mänskliga faktorn”, blir attackerna allt mer människo- och identitetscentrerade i motsats till attacker mot infrastrukturen. Naturligtvis är det enklare att lura människor än maskiner.
Enligt rapporten utkristalliserar sig en grupp som kallas ”Very Attacked People” som drar på sig attacker mer än andra. Det som får denna grupp att sticka ut är att deras e-postadresser går att hitta på nätet. VAP:ar behöver inte vara höga chefer eller andra högprofilerade personer; korrelationen är låg eftersom endast sju procent av de högprofilerade personerna exponerar sina e-postadresser på nätet, till skillnad från hela VAP-gruppen där hela 36 procent av e-postadresserna går att finna genom en enkel sökning på nätet.
Det ser alltså ut som att exponering av e-postadresser på nätet är en stark riskfaktor. Det som dock komplicerar saken är att angripare lika gärna kan skicka nätfiske-mejl till generella adresser som info- och support-adresser, och dessa vill många organisationer av goda skäl ha kvar på sina webbsidor; i vissa fall är kontaktadresser till och med ett lagkrav, exempelvis för myndigheter.
Enligt Proofpoints rapport har nätfisket framförallt två syften som sticker ut. Huvudsyftet är att samla in inloggningsuppgifter för att kunna utföra senare attacker mot organisationen i fråga. Det andra syftet är att placera ut skadlig kod, i synnerhet bakdörrar, för att kunna få ett fotfäste inom offerorganisationens nätverk och utföra stölder av data eller bedrägerier under största möjliga diskretion. Väldigt explicita attacker som gisslanattacker ser ut att minska eftersom de lyckas allt mer sällan, det vill säga offren vägrar att betala.
Innovation, organisation och ledarskap – vad behöver du göra idag för att vara relevant imorgon? Det får du veta på CIO Governance den 12 september – boka plats här
Angriparna blir allt mer sofistikerade i hur de utformar sina attacker. Dels blir utskicken allt mer väldesignade och mycket svåra att visuellt skilja från äkta utskick (om sådana utskick överhuvudtaget görs), dels använder angriparna metoder för att undvika upptäckt även vid närmare inspektion av meddelandena, som exempelvis stulna eller felaktigt utfärdade certifikat. Även domäner med snarlika namn som originalen, eller med samma namn men på en annan toppdomän ökar. Som Computer Sweden skrivit nyligen kan 96 procent av alla företag i Sverige räkna med att ha minst en ”skuggdomän”, ett fenomen som är svårt att åtgärda.
Utskick som liknar dem från Microsoft Office 365 är den vanligaste förebilden bland utskicken, Närmare 25 procent av alla nätfiskemejl är gjorda för att se ut som att de kommer från Microsoft, men det mest ”framgångsrika” nätfiskemejlet det senaste året var ett utskick från ett bedrägligt företag vid namn ”Brain Food” som marknadsför livsmedelsprodukter som påstås förbättra både hälsan och intelligensen. Brian Food lyckades komma upp i 1,6 klick per utskickat e-postmeddelande, dubbelt så mycket som den näst mest klickade.
Det som trots allt är positivt är att över 99 procent av alla nätfiskemejl kräver någon form av mänsklig aktivitet för att bedrägeriet ska lyckas. Samtidigt som angriparna allt mer riktar sig mot människor är det också hos människorna möjligheten att motverka attackerna finns. Nätfiske är lika mycket en utbildningsfråga som en säkerhetsteknisk.
Läs också:Varning för falska meddelanden om programuppdateringarMicrosoft: multifaktor-autentisering stoppar 99,9 procent av alla attacker Läs mer…

Strömavbrott hos molnjätten – kunder förlorade data

Allt fler företag väljer att lagra sina filer i det så kallade molnet, men det kan vara en klok idé att se till att det alltid finns lokala säkerhetsfiler sparade.
Den 31 augusti drabbades en av Amazons servrar i North Virginia av ett strömavbrott och det dröjde 87 minuter innan en reservgenerator sattes i gång. Resultatet blev att data tillhörande ett okänt antal kunder hos Amazon Web Services har förlorats, rapporterar sajten Bleeping Computer.
En av de drabbade kunderna är programmeraren Andy Hunt som under flera dagars tid försökte förmå Amazon att ge honom information om vad som hade hänt. Till sist fick han beskedet att hans filer inte kunde återställas. Det fick Hunt att skriva på Twitter att vi alla behöver påminnas om att ”molnet bara är en dator i Reston med ett dåligt nätaggregat”.
Amazon säger i likhet med Dropbox och andra molntjänster att man inte har något ansvar om data försvinner, så drabbade kunder kan inte räkna med ekonomisk kompensation.
Läs också:AWS äger nästan halva molnet – men en hungrig trio knappar inRouteläcka däckade Cloudflare och AWS Läs mer…

Nu ska elbolagen hackas – KTH får 1,5 miljoner till white hats

Utan elektricitet upphör nästan allt i samhället att fungera. I värsta fall kollapsar hela samhället. För varje dag som går blir vi allt mer beroende av att elförsörjningen fungerar. Samtidigt är elnäten gamla, både i Sverige och i andra EU-länder, och inte utan svagheter, särskilt inte ur it-säkerhetssynvinkel.
Detta är också något som EU uppmärksammat och satt stort fokus på. EU öser pengar på forskningen inom detta område för att höja säkerheten i elleveransen. På elbolagen är man förstås medvetna om problematiken och deltar i många olika forskningsprojekt.
Nu ska forskare vid bland annat KTH utveckla ett verktyg för att säkra elnäten. Sedan ska forskarna prova att hacka elbolag i Bulgarien och Italien för att ta reda på om verktyget verkligen står pall mot hackerattacker.
Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats
Arbetet kommer utföras inom ramen för det europeiska forskningsprojektet Energy Shield som fått 80 miljoner kronor från EU. KTH får fem miljoner kronor av Energy Shield-budgeten plus 1,5 miljoner till att ta in externa hackare. De andra forskarna som deltar i projektet kommer från City University London och National Technical University of Athens.
Arbetat med it-säkerhet i flera decennier
Robert Lagerström är forskare och lektor vid avdelningen nätverk och systemteknik på KTH. Han har i decennier arbetat med it-säkerhet, bland annat med fokus på just elnät. Tillsammans med 18 partnerföretag och organisationer ska han och en nydisputerad forskare vid namn Simon Hacks (sic!) från Tyskland utveckla ett nytt it-verktyg för att säkra Europas elnät.
– KTH har två viktiga roller i projektet. Den ena är att bidra till utvecklingen av automatiserad hotmodellering för sårbarhetshantering och den andra handlar om att testa och validera verktyget. Det senare kommer att göras genom att hacka elsystem före och efter införandet av Energy Shield-lösningen, berättar Robert Lagerström.
Ett system för automatiserad hotmodellering är en digital modell av alla relevanta it-system och de skydd som finns i systemen. Man kan likna det vid en CAD-modell. Genom att bygga den modellen har man i princip en kopia av det verkliga systemet, och sedan kan forskarna använda modellen för att simulera attacker. Modellen kan bestå av saker som brandväggar, IoT-enheter, SCADA-system och liknande som finns i det verkliga systemet, men fördelen är förstås att forskarna inte hackar det verkliga systemet, vilket alltid är riskfyllt.
Målet med Energy Shield är att ta fram ett integrerat verktyg för it-säkerhet till energibolag. En del av projektet går ut på att integrera verktyg som idag används separat för till exempel sårbarhetshantering, övervakning och skydd genom att upptäcka avvikelser i systemet och mildra effekten av distribuerade överbelastningsattacker, samt kunskapsöverföring.
Robert Lagerström är forskare och lektor vid avdelningen nätverk och systemteknik på KTH.
– Med hjälp av modellen och resultaten av hackingen kan vi ta fram en produkt som elbolagen kan använda för att skydda sina system på ett bättre sätt. Redan idag har elbolagen olika typer av tekniker för att skydda olika delar av systemet, men oftast hänger de inte ihop och fungerar kanske inte tillsammans med varandra. Vi vill integrera de befintliga skyddssystemen i en och samma produkt. Tanken är att vi ska hacka elsystemen innan och efter elbolagen implementerat produkten, och studera skillnaden, säger Robert Lagerström.
Frågan är hur it-säkerheten kring det svenska elnätet ser ut? Det är inte en vild gissning att vi som samhälle betraktat har ett högt förtroende för stabiliteten i elleveransen; en av anledningarna till att allt fler stora it-bolag etablerar sig i Sverige, Facebook i Luleå och på senare tid både Microsoft och Amazon, är just stabiliteten i elsystemet, med en tillförlitlig och kostnadseffektiv leverans. De elsystem som forskarna på KTH ska se till att hacka ligger som sagt i Bulgarien och Italien, men liknar deras system våra system i Sverige?
– De liknar varandra på det sätt att de har samma typ av it-system som stödjer styrningen av processen, samt att de står inför samma typer av hot och konsekvenser. Det rapporteras ofta om att just elnätet och digitaliseringen av elnätet ligger steget efter när det kommer till it-säkerhet jämfört med andra branscher. Sedan är konsekvensen av ett påverkat elnät väldigt stor jämfört med många andra.
Vilka länder som har störst utmaningar vad gäller säkerhet i elnäten, är svårt att svara på enligt Robert Lagerström. Det finns få studier gjorda. Troligen är bilden väldigt lika mellan olika länder och bolag. Alla har liknande, om än inte samma, utmaningar.
”Bankerna har byggt säkra system från början”
– I och med digitaliseringen av elsystemen har säkerheten på många ställen inte hängt med. Ibland har man kanske inte tänkt sig för när man gjort styrsystemen tillgängliga över internet. Man har även köpt in till exempel IoT-enheter som inte alltid håller måttet ur säkerhetssynvinkel. Om man jämför med digitaliseringen inom bankväsendet så har bankerna på ett helt annat sätt varit medvetna om säkerhetshoten och byggt säkra system från början, men så har utvecklingen inom elsystemen inte riktigt sett ut, säger Robert Lagerström.
Forskarna kommer som sagt, av förklarliga skäl, inte att hacka de riktiga elsystemen, utan en digital modell av systemen. Hur kommer det gå till när systemen ska hackas och vem eller vilka kommer att utföra hackingen i praktiken?
– Vi kommer först och främst att upphandla externa, goda hackers, så kallade white hats, som kommer att genomföra själva hackingen. I våras genomförde vi ett projekt tillsammans med våra studenter som fick hacka olika IoT-saker och hittade alla möjliga fel och brister. En tanke är också att använda oss av studenter i ett första skede. Eventuellt skulle vi även kunna utlysa en tävling, till exempel en ”catch-the-flag”-tävling eller en buggjakt, men det återstår att se, säger Robert Lagerström.
Vilka blir konsekvenserna av ett helt eller delvis nedsläckt elnät? Robert Lagerström sammanfattar en sådan situation med ett ord.
– Kaos.
Läs också:Microsoft bygger nytt datacenter – men kommer elen verkligen att räcka?Drönare hittar dolda fel på öländska elledningar Läs mer…

Enkelt trick användes för att hacka Twitter-chefens eget konto

Jack Dorseys konto på Twitter är ett av de mest högprofilerade kontona på plattformen. Ändå kunde hackergruppen Chuckling Squad ta över hans konto med ett enkelt sim-swapping-hack.
Hackarna lyckades helt enkelt få teleoperatören AT&T, där Dorsey har sitt telefonnummer som är kopplat till hans Twitter-konto, att flytta numret till ett av hackarnas sim-kort. Enligt The Verge har AT&T har avböjt att kommentera, och det har inte framkommit exakt hur hackarna lurade AT&T.
Det är inte första gången Chuckling Squad lyckats ta över högprofilerade konton på både Twitter och Instagram, och de tycks ha en förkärlek för att lura just AT&T. Denna gång lyckades hackarna publicera ett otal mer eller mindre obscena postningar på Discord innan de stängdes av efter bara 15 minuter.
Hackarna använde Twitters text-to-tweet-tjänst som drivs av det nyligen uppköpta Cloudhopper. Text-to-tweet gör att även de utan en smart telefon kan twittra genom att skicka ett sms med sin text till ett kortnummer, oftast 40404 (i USA).
Tjänsten kräver förstås att användaren har ett mobilnummer kopplat till sitt twitter-konto, vilket många ändå har för att höja säkerheten för kontot. Nackdelen med detta är att allt som behövs är att komma över mobilnumret, vilket tyvärr fortfarande händer. Lösningen är förstås två-faktor-autentisering.
Läs också:Här är Yubicos nya säkerhetsnyckel – med stöd för lightning och usb-cNu har forskare bevisat hur man skyddar sitt konto bäst Läs mer…

Så ska datacenter få smartare energiförbrukning

I sin avhandling har Jakub Krzywda, verksam vid Institutionen för datavetenskap, utvecklat modeller och algoritmer för att göra avvägningar mellan energiförbrukning hos it-infrastrukturer och prestandan för molnapplikationer i säker och effektiv drift med begränsad energibudget. De molninfrastrukturer som driver majoriteten av dagens internettjänster till exempel Google, Facebook och Amazon förbrukar enorma mängder energi och bidrar till klimatförändringarna.
Till saken hör att energikapaciteten i de flesta datacenter är underdimensionerad från början. Om alla servrar skulle gå upp i eller nära 100 procent av sin prestanda skulle säkringarna slå ifrån, men eftersom det nästan aldrig sker, och att köpa kapacitet som skulle klara 100 procent blir för dyrt, väljer datacenteroperatörer att underdimensionera redan vid planeringen och bygget.
– Redan när man planerar ett datacenter räknar man med att underdimensionera elkapaciteten. Det är som med flyget – de flesta flygbolag överbokar flighterna, men eftersom ett visst antal resenärer, i genomsnitt, aldrig dyker upp så brukar det lösa sig, säger Jakub Krzywda.
Hur mycket brukar datacenteroperatörer ”överboka” sina datacenter?
– Det är siffror som är svåra att få fram från dem; de är inte villiga att svara på det.
Intressant nog är situationen i ett modernt datacenter egentligen inte så annorlunda från vad som händer i ett hus med gammal elanläggning. Förmodligen kan många komma ihåg någon gång när man satt på för många apparater som ugn, vattenkokare och tvättmaskin samtidigt och en säkring gått. Det händer eftersom den elektriska installationen inte var tänkt att upprätthålla en så hög belastning.
Vid första anblicken låter det som en dålig idé att tillämpa samma princip i ett datacenter, men i praktiken händer det nästan aldrig att all datorkraft behövs samtidigt. Eftersom kostnaden för elleverans är proportionell mot den toppkraft den kan upprätthålla, hjälper taket datacenteroperatörerna att spara stora pengar som annars skulle behöva spenderas på infrastruktur som nästan aldrig används.
Jakub Krzywda är doktorand vid Umeå universitet.
Och det är här Jakub Krzywdas avhandling kommer in i bilden. Vad ska man göra när det inte finns tillräckligt med energi för att köra alla applikationer på full fart? Ska man stänga av mindre viktiga applikationer helt eller tvinga dem alla att sakta ner? Är vissa typer av applikationer bättre kandidater än andra för en försiktig prestationsförsämring? Vilka åtgärder behöver vidtas för att säkerställa att energiförbrukningen minskar men applikationerna fortfarande ger användbara resultat?
För att besvara dessa frågor har Jakub Krzywda utvecklat modeller för att väga förhållanden mellan strömförbrukning och applikationsprestanda mot varandra. Han har även föreslagit ett antal energibudgetmekanismer som fungerar på applikations-, server- och datacenternivåer för att minimera prestandaförsämringen.
Kan du ge exempel på applikationer som kan vara lämpliga kandidater när ett datacenter måste dra ned på energiförbrukningen?
– Ett typiskt exempel kan vara en webbshop. När kunden letar efter en vara och vill köpa den är det viktigaste att kunden kan genomföra köpet. Men att rekommendera andra varor – andra som köpte x köpte även y – är inte lika viktigt. Visst kan webbshoppen tillfälligt förlora en del pengar för att kunderna inte köper mer, men det är viktigare att de kan köpa det de faktiskt kom dit för att köpa, säger Jakub Krzywda.
– Andra exempel kan vara applikationer som affärssimuleringar och andra typer av simuleringar, och ”business analytics” – det spelar förmodligen mindre roll om de körningarna tar några minuter eller timmar längre tid.
Jakub Krzywdas resultat har praktiska tillämpningar där de presenterade rekommendationerna kan användas av datacenteroperatörer för att förbättra servrarnas energieffektivitet och minska de totala driftskostnaderna medan de resulterande prestandastörningar minimeras.
I många fall vet väl inte datacenteroperatören vilka applikationer kunderna kör; hur ska de då kunna veta vilka applikationer de ska dra ned på?
– Det kräver förstås ett förtroende mellan operatören och kunderna, och att kunderna är villiga att informera operatören om vilka applikationer de kör och vilka applikationer som kan vara lämpliga kandidater. Men det är inte heller alltid det behövs; det finns många saker en datacenteroperatör kan göra på en generell nivå som inte stör kunderna nämnvärt, säger Jakub Krzywda.
Hur mycket energi tror du ett genomsnittligt datacenter kan spara tack vare din forskning?
– Det beror på. Det är fråga om väldigt komplexa förhållanden mellan energiförbrukning och applikationsprestanda, men vi har testat flera olika scenarier där man kan spara 10–20 procent. All mjukvara som tagits fram under detta arbete, inklusive källkod för modeller, styrenheter och simulatorer, finns tillgängligt online och kan användas för att underlätta användande av mina resultat i både forskning och industriella datacenter, säger Jakub Krzywda.
Läs också:Microsoft bygger nytt datacenter – men kommer elen verkligen att räcka?Vill införa certifiering för hållbarare datacenter Läs mer…

Com Hem skickar okrypterade mejl till kunder med lösenord i klartext

Com Hem, en av Sveriges största leverantörer av bredband och andra kommunikationstjänster, skickar kundernas lösenord i klartext i ett mejl. Meddelandet skickas dels när en kund tecknat ett nytt abonnemang, dels när en kund begär ett nytt lösenord om det gamla förlorats.
Lösenordet i fråga går till kundernas portal för självbetjäning, Mina Sidor. Att skicka lösenord i klartext i ett okrypterat mejl anses allmänt som undermålig säkerhet.
Samtidigt uppmanar Com Hem till sina kunder att vara rädda om sina lösenord.
”Var rädd om din användaridentitet och ditt lösenord! Dessa är personliga och ska användas med försiktighet. Det är du som ansvarar för aktiviteter som sker med denna identitet och lösen”, skriver företaget till sina kunder.
Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats
Säkerhetsmedvetna kunder har hört av sig till Com Hem och påpekat den bristande säkerheten. ”Man brukar skicka en länk där medlemmen får ange ett nytt lösenord. Man bör aldrig skicka ett lösenord i klartext! Sparar ni lösenordet i klartext också och skyller på mig sen om det blir säkerhetsproblem? Ska man skratta eller gråta åt denna ’säkerhetsaspekt’”, skriver en upprörd kund i ett mejl till Com Hem som Techworld tagit del av.
Com Hem försvarar dock sin metod.
– Det stämmer att kunder som ber om ett nytt lösenord kan få ett tillfälligt lösenord utskickat per mejl. I det fallet har vi som rutin att användarnamn inte ska anges i samma mejl, för att säkerställa att det inte ska gå att koppla lösenordet till användaren. Det handlar om tillfälliga autogenererade lösenord som det är meningen att kunden ska byta så fort som möjligt, säger Joel Ibson, kommunikationschef på Tele2 som äger Com Hem.
Det normala är väl att skicka en länk till en sida där man kan återställa lösenordet?
– Det finns flera varianter. Men den största risken för att någon obehörig ska kunna komma över kundens lösenord är att kunden fått sitt e-postkonto hackat, och då spelar det mindre roll om vi skickar en länk istället för ett lösenord, säger Joel Ibson.
Kommer ni fortsätta skicka lösenord i klartext?
– Som det ser ut nu är det den rutin vi har, men det är möjligt att vi kommer se över detta framöver, säger Joel Ibson.
Han påpekar också att kunderna kan använda Bank-id, vilket naturligtvis är att föredra.
– I den bästa av världar använder alla lösningar som Bank-id istället för lösenord, men dit har vi tyvärr inte kommit än säger Joel Ibson.
Ytterligare en märklig detalj i förfarandet är att själva mejlet med lösenordet inte ser ut att komma från Com Hem eftersom avsändaradressen är comhem@dcp.se. Det gör att man som mottagare lätt kan få för sig att det rör sig om nätfiske.
– Jag håller med om att det inte är optimalt, även om det har sin förklaring. Vi jobbar med KGM Datadistribution och det är de som distribuerar lösenordet. Vi håller dock på att se över en lösning där vi ska kunna arbeta med en tydligare Com Hem-adress som avsändare, säger Joel Ibson.
Läs också: Därför går Tele2 och Com Hem ihop – ”ökar pressen på Telia” Läs mer…

Microsoft bjuder på ett års Windows 7-support – men bara för premiumkunder med Windows 10

Efter 2020 kommer Microsoft att lägga ned supporten och sluta ta fram uppdateringar för Windows 7. Företagskunder kan dock köpa sig till förlängd support i ytterligare tre år, per dator, men med en dubblering av avgiften varje år, rapporterar ComputerWorld.
Intresset för att fortsätta använda Windows 7 bland företagen verkar dock inte avta. Nu meddelar Microsoft att de skänker ett års support av Windows 7 efter 2020, men bara till dem med de dyraste avtalen för Windows 10 och Office 365.
De som har så kallade E5-avtal, alltså Windows 10 Enterprise E5, Microsoft 365 E5 eller Microsoft 365 E5 Security, kommer att få ett års support för Windows 7 på köpet om de köper det så kallade Windows 7 Extended Security Updates, ESU, som Microsoft tog fram i september 2018. Villkoret är att företagen har tecknat ett ESU-avtal för Windows 7 under innevarande år och att avtalet fortfarande är aktivt den sista december.
Microsofts support för Windows 7 upphör den 14 januari 2020, men kan alltså förlängas för varje år i högst tre år. Avgiften fördubblas varje år från 25 dollar per dator första året, och 200 dollar per dator det tredje året. Det är avgiften för det första året som Microsoft bjuder på för dem som uppfyller villkoren.
Läs också:Windows 7 på väg mot döden – här är datumen att hålla koll påBekräftat: Windows 10 har gått om Windows 7 Läs mer…

Ny teknik för anonymiserad ansiktsigenkänning lanseras i svenska butiker

Ansiktsigenkänning är på tapeten runt om i världen, och tekniken är känslig ur integritetssynvinkel. Det svenska företaget Indivd har tagit fram ett patentsökt system för anonymiserad ansiktsigenkänning som med början i september kommer att lanseras i butiker i centrala Stockholm. Anledningen till utvecklingen av Indivds teknik är att det är mycket värdefullt för butiker att veta om kunder återbesöker butiker och hur förändringar i butikernas miljöer och utbud påverkar kundernas beteenden i butiken.
Nyttan för butikerna och besökarna är enligt Indivd, förutom en bättre besöksupplevelse, att minska resursslöseriet, minska investeringsrisker för butikerna, hjälpa dem att hitta bättre affärsmodeller och hjälpa butikerna att utvecklas genom att genomföra experiment och förstå hur det påverkar affären. Individ ser även möjligheterna att bidra till en starkare lokal och hållbar konsumtion.
Inom ramen för ett forskningsprojekt på Handelshögskolan i Stockholm, tillsammans med forskaren Katarina T. Liljedal, har Indivd testat systemet på frivilliga försökspersoner och enligt Indivd är resultatet tekniskt tillfredsställande i det att tekniken kommer att uppnå en träffsäkerhet på minst 85 procent. Med 10 000 ansikten kommer träffsäkerheten att komma upp i 95 procent. Vanlig (icke anonymiserad) ansiktsigenkänning, till exempel i mobiler, kommer normalt upp i en träffsäkerhet på 99,75 procent.
Det speciella med Indivds teknik, utöver anonymiseringen, är att den är anpassad för såväl nya som äldre övervakningskameror och andra typer av butikskameror. Butikerna behöver alltså endast ansluta Indivds teknik till sina befintliga kameror, vilket naturligtvis besparar dem investeringskostnader för nya kameror. Enligt Indivd finns det 245 miljoner befintliga butikskameror runt om i världen, och de ser en stor potential i hur deras teknik kan användas tillsammans med dessa.
Frivilliga testpersoner
Under de senaste tio månaderna har Indivd genomfört tester i verkliga butiksmiljöer med frivilliga testpersoner. 230 slumpvist utvalda deltagare ombads att besöka först en restaurang och sedan en butik. Deltagarna fick en bonuskupong med en specifik streckkod, som kopplade personen till manuella data och data från Individs anonymiserade ansiktsigenkänning.
Därefter registrerades deltagarna både manuellt och med hjälp av kameror när de först gick in i restaurangen och när de återidentifierades då de gick in i den närliggande butiken. Detta gjorde det möjligt att i valideringstestet synkronisera data från manuell inhämtning och via Individs anonymiserade ansiktsigenkänning. Deltagarna ombads att ta en särskilt utmärkt tur i både restaurang och butik. Kamerorna var placerade i särskilda vinklar och med olika ljus för att göra det utmanande och svårt att identifiera och återidentifiera samma individer.
Leonard Johard.
– Vi har kunnat konstatera att vi i dataströmmarna med denna teknik med stor träffsäkerhet kan identifiera och återidentifiera människor från en plats och tid till en annan plats och tid i en annan lokal, och detta helt anonymiserat utan behandla biometrisk data eller spara persondata. Vi har också kunnat konstatera att tekniken inte kräver någon specialutrustning, utan den fungerar med vanliga butikskameror, säger Leonard Johard, forskningschef och ai-expert på Individ, och arkitekten bakom Indivds teknik för inhämtning av anonymiserad besöksdata.
Att få tekniken att fungera är dock bara den ena sidan av saken, den andra är att navigera lagstiftningen kring insamlade och behandling av personuppgifter. Parallellt med utvärderingen av tekniken har Indivd utrett hur hanteringen av den output som tekniken trots allt levererar förhåller sig till dataskyddsförordningen GDPR.
– Vi anser att det är otroligt viktigt att vi lever upp till kravbilden för GDPR eftersom vi tydligt ser riskerna med att spara biometrisk data och ansiktsigenkänning. Ser man på hur storbolagen och andra länder idag använder tekniken så förstår man riskerna och hoten. Det är grunden till varför vi arbetat i flera år för att skapa denna nya teknik. Vi ser det som att om det inte tillkommer nya innovationer så finns det en stor risk för att tekniken normaliseras i samhället, säger Fredrik Hammargården, medgrundare av Individ och ansvarig för kommersialiseringen av tekniken.
Enligt Fredrik Hammargården har tekniken blivit grundligt granskad och validerad av advokatbyrån Baker McKenzie samt tekniskt validerad tillsammans med Handelshögskolan. Under sommaren har Indivd även anlitat IBM Security för att säkerställa att tekniken lever upp till kravbilden för it-säkerhet.
Fredrik Hammargården.
Till skillnad från konventionell ansiktsigenkänning, där man behandlar biometrisk data och sparar personuppgifter, behandlar Individs teknik inte känsliga personuppgifter som biometrisk data. Enligt den tekniska beskrivning TechWorld fått från Indivd sparar deras system inte personuppgifter över huvud taget, utan enbart en bråkdel av datan – en teknik som baseras på neurala nätverk.
”Radikalt annorlunda”
– Allt bildmaterial anonymiseras inom några millisekunder lokalt och sparas krypterad i molnet, men även den avkrypterade datan är helt anonym. För att förtydliga så använder vi inte pseudo-anonymisering som hashning, eller annan teknik som enbart gör datan svårtolkad för tredje part. Vi bygger inte heller anonymiteten på till exempel ssh där anonymiteten bygger på irreversibla funktioner. Vår anonymiserade ansiktsigenkänning är radikalt annorlunda från dessa och bygger kompromisslöst på strikt anonymiserad data, förklarar Fredrik Hammargården.
– Vår anonymiserade ansiktsigenkänning har en tydlig ekvivalens med bästa praxis för datauppsättningar inom forskning och de riktlinjer som tagits fram av Eurostat. Vi använder mycket högre anonymitetskriterier än offentligt släppta anonymiserade patientdata och liknande känslig data. Eftersom vi är i slutet av en patentprocess, och behöver vänta in den processen, kan vi inte gå in på exakta detaljer om hur vi anonymiserar och sparar datan, säger Fredrik Hammargården.
Ser datan likadan ut mellan olika butikskedjor? Om en person går in i butik A och senare i butik B, kan man se att personen besökt olika butikskedjor?
– Anonymiserad ansiktsigenkänning kan inte följa dig som person eller ge insikter om dig som person eftersom vi inte behandlar biometrisk data eller sparar personuppgifter. Däremot så kan vi, med en viss volym av data, ge en insikt som återbesöksfrekvens till en träffsäkerhet på 95 procent. Den återbesöksfrekvensen fungerar över tid och plats, det vill säga om personer besökt olika butiker. Det fungerar även i en enskild butik från entré till köp.
Hur kan ni vara säkra på att tekniken klarar dataskyddsförordningen GDPR?
– Bedömningen om att vi lever upp till GDPR delas av många jurister och en granskning är genomförd av Baker McKenzie, en av världens främsta advokatbyråer. Deras bedömning är att Indivd följer GDPR och att tekniken är laglig. Delvis eftersom vi inte behandlar biometrisk data, inte sparar personuppgifter, löser en stor utmaning för detaljhandeln, och är mindre kränkande än de tekniker och metoder som idag används inom handeln.
– Baker McKenzies bedömning är att informationen i sig inte kan klassificeras som särskilda kategorier av personuppgifter enligt artikel 9 i GDPR eftersom behandling av foton inte systematiskt bör anses utgöra behandling av särskilda kategorier av personuppgifter, detta eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person, säger Fredrik Hammargården.
Läs också:GDPR-dom: Skola får böta 200 000 efter test med ansiktsigenkänningJätteläcka av biometridata – miljontals fingeravtryck och ansiktsmönster Läs mer…

GDPR ställer nya krav på e-posthantering – här är åtta tips

En stor mängd personuppgifter behandlas varje dag i de miljontals e-postmeddelanden som svenska företag och människor skickar. Före den 25 maj 2018 omfattades inte e-post av de svenska dataskyddsreglerna, men numera är GDPR, EU:s dataskyddsförordning, fullt tillämplig på e-post. Alla – företag, myndigheter, ideella organisationer och deras utsedda konsulter – vrider sina händer och lägger pannan i djupa veck. Vad göra? Hur hantera?
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Här är mina råd och tankar i frågan:
Upprätta interna policydokument avseende hantering av personuppgifter som innefattar hanteringen av e-post. Se därefter till att utbilda alla och hålla policydokumentet levande så att det följs. Det faktum att e-post omfattas av GDRP innebär att vi alla behöver tänker annorlunda när det gäller användningen av personuppgifter när vi skickar, skickar vidare, tar emot, sorterar, lagrar och raderar e-post.
Gå igenom och specificera för vilka ändamål personuppgifter behandlas i e-post i organisationen. Personuppgifter får bara behandlas för specifikt angivna ändamål och dessa ändamål styr sedan hur mycket uppgifter som får behandlas, hur länge och så vidare. I den här genomgången är det relevant att först grovt dela upp ändamålen i sådana som är helt interna och sådana som är relaterade till företagets kunders, sjukhusets patienter, föreningens medlemmar och så vidare. I det GDPR-arbete som alla ändå genomför måste frågan om ändamålen med all personuppgiftsbehandling ändå ställas och sannolikt kommer man här att kunna återanvända den analysen även för att tydliggöra ändamålen med behandlingen av personuppgifter i e-post.
Analysera vilken laglig grund som finns för behandlingen av personuppgifter i e-post, kopplat till de angivna ändamålen. I externa relationer med kunder och andra behandlas personuppgifter ofta för att kunna fullgöra avtal eller baserat på samtycken som har inhämtats i samband med att avtal ingicks. I interna relationer mellan organisationens anställda handlar det ofta om en så kallad intresseavvägning. Detsamma gäller också marknadsföringsutskick, där man dock bör betänka att huvudregeln enligt marknadsföringslagen är att det krävs samtycke för att rikta marknadsföring genom e-post.
Implementera mekanismer för att uppfylla de registrerades rätt till information om vem som är så kallad personuppgiftsansvarig, varför uppgifterna behandlas, hur länge och så vidare. När det gäller anställda är denna fråga ofta okomplicerad: informationen bör tas med i den integritetspolicy som den anställde ska få del av i samband med att anställningsavtalet ingås. När det gäller relationer med konsumenter eller personer som ingår i myndighetsärenden kan informationen hanteras på liknande sätt, det vill säga i integritetspolicyn avseende dessa. Det blir mer komplicerat med behandling av personuppgifter om personer som man inte har någon avtalsrelation med, till exempel kontaktpersoner hos företagskunder. Ett lämpligt sätt kan vara att lägga in en standardtext i alla e-postmeddelanden, där information ges om att e-post som skickas till företaget eller organisationen kommer att behandlas enligt den integritetspolicy, som man hänvisar till genom en länk. Om man mottar ett e-postmeddelande som man inte har någon anledning att besvara det så har företaget, myndigheten eller organisationen sannolikt inget skäl att spara det inskickade meddelandet och då det bör raderas.
Begränsa användningen personuppgifter i e-post till vad som är nödvändigt för att uppfylla de ändamålen. Detta följer av den så kallade uppgiftsminimeringsprincipen och innebär helt enkelt att vi kommer att behöva tänka på och bli betydligt mer restriktiva när det gäller användning av personuppgifter i e-post.
Tänk på vilka som behöver ta del av e-post som innehåller personuppgifter. Som huvudregel ska bara sådana personer som har behov av tillgång till personuppgifter för att kunna utföra sitt arbete också ha tillgång till dem. Det finns därför anledning att överväga till vilka e-postmeddelanden skickas, inte minst vilka som ska stå som kopiemottagare. Strunta i att skicka information till folk som egentligen inte behöver den. De kommer att tacka dig!
Inför tydliga rutiner för återkommande radering av e-post. Personuppgifter får bara behandlas så länge de behövs för att uppfylla ändamålen med behandlingen. Det blir därför viktigt att ha de olika ändamålen klargjorda för sig och anknyta gallringsrutiner till dessa ändamål. Lagra bara e-post som verkligen behövs för att uppfylla ändamålen och radera resten! Se därefter till att radera sparad e-post när ändamålen är uppfyllda.
Inför lämpliga informationssäkerhetsåtgärder avseende e-posten. Detta innefattar åtgärder som till exempel att se till att skydda e-posten från obehörig åtkomst från utomstående, att införa tydliga krav på användarnamn och lösenord och så vidare. I det arbete med informationssäkerhet som ändå behövs göras för att uppfylla GDPR-kraven måste e-postsystemet helt enkelt ingå.

Det här är en artikel från Expert Network

Jag vill påpeka att denna checklista inte är uttömmande och att Datainspektionen och andra kanske kommer att ha andra åsikter. Men den som genomför åtgärderna ovan kommer att ha kommit en väldigt lång bit på vägen på att hantera sin e-post i enlighet med GDPR.
Läs också: Därför är GDPR årets julklapp för användarna – och organisationen
Den här artikeln är tidigare publicerad i april 2018

Fakta
DAVID FRYDLINGER

Befattning: AdvokatFöretag: Advokatfirman LindahlLinkedin: David FrydlingerE-post: david.frydlinger@lindahl.seHemsida: www.lindahl.seExpertområden: It-juridik, personppgiftsrätt, strategiska samarbetsavtal, molntjänstavtal, outsourcingavtal, juridik rörande informationssäkerhet.Certifieringar: ITIL (grundnivå)Bakgrund: Har arbetat i 16 år med it-juridiska frågeställningar. Har skrivit fem böcker inom juridik varav en nyligen publicerad om EU:s nya dataskyddsförordning, GDPR. Läs mer…