Förebygg stöld i SL’s biljettsystem

Man gick nyligen ut med information om att SL’s biljettsystem är så pass bristande i sin säkerhet att man åka gratis på andras bekostnad. Det enda som behövs är någons personnummer, sedan åker fakturan iväg till den person man registrerat sig som. SL kommer enligt uppgift inte att göra något åt den här saken, så det lär inte dröja länge förrän folk börjar missbruka detta – från båda hållen. Dels kan kapare få sina fakturor skickade till en oskyldig och dels kan folk anmäla sig själva som kapade och därmed undkomma betalning (även om det sistnämnda bara kommer gå att utföra en enda gång).

Man säger också att det är omöjligt att skydda sig. Det är inte helt sant. Det finns ett jätte-enkelt sätt att skydda sig själv på. Igår gick jag in och registrerade mig själv som SL-kund. Som nyregistrerad användare behöver jag inte betala något – om jag vill åka med SL så betalar jag alltså först när jag känner att jag vill börja åka kommunalt. Det kostar alltså inget att registrera sig.

slEfter att min registrering var klar, provade jag att registrera mig en gång till, med mitt personnummer. Detta gick, som jag hade hoppats på, inte att göra. Detta är alltså ett bra tips, för de som oroar sig över kapning: Se helt enkelt till att vara först med att registrera dig på SL. Det är kanske inte helt omöjligt att SL kanske kommer få väldigt många nya användare, som aldrig någonsin kommer att sitta i deras fordon. Men, är man dum nog att ha ett sånt här läckande system, så får man så klart också skylla sig själv.

Aftonbladet
Metro

 

 

”Umgängesregler på Internet”

Ett brev anländer från Telia, som inleds med texten ”Umgängesregler på Internet”. Det är en ganska hövlig rubrik som genomsyras av ”låt andras nätverk vara ifred”. Detta är så tillika en historia som inom ett par mail med Telias kundtjänst kommer att få ett oerhört odramatiskt, men ack så pinsamt slut.

I brevet påstås det ha skett en ”portscanning” från mitt nätverk, vilket Telia också påpekar med ett avslutande ord: ”Vår förhoppning är att vi inte stöter på ditt konto i våra utredningar igen”. En portscanning är för den oinvigde alltså ett sätt att genomsöka en annan persons nätverk för att hitta något öppet, som normalt sett sedan hackas. Om detta hade varit ”på riktigt” alltså.

Funderingarna börjar gå och jag undrar naturligtvis vad det är som kan ha skett. Jag kontaktar således Telias abuse-avdelning och frågar vad det rör sig om. Samtidigt som jag väntar på svar, frågar jag min sambo om hon har varit inne någonstans där hon inte borde. Till sist får jag en ip-adress från Telia, som skall tillhöra den som jag skall ha utför portscanningen på. Ip-adressen verkar ganska omgående bekant. Vart har jag sett den? Efter mycket funderande inser jag att ip-adressen tillhör det nätverk som tidigare använts för att rapportera in spam-adresser till mig.

Jag startar genast en avläsning på nätverkskortet för att se om det fortfarande syns något. Samtidigt drar jag igång en fullskalig loggning på servern och ser till att all otillåten utgående nät-trafik spärras. Efter bara en kort stund, dyker det upp nya anrop i avläsningen, som tyder att ”portscanningen” fortfarande pågår. Men käll-porten (alltså från min sida) är ju 53. Och till råga på allt UDP. Port 53 är, som de flesta tekniker – med lite vett kvar i skallen – vet är DNS-trafik.

Jag ställer en fråga till Telia: ”Det råkar inte vara så att personen som anmält mig har skickat en massa loggar där käll-port är 53?”. Jodå, det stämde precis det. Det har nu redan framgått för mig att det är personens egen server som initial skickar förfrågningar till min DNS. Det riktigt löjliga med denna historien är att webmastern i fråga uppenbarligen bara loggar inkommande trafik – och spärrar den – utan att logga sin egen utgående. Så för honom ser detta plötsligt ut som en portscan-attack, där alla anropen kommer från port 53, vilket jag också berättar för Telia. Så vad som egentligen händer, är att han själv inleder, vad han tror är ”attacken” genom total okunskap.

Jag avslutar mitt sista mail till Telia med frågan: ”Skall ni eller jag tala om detta för kunden som hört av sig?”. Svaret på frågan uteblir dock, märkligt nog. Inte desto mindre gillar jag Telias hantering av mina mail, som är trevliga och informativa genom hela historien. Vad som däremot skrämmer mig, med denna pinsamma historien är att det finns webbansvariga ”där ute”, som inte har någon som helst kontroll på vad dom egentligen sysslar med.

”Nero låste min brännare…”

Och när man absolut inte vill starta om datorn för att få ut CD-eländet som precis fastnade, så tvingas man ändå göra det…

Eller?

Nejdå! Absolut inte. Det finns en lösning: Linuxapplikationer. Naturligtvis. Fattas bara. Men i vanlig ordning så hittar man bara information på google om att folks CD-skivor inte kan matas ut och de mest hjärndöda tipsen efterföljs i sedvanlig ordning. Eller så finns det bara frågor, utan svar. Så allt måste man göra själv…

sdparm (http://sg.danny.cz/sg/sdparm.html), räddaren i nöden låste upp en annars total-låst CD-brännare och det är faktiskt första gången som jag lyckats låsa upp en fastlåst CD som Nero satt stopp för. Eftersom program även alltid har en olustig förmåga att försvinna och bara dyka upp på döda länkar så har jag för säkerhetsskull bifogat just den filen i det här inlägget, bara så att det verkligen inte kan försvinna. Den version av sdparm jag använde kan alltså även laddas ned här. Så hur låste jag upp den?

sdparm –command sync L:

Detta var allt som behövdes. Det tog en stund innan den reagerade, men helt plötsligt så släppte XP ifrån sig skivan igen. Helt utan omstart (som hade varit riktigt trist eftersom jag i skrivande stund fortfarande har en aktiv 3D-rendering i ”blender” där renderingen efter 10 timmars körning har tagit sig igenom halvvägs – 300 av 600 frames). Om inte ovanstående fungerar kan det dock även bero på att jag först försökte öppna CD-spelaren på standardsättet medelst synål. Detta hjälpte dock inte, eftersom CD’n tydligen var inspärrad totalt, därav forskade jag vidare och fann att sdparm även fanns som Win32-app. Man vill ju inte bända upp spelaren med mejsel.

Underbart!