Om du har en egen WordPress-blogg så bör du inte missa att uppdatera den till 2.3.3 eller åtminstone byta ut filen xmlrpc.php som ligger i bloggens rot-katalog.

Uppdateringen klassas av WordPress själva som en “urgent security release” och problemet är att någon illvillig rackare har hittat på ett sätt att pinga bloggar på ett sätt så att det går att ändra i texterna på bloggen. Problemet är litet om du inte tillåter andra att anmäla sig som användare på bloggen, men om du tillåter anmälan av andra användare, så kan en spammare utnyttja säkerheltshålet till att skicka en RPC-ping som är utformad på ett sånt sätt att andra användares poster kan ändras.

Inte riktigt som det var tänkt kan man säga.

Nu räcker det med att byta ut filen xmlrpc.php, även om WordPress även har gjort iordning ett helt nytt paket, med versionsnumret 2.3.3. Båda går att ladda ner från: http://wordpress.org/development/2008/02/wordpress-233/

Hittade plötsligen den här drygt ett år gamla artikeln på DinaPengar.se, och som jag helt hade glömt bort. Gissa vad jag sökte på? Jo Vuxna Förbannade Hackare förstås. Jag hade helt glömt bort den, och jag tycker mig inte heller ha sett att någon har refererat mot defacement-attacken mot LO för ett år sedan någonstans heller. Eller har jag bara missat de referenserna? Hacket minns jag dock. Men vad var deras hatobjekt ett? I år var det TV3 och Aftonbladet, men vilka var det, förutom LO, förra året?

Här är texten som VFH hade placerat på LOs sajt för ett år sedan:

Efter hatobjekt ett så kommer hatobjekt två!

Under 2007 kommer LO fortsätta kämpa för att alla ska få samma usla lön! Medlemsavgifter osv kommer gå direkt till att smutskasta småföretagare! GOTT NYTT ÅR!

Pablin77, YOU SUCK!!

Polisen: När vi hackade SSU så lämnade vi fyra påhittade spår för att kontrollera hur snabba ni var. Tyvärr hittade ni bara ETT av dem och sprang iväg och beslagtog datorer hos en helt oskyldig stackars liten kille! Skäms på er! Men vad kan man förvänta sig när polisen.se körs på en gammal webbserver med ett säkerhetshål som rapporterades 2004!

Även denna gång har vi lämnat roliga spår! Lycka till!

Vuxna Förbannade Hackare - Det slutar inte här.

dinapengar.se/Avdelningar/Artikel.aspx?ArticleID=2007%5C01%5C01%5C5123

Aftonbladet.se minns också: www.aftonbladet.se/nyheter/article470916.ab
De har till och med en bild:

Tänk vad fort ett år går. Så mycket man hinner glömma.

Vuxna Förbannade Hackare [VFH] gör sannerligen avtryck på webben. Efter de två avslöjandena på Flashback har deras aktivitet diskuterats av hög som låg, och faktiskt till slut även synts en hel del i media.

Idag dök en film upp på Youtube, som påstås vara gjord av den tidigare kända hackergruppen Arga Unga Hackare [AUH] (som stängde Antipiratbyråns sajt en gång i tiden). Jag känner mig mycket skeptisk till att det verkligen skulle vara AUH som har gjort videon. Den känns snarast parodisk med sina kommentarer om “fina arbetargrabbar”, men det hör egentligen inte hit. Det är ytterligare uppmärksamhet för VFH.

Men VFH-attacken mot Aftonbladet har också börjat göra bra avtryck. Reklam- och mediaforumet Bold.se skickade just ut nedanstående mail till sina medlemmar där de rekommenderar alla att byta sina lösenord. Ett bra initiativ tycker jag (som så sent som igår bytte till ett ännu starkare lösenord för mina Google-tjänster):

Hej N!kke @ bold.se,

Några som kallar sig Vuxna Förbannade Hackare har ställt till det rejält för Aftonbladet. I ett inlägg på Flashback beskriver man attacken. Bland annat har man postat 1030 användarnamn och lösenord till mailservern, och det orsakade rena läsfesten innan teknikerna drog ur pluggen. Ur ett källskyddsperspektiv är det naturligtvis inte alls bra, och belyser igen hur viktigt det är att vi alla försöker tar vårt ansvar för tekniken. Flera av lösenorden som användes av högt uppsatta chefer på tidningen är verkligen ett skämt, och då hjälper det inte hur hårt it-avdelningen än jobbar.

Därefter har man även tagit sig in i tidningens annonssystem och på samma sätt publicerat både mailadresser till annonsörer/byråer med flera med lösenord.

Det är många som använder sig av samma användarnamn och lösenord på olika forum eller t ex Facebook osv.

Vi uppmanar nu att våra medlemmar att byta lösenord för att säkerställa att ingen tar sig in på era konton.

På Bold gör du det här: http://bold.se/forum/profile.php?do=editprofile

Därefter knappen: “redigera e-post och lösenord”.

på TV sade en expert att bör ha stora och små bokstäver, siffror och till antalet åtta i sina lösenord för att känna sig säkrare. Och då olika på de ställen man använder.

Med vänlig hälsning
Kenneth
——————————

——
Mötesplats för reklam, medier och design.
http://www.bold.se
http://butik.bold.se

I en tråd med titeln Vfh Reloaded, har gruppen som tidigare i veckan släppte ut inloggningsuppgifter till Aftonbladets intranät och mailsystem, lagt ut intern mailkommunikation mellan Aftonbladets systemadmin och admin på Infomaker, som har byggt mycket av Aftonbladets system.

Det är häpnadsväckande läsning. Hur i allsin dar kan det komma sig att man ännu inte har åtgärdat säkerhetsluckor som man har känt till sedan i Juni 2006?

www.flashback.info/showthread.php?t=598838

Aftonbladet bjuder in VFH på fika

Aftonbladets primära reaktion på det inträffade var en lång tystnad. Det kan man i och för sig förstå. Flera timmar efter att den första tråden hade lagts ut på Flashback publicerades den här notisen. Även dagens forumtråd blev en notis, och först därefter började Aftonbladet göra rätt.

Någon gång i kväll skrev Aftonbladets nytillträdde chefredaktör Jan Helin en krönika där han bjuder in VFH på fika. Han vill försöka förstå var det är som har gjort dem så arga skriver han:

Jag är nytillträdd chefredaktör för Aftonbladet och på riktigt intresserad av vad i vår journalistik som gör Vuxna Förbannade Hackare så upprörda att de begår brott. Därför säger jag så här:

Kom och hälsa på mig på redaktionen söndag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken.
http://www.aftonbladet.se/nyheter/article1573466.ab

Det är riktigt smart. Jan Helin lägger sig med strupen bar, bjussar på fika och räcker ut en hand. Det ger folkets sympatier och ställer de upprörda och förbannade i skuggan. I Flashback-tråden ser man också hur oppinionen så smått har svängt. Vad är det de är så förbannade över? Och varför hojtar de så högt och ljudligt över det? Vill de bara ha uppmärksamhet?

Om Aftonbladet tar itu med säkerheten ordentligt nu och ser till att samtliga lösenord byts ut så tror jag att de kan komma ut ur den här affären starkare än förut. Och helt säkert säkrare i alla fall.

Per Hellqvist om det inträffade:
http://blog.perhellqvist.se/?p=275

Läser hos IDG att amerikanska armén har börjat gå över till Mac på grund av säkerheten. Och det skrämmer mig en smula. Om just US Army har använt Windows tidigare så har de kanske varit en av de primära måltavlorna för alla de Windows-maskar och -virus som drabbat plattformen. När de nu går över till Mac så gör de hela plattformen en riktig björntjänst.

Från IDG:

Redan i dag har US Army cirka 20 000 Macar i sina nätverk, men majoriteten av arméns sammanlagt 700 000 datorer och servrar är Windowsbaserade. Nu väljer armén att satsa på Mac och OS X för att höja säkerheten.

US Army är tillsammans med bl.a. Pentagon, Boeing och Raytheon favoritmål för hackare, och även för spioneriförsök.

Kan de inte börja använda Ubuntu eller något annat obskyrt istället? Jag har inte använt något som helst antivirusprogram på någon av mina Macar sedan 1997. Sedan jag slutade använda Word och Excel har jag inte heller stött på något som helst virusaktigt. Nu börjar det kanske bli dags att tänka om…

Tillägg: Läs gärna introduktionen till datorvirus och maskar som Kristoffer tipsar om nedan om du vill veta vad det egentligen är vi skyddar oss ifrån.