Dags för en grundkurs i IT-säkerhet?

iPhone Android stulen
Foto: Jhaymesisviphotography / CC BY

I ett allt mer digitalt samhälle är IT-säkerhet något som vi måste prioritera högre. Både vi teknikanvändare, privat och i arbetslivet, men också myndigheter och företagare måste bli mer säkerhetsmedvetna för att minska risken för att bli utsatt för brott som intrång och informationsstöld.

I dag kan vi läsa om att flera flygplanstillverkare har stora säkerhetsbrister eftersom man valt att koppla ihop det trådlösa nätverket i kabinen, som passagerarna har tillgång till, på samma nätverk som datorerna i cockpit. Hur korkad får man vara? Det samma gäller företag, även caféägare, som erbjuder gratis trådlöst internet. Se till att obehöriga inte kan få tillgång till samma nät som företagets egna datorer med kassasystem, affärssystem och liknande kritiska funktioner. Har du inte kunskap om nätverk och subnät så anlita en utbildad och certifierad it-tekniker.

Jag uppmärksammade under veckan en äldre nyhet där en svensk man misstänks för att ha sålt outgivna låtar som någon kommit över genom intrång i artisternas eller skivbolagens e-postkonton. Sverigedemokratisk ungdoms ordförande och vice ordförande har även de blivit utsatta för intrång där någon, eller några, tagit sig in och ändrat lösenord på deras mejlkonton på Gmail. En tidigare sverigedemokrat ska också ha publicerat en mejlkonversation av SDU-medlemmarna.

Det är viktigt att upprätthålla god lösenordshygien. Använd aldrig samma lösenord på flera olika tjänser, framför allt inte det du använder för dina e-postkonton. Se till att ha ett långt och avancerat lösenord, använd gärna tvåfaktorssautentisering, vilket bland andra Google erbjuder för sina tjänster, där du måste använda dig av en sekundär källa för verifiering, exempelvis genom en engångskod som skickas till din mobiltelefon via sms. Om du har flera långa lösenord rekommenderar jag dig även att använda en lösenordshanterare.

Ett e-postmeddelande är att likställas med ett digitalt vykort som skickas mellan flertalet servrar innan det når mottagarens inkorg. Jag avråder starkt från att skicka privata filer till e-postadresser, man bör istället använda sig av någon form av molntjänst, gärna privat, som kräver inloggning. Väljer man ändå att skicka privata filer, som outgivna låtar, bör man lösenordsskydda dem med hjälp av exempelvis 7-Zip med vilket man kan lösenordsskydda och kryptera (AES-256) datan.

För att säkerställa att meddelandet man skickar inte kan läsas av obehöriga bör man välja att kryptera texten med hjälp av PGP/GPG, där mottagaren måste avkryptera meddelandet för att kunna läsa det. En förutsättning är i och för sig att mottagaren inte publicerar den privata nyckeln, vilket Aftonbladet har lyckats med två gånger.

Har du skärmlås på din mobiltelefon?

iPhone Android stulen
Foto: Jhaymesisviphotography / CC BY

Ibland dyker det upp inlägg i sociala medier där personer som blivit av med sina enheter, i synnerhet mobiltelefoner, lyckas lägga upp bilder på den misstänkta tjuven som direkt börjat använda telefonen, utan att återställa den, för att ta selfies. Bilderna synkroniseras därefter till vald molntjänst, som Facebook, Google eller iCloud.

Detta inlägg är inte tänkt som en guide där man stegvis går igenom hur man fabriksåterställer en stulen telefon, utan en kurs i grundläggande säkerhet för dig som riskerar att förlora din telefon.

Alla smarta mobiltelefoner ger dig som användare möjlighet att ställa in ett skärmlås där du som användare måste använda dig av en fyrsiffrig kod, en lösenordsfras, fingeravtryck eller ett mönster för att låsa upp din mobiltelefon. Den funktionen ska alltid vara aktiverad. Då slipper du också en potentiell facerape. Om du äger en iPhone har du möjlighet att under inställningar ”uppgradera” din fyrsiffriga kod till ett mer säkert lösenord. Det samma gäller givetvis också andra plattformar. Man bör också undvika fingeravtryck, framför allt om man bor i USA då det inte skyddas av femte tilägget i Bill of Rights.

Vidare bör man, utöver en traditionell PIN-kod för simkortet, överväga att kryptera sin enhet, framför allt om man använder telefonen för kommunikation av sekretessbelagda uppgifter, till exempel företagshemligheter eller som myndighetsperson. Nackdelen med kryptering är att du inte kommer att få tillbaka informationen på mobiltelefonen om du glömmer lösenordet.

Man ska också aktivera och installera de olika spårningsfunktioner som finns tillgängliga för respektive operativsystem. Apple erbjuder tjänsten Find my iPhone, medan Androids motsvarighet är Enhetsadministratör. Tjänsterna erbjuder dig lokalisering, både genom ljud och gps, låsning och rensning av enheter på distans.

Glöm inte att regelbundet säkerhetskopiera din enhet, både lokalt och via molntjänster. Det sistnämnda förutsätter givetvis att du inte har några känsliga uppgifter. Anteckna också ditt IMEI-nummer, telefonens identifieringsnummer vilket du använder för att spärra enheten vid en polisanmälan. Du hittar numret enklast genom att slå in koden *#06# på knappsatsen som när du ska ringa.

Anslut aldrig till ett öppet trådlöst nätverk

Bild på https facebookDet är tragiskt att se att så få människor är medvetna om vilka risker de som individer tar när man väljer att ansluta till ett öppet trådlöst nätverk. Det gäller inte bara civilpersoner, utan också anställda på myndigheter, som jag tidigare också skrivit om.

Anslut inte till första bästa öppna nätverk. Det är inte säkert att det är Stockholms Centralstation som erbjuder dig gratis internet. Det kan likväl vara en ond människa som vill stjäla dina uppgifer och kanske infektera din dator med virus.

Med hjälp av gratis mjukvara kan man enkelt sätta upp en miljö för en Man-in-the-middle attack. Det handlar alltså att all trafik till internet först går genom en dator som loggar alla uppgifter om webbsidor, lösenord och andra känsliga uppgifter. Det är enkelt för förövaren att utge sig för att vara vilket gratis nätverk som helst, även på en konferens för försvar och säkerhet. Det finns till och med mjukvara som utger sig för att vara ditt hemmanätverk som din telefon eller dator ansluter till automatiskt när du är i närheten.

Så, hur skyddar du dig?

Den bästa lösningen är givetvis att du stänger av trådlöst nätverk i din telefon så fort du lämnar hemmet. Om telefonen automatiskt söker efter nya nätverk är det en risk. Bland andra så använder också butiker wifi för att kartlägga dina köpvanor och hur du som konsument rör dig. Den kan också, som tidigare nämnt, ansluta dig automatiskt till ditt ”hemma-nätverk” fast du är på affärsresa.

Om du måste logga in på ett trådlöst nätverk på en publik plats, även på hotellet, biblioteket, jobbet eller i skolan så är det viktigt att du alltid säkerställer att alla inloggningar sker när du är ansluten till webbplatsen med SSL, det står https:// innan webbadressen, för att den data du skickar, inklusive kortuppgifter och lösenord, ska bli krypterad.

Ett extra steg du också borde ta är att använda dig av VPN där all trafik till och från din dator går genom en krypterad tunnel ut på internet, eller till ditt företags eller ditt hemmanätverk. Det finns ett flertal olika leverantörer som erbjuder tjänsten för några tior, om du inte själv har kunskap om att sätta upp en egen VPN-server. Om du använder en VPN-tjänst så ser en eventuell förövare endast krypterad trafik i sitt avlyssningsprogram. Förutsatt att du använder en stark kryptering som OpenVPN, och inte pptp som redan är knäckt.

https://www.youtube.com/watch?v=yr5upPHqhlA

MSB:s e-posttrafik avlyssnad hos Folk och Försvar

Myndigheten för samhällsskydd och beredskapFolk och Försvar genomförde 11-13 januari i år Rikskonferensen – Sveriges viktigaste forum för diskussioner om säkerhetspolitik, försvar och krisberedskap. Den texten kan vi läsa på deras hemsida.

På Rikskonferensen samlades alltså Sveriges främsta inom försvar och säkerhet. Man kan därför tycka att deras medvetenhet om informationssäkerhet är på elitnivå. Tyvärr verkar det inte vara så.

Gustav Nipe, ordförande för Ung Pirat, Piratpartiets ungdomsorganisation, kom tidigare under veckan ut med en debattartikel där han förklarade att Ung Pirat valt att sätta upp ett eget trådlöst nätverk som var öppet för allmänheten. Nätverket, kallad Öppen Gäst, var avlyssnad och all trafik loggades. Till Dagens Nyheter säger Nipe att de lyckats samla på sig flera gigabyte av loggfiler med trafikinformation.

I debattartikeln på Nyheter 24 avlöjas det att det gjorts anslutningar till mejl-servern hos Myndigheten för samhällsskydd och beredskap (MSB). Nu vill jag ogärna vara negativ, men att anställda på myndigheten som har som uppgift att samordna arbetet med samhällets informationssäkerhet väljer att använda en öppen anslutning är ett allvarligt hot mot Sveriges säkerhet.

Antagligen är detta enbart toppen av ett isberg. Det är säkert inte bara anställda på MSB som fullständigt skiter i rikets säkerhet och frångår regler som finns inom myndigheten, organisationen eller företaget.

Sedan kan man i och för sig diskutera hur lämpligt det är att man kan ansluta till myndigheters e-postservrar utan att först logga in på det interna nätverket via en krypterad VPN. Men trafiken är troligtvis krypterad på något sätt.

Nu var det antagligen inte bara personer från MSB som anslöt till Ung Pirats trådlösa nät. De som gjorde det, oavsett anställning, måste få kunskap om grundläggande IT-säkerhet.

Anslut aldrig till öppna nät. Logga aldrig in på sidor via öppna nät. Använd alltid VPN om du ansluter till öppna nät.

Har ni läst Ghost in the Wires av Kevin Mitnick?

För att följa upp gårdagens inlägg presenterar jag för er Kevin Mitnick. Han arbetar idag som IT-säkerhetskonsult för sitt eget företag, Mitnick Security, men är också känd som en amerikansk hackare och social engineer.

Social Engineering uses influence and persuasion to deceive people by convincing them that the social engineer is someone he is not, or by manipulation. As a result, the social engineer is able to take advantage of people to obtain information with or without the use of technology.

Alla som arbetar med säkerhet, eller är intresserade av ämnet, måste läsa de böcker han har skrivit. Först vill jag rekommendera er Ghost in the Wires, vilket är en biografisk bok som beskriver Mitnicks uppväxt och hans snåriga väg genom olika identiteter fram tills han blev arresterad.

The Art of Deception är mer en instruktionsbok där man får ta del av olika scenarion och där du som läsare får veta hur du ska undvika att den beskrivna situationen uppstår i ditt företag. Boken har några år på nacken, drygt 10 år, och idag använder vi allt mer sällan faxmaskiner, åtminstone i Sverige.

Kevin Mitnick besökte tidigare i år Nordic eCommerce Summit 2014, och efter att du sett det kommer du förhoppningsvis att förvara ditt passerkort, eller din elektroniska nyckel till hemmet, i en rfid-blockerande väska.