Når tillid bliver til naivitet ...

- kort betragtning udledt af den igangværende sag om se(t) og hør(t) (udfra et it-forensic fokus).

Jeg er stor Løgstrup fan og tror på tankerne om den grundlæggende tillid, der gør vi som mennesker tør leve sammen og være sammen. Det jeg frygter, er når tilliden gør os til lalleglade ignoranter der ikke vil indse, at vi bliver nødt til at tage vores forholdsregler.

Hvordan kan det være at IBM, NETS og SE & HØR på ingen måde har haft kontroller, monitoreringer og tests, der kunne mistænke/afsløre et langvarigt ulovligt forhold. Sikkert fordi “overvågning” af medarbejdere er noget man i Danmark helst ikke taler om eller ud fra en misforstået etisk forståelse ikke tør anvende. 

En naturlig opmærksomhed (som er noget andet end mistænkeliggørelse) samt “kendte” kontroller af den digitale aktivitet, bør som minimum være tilstede i de virksomheder der er kristiske for vores samfund. 

Disse (og andre) virksomheder bør tage tilgangen og erkende, at det ikke er et spørgsmål OM der foregår noget uhensigtsmæssigt men mere om HVAD og HVOR!

Istedet for at tænke, at overvågning er uetisk eller forbudt, så få implementeret en intelligent forebyggende opmærksomhed på flere fronter, alene med det formål, at beskytte virksomheden, kunderne og medarbejderne. 

Heartbleed / Heartbeat – i korte forhåbentlige forståelige træk

it verden har i de sidst par døgn været helt på tåspidserne. Årsagen er, at en fejl i et af de "moduler" der skal sikre vores data når det transporteres på internettet, gør at udefrakommende uopdaget kan hente informationer fra servere og websites som vi ellers stoler på.

I værste tilfælde kan dine brugeroplysninger og passwords være opsnappet og gemt til senere brug. Mange eksperter råder til at skifte passwords, men jeg deler den holdning, at det er det værst tænkelige tidspunkt at gøre det på. Sårbarheden er kendt af alle nu og mange vil se hvad de kan få ud af de servere der endnu ikke er opdateret. Hvis du skifter dit password på en sårbar side nu, er sandsynligheden stor for, at nogen opfanger dit passwordskifte. Havde dit password været gemt ville det sandsynligvis allerede (da hullet har været der i ca. 2 år) været brugt mod dig.

Jeg anbefaler at du finder ud af om den side du overvejer kan være ramt også faktisk er ramt. Brug et testsite til at teste en side/server - hvis du får et positivt resultat så brug lidt tid på at finde ud af hvorfor ved at læse årsagen til resultatet - da det kan skyldes andre ting (blandt andet at der er sat et værn op mod sårbarheden).

Alternativt er at se på denne liste over ikke sårbare sider (samt sider man skal være varsom med til man ved mere)

Hvis siden er ramt eller på listen - VENT med at skifte password - hvis den er sikker SKIFT password

Hold også øje - uden at gå i panik - med dine kontoudtog hvis du på nogle af de sårbare sider har brugt betalingskort.

Jeg har set en top 10000 liste og der er ikke umiddelbart sider som jeg vurderer der er mange danskere der bruger, men igen har jeg ikke overblik over situationen på danskernes foretrukne sider.

Hvis du vil læse mere på dansk og se flere værktøjer så blandt andet test af din egen server, så læs Henrik Lund Kramshøjs blog


Lidt mere teknisk

Så længe man bruger en af de sårbare versoner af OpenSSL (version 1.0.1 og 1.0.1f og 1.0.2-beta1) er der et problem.

Er du i tvivl eller ønsker du jeg tester din server / NAS ect. så kontakt mig endelig.

Løsningen er er opgradere din openSSL, indsætte regler for IDS der blokerer muligheden samt overveje udskiftning af nøgler (se Henrik Kramshøjs blog).

Muligt "hul" på LinkedIn

UPDATE: 

Trods en tests igår viser det sig ved efterfølgende tests at "hullet" ikke slår igennem udaftil. Derfor kan vi konkluderer, at der ikke er et sikkerhedsproblem selvom vi undrer os over funktionerne. 


_____

Det viser sig at være muligt, at ændre vitale informationer hos alle ens 1. connections og på alle man har inviteret til at connecte (selvom de ikke har accepteret) på LinkedIn. Om der er tale om en fejlindstilling i administrationen af en enkelt profil eller om det er et kendt "hul" vides ikke. Uanset hvad er det meget uheldigt. 

"Jeg har personligt set, hvad det er eMino Security kan gøre og det skræmmer mig, at det er muligt" siger Birgitte Kofod, formand for rådet for digital sikkerhed. 

eMino Security går nu igang med, at undersøge "hullet" til bunds og forventer at kunne give LinkedIn en melding i løbet af fredag. eMino Security ønsker ikke, at offentliggøre "hullet" da det kan skabe unødig uro.