Når tillid bliver til naivitet ...

- kort betragtning udledt af den igangværende sag om se(t) og hør(t) (udfra et it-forensic fokus).

Jeg er stor Løgstrup fan og tror på tankerne om den grundlæggende tillid, der gør vi som mennesker tør leve sammen og være sammen. Det jeg frygter, er når tilliden gør os til lalleglade ignoranter der ikke vil indse, at vi bliver nødt til at tage vores forholdsregler.

Hvordan kan det være at IBM, NETS og SE & HØR på ingen måde har haft kontroller, monitoreringer og tests, der kunne mistænke/afsløre et langvarigt ulovligt forhold. Sikkert fordi “overvågning” af medarbejdere er noget man i Danmark helst ikke taler om eller ud fra en misforstået etisk forståelse ikke tør anvende. 

En naturlig opmærksomhed (som er noget andet end mistænkeliggørelse) samt “kendte” kontroller af den digitale aktivitet, bør som minimum være tilstede i de virksomheder der er kristiske for vores samfund. 

Disse (og andre) virksomheder bør tage tilgangen og erkende, at det ikke er et spørgsmål OM der foregår noget uhensigtsmæssigt men mere om HVAD og HVOR!

Istedet for at tænke, at overvågning er uetisk eller forbudt, så få implementeret en intelligent forebyggende opmærksomhed på flere fronter, alene med det formål, at beskytte virksomheden, kunderne og medarbejderne. 

Heartbleed / Heartbeat – i korte forhåbentlige forståelige træk

it verden har i de sidst par døgn været helt på tåspidserne. Årsagen er, at en fejl i et af de "moduler" der skal sikre vores data når det transporteres på internettet, gør at udefrakommende uopdaget kan hente informationer fra servere og websites som vi ellers stoler på.

I værste tilfælde kan dine brugeroplysninger og passwords være opsnappet og gemt til senere brug. Mange eksperter råder til at skifte passwords, men jeg deler den holdning, at det er det værst tænkelige tidspunkt at gøre det på. Sårbarheden er kendt af alle nu og mange vil se hvad de kan få ud af de servere der endnu ikke er opdateret. Hvis du skifter dit password på en sårbar side nu, er sandsynligheden stor for, at nogen opfanger dit passwordskifte. Havde dit password været gemt ville det sandsynligvis allerede (da hullet har været der i ca. 2 år) været brugt mod dig.

Jeg anbefaler at du finder ud af om den side du overvejer kan være ramt også faktisk er ramt. Brug et testsite til at teste en side/server - hvis du får et positivt resultat så brug lidt tid på at finde ud af hvorfor ved at læse årsagen til resultatet - da det kan skyldes andre ting (blandt andet at der er sat et værn op mod sårbarheden).

Alternativt er at se på denne liste over ikke sårbare sider (samt sider man skal være varsom med til man ved mere)

Hvis siden er ramt eller på listen - VENT med at skifte password - hvis den er sikker SKIFT password

Hold også øje - uden at gå i panik - med dine kontoudtog hvis du på nogle af de sårbare sider har brugt betalingskort.

Jeg har set en top 10000 liste og der er ikke umiddelbart sider som jeg vurderer der er mange danskere der bruger, men igen har jeg ikke overblik over situationen på danskernes foretrukne sider.

Hvis du vil læse mere på dansk og se flere værktøjer så blandt andet test af din egen server, så læs Henrik Lund Kramshøjs blog


Lidt mere teknisk

Så længe man bruger en af de sårbare versoner af OpenSSL (version 1.0.1 og 1.0.1f og 1.0.2-beta1) er der et problem.

Er du i tvivl eller ønsker du jeg tester din server / NAS ect. så kontakt mig endelig.

Løsningen er er opgradere din openSSL, indsætte regler for IDS der blokerer muligheden samt overveje udskiftning af nøgler (se Henrik Kramshøjs blog).

Muligt "hul" på LinkedIn

UPDATE: 

Trods en tests igår viser det sig ved efterfølgende tests at "hullet" ikke slår igennem udaftil. Derfor kan vi konkluderer, at der ikke er et sikkerhedsproblem selvom vi undrer os over funktionerne. 


_____

Det viser sig at være muligt, at ændre vitale informationer hos alle ens 1. connections og på alle man har inviteret til at connecte (selvom de ikke har accepteret) på LinkedIn. Om der er tale om en fejlindstilling i administrationen af en enkelt profil eller om det er et kendt "hul" vides ikke. Uanset hvad er det meget uheldigt. 

"Jeg har personligt set, hvad det er eMino Security kan gøre og det skræmmer mig, at det er muligt" siger Birgitte Kofod, formand for rådet for digital sikkerhed. 

eMino Security går nu igang med, at undersøge "hullet" til bunds og forventer at kunne give LinkedIn en melding i løbet af fredag. eMino Security ønsker ikke, at offentliggøre "hullet" da det kan skabe unødig uro.

Pas nu på med de informationer på nettet!

Vi har efterhånden lært at mails fra skat der kræver konto oplysninger ikke er rigtige, så hvad gør hackerne så? De målretter deres angreb ved at bruge lidt tid på info søgning og håb om at man accepterer en fiktiv venneanmodning eller linkedin connection. 

Fakta er at vi i stigende grad afgiver informationer om os selv på nettet via sociale medier, blogs, kommentarer, evalueringswebsites, dba, ect. Om man helt skal holde sig væk er et godt spørgsmål. Helt grundlæggende så er det summen af de samlede informationer man kan finde der udgør en risiko. Når man kommenterer indlæg som her eller f.eks. på en avis giver man uvildigt informationer der kan bruges mod en.

Og det er tit chokerende for folk når vi præsenterer dem for hvad vi på lovlig vis kan finde ud af om dem på kort tid ved, at bruge de rigtige værktøjer. 

Hvis jeg skulle give et råd så opret en fiktiv mail og identitet og brug den de steder hvor du afgiver "følsom information". Lad være med at bruge din Facebook eller Twitter konto til login på diverse services.

Et eksempel er et sted som Trustpilot. Trustpilot indeholder ret interessante informationer om brugerne. Heldigvis er der mange der ikke lige afslører deres identitet ved at kalde sig f.eks. "Kunde". Men som et lille åbenlyst eksempel så se på denne profil:

Eksempel 

Det er ret let at finde ud af at brugeren Erik Lund Panduro formegentlig er gift med Lissie. Erik arbejder hos Nordisk Institutionsmedia og bor Krovej 2B, 5874 Hesselager. Erik kan fanges på 21472740. For en hacker eller identitetstyv vil det være let at fortsætte og finde flere informationer og enddag vide fra hvilke firmaer der skulle sendes fiktive mails for at forsøge at få f.eks. dankort oplysninger. Man kunne begynde at se om Anja og Line Maria kunne være døtrene. Men fakta er at viden om salg af guld og hurtiglån er brugbar viden i en hackers/tyvs verden. 

Hvorvidt det er en reel trussel handler om hvem man er, hvad man har på spil og om man kan gennemskue de mails og connections man får. Desværre viser vores undersøgelser at alt for mange accepterer venneanmodninger og connections uden at vide hvem de lukker ind, ligesom man ukritisk deler informationer der alene synes ufarlige men samlet kan udgøre en reel trussel.  

Og det er ikke kun hackerne der bruger informationerne. Vi har gennem tiden hjulpet mange med at få et overblik over de samlede informationer på nettet og få fjernet dem der er uønsket ved at kontakte dataholder. På den anden side har har vi hjulpet arbejdsgivere, forsikringsselskaber og detektivbureauer med at finde informationer om personer. Så overvej hvordan du bruger nettet og hvad du inddirekte og direkte fortæller om dig selv. 

CCFE

Certified Computer Forensic Examiner. Så kom beviset på endnu en bestået certificering.

Certificeringen bestod af 2 dele, dels en multiple choice test på tid og en praktisk del hvor en kopi af en harddisk skulle gennemsøges for spor og beviser på, at have været brugt til ulovligligheder.

Jeg har indtil nu været brugt af dedektivbureauer samt mistænksomme privatpersoner der ville have deres partners harddisk undersøgt for spor på utroskab.

Med certificeringen på plads kan virksomheder der har mistanke om medarbejderes svindel få undersøgt om der er hold i dette, inden en politianmeldelse. Ligeledes vil forsikringsselskaber og revisionsselskaber kunne drage fordel i at genskabe/efterforske på data. Hvorvidt staten af og til udliciterer opgaver til specialister er jeg ved at undersøge.

Skulle du ønske en fortrolig snak om mulighederne i forhold til it efterforskning så kontakt mig gerne på telefon 40 87 60 91

Kenneth Jørgensen, eMino Security & Forensic

Codan og Csis føljeton

(Dette blog indlæg er en opfølgning på min reaktion mod Codan og Csis´s agressive markedsføringskampange mod små og mellemstore virksomheder i forhold til at tegne en krimforsikring, da den ikke dækker det der oftes er problemet, nemlig driftstabet fra virksomheden rammes til den er på foged igen. Derudover finder jeg det problematisk når rådgivnings virksomheder ikke er uvildige. eMino Security er en uvildig rådgivningspartner når det handler om hjælp til it-sikkerhed.)

Først tak til alle jer i mit netværk der var medvirkende til, at Codan reagerede og nu gerne ville sende mig deres guide og betingelser som jeg har gennemgået. 

I forhold til krimforsikringen har jeg stillet 6 uddybende spørgsmål til Codan. 

Det er en overordnet en fin guide. Det er altid svært at tale om "vigtigste råd" i forbindelse med it-sikkerhed, men Codans 3 råd (antivirus, opdatering og backup) er relevante og hænger (sjovt nok) sammen med kravene i Codans forsikring. Jeg savnede rådet om opmærksomhed og sund fornuft fra medarbejderne, men det var beskrevet på den efterfølgende side. 

Jeg er MEGET UENIG i tippet omkring det gode password. Idag handler password om længde, forskellighed og udskiftning. 7 tegns password, som tippet viser i Codans vejledning, er simpelthen ikke godt nok. Se evt. mit blog indlæg om emnet.

Codan kunne godt i vejledningen have nævnt, at man kan få hjælp hvis man rammes. DK-cert kan kontaktes 24/7 for analyse og giver forslag til løsninger - se https://www.cert.dk/kontakt/

Det bliver spændende at følge Codans og de øvrige forsikringsselskabers sager i de tilfælde hvor forsikringen ikke dækker, da der er mange krav og fortolkningsmuligheder. 

SØGNING: Kender du nogen som har en netbanksforsikring / krimforsikring og som ikke har fået godkendt erstatning så vil jeg meget gerne i kontakt med dem. 

Hvis du keder dig så prøv at søge på krimforsikring på Codans hjememside - ret sjovt søgesvar man får ud af det (-:

Smarttv og it-sikkerhed

eMino Security har igennem længere tid testet smarttv og mulighederne for at hacke dem, herunder at udnytte et evt. indbygget webcam til at overvåge rummet som smarttvet står i.

Konklusionen er klar på det smarttv der er testet på - det er ikke smarttvet som produkt der udgør en trussel, men mere andre omstændigheder i forbindelse med smarttvet. 

De omstændigheder eMino Security vurderer udgør en trussel for it-sikkerheden er:

• Enhver enhed på ens netværk udgør en trussel. Det gælder for smarttv som for andre enheder, åat de jævligt skal opdateres. Denne process er ikke lige let på alle smarttv og der er ikke indbygget automatisk information om hvornår der er en opdatering klar.

• Fakta er, at de fleste smarttv sender i "plaintekst" hvilket betyder at data som f.eks. login og kreditkortoplysninger sendes ukrypteret og dermed kan ses hvis man ER blevet hacket. Det tv eMino Security har testet på, informerede om dette forhold.

• Et tv laver meget trafik på netværket og har man opsat et trådløs netværk gør den øgede trafik det lettere at hacke netværket hvis man ikke har den fornødne sikkerhed.

• En ny gruppe af brugere er kommet til. Mange finder ud af hvor let det er at købe ting og hente programmer via smarttvet og hvor brugeren måske tidligere ikke har anvendt nettet til e-handle og downloads begynder man at gøre det nu, uden at kende farerne.

• TV producenterne har ingen gode grunde til at skulle poste mange penge i sikkerhed når tvet i forvejen er presset i pris (dette er naturligvis en påstand fra vores side).

• Det er ikke tydeligt hvordan kontrollen med de programmer (apps) man kan hente til tvet er. Er det som til android "et slaraffenland for alle" eller som til ios "et meget kontrolleret land".

Det er vores vurdering, at hvis man tager de fornødne forholdsregler som ved enhver anden enhed man har på sit netværk, så er det lige nu kun en meget lille personkreds der har kompetencerne til at hacke et smarttv direkte.