Hvordan prioriterer du IT-sikkerhed?

Man siger at IT-sikkerhed er “på alles læber”. Også hos bestyrelsen, hvilket jo burde være en god udvikling.

Men er det baseret på facts eller skræmme kampagner?

Siden jeg startede i IT-sikkerhedsbranchen for mere end 35 år siden, har branchen formået utallige gange at lave skræmmekampagner, som medierne har taget imod med kyshånd.Det er jo en fælles interesse.

  1. Medierne får flere klik, dermed flere annoncekroner, og i gamle dage betød det flere solgte aviser.
  2. IT-sikkerhedsbranchen sælger flere produkter, fordi kunderne er skræmte.

Meltdown.

Meltdown er en sårbarhed, der er i stort set alle computere, Desktops, Servere, Smartphones og Cloud Servere.

Den blev opdaget i januar 2018.

Medierne og IT-sikkerhedsbranchen gik helt i selvsving. TV nyhederne fortalte om hvilken katastrofe vi så hen imod, og diverse IT-sikkerheds eksperter udtalte sig om dommedag.

Findes der et Proof-of-Concept?

Ja, GitHub , en hjemmeside ejet af Microsoft, hvor man ofte deler programmer og i dette tilfælde Proof of Concept, har også diverse programmer man kan hente for at demonstrere Meltdown.

Da man præsenterede Meltdown, viste man også hvordan man kunne angribe computere.

Hvad kan man gøre?

De forskellige udbydere af berørte enheder har udgivet opdateringer. Men jeg tror, det gælder for dem alle, at performance vil blive negativt påvirket. Nogle installerer opdateringer, en del fik såkaldt “Blue Screen of death” på windows maskiner, og Linux performance faldt med 60%.

Kender du nogen, der er blevet ramt?

Nu mere end 3,5 år efter, kender jeg ikke til et eneste tilfælde, hvor en virksomhed er blevet ramt. Kender du nogen? Ikke bare hørt noget om en, men dig selv eller nogen du kender godt? Så må du meget gerne sende mig en mail ole@schmitto.dk(mailto:ole@schmitto.dk)

95% af alle succesrige angreb skyldes manglende opdatering eller brugere der snydes.

Jeg vil påstå, at 95% af succesrige angreb mod computere, servere eller klienter, skyldes manglende sikkerheds opdateringer eller brugere der snydes (social Engineering) via mail, telefonopkald eller hjemmesider.

Desværre oplever jeg sjældent, at det er de to områder der har IT’s eller bestyrelsens højeste prioritet eller budget. Ofte er det kun 5% af ressourcerne, der bruges i dette område.

3 gode råd

  1. Kend dit setup, server, klienter og cloud. Det du ikke kender, kan du ikke beskytte.
  2. Prioriter dine sikkerheds opdateringer, ud fra hvad man ved aktivt anvendes til angreb samt risikoprofilen på enheden.
  3. Uddan kontinuerligt dine brugere i at være “årvågne og mistænksomme”.
Læs videre

Jeg er skiftet fra Chrome til Edge

– Windows brugere bliver snart tvunget derover

Som Mac bruger er det mest oplagte browservalg jo Safari. Ikke mindst fordi Apple gør en del for at beskytte vores privatliv, når man anvender Safari.

Hvis du har en Mac og bruger Safari, kan du jo lige checke Anonymitet Rapporten via Safari / Anonymitet Rapport.

Og se hvor mange gange Safari har blokeret for sporings mekanismer. Du kan se min herunder.

Hvad er problemet med Google Chrome?

Da Chrome jo er den dominerende browser, er der en del hjemmesider, der fungerer bedst med Chrome 😢

Mit problem med Chrome er Googles forretningsmodel, -som jo går ud på at sælge dine og mine data.

Er du sikker på at Google Chrome sikkerheds opdateres?

De fleste er gode til at sikkerhedsopdatere operativsystemer som Windows, mens 3. parts applikationer som Google Chrome ofte halter. Selvom Google Chrome bør “selv opdatere”, ser jeg ofte noget andet. Hos de kunder hvor jeg håndterer deres Vulnerability management og Patch Management via Qualys, ser jeg ofte, at Google Chrome ikke er opdateret.

Hvad er Microsoft Edge?

Microsoft Edge er Microsofts nye standard browser, der afløser Internet Explorer.

the Internet Explorer 11 desktop application will be retired and go out of support on June 15, 2022, for certain versions of Windows 10.

Microsoft er baseret på samme kode som Chrome browseren, så man får samme kompatibilitet, og mulighed for at installere de fleste af de plugins man kender fra Google Chrome. Men da Microsoft’s forretningsmodel IKKE er at sælge vores data, og samtidig tilbyder nogle gode privacy settings, vil jeg klart råde dig til at bruge Microsoft Edge frem for Google Chrome.

Læs mere om Edge på Microsoft hjemmeside, og få endnu flere argumenter (Microsoft) om hvorfor du skal skifte til Microsoft Edge.. -> The future of Internet Explorer on Windows 10 is in Microsoft Edge | Windows Experience Blog herunder diverse guides om hvordan du udfører skiftet i en virksomhed.

Læs videre

Hvor hurtigt skal du sikkerheds opdatere?

Plaster Windows

Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.

Spørgsmålet blev for mange pludselig virkelighed, da deres mailsystem måtte lukkes på grund af en sårbarhed i Microsoft Exchange. Jeg skrev om denne hændelse d. 14 marts 2021 Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

4 minutter og 59 sekunder.

Det var den tid du havde, til at opdatere din Exchange server, inden angrebene begyndte. Ifølge firewall producenten Palo Alto, begyndte angriberne, 5 minutter efter at Microsoft annoncerede sårbarheden, at scanne aktivt, og dermed inficere og overtage virksomhedens mailsystem.

Det er nemt at angribe!

I dag kan man leje sig ind på en server i skyen for 100kr og udføre dedikerede scanninger efter kendte sårbarheder, -i dette tilfælde HAFNIUM.

Det er dog ikke kun HAFNIUM, der scannes efter kontinuerligt. En af de andre, der søges rigtig meget efter, er Remote Desktop, som gennem de senere år har haft flere sårbarheder.

4 Gode råd:

  1. Få overblik over enheder, både dem du kender, og de ukendte, som du finder ved at overvåge netværkstrafikken for ukendte enheder.
  2. Prioriter dine enheder. Hvor vigtige er de for forretningen, og kan de tilgåes direkte ude på internettet.
  3. Prioriter din opdateringer, så du altid fokuserer på dem med størst risiko.
  4. Hav realtids viden om dine enheder, netværk, servere, klienter, cloud services, mobile enheder og hjemmearbejdspladser, så du hurtigt kan skabe dig et overblik, når en ny sårbarhed annonceres og bruge din fokus de rigtige steder.

Så svar på hvor hurtig du skal opdatere er:

Hurtigt, baseret på konkret prioriteret viden!

Kontakt mig gerne på 4025 3921, hvis du vil vide mere om, hvordan du kommer på forkant med sårbarheder.

Læs videre

6 gode råd om beskyttelse mod Ransomware:

Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.

  1. Angreb mod de systemer der styrer en 8.000 km lang olie distributions ledning i USA, som betød, at der pludselig blev mangel på benzin til de forslugne amerikanske biler.
  2. Angreb mod det Irske sundhedsvæsen, som betød problemer med COVID-19 tests og andre sundheds services.

Hvad sker der i et Ransomware angreb?

Dine filer bliver krypteret, så du ikke længere kan læse dem

Hvordan kommer Ransomware typisk ind i virksomheden?

Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.

Hvordan får jeg mine filer igen?

  1. Betaler angriberen den løsesum “ransom” han kræver.
  2. Restore ved hjælp af dit backup system.

Får man sine filer igen, hvis man betaler angriberen?

Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.

Bør man betale?

Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.

  1. Olielednings firmaet skulle efter sigende havde betalt 30 millioner kr. for at modtage krypteringsnøglen. Så jeg er sikker på, at de er et emne igen for ny Ransomware.
  2. Det Irske sundhedsvæsen har tilsyneladende afvist at betale.

Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.

6 gode basis råd til at undgå Ransomware

  1. Kend dit setup. Sikre dig at alle enheder opdateres, både servere, klienter, operativsystemer og 3. parts software. Jeg bruger Qualys til dette.
  2. Check alle ind- og udgående mails for links og vedhæftede filer.
  3. Hav et backup system, hvor data også findes udenfor virksomheden, så backup data ikke også bliver krypteret. Se denne blog artikel om: Hvorfor er backup 3-2-1 vigtig for dig
  4. Check at du kan restore kritiske data mindst hver 6. måned.
  5. Brug et anerkendt ransomware produkt/service til at beskytte klienter og servere.
  6. Fortæl brugere, at hvis de er i tvivl, så klik aldrig på links eller ukendte filer.

Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.

Læs videre

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.
Læs videre

Vil du lige checke denne forretningsplan?

Jeg modtager en mail fra en af mine gode venner, der beder mig kigge på en forretningsplan.

Det første der slår mig er, at den er sendt til rigtig mange personer. Dernæst er det ikke måden denne person ville bede mig kigge på en forretningsplan på.

Jeg ringer til vedkommende, og med det samme konstaterer jeg at det er en falsk mail, der kunne have det formål at inficere modtagerens PC. Jeg checker de tekniske data på mail’en, det kan de fleste mail klienter, hvor man kan se afsenders SMTP, og om mail er verificeret via SPF, DMARC og DKIM. Alting indikerede, at mail’en var afsendt fra kontaktens konto. Så det betyder, at en fremmede har adgang til hans mail konto.

I mail’en er der et link til forretningsplanen, og linket er placeret i afsenders OneDrive, så dokumentet er placeret på det korrekte domain. Så her er der jo gjort alt for, at denne mail skal opfattes af modtager som OK.

Oprydningen

Det første jeg foreslår er, at password ændres, så vi med det samme lukker angriberen ude. Det viste sig desværre, at 2-faktor ikke var aktiveret her.

Det specielle er, at man kan ikke se den afsendte mail i send boksen. Jeg returnerer nu den afsendte mail, så han kan se den, men den kommer aldrig frem. Det viser sig her, at den ligger i skraldespanden, sammen med en del andre indkomne mails.

Jeg beder ham logge ind på hans O365 online konto på https://outlook.Office.com og derinde trykke på “tandhjulet” oppe i højre hjørne, i søgefelt skrive “regler” og så vælge “regler for inboks”. Her finder vi en regel der siger, at ALLE indgående mails sendes direkte til skraldespanden.

Hvad skete der egentlig?

  1. Adgang til mail i O365 Angriberen har på et tidspunkt fået adgang til O365 mail konto, med brugernavn og password, og da personen ikke har aktiveret 2-faktor, er det alt, der kræves for at få adgang.
  2. Dokument der redirigerer Angriben har lagt sit dokument indeholdende en URL, der automatisk henviser til en hjemmeside, angriberen kontrollerer.
  3. Inficering af PC når du trykker på linket i mail’en, sendes du altså til angriberens hjemmeside. Den tjekker hvilken browser du bruger, forsøger at udnytte sårbarheder i denne og ransomware fil hentes. Brugeren skal måske klikke på “dokumentet”, for at installere et program der krypterer harddisken og alle dens data, og man skal nu betale “løsesum” for at få sine data igen, eller genskabe fra backup.
  4. Inboks regel i O365, der tager alle indkomne mails og sletter dem. Da det er i skyen, er reglen altid aktiv, hvad enten PC’en kører eller ej.

Hvordan undgår man et sådan angreb?

2-faktor aktivering på mail konto ville have forhindret angriberen i at logge ind. Den ville også have givet et hint om, at der var nogen, der havde ens brugernavn og passwords, for man ville jo modtage en besked om 2-faktor godkendelse, selvom man ikke selv havde bedt om det.

Beskyttelse mod indkomne trusler

Udover at beskytte sin mailkonto mod uautoriseret adgang, bør man også beskytte den mod indkomne trusler.

Office 365 Advanced Threat Protection giver dig bedre sikkerhed på mails, blandt andet i forbindelse med vedhæftede filer og links.

3. parts løsninger som Trend Micro tilbyder også løsninger, der giver endnu bedre mail sikkerhed.

Læs videre

Google ved at pege

“Google det” er jo ofte et udtryk man bruger. Udfordringen er så nogle gange, at det kan være svært at definere, hvad man skal skrive, når man Google’er.

Google Lens der er en kunstig intelligens teknologi, kan ikke bare identificere et objekt foran kameraet, men kan også andre ting, som oversætte og meget mere.

  • Find et produktTag et billede af en ting du vil købe
  • Restaurant anmeldelse Tag et billede af den restaurant du står udenfor.
  • Historie om en bygningIgen tag et billede
  • Hvad er det for et plantage – træ Tag et billede
  • Hvad hed det sted vi varBruger du Google foto’s kan du der nederst i menuen finde Google lens, som så vil analysere det billede du tog, og komme med forslag.

Kort fortalt så forsøger Google lens, at identificere det du peger den imod, og komme med relevante oplysninger… så det bliver nemmere at “Google det”

Hvor finder jeg Google Lens

  • AndroidFunktionen var i starten kun tilgængelig i Googles egne Pixel android telefoner, men findes nu på de fleste Android enheder, og kan for Android brugere downloades her på Google Play
  • IPhone Google lens findes på iPhone. Her kan du enten bruge den i den dedikerede Google søg app, eller hvis du bruger Google fotos.
  • Google fotos Installer Google fotos og tryk så på Google Lens ikonen

Men husk, at Google er Google. De lever af reklamer, så det du viser Google, gemmer Google om dig. Og selvom servicen er gratis, giver du Google mere info om dig selv, til brug for profilering, og til at vise dig relevante annoncer.

Læs videre

Læs Datatilsynets årsberetning for 2019

Datatilsynet har offentliggjort deres årsberetning for 2019, der bl.a. omtaler væsentlige afgørelser i løbet af året.

Årsberetningen giver også et indblik i Datatilsynets virksomhed igennem 2019 og dykker ned i en række konkrete sager, der er blevet behandlet af Datatilsynet.

Du kan hente den her hos Datatilsynet

Læs videre

Hvad er en hacker?

I den brede offentlighed er det en kriminel person, der angriber virksomheder eller private for at tjene penge.

Men en hacker er også en person, der “hacker” en dims eller et system for egen vinding eller bare for sjov.

Læs videre