IT-sikkerhed
Mandag morgen d. 2 januar fik jeg besked om, at mine data var stjålet fra hjemmesiden Deezer.com. Jeg var en ud af i alt 229.037.936 Deezer brugere, der fik den oplevelse.
Deezer er en musik service, som flere mobil selskaber tilbyder, som en del af deres abonnement.
Læs videre “Ole, dine data er stjålet!”
August 2022 blev LastPass angrebet. LastPass skriver nu 22 december, 2022 på deres blog, at angriberne fik adgang til deres kunders data.
Læs videre “LastPass Password Manager hacket med succes”
Den nuværende situation omkring Twitter og dennes fremtid, syntes jeg er meget usikker, så jeg foreslår at man forbereder sig på det værste. Jeg oprettede mig selv på twitter i 2007, men har aldrig brugt Twitter som en fast del af min hverdag.
Læs videre “Er Twitter beskeder en sikkerhedsrisiko”
Jeg har været i IT sikkerhedsbranchen siden 1987 (35 år), og der er stadig forkortelser, jeg anvender dagligt, uden præcis at kende betydningen.
Har du det på samme måde? For i de næste nyhedsbreve vil jeg studere og fokusere på nogle af de udtryk, der anvendes i forbindelse med sårbarheds skanning. Håber du også lærer noget nyt.
Læs videre “Sårbarhedsskanning – kapitel 1 – CVE”
IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
F.eks. 2-faktor login til systemer der kan tilgås remote.
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Du må ikke overføre personhenførbare data til 3. lande. Så hvis du anvender cloud services som er amerikansk ejede, har du en udfordring, da der ikke på nuværende tidspunkt er en nem løsning i henhold til USA og GDPR.
Vi har siden juni 2021 ventet på at EU og USA skal blive enige om en løsning, der gør at data igen kan overføres. Så alle venter på denne løsning.
Datatilsynet venter dog ikke på dette, men vil sikre sig at din virksomhed lever op til de gældende regler, og ikke dem der forventes at komme en dag.
Du skal sikre dig, at reglerne følges ved dataoverførsel til 3. lande.
Det bedste eksempel lige nu, er vel sagen omkring Helsingør kommunes brug af Google undervisnings platform. I midten af juli fik de forbud mod at bruge platformen, og besluttede så søndag aften på et byrådsmøde, at eleverne ikke må anvende Chromebooks. Datatilsynet har også oplyst, at de kigger på 20 andre kommuner i relation til deres brug af Google platform i skolen.
Så hvad ville det betyde for din forretning, hvis du fik et tilsvarende forbud mod at anvende en Cloud Service?
Mit bedste råd:
Fokuserer du altid på de nyeste sårbarheder og overser de “gamle”?
Flere undersøgelser viser, at hackere i dag ofte går efter gamle sårbarheder. Dem man af en eller anden årsag aldrig har fået patched.
The U.S. Cybersecurity & Infrastructure Security Agency frigav i maj 2022 en rapport om de mest anvendte sårbarheder i 2021, observeret af myndigheder i USA, Australien, Canada, New Zealand og UK.
De fleste af sårbarhederne er fra 2021, men der er også sårbarheder fra 2020, 2019 og 2018. Så inden du går i gang med at opdatere mod de seneste sårbarheder, skal du tjekke, at du er sikret mod de nævnte i rapporten.
Mere info: 2021 Top Routinely Exploited Vulnerabilities | CISA
Kontakt mig på 4025 3932 eller ole@schmitto.dk, så vi kan tage en dialog om muligheder.
CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark fra LAV til MIDDEL på baggrund af den seneste tids pro-russiske cyberaktivistiske angreb mod vesteuropæiske NATO-lande.
I starten var det mest de involverede parter Ukraine og Rusland som var må for angreb, men man ser nu flere cyberaktivist grupper som også angriber Nato lande, og specifik for Danmark, står der at det særligt er pro-russiske hackere der vil gå efter mål i Danmark.
Cyberaktivistiske angreb kan antage forskellige former og målrettes forskellige typer symbolske ofre. Senest er der set eksempler på overbelastningsangreb (DDOS) mod myndigheders hjemmesider i blandt andet Estland, Rumænien og Letland, banker i Polen og TV- og radiostationer i Tjekkiet. Cyberaktivisme kan ligeledes finde sted i form af hack og læk-angreb og defacement af hjemmesider.
Generelt er det jo de normale ting man bør fokusere på:
Du kan læse hele rapporten her
Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.
Det tager under en time at cracked (knække) et password.
De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online
Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.
Det afhænger af kompleksiteten:
Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.
Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.
Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.
SMV:Digital der hjælper virksomheder med digitale projekter, åbner d. 17 marts for en pulje omkring Digital sikkerhed og ansvarlig dataanvendelse. Her kan man søge om en tilskuds voucher på 50.000 kr. til privat rådgivning. Så det betyder at, virksomheder der overvejer at få bedre styr på deres IT-sikkerhed, nu kan få et tilskud på op til 50.000 kr.
Ja, jeg mener faktisk det er en fantastisk god ide. Der er jo rigtig mange virksomheder, som er usikre på, om deres IT-sikkerhed er tilstrækkelig.
Jeg oplever ofte, at virksomheder rigtig gerne vil købe sig til løsninger. Men dette forløb er netop lagt an på at man bruger tid på:
Det afhænger jo af virksomhedens nuværende status og modenhed i relation til IT-sikkerhed. Har du styr på det hele, eller er der områder du er i tvivl om? Under alle omstændighed vil jeg foreslå, at du prøver at tage sikkerhedstjek testen.
Brug tiden på at besvare spørgsmålene. Den kommer ikke rundt om alt, men giver et godt overblik. Jeg vil foreslå, at du udfylder den sammen med rådgiveren, så i har en fælles reference ramme. Den er en del af Virk.dk Sikkerhedstjekket – Testen.
Hvis i udfylder den sammen, vil man få en god dialog omkring svarene, hvilket giver et godt indblik for rådgiveren i virksomhedens nuværende IT-sikkerheds niveau. Resultatet giver et godt udgangspunkt for næste skridt.
PS: Da testen er anonym, skal du huske at gemme den. Det kunne også være interessant på et senere tidspunkt at tage testen igen og sammenligne resultaterne.
Igen baseret på modenhed, vil en Risikovurdering give et indblik i virksomhedens nuværende appetit på risiko.
Her kan man bruge et gratis værktøj fra virk.dk IT-risikovurderingsværktøj, der udfyldes sammen med rådgiveren. Den dækker disse områder:
Resultaterne af de to ovenstående giver:
Den rådgiver du vælger at bruge, skal være godkendt af SMV:Digital. Jeg er godkendt til dette, men du kan også søge på listen her.
Vi har observeret unormal login til din Microsoft konto:
Login detaljer:
– Land: Rusland Moskva
– IP adress: x.x.x.x.
– Dato: 6-03-2022
– Platform: Linux
– Browser: Firefox
En bruger fra Rusland/Moskva har netop logget ind på din konto fra en ny enhed. “Hvis dette ikke var dig, bør du med det samme ændre dine login oplysninger via dette link.”
Man sendes herefter til en “Microsoft login hjemmeside”, hvor man som beskrevet, indtaster sin mail adresse og sit password.
Problemet er bare, at det er angriberen, der har lavet en look-a-like Microsoft login hjemmeside, og du har lige afleveret din mail konto login oplysninger til hackeren.
Alle blev “taget med bukserne nede” lige inden juleferien, da sårbarheden i Log4J blev kendt.
Læs videre “Log4J hvor langt er du?”
Utallige danske virksomheder har været og vil blive ramt af ransomware angreb.
Læs videre “Ransomware er den største trussel mod danske virksomheder!”
Ved tilmelding af et nyhedsbrev, -hvad nu hvis det ikke giver mig værdi, kan jeg så afmelde nyhedsbrevet igen? I henhold til GDPR skal det være lige så nemt at tilmelde sig som at afmelde sig. Men alle har oplevet, at sådan er det ikke altid. Selvom du har retten på din side, hjælper det jo ikke, hvis nyhedsbrevs ejeren fortsætter med at sende dig mail.
Hvis du tilmelder dig et udenlandsk nyhedsbrev, gælder GDPR jo ikke nødvendigvis. Måske sælger hjemmesiden endda din mailadresse til andre sites.
Læs videre “STOP med at bruge din mailadresse til Nyhedsbreve.”
Man siger at IT-sikkerhed er “på alles læber”. Også hos bestyrelsen, hvilket jo burde være en god udvikling.
Men er det baseret på facts eller skræmme kampagner?
Læs videre “Hvordan prioriterer du IT-sikkerhed?”
– Windows brugere bliver snart tvunget derover
Som Mac bruger er det mest oplagte browservalg jo Safari. Ikke mindst fordi Apple gør en del for at beskytte vores privatliv, når man anvender Safari.
Læs videre “Jeg er skiftet fra Chrome til Edge”
Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.
Læs videre “Hvor hurtigt skal du sikkerheds opdatere?”
Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.
Dine filer bliver krypteret, så du ikke længere kan læse dem
Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.
Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.
Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.
Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.
Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.
Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.
Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.
Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.
På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.
Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.
Det gjorde jeg, men responsen efter login gjorde mig mistænksom.
Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.
Da Apple frigav deres seneste operativ system til Mac og iPhone, macOS 11.1 and iOS 14.3, introducerede de et nyt system, der skal give dig overblik klart over, hvilke data de enkelte apps opsamler. Du kan se disse oplysninger både i Mac App store og på iOS/iPadOS.
Læs videre “Ved du hvad dine Apps opsamler af data om dig?”