Mandag morgen d. 2 januar fik jeg besked om, at mine data var stjålet fra hjemmesiden Deezer.com. Jeg var en ud af i alt 229.037.936 Deezer brugere, der fik den oplevelse.
Deezer er en musik service, som flere mobil selskaber tilbyder, som en del af deres abonnement.
Læs videre “Ole, dine data er stjålet!”
IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
F.eks. 2-faktor login til systemer der kan tilgås remote.
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Firmaet Hives Systems har netop frigivet deres seneste oversigt over, hvor lang tid det tager en hacker at bryde et password.
Det tager under en time at cracked (knække) et password.
De fleste stjålne passwords kommer fra hjemmesider, der er blevet angrebet med succes, og hvor angriberen har hentet bruger databaser med brugernavne og passwords. Hvis brugernavn og password er i klar tekst, så er det nemt at se. Men god praksis er, at man “hasher” passwords i databasen, en form for kryptering der gør, at “password” i MD5 hashed form vil stå som 5F4DCC3B5AA765D61D8327DEB882CF99. Du kan selv prøve at konvertere et af dine passwords med MD5 Hash Generator Online
Hackeren har har nu downloadet databasen med brugernavne (ofte din mail) samt dit password, som er hashed af hjemmesiden. Men hackeren kan ikke direkte konvertere hashværdien 5F4DCC3B5AA765D61D8327DEB882CF99 tilbage til “password”. Han bruger simpelthen mulige kombinationer på dit tastatur til at lave machende hashværdier, og sammenligner værdierne han har i den stjålne database fil. Det gøres selvfølgelig ikke manuelt, med ved hjælp af en kraftig PC og et program som hashcat. Det er beskrevet som “ World’s fastest and most advanced password recovery utility”. Ja der er altid to sider af en sag. Programmet der bruges af administrator til at knække et password man har glemt, bruges selvfølgelig også af hackerne.
Det afhænger af kompleksiteten:
Udgangspunktet for disse resultater og grafen er, at man har brugt en rimelig kraftig PC. Men det aller vigtigste er et kraftigt grafik kort, som typisk også bruges af PC spillere, kaldet RTX 3090 GPU.
Hvis ikke man har en sådan PC til rådighed, kan man “leje” en Amazon enhed. De tilbyder ekstremt kraftige enheder, som efter sigende kan lejes for $ 32,77 pr. time. Der findes også uden tvivl billigere cloud services derude, hvor man kan leje sig ind og modtage samme computer kraft.
Ja, der findes andre og endnu mere sikre krypteringer, der vil tage længere tid at knække for en hacker. Men hvis man ser på de hjemmesider hvor mange registrerer sig, så som restauranter, foreninger og Forums, så bruger mange af dem MD5 hash. Og da de fleste jeg taler med, genbruger deres passwords, og brugernavnet jo ofte er deres mail, så vil et succesfuldt angreb på en hjemmeside med MD5 hash ofte betyde, at hackeren nu har adgang til mange andre hjemmesider.
Jeg modtager en mail fra en af mine gode venner, der beder mig kigge på en forretningsplan.
Det første der slår mig er, at den er sendt til rigtig mange personer. Dernæst er det ikke måden denne person ville bede mig kigge på en forretningsplan på.
Jeg ringer til vedkommende, og med det samme konstaterer jeg at det er en falsk mail, der kunne have det formål at inficere modtagerens PC. Jeg checker de tekniske data på mail’en, det kan de fleste mail klienter, hvor man kan se afsenders SMTP, og om mail er verificeret via SPF, DMARC og DKIM. Alting indikerede, at mail’en var afsendt fra kontaktens konto. Så det betyder, at en fremmede har adgang til hans mail konto.
I mail’en er der et link til forretningsplanen, og linket er placeret i afsenders OneDrive, så dokumentet er placeret på det korrekte domain. Så her er der jo gjort alt for, at denne mail skal opfattes af modtager som OK.
Det første jeg foreslår er, at password ændres, så vi med det samme lukker angriberen ude. Det viste sig desværre, at 2-faktor ikke var aktiveret her.
Det specielle er, at man kan ikke se den afsendte mail i send boksen. Jeg returnerer nu den afsendte mail, så han kan se den, men den kommer aldrig frem. Det viser sig her, at den ligger i skraldespanden, sammen med en del andre indkomne mails.
Jeg beder ham logge ind på hans O365 online konto på https://outlook.Office.com og derinde trykke på “tandhjulet” oppe i højre hjørne, i søgefelt skrive “regler” og så vælge “regler for inboks”. Her finder vi en regel der siger, at ALLE indgående mails sendes direkte til skraldespanden.
2-faktor aktivering på mail konto ville have forhindret angriberen i at logge ind. Den ville også have givet et hint om, at der var nogen, der havde ens brugernavn og passwords, for man ville jo modtage en besked om 2-faktor godkendelse, selvom man ikke selv havde bedt om det.
Udover at beskytte sin mailkonto mod uautoriseret adgang, bør man også beskytte den mod indkomne trusler.
Office 365 Advanced Threat Protection giver dig bedre sikkerhed på mails, blandt andet i forbindelse med vedhæftede filer og links.
3. parts løsninger som Trend Micro tilbyder også løsninger, der giver endnu bedre mail sikkerhed.
Norfund, den stenrige norske fond, har været udsat for et svindelnummer der kan ramme alle, og med succes for hackerne,.
Svindlen skete i marts måned, med et udbytte på ca. 100 millioner NOK.
Læs videre “Stenrig norsk fond snydt for 100 millioner”
Siden 2004 har jeg brugt E-conomic regnskabsprogram, og de sidste 3-4 år har jeg fast sendt emails til dem om, hvornår de kunne tilbyde 2-faktor identificering ved login.
Endelig har de frigivet 2-faktor identificering, så jeg som bruger kan sikre mig bedre.
Ens revisor, i mit tilfælde Info-revision, vil også kunne aktivere 2-faktor så de sikre mine og deres andre kunders data, til noget så vitalt som regnskabsdata, hvis de ikke allerede har gjort det.
Du kan læse mere om Visma Connect og husk nu at aktivere 2-faktor via guiden, når du har skiftet til den nye login metode.
PS: En lille ekstra fordel er også, at man nu ved indlogning kun skal angive brugernavn og password. Førhen var det aftalenr., brugernavn og password. Og aftalenr. har aldrig været gode venner med min Password Manager 1Password, så det problem er nu løst samtidig med en meget bedre sikkerhed.
I følge en EU dom kan ejere af hjemmesider med implementeret Facebook Like knap, blive data- og GDPR ansvarlige. Det er EU der har afsagt en dom. Det gælder også andre sociale “like” knapper som på Twitter og Linkedin.
Læs videre “EU-dom: Hjemmesider med Facebook Like-knap gør dig til dataansvarlige.”
På det seneste har der været nogle sager, hvor hackere har stjålet penge fra firma bank konti. Metoden er, at få en chef til at bestille en overførsel til hackerens bank konto.
Læs videre “Det var chefen, der sagde jeg skulle!”
Læs videre “Er DIT brugernavn og password kendt af offentligheden, sammen med 700 millioner andres?”
Indenfor de senest 14 dage, har 2 kunder, fortalt historier om hvordan en intern email bruger, er blevet franarret sit Office 365 email password.
Læs videre “Hvorfor er det så vigtigt med 2-faktor godkendelse på Office 365?”
Det er næsten syv år siden Google introducerede 2-faktor Authentication (2FA), men det er må få brugere der anvender det.
