Tag Archives: säkerhet

Ny öppenhet om dataintrång?

Dataintrång är ett allvarligt problem, särskilt när de inte upptäcks på ett tag. Förra veckan kommenterade jag en nyhet om krav på att attacker och intrång anmäls till myndigheter och en artikel från den här veckan tar vid lite på samma spår när superdatorn vid Lunarc i Lund hackades för några år sedan. Föreståndaren Jonas Lindemann fick reda på att märkliga uppkopplingar skedde och vid en närmare granskning såg han att det hade funnits obehöriga inne i systemen i någon månad och att de hade hunnit stjäla en hel del lösenord.

När alla system hade installerats om såg man till att systemet patchades snabbare för att förhoppningsvis stoppa nya intrång. Problemet med lösenord och inloggningar som kommit på vift löste man med hjälp av tvåfaktorsautentisering, som jag skrev en del om här. Systemet påminner om det Google använder med en verifieringskod som skickas till mobiltelefonen. Det gör att ett stulet lösenord måste kompletteras med en stulen mobiltelefon, vilket gör det hela extremt mycket svårare, men förstås inte omöjligt.

Lösenord-schmösenord

Bytte du lösenord i söndags? Hoppas det. Säkra lösenord som byts regelbundet och inte går till mer än helst en tjänst är egentligen det enda vettiga sättet att skydda sin information idag. Sen behöver man kanske inte byta bara för att byta..

Men det finns inneboende svagheter i lösenordssystem, och det är att det egentligen inte är en särskilt säker metod för att skydda information. Lösenord har använts i datorsammanhang sedan 60-talet och de går att knäcka oavsett hur ”säkra” och krypterade de är. I vissa fall är det opraktiskt eller tar extremt lång tid, men det går. Dessutom har de en tendens att läcka ut, eftersom det är människor som bygger upp och hanterar databaserna som lagrar dem.

(Det finns två bra sätt att komma runt det här som är ganska vanligt idag. Antingen lägger man in en paus mellan inloggningsförsöken. Den märks knappt, men om man använder ett program för att knäcka ett lösenord så tar det plötsligt väldigt mycket längre tid. En ännu hårdare variant är att begränsa antalet möjliga inloggningsförsök.)

Biometri, då? Det är redan etablerat. Till exempel HP har kört med fingeravtrycksläsare i många av sina bärbara datorer i flera år. Det kan vara praktiskt och enkelt både för att logga in på själva datorn och på webbsidor genom att koppla sidans lösenord till fingeravtrycket.

Frågan är vad som sker när den här informationen kommer ut. När bilder av din iris eller ett fingeravtryck har läckt ut från ett osäkert system, vad gör du då? Laseropererar nya fingeravtryck? Kommer man hitta pastebin-dumpar med fingeravtryck i framtiden, som vi idag gör för lösenord och användarnamn?

Lösenord schmösenord_bild

Jag har svårt att se att biometri kommer att kunna leverera en bra helhetlösning. Det finns några biometriska principer som är mer lovande än andra som t.ex. keystroke-analys. Anledningen till att jag tycker om dem är att de bygger på fler parameterar: analys av HUR du knappar in ditt lösenord – hur snabbt, starkt etc. trycker du på tangenterna? – och även om själva lösenordet. Här tror jag att vi kan hitta sanningen: tvåstegsautentisering. biometri eller ej, två steg ska det bli.

Just detta med två steg i autentiseringen höjer säkerheten till helt andra nivåer. Metoden används som bekant av banker, där man verifierar med hjälp av olika koder som bollas mellan webbsida och en personlig dosa. Kommer någon åt koden har de inte dosan, och har de dosan saknar de sannolikt koden.

I söndags skrev Swedroid om Googles önskan att ersätta lösenord som inloggning på sidor med något nytt och bättre. Förslaget i den texten är någon form av hårdvara som man tar med sig och som låser upp webbsidor automatiskt när den sitter i en port på datorn. En bekväm lösning och fördel med en hårdvarunyckel är att man vet när den är borta och därmed skulle kunna ha en spärrfunktion precis som för ett kreditkort. Ett lösenord och biometriska uppgifter kan andra ha tillgång till utan att du vet om det över huvud taget.

Och tanken på en hårdvarunyckel man inte kan tappa bort? Jag har själv lite svårt för idén med implantat som inloggning, eftersom det skulle kunna bli… obehagligt den dag någon absolut vill ha tag på informationen mot min vilja. Men jag har kanske sett för mycket film. Och vad gör man den dagen någon lägger ut databasdumpar eller liknande från hackade biometriska system på pastebin? Går till plastikkirurgen?

Det finns massor av andra idéer om hur vi ska kunna identifiera oss elektroniskt i olika system, men det tar vi i en annan bloggpost.

Kontentan är att lösenorden lär hänga kvar ett tag, men de är osäkra och ofta opraktiska på till exempel smartphones, även om det finns bra hjälpmedel. Vi kommer att få se flera nya lösningar och förhoppningsvis en standard som kan användas för flera typer av autentisering av olika aktörer.

Till dess säger jag som vanligt – använd ett program som hanterar lösenorden säkert, till exempel open source-programmet KeePass, som funkar väldigt bra.

Årskrönika 2012

Det är dags att sammanfatta vårt säkerhetsår

Ta en titt på hur cybervärlden egentligen mår

Hos SkyNews utlöste hackade konton kalabalik

Genomförda som ”ansvarsfull journalistik”

Säkerhetshål, läckor, annonser och hack

Flame utsatte iransk olja för attack

LulzSec-ledare som dold informatör

Miljoner läckta LinkedIn-lösenord stör

I Sverige var det minst lika illa

Blocket, där falska annonser förvilla

Chatten hos YouPorn blev plötsligt röjd

OpenX-strul krävde säkerhetshöjd

Vad tror vi oss vänta av året som stunda?

Nationer i cyberkrig, värt att begrunda

Säkerhetshoten allt smartare bli

Men tack och lov, det blir också vi

Bättre skydd kommer fortsätta skapas

Så att färre och färre datorer kan kapas

Våra sammanfattande tips kommer här;

Dator, paddor och mobilen du bär

Håll dem alla säkra från stundande hot

Så hjälper vi dig söka problemets rot

Skydda informationen på ditt eget bord

Och använd endast säkra lösenord!

 

För ytterligare tillbakablickar på 2012 och en djupare titt in i 2013, lyssna på senaste avsnittet av ”Säkerhetsradion”!

Säkerhetsradion: Sårbarhet i Internet Explorer

En lucka i webbläsaren Internet Explorer kan göra att en attackerare kan se musrörelser samt eventuellt vad man skriver på virtuella tangentbord och knappsatser. Microsoft har varit medvetna om problemet sedan ett par månader tillbaka, men ingen lagning har ännu gjorts för att komma till rätta med problemen. I dagens podcast pratar vi mer om fenomenet.

ESET toppar tester hos AV-Comparatives och PassMark Software

ESET:s flaggskeppsprodukter fortsätter kamma hem utnämningar i diverse tester. ESET Smart Security tilldelades ännu ett ”Advanced+” i AV-Comparatives senaste test, denna gång inom ”Heuristic and Behavioral Detection”. Även ESET Endpoint Security har presterat bra i tester på senare tid. Hos PassMark Software utsågs Endpoint nyligen till bästa övergripande produkt.

Kolla in hela AV-Comparativestestet här samt PassMark Software-testet här.

Säkerhetsradion: Hur påverkar BYOD-trenden företag och anställda?

Att låta företagsanställda använda privatägda mobiler, datorer etc i tjänsten är en konstant växande trend som kallas för BYOD (Bring Your Own Device). Det kan låta smidigt och ekonomiskt att slippa köpa in denna utrustning till företaget, men det finns också en viss problematik som många missar. I dagens podcast ska vi prata om för- och nackdelarna med BYOD-trenden.

Säkerhetsradion: Besök på huvudkontoret i Bratislava

Veckans podcast handlar om vårt senaste besök på ESET:s huvudkontor i Bratislava där man under ett dygn sammanfattade branschläget just nu, pratade produktnyheter och visade upp det spektakulära viruslabbet.

Inifrån viruslabbet i Bratislava.

Google dumpar Pwn2Own

Hackartävlingen Pwn2Own blir utan Googles sponsorpengar i år, skriver PC för alla. Orsaken är en regeländring, deltagarna behöver inte längre redovisa säkerhetproblemen de hittar. Inte bra tycker Google, av förklarliga skäl.

Google har tidigare sponsrat tävlingen med en stor prissumma till den som lyckas hacka webbläsaren Google Chrome, pengar som mig veterligen inte har tagits hem av någon deltagare än. Nu ska man istället ha en egen tävling.