Cybersecurity forskningsgruppe
Selvfølgelig blir det ISF/Dataforeningen/ISACA/CSA fellsmøte i oktober!
Vi møtes på Pirsenteret 23/10 kl. 15:00 – programmet starter 15:30.
I de illegale markedsplassene på det mørke nettet selges det digitale varer og tjenester for dataangrep. Dette gjør at man ikke trenger å være noen dataekspert for å stå bak et angrep og nesten hvem som helst med ondsinnet motivasjon er dermed en potensiell trussel. Vi har studert tilbud og etterspørsel i dette markedet for å lete etter nye angrepstrender.
Begrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden.
16. desember slo SINTEF Energi og SINTEF IKT sine krefter sammen og arrangerte et tverrfaglig seminar om forsyningssikkerhet i kraftsystemet. Møtet samlet 33 personer fra både kraft- og IKT-miljøer, og rettet fokus mot at forsyningssikkerheten i stadig større grad er avhengig av IKT-systemer for vern, kontroll og automatisering.
At NorSIS melder om stor økning i deltakelse rundt nasjonal sikkerhetsmåned i oktober, er gledelig. SINTEF er slett ikke noe unntak, selv om vi etter hvert har valgt å produsere vårt eget opplegg internt. Gjennom et konsept vi kaller «OJ!» driver vi sikkerhetarbeid blant våre medarbeidere. Her kommer en liten smakebit fra dette, og i tillegg gir vi deg en liten trykksak som kan lastes ned og trykkes opp til fritt bruk – se helt nederst i innlegget.
I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.
«Ikke bit på kroken» lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.
Hver gang d
et avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.
Generelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.
Nå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?
Da er sikkerhetsåret 2013 over, i hvert fall for oss. Vi kommer sterkt tilbake med nye blogginnlegg på nyåret, men i mellomtiden minner vi om at juletiden er høysesong for Phisking (eller Phishing som det heter på utenlandsk). Vær derfor skeptisk til å åpne zip-filer fra ukjente avsendere, aldri logg deg inn i nettbanken ved å klikke på lenker i epost, og innse at nigerianske prinser eller prinsesser med millioner de ikke vet hva de skal gjøre med neppe har tenkt å dele dem med akkurat deg! Som alltid før: Hvis det høres for godt ut til å være sant, er det akkurat det.
Det kan være vanskelig å forstå verdien av sin egen e-postkonto. «Jeg har ikke noe spennende der, er det så farlig om noen hacker den, da?» Det er først når den har blitt hacket, altså at uvedkommende har fått tilgang til den, at man fullt ut skjønner hvor mye man har lagret der.
Med dette blogginnlegget ønsker vi å demonstrere markedsverdien av en hacket e-postkonto, samt minne om at mange mennesker, personopplysninger og tjenester rammes når enkeltbrukere velger å sikre e-postkontoen sin for dårlig.
Hva skjer med tofaktor autentisering når man plutselig bruker smarttelefonen til alt?
Du har kanskje fått tilbud om å kjøpe Viagra, eller fått beskjed om at nettbanken er sperret og du må klikke på en link for å bekrefte et eller annet? I så tilfelle har du blitt utsatt for Spam, eller søppelpost som det heter på nynorsk. Men hva er det egentlig, og hvorfor i alle dager vil noen sende deg slike e-poster? Og viktigst av alt, hvordan kan du se forskjellen på spam og ham, eller søppelepost og ekte e-post?
Det er mange som hevder at angrep er det beste forsvar, så også når det gjelder informasjonssikkerhet. Penetrasjonstesting har etterhvert blitt en anerkjent og mye brukt praksis for å teste sikkerhetsnivået i datasystemer. Bedrifter leier inn ekspertise fra 
sikkerhetsfirmaer som får tillatelse til å hamre løs på bedriftsnettverkene med mer og mindre sofistikerte verktøy i håp om å finne sikkerhetshull og systemsvakheter – forhåpentligvis før de svarthattede, ondsinnede trenger seg inn. I denne prosessen lurer jeg imidlertid på hvor langt man kan gå. Når brytes grensen for hva som er etisk forsvarlig sikkerhetstesting?
Endelig! Nå trenger du ikke kunne noentingsomhelst om data for å utføre et målrettet cyberangrep! Du har kanskje hørt om Software-as-a-Service (SaaS) og Platform-as-a-service (PaaS)? Gjør deg klar for Malware-as-a-Service, som lar deg utføre fjernstyring av andres PCer, via et webgrensesnitt som annenhver bestemor kan forstå. Og prisen er kun $15 for fem ofre, $25 for det dobbelte antallet, osv.
Det store, stygge internettet var ikke født farlig. I den spede begynnelsen var internett en sammenkobling av et lite antall datamaskiner hvor det var fullt mulig å kjenne alle brukerne personlig. Derfor var ikke sikkerhet det første man tenkte på – hvis mailen var merket med Pål eller Yngvar som avsender, så kom den jo selvfølgelig fra nettopp Pål eller Yngvar.