Dobbeltkommunikasjon 2.0

I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de  hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.

“Ikke bit på kroken” lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.

“Vi vil aldri be deg om å oppgi brukernavn/passord i en e-post”

Hver gang dPhishet avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.

Å bytte eller ikke bytte (passord altså)

username-pwdI løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere  om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?

Når hjertet blør…

heartbleedVi hører regelmessig om sårbarheter som blir oppdaget og fikset. Noen store, mange små. Det er imidlertid få (om noen) som kommer opp i samme klasse som the Heartbleed bug i OpenSSL.

For sikre nettsider er OpenSSL det aller mest brukte kryptobiblioteket. Det er brukt i anslagsvis to tredjedeler av alle servere i verden. Men hva er egentlig denne sårbarheten? Hva blir konsekvensen? Og ikke minst: er det noe du kan gjøre?

Kortsvindel – er det nødvendigvis din skyld?

credit-card-scamNå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?

Bedriftsinformasjon i Prism – en mulighet for industrispionasje

Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?

Personvern etter PRISM – en umulighet?

Vi har fryktet det og noen har sikkert forventet det også, men likevel er det lett å bli forbauset over omfanget av overvåking amerikanske myndigheter nå utfører. Med PRISM-prosjektet sitt, har NSA hatt tilsynelatende full tilgang til data fra alle store tjenesteleverandører i USA, inkludert Facebook, Google, Yahoo og Apple. Dette har foregått uavhengig av personvernerklæringer, personverninnstillinger, europeisk og norsk personvernlovgiving og internasjonale avtaler om personvern. Hvis ingen av disse tiltakene kan beskytte oss, er personvern da å betrakte som en illusjon?

Spam og ham – det vanskelige skillet

Du har kanskje fått tilbud om å kjøpe Viagra, eller fått beskjed om at nettbanken er sperret og du må klikke på en link for å bekrefte et eller annet? I så tilfelle har du blitt utsatt for Spam, eller søppelpost som det heter på nynorsk. Men hva er det egentlig, og hvorfor i alle dager vil noen sende deg slike e-poster? Og viktigst av alt, hvordan kan du se forskjellen på spam og ham, eller søppelepost og ekte e-post?

Hvorfor sikkerhetssystemer aldri skal være hemmelige

Hver gang noen sier at sikkerhetsmekanismene de bruker må være hemmelige for å være sikre, er det grunn til å være skeptisk. For, hvis det faktisk er sant at de må være hemmelige, så er de heller ikke sikre.

Det er et grunnleggende prinsipp innen informasjonssikkerhet som sier at man må anta at “angriperen vet alt om systemet”, som kan sees på som en generalisering av Kerckhoffs berømte prinsipp.  Men hvorfor er det slik? Hvorfor skal vi på død og liv betrakte angripere som orakler som kan alt? Det kan da virkelig ikke være nødvendig? Eller?

Ja, men hva er risikoen for det?

Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?

Ikke del dette med noen…

Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.

Men hva om en ansatt videresender konfidensiell informasjon, eller en “venn” på Facebook publiserer på nytt et bilde du har delt med ham?

Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?

Smartmobiler – er bedrifter klare for utfordringen?

Både privat og offentlig sektor innser i stadig større grad at informasjonssikkerhet er helt nødvendig for å sikre konkurranseevnen, hindre industrispionasje og oppfylle lovkrav til sikring av sensitiv informasjon. Samtidig  slurver bedrifter regelrett med sikring av de ansattes smarte mobiltelefoner. Telefonene er ikke gjemt bak brannmurer, de passes ikke på av bedriftens sikkerhetsteknologi: de mangler passordbeskyttelse, har ikke antivirus, innhold krypteres ikke og det er redusert mulighet til å fjernlåse og slette innhold. Enda verre er det at ansatte fritt kan installere en hvilken som helst app, fra hvilken som helst leverandør med hvilke som helst motiver. Vet du hva appene dine kan gjøre?

Ikke la lommelykt-app’en få tilgang til telefonlisten din!

Apps for Android og iPhone har blitt ekstremt populært og stadig flere gjør stadig mer ved hjelp av en smarttelefon.

Men hva kan egentlig app-utviklere få tilgang til når vi installerer apps? Har appene behov for den tilgangen de ønsker?

For å sitere Ove Skåra i Datatilsynet: “Hvorfor skal en lommelykt-app ha tilgang til telefonlisten din?”.