Cybersecurity forskningsgruppe
I forrige uke poengterte vi at bedrifter dobbeltkommuniserer når de hevder å aldri be om brukernavn/passord i e-poster, men samtidig oppfordrer brukere til å klikke på linker i e-poster som (i alle fall indirekte) leder til innloggingssider. Nå har vi kommet til versjon 2.0 av slik dobbeltkommunikasjon.
«Ikke bit på kroken» lyder det i et nyhetsbrev fra en ikke-navngitt bank i et forsøk på å få vanlige folk til å være skeptiske til phishing-eposter. Ironien er så slående at det gjør vondt.
Hver gang d
et avdekkes et forsøk på phishing får vi høre denne setningen fra bedrifter som er rammet. Ofte stemmer det rent formelt, men det er likevel noe med kommunikasjonen mellom bedrifter og privatpersoner som gjør at folk til stadighet går på limpinnen. Det er faktisk fullt forståelig at noen ikke klarer å se forskjell på en phishing-epost og en genuin e-post fra en bedrift – og det har ingen ting med manglende kritisk sans hos forbrukeren å gjøre. Det handler om dobbeltkommunikasjon fra bedrifter.
I løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?
Vi hører regelmessig om sårbarheter som blir oppdaget og fikset. Noen store, mange små. Det er imidlertid få (om noen) som kommer opp i samme klasse som the Heartbleed bug i OpenSSL.
For sikre nettsider er OpenSSL det aller mest brukte kryptobiblioteket. Det er brukt i anslagsvis to tredjedeler av alle servere i verden. Men hva er egentlig denne sårbarheten? Hva blir konsekvensen? Og ikke minst: er det noe du kan gjøre?
Nå kan vi lese i avisen at EU ønsker å fjerne den sær-norske regelen om at banken i all hovedsak bærer risikoen for misbruk av betalingskort. Altså, hvis kortet ditt blir misbrukt er ditt ansvar i utgangspunktet begrenset oppad til 1200 kr (egenandel), eller 12.000 kr hvis du har vært grovt uaktsom. Nå vil EU at du tar hele regningen selv. Hvorfor er det en dårlig idé?
Prism-avsløringene har i stor grad fokusert på personvern og hvordan personlig informasjon har blitt samlet inn, lagret og analysert. Men, er det egentlig bare personvernet som er truet av Prism? Har det ikke blitt samlet noe annet enn personlig informasjon? Er det kanskje et par bedrifter som burde ta en ekstra kikk på hvor og hvordan de lagrer og distribuerer data?
Vi har fryktet det og noen har sikkert forventet det også, men likevel er det lett å bli forbauset over omfanget av overvåking amerikanske myndigheter nå utfører. Med PRISM-prosjektet sitt, har NSA hatt tilsynelatende full tilgang til data fra alle store tjenesteleverandører i USA, inkludert Facebook, Google, Yahoo og Apple. Dette har foregått uavhengig av personvernerklæringer, personverninnstillinger, europeisk og norsk personvernlovgiving og internasjonale avtaler om personvern. Hvis ingen av disse tiltakene kan beskytte oss, er personvern da å betrakte som en illusjon?
Du har sikkert sett det. Artiklene som forteller deg hvordan du sikrer informasjonen din på Facebook, eller personverninnstillinger du bør vite om. Men gir det mening å snakke om personvern på Facebook? Hvor god kontroll har du egentlig?
Du har kanskje fått tilbud om å kjøpe Viagra, eller fått beskjed om at nettbanken er sperret og du må klikke på en link for å bekrefte et eller annet? I så tilfelle har du blitt utsatt for Spam, eller søppelpost som det heter på nynorsk. Men hva er det egentlig, og hvorfor i alle dager vil noen sende deg slike e-poster? Og viktigst av alt, hvordan kan du se forskjellen på spam og ham, eller søppelepost og ekte e-post?
Hver gang noen sier at sikkerhetsmekanismene de bruker må være hemmelige for å være sikre, er det grunn til å være skeptisk. For, hvis det faktisk er sant at de må være hemmelige, så er de heller ikke sikre.
Det er et grunnleggende prinsipp innen informasjonssikkerhet som sier at man må anta at «angriperen vet alt om systemet», som kan sees på som en generalisering av Kerckhoffs berømte prinsipp. Men hvorfor er det slik? Hvorfor skal vi på død og liv betrakte angripere som orakler som kan alt? Det kan da virkelig ikke være nødvendig? Eller?
Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?
Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.
Men hva om en ansatt videresender konfidensiell informasjon, eller en «venn» på Facebook publiserer på nytt et bilde du har delt med ham?
Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?
Både privat og offentlig sektor innser i stadig større grad at informasjonssikkerhet er helt nødvendig for å sikre konkurranseevnen, hindre industrispionasje og oppfylle lovkrav til sikring av sensitiv informasjon. Samtidig slurver bedrifter regelrett med sikring av de ansattes smarte mobiltelefoner. Telefonene er ikke gjemt bak brannmurer, de passes ikke på av bedriftens sikkerhetsteknologi: de mangler passordbeskyttelse, har ikke antivirus, innhold krypteres ikke og det er redusert mulighet til å fjernlåse og slette innhold. Enda verre er det at ansatte fritt kan installere en hvilken som helst app, fra hvilken som helst leverandør med hvilke som helst motiver. Vet du hva appene dine kan gjøre?
Apps for Android og iPhone har blitt ekstremt populært og stadig flere gjør stadig mer ved hjelp av en smarttelefon.
Men hva kan egentlig app-utviklere få tilgang til når vi installerer apps? Har appene behov for den tilgangen de ønsker?
For å sitere Ove Skåra i Datatilsynet: «Hvorfor skal en lommelykt-app ha tilgang til telefonlisten din?».