Månad: januari 2020

23 januari, 2020

Vad intresserar oss?

Allt är ju inte hacking, inte ens för en hackare.

För snart ett år sedan, läste Mattias en bok om prepping och kom med förslaget att vi skulle intervjua författaren i vår podd. Det gjorde vi också och resultatet blev utmärkt. En fråga bara, vad har prepping med IT-säkerhet att göra. Det enkla svaret är: ingenting. Borde vi ens ha gjort intervjun? Jag anser att det var helt perfekt. Är själv intresserad av ämnet och jag tror många som håller på med IT-säkerhet också är det.

Om man är aktiv inom säkerhetsområdet, kan man ju anta att frågor om stabilitet och säkerhet inom IT-området gärna kan sprida sig till att man börjar titta på säkerhet och stabilitet inom andra områden. Samhället kan också drabbas och vad gör man om elen försvinner för några veckor? Så har en väg mellan dessa två, till synes orelaterade ämnena, bildats.

Personligen tror jag inte någon specialist mår bra av att inte bredda sitt område. IT-säkerhet går in i precis allting inom IT-området och är en viktig del i allt från lagringsteknologier till mer självklara områden som webbapplikationsutveckling.

Så en person som är intresserad av att jobba med IT-säkerhet bör bygga detta på ett fundament av andra kunskapsområden. En del IT-personer börjar som generalister i en help desk medan andra startar inom utvecklingsområdet. En del kanske bara jobbar med verksamhetsutveckling och diskuterar riktlinjer och policies skrivna på papper. Var du än kommer ifrån, glöm inte vad du lärt dig på vägen. Det kan komma väl till pass. Och glöm inte att titta runt på andra områden som kan berika dig i din gärning inom branschen. Det kan vara områden som du inte tänker på. Har du hobbies och intressen utöver IT? Fundera på om de kan ge något till ditt yrke. Tror en nyfiken hjärna som vill lära sig nya saker hela tiden vinner i längden.

Kopplingen mellan knyppling och IT-säkerhet är lite för långsökt för mig, men ni kanske kommer på någon? //Erik

16 januari, 2020

Vad tänker man vid ett angrepp?

Hacked by … Men, vänta nu, vilket språk är det där? Definitivt inte kinesiska tecken.. Jaha, ok, vi var visst inte hackade ändå..

Igår satt jag på en skakig uppkoppling mitt ute i ingenstans i en stad nära men ändå långt borta. Jag laddade IT-säkerhetspoddens hemsida och medan den laddade gick jag och gjorde annat. Väl tillbaka möts jag av att hemsidan såg ut som bilden ovan. Vad sjutton händer? En obehaglig tanke slog mig: har vi blivit hackade?

Under minuterna som gick när jag försökte avgöra vad som hänt, gick tankarna på högvarv… Men hur? Varför? Det är inte möjligt att… Allt är ju uppsatt och säkrat och patchat och … Förstår inte…

Rätt snabbt insåg jag att det var den skakiga uppkopplingen som fått nedladdningen av sidan att paja, vilket gav upphov till skräptecknen. Efter några minuter av att sidan inte laddats, fick jag kontakt med mobilmasten igen och då fungerade ju det hela utan problem.

Men medan jag jobbade tänkte jag på det ironiska i att en podd om IT-säkerhet blivit hackad. Det skulle inte vara någon hejd på skadeglädjen och kommentarerna. Det skulle ifrågasättas hur vi, som ju ska kunna sådant här, missat att sköta våra egna grejer. Detta är vad vi i dagligt tal kallar en kvalitativ förlust. Alltså en realiserad risk som leder till att vi tappar i rykte och ansedd pålitlighet. Sen finns den en kvantitativ förlust. Alltså att vi förlorar pengar. I vårt fall är det inte mycket att tala om, men hade vi sålt något via siten, hade det kunna göra ont att vara borta ett antal dagar. Även en liten webshop kan påverkas mycket negativt av nedtid.

Den tråkiga nyheten är att de flesta, om inte alla, siter är i stor risk att hackas någon gång. Ett litet misstag, en oväntad zero day, missat att lägga på senaste patchen på ett par dagar eller bara ett bortglömt konto med privilegier och ett dåligt lösenord. Det krävs inte mycket för att åka dit och få skämmas. Dataläckor idag är så vanliga att man nästan inte reagerar förrän det talas om miljontals konton vars uppgifter röjts.

Det finns ju en anledning till skammen. Om du fått inbrott hemma är det ingen som klandrar dig för valet av lås, så länge du har ett godkänt sådant. Men om någon blir hackad blir det ”Avgå! Alla! Nu!”. Skillnaden är att den som har en tjänst har både en skyldighet och en möjlighet att skydda allting själv eller anlita någon som gör det. Att inte patcha sina system är ju ingen ursäkt. Och det ställer organisationen som utsätts i mycket dålig dager.

Så vad kan jag säga: ingen ro för de trötta…

8 januari, 2020

Baksidan av multifaktor-autentisering

”Submitted for your approval, picture a man… A man who stores all his data in the cloud. Locked by a door with his phone as the only key. Convenient for him, but as all things go, one day it might be lost and his data will end up… in the Twilight zone”.

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

Scroll to top