Archive for the ‘Ethical Hacking’ Category
CEH v8 – Certified Ethical Hacker
Jay Bavisi fra EC-Council har givet os noget spændende nyt, om den længe ventede Certified Ethical Hacker (CEH v8) certificering. Se den herunder:
Hvis du vil indenfor IT-sikkerhedsbranchen (den hurtigst voksende sektor i IT-branchen) er CEH et godt sted at starte. Som etisk hacker, arbejder du med at forsøge at trænge ind i netværk eller computere i organisationen du arbejder for. Hvorfor ville du gøre det? “White Hat” etiske hackere er almindeligt eftertragtede til at hjælpe med at finde og løse de sårbarheder, der ellers ville blive udnyttet af “Black Hat” kriminelle hackere. Efterspørgslen efter CEH fagfolk fortsætter med at vokse. På grund af den alarmerende stigning i cyberangreb i løbet af det seneste årti, er organisationer på udkig efter måder at beskytte sig selv og stramme deres sikkerhed. CEH kurset og certificeringen dækker alt, hvad du skal vide for at identificere system sårbarheder og modforholdsregler.
Vind en CEH og alle andre Firebrand certificeringer i FTFL konkurrencen – Vind gratis træning for Livstid: http://www.firebrandtraining.dk/ftfl
7 skridt for at bekæmpe IT- sikkerhedsproblemer
Højt profilerede virksomheder som Sony, Nintendo, og CIA oplever jævnligt hackerangreb som udstiller deres avancerede sikkerhedssystemers sårbarhed. Vi må nok se i øjnene at de fleste virksomheder, statsinstitutioner og private er sårbare overfor veludførte kriminelle cyberangreb. Sikkerhedsbruddene koster virksomheder millioner på datatab.
Her er 7 grundlæggende råd at overveje:
- Tænk tilbage: Tænk over de mest sårbare led i virksomheden.
- Gennemgå og opdater: Gennemgå sikkerhedsprocedurer med HR og IT afdelingen og sørg for at de er opdateret.
- Uddan nye medarbejdere: Alle nye ansatte skal være opmærksomme på IT-sikkerhedsprocedurerne for at undgå faldgruber.
- Backup: Sørg for backup og backup planer i tilfælde af, at noget skulle gå galt.
- Vør opmærksom på spam: Sidste år indeholdt 1 ud af 255 e-mails malware og 1 ud af 8300 var direkte angreb.
- Cloud: Flere virksomheder anvender Cloud teknologier til opbevaring af data. Glem ikke backup.
- Tænk som en hacker: Lær at tænke som en hacker. (Se vores Certified Ethical Hacker kursus)
Hvilket land er “cyberparat”?
En undersøgelse understøttet af McAfee har afsløret, at Israel, Finland og Sverige ligger øverst på listen over lande, der er “cyberparate”. Rapporter har afsløret, at Israel slås med mere end 1.000 angreb hvert minut.
Men Kina, Mexico og Brasilien er blevet vurderet som de mindst kompetente med hensyn til at forsvare sig selv mod cyberangreb.
“Rapportens subjektivitet er dens største styrke”, forklarede Raj Samani, McAfees tekniske direktør (CTO). “Det, den gør, er at give opfattelsen af cyberparathed hos disse enkeltpersoner, der på en måde forstår og arbejder med cybersikkerhed på daglig basis.”
Rapporten afsluttes med et krav om, at informationer skal deles mere globalt for at være et skridt foran angrebene, og at der bør håndhæves flere love som en hjælp mod grænseoverskridende kriminalitet.
Microsoft kræver at du er ansvarlig ude i skyen
Dit indhold ude i ”skyen” bliver holdt nøje øje med. Der skal ikke meget til før Microsoft lukker ens SkyDrive konto (en gratis cloud oplagering service på en webbrowser). Fornyeligt lagde en mand, en tegning af to kravlenisser, der viser nissernes bagdel og testikler på sin SkyDrive konto , hvorefter den blev lukket indtil han fjernede tegningen. Indholdet overgår Microsofts grænser for anstødelighed.
Manden skriver i en mail til Microsoft:
“Den lå der faktisk også den første gang, uden at jeg fjernede den, men de har åbenbart fået øje på den senere. Det er måske nok lige at gå i små sko at lukke min SkyDrive-konto på grund af denne tegning. Jeg har den kun fordi den er sjov, men Microsoft hår åbenbart ingen humor,” skriver han i en mail.
Historien kan få alvorlige konsekvenser for Microsoft – og andre cloud-udbydere, og genopliver debatten om Cloud nu er sikkert eller ej.
“Fundamentet under skyen forsvinder, når man ikke kan regne med, at ens ting er sikre, når man lægger dem på en server drevet af et stort velrenommeret firma. At det er amerikanske moralske normer, der afgør, hvad der er passende indhold, gør ikke sagen bedre. Hvis upassende indhold skal frasorteres, er der jo store dele af den danske kulturarv, som aldrig kan gemmes i skyen,” fastslår jurist i Forbrugerrådet, Martin Salamon.
Ikke desto mindre, skal man også holde in mente at der er stadigvæk behov for tid for at kunne etablere og drive en succesfuld Cloud practice.
5 nemme trin der gør livet surt for en hacker
Her følger fem trin, der hjælper med at forhindre brud på sikkerheden. Det er umuligt at garantere, at der ikke sker brud på sikkerheden, men disse trin gør det sværere for hackere:
- Optimerede adgangskoder – Der var engang, hvor adgangskoden “password” var en sikker måde at snyde hackere på. Selv om de fleste nu ved, hvor dårligt adgangskoden “password” er, er der stadigvæk mange, der anvender lignende åbenlyse valg af adgangskoder. De anvender f.eks. deres navn og fødselsdato – og disse oplysninger er nemt tilgængelige via sociale medier.
Anvend ikke adgangskoder, som nemt kan gættes. Bland tegn ind i ordene. Anvend f.eks. udråbstegn i stedet for tallet 1, &-tegnet i stedet for tallet 8, osv.
Et andet problem med adgangskoder er, at folk efterfølgende blive dovne. Selv om din adgangskode er svær at knække, er det god kutyme at skifte den jævnligt. Folk, der ikke skifter adgangskoder, og som anvender den samme på flere websteder, vil med større sandsynlighed komme ud for et brud på sikkerheden.
- Effektiv antivirus og korrekt konfigureret firewall – Dette er de mest basale ting, som er forkerte i en brugers operativsystem – hvis du ikke har installeret antivirus i dit miljø, har du problemer. En helt opdateret anti-malware- og antivirussoftware skal konstant være kørende. Hvor det er muligt, skal du installere en hardwarebaseret firewall og sikre, at den ikke tillader unødvendig trafik at trænge ind i systemerne.
- Opdaterede maskiner – Operativsystem- og andre softwarevirksomheder lancerer patches og opdateringer af softwaren. Mens nogle opdateringer tilføjer nye funktioner, lukker andre sikkerhedshuller, der kan have eksisteret indtil da. Derfor er det vigtigt at installere den nyeste version.
- Sikring af data – Går du rundt med følsomme data på en USB-nøgle? Hvis det er tilfældet, skal du passe på. Ubeskyttede data er en alvorlig sag. En tabt USB-nøgle, harddisk, laptop eller iPod kan kan føre dig og din organisation ud i et stormvejr. Krypter alle data, der transporteres.
- Beskyt din Wi-Fi – På trods af kendte sårbarheder i åbne trådløse netværk, er der stadigvæk nogen, der anvender åbne og usikre netværk. Nogle anvender WEP (Wired Equivalent Privacy), men det er tidligere vist, at WEP kan brydes på så lidt som fire sekunder. Det anbefales som minimum at anvende WPA. WPA2 er et bedre alternativ. WPA2 er en moderne trådløs sikkerhedsstandard, der understøttes af de fleste nyere operativsystemer, og den er betydeligt sværere at knække end WEP eller WPA.
Certificeret etisk hacking: Et job med moral, der betaler sig
Sikkerhedstrusler har nået skræmmende sofistikerede højder. Internetkriminalitet bliver mere og mere problematisk for virksomheder over hele verden. Virksomhederne leder efter personer, der kan forhindre ondsindede hackere i at nå deres kunders fortrolige data – med potentiale til at stjæle milliardvis af private data. Det job klares af en certificeret etisk hacker.
Certificerede etiske hackere er it-medarbejdere, der forsøger at gennemtrænge virksomhedens systemer, på samme måde som en hacker ville gøre det, for at finde huller i sikkerhedssystemet. En CEH udfører en sårbarhedsvurdering (VA) for at finde teknologiens begrænsninger.
Som CEH får du jobmuligheder i såvel private virksomheder som offentlige myndigheder. Med sikkerhedsbristerne i bl.a. Adidas, Sony og Nintendo sidste år tager flere og flere virksomheder sikkerhed alvorligt, og leder efter bedre måder til bekæmpelse af brister i datasikkerheden.
Læs hvordan hackere stjæler dine passwords
Vi skrev tidligere om de fem værste adgangskoder i vores indlæg fra 30 november (Er din adgangskode “Password”?)
Here genopfrisker vi de 25 værste adgangskoder, som det amerikanske firma SpalshData er kommet frem til:
- password
- 123456
- 12345678
- qwerty
- abc123
- monkey
- 1234567
- letmein
- trustno1
- dragon
- baseball
- 111111
- iloveyou
- master
- sunshine
- ashley
- bailey
- passw0rd
- shadow
- 123123
- 654321
- superman
- qazwsx
- michael
- football
For at gøre tingene nemmere for os selv, opbevarer mange deres personlige oplysninge på nettet, hvor der ikke skal meget til for IT-kriminelle at stjæle dem og udnytte dem.
I en artikel i det amerikanske tidsskrift ”The Atlantic”, fortæller James Fallow, hvor hans kone Deb Fallows Gmail-konto blev hacket, hvor flere vigtige mails blev slettet og desuden fandt hackerne ud af ude fra en mail sendt til familiens venner at de havde været udsat for et røveri under deres rejse til Madrid, og havde brug penge, så de kunne betale for deres ophold.
Familien forstår ikke hvordan de blev hacket og spørgsmålet er hvordan hacker IT-kriminelle folks mail konto?
Der er fire metoder som hacker anvender:
- Udover bare at taste de ovenstående koder ind, anvender hackere et avanceret program der automatisk brug af nogle af de mest anvendte adgangskode-variationer, bedre kendt som ”ordbogs-angreb”.
- En anden metode som er den mest udbredte er ”Phising”, som går ud på at optræde som et repræsentant fra et af de mest respekterede virksomheder og institutioner, som eksempelvis SKAT eller Sony og franarre folk til at give deres personligt oplysninger til dem.
- En meget nem måde at få stjålet sin adgangskode er, hvis man tjekker sin mail på en offentlig tilgængelig computer, som eksempelvis på biblioteket. Her kan man antage at IT-sikkerheden er på et højt niveau. Bruger man sin egen computer til at logge ind på bibliotekets netværk, så ved de færreste at der er tale om en sikker forbindelse, hvis der står https foran internetadressen i din browsers adressefelt og ikke hvis der blot står http.
- Key-logging angreb findes og er ligeså udbredt som de andre metoder. Dine tastetryk bliver afluret ved hjælp af en software, som måske ved uheld bliver installeret på din computer, som medfører at dine adgangskoder og personlige oplysninger bliver misbrugt.
Selvom Internettet gør vores hverdag nemmere er det vigtigt at vi ikke lader vores sunde fornuft forvinde. Eksempelvis vil man aldrig fortælle en ubekendt person sin adgangskode, hvis vedkommende bad om det. Samme princip burde man have når folk beder om adgangskoder over nettet. Med mindre man er Certified Ethical Hacker burde man blot følge sin sunde fornuft.
Hackerangreb i stil med Die Hard 4
I vores serie af indlæg om hackerangreb er der kommet endnu en sag frem. Denne gang er en vandforsyningspumpe angiveligt blevet ødelagt efter et hackerangreb i den amerikanske stat Illinois, som ifølge BBC blev sat ud af funktion, ved at hackere via vandforsyningens netværk tændte og slukkede for pumpen, så den til sidst gik i stykker.
Det siges at hackerne har stjålet brugernavne og passwords fra et selskab, der arbejder med kontrolsoftware til industrielle systemer, som eksempelvis vandpumpe-systemet.
Nu er det amerikanske forbundspoliti FBI og den amerikanske anti-terrororganisation Department for Homeland Security (DHS) gået ind i sagen. Endnu en gang må man sige at dette illustrerer, hvor avancerede og farlige disse angreb er blevet. Før i tiden havde vi kun hørt om disse angreb i stil med Die Hard 4 og man kan rolig sige at man ikke kan gå i kompromis med IT-sikkerheden. certificerede, etiske hackere vil stige, da de vil forsøge at nedkæmpe den truende hackertrussel. Derfor tilbyder Firebrand Training et Certified Ethical Hacking-kursus, som uddanner professionelle som “cyberforsvarere” på fem dage. Der er ikke råd til at vente og overveje om det.
Nu kan hacking dræbe…
Hundreder af verdens hackere begav sig til Miami til Hacker Halted 2011. Årsagen? For at lære om de seneste angreb der vil ramme dine it-systemer i de kommende måneder.
Firebrand var på en mission for at finde facts for at føje de nyeste teknikker til verdens mest populære hacking-kursus: Ethical Hacking course. Herunder er en oversigt med nogle af de mest chokerende tal fra konferencen:
- 2.000.000 – antallet af nye, skadelige websteder, der detekteres hver måned
- 100.000 – antallet af nye malwares, der screenes hver dag
- 400% – stigningen i malwares til Android mobil, sammenlignet med 2010
- 50 millioner pund – den estimerede globale omkostning for den trojanske virus Zeus
- 110 – det gennemsnitlige antal dage, det tager at løse en sårbarhed i sikkerheden på et websted
- 44% – procentdelen af verdens websteder, der har en alvorlig sikkerhedseksponering hver dag, året rundt
- 70% – procentdelen af it-medarbejdere og ledende medarbejdere, der mener, at mobil computing nu er den største trussel mod it-branchen
Robert Chapman fra Firebrand Training siger: “Statistikkerne fra Hacker Halted er en påmindelse om, at vi alle er mere sårbare end nogensinde før. Der er tusinder af nye trusler hver dag, og der er i øjeblikket ikke tilstrækkeligt med ‘cyberforsvarere’ til at klare dette.”
“Det uhyggelige er, at det ikke altid drejer sig om penge. En hacker demonstrerede, hvorledes en trådløs insulinpumpe på effektiv vis kan anvendes til at give skæbnesvangre injektioner. Det lyder som noget fra en sci-fi-film. Men det er her nu, og det er meget virkeligt.”
Er du smartphone-parat?
Et af de mest sårbare segmenter, der stammer fra den hurtige teknologivækst, er fremkomsten af smartphones og den ‘risiko’, de i selv kommermed. Flere og flere personer foretrækker nu at besøge internettet med deres telefoner. Fra Facebook til deres e-mails til internet-banking: Personer gør det hele på deres smartphones.
Men er smartphones virkelig parate?
En national computersikkerhedskampagne presser på for at få smartphone-brugere til at beskytte sig selv mod utilsigtet download af malware-programmer. “Get Safe Online” har afsløret, at der har været en stigning i smartphone-malware, efterhånden som markedet er vokset.
Bedragerierne er meget avancerede. Apps, der hemmeligt kan generere kontanter, uden at brugeren opdager det, indtil de ser månedsregningen, er blevet fremstillet og udgør en trussel mod smartphone-brugerne.
Symantec har advaret Android-brugere om, at deres telefoner er udsat for en risiko, og at dehar fundet mindst seks varianter af skadelig software.
Firebrand har lært komplette amatører at hacke på mindre end femten minutter
Vores 5-dages Certified Ethical Hacking-kursus lærer dig at blive en “cyber-ninja” på bare fem dage.
Minister for cybersikkerhed, Francis Maude, sagde: “Flere og flere personer anvender nu deres smartphone til at overføre personlige og økonomiske informationer over internettet, uanset om det drejer sig om online-banking, indkøb eller sociale netværk.
“Undersøgelser fra Get Safe Online viser, at 17% af smartphone-brugerne nu anvender deres telefon til pengesager, og dette er de kriminelle helt klar over.”
