Archive for the ‘IT Security’ Category
IT Sikkerhed – den gode, den onde og den grusomme
Den Gode – Lønstigninger
Der har længe været stigende efterspørgsel efter færdigheder i forbindelse med sikkerhedsarkitektur og web-applikations sikkerhed. IT-sikkerheds rekrutteringsfirmaet Acumin rapporterer, at den gennemsnitlige løn for den type roller i de seneste seks måneder, er steget fra £ 78.000 til £ 90.000 om året. Det er en stigning fra £ 75.000 til £ 90.000 i 2012. Acumin forklarer lønstigningen med en generel stigning i udbredelsen af web-apps og en bedre forståelse af de involverede sikkerhedsrisici.
Den onde – Nordkorea beskylder USA for web udfald
Nordkorea har erklæret, at USA har udført cyberangreb på deres servere, som forhindrer adgang til visse sites. Nogle af de berørte servere tilhører det koreanske centrale nyhedsbureau og den officielle Sinmun avis, der er en statsdrevet medieorganisation. Udlændinge og turister i hovedstaden Pyongyang har rapporteret, at de ingen adgang havde til internettet i flere dage. Sydkorea har nægtet involvering og USA har ingen kommentarer. Der er også andre kilder, der angiver at hacker grupper rundt omkring i verden er ansvarlige, men der findes fortsat ingen beviser på, at der har været en hændelse overhovedet.
Og Den grusomme: Organisationer styrker deres forsikringer
Cyber Insurance præmier er steget dramatisk. Ifølge forsikringsmægleren Marsh, var der en 33% stigning i 2012 i forhold til året før. De fandt, at de sektorer, der mest ivrige efter at forsikre sig mod de økonomiske følger af et nedbrud eller cyberangreb er service-og uddannelsessektoren. Efterspørgslen steg med 76% for servicesektoren og 72% for de uddannelsesmæssige sektorer.
Dagligdagen er et muligheds – ædende monster
Af Stefano Capaldo
Hvis du var nødt til at træffe valget mellem innovation og ”dagligdagen”, vil jeg vædde på at 99,99% af jer vil hoppe direkte på innovation. Men hvorfor er det så, at mange bruger så meget tid på den daglige brandslukning og så lidt tid på innovation? For de fleste virksomheder er svaret: ” Fordi vi er nødt til det” Systemer vil altid have brug for opdatering og rettelser og ting vil altid have brug for rettelser. Servere fejler, diske bryder ned og brugere – de pragtfulde skabninger – bliver tit småforvirrede og sletter ting ved uheld og glemmer deres password.
Desværre, kan kun de færreste virksomheder tillade sig den luksus at have dedikerede mennesker på standby, hvis det skulle ske at en server fejler, et program bryder ned eller en pris skal udskiftes på hjemmesiden. Konsekvensen af det er, at it-afdelinger og udviklingsteams hele tiden bliver taget fra nye indtægtsskabende projekter og sat til at håndtere nedbrud og problemer. Med andre ord: Dagligdagen er et mulighedsædende monster i en nøddeskal.
I det store og hele, blev it-afdelinger ikke skabt til at fejlrette gamle applikationer, reparere svigtende hardware eller besvare spørgsmål fra resten af virksomheden. De er der for at tjene forretningen, skabe IT-løsninger der gør forretningen mere effektiv og i stand til at skabe nye indtægter. Men desværre er denne rolle årenes løb blevet glemt og i stedet for, bruger it-afdelinger nu bruger deres tid på at slukke brande.
Hvad kan man så gøre ved det? Svaret er, at man kan give dagligdagens sager til dem, det er bedst til at varetage den slags og så sørge for, at applikationer bygges og forvaltes ordentligt og at de mennesker der skal rette fejl, er uddannet til det.
En rapport fra IDC viser, at eksperter dvs. uddannede IT-professionelle med certificeringer bruger langt mindre tid på brandslukning, og er i stand til at bruge mere tid på innovation. Ifølge undersøgelsen, brugte eksperter i backup og recovery 28% mindre tid at løse hændelser og sikkerhedseksperter havde 20% mere tid til at hjælpe slutbrugere.
Det er enkelt nok. Hvis du er ved at blive oversvømmet af ”Dagligdagen” så få en ekspert til at håndtere det, enten internt eller i skyen, og sørg for at IT afdelingen er ordentligt uddannet til at varetage de opgaver der lander hos dem.
Forfatter:
Stefano er medstifter og leder af uddannelsesstrategi hos Firebrand Training. Han har 20 års erfaring med IT-drift og support, særligt med forretningsunderstøttende IT infrastrukturer.
Halvdelen af nettrafikken kommer fra robotter.
Sikkerhedsleverandøren Incapsula har i en ny rapport konstateret at 51 % af web-trafikken udgøres af automatiserede software-programmer, som samler informationer, søger efter sikkerhedshuller og forsøger at sprede spam, hvilket kan være potentielt skadeligt. Af alle besøgende på et websted er kun 49 % ”rigtige” mennesker, som normale analyse programmer ikke kan spore. Det er ensbetydende med at mange websteder bliver vildledt af denne traffik.
Ifølge rapporten skyldes 5 % af traffiken forskellige hacker-værktøjer der leder efter huller i sikkerheden, 5 % er ”scrapere”, 2 % er automatiske indholds-spammere, 19% er ”cyberspioner” og 20% kommer fra søgemaskiner. Tallene er baseret på data fra 1000 websteder, der bruger firmaets egen scannings-tjeneste.
“Kun få er klar over, hvor stor en del af deres trafik der ikke kommer fra mennesker, og at meget af det er potentielt skadelig,” siger Marc Gaffan, medstifter af Incapsula, til ZDNet.
7 skridt for at bekæmpe IT- sikkerhedsproblemer
Højt profilerede virksomheder som Sony, Nintendo, og CIA oplever jævnligt hackerangreb som udstiller deres avancerede sikkerhedssystemers sårbarhed. Vi må nok se i øjnene at de fleste virksomheder, statsinstitutioner og private er sårbare overfor veludførte kriminelle cyberangreb. Sikkerhedsbruddene koster virksomheder millioner på datatab.
Her er 7 grundlæggende råd at overveje:
- Tænk tilbage: Tænk over de mest sårbare led i virksomheden.
- Gennemgå og opdater: Gennemgå sikkerhedsprocedurer med HR og IT afdelingen og sørg for at de er opdateret.
- Uddan nye medarbejdere: Alle nye ansatte skal være opmærksomme på IT-sikkerhedsprocedurerne for at undgå faldgruber.
- Backup: Sørg for backup og backup planer i tilfælde af, at noget skulle gå galt.
- Vør opmærksom på spam: Sidste år indeholdt 1 ud af 255 e-mails malware og 1 ud af 8300 var direkte angreb.
- Cloud: Flere virksomheder anvender Cloud teknologier til opbevaring af data. Glem ikke backup.
- Tænk som en hacker: Lær at tænke som en hacker. (Se vores Certified Ethical Hacker kursus)
IT-teknologi skal skabe vækst
Krisen har længe kradset i Europa. I bestræbelserne på at komme ud af den økonomiske krise er flere EU-lande klar til at læne sig opad IT-teknologi i de kommende år.
EU-kommission anslår at IT-teknologi skal udgøre 4 % af den samlede vækst på 5-7 % af BNP. Det svarer til ca. 60 milliarader DKK i vækst. Det forventes at der vil blive lagt tryk på i det kommende halve år på at vedtage en masse IT-lovforslag, som skal skabe en smidigere, øget samhandel og konkurrence I Europa. E-fakturaer har eksempelvis en omsætningspotentiale på omkring 300 milliarader DKK, hvis alle europæiske firmaer kobler sig til e-fakturaer.
Andre IT-services, som Cloud og IT-sikkerhed vil også komme i fokus og med fornyet fokus er processen i hvert fald i gang for at opnå vækstmålene.
Hvilket land er “cyberparat”?
En undersøgelse understøttet af McAfee har afsløret, at Israel, Finland og Sverige ligger øverst på listen over lande, der er “cyberparate”. Rapporter har afsløret, at Israel slås med mere end 1.000 angreb hvert minut.
Men Kina, Mexico og Brasilien er blevet vurderet som de mindst kompetente med hensyn til at forsvare sig selv mod cyberangreb.
“Rapportens subjektivitet er dens største styrke”, forklarede Raj Samani, McAfees tekniske direktør (CTO). “Det, den gør, er at give opfattelsen af cyberparathed hos disse enkeltpersoner, der på en måde forstår og arbejder med cybersikkerhed på daglig basis.”
Rapporten afsluttes med et krav om, at informationer skal deles mere globalt for at være et skridt foran angrebene, og at der bør håndhæves flere love som en hjælp mod grænseoverskridende kriminalitet.
Microsoft kræver at du er ansvarlig ude i skyen
Dit indhold ude i ”skyen” bliver holdt nøje øje med. Der skal ikke meget til før Microsoft lukker ens SkyDrive konto (en gratis cloud oplagering service på en webbrowser). Fornyeligt lagde en mand, en tegning af to kravlenisser, der viser nissernes bagdel og testikler på sin SkyDrive konto , hvorefter den blev lukket indtil han fjernede tegningen. Indholdet overgår Microsofts grænser for anstødelighed.
Manden skriver i en mail til Microsoft:
“Den lå der faktisk også den første gang, uden at jeg fjernede den, men de har åbenbart fået øje på den senere. Det er måske nok lige at gå i små sko at lukke min SkyDrive-konto på grund af denne tegning. Jeg har den kun fordi den er sjov, men Microsoft hår åbenbart ingen humor,” skriver han i en mail.
Historien kan få alvorlige konsekvenser for Microsoft – og andre cloud-udbydere, og genopliver debatten om Cloud nu er sikkert eller ej.
“Fundamentet under skyen forsvinder, når man ikke kan regne med, at ens ting er sikre, når man lægger dem på en server drevet af et stort velrenommeret firma. At det er amerikanske moralske normer, der afgør, hvad der er passende indhold, gør ikke sagen bedre. Hvis upassende indhold skal frasorteres, er der jo store dele af den danske kulturarv, som aldrig kan gemmes i skyen,” fastslår jurist i Forbrugerrådet, Martin Salamon.
Ikke desto mindre, skal man også holde in mente at der er stadigvæk behov for tid for at kunne etablere og drive en succesfuld Cloud practice.
Strengt forbudt!
Vi har tidligere skrevet om at bruge sin sunde fornuft når det handler om at vælge sin adgangskode. (Er din adgangskode “Password”?) og (Læs hvordan hackere stjæler dine passwords)
I forlængelse af disse to blog indlæg er det igen vigtigt at understrege at man skal bruge sin sunde fornuft mht. adgangskoder. Selvom man udvælger et forholdsvis nemt og kompliceret password, er den ikke stærkere end sikkerheden hos det svageste netsted, som Ivan Bjerre Damgård, professor på Aarhus Universitet fremhæver.
Mange mennesker anvender nemlig den samme adgangskode flere steder på nettet, som er ensbetydende med at risikoen for at blive hacket er større. Især da mange nettjenester beder om din e-mail-adresse for at logge ind fremfor et brugernavn, og anvender man sin mail-adresses adgangskode på disse tjenester er man et let bytte for IT-kriminelle.
Men for mange adgangskoder til forskellige kontoer kan hurtigt blive forvirrende. Hvordan kan man holde styr på dem?
Her er 3 gode råd til at huske de komplicerede passwords:
1. Kategorisere dine adgangskoder
Ivan Bjerre Damgård foreslår at man giver sine vigtigste og mest anvendte kontoer, som eksempelvis netbank og mailkonto en seperat adgangskode, som ikke bliver brugt andre steder. Næste kategori kunne tillade at du delte din adgangskode mellem 2 måske 3 nettjenester. Den sidste kategori kunne være et ”let at huske” adgangskode, som anvendes alle de steder der ikke har den store betydning på ens dagligdag.
2. Anvend huske-programmer til dine passwords
Programmerne 1Password og LastPass bliver fremhævet af PC World Business Center, som er et godt værktøj at gøre brug af hvis man har mange adgangskoder og samtidig er glemsom. Dog skal man også passe på ikke at satse alt på en hest, idet programmet kan også blive hacket.
3. En sætning
Ifølge Ivan Bjerre Damgård er de bedste og mest sikre adgangskoder dem der består både af abstrakte tal og bogstaver, som overhovedet ikke giver nogen mening. Men det kan være lettere at huske en adgangskode, hvis det indgår i en eller anden sammenhæng.
“Derfor kan du gøre det, at du finder en sætning, der er let at huske, og tager det første bogstav i hver af ordene i sætningen. Det giver dig et password, der virker helt tilfældigt for udenforstående, men stadigvæk er let at huske. Det ved jeg virker for mange,” siger han.
Vi har sagt det før og siger det gerne igen. Brug din sunde fornuft.
5 nemme trin der gør livet surt for en hacker
Her følger fem trin, der hjælper med at forhindre brud på sikkerheden. Det er umuligt at garantere, at der ikke sker brud på sikkerheden, men disse trin gør det sværere for hackere:
- Optimerede adgangskoder – Der var engang, hvor adgangskoden “password” var en sikker måde at snyde hackere på. Selv om de fleste nu ved, hvor dårligt adgangskoden “password” er, er der stadigvæk mange, der anvender lignende åbenlyse valg af adgangskoder. De anvender f.eks. deres navn og fødselsdato – og disse oplysninger er nemt tilgængelige via sociale medier.
Anvend ikke adgangskoder, som nemt kan gættes. Bland tegn ind i ordene. Anvend f.eks. udråbstegn i stedet for tallet 1, &-tegnet i stedet for tallet 8, osv.
Et andet problem med adgangskoder er, at folk efterfølgende blive dovne. Selv om din adgangskode er svær at knække, er det god kutyme at skifte den jævnligt. Folk, der ikke skifter adgangskoder, og som anvender den samme på flere websteder, vil med større sandsynlighed komme ud for et brud på sikkerheden.
- Effektiv antivirus og korrekt konfigureret firewall – Dette er de mest basale ting, som er forkerte i en brugers operativsystem – hvis du ikke har installeret antivirus i dit miljø, har du problemer. En helt opdateret anti-malware- og antivirussoftware skal konstant være kørende. Hvor det er muligt, skal du installere en hardwarebaseret firewall og sikre, at den ikke tillader unødvendig trafik at trænge ind i systemerne.
- Opdaterede maskiner – Operativsystem- og andre softwarevirksomheder lancerer patches og opdateringer af softwaren. Mens nogle opdateringer tilføjer nye funktioner, lukker andre sikkerhedshuller, der kan have eksisteret indtil da. Derfor er det vigtigt at installere den nyeste version.
- Sikring af data – Går du rundt med følsomme data på en USB-nøgle? Hvis det er tilfældet, skal du passe på. Ubeskyttede data er en alvorlig sag. En tabt USB-nøgle, harddisk, laptop eller iPod kan kan føre dig og din organisation ud i et stormvejr. Krypter alle data, der transporteres.
- Beskyt din Wi-Fi – På trods af kendte sårbarheder i åbne trådløse netværk, er der stadigvæk nogen, der anvender åbne og usikre netværk. Nogle anvender WEP (Wired Equivalent Privacy), men det er tidligere vist, at WEP kan brydes på så lidt som fire sekunder. Det anbefales som minimum at anvende WPA. WPA2 er et bedre alternativ. WPA2 er en moderne trådløs sikkerhedsstandard, der understøttes af de fleste nyere operativsystemer, og den er betydeligt sværere at knække end WEP eller WPA.
Læs hvordan hackere stjæler dine passwords
Vi skrev tidligere om de fem værste adgangskoder i vores indlæg fra 30 november (Er din adgangskode “Password”?)
Here genopfrisker vi de 25 værste adgangskoder, som det amerikanske firma SpalshData er kommet frem til:
- password
- 123456
- 12345678
- qwerty
- abc123
- monkey
- 1234567
- letmein
- trustno1
- dragon
- baseball
- 111111
- iloveyou
- master
- sunshine
- ashley
- bailey
- passw0rd
- shadow
- 123123
- 654321
- superman
- qazwsx
- michael
- football
For at gøre tingene nemmere for os selv, opbevarer mange deres personlige oplysninge på nettet, hvor der ikke skal meget til for IT-kriminelle at stjæle dem og udnytte dem.
I en artikel i det amerikanske tidsskrift ”The Atlantic”, fortæller James Fallow, hvor hans kone Deb Fallows Gmail-konto blev hacket, hvor flere vigtige mails blev slettet og desuden fandt hackerne ud af ude fra en mail sendt til familiens venner at de havde været udsat for et røveri under deres rejse til Madrid, og havde brug penge, så de kunne betale for deres ophold.
Familien forstår ikke hvordan de blev hacket og spørgsmålet er hvordan hacker IT-kriminelle folks mail konto?
Der er fire metoder som hacker anvender:
- Udover bare at taste de ovenstående koder ind, anvender hackere et avanceret program der automatisk brug af nogle af de mest anvendte adgangskode-variationer, bedre kendt som ”ordbogs-angreb”.
- En anden metode som er den mest udbredte er ”Phising”, som går ud på at optræde som et repræsentant fra et af de mest respekterede virksomheder og institutioner, som eksempelvis SKAT eller Sony og franarre folk til at give deres personligt oplysninger til dem.
- En meget nem måde at få stjålet sin adgangskode er, hvis man tjekker sin mail på en offentlig tilgængelig computer, som eksempelvis på biblioteket. Her kan man antage at IT-sikkerheden er på et højt niveau. Bruger man sin egen computer til at logge ind på bibliotekets netværk, så ved de færreste at der er tale om en sikker forbindelse, hvis der står https foran internetadressen i din browsers adressefelt og ikke hvis der blot står http.
- Key-logging angreb findes og er ligeså udbredt som de andre metoder. Dine tastetryk bliver afluret ved hjælp af en software, som måske ved uheld bliver installeret på din computer, som medfører at dine adgangskoder og personlige oplysninger bliver misbrugt.
Selvom Internettet gør vores hverdag nemmere er det vigtigt at vi ikke lader vores sunde fornuft forvinde. Eksempelvis vil man aldrig fortælle en ubekendt person sin adgangskode, hvis vedkommende bad om det. Samme princip burde man have når folk beder om adgangskoder over nettet. Med mindre man er Certified Ethical Hacker burde man blot følge sin sunde fornuft.
