DATASIKKERHED
Her kommer der 5 cases fundet på nettet omkring datasikkerhed.
Case 1
Populære chat-tjenester ramt af hackerangreb - er du i fare?
Hackere har fejret nytår ved at kaste sig om bord i de populære chat-tjenester Snapchat og Skype, som begge er blevet angrebet for nylig.
Hos Snapchat drejer det sig om 4,6 millioner konti med brugernavne og telefonnumre, der er blevet downloadet og udstillet på nettet på en hjemmeside, som dog er blevet suspenderet i skrivende stund.
Det skriver BBC, der kan berette om, at det australske sikkerhedsfirma Gibson Security i dagene op til angrebet advarede om sikkerhedshuller i Snapchat, som hackerne senere har udnyttet.
Vi sikrer osGibson Security hævder, at selskabet advarede Snapchat for fire måneder siden - uden den store respons fra chat-selskabet.
I dagene efter jul kom Snapchat dog på banen på sin egen blog med et udsagn om, at den slags sikkerhedsrisici havde selskabet taget hånd om i den stadig mere populære chat-tjeneste, hvor beskeder og filer destruerer sig selv efter noget tid.
"Hvis nogen helt teoretisk var i stand til at oploade et stort sæt telefonnumre som eksempelvis alle numre i et område eller ethvert nummer i USA, så kunne de skabe en database med de resultater og matche brugernavne med telefonnumre," forklarer Snapchat på sin blog og fortsætter:
"I det seneste år har vi implementeret forskellige sikkerhedstiltag for at gøre det sværere at gøre den slags. For nylig har vi lige tilføjet yderligere foranstaltninger (mod hackere) og fortsætter med at foretage forbedringer for at bekæmpe spam og misbrug," lyder det fra Snapchat.
Hackere: Ikke sikkert nok
Hackerne har over for TechCrunch hævdet, at sikkerheden hos Snapchat ikke er stærk nok - heller ikke efter det seneste hackerangreb med 4,6 millioner konti publiceret på nettet.
Til it-mediet siger hackerne:
"Vores motivation har været at fortælle omverdenen om disse sikkerhedshuller og lægge offentligt pres på Snapchat til at få fikset denne exploit," siger hackergruppen til TechCrunch, hvor det også kommer frem, at hackernes formål med data-publiceringen er at vise, hvor ligeglade internetselskaber er med sikkerhed.
"Sikkerhed er sekundært for firmaerne, og sådan skal det ikke være. Du vil jo heller ikke spise på en restaurant, der bruger millioner på dekoration, men næsten ingenting på rengøring," lyder det fra hackerne bag Snapchat-publiceringen.
Skype hacket
I feriedagene er Snapchat dog ikke den eneste chat-service, som har haft ubudne gæster.
Microsofts Skype-tjeneste og tjenestens Twitter-konti har haft besøg af den såkaldte Syriske Elektroniske Hær (Syrian Electronic Army).
It-krigerne har i et politisk motiveret angreb indsat flere beskeder på Skypes blog og forskellige Twitter-konti, hvor de advarer mod NSA-overvågning og opfordrer til at lade være med at bruge Microsoft-produkter.
"Brug ikke Microsoft emails (hotmail, outlook). De overvåger dine konti og sælger data til regeringerne," lyder advarslerne mod Vestens overvågning på en af Skypes Twitter-konti.
Skype har i nat selv været ude og beklage hackerangrebet fra den Syriske Elektroniske Hær, der bakker op omkring Syriens præsident Bashar al-Assad.
"Du har måske opdaget, at vores sociale medier har været ramt i dag. Ingen brugerinformationer er kompromitterede. Vi beklager ulejligheden," skriver Skype på en af sine Twitter-konti.
Hos Snapchat drejer det sig om 4,6 millioner konti med brugernavne og telefonnumre, der er blevet downloadet og udstillet på nettet på en hjemmeside, som dog er blevet suspenderet i skrivende stund.
Det skriver BBC, der kan berette om, at det australske sikkerhedsfirma Gibson Security i dagene op til angrebet advarede om sikkerhedshuller i Snapchat, som hackerne senere har udnyttet.
Vi sikrer osGibson Security hævder, at selskabet advarede Snapchat for fire måneder siden - uden den store respons fra chat-selskabet.
I dagene efter jul kom Snapchat dog på banen på sin egen blog med et udsagn om, at den slags sikkerhedsrisici havde selskabet taget hånd om i den stadig mere populære chat-tjeneste, hvor beskeder og filer destruerer sig selv efter noget tid.
"Hvis nogen helt teoretisk var i stand til at oploade et stort sæt telefonnumre som eksempelvis alle numre i et område eller ethvert nummer i USA, så kunne de skabe en database med de resultater og matche brugernavne med telefonnumre," forklarer Snapchat på sin blog og fortsætter:
"I det seneste år har vi implementeret forskellige sikkerhedstiltag for at gøre det sværere at gøre den slags. For nylig har vi lige tilføjet yderligere foranstaltninger (mod hackere) og fortsætter med at foretage forbedringer for at bekæmpe spam og misbrug," lyder det fra Snapchat.
Hackere: Ikke sikkert nok
Hackerne har over for TechCrunch hævdet, at sikkerheden hos Snapchat ikke er stærk nok - heller ikke efter det seneste hackerangreb med 4,6 millioner konti publiceret på nettet.
Til it-mediet siger hackerne:
"Vores motivation har været at fortælle omverdenen om disse sikkerhedshuller og lægge offentligt pres på Snapchat til at få fikset denne exploit," siger hackergruppen til TechCrunch, hvor det også kommer frem, at hackernes formål med data-publiceringen er at vise, hvor ligeglade internetselskaber er med sikkerhed.
"Sikkerhed er sekundært for firmaerne, og sådan skal det ikke være. Du vil jo heller ikke spise på en restaurant, der bruger millioner på dekoration, men næsten ingenting på rengøring," lyder det fra hackerne bag Snapchat-publiceringen.
Skype hacket
I feriedagene er Snapchat dog ikke den eneste chat-service, som har haft ubudne gæster.
Microsofts Skype-tjeneste og tjenestens Twitter-konti har haft besøg af den såkaldte Syriske Elektroniske Hær (Syrian Electronic Army).
It-krigerne har i et politisk motiveret angreb indsat flere beskeder på Skypes blog og forskellige Twitter-konti, hvor de advarer mod NSA-overvågning og opfordrer til at lade være med at bruge Microsoft-produkter.
"Brug ikke Microsoft emails (hotmail, outlook). De overvåger dine konti og sælger data til regeringerne," lyder advarslerne mod Vestens overvågning på en af Skypes Twitter-konti.
Skype har i nat selv været ude og beklage hackerangrebet fra den Syriske Elektroniske Hær, der bakker op omkring Syriens præsident Bashar al-Assad.
"Du har måske opdaget, at vores sociale medier har været ramt i dag. Ingen brugerinformationer er kompromitterede. Vi beklager ulejligheden," skriver Skype på en af sine Twitter-konti.
- Hentet fra Computerworld.dk: http://www.computerworld.dk/art/229466/populaere-chat-tjenester-ramt-af-hackerangreb-er-du-i-fare, Dato: 4/2-2015 Kl: 08:57.
Case 2
Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol
Det lyder måske som en selvmodsigelse, men det er ikke desto mindre det, som Niels Christian Juul, lektor i datalogi på Roskilde Universitet (RUC), påstår kunne have forhindret den ulovlige udveksling af data og kontanter mellem Se og Hør og Nets/PBS.
"Når en medarbejder bliver kontrolleret eller overvåget af sin arbejdsgiver, forsvinder tillidsforholdet, og når tilliden er forsvundet, er risikoen for, at data forsvinder, kommet på banen."
Han mener, at medarbejderen mister ejerskabet og i nogle tilfælde ligefrem vil bekæmpe kontrollen.
"Der er selvfølgelige nogle basale sikkerhedsfaktorer, der skal være på plads som eksempelvis, at medarbejderen kun har adgang til de nødvendige data i de nødvendige perioder."
"Det skal vedligeholdes dynamisk og er i sig selv en øvelse, der kan give problemer for mange," fortæller han.
Kontrol af sig selv
Ligeledes er logning en vigtig sikkerhedsforanstaltning, men den er langt fra skudsikker.
"Ofte er det højt placerede it-personer, der har adgang til følsomme data. De samme it-folk har typisk også adgang til log-filer, og derfor kan det hænde, at de skal kontrollere sig selv, hvilket ikke er hensigtsmæssigt. Så bliver det ræven, der vogter gæs."
Kan man ikke dele ansvaret ud på flere personer, så man skal være flere om at tilgå data, så en enkelt ansat ikke fristes?
"Det er en mulighed. I gamle dage var man også flere i bogholderiet. En til at føre regnskabet og en til at styre kassen. Men det er ofte vellønnede personer, der sidder på de vigtige poster, og det koster. Derfor ser man ikke denne model så ofte."
"Det handler i bund og grund om tillid," vurderer han.
Danmark er da også et land med en lang tradition for tillid mellem medarbejder og arbejdsgiver, men Niels Christian Juul peger på, at det forhold har ændret sig markant igennem de sidste 15 år.
"Vores arbejdskultur har været baseret på tillid, men det er blevet politisk-saboteret gennem new public management, som blandt andre Anders Fogh Rasmussen har været fortaler for. Man vil hellere kontrollere end have tillid. Det gælder mange områder, ikke kun i it-branchen."
Derfor argumenterer han for, at mindre kontrol vil give en større tilknytning til arbejdet og et langt mere funderet tillidsforhold, hvor man ikke sælger ud af sine data til Se og Hør, fordi man 'selv ejer' sit arbejde.
"Har man det godt på sin arbejdsplads, bedrager man ikke sin arbejdsgiver. Så simpelt er det."
Outsourcing gør distancen
I den konkrete sag får outsourcing'en fra Nets til IBM tingene til at smuldre endnu mere.
"Hvis det er foregået, som mange medier skriver, ved, at opgaven hos Nets er blevet outsourcet til IBM, bliver tillidsforholdet mellem arbejdsgiver og medarbejder endnu tyndere. Medarbejderen bliver bare tredje eller fjerde led i en kæde. Det bliver bare data, som man ikke selv 'ejer'," lyder hans analyse.
Og når ejerskabet og tilliden forsvinder, vil en medarbejder ifølge Niels Christian Juul ikke have dårlig samvittighed ved at sælge ud af dataguldet.
Så Nets-lækket kunne være undgået ved mindre kontrol?
"Ja, muligvis. Det ville i hvert tilfælde have mindsket risikoen for svindel betragteligt."
- Hentet fra Computerworld.dk: http://www.computerworld.dk/art/230791/ekspert-se-og-hoer-sag-kunne-vaere-undgaaet-med-mindre-kontrol, Dato: 4/2-2015 Kl: 09:11.
Case 3
Mega-hack mod amerikansk it-gigant - 145 millioner skal skifte password
Efter nærmere efterforskning er det nu kommet frem, at it-kriminelle har fået fingrene i en database indholdende navne, krypterede passwords, email- og fysiske adresser samt telefonnumre og fødselsdata på kunderne.
Det skriver USA Today, som oplyser, at eBay har 145 millioner aktive brugere.
Ingen kreditkortnumre nuppet
EBay understreger, at ingen finansielle data såsom kreditkortnumre er blevet nuppet, da disse data er krypterede og ligger i en anden database hos e-handelssitets betalingsservice PayPal.
"PayPal-data er gemt på et sikret netværk, og alle PayPals-finansinformationerne er kryptede," lyder det i en udtalelse fra eBay ovenpå det store hackerangreb.
"Vi ved, at vores kunder stoler på os med deres informationer, og vi tager opretholdelsen af en sikker og troværdig markedsplads meget seriøst," fremgår det af udtalelsen fra eBay.
Skift password flere steder
Det er endnu ikke kendt, præcis hvor mange informationerne hackerne er stukket af sted.
Mens eBay opfordrer sine brugere til at skifte password hos eBay, lyder opfordringer fra sikkerhedseksperter, at alle eBay-brugere bør skifte passwords, hvis man har genbrugt det samme kodeord på andre webtjenester som Google, Facebook, Twitter og lignende.
"Angriberne vil hurtigt overtage konti over hele internettet, hvis en bruger har genbrugt det samme brugernavn og password på andre sider," lyder det ifølge USA Today fra Michael Coates, en sikkerhedsekspert fra Silicon Valley-sikkerhedsselskabet Shape Security.
Sikkerhedsekspert ikke imponeret
Han er ikke specielt imponeret over, hvordan eBay har beskyttet sine millionvis af brugeroplysninger, da informationerne har ligget krypterede frem for hashet.
"Kryptering giver eBay og andre med krypteringsnøglen mulighed for at dekryptere og se brugernes passwords. Derimod ville password-hashing give eBay mulighed for at tjekke, om et password er korrekt eller ej, men ville ikke give eBay (eller hackerne) adgang til password i klar tekst," siger Michael Coates til USA Today.
Angrebet mod eBay har fundet sted omkring slutningen af februar og starten af marts, og det formodes, at hackerne har haft held med at fravriste en mindre gruppe medarbejdere deres login-oplysninger.
Større end Target-angrebetEbay sender mails ud til alle sine brugere med hacker-advarslen, mens selskabet oplyser, at det vil stramme op på sikkerheden.
Samtidig advarer sikkerhedseksperter også mod falske e-mails fra eBay og advarslen går specifikt på ikke at klikke på links i mails.
Ebay-hacket er i omfang større end det, der ramte Target sidste år, hvor der modsat dette angreb også blev stjålet kreditoplysninger blandt butikskædens 40 millioner kunder.
- Hentet fra Computerworld.dk: http://www.computerworld.dk/art/230996/mega-hack-mod-amerikansk-it-gigant-145-millioner-skal-skifte-password, Dato: 4/2-2015 Kl: 09:15.
Case 4
Sikkerhedsfirma: 400.000 brugere er hacket hos os
- Hentet fra Computerworld.dk: http://www.computerworld.dk/art/231045/sikkerhedsfirma-400-000-brugere-er-hacket-hos-os, Dato: 4/2-2015 Kl: 09:19.
Case 5
Så enorme mængder data har CSC-hackerne stjålet hos politiet
Alle danskere med et kørekort har angiveligt fået stjålet deres CPR-numre.
Det er sket i forbindelse med det store hackerangreb, der er blevet begået på Rigspolitiets dataregistre hos it-leverandøren CSC i perioden fra april til august 2012.
Derudover er der en række andre oplysninger om eksempelvis eftersøgte danskere i Schengen-samarbejdet, som har fået stjålet deres personoplysninger.
Det fortæller rigspolitichef Jens Henrik Højbjerg på et improviseret pressemøde foran Rigspolitiets bygning i København.
Fire millioner CPR-numre
Han vurderer, at op mod fire millioner CPR-numre kan være blevet downloadet og kopieret i forbindelse med hackerangrebene.
Jens Henrik Højbjerg maner dog til besindighed, da han understreger, at CPR-numrene ikke umiddelbart kan knyttes sammen med navne, og at data desuden har været krypterede.
"Der er derfor ingen grund til bekymring," siger rigspolitichefen til de fremmødte journalister.
Rigspolitichefen forklarer, at han umiddelbart ikke ser nogen grund til at kontakte de berørte danskere, da der indtil videre ikke er konstateret misbrug af nogen art.
Alligevel opfordrer han alle til at vise agtpågivenhed over for fremtidige hændelser, som virker mystiske.
Undrer sig over CSC
Trods sin panikafvisende attitude er Jens Henrik Højbjerg ikke sen til at udtrykke betænkeligheder for sikkerheden hos rigspolitiets it-leverandør CSC.
"Jeg er meget, meget bekymret for, at den slags overhovedet kan finde sted, og dette er en meget, meget alvorlig sag," lyder det fra Jens Henrik Højbjerg.
Han fortsætter:
"Vi forventer jo, at CSC har den højeste sikkerhed på det her område, så vi er meget ærgerlige over, at det er sket. Men vi arbejder også hårdt på at sikre, at det ikke kan ske igen," fortæller Jens Henrik Højbjerg om den store data-fadæse.
Anholdelser og ransagninger
Indtil videre er sagen kulmineret med, at politiet i Danmark har udstedt en udleveringsbegæring på den svenske Pirate Bay-stifter Gottfrid Svartholm Warg, mens en dansk statsborger i dag sidder i grundlovsforhør i Retten ved Frederiksberg sigtet for hackerangrebene.
Politiet har undervejs i sin efterforskning beslaglagt pc'er, papirer og ikke mindst datadokumenter fra de millionvis af downloads af CPR-numre, som blandt andet er sket fra Motorkøretøjsregistret.
Sagen udspringer af svensk efterforskning på Gottfrid Svartholm Warg formodede indbrud på Logica-servere (nu CGI) og netbank-indbrud hos Nordea, hvor motiverne angiveligt har været af økonomisk art.
Jens Henrik Højbjerg ønsker på nuværende tidspunkt ikke at spekulere i motiver i CSC-sagen.
"Det er på nuværende fuldstændig umuligt at sige noget om motiver, men det kan jo eksempelvis enten være økonomisk motiveret eller for at vise, at man kan komme ind i centrale registre," lyder det fra rigspolitichefen.
- Hentet fra Computerworld.dk: http://www.computerworld.dk/art/227135/saa-enorme-maengder-data-har-csc-hackerne-stjaalet-hos-politiet, Dato: 4/2-2015 Kl: 09:29.
Ingen kommentarer:
Send en kommentar