Dignatio
  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar

Dignatio AS

Det vi vet, har DU Godt AV!

Å hacke et valg, et skrikende behov for sikkerhetskultur hos politiske partier.

8/5/2017

0 Comments

 
Bilde
Det første jeg tenker på når noen sier at et valg har blitt “hacket”, er at noen har lykkes å manipulere datamaskiner som brukes til å avgi, eller telle stemmer. At en fremmed makt, pengesterke industrier eller et av partiene i en valgkamp, kan de fleste se for seg. Til tross for flere påstander om at slike ting har skjedd, har svært få tilfeller, om noen, blitt bekreftet fra seriøst hold.
Når vi i dag snakker om at valg blir hacket, er de helt andre ting man refererer til. I det amerikanske presidentvalget i 2016, lakk det ut data fra kretsen rundt Hillary Clinton. I det franske presidentvalget for noen dager siden, skjedde det som nå har fått sin egen hashtag MacronLeaks.
Tusenvis av e-poster med vedlegg som dokumenter og bilder, ble hentet ut i en hackerkampanje rettet mot personer i Macrons stab. Flere fikk både sine offisielle og private e-postkontoer hacket. Det dreier seg om drøyt 9GB med data som nå deles via ulike fildelingsplattformer. Det spekuleres nå rundt hvem som sto bak og hva man ville oppnå.
Marcons rådgivere er skråsikre på at uansett hvem det er som står bak, ønsket de å skade demokratiet. At de som står bak hacking ønsket å skade Macron og partiet “En Marche!” er nok mer sannsynlig. Hverken Macron, “En Marche!” eller det franske demokratiet, har sett ut til å ta nevneverdig skade av lekkasjen. Det virker derimot stadig klarere at politikere bør tenke seg om både en og to ganger, før de sender saker og ting i digitale kanaler.
Så hva kan man oppnå ved å hacke en haug med e-postkontoer i en valgkamp? Hva ønsker man å finne? Svaret er enkelt; man leter etter informasjon. Informasjon er makt og et hack kan avdekke informasjon man kan bruke til å påvirke velgere. Det kan dreie seg om avtaler gjort bak lukkede dører, personlige affærer som hindrer en i å utøve et politisk verv, snusk, grums, dumheter og så videre.
Å bli utsatt for et hack er så klart en ubehagelig opplevelse. Man regner kommunikasjonen som trygg og man uttrykker seg kanskje annerledes innad i en gruppe, enn man gjør i full offentlighet. Et hack kan også brukes som verktøy for å vise noens sårbarhet, eller svekke deres troverdighet. Hvis de ikke klarer å passe på e-postene sine, hvordan kan de styre et land? Politisk drittkasting er absolutt ikke noe nytt fenomen, man har bare bedre verktøy få finne møkka og spre den.
Det finnes så klart ting du kan gjøre for å sikre den nettrelaterte kommunikasjonen din, likevel velger vi ofte det lettvinte foran det sikre. Her følger 5 råd til vår politikere foran det forestående stortingsvalget:
  1. Vær klar over risikoen ved kommunikasjon i digitale kanaler. Faren er der, uansett om du kan se den, eller ikke.
  2. Sørg for å ha gode men enkle tekniske løsninger på plass, er de for kompliserte, brukes de ikke.
  3. Alle må ikke ha tilgang til alt, hele tiden. Tenk over hva du sender til hvem, og hvorfor.
  4. Selv om det er stress å drive valgkamp, er det lov å tenke seg om før man trykker send.
  5. Snakk om sikkerhet og ha gode rutiner på plass dersom sikkerheten feiler.
God valgkamp

0 Comments

På tide med en helsesjekk for datasikkerhet i det offentlige.

4/5/2017

0 Comments

 
Bilde
Den siste tiden har NRK og andre medieaktører avslørt store mangler i sikkerhetstenkning rundt drifting og lagring av data. Det synes som om både offentlige og private aktører lever i en rosa lykkeboble av uvitenhet rundt hva som kreves for å holde viktige og sensitive data trygge.

Å flytte data fra norske datasentre til datasentre hos utenlandske aktører er problematisk av flere grunner. Lagring av sensitive data reguleres av lover og regler. Det offentlige bør gå foran som et godt eksempel, snarere enn å være verst i klassen. Personvern bør bety mye for offentlige aktører.

De siste dagene har mediene vært preget av en særdeles stygg sak. Helse Sør-Øst har inngått en avtale HPE om lagring og drifting av pasientdata. 2,8 millioner mennesker er berørt. Drøyt 100 utenlandske IT-arbeidere har i kortere og lengre perioder hatt tilgang til pasientdata. Teknologidirektør Thomas Bagley i Helse Sør-Øst benektet at dette var tilfelle. NRK sitter derimot på overveldende bevis for at dette er tilfelle og det er mye som skurrer i Helse Sør-Østs håndtering av saken.

NSM (Nasjonal Sikkerhetsmyndighet) har uttrykt at det ikke er mulig å sikkerhetsklarerer personer fra landene som skal være involvert på vegne av HPE. Det dreier seg om land som Bulgaria, Malaysia og India. Bare her burde varselklokkene ringe for direktørene i helseforetaket.

For en som meg, som jobber med sikkerhet, er det nesten umulig å forstå hvordan beslutningstakere i Helse Sør-Øst kan ha trodd at de hadde kontroll på denne situasjonen. Drifting av store mengder data er ofte ekstremt komplekse operasjoner. Loggene som NRK har fått ta del i, viser at mer enn 100 arbeidere har hatt nærmest ubegrenset tilgang til dataene det er snakk om.

Administratorrettigheter gis ikke for å begrense en bruker, tvert om. Å tro at man har full oversikt over hva en gruppe mennesker med denne typen rettigheter foretar seg, er en ren utopi. Er det mangel på kunnskap eller ren arroganse som får ledelsen til å hevde de har kontroll?

Fra et bransjeperspektiv representerer denne utflaggingen flere problemer. For det første, skulle man tro at det offentlige har behov for at vi opprettholder en viss standard på infrastruktur innen samfunnskritiske oppgaver. Helse må vel i høyeste grad anses for å være en av dem. Flagger vi ut, mister vi viktig kunnskap, kompetanse og ikke minst arbeidsplasser.

​For det andre sender det et uheldig signal til et fagfelt som utvikler seg raskere enn noe annet. Er det bare pris som gjelder? Hva med å være “selvforsynt” med gode stabile tjenester som holder en høy kvalitet og er i samsvar med lover og regler. Burde ikke det prioriteres?

Jeg skjønner at Helse Sør-Østs egne IT-eksperter er sinte, frustrerte og skremte. Jeg fatter hvorfor de snakker med mediene og viser fram de overtrampene som har blitt begått. Jeg er ganske sikker på at HPE-kontrakten har vært oppe til diskusjon og at mange kloke hoder har påpekt farer og utfordringer uten å bli hørt. Det er respektløst  både mot de som prøver å gjøre jobben sin, men også mot 2,8 millioner pasienter som ikke har fått sin rett til personvern ivaretatt. Vi snakker ofte om digital dømmekraft og digital kompetanse. I dette tilfellet har ledelsen i Helse Sør-Øst bevist at de ikke er i besittelse av noen av delene.

Les mer om saken her (link til NRK) 
0 Comments

Kriminalitet og medier i en digital hverdag

17/12/2016

0 Comments

 
Bilde
I desember skjer det som ikke skal skje. En 14 år gammel gutt og en tobarnsmor som lufter hunden sin blir begge drept. Gjerningsmannen viser seg å være en 15 år gammel gutt. Motivet er uklart men tragedien er et faktum like fullt. 3 familiers liv vil aldri bli de samme igjen. Mediene kappes om å komme med så mange opplysninger som mulig. Når gjerningsmannen er i varetekt, begynner det en kynisk og hard konkurranse om å komme med mest mulig informasjon om saken og gjerningsmannen. At den sistnevnte i dette tilfellet er 15 år, spiller liten rolle. 

At mediene skal opplyse også om de vanskelige nyhetene levnes det liten tvil om. Men de drar det langt, veldig langt. De vet noe du foreløpig ikke vet, de kjenner identiteten til gjerningsmannen og de er komplett sprekkferdige av trang til å informere og opplyse. Personkarakteristikker listes opp sammen med fritidsinteresser, skole, tilknytninger til idrett, menighet og foreningsliv. De kunne egentlig like gjerne trykket fullt navn og bilde, for opplysningene de legger ut er mer enn tilstrekkelige til at en hver figur med internett og google kan finne ut hvem gjerningsmannen er. 

På et forum får saken enormt med oppmerksomhet. På kort tid er det over 500 kommentarer i tråden om drapene. Det blir en klappjakt på forumet etter å finne gjerningsmannens fulle navn, adresse, telefonnummer og familie- og vennerelasjoner. Man sammenligner opplysningene fra mediene. Prøver og feiler. Det er mange der ute med mye ledig tid og relativt gode datakunnskaper og ganske snart er man sikker på at man har funnet gjerningsmannen. En gutt blir hengt ut med fullt navn og adresse, han ser jo til og med skyldig ut. En forumdeltaker peker på at fyren som er utpekt, faktisk har fylt 16 år, det kan jo ikke være han, de må lete videre. 

Etter knappe 400 poster har de funnet riktig mann. Listet opp fullt navn og adresse, saumfart åpne deler av profilene hans i sosiale medier. Funnet fram til familie og venner, har han søsken? Foreldrenes liv og levnad blir behørig brettet ut og det er ikke akkurat olympiske mestere i konsekvenstenkning som nå har fått blod på tann i fråtsefesten for informasjonsdeling. Det postes linker til fildelingsforum der man har begynt å samle informasjon på gjerningsmannen og alle rundt han. Bilder, skjermdumper, linker til private videoklipp og mye mer organiseres og gjøres tilgjengelig. 

I dagens samfunn vet vi at sosiale medier sprer informasjon raskt. Vi vet at informasjon kan deles i en viral hastighet og vi ser at det skjer hver dag. Joda, det er riktig at mediene ikke kan kontrollere det som skjer i sosiale medier, de kan derimot kontrollere seg selv og den mengden opplysninger de gir ut i slike saker. I dette tilfellet har mediene gått alt for langt med å beskrive hovedpersonen i en tragisk hendelse. Nett-troll og lurkers fores med opplysninger som skal opp, ut og fram. Det spiller ingen rolle om du er i familie med mistenkte, eller er en venn. Kanskje har du vært med i samme idrettslag eller gått på samme ungdomsklubb? Er du uheldig nok til å være på et bilde sammen med gjerningsmannen, kan du nå være en del av en uformell digital etterforskning, der moral og etikk ikke står høyt i kurs. Dette er den digitale gapestokken. 

Det er forståelig at mediene konkurrerer om klikk, likes og delinger akkurat som resten av samfunnet. Klikk og penger henger nøye sammen i våre dager.  Det er derimot ikke greit at man er villig til å tøye strikken så langt som det har blitt gjort her. Mediene vet veldig godt hva slike personbeskrivelser fører til. De kjenner til forum, nett-troll og folks digitale vitebegjærlighet. De er ikke blinde for forum-detektivene som basert på medienes opplysninger, spekulasjoner og vill gjetning, mer enn gjerne utpeker drapsmenn offentlig.  Sannsynligvis vet han fyren som først ble utpekt at han i en kort stund var fikk ta skylden for et dobbeltdrap. Men hva hadde skjedd hvis dette hadde gått viralt? 
0 Comments

Yahoo, personvern og ansvarsløshet

15/12/2016

0 Comments

 
Bilde
​
Det er mulig du ikke orker å lese denne teksten, men det burde du hvis du bruker gratistjenester som yahoo, msn, hotmail eller har app'er på mobil og nettbrett.
​
​14.12.2016 poster Yahoo en advarsel på login-siden for e-posttjenesten sin. Den noe beskjedene teksten “Konto sikkerhetsproblemer” tilkjennegir at du kanskje bør klikke på linken og lese advarselen. Dokumentet med den fengende overskriften Yahoo sikkerhetsnotis 14.desember 2016 er langt og inneholder informasjon om hendelsen. 

Det er myndighetene som har informert Yahoo om et brudd på sikkerheten hos dem i August 2013. Denne informasjonen skal Yahoo ha mottatt for en måneds tid siden. Det er altså drøye 3 år siden hendelsen fant sted, og 1 dag siden du som bruker fikk vite om det. Det er mindre enn 3 måneder siden sist Yahoo måtte beklage et annet brudd på sikkerheten. 
Denne gangen kan det dreie seg om et datainnbrudd som har kompromittert brukerdata på rundt 1 milliard brukerkontoer hos mailtjenesten. Yahoo vet svært lite om hvem som står bak, men tror muligens det kan være en stat. Hva har hackerne fått tilgang til? Jo navn, brukernavn, passord, e-postadresser, telefonnummer, fødselsdatoer med mer.

Yahoo er forsiktige med å bekrefte eller avkrefte fakta rundt dette. De antar, man kan tro, mye tyder på, vi har ikke funnet noe som indikerer, formuleringene er runde, vage og generelle. 
Bilde
Hele tiden unngår man elefanten i rommet, at hacker, statlige eller ikke, har hatt full tilgang til dine e-poster i 3 år uten at Yahoo, eller du som bruker har visst noe.

​Nå er du kanskje av dem som bytter passord på alle kontoer 6 ganger i året, har en ryddig inn- og utboks og aldri oppgir personlig informasjon via e-post. Sannsynligheten for det er veldig liten. De aller fleste av oss bruker samme passord “overalt” og har dårlige rutiner for å slette sendte og mottatte e-poster. En del av jobben min er å ta tilbake kontrollen over kontoer som er hacket og om mulig rekonstruere innholdet i innboksen hvis det er slettet. Det er overraskende å se hvor mange som sender informasjon jeg klassifiserer som personlig eller sensitiv gjennom Yahoo, Gmail, hotmail og lignende tjenester. En ting er det du sender og mottar mellom deg og andre, en annen ting er hva du sender til deg selv og oppbevarer “trygt” i innboksen. ​ Innboksen din er tro det eller ei, IKKE en digital safe 
Bilde
Bilde
​Nå trodde du kanskje at du som bruker av en slik tjeneste har visse rettigheter hvis privatlivets fred har blitt krenket i innboksen din, eller e-postene dine har blitt stjålet  i en del av et større hackerangrep. Joda, du har nok det, hvis de skyldige blir funnet, fanget, stilt for retten og dømt. Yahoo derimot har ingen forpliktelser overfor deg i det hele tatt. Da du opprettet kontoen godkjente du brukervilkårene og jeg vedder en snickers på at du ikke leste hele dokumentet. 

Dokumentet er på 11 A4 sider og 6 600 ord, så klart på engelsk og inneholder til tider relativt tunge termer fra jussen. Hvis du faktisk har lest hele avtalen mellom deg og yahoo, kan du gjerne sende meg en e-post så tar vi en prat, du er nemlig unik. Yahoo (og resten av gjengen) har gjort det ettertrykkelig klart at de ikke kan lastes på noen som helst måte dersom dine data kommer på avveie. 
Ifølge Yahoo selv, mistenker de altså at det står en stat bak dette hackerangrepet. Vi kan bare spekulere på hvorfor de tror det, men at det kan ha med omfanget å gjøre er åpenbart. Samtidig som vi sitter her og banner DLD opp og ned og rauter høylytt om retten til personvern, blir det liksom stille i fjøset når tjenester vi selv har valgt å bruke, knekker sammen under tastetrykk fra kriminelle organisasjoner. 

​Så det er fint hvis du tenker deg om før du sender skolens reprimande av poden til deg selv på e-post, laster opp arbeidskontrakten din, eller lager deg ei liste over pin-kodene dine du lagrer i driven knytta til e-postkontoen din. Personvern er så godt som ikke-eksisterende på nett og da særlig ikke i gratistjenester, via gratis-app’er eller nettsamfunn.  Det er ikke trygt, det har aldri vært trygt og det kommer neppe til å bli trygt med det første heller. De som tilbyr deg tjenester er ikke ansvarlige for noen tap du påføres være seg økonomiske, eller andre hvis uhellet først er ute og det er det. Du får kanskje bare ikke vite om det før sånn omtrent 3 år etter. 
Bilde
0 Comments

Anonymitet, overgrep og  annen kriminalitet 

21/11/2016

0 Comments

 
Bilde
Nyheten om arrestasjoner i forbindelse med etterforskning rundt flere nettverk av overgriper har dominert nyhetsbildet i helga. Omtrent 150 Terabyte med overgrepsmateriell er beslaglagt og mer enn 5500 brukernavn blir sett i tilknytning til disse nettverkene. Det snakkes om tusenvis av bilder, filmer og chat-logger med groteskt innhold legges frem. Samtaler mellom sønner, fedre og ektemenn om planlagte og utførte overgrep mot barn. 
Politiet presiserer at dette er menn fra alle samfunnslag, noen høyt utdanna. I Politiets egne illustrasjoner listes det opp at det blant annet gjelder en økonom, en jurist, noen ingeniører og en førskolelærer. Mediene har også fortalt at en politimann figurerer i utkanten av nettverkene. ​​
Det er en grotesk sak. Vi snakker om tilsynelatende sosialt fungerende mennesker som er en del av hemmelige nettverk der man diskuterer fantasier og utveksler tanker og erfaringer rundt overgrep mot barn. Omfanget og organiseringen gjør det om mulig enda mer kvalmende. 51 siktede er en begynnelse.

For oss som jobber med datasikkerhet kommer ikke eksistensen av denne typen nettverk som en overraskelse.Tvert imot har flere advart mot nettopp denne typen kriminalitet og påpekt hvordan teknologi legger til rette for ukontrollerte boltreplasser for kriminelle. All teknologi kan bli misbrukt og det gjør den også i stor grad. Dette er langt ifra første gang det er fokus på det som skjer på deep web, eller dark web om du vil.

I både pressekonferanse og diverse artikler gjøres det forsøk på å forklare hvordan dette er mulig. Begrepsforvirringen er stor og det kan være på sin plass å forklare hvordan dette er mulig. 
  • Deep web er en samlebetegnelse på alt som ikke er indeksert på world wide web. Det betyr at dataene ikke er tilgjengelige via søkemotorer som feks google.Hvis du derimot vet hvor dataene ligger, har du ofte mulighet til å hente dem ut og bruke dem.
  • Dark web består i prinsipp av flere lukkede nettverk. Et slik nettverk kalles et “darknet”. I et darknet har man bevisst satt opp tiltak som gjør at informasjonen ikke kan vises i en normal nettleser. Darknet bruker heller ikke normale linker som du kjenner dem fra indekserte nettsteder.
  • Project Tor, eller Tor browser er en egen nettleser for å surfe i dark web/ deep web. Prosjektet drives av frivillige og mottar støtte fra en rekke sponsorer som en rekke menneskerettighetsorganisasjoner, religiøse stiftelser og statlige byråer. Intensjonen bak prosjektet er å levere en plattform som sikrer anonymitet for brukeren for å muliggjøre ytringsfrihet og omgå sensur. Det er mange journalister som bruker plattformen til kommunikasjon med informanter og det er et kjent faktum at flere etterretningsorganisasjoner bruker Tor til innhenting av data.

Det sier seg selv at slikt ikke går kriminelle hus forbi. Teknologi som muliggjør anonym kommunikasjon  er som en gavepakke å regne. Til tross for Politidistrikt Vests noe optimistiske vurdering av egenkompetanse, er det nok fortsatt slik at dersom man bruker dark web-verktøyene riktig, er sjansen for å bli oppdaget, svært liten.  

Det som var tenkt som et system for å bedre personvern og sikre ytringsfrihet blir i stor del benyttet i kriminell virksomhet. Det foregår menneskehandel, salg av narkotiske stoffer og våpen på markedsplasser i det mørke nettet. Andre steder får du kjøpt stjålne kredittkort, en ny identitet eller bestilt et leiemord. Europol har rettet fokus mot dette i flere år og det er bra å se at også norsk politi bruker tid og ressurser på dette.

Personlig håper jeg at slike avsløringer fører til at voksne tar mer aktiv del i barns og unges digitale liv, for det er ikke å legge skjul på at mange overgripere initierer kontakt via nett der de utgir seg for å være andre barn, eller veldig trivelige voksne. 
0 Comments
Forward>>
    Bilde

    Author

    Lars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA
    Sandell er etisk hacker og jobber blant annet med datasikkerhet for bedrifter. Han er grunnlegger, medeier og CTO i Dignatio AS,  norges eneste privateide firma som utvikler og leverer tjenester innenfor rettsteknisk behandling av lyd, video og data. Han har bistått organisasjoner og etater i mer enn 20 land i planlegging og gjennomføring av internettrelaterte etterforskninger.

    Archives

    December 2018
    February 2018
    October 2017
    August 2017
    May 2017
    December 2016
    November 2016

    Categories

    All
    Datasikkerhet
    Epost
    Hacker
    IT
    Kryptering
    Samfunn Og Sikkerhet
    Valg
    Valg2017
    Wpa
    Wpa2

    RSS Feed

  • Tjenester
  • Penetrasjonstesting
  • Forensics
  • Datagjenoppretting
  • Datasletting
  • Kontakt oss
  • Sosialt ansvar