De viktigaste lärdomarna bakom den senaste tidens rubriker

Mycket av diskussionerna om cybersäkerhet handlar om att upprepa samma råd om och om igen. Det finns dock en anledning till att det är så – grunderna är viktiga. Det visar sig inte minst i den senaste tidens rubriker i cybersäkerhetsvärlden.

Författare: F-Secure Sverige
Datum: 04.12.2017
Lästid: 3 Minuter

I det senaste avsnittet av Säkerhetssnack pratar Christoffer Jerkeby och Olle Segerdahl om en del av de säkerhetsluckor, sårbarheter och cybersäkerhetsproblem som varit uppe i media den senaste tiden. De dyker in i de tekniska detaljerna i några av de mest uppmärksammade fallen, med målet att lyfta fram den allra viktigaste lärdomen man ska ta med sig.

Föga förvånande handlar det om sådant som sagts flera gånger förut. Men är det något de här händelserna visar, så är det värdet av att faktiskt lyssna. Att faktiskt ta grundarbetet på allvar.

De börjar faktiskt med en F-Secure-nyhet. Kanske har du sett rubriker om att var tredje vd är ”pwned”? I korthet handlar det om att många vd:ar använt sin jobbmejl för att registrera konton på tjänster som sedermera blivit hackade (LinkedIn, Yahoo, Ashley Madison med flera). Det i sig är inte särskilt uppseendeväckande – möjligtvis att det inte är en större andel som registrerat sig på LinkedIn med jobbmejlen. Det behöver inte ens vara särskilt problematiskt.

Det är först om vd:n i fråga använt samma lösenord på den aktuella tjänsten som på andra ställen som det finns en verklig säkerhetsrisk. Lärdom: Återanvänd inte lösenord. Särskilt inte till viktiga tjänster. Skaffa en lösenordshanterare.

Sedan pratar Olle och Christoffer om den omfattande bedrägerihärvan i Malmö som nyligen var uppe i rätten. Själva kärnan i härvan? Nätfiskemejl i standardformat. Lärdom: Var vaksam när det gäller länkar i e-post, särskilt inte från okända avsändare.

Ett annat exempel ur nyhetsflödet på sistone är BadRabbit – en på många sätt ganska typisk ransomware-variant, som hade en intressant metod för att sprida sig genom att både gissa lösenord från en hårdkodad lista med tänkbara alternativ och genom att återanvända andra lösenord som den lyckats få tag på i systemet. Till skillnad från exempelvis Petya/NotPetya och WannaCry förlitade den sig inte på någon avancerad exploit eller något sofistikerat utnyttjande av svagheter i företagsnätverk. Men det räckte. Lärdom: Man kan råka illa ut även om man har patchat sina maskiner. Lösenordsproblem går inte att uppdatera bort.

Motsvarande lärdomar från tidigare ransomware-utbrott torde vara att det är viktigt att säkerställa att samtliga maskiner på nätverket är patchade och kör den senaste versionen av såväl operativsystem som annan mjukvara.

Olle och Christoffer gör också ett kort återbesök till ett tidigare avsnitt och pratar de svagheter i WPA2-protokollet som publicerades under samlingsnamnet KRACK, och som av en del utmålades som döden för Wi-Fi. De konstaterar att det är en ganska opraktisk attack att utföra och att det, även om en angripare lyckas göra det, i princip inte går att få ut några större mängder data utom under ett mindre antal scenarion (till exempel Linux-baserade enheter med vissa versioner av WPA-supplicant). Lärdomar: Lita inte på alla braskande rubriker – det kan vara svårt att förstå vidden av en attack – håll såväl operativsystem som mjukvara som nätverksenheter uppdaterade.

Det finns en röd tråd här. Och det är inte att man måste ha de allra senaste och häftigaste säkerhetslösningarna, snarare visar alla de här cybersäkerhetshändelserna på hur viktigt det är att få grunderna rätt. Att säkerställa att man har säkra lösenord som inte delas på olika platser, att man anstränger sig för att hålla sina maskiner patchade och att man har ett klientskydd – gärna ett som jobbar i lager.

Det är hygienfaktorer, själva grunden som man sedan kan bygga vidare på.

Fortsättningen på avsnittet handlar om just detta. Om värdet av att välja rätt saker att lägga ovanpå sin redan stabila grund. För att hitta fram till motsvarande lärdomar där dyker Olle och Christoffer på djupet i det vansinne som stavas Equifax.

 

[FOTO: Flickr.com, XoMEoX – modifierad]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s