SVT:s hacker- och säkerhetsteveserie Hackad har nu haft premiär och är antagligen för många en sedelärande historia om hur lätt det är att bli hackad. Dock visar också serien hur enkelt det är att inte kunna bli hackad, vilket två kändisar gav exempel på. INNEHÅLLER SPOILERS
Arrr! |
I grund och botten är nyckeln till hela ditt liv ditt e-postkonto. Har man väl tagit sig in på e-posten kan man ändra lösenord på många ställen som skickar bekräftelselänkar dit. Det andra stora säkerhetsproblemet är fysisk åtkomst till din dator eller mobil. Lämna aldrig den olåst.
Serien visar hur enkelt det är att hacka den som är slarvig, men också hur lätt det är att skydda sig. Detta visade två kändisar i programmet genom att helt enkelt ha tvåstegslösenord, inte klicka på skumma länkar (och framför allt inte skriva in sina lösenord efter eventuella klick), och inte stoppa in främmande USB-stickor i sin dator, samt inte ha något lätthackat lösenord på sitt wifi.
Sensmoralen ifrån programmet är:
1. Använd tvåstegslösenord på alla viktiga konton, som t ex e-post, Facebook (som kan användas för att logga in på andra konton) osv.
Detta i princip omöjliggör hackning utan fysisk tillgång till en inloggning på din dator eller mobil.
2. Återanvänd inte lösenord och inte heller varianter på lösenord
Att lägga till t ex årtal eller specialtecken som variationer på samma lösenord är mycket vanligt och gör lösenorden lätthackade om man har kommit över ett annat lösenord.
3. Använd slumpmässiga lösenord via en lösenordshanterare, t ex hos Apple inbyggda Apple Keychain, för mindre viktiga lösenord som butikslösen. Men de viktigaste lösenorden ska inte sparas någonstans, t ex din e-post.
De viktigaste lösenorden ska vara långa, inte sparas någonstans och inte återanvända delar av andra lösenord.
4. Lämna aldrig din dator eller mobil outloggad eller olåst
Annars kan en angripare enkelt installera spionprogramvara, trojanprogramvara eller på annat sätt komma åt t ex Keychain-filer.
5. Klicka inte på länkar i mail eller SMS, och skriv därefter definitivt aldrig in lösenord efter att ha klickat
Personligen klickar jag aldrig på länkar jag får via DM, SMS eller e-post, inte ens från så kallat kända avsändare – det är trivialt att förfalska en avsändaradress. Man kopierar länkarna och tittar på själva adressen innan man klickar. För er som mailar mig länkar – jag kommer inte klicka på dem, och oavsett kommer jag inte lägga tid på att titta på en timmes Youtube elelr lyssna på tre timmars podd för att ta till mig vad det var ni ville. Kan du inte formulera det ni vill mig i några meningars beskrivning är det antagligen inte värt att ta till sig ändå. Kan du inte lägga en minut på att skriva vad du vill ha sagt, så kan du inte vänta dig att jag lägger en timme på en Youtubefilm.
Det finns undantag – t ex kan inte avsänadare på Signal förfalskas (utan varningsmeddelanden). Dock baserar sig Signal på telefonnummer, för att undvika att man massregistrerar falska konton, så plattformen är olämplig för publik kommunikation där man inte vill lämna ut telefonnumret. Även kryptografiskt signerad e-post kan man antagligen lita på avsändaren ov denne är känd och man har dennes nyckelsignaturer.
6. Stoppa inte in USB-stickor av okänt ursprung i din dator
Duh.
Använd för övrigt även alltid en USB-kondom vid laddning från t ex USB-uttag i bussar eller på andra publika platser, samt hotellrum.
7. Undvik att använda publika wifinätverk.
Idag är 4G så pass bra och billigt att man med fördel använder sin egen telefon när man surfar publikt, istället för gratis wifinät. Enda gången jag blivit hackad var just på grund av detta, då någon satte upp ett fejkat SJ-nät och sedan gjorde ett man-in-the-middle-angrepp. På grund av stressad resesituation klickade jag bort varningen om osignerat SSL-certifikat och angriparen fick därmed ett av mina lösenord. Dock blockerade sedan Google inloggningsförsöket, som skedde via en utgångspunkt för Tor-nätverket i Sydafrika, så angriparen kom aldrig in på e-posten utan jag fick istället en varning från Google om att de blockerat ett misstänkt inloggningsförsök. Detta var typ 2014 och sedan dess har jag tvåstegslösen aktiverat och angreppsmetoden skulle därmed inte fungera. Naturligtvis bytte jag samtidigt alla mina lösenord för säkerhets skull.
8. Använd hårddiskkryptering, exempelvis Apples Filevault. Detta gäller även backupdiskar, vilket är lätt att missa.
Detta så att man inte via stöld av dator ska kunna få tillgång till lösenord.
9. Ha samma säkerhet på ditt interna nätverk på arbetsplatsen eller i hemmet, som om allt vore kopplat direkt mot Internet.
Du kan inte bygga din säkerhet på att en angripare inte tar sig in på ditt lokala nät, utan interna servrar och hemautomatiseringssystem, kameror mm måste vara säkrade, och t ex inte använda samma lösenord.
10. Använd inte sociala medier.
Så har du mindre att riskera och förlora, samt undviker en stor angreppsvektor.
Oavsett var det kul att se att SVT inte klarade av att hacka influencern Therese Lindgren, som helt enkelt inte lät sig luras via olika försök till social hacking.
Den extra paranoide låser även in sin dator så fort man lämnar hemmet eller arbetsplatsen utan att ha datorn med sig för att eliminera risken att någon tar sig in på arbetet eller hemmet och installerar t ex keyloggers eller motsvarande. Ett enkelt säkerhetsskåp kostar någon tusenlapp och kommer inte kunna forceras utan att du märker detta.
Exempel på angreppsvektor. Du har lösenord läckta kopplade till din e-postadress i något av de stora hacken av lösenord, som finns att ladda ner på Internet. Därefter kan man prova dessa lösenord eller varianter på dessa, t ex med ditt barns födelseår efter (vilket man gjorde i programmet) och ta sig in på andra platser. Det som saknas är viljan att hacka just dig.
11 kommentarer
Använder man lösenordshanterare bör man ha 2fa mot den också, från en annan 2fa … många 2fa blir det.
Hårdvara är ju att föredra tex https://www.yubico.com/
Jag vill nog säga att mjukvara är att föredra. Vad händer om yubico går i konken? Eller någon hittar något sätt att knäcka deras hårdvara? Då gäller det att du som användare följer deras flöde om att de blivit knäckta och hur du ska göra för att möjligtvis kunna updatera den.
Lite samma som med hårdvaruraid; jättebra, till dess att raiden går ner och den kontrollern inte längre går att få tag på och din raid är därmed obrukbar. Så mjukvaruraid vilken dag i veckan som helst, likväl mjukvarubaserad 2FA av någon stor leverantör (typ google, apple eller microsoft).
Lite offtopic men på SVT-temat så verkar vattenkraften vara i skottlinjen därifrån nu också, med fokus på ålarna. Besvärligt det där med att energiproduktion (inte minst sådan som byggdes under mer…industrivänliga…tider) har påverkan på miljö och fauna.
Glöm inte att vattenkraften försvårar omsättningen av näringsämnen till Östersjön.
Det tråkiga är att det inte går att maximera bekvämligheten och säkerheten samtidigt.
Lösenordshanterare är generellt sett oerhört säkra, men arbetar man från många olika datorer är det drygt att arbeta med den.
Beroende på vilken lösenordshanterare du använder kan man behöva dra fram lösenordshanteraren på mobilen, hoppas att lösenordshanteraren är synkad/uppdaterad med korrekt lösenord , hoppas att mobilen är laddad, få över lösenordet från mobilen till aktuella datorn, dra fram nästa lösenord för emailadressen för att logga in på emailen för att bekräfta 2FA-inloggningen då hemsidan är rädd för att du loggar in från annan adress än normalt.
Allt detta bara för att komma in på 1st konto.
…dock så är det som egentligen är relevant vilket som är jobbigast – säker lösenordshantering eller Ransomware och/eller raderat digitalt liv och/eller att någon får tag i material för att göra en traditionell utpressning.
Man kan väl hoppas att fler sajter ansluter sig till BankID så att man kan logga in med biometrik som man alltid har med sig och inte behöver komma ihåg.
Tack för en bra summering! Fick nyligen min mobil hackad – mitt eget fel – jag hade läst in en app som utgav sig höra till en känd speditionskoncern "falsk flagg". Det ledde till en massa besvär och litet extra kostnader. Har nu dubbla säkerhetsprogram och VPN.
F ö så använder jag lösenord med döda släktingars dödsbons fyra sista siffror och döda husdjurs födelseår …
VPN skyddar dock inget mot den typen av attacker. Laddade du ner den från app Store eller play store?
Sen hoppas jag dina lösenord består av mer än 8 siffror
Norton.
4 siffror, föregångna av 6 – 8 bokstäver
Detta inlägg fick mig att aktivera tvåstegsverifiering för min mail. Det hade ändå varit riktigt jobbigt om den kommit på villovägar.