Archive for the ‘IT-säkerhet’ Category
Vardagen är ett möjlighetsätande monster
Av Stefano Capaldo
Om du var tvungen att göra valet mellan innovation och ”vardag”, slår jag vad om att 99,99% av er kommer att hoppa direkt till innovation. Men varför är det då så många som tillbringar så mycket tid på den dagliga brandbekämpningen och så lite tid på innovation? För de flesta företa, är svaret: ”Eftersom vi måste”. System kommer alltid behöva uppdateras och korrigeras. Servrar felar, diskar kraschar och användare blir ofta småförvirrade och raderar saker av misstag och glömmer sitt lösenord.
Tyvärr har väldigt få företag lyxen att ha dedikerade personer i beredskap om det skulle hända att en server felar, ett program kraschar eller ett pris som skall ersättas på hemsidan. Konsekvensen av detta är att IT-avdelningar och utvecklingsteam ständigt tas från nya inkomstgenererande projekt och istället får hantera haverier och problem. Med andra ord: Vardagen är ett möjlighetsätande monster i ett nötskal.
I det stora hela blev IT-avdelningar inte skapade för att felsöka gamla applikationer, reparera trasig hårdvara eller svara på frågor från övriga företaget. De är där för att tjäna verksamheten, skapa IT-lösningar som gör verksamheten mer effektiv och kunna generera nya intäkter. Men tyvärr har denna roll under åren glömts bort och istället använder IT-avdelningar nu sin tid till att släcka bränder.
Vad kan du göra åt det? Svaret är att du kan ge vardagliga frågor till dem som är bäst lämpade att hantera dem, se till att applikationer byggs och förvaltas väl och att de människor som ska hantera fel är utbilade att göra det.
En rapport från IDC visar att experter, dvs utbildade IT-proffs med certifieringar, spenderar mindre tid brandbekämpning och kan ägna mer tid åt innovation. Enligt studien använde experter inom back-up 28% mindre tid att lösa incidenter och hade 20% mer tid att hjälpa slutanvändarna.
Det är enkelt. Om du håller på att översvämmas av vardagen så ta hjälp av en expert för att hantera det, antingen internt eller i molnet, och se till att IT-avdelningen har rätt utbildning för att utföra de uppgifter som landar hos dem.
Författare:
Stefano är grundare och chef för utbildningsstrategin hos Firebrand Training. Han har 20 års erfarenhet av IT-drift och support, särskilt med affärsstödjande IT-infrastruktur.
Det tar 44 530 år att hacka mitt lösenord – ta reda på hur
År 2011 såg några av de värsta lösenorden som någonsin registrerats! I ett tidigare inlägg, fann vi att de fem värsta lösenord detta år var:
password
123.456
12345678
qwerty
abc123
”password” ligger som nummer ett på listan…? Helt ärligt?
Denna rapport gjordes av Splashdata som samlade data från miljontals stulna lösenord upplagt på nätet av hackare under 2011.
Men ett nytt år har gått och MI5 bekämpar ”häpnadsväckande” höga nivåer av cyberattacker i den brittiska branschen och Symantec uppger i sin rapport från 2011 att de spelade in tusentals hackerhändelser varje sekund, vi har säkert lärt av våra misstag…
… men det har vi inte
Enligt listan nedan är vi fortfarande precis så lata som det bara går att bli. I Splashdatas rapport från 2012 som släpptes är ”password” fortfarande det mest populära lösenordet …
Här är hela listan med jämfört med 2011:
1. password (oförändrad)
2. 123456 (oförändrad)
3. 12345678 (oförändrad)
4. abc123 (upp 1)
5. qwerty (ned 1)
6. monkey (oförändrat)
7. letmein (upp 1)
8. dragon (upp 2)
9. 111.111 (upp 3)
10. baseball (upp 1)
11. iloveyou (upp 2)
12. trustno1 (ned 3)
13. 1234567 (ned 6)
14. sunshine (upp 1)
15. master (ned 1)
16. 123.123 (upp 4)
17. welcome (ny)
18. shadow (upp 1)
19. ashley (ned 3)
20. football (upp 5)
21. jesus (ny)
22. michael (upp 2)
23. ninja (ny)
24. mustang (ny)
25. password1 (ny)
Källa: Gizmodo – De 25 mest populära lösenorden för 2012
Men är vi verkligen så lata? Nej och här ser du varför
Som nämnts är dessa uppgifter som samlats in från miljontals stulna lösenord upplagt på nätet av hackare.
Det finns en anledning ’123456 ‘är på denna lista!
Hackare använder verktyg för att slumpmässigt gissa ditt lösenord, och beroende på dess längd och innehållstecken kan det ta verktyget allt från 10 minuter till (i mitt fall) 44 530 år att få tag på!
Hur gör man för att få hackare att vänta 44.530 år för att få ditt lösenord
Helt enkelt göra ditt lösenord 9 tecken, lägga till en symbol och ett nummer … ”simples”. Nedan kan du se hur lång tid det tar att hacka ditt nuvarande lösenord.
Längd: 6 tecken
Små bokstäver: 10 minuter
+ Stora bokstäver: 10 timmar
+ Tal & Symboler: 18 dagar
Längd: 7 tecken
Små bokstäver: 4 timmar
+ Stora bokstäver: 23 dagar
+ Tal & Symboler: 4 år
Längd: 8 tecken
Små bokstäver: 4 dagar
+ Stora bokstäver: 3 år
+ Tal & Symboler: 463 år
Längd: 9 tecken
Små bokstäver: 4 månader
+ Stora bokstäver: 178 år
+ Tal & Symboler: 44.530 år
Källa: http://www.businessweek.com/magazine/content/11_06/b4214036460585.htm
Som ni ser är det uppenbart varför de enkla lösenorden är med på listan. Det tar bara 10 minuter för hackare att få något av dem. Hackare kommer inte att vänta mer än två dagar att få ditt ”riktiga” lösenord. Så slappna av, världen är inte så lat som den verkar …
Kommer 2013´s lista innehålla mera kreativa lösenord? Låt oss veta i kommentaren nedan.
Sarah Morgan
Om författaren: Sarah skriver för Firebrand Training inom ett antal IT-relaterade ämnen. Detta inkluderar tentor, IT-utbildning, trender inom IT-certifieringar, projektledning, yrkesvägledning och IT-branschen själv. Sarah har 11 års erfarenhet inom IT-branschen.
Vad tror CIO:s om utsikterna för IT under detta kvartal?
Robert Half Technology publicerade nyligen en rapporten IT Hiring Index and Skills Report, med en del intressanta insikter om förväntade utsikter för IT under andra kvartalet. Några av de viktigaste upptäckterna i en undersökning med över 1400 CIO:s är:
• 3 % ökning i förväntad aktivitet för IT-kontrakt är lägre än de 10 procent som förutspåddes under det senaste kvartalet.
• 85 % av CIO:s planerar att behålla sin aktuella anställningsnivå. Det är en ökning med 15 punkter i jämförelse med första kvartalet.
• Störst efterfrågan är det på experter inom nätverks- och IT-säkerhet.
• 65 % av CIO:s säger att det är svårt att hitta kvalificerad personal för tillfället.
• 87 % av CIO:s är ganska eller mycket säkra på deras företags tillväxtsutsikter under andra kvartalet.
”Även om antalet anställningar under andra kvartalet inte förväntas vara lika stabil som i början av året är trenden fortfarande positiv. Det kommer fortfarande vara stor efterfrågan på experter inom heta områden, t.ex. nätverks- och IT-säkerhet”, säger John Reed, verkställande direktör på Robert Half Technology
Hälften av nättrafiken kommer från robotar.
Säkerhetsleverantören Incapsula konstaterar i en ny rapport att 51% av webbtrafiken består av automatiserade program som samlar in information, letar efter säkerhetshål och försöker sprida skräppost, vilket kan vara potentiellt skadligt. Av alla som besöker en webbplats är endast 49% ”riktiga” människor, som normala analysprogram inte kan upptäcka. Detta innebär att många webbplatser vilseleds av denna trafik.
Enligt rapporten beror 5% av trafiken på olika hackerverktyg som söker säkerhetshål, 5% är ”skrapor”, 2% är automatiska innehållspammare, 19% är ”Cyberspioner” och 20% kommer från sökmotorer. Siffrorna är baserade på data från 1000 webbplatser som använder företagets egen skanningtjänst.
”Få är medvetna om hur mycket av deras trafik som inte kommer från människor, och att mycket av det är potentiellt skadligt”, säger Marc Gaffan, en av grundarna till Incapsula till ZDNet
Hur mycket är din säkerhet värd?
Computerworld rapporterar att företag är beredda att betala mera för certifierade experter inom informationssäkerhet.
En rapport från New Canaan avslöjar att certifierade experter har 10 till 15 % högre löner än de som inte är certifierade. De certifikationer som är högst värderade inom informationsteknik är CISSP, CISA och CISM.
”Efterfrågan på certifierade säkerhetsexperter har ökat sedan en tid tillbaka. Vissa högprofilsintrång som Sony, Nintendo och t.o.m. CIA har gjort att företagen är närvösa för att deras kunddata ska komprometteras” säger Robert Chapman, Commercial Director hos Firebrand Training.
Denna trend inom IT-säkerhet visar att det inte bara är statliga regleringer som gör att företag investerar mer i säkerhet, utan för att garantera att företaget och kunderna inte förlorar värdefulla data och personlig information.
IT-tekniken ska bana vägen för tillväxt.
Krisen har pågått länge i Europa. I ett försök att ta sig ur den ekonomiska krisen är flera EU-länder redo att tillförlita sig på en uppgång inom IT-tekniken under de kommande åren.
Under det följande halvåret förväntas det finnas en press på att komma överens om många lagförslag för att skapa en flexiblare, ökad handel och konkurrens i Europa. E-fakturor har exempelvis en potentiell omsättning på cirka 300 miljarder DKK, om alla europeiska företag börjar använda e-fakturor.
Andra IT-tjänster som molntjänster och IT-säkerhet kommer också hamna i fokus, och med en ny inriktning är processen för att nå tillväxt i alla fall på gång.
Vilka länder är ”Cyber-förberedda”?
En undersökning som styrks av McAfee har avslöjat att Israel, Finland och Sverige är överst på listan över länder som är ”Cyber-förberedda”. Rapporter har avslöjat att Israel hanterar över 1 000 attacker varje minut.
Kina, Mexico och Brasilien har emellertid klassificerats som de länder med minst resurser för att försvara sig mot cyber-attacker.
”Att rapporten är subjektiv är dess största styrka”, förklarar Raj Samani, McAfees chefsingenjör. ”Den ger en uppfattning över cyber-beredskapen från de individer som mer eller mindre förstår och arbetar med cyber-säkerhet dagligen.”
Rapporten avslutas med att påyrka att informationen måste delas mer globalt för att ligga ett steg framför attackerna, och att fler lagar borde upprättas för att hjälpa till mot internationell brottslighet.
Strängt förbjudet!
Tidigare har vi skrivit om att använda sunt förnuft när du väljer lösenord (Är ditt lösenord ”Password”?) och (Läs om hur hackare stjäl dina lösenord)
Efter dessa två blogginlägg är det återigen viktigt att betona att när det gäller lösenord bör det sunda förnuftet användas. Även om ett förhållandevis säkert lösenord väljs är det inte säkrare än säkerheten på den svagaste sidan, som Ivan Bjerre Damgård, professor på Aarhus universitet påpekar.
Många använder nämligen samma lösenord på flera webbsidor, vilket betyder att risken för att bli hackad är större. Många online-tjänster frågar efter din e-postadress för att logga in istället för användarnamn, och om du använder samma lösenord som för e-postadressen på dessa tjänster är du ett lätt byte för IT-bottslingar.
Men för många lösenord till många konton kan snabbt bli förvirrande. Hur kan du hålla koll på dem?
Här följer 3 tips för att komma ihåg komplicerade lösenord:
- Kategorisera dina lösenord
Ivan Bjerre Damgård föreslår att du använder olika lösenord som inte används på andra platser för dina viktigaste och mest använda konton, t.ex. nätbanker och e-postkonton. Nästa kategori kan tillåta att du delar dina lösenord mellan 2, kanske 3 onlinetjänster. Sista kategorin kan vara lösenord som är lätta att komma ihåg och som används på alla platser som inte har stor betydelse i det dagliga livet. - Använda minnesprogram för dina lösenord
Programmen 1Password och LastPass rekommenderas av PC World Business Center, och är bra program om du har många lösenord som är svåra att komma ihåg. Dock ska du vara noga med att inte satsa allt på en häst, eftersom även programmet kan hackas. - En fras
Enligt Ivan Bjerre Damgård är de bästa och säkraste lösenorden de som består av abstrakta tal och bokstäver som inte betyder någonting. Men det kan vara lättare att komma ihåg ett lösenord om det ingår i ett sammanhang.”Därför kan du göra så att du letar rätt på en fras som är lätt att komma ihåg och tar första bokstaven i varje ord i frasen. Det ger dig ett lösenord som verkar helt slumpmässigt för utomstående, men samtidigt är lätt att komma ihåg. Jag vet att det fungerar för många”, säger han.
Vi har sagt det förut men säger det en gång till. Använd ditt sunda förnuft. J
5 lätta steg för att göra livet svårt för en hackare
Nedan följer fem steg för att hjälpa till att förhindra säkerhetsintrång. Ingen kan garantera att inga säkerhetsintrång sker, men dessa steg hjälper till att göra livet svårt för hackare:
- Optimerat lösenord – En gång i tiden var lösenordet ”password” ett felsäkert sätt att lura hackare. Även om de flesta vet hur dåligt lösenord ”password” är, finns det fortfarande ganska många som använder lika självklara lösenord. T.ex. ditt namn eller födelsedatum – denna typ av information är nuförtiden lättåtkomlig via sociala medier.
Använd inte lösenord som är lätta att gissa. Blanda tecken i orden. Använd t.ex. utropstecken istället för 1, ampersand istället för nummer 8 osv.
Andra problem med lösenord är att folk verkar slappna av efter att de gör ett. Även om lösenordet är svårt att hacka är det bra praxis att byta det ofta. Personer som inte byter lösenord och använder samma lösenord på flera platser drabbas oftare av intrång.
- Effektivt antivirus och korrekt inställd brandvägg – Detta är en av de mest grundläggande sakerna som är felaktig i användarnas operativsystem – om du inte kör ett antivirus i din miljö, har du problem. Ett komplett uppdaterad program mot skadlig kod måste alltid finnas installerat och aktiverat. Om det är möjligt ska du upprätta en maskinvarubrandvägg och se till att den inte släpper igenom någon onödig trafik till ditt system.
- Uppdatera maskinerna – Operativsystem och andra programvaruföretag släpper korrigeringar och uppdateringar för programvaran. Medan vissa uppdateringar lägger till nya funktioner, förbättrar andra uppdateringar befintliga säkerhetsluckor. Därför är det viktigt att hålla koll på de senaste versionerna.
- Säkerställa data – Bär du med dig känsliga data på ett USB-minne? I så fall ska du vara försiktig. Oskyddade data är stora affärer. Borttappade USB-minnen, hårddiskar, bärbara datorer eller iPods kan försätta dig och ditt företag i en besvärlig sitaution. Kryptera allt bärbart.
- Skydda ditt Wi-Fi – Trots kända svagheter i öppna Wi-Fi-nätverk finns det fortfarande dem som använder öppna och osäkra Wi-Fi-n’tverk. Vissa använder WEP (Wired Equivalent Privacy), men det har visats att WEP kan knäckas på så liten tid som fyra sekunder. Det rekommenderas att endast använda WEP som minsta skydd. WPA2 är ett bättre alternativ. WPA2 är en modern trådlös säkerhetsstandard som stöds av de flesta moderna operativsystem och är mycket svårare att knäcka än WEP och WPA.
Läs om hur hackare stjäl dina lösenord
Tidigare skrev vi om de fem sämsta lösenorden i vår artikel den 30 november (Är ditt lösenord ”Password”?)
Här uppdaterar vi med de 25 sämsta lösenorden som det amerikanska företaget SpalshData har presenterat:
- password
- 123456
- 12345678
- qwerty
- abc123
- monkey
- 1234567
- letmein
- trustno1
- dragon
- baseball
- 111111
- iloveyou
- master
- sunshine
- ashley
- bailey
- passw0rd
- shadow
- 123123
- 654321
- superman
- qazwsx
- michael
- football
För att underlätta för sig själva har många sin personliga information på nätet, vilket gör att IT-brottslingar inte behöver göra mycket för att stjäla dem eller utnyttja dem.
I en artikel i den amerikanska tidskriften ”The Atlantic” berättar James Fallow hur hans Danska fru Deb Fallows Gmail-konto hackades och flera viktiga e-postmeddelanden raderades. Dessutom hittade hackarna information i ett e-postmeddelande, som hade skickats till vänner till familjen, om att de hade utsatts för ett rån under resan till Madrid och att de behövde pengar för att betala sin vistelse.
Familjen förstår inte hur de blev hackade och de frågar sig hur IT-brottslingar hackar e-postkonton?
Hackarna använder fyra metoder:
- Förutom att bara testa ovanstående koder använder hackare ett avancerat program som automatiskt testar några av de mest använda lösenordsvarianterna, mer känt som ”Dictionary attack”.
- En annan metod, den mest utbredda, är ”Phishing”, som går ut på att agera som en representant från ett av de mest respekterade företagen och institutioner, t.ex. Skatteverket eller Sony och lura personer till att ge dem personlig information.
- Ett väldigt enkelt sätt att få lösenorden stulna är att öppna e-posten på en offentlig dator, t.ex. på biblioteket. Här kan man tro att IT-säkerheten har en hög nivå. Om den egna datorn används för att logga in på bibliotekets nätverk vet de flesta att det är en säker anslutning om det står https framför internetadressen i webbfönstret, och att den inte är säker om det endast står http.
- Keylogger-angrepp är en annan metod som är lika utbredd som de andra metoderna. Dina tangenttryckningar avläses med ett program som måste ha installerats på datorn, vilket innebär att dina lösenord och din personlig information missbrukas.
Trots att Internet gör våra liv enklare är det viktigt att vi inte låter det sunda förnuftet försvinna. Till exempel, om en främling frågor efter ditt lösenord skulle du aldrig ge det till han eller hon. Du bör ha samma princip när någon frågor efter lösenord på Internet. Såvida du inte är Certified Ethical Hacker ska du bara följa ditt sunda förnuft.
