I samband med att jag igår skrev om att vi uppdaterat certifikaten på våra e-postservrar så skulle jag vilja skriva lite om vikten att faktiskt använda krypterade anslutningar för e-post.

Jag skriver en längre förklaring nedan, men kontentan är att om du är ansluten till ett publikt nätverk så kan alla andra som är anslutna potentiellt komma åt dina inloggningsuppgifter och/eller e-post kommunikation.

Det som ni behöver göra för era anslutningar skall vara krypterade är att ställa om era anslutningar mot följande portar och aktivera SSL.

SMTP port 465*
POP port 995
IMAP port 993

*) Gällande SMTP kan man även aktivera kryptering via “TLS” och då använda port 25 eller 1025 om detta passar bättre för ert behov. (1025 är en för oss lokal inställning som bara gäller kunder som använder våra e-postservrar)

Nedan är väsentliga inställningar från min Outlook

1. Under meny ”Verktyg -> Kontoinställningar”
2. Välj konto och öppna (Ändra…) det.
3. Tryck på knappen ”Fler inställningar…”
4. Gå till fliken ”Avancerat”

Med detta är din anslutning krypterad och både e-post och konto upplysningar skickas nu på ett sätt som är betydligt svårare* att titta på för en annan person på nätverket.

*) ”Betydligt svårare” är ett politiker svar, dels för att man aldrig kan säga aldrig och dels för att det finns i skrivande stund en bugg i SSL som teoretiskt under vissa förhållanden kan öppna krypteringen för en hacker.

Djupare förklaring

I ett öppet nät är man alltid öppen för att en hacker tittar (sniffar) ens trafik, normalt är man inte särskilt orolig för detta och internet är byggt i stort på att all information även nätverkstrafik från och till en enskild användare är helt öppen. Detta innebär att någon med rätt verktyg kan se allt du gör, vilka sidor du tittar på och vad du skriver på dessa, dina e-post meddelanden etc.

Mycket av detta har inte varit ett problem under en lång period även om man förr var mer brydd med detta. Anledningen till detta är nätverksteknik och sättet vi använder internet på. Förr anslöt man alla datorer till varandra med hjälp av något som kallades HUB och dessa fungerade på ett sätt som gjorde att varje utrustning ansluten till den kunde se alla andra utrustningars nätverkstrafik. Detta sätt som en HUB fungerade på var ej särskilt effektivt samt att det innebar en säkerhetsrisk. (HUB:ar säljs fortfarande och är ofta något som erbjuds dem som vill ha det billigaste) Dock är det inte enkelt att ansluta sig till någons hub utan att de vet det då det är en fysisk anslutning.

HUB:ar ersattes senare av switchar, dessa fungerade på ett sätt som på ett intelligentare sätt såg vilken utrustning som skulle förmedlas vilken trafik. På detta sätt kunde man inte längre få en sammanhängande bild av andra utrustningars trafik utan endast ens egen.

För att man som hacker skulle kunna lura switchar så kom man på en teknik som heter ARP spoofing, detta fungerar så att man lurar switchen att man har rätt till trafiken och att den skall skickas till mig istället för den andra utrustningen som egentligen var menad som mottagare. Detta fungerar olika bra beroende på switchens intelligens.

Då vi som internet användare kopplat upp till våra internet leverantörer direkt så har det inte varit ett problem då dessa skyddat oss mot detta på flera sätt som egentligen ger sig av hur man bygger nätverk. Det går visserligen fortfarande här att titta in på andras trafik, men då endast om man hackat sig in på internetleverantörens utrustning (och hittat rätt utrustning) eller att internet leverantören själv gör det och de har ju redan tillgång till dina konton.

Nu har vi dock en helt ny värld, nu har vi hotspots och radiolan som är både helt öppna eller så ofta osäkra att man inte kan lita på dem. I ett radiolan på t.ex. ett hotell eller en flygplats kan vilken användare som helst lystna in på din trafik på samma sätt som om ni var anslutna till en HUB. Det skrämmande här är att du vet inte om dem, och de behöver inte ens vara anslutna till radiolan:et för att lystna på din trafik och se vad du skickar d.v.s ingen ser eller vet att de lystnar.

Då all trafik även dina lösenord skickas på ett öppet och okrypterat sätt om du skriver in dem via http, SMTP, POP eller IMAP så kan man nu enkelt få alla dina inloggningsuppgifter väldigt snabbt.

Detta är anledningen till att du när du sitter i öppna nät skall vara extra försiktig och använda SSL eller kryptering på andra sätt på alla tjänster som innebär att du skriver in eller skickar lösenord.

Detta problemet kan även undvikas genom att alltid ansluta via VPN mot ett nät man litar på, t.ex. om ni har en Cefit brandvägg hemma eller på kontoret så kan man ansluta till den om man aktiverat VPN. På det viset hade all trafik man genererar varit krypterad men det är en annan diskussion.

Vi har idag uppdaterat vår webbklient för e-post RoundCube denna kommer nu default på http://mail.cefit.se/ och https://mail.cefit.se/.

Squirrelmail för de som eventuellt använder den finns kvar ett tag till med direktlänken https://mail.cefit.se/squirrelmail/

Vi har även uppdaterat våra certifikat och SSL/TLS anslutningar till HTTP, POP, IMAP och SMTP. Detta innebär att det nu inte skall förekomma några certifikat varningar för våra användare som använder säkra anslutningar. Vi rekommenderar att alla gör det som kontrollerar sin e-post över öppna anslutningar och speciellt då via publika hotspots. (Ex, Telia, bibliotek, etc.)

http://mail.cefit.se/ kommer nu att peka er direkt vidare till HTTPS för att öka skyddet av lösenord och e-post trafik.

Om ni absolut måste använda http och inte kan använda https så finns länken http://mail.cefit.se/roundcube_cefit/ alternativt http://mail.cefit.se/squirrelmail/ kvar men rekommenderas självklart ej.

Jag har alltid problem att hitta ikoner jag tycker är snygga, oftast slutar det med att jag gör mina egna. Men detta tar också massor av onödig tid. Jag hittade denna siten när jag letade teman till min weblog.

http://www.iconfinder.net/

När det gäller CSS så är det också något som kan ta lång tid och här tycker jag denna siten är lysande med sina CSS mallar. Bara hitta en layout som passar lite och sedan anpassa den och fylla den med något snyggt.

http://www.free-css.com/

SSL cert är något som kostar massor om man skall köpa till varje site. Här är en länk till ett företag som säger att de gör det utan kostnad när det går. De tar dock fortfarande betalt när deras personal behöver arbeta på att verifiera att du är du. De har dock en certifikat typ som är helt gratis enligt siten (ej testat).

http://www.startssl.com

En av de saker som är svårt för ”vanliga” användare är att tolka länkadresser. Jag har funderat en hel del på hur man kan förklara problemet för den vanliga användaren. För mig och de flesta som varit med en gång så ser vi sådant nästan med instinkt nu. Det är en reflex att hålla musen över en länk och ser om popup informationen är trovärdig innan man klickar. Det är tyvärr inte det för de flesta användarna på internet.

Jag tänkte i alla fall idag göra ett kort försök.

Innan vi börjar vill jag förklara att det är endast en del av länkadressen som vi kommer att diskutera, och det är viktigt för er som är nya på detta att förstå denna biten. Det som vi kommer att titta på är hostadressen och den befinner sig normalt mellan http:// och nästkommande /. T.ex. i länken http://www.regeringen.se/sb/d/111 är endast www.regeringen.se hostens (serverns) adress. Om vi nu ställer till det lite och skriver så här http://www.regeringen-se-sb.de/111 nu är hosten (serverns) namn www.regeringen-se-sb.de. Det är viktigt att förstå detta då man annars kan falla för sätt att luras som jag inte hade tänkt gå in på i detta inlägg.

Ett hostnamn kan också bestå av nummer som http://169.55.123.2/.

Först lite grundläggande information som man måste förstå. En länk skapas normalt i två delar:

1. En synlig del bestående av en text eller bild som vi klickar på för att komma vidare till målet.

2. En osynlig del som innehåller information om hur man kommer dit länken vill föra en.

Här i ligger tricket när man luras. Säg t.ex. att du skapar en länk där den synliga delen säger http://www.regeringe.se. En användare som klickar på denna förväntar sig också att också bli länkad till www.regeringen.se. Men du kan se till att så inte är fallet genom att sätta den gömda adressen till http://www.elakastesiten.se om nu användaren klickar på www.regeringen .se så öppnar deras internet istället den elaka siten.

Detta är anledningen till att vi som är lite mer vana/misstänksamma först testar med att hålla musen över innan vi klickar på länken, på detta viset kan vi se var länken kommer att skicka oss.

Inget av detta hitintills är särskilt svårt att förstå och de alldra flesta användare förstår nog detta men gör det inte i alla fall. Varför, jo jag tror så här det är så vanligt att man blir lurad i alla fall med knep jag tar upp nedan så man orkar inte bry sig. Problemet är genom att inte bry sig så får man ingen övning och blir inte bättre på att tolka länkarna. Detta i sin tur kommer att medföra större faror i framtiden.

Jaja nog med flummandet, hur gör de för att lura dem som faktiskt tittar?

Om vi tar ovan länk till www.regringen.se så kan de t.ex. skapa länkar enligt nedan :

· www.r3geringen.se

· www.regerlngen.se

· www.regreingen.se

· Etc.

Ett vanligt exempel idag är brev som skickas till spel användare som använder Blizzards popuära online spel wow. Ofta skriver man något som skrämmer användaren och får denna att villja logga in och skicka en rättelse till Blizzard. T.ex. ”Ditt konto har använts till att skicka sexistiska meddelanden till andra användare, detta är ej tillåtet och vi kommer att stänga ditt konto. Var snäll att logga in på http://www.wow-europe.com/login ”

Som ni säkert förstår så ser den gömda adressen helt annorlunda ut, men den tar användaren till en sida som ser exakt lika dan ut som originalet där användaren helt utan att vidare loggar in. Därmed ger användaren lurendrejaren alla inloggnings uppgifter utan att veta om detta.

Nu skall man komma ihåg att det vanligaste sättet att lura någon till en farlig plats på är att erbjuda information de faktiskt vill ha J

Hittade detta via en antispam lista jag är med i..

http://www.internetsweden.se/ty-de-dumma-aro-legio/

Det är ju jätteroligt att denna typen av lurendrejerier har funnits i 200 år och folk går fortfarande på det om och om igen.

Över huvud taget så handlar IT säkerhet så ofta om den enskilda användarens oförmåga att använda huvudet att det är skrämmande. I vilket fall så visar ovan länk på att den oförmågan funnits med oss länge :) och är förmodligen något vi får fortsätta arbeta med i framtiden.

Fortsätt påminna dina användare om att vara misstänksam om/av allt och alla.

Det finns bra antivirus lösningar där ute på internet om man vill skydda sig som är gratis.

Avast:

Vi använder själv Avast även om vi betalar för det på våra arbetsstationer.

http://www.avast.com/free-antivirus-download

Forticlient

Jag måste säga att de gånger jag använt denna har jag blivit positivt överraskad. Jag är dock lite fundersam på ifall deras gratis klient kanske bara är ett mediatrick och att den kommer att kosta senare. Men jag har inget egentligt belägg för att så skulle vara fallet. En sak som varit bra med denna är att virusen inte i något fall känt igen den och försökt skydda sig mot den, men det ändrar sig väl efter hand som den blir populär.

http://www.forticlient.com/

Trend micro housecall:

Detta är en för mig klassiker. När någon redan är infekterad och man behöver få reda på hur systemet mår brukar jag alltid testa med denna onlinescanner först. Jag får veta hur mycket systemet är infekterat, hur många filer och hur många virus. Och utifrån detta kan jag besluta om det är ominstallation eller om jag kan fixa det manuellt. Vissa virus kan tom onlinescannern fixa.

http://housecall.trendmicro.com/

OBS! Tänk dock på att detta inte är ett bestående skydd.

Viktigt att tänka på med all mjukvara:

Du måste se till att den uppdaterar, även om den gör det själv med så måste du kolla manuellt ibland. Med antivirus måste du uppdatera både definitioner och mjukvara. Dessutom är det oerhört viktigt att ditt operativsystem är uppdaterat för att du skall vara hyfsat säker. Om du har Windows så se till att besöka http://windowsupdate.microsoft.com/ eller motsvarande installerad update.

Har du en icke ärlig version av Windows så tänk om, det är verkligen att låta snålheten bedra visheten då det gör att du inte får tillgång till viktiga skydd och uppdateringar.

Fundering om datortidningars bästa listor:

Jag läser ofta datortidningarnas genomgång av antivirus program och jag har noterat att Norton ofta vinner dessa jämförelser.

Detta känns så lustigt för mig då de flesta datormänniskor jag känner inte alls hyser någon kärlek till Norton och våra kunder har väldigt ofta problem som härrör till Norton internet security. Jag inser att det kan vara rellaterat till hur många som använder det. Men det intressanta är på sättet den vinner i undersökningar så håller jag nästan aldrig med. Sista artikeln jag läste så van den pga bättre användargränssnitt i DMZ mot t.ex. Avast. Detta var visserligen den gamla versionen av Avast som såg lite sämre ut grafiskt. Men anledningen till att jag inte håller med är att det en användare behöver göra med sitt antivirus är att uppdatera definitionerna och att uppdatera mjukvaran samt ibland stänga av det tillfälligt. Alla dessa tre saker kommer man lätt göra via den smidiga mini ikonen man behöver aldrig gå in i något interface.

Men det är väl en smaksak, problemet med Norton Internet Security är att man återkommande har kunder som har problem som går tillbaka att den inte släpper igenom trafik och det är nästan omöjligt att felsöka. Först när man stänger av den helt eller avinstallerar det så kan man bekräfta att det var Norton Internet Security som låg bakom problemen. Det problemet har jag inte haft med andra antivirus utan stänger man av dem på snabb (mini) ikonen så fungerar det och så kan man felsöka för att lägga upp rätt regler.

Har jag problem på en klientmaskin att komma åt en lokal nätverksskrivare och klienten har Norton internet security så är alltid första åtgärden att avinstallera det, sedan brukar det fungera. Ja jag vet det går att lägga upp regler i internet security, men det tar alltid mindre tid att avinstallera, fixa kundens behov och installera t.ex. Forticlient. Detta är anledningen till att jag inte kan ta en genomgång av antivirus på alvar där Norton vinner då tänker jag alltid “Jaha hur mycket betalar Norton i annonsering till den tidningen”

Jag erkänner att jag inte kommer överrens med alla “bra” program och jag väljer lätta vägar (tycker saker skall vara lätta om det går). Men jag kan inte komma ihåg en antivirus diskussion med någon konsult som tyckt om Norton sedan många versioner tillbaka.

Jag rekommenderar inte emot Norton, det är ett bra skydd. Vad jag hör är företagslösningarna dessutom mycket bättre. Det handlar nog mer om smaksak, men jag har svårt att se att det har en återkommande förstaplats i någons lista och med alla gånger jag har haft problem så härrör till detta rekommenderar jag hellre lättare och därmed stabilare applikationer.

“Jag är inte speciellt rädd för virus, det enda viktiga jag har är lite bilder som jag ändå har backup på.”

Undrar hur många gånger jag hört detta, och ja jag kan förstå resonemanget. Jag menar vi som håller på med IT har ju liknande tänk med Honey nets etc rikta attacker och virus mot system som inte har någon viktig funktion. Visst det är inte direkt samma p.g.a. flera anledningar men ändå.

Det som får mig att hicka till är att de personer som man oftast hör detta ifrån är de som har turen att känna någon som håller på med datorer som de kan ringa till och få hjälp. Sist jag hörde detta var av en person som jag för inte länge sedan hjälpt fixa deras dator efter ett “norskt” virus där användaren själv godkänt installationen av detta otroliga säkerhetsprogram som sedan bara skapade dialoger om att du är utsatt för fara betala oss så fixar vi det, tills det är fixat kan du inte använda datorn.

Poängen med det viruset var att få pengar för att ge tillgång till internet igen, inte heller var det ett virus i den bemärkelsen eftersom användaren själv aktivt varit delaktig i att installera det.

Efter att ha letat information och gjort några olika försök fick jag bort programmet och dess filer “via remote”, detta tog kanske 2 timmar.

Det som då får mig att reagera på ovan citat är om detta inte hade varit en kompis jag hjälpte gratis, utan jag hade fakturerat mina 2kkr för arbetstid, vore då uttalandet lika aktuellt för personen i fråga?

En annan funderare är också, alla de som inte har en datornerd att vända sig till vad gör de när de blir infekterade? Jag gissar att de fortsätter använda datorn och blundar för viruset. Det hade klart varit svårt med viruset ovan som hindrade åtkomst. Hmm.. hindrade åtkomst i normal uppstart inte med F8+Debug+Internet. Kanske finns det folk som kör i debug läge för att de inte känner en datornerd, hur länge gör de det innan de betalar virustillverkaren?

Det jag brukar säga när jag hör sådana uttal är “Vad gör du om/när du blir skadeståndsskyldig för att din dator attackerat andra?”

Det är ju inte otänkbart att någons infekterade dator infekterar deras mammas dator i deras konversation, någon kommer över deras mammas bankinloggning och vips är alla syskonens arvspengar efter pappan borta.

Hur förklarar man det till polisen. “Jo det var kanske min dator men jag lovar jag har inte tagit pappas pengar”

Alla borde väl ha en datornerd att ropa på, men är verkligen vi datornerdar tillmötesgående? Jag vet att jag själv varje gång någon kompis ringer och säger att deras dator är konstig får rysningar och ser bara timmar av obetalt arbete framför mig.

Jag vill också säga att de två senaste jag hjälpt bägge haft antivirus och litat på det, den ena hade tom två varav bägge blivit hanterade (avstängda) av viruset så inget gjorde nytta, den andra hade antivirus som slutat uppdatera sig självt då avtalet gått ut.

Slutligen vill man kanske säga att ju mindre rädd du är för virus, desto mer skrämmer de mig!

Lyssnade precis på en diskussion om detta (Security now podcast).

Tydligen så handlar det om att man ser till att installera en närvaro på nyckelsystem hos “fiende” nationer eller resurser dessa “fiende” nationer är beroende av på olika sätt. “Fiende” nation här är egentligen bara menat som motpartsnation då jag förutsätter att man försöker skapa sig själv en närvaro hos så många nationer som möjligt i det fall man vill utöva utpressning eller ej.

Tydligen har man hittat installerad mjukvara från både Kina och Ryssland i nyckelsystem som hanterar ström distribution i USA. USA och Ryssland hade enligt denna podcast också inlett diskussioner om att genom avtal inte göra sådant mot varandra.

Det hela känns mycket underligt för mig p.g.a. flera anledningar bland annat så skulle ett angrepp mot internet i just USA betydligt försvaga den attackerande nationen. Min tanke här är att t.ex. Kina är oerhört beroende av USA’s ekonomi och den enskilda konsumentens förmåga att överföra pengar. Dels för direkta köp men även för konsumtion av kinesiska varor i allmänhet. Även ett kort avbrott i dessa pengatransaktioner som sker över nätet borde innebära ett betydligt problem för Kina.

Det kanske är naivt att tänka så och man skall kanske förutsätta att en nation som gör detta ofta tänker sig det som en förebyggande åtgärd. Om USA attackerar oss så kan vi sakta ner dem genom att attackera deras IT struktur, strömförsörjning.

Men det som skrämmer mig lite är kombinationen av två saker, att man kanske vill använda det för att skrämmas samtidigt som det är otroligt svårt att se var en sådan attack kommer ifrån. Eller rättare sagt vem som ligger bakom det. Dels med tanke på att man inte kan vara säker på att den maskin som initierar attacken inte är övertagen och dels genom att eventuell närvaro kanske raderar sig själv.

Och eftersom jag är svensk funderar jag då på, vad är risken att Sverige skulle bli målet för en sådan attack som ett bevis på att någon kan ”Passa er, ni såg vad vi gjorde i Sverige.”. Eller alternativt om den attackerande parten inte har behov av att synas, vad är risken att Sverige attackerar ett land som t.ex. USA. ”Det var inte vi, datorn måste ha varit infekterad med något men vi kan inte hitta det nu”.

Jaja.. man får väl hoppas att SÄPO har koll på sådant. De har med all sannollikhet funderat bra mycket mer än mig på det i alla fall.

Över huvud taget känns det underligt för mig precis som Steve också sade att man håller samtal om detta då vem som kan hålla på med det utan att den andra vet det eller direkt kan härleda det tillbaka till någon. Det kan ju vara ett gäng ungdomar som bara ville visa att det gick och inte en hårdnackad säkerhetstjänst.

Scribling i did while listening to onlince pressentation 2010-01-21 by

1. Preventing infections from cross pollinating between virtual machines will be key in securing virtual movements of servers.

2. Information-centric security will be necessary as access to data will continue to evolve outside the traditional network.
(DLP=Data leakage prevention)

3. Adopting cloud-based services crates many more oppertunities for data infection or theft.

4. Second-layer security will be adopted to help enterprises have better application control beyond just allow or not allow.

5. A national evoloution in consolidating network devices is to integrate more network functionality into security devices.

6. Cybercriminals will implement their own crime-as-a-service approach, a criminal "environment for hire," so to speak.
hackers for hire, blackmailing for hire... etc.

7. Cybercriminals are expected to up the stakes in 2010 by holding customers' digital assets hostage for ransom.
scareware (ransomware encrypt stuff on customer data, and then ask ransome to release the data)

8. Unwitting consumers may become accessories to a crime as cybercriminals find new "mules" to launder their ill-gotten gains.
mules=ppl that take mony and put on their own account and then transfer it on for a commition. 2.5k paunds a weak.

9. With a growing number of users on new platforms, cybercriminals will target their attacks beyond Microsoft Windows.
(Linux, mobile, etc. and application level like flash)

10. Botnets will piggyback on legitime communications vihicles to propagate a cloak activities.
(To hide their comunication in legitimitive streams)

Could not find any help on this on google, and as I was following a guide I did not get why I got the error.

Anyways it was because in the guide I had set the password complexity with

addpol -minlength 8 -minclasses 3 admin

and thats all nice and good you should have good passwords, but I was not looking to change the root password for the system so I set it to allow less secure.

addpol -minlength 6 -minclasses 2 admin