TV4:s försök att visa myndigheternas dåliga datasäkerhet

Under oktober 2016 flertal allvarliga globala intrång och överbelastningsattacker skedde.
TV4 försökte att visa hur lätt det är att få möjlighet att infektera och manipulera datorer hos nio olika svenska  myndigheter. Detta skulle ske med dold skadlig kod genom att be om en utskrift av ett dokument på en USB sticka. Tydligen receptionisterna hos Polisen, Socialstyrelsen, Svenska kraftnät, Skolverket, FMV, och MSB nekat utskriften medan receptionisterna på Ekobrottsmyndigheten, Inspektionen för vård och omsorg samt Datainspektionen var tillmötesgående och snällt skrivit ut TV4 reporters CV genom att koppla USB-stickan i myndighetens dator och skrivit ut dokumentet.

Vad kunde hända?

  1. Dold skadligt program på USB sticka kunde smitta myndighetensdator och andra datorer och servrar i nätverket (t.ex. genom STUXnet kod) eller tillföra andra skador t.ex. s.k. Ransomware då datafiler krypteras med hemliga krypteringsnyckel.
  2. Säkerhetsskyddet i datorn upptäcker USB minnet och INTE tillåter att USB-stickan kan användas i datorn.
  3. Skadlig kod upptäcks av ”antivirus/antimalware” programmet och kopieringen INTE tillåts

 I TV4:s försök är det lätt att få intrycket att ”den mänskliga faktorn” eller möjligtvis myndighetens säkerhetsrutiner var den svaga länken. Lite djupare funderingar kan ge lite bättre insikt i detta fall.

Rutiner/föreskrifter/säkerhetsmedvetande
En av viktigare uppgifterna för IT-säkerhetsfunktionen i varje arbetsplats är STÄNDIG förbättrande av IT-säkerhetsmedvetande hos samtliga personalen.  Vanligtvis receptioner hos majoriteten av myndigheter är bemannade med personal från säkerhetsföretag och/eller bemanningsföretag. Dvs möjligtvis utbildning av “EXTERN” personal måste ständigt ses över så att även extern personal får adekvat ”utbildning och kunskap” .

 Teknisk skydd

  1. Att säkerhetsskyddet inte tillät anslutning av USB-stickan.
    Jag är övertygad att de flesta myndigheter har infört detta skydd i känsliga datorer. Speciellt med tanke på s.k. ”bad USB” där skadligkod finns inprogrammerad i hårdvaran svårt att upptäcka av antivirusskyddet.
  2. Att Antivirus programvaran i datorn skulle upptäcka skadligkod.
    I TV4 fallet USB-stickan innehöll ingen skadligkod.
     Vi vet dessutom inte vad receptionisten såg på sin datorskärm. Antivirusprogrammet skyddar normalt datorn genom att scanna nya filer på nya enheter (USB-stickan i detta fall) innan något annat program startas.

 Potentiell risk
Tyvärr det framgick inte i programmet om de största och katastrofala riskerna i TV4 scenarion nämligen risken att receptionisten med eventuella höga behörigheter till andra vanligtvis otillgängliga system t.ex. andra servrar, printerserver, inpasseringssystem, vatten, el, larm system, mm som skulle kunna vara en riktig rysare om den hackades med sofistikerade skadlig kod.

Råd för receptioner
Fortsätt att vara snäll och bemöta besökare med god service men servicen får ske från en ”tunndator” med endast lokalanslutenskrivare (ej nätverkskopplade). Till sist inte att glömma kontinuerlig genomgång av adekvat IT-säkerhet och rutin utbildningar.

Ransomware, better responsibilities for computer safety are required

In many years we did hear that users have to take their responsibilities and protect their PC, some recommendations are:

  1. Update the OS, SW,..
  2. Install antivirus, antimalware, …
  3. Avoid using same password in different places
  4. Choose password in a clever manner
  5. User are lazy, change password regularly
    (well, recently the recommendation is do not change password too often)
  6. Do not open files until you are sure about it is not suspicious
  7. Do not click on links you are not sure about
  8. Do not use public WiFi
  9. List of the recommendations goes on and on …

Ransomware has been a real pain since couple of years which caused a lot of damage and pain for the end users, companies, organizations. The following schematics shows possible scenarios that a pc and file system gets infected by Ransomware

  1. User gets an email with malicious and hidden link, when user opens the email and clicks on the link, a program downloaded to the PC and infects the PC with a virus.

RansomWare1

2-     User receives an email with a file (usually a zip or another executable, or photo file and when the user opens the file, either the malicious code infects the PC with a virus directly or fetches codes from another site and finally infects the PC.

RansomWare2

in my opinion some more attention must be paid from “the other side”. The OS-provider, anti- virus/malware, ISP:s, SW companies etc. Why?

Here are some obvious reasons that the involved “providers” should take more responsibilities

  1. ISP
    Everything goes through your ISP, Internet service provider. Serious ISP:s do have a lot of tools to detect suspicious network traffic. They monitor the network and automatically receive alarms about data packets with sender or receivers (the IP address) which are blacklisted or with suspicious reputations. This means that ISP:s have possibility to inform about possible virus
  2. The network (internal network for companies, organizations, etc) Most companies are using data communication equipment’s with lots of good utilities it is up to the decision makers to require good network security even on installed basis. Monitoring suspicious external activities is among the first steps to protect the investments, information, customers.
  3. Emails goes to your email server (provided by ISP, WEB hotels or other email provider like Microsoft Outlook, Google Gmail, Yahoo, Etc..). Usually emails scans to detect and discard malicious codes, unwanted email etc. They are also preventing receiving emails from the “black listed” IP addresses and even users. In another word the Email providers does have a huge possibility to prevent and inform about the possible malicious code/virus
  4. User has a big responsibility to prevent his/her PC getting infected and they hear almost every day that they are the weakest link so we do not need to go more in depth.
  5. The PC
    1. Operating system in my opinion it should be a built in prevention against malicious code like Ransomware.  What Ransomware usually does is to locate and systematically encrypt files like document, calculations, drawing, presentations etc. The encryption codes needs high use of the CPU power and must perform a lot of file access, in other word it is not hard to detect and provide a build in prevention in the operating system. This means that OS-providers must take a better responsibilities for their product.
    2. File Servers In some cases the malicious code also encrypted files on common file servers, this also means the company should always work on and detect “worst case” scenarios and handle common network disk area more carefully. Fast Backup and restore system could be complementary but preventive actions are crucial.
    3. Anti-virus and malware SW

If user has installed the anti- virus/malware then the SW should detect and prevent encryption of your hard drive/network files. If it doesn’t then you may need a better SW, change your SW.

Comments are most welcome!

 

 

Your face, your “future” access method, you should consider to be more careful

Your face, your “future” access method, you should consider to be more careful

Authentication is more important than ever in our modern society. It makes it possible for one to pay the bill, taking out money from your bank account by using ATM, start your computer and access to your data, Etc. In decades eyes and iris where the key access as “more secure” authorization while fingerprint has been around since 1870 both as proof of ID (authentication) and in some cases providing proof against criminal acts. Fingerprint as authorization method for access to personal computer have been used during the past 8-10 years and since 2013 in “every man’s hand” when Apple introduced it’s TouchID in it’s new iPhone 5S.

Apple TouchID
Apple TouchID

Figure 1, Apple Touch ID how it works, http://www.imore.com/how-touch-id-works

Your fingerprint, Iris, face is your key access to computer, Credit card systems, clouds,….

Microsoft using facial recognition as one of the authentication method in coming Windows 10. Google started discussion about “blink to pay” in 2013. Now it seems that many companies working together with MasterCard to use the facial recognition as a more “secure method” for authentication.

Some reflection about the facial recognition method

What happens to the authorization when

  1. Unshaved
  2. Change color of hair
  3. Hang over (day after wild party)
  4. Using phone when it is hot or cold
  5. Becoming fat or smaller
  6. Tanned
  7. Nose surgery
  8. Longer eyelashes
  9. Allergic reaction to some strong medicine, bee, dust, Etc.

And the most important question is the possibility to change your face, compare to change of password/PIN code.

Telenor, vi ändrar ditt abonnemang till dubbel så dyrt inom 16 dagar, del II

Respekt för kunderna

Telenors hemsida visar en bra bild som visar större respekt för sina befintliga och framtida kunder. Vilket är utmärkt

Telenor: Hos oss bestämmer kunderna
Telenor: Hos oss bestämmer kunderna

Bestämmer verkligen befintliga kunderna för sina abonnemang hos Telenor?

Tyvärr såg verkligheten något annorlunda ut för min vän som Telenor kund fick ett brev från Telenor ”När vi nu ser vi över våra abonnemang, kommer ditt abonnemang att försvinna. Dvs vi ändrar ditt abonnemang till 200% dyrare och inom 14 dagar. ”…Vi vill ge dig ett nytt abonnemang som vi tror passar dig bra…”. Brevet toppades med ”Du har även rätt att säga upp ditt abonnemang utan uppsägningstid”. Det brukar kallas för ”take it or leav it”. För detaljerad information e mitt tidigare inlägg

Min vän och jag letat och hittat en lämplig ersättning till Telenors abonnemang och idag var det bara att byta SIM-kortet. Då upptäckte jag att min väns hade Vodafone SIM-kortet i sin mobil. Det innebär en riktig trogen kund hos Telenor i över 10 år sedan Telenor köpte Vodafone i Sverige.

Trogen kund sedan Vadafone tiden
Trogen kund sedan Vadafone tiden, original SIM-kort

Vad säger PTS

Enligt PTS uppsägningstiden är MINST en månad medan gamla abonnemang kan ha längre uppsägningstid. I detta fall bryter Telenor med 16 dagars uppsägningstid. Jag är lite osäker på vilken myndighet skall bevaka så att operatören inte bryter bestämmelsen. Min vän valde att leta efter lösningen själv och utan att blanda in någon berörd myndighet, vilka det nu är PTS? Telekområdgivarna? Konsumentverket?

PTS om bestämmelsen om uppsägningstiden Minst en månad eller längre för äldre abonnemang
PTS om bestämmelsen om uppsägningstiden
Minst en månad eller längre för äldre abonnemang

”Hos oss bestämmer kunderna”

Sanningen borde vara att kunderna hos ALLA operatörer borde kunna bestämma men detta gäller för endast aktiva kunder. Och enbart då genom ständig bevakning av pris och service utvecklingen hos mobiloperatören. Hotet om eventuella missnöjesyttring som flytt av abonnemanget (“churn”) gör det möjligt att kanske kunden kan fortsätta att ”bestämma”. Det har min vän gjort och även jag bestämde att göra det samma tack vare min vän och Telenors brev (se mitt föregående inlägg).

Jag misstänker att tiden för att försöka behålla trogna kunderna är nu förbi och kanske ”Win back” verksamheten hos mobiloperatören är ett minne blått. Eller snarare borde vara tvärtom då tvångsförändring av abonnemang kanske genererar missnöje som i vissa fall kan leda till större belastning till ”win back” verksamheten. Att få vinna tillbaka missnöjda kunder som nyligen lämnat Telenor kräver troligtvis en del insatser.

Tillåter PTS att Telenor tvingar kunder att accepterar dubbel så dyrt abonnemang eller säga upp sitt abonnemang ?

Tillåtet att Telenor ensidigt omvandlar gammal avtal till 200% dyrare inom16 dagar ?

Telenor:  "vi ändrar automatiskt ditt gamla abonnemang till dyrare abonnemang 200%, ...som vi tror  passar dig.."
Telenor: “vi ändrar automatiskt ditt gamla abonnemang till dyrare abonnemang 200%, …som vi tror passar dig..”

Min vän förstod ingenting, fick idag 8:e maj ett brev från Telenor daterad den 4 maj att

”Nu ser vi över våra abonnemang, kommer ditt nuvarande mobilabonnemang att försvinna. Därför vill vi ge dig ett nytt abonnemang som vi tror passar dig bra…… priset för det nya abonnemanget är 199 Kr/månad…..

Vad hände med Telenors abonnent?

Ett abonnemang tjänst har använts sedan lång tid tillbaka, ingen surf, väldigt lite samtal (dyra minutsamtal och öppningsavgifter). Man fick ringa för hela beloppet varje månad så slapp man att fylla på kontantkort varje månad.

Blir det nya Telenor tjänsten dyrare?

Ja, 200%. Telenor ensidigt och med mycket kort varsel under perioden 20 maj-30 juni automatiskt omvandlar den gamla abonnemangsformen till det nya. Eftersom abonnemanget inte används för surfing och enbart för få korta samtal det nya avtalet verkar vara helt oacceptabelt.

Vad är uppsägningstiden för abonnemanget enligt avtalet?

Abonnenten har enligt ingångna avtalet 3 månaders uppsägningstid. I min värld normalt operatören borde inte kunna säga upp avtalet på sådant sätt och inte heller under så kort varsel. Detta är kanske diskuterad och överenskommet med PTS och kanske tom PTS:s jurister godkänt detta förfarande. Om sådant är inte fallet borde PTS borde skyndsamt titta på detta fall (och även liknade fallen). Det känns som rimligt att PTS i förebyggande syfte utfärda något uttalande/beslut för att tillgodose även de svenska mobilabonnenternas rättigheter.

Har inte operatörer rätt att ändra avtalet?

Jo visst, men det borde finnas någon rimlig gräns och större hänsyn till befintliga avtal borde tas. Det är självklart att mobiloperatören skall inte behöva ingå i avtal med de ”gamla” abonnemangsformer som inte är storvinstgivande men befintliga kunder med gamla abonnemangsformer bör hanteras med större respekt.

Affärslogiken verkar inte riktigt korrekt om  i ena sidan ständigt visa Telenor TV reklam för att fånga in intressen från nya kunder  samtidigt som man med automatiska abonnemangsförändringar tvingar befintliga kunder till dyrare (i detta fall 200%) abonnemang och därmed missnöjda kunder. Uppmaningen att ”Du har rätt att säga upp ditt abonnemang utan uppsägningstid” dvs tvinga sina befintliga kunder till annan mobiloperatör.

Kan man inte flytta till någon annan operatör?

Jovisst, MEN om alla operatörer har rätt att ensidigt säga upp avtalet och automatisk under kortare varsel omvandla till dyrare abonnemang då är detta en konsumenträtts fråga om enskilda konsumenter och som normalt borde bevakas av PTS. Om mot förmodan detta är tillåtet då kanske är på sin plats att PTS tar omgående initiativet till nya tillsyn av regelverket för att skydda abonnenternas rättigheter på bättre sätt.

Slutligen, låt oss slippa se framöver där operatörer ständigt och systematiskt uppmanar sina kunder att flytta till någon annan operatör och dyrare abonnemang.

Smygsamlar Adecco jobb-app otillbörlig data från mobilen/paddan?

Hur mycket data läcker din mobiltelefon/padda?

I min tidigare blogg, gick att konstatera att alldeles för många mobil-appar får tillgång till för djupgående och omotiverade behörigheter. Den vanliga risken är att med hjälp av diverse avslöjade problem i operativsystemet kan en hacker ta över applikationen och därmed din mobil/padda. Individen utsätter sig även för den dolda risker för läckage av personlig data, transaktionsdata, kontaktdata, information om möten, mm.

Ett nytt exempel är ”jobb-appen” från Adecco, ett rekrytering och konsultföretag företag som förser bl.a. stora företag med konsulter, underkonsulter eller rekryteringskandidater. Appen har skrämmande tillgång till flera icke nödvändiga behörigheter som lätt kan missbrukas.

Adecco jobb-appen version 1.4.0:

  1. hitta konton på enheten
  2. läsa dina kontakter
  3. ungefärlig position (nätverksbaserad)
  4. exakt plats (GPS- och nätverksbaserad)
  5. läsa samtalslogg
  6. fullständig nätverksåtkomst

I en beroende situation och helt oanade, en arbetssökande kan läcka information om var han/hon befinner sig, vilket konto denne har på mobilen, vilka individer, företag, organisationer man har kontakt med och även läcka ut information om samtal till och från mobilen. Kan detta bero på en okunnig programmerare som tagit till för många behörigheter eller Adecco försöker att utnyttja den utsatta arbetssökandens situation och spionera på individen, dess kontakter, vilka man har haft telefonkontakt med?

Detta borde hanteras/regleras noggrannare av datainspektionen(? eller någon annan myndighet) eller kanske helt nyinrättade myndighet för att slå vakt om personlig integritet även vid användning av mobilen/paddan.

Adecco jobb-appen otillbörligt samlar in data
Adecco jobb-appen otillbörligt samlar in data