Nätsäkerhet – vad alla bör veta

“IN THE SPACE of one hour, my entire digital life was destroyed. First my Google account was taken over, then deleted. Next my Twitter account was compromised, and used as a platform to broadcast racist and homophobic messages. And worst of all, my AppleID account was broken into, and my hackers used it to remotely erase all of the data on my iPhone, iPad, and MacBook.”

Jag vill inte att det händer dig! Tyvärr är nätsäkerhet som inte känns speciellt nödvändigt innan det händer något, och många orkar inte bry sig. Det krävs ibland att det händer något innan man tar tag i det. Jag hoppas att det här kan få dig att tänka om!

Innehållet är grovt uppdelat enligt nedan.

  1. Motivering – vad och varför?
  2. Förklaring – hur går det till?
  3. Åtgärdsförslag – hur kan man skydda sig?
  4. Frågor och svar
  5. Avslutning

Det tar en liten stund (men inte mer än en kvart) att läsa igenom dokumentet. Förhoppningsvis leder det till ett antal åtgärder som i sig också tar lite tid i anspråk, men men övertygelse är att det är värt det.

Let’s do it!

VAD OCH VARFÖR?

Vi lever våra liv digitalt. Vi sköter bankärenden på nätet, vi umgås med vänner på nätet, vi lagrar minnen på hårddiskar, och ibland delar vi hemligheter på nätet. E-post, Facebook, Snapchat, Dropbox, diverse online-banker, you name it. En inte alltför vild gissning är att det digitala blir ännu större de närmaste åren.

Vad kan hända?

  • Kapade sociala konton. Skulle du kunna sova gott om någon hade fullständig och ostörd tillgång till ditt Facebook/Snapchat/Instagram/Kik-konto eller liknande? Antagligen inte. Fundera över hur mycket känslig information, hemligheter, foton och  minnen som finns där.
  • Kapad e-post. Som ovan. E-mail kanske känns mossigt, men det är fortfarande en kanal där mycket information sköts. Framför allt är det ofta nyckeln till alla dina andra nät-konton, mer om det senare.
  • Stulna och/eller raderade bilder och minnen. Säg att du sparar foton med hjälp av någon online-tjänst, t.ex. iCloud, Dropbox eller Google Drive. Om någon obehörig får tar i kontot där och vill jävlas så kan du säga hejdå till alt du har. I bästa fall blir det raderat, i värsta fall blir privata bilder eller liknande spridda. Om känsliga bilder eller filmer kommer ut på nätet är det nästan garanterat omöjligt att plocka ner dem. Någonsin.
  • Komplett identitetsstöld. De ovanstående punkterna kanske är illa, men en fullskalig ID-kapning kan bli många gånger värre. Ett kapat ID kan leda till att sms-lån börjar tas i ditt namn, du blir av med tillgång till din bank, och så vidare. Det finns gott om historier om folk som har spenderat månader, år och massiva mängder pengar för att få tillbaka sin identitet. Din identitet är oerhört värdefull!
  • Din dator kapas osynligt (du märker det inte) och används i som mellanhand i attacker mot andra mål.

Men det där händer väl inte vanligt folk?

Fel, fel fel. Det händer vanligt folk, hela tiden. Man behöver inte vara internetkändis eller ha fiender för att råka ut för det. Nätet är fullt av hackers som kapar konton för att det är roligt, kriminella som aktivt letar efter svaga identiteter att hacka, eller ovänner som vill en ordentligt illa.

HUR GÅR DET TILL?

Lösenordet är ofta nyckeln

Skrämmande många konton är skyddade på ett enda sätt – ett lösenord. Ofta väldigt kassa lösenord som ”hammarby123”, ”SuperSecret” eller ”abcdef”. Sådana lösenord tar inte lång tid att brute-forca, dvs försöka logga in tills det funkar med hjälp av speciella program. Det finns enorma databaser med vanliga lösenord som används vid sådana här automatiserade attacker. Stora sajter utsätts kontinuerligt för sådana här försök. Varje dag, varje minut. Många hundra tusen lösenordsförsök per sekund.

Lösenord måste lagras – ibland görs det dåligt

Stora sajter som t.ex. Amazon eller Facebook måste hålla koll på lösenorden, och de sparas i någon form av databas. Om det gör rätt så sparas aldrig lösenorden i klartext, utan i en hemlig, krypterad form. Det betyder att om en hackare får tag i databasen så kan han eller hon inte se lösenordet ändå. Tyvärr görs det inte alltid rätt. Ibland sparas lösenord i klartext, ibland är krypteringen dålig och kan knäckas. Det händer ofta att stora sajter får hela sina databaser läckta. Ibland inkluderar dessa databaser också klantigt sparade kreditkortsuppgifter. Tror ni mig inte? Kolla in den här översikten över några kända läckor. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Folk använder samma lösenord överallt

Säg att du använder lösenordet ”SuperStrongPasswordThatNobodyCanGuess” på Evernote. Det är långt och fint, men tyvärr använder du det överallt. Evernote klantar sig och läcker sin databas. Nu finns nyckeln till alla dina konton ute i det fria, och det är bara en fråga om tur/otur om du blir hackad.

E-posten är ofta vägen in

Vi använder ofta e-post som en möjlighet till att återställa konton. Det betyder att om någon siktar in sig på din e-post och lyckas med det, finns en superenkel väg in till alla dina andra konton. Väldigt jobbigt.

Hackers är duktiga

Det räcker med att en del i kedjan är svag, och den brister. Ibland är den svaga länken en lite för snäll telefonsupport, ibland är det ett dåligt lösenord på e-posten, ibland en läckt databas, ibland våld och hot.

Vill ni se exempel? ”Vanligt folk” som fått sina pengar stulna, baby-bilder raderade, identiteter kapade. Och så förstås kändisar vars nakenbilder blivit spridda.

http://www.theverge.com/a/anatomy-of-a-hack
http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
http://en.wikipedia.org/wiki/2014_celebrity_photo_hack

HUR SKYDDAR JAG MIG?

Det kräver lite jobb, men det finns ett antal hyfsat enkla principer man kan följa för att ta itu med specifika problem. Jag tänkte gå igenom dem nedan.

  1. Starka och unika lösenord – motverkar brute-forcing och minimerar skadan om någon av alla dina webbtjänster råkar läcka ditt lösenord.
  2. Tvåstegsverifiering- krävs både lösenord och telefon för att logga in. Mycket säkrare.
  3. Fokusera på de viktigaste tjänsterna – börja med att säkra upp e-post, bank, Facebook, och lagring, till exempel.
  4. Flera backups av viktiga filer – ger dig en väg ut om din dator säckar ihop, din hårddisk blir stulen eller om någon online-lagrings-tjänst blir sabbad.
  5. Tänk på vad du gör på nätet – om det ändå går åt skogen, se till att ditt liv inte blir förstört.

Starka lösenord

Ett lösenord är starkt om det är svårt att knäcka med ren datorkraft. Långa lösenord är att föredra. Som ett exempel skulle lösenordet ”secret123” knäckas på bråkdelen av en sekund, men lösenordet ”Tennis Giraff 1766 Curling!” är näst intill omöjligt att knäcka med vanliga datorer. Det skulle ta hundratusentals år av gissningar. Längd är viktigare än komplexitet! Ett bra tips är därför att använda flera (orelaterade) ord, som ovan. Gärna med nån siffra eller specialtecken. Lättare att komma ihåg än ”Adx!€3qz89″#!xojHS6” dessutom. Kom ihåg att ett lösenord är aldrig speciellt starkt om det är uppskrivet någonstans där andra kan läsa det.

Unika lösenord

Med anledning av fallet när stora sajter får sina lösenord läckta – ha aldrig samma eller liknande lösenord på flera viktiga sajter. Aldrig. Någonsin.

Tips – använd en lösenordshanterare

Något som jag själv gör är att jag använder en lösenordshanterare, som t.ex. LastPass (https://lastpass.com/sv/) eller 1Password (https://agilebits.com/onepassword). Det fungerar så att jag har ett superstarkt lösenord som jag kommer ihåg som huvudlösenord (ett antal ord och nån siffra, se ovan). Med det kan jag låsa upp en starkt krypterad databas med alla mina andra lösenord. Dessa kan jag generera automatiskt, eftersom jag inte behöver komma ihåg dem. 20 eller fler slumpmässiga tecken är ofta bra och svårknäckt. När jag ska logga in på Facebook eller Instagram eller Avanza Bank så behöver jag bara komma ihåg ett lösenord, och LastPass sköter resten. Funkar väldigt bra i browsern. Har du okrypterade lösenord i ett Excel-ark? Tänk om och tänk rätt.

Nu kanske  ni undrar – vad händer om LastPass blir hackat? Då har jag problem :) Detta bygger på att LastPass sköter sig, men chansen är stor att LastPass sköter sig bättre än många sajter eftersom säkerhet är deras egen affärsidé. Dessutom har jag tvåstegsverifiering på mina viktigaste sajter, mer om det om ett par sekunder!

Tvåstegsverifiering

Många stora tjänster som Gmail, Facebook eller Dropbox erbjuder detta. Det går till så att när du vill logga in från en ny dator krävs det både ditt vanliga lösenord och en PIN-kod som skickas till din telefon. Det gör att även om ditt lösenord blir hackat så kan inte en obehörig ta över din e-post och därmed ditt liv, såvida han eller hon inte har din telefon också. De flesta ställena kräver bara verifikation första gången man loggar in från en ny dator/browser, så man slipper krångla om man loggar in från sin hemdator varje gång. Detta ökart säkerheten enormt mycket – aktivera genast på känsliga ställen! Att ha detta påslaget för e-post borde vara obligatoriskt :)

Nedan är ett exempel på hur det går till när man har tvåstegsverifiering påslaget på sin Gmail.

ETT: Jag går till gmail.com på en ny dator, och loggar in med användarnamn och lösenord. Notera att jag klickar ur “stay signed in” eftersom jag inte vill att andra ska se min inbox om jag råkar glömma att logga ut.

Screenshot 2015-05-27 19.01.45
TVÅ: Innan jag blir inloggad får jag skickad en kod till min mobil, antingen som ett SMS eller via en app. Jag skriver in koden. Om det hade varit min egna dator hade jag kanske klickat i rutan för att inte fråga efter koder igen på den här datorn.

Screenshot 2015-05-17 14.56.52
TRE: Inloggad som vanligt! Notera att även om någon skulle haft mitt lösenord, så skulle det inte vara möjligt att komma in den här vägen såvida personen dessutom har telefonen eller datorn. Det här skyddar fantastiskt bra mot försök från någon som fått tag på lösenord från t.ex. en läckt databas.

Instruktioner för Google (Gmail, Google Drive, etc)
Instruktioner för Dropbox
Instruktioner för Microsoft (Hotmail, etc)
Instruktioner för Apple (iCloud etc)

Instruktioner för resten? Googla “two step verification” och tjänsten så hittar du det!

Börja med de viktigaste tjänsterna

E-post. Facebook. Banken. iCloud. Fundera ut vilka tjänster som skulle kunna göra mest skada och börja med att säkra upp dem med bra lösenord och eventuell tvåstegsverifiering. Det kanske inte är hela världen om din träningsapp eller kontot på ett receptforum blir hackat (om du har unika lösenord), men ett hack av e-posten kan bli förödande.

Skydda telefonen också!

Glöm inte att ha PIN-kod med låsning påslagen på mobilen, eftersom telefonen oftast är konstant inloggad på alla tjänster. Man kan om man vill sätta upp mekanismer för att rensa telefonen om den blir stulen. PIN-kod är minimum. Mönsterupplåsning funkar också, se bara till att det inte går att följa fingeravtrycken på skärmen. Givetvis är både PIN och mönsterupplåsning hackbart om den som snott telefonen har tid och kunskap.

IMG_0977

Backups

Om du har alla bilder på en separat hårddisk – räkna med att hårddisken förr eller senare går sönder. Diskar slits, och det är alltid bara en tidsfråga innan den lägger av. En gammal klasskompis hade cirka fem års teckningar och digitala målningar sparade på en extern USB-disk som gick sönder. Det fanns inga andra backups. Tråkigt. Lika tråkigt blir det att få inbrott och alla diskar i byrålådan stula.

Att kombinera en mekanisk disk med en onlinetjänst som Dropbox, Google Drive eller iCloud är ofta bra och löser problemen ovan bra! Onlinetjänster kostar ofta mindre än mekaniska diskar och är väldigt smidiga. Se helt enkelt till att ha backups på fler än ett ställe!

Givetvis kan diskar eller hela datorer bli stulna vid t.ex. inbrott eller väskstölder. Om de innehåller känslig info – kryptera dem så att de kräver lösenord när man ska använda dem!

Tänk på vad du gör

Det viktigaste tipset av alla. Var försiktig. Det kanske verkar vara en bra idé att skicka privata bilder till en person nu, men vad händer om fem år? Behöver du verkligen spara kreditkortsuppgifter hos online-shoppen? Är mottagaren av mitt lösenord den han utger sig för? Är det en bra idé att ha min PIN-kod uppskriven i plånboken? Vad händer om min dator blir stulen på ett fik? Lär dig själv att ställa sådana här frågor i vardagen.

Räkna med att nästan allt du gör på nätet har potential att bli publik och oåterkallelig information. Se till att i alla fall ha hyfsat koll på vad du kan göra för att skydda dig, och du är genast mycket säkrare än den stora massan.

FRÅGOR OCH SVAR

Är det säkert att ha liknande, men inte identiska, lösenord på t.ex. mailen, Facebook och Instagram?

Kort svar – nej. En hackares arbete blir mycket, mycket enklare om det finns något att utgå från. Säg att du t.ex. har lösenorden supersecret1, supersecret13 och ultraSuperSecret113 på tre olika sajter. Eftersom diverse verktyg kan testa tusentals, hundratusentals, eller till och med miljontals lösenord i sekunden är det en enkel sak att utgå från ett av lösenorden och gissa de andra. Att lägga till andra siffror eller ett fåtal bokstäver till ett annat lösenord är alltså inte en speciellt bra idé. Det är som att ge en inbrottstjuv nyckelknippan istället för bara husnyckeln, och tro att man är säker för att tjuven måste leta ett tag.

Tipset här är att åtminstone ha ett unikt och säkert lösenord på mailen, tillsammans med tvåstegsverifiering. Detta för att mailen ofta är nyckeln till alla andra konton via lösenordsåterställningar.

AVSLUTNING

Du läste alltihop! Bra! Hör av dig om det är några frågor. Hoppas att vikten av nätsäkerhet sjunker in. Här är några avslutande tankar som kan vara bra att ha i huvudet och jobba mot:

  • Räkna med att allt du gör på nätet riskerar att bli publikt, och att det inte går att ta tillbaka om det skulle hända.
  • I idealfallet ska du kunna ge bort din dator, din telefon, din kamera och alla dina hårddiskar till din värsta fiende utan att vara orolig för konsekvenser.
  • I idealfallet ska du kunna ge bort ditt lösenord (i alla fall i ett par timmar) till dina allra viktigaste webbtjänster som t.ex. e-post och Facebook utan att skada kan ske.
  • Om ditt hus brinner ner eller du blir utsatt för ett inbrott, ska du inte behöva bli av med viktiga dokument och filer. Samma sak gäller om t.ex. Dropbox kraschar totalt.

Bonus/överkurs – WiFi och VPN

Om du tillbringar mycket tid på publikt och öppet WiFi, och speciellt om du arbetar med känslig data, det kan vara värt att skaffa en VPN-lösning för att kryptera trafiken. Varför? Läs en intressant artikel om café-hacking här!

Lev väl!

/ Victor