07/08 2018 - direkte link til indlæg
Er din e-mail-konto sikker?

Som udgangspunkt tænker du måske at dine e-mails er sikre, da de er beskyttet bagved en kode som er super svær at gætte. Den del har du sikkert også ret i, men i dette indlæg vil jeg ikke bruge tid på at skrive om sikkerheden på din webmail eller lignende klient.

For hvem kan læse dine mails udover dig?

Udover afsenderen og modtageren af en e-mail, kommer beskeden nemlig i hænderne på flere forskellige undervejs. Hvis du ikke har gjort dig nogle tanker om det, får du lidt at tænke over lige om lidt.

Lad os starte fra en ende af.

Du skal logge ind på din webmail for at skrive en e-mail til din mor:
Har du her muligheden for at trykke på "Glemt adgangskode" og få en ny kode? Hvis det er tilfældet, ligger alle dine mails ukrypteret på din udbyders servere (eller din udbyder har i hvertfald en 'ekstra nøgle'). Det kan eksempelvis være ved Google, Yahoo eller Microsoft. Dette er meget normalt, men du skal være opmærksom på at din udbyder i sådanne tilfælde også vil kunne læse dine mails (og nogle gør det også, det er sådan at Google kan målrette reklamer til dig).
Det er derfor vigtigt at du enten vælger en e-mail-udbyder som du har tillid til eller en udbyder som lagrer alle dine mails krypteret, uden selv at have nøglen til at dekryptere (Se eksempelvis protonmail.ch).
Udover at du skal have tillid til at din udbyder ikke læser dine e-mails, så skal du også have tillid til at de har styr på sikkerheden. For i det tilfælde at din udbyder bliver hacket, vil hackeren også have adgang til dine e-mails. Ved en udbyder der kryptere alt, vil en hacker ikke kunne læse dine e-mails.

Hvorfor kryptere alle udbydere så ikke alle deres e-mails? Der er to ganske simple årsager. Den første er at teknologien er relativt ny og det er derfor ganske få udbydere som har udviklet systemer til det. Den anden grund er at hvis du glemmer din egen kode, så vil alle dine e-mails gå tabt (udbyderen har jo ikke længere en 'ekstra nøgle').

Lad os komme videre. Du har nu logget ind på din webmail og er opmærksom på om din udbyder kan læse dine e-mails.
Du sender nu en e-mail til din mor. E-mailen kommer nu fra din udbyder over til din mors udbyder, men er du opmærksom på om den kommer direkte derover eller om den tager nogle stop undervejs?
Når man modtager en e-mail, kan man i noget der hedder 'headeren' (det er en slags konvolut) se hvilken vej e-mailen har taget.
Her er et eksempel hvor jeg har sendt fra protonmail.ch til &Rasmussen ApS's ene mailserver:

Received: from gw.ogr.dk (78.47.155.186) by Mail.ogrx.dk (78.46.64.46) with
 Microsoft SMTP Server (TLS) id 14.3.399.0; Mon, 2 Jul 2018 19:09:43 +0200
Received: from mail2.protonmail.ch (mail2.protonmail.ch [185.70.40.22])    (using
 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))    (No client
 certificate requested)    by gw.ogr.dk (Postfix) with ESMTPS id 41KDRl6DlYzNkZ5
    for ; Mon,  2 Jul 2018 19:15:56 +0200 (CEST)

Som man kan se hvis man har forstand på det (det er svært at læse for de fleste, så jeg har simplificeret den), har denne e-mail eksempelvist være en tur forbi en mellemliggende server (typisk for at tjekke om det er en spam-e-mail).
I dette tilfælde skal man være opmærksom på om de mellemliggende servere også er under din- eller modtagerens udbyders kontrol. For hvis ikke, skal du jo også have tillid til endnu en udbyder. Da alle de mellemliggende servere, reelt kan lave en kopi hvis de ønsker det.

Noget andet som du også skal være opmærksom på, dette er også selvom der ikke er nogle mellemliggende servere. Det er om selve transporten af e-mailen er krypteret. For hvis den ikke er det, kan der være rigtig mange personer som kan lave en kopi af e-mailen og du har ingen chance for at se hvem eller hvor mange.
Du ser det ved at der skal stå TLS, TLSv1.2 eller lignende besked (se evt. mit indlæg om https, det er nemlig samme princip).

Nu er e-mailen fremme og hvem der så kan læse den - udover den tiltænkte modtager - afhænger af hvem modtageren benytter som udbyder. Præcis som det jeg skrev om i starten om din egen udbyder.

Hvordan beskytter jeg så mine e-mail fuldstændigt ?

Udover at have en rigtig god kode, som du sikkert allerede har, skal du altså vælge din udbyder med omhu.
Men der er en ting mere som du kan gøre, der er utroligt effektivt. Men det kræver at både du og modtageren har denne mulighed.

Hvis du kryptere selve indholdet af en e-mail, vil indholdet blot ligne volapyk for en tredjepart, som skulle komme i besidelse af den.
Hvordan gør man så det? Det er ikke altid nemt, selvom det måske kommer til at lyde som det.
I dette indlæg vil jeg skrive om en metode der hedder PGP (Pretty Good Privacy).

Når man har noget krypteret indhold, er der som udgangspunkt to 'nøgler' til indholdet. En nøgle (offentlig nøgle) som udlukkende kan låse og en som udelukkende kan låse op (privat nøgle).
Den første nøgle (den offentlige, som kun kan låse), deler man gerne kopier af ud til andre (se eksempelvis min her) og den anden holder du meget tæt.
Så når du gerne vil sende en krypteret e-mail til din mor, skal du altså bruge hendes offentlige nøgle, så du kan 'låse' den inden afsendelse. Ligesom at hun skal bruge din, hvis hun vil svare krypteret tilbage til dig. På den måde ved du, at det kun er hende som kan læse e-mailen, hvis hun da ellers ikke har delt sin private nøgle med andre.

Dette er som sagt lidt besværligt, da både afsender og modtager skal understøtte PGP, men også fordi at man skal have kontakt på forhånd, for at udveksle offentlige nøgler.
Men tilgengæld giver det en utrolig god beskyttelse!

 - Jeg håber at du blev lidt klogere på hvor sikker din e-mail-løsning er og at du har valgt din udbyder med omhu. Men husk på at intet er 100% sikkert.


DNS skal også være sikkert

DNS er forkortelsen af Domain Name System og er den funktion, der oversætter domæne navne (som https.dk) til en ip-adresse din computer kan forstå.

Hvordan fungere det i praksis?

Din computer har indstillet nogle DNS-servere, som den kender ip-adressen på (den kan jo ikke slå domæne-navne op endnu). Når du skal besøge en hjemmeside, sender din computer en besked til en af disse servere, for at få oversat navnet til en ip-adresse. Meget smart, da vi så slipper for at huske en masse tal, hver gang vi skal på internettet.
Disse adresser er formentligt tildelt din computer automatisk af din router, som typisk har fået dem fra din internetudbyder.

Men hvorfor er disse så usikre?

Der er normalt to usikre elementer i en standard opsætning fra din internetudbyder.
Den første del grunder i at disse forspørgelser ikke er krypteret. Hvilket i praksis betyder at der kan manipuleres med det svar du får tilbage, som kan lede dig over på en 'falsk' hjemmeside, typisk for at lokke nogle oplysninger ud af dig (måske en falsk netbank).

Den anden del handler om at din internetudbyder (og potentielt mange andre) kan se hvilke hjemmesider du besøger. Så denne del handler mere om privatliv.

Men der er en løsning

Faktisk er der to løsninger, de hedder DoT (DNS over TLS) og DoH (DNS over HTTPS), men i bund og grund gør de det samme. Begge løsninger kryptere DNS-forspørgelserne.

Desværre er det kun de færreste styresystemer som kan bruge dette (endnu), men der noget du kan gøre.
Hvis du skifter de DNS-servere din computer bruger, til 1.1.1.1 og/eller 1.0.0.1 ved CloudFlare (som lover ikke at logge dine ), kommer du over problemet med at din internetudbyder nemt kan logge hvilke sider du besøger på internettet. Det er en rigtig god start og muligvis bliver dine forspørgelser endda hurtigere!

Enkelte applikationer (i dette eksempel internetbrowsere) kan selv benytte DoH eller DoT direkte. Hvis du eksempelvis i Mozilla Firefox klikker ind i indstillinger->generelt->forbindelses indstillinger, kan du aktivere DoH og herefter klikke mere sikker rundt på internettet.

DoT og DoH bliver fremtiden

Men husk at dette blot er en lille ting at tænke på, når man skal beskytte sig selv på internettet. Læs også gerne mit indlæg om HTTPS, hvis du ikke allerede har gjort det.


[Vis mere]Udgivet 28/07 2019 - direkte link

Husk at kryptere hele din computer

Du har sat en kode på din computer og tror måske at dine data er sikre her bagved. Men er den nu også det?
Som udgangspunkt er de det desværre ikke.

Derfor er din kode til computeren ligegyldig

Sætter du kode på din computer, gør det at andre ikke blot kan tænde for den og se dine dokumenter. Men gør du ikke andet, svarer det til at låse din hoveddør på huset, men lade alle vinduerne stå åbent.

Der er mange andre indgange til dine data, end blot at tænde computeren. Hvis man tænder computeren med en speciel USB-Pen eller CD-ROM, kan man lave en "alternativ dør". På den måde kan man komme ind på din computer, uden at kende koden. Faktisk kan man herefter ændre din kode.
Alternativt kan man pille computerens harddisk ud og aflæse alt data via en anden computer, igen uden at bruge en kode.

Men er det blot dine dokumenter der er i fare?

Nej, desværre ikke. Har du autologin/Husk min kode på din Facebook-konto, e-mail, dropbox og lignende, kan disse informationer stjæles lige så nemt.
Jeg har prøvet at lave en lille demonstration, der viser hvor nemt det kan være.

Men der er heldigvis noget du kan gøre

Hvis du kryptere indholdet af din computer, lukker du for alt andet end "hoveddøren", hvor du har din sat din kode på. Det vil derfor ikke længere være muligt at snyde sig vej ind, hverken via en USB-Pen, CD-ROM, at skille computeren ad eller andre ting.
Man kan vælge at kryptere enkelte elementer, så som dokumenter og billeder. Men kun ved at kryptere hele computeren, kan du være helt sikker.

Heldigvis er det ret nemt at kryptere sin computer!

Der ligger nogle indyggede værktøjer på mange systemer i dag, jeg vil lige gennemgå dem.
På linux-systemer, kan man bruge LUKS. Det fungere rigtigt godt, du skal blot være sikker på at din SWAP også er krypteret, så du ikke risikere at koden ender der, har du eksempelvis sætter den i stand-by.
Har du en MAC, skal du aktivere File-Vault. Herefter klarere computeren faktisk hele arbejdet for dig.
På en Windows-computer er der i nogle versioner noget der hedder BitLocker, som burde virke lige som File-Vault. Min erfaring er dog at det er meget besværligt at bruge og at man ikke rigtigt kan have tillid til om det rent faktisk virker. Bruger du Windows, vil jeg i stedet anbefale at man bruger ESET DESLock+, som går ind og ligger et "ekstra lag" uden om Windows og beskytter din data på den måde.

Er der ingen ulemper ved at kryptere?

Jo, nogle få, det er derfor at alt ikke er krypteret som udgangspunkt. Lad mig opremse dem her.
1) Hvis du glemmer din kode, får du aldrig adgang til dine data igen (hvor du før kunne få en professionel til at gå ind af "bagdøren")
2) Tidligere kunne det gøre computeren en smule langsommere, men med moderne CPU'er der har AES-NI indbygget, er der ingen mærkbar forskel.
3) Dine data kommer til at fylde lidt mere, specielt små filer kommer til at fylde mere. Lad mig tage eksemplet - du har 2 spillekort, uanset hvor meget du blander dem, kan du gætte den oprindelige rækkefølge på 2 gæt, derfor er du nødsaget til at tilføje alle de andre kort også, for at skjule de oprindelige -. Du kan tænke det samme om et tekst-dokument med ganske få bogstaver. Et stort billede, har derimod masser af tal og bogstaver der kan blandes, uden at man tilføjer ret meget mere. Mine erfaringer siger at på en alm. computer, kommer dataen i gennemsnit til at fylde 10% mere.

Men fordelene gør nemt op for ulemperne!

Når du lige om lidt går i gang med at kryptere hele din computer, skal du ikke være nervøs hvis det tager lang tid.
Første gang du sætter den i gang, kan det godt tage nogle timer. Herefter vil du ikke mærke en forskel.


[Vis mere]Udgivet 04/09 2018 - direkte link

Derfor skal du slå din wifi fra

Eller dvs. du skal ikke stoppe med at bruge wifi, du skal blot deaktivere det på din computer og telefon når du ikke er hjemme.
Det er nemlig alt for nemt for en hacker at stjæle dine informationer, hvis du ikke er opmærksom.

Nu skal du høre hvordan

Som du sikkert ved er din computer/telefon så smart, at den selv kobler sig på et wifi-punkt, når den er i nærheden af et du tidligere har været på.
Det er uanset om du er hjemme, på arbejdspladsen eller nede på den lokale cafe.

Men hvordan gør den det? Den ved jo ikke at du sidder en lungo i hånden, nede ved Starbucks?
Det forgår på den måde, at eksempelvis din telefon, har en liste over alle de wifi-punkter den tidligere har været på. Telefonen starter så med listen fra en ende af og 'kalder op' til dem enkeltvis, indtil at der er et punkt der svarer og som den kan koble sig på.
Det er her det bliver farligt!

Når din telefon kalder på et wifi-punkt, kan den nemlig ikke verificere hvem der svarer igen. Så alle kan derfor svare din telefon og få den til at koble sig på.
Hvis din telefon på den måde er blevet koblet på et 'falsk' wifi-punkt, som er kontrolleret af en hacker, vil alt dens internettrafik også være styret af hackeren.

Jeg har tidligere lavet en lille demonstrationsvideo, som viser mere konkret hvad der sker.

Men hvad skal man så gøre, for at være sikker?

Som tidligere skrevet, bør du slå wifi fra på din computer/telefon når du ikke er på dit eget wifi. Så risikere du ikke at den automatisk kobler sig på et wifi-punkt, uden at du opdager det.

Ligeledes skal du undgå at bruge offentlige wifi-punkter. Du ved ikke hvem der kontrollere dem og alle der har koden til at komme på, kan i teorien se hvad du laver på internettet (jeg skal nok vise hvordan, i et senere indlæg).

Hvad så hvis jeg skal bruge et wifi-punk, når jeg er på ferie?

Du kan naturligvis komme ud for at du er nødsaget til at bruge wifi, på eksempelvis et hotel i udlandet.
Det kan du naturligvis også, hvis du blot tager nogle små forholdsregler.

Hvis du besøger en hjemmeside, skal du kikke efter om den bruger https inden du indtaster brugernavne og koder (se tidligere indlæg).

Derudover er det en rigtig god ide at bruge en VPN, når du er på internettet. En VPN (Virtuel Private Network) laver en krypteret 'tunnel' til et sikkert sted, hvorfra du så kommer videre ud på internettet. På den måde flytter du altså en hel del af sikkerhedsrisikoen væk fra wifi-punktet og ind til VPN-udbyderen.
Men det kræver naturligvis at du kan stole på VPN-udbyderen!
Personligt bruger jeg altid den VPN jeg har ind til min arbejdsplads, men hvis det ikke er en mulighed, vil jeg anbefale Mullvad, vis produkter jeg forhandler og derfor har haft en god indsigt i. Alternativt vil jeg heller ikke have nogle betænkninger ved at bruge ProtonVPN.

Når du er færdig med at bruge wifi-punktet, skal du huske at koble dig af det igen ved slut. På den måde vil din computer/telefon ikke automatisk kalde på det i fremtiden.

Skal jeg være bange for at bruge Wifi?

Nej, det skal bare bruge din sunde fornuft, når du bruger det offentlige steder.


[Vis mere]Udgivet 03/07 2018 - direkte link

Hvad er https ?

https er forkortelsen for Hypertext Transfer Protocol Secure og er betegnelsen man bruger når en hjemmeside er "sikker". Reelt betyder det at trafikken mellem dig og en hjemmeside er krypteret.


Du kan se at en hjemmeside bruger https, ved at kikke efter "hængelåsen" i adresselinjen.

Hvad nu hvis hængelåsen ikke er der?

Hvis en hjemmeside ikke bruger https (bare kaldet http -uden s), betyder det at trafikken ikke er krypteret.
Det er i sig selv ikke farligt, men det betyder at hvis du indtaster noget på hjemmesiden - for eksempel brugernavn og kode -, så er der en risiko for at der sidder en som kan "lytte med" og se det du har indtastet.
Så når du bare skal se om den lokale købmand har åbent, er det lidt ligegyldt, men når du besøger din netbank er det ret kritisk.

Er hjemmesiden så sikker når hængelåsen er der?

Reelt har hængelåsen ikke noget med en hjemmesides egen sikkerhed at gøre, det betyder hverken at indoldet er krypteret eller at den er beskyttet mod hackere. Det betyder blot at trafikken mellem dig og hjemmesiden er krypteret, således at de informationer du indtaster og ser på hjemmesiden, ikke kan aflæses af andre end dig. (Dog kan man som udgangspunkt godt se at du er inde på hjemmesiden).

Men selvom trafikken er krypteret og den grønne hængelås er der, siger det ikke nødvendigvis noget om hvor godt den er krypteret.
Er den ikke krypteret særligt godt, kan trafikken nemlig dekrypteres. Således at den ingen effekt har.
Hvordan kan du så tjekke det?

Hvis du klikker på hængelåsen, kan du læse de tekniske detaljer. De er dog tæt på umulige at forstå, hvis man ikke er meget it-kyndig (og derfor ikke har brug for at læse dette indlæg). Men der er en meget nemmere måde at se det og flere detaljer på.
Hvis du besøger https://www.ssllabs.com/ssltest/ kan du indtaste navnet på den hjemmeside du vil teste. Herefter får siden en karakter fra F til A+.
Lynguide:
Alt under B betyder at krypteringen er dårlig og derfor ikke har ret meget effekt.
En god side bør få A eller A+.
A+ er ikke altid nødvendig frem for A, men din bank og andre sider der indeholder personlige informationer, bør altid være på A+.
Prøv at teste lidt forskellige hjemmesider, du vil blive chokeret over hvor dårlige mange hjemmesider desværre er.

Hvorfor er mange hjemmesider så dårligt sikret?

Ganske simpelt fordi at deres it-folk ikke er dygtige nok. Højere sikkerhed er ikke en ekstra udgift, men blot et spørgsmål om at konfigurere en server korrekt.

 

Tak fordi du læste med. Jeg håber at du blev lidt klogere.
- Husk, intet er 100% sikkert


[Vis mere]Udgivet 04/06 2018 - direkte link

Hvem skriver?
Navnet er Karsten Ulstrup, den daglige profession er it-gut ved &Rasmussen ApS
Hvorfor?
IT-sikkerhed berører os alle, derfor skal du også have nem adgang til brugbar information om det
Kontaktinformation:
karsten@tuxnet.dk
Send gerne krypteret
PGP Public key