Hvad er en VPN, og hvorfor er det vigtigt at bruge en?

Sikkerhed på internettet er en vigtig faktor, når vi bruger vores enheder til at browse, sende e-mails, tjekke netbanken og lignende. En måde at øge sikkerheden på er at bruge en VPN (Virtual Private Network).

En VPN skaber en krypteret forbindelse mellem din enhed (eksempelvis en computer eller telefon) og internettet, via en VPN-server. Dette betyder, at al trafik, der sendes og modtages mellem din enhed og internettet, er beskyttet mod "aflytning". Dette er især vigtigt, hvis du bruger offentlige Wi-Fi-netværk, da disse netværk kan sårbare over for hacking og angreb, uden at du har mulighed for at tjekke det.

Men VPN'er kan også bruges til at få adgang til indhold, der måske er blokeret i et geografiske område. Hvis du f.eks. befinder dig i et land, hvor visse websteder eller tjenester er blokeret, kan du bruge en VPN til at omgå denne begrænsning og få adgang til det ønskede indhold. Dette er fordi din adgang til internettet ser ud som om at den kommer fra VPN-serveren's placering.

En anden fordel ved en VPN er, at den kan skjule din IP-adresse. Dette betyder, at din placering og identitet ikke kan spores af tredjepart, hvilket kan være en stor fordel, hvis du ønsker at opretholde din online anonymitet.

Men det er vigtigt at huske på, at ikke alle VPN'er er ens. Nogle VPN-udbydere kan være usikre og endda udgøre en trussel mod din online sikkerhed og privatliv. Det er derfor vigtigt at bruge en VPN-udbyder du har tillid til eller at lave din egen VPN-server.
Personligt anbefaler jeg at du har din egen VPN-server eller bruger ProtonVPN.

Alt i alt er en VPN en værdifuld tilføjelse til din online sikkerhed og privatliv. Den kan hjælpe med at beskytte dine data mod hacking og overvågning, samt give dig adgang til indhold, der ellers ville være blokeret i et geografiske område.
 

2FA

Two-factor authentication (2 faktor godkendelse)

Når du logger ind på en hjemmeside eller lign., eksempelvis din webmail for at se om der er komme nogle nye beskeder, skriver du dit brugernavn og kode.
Du har helt sikkert et system til at finde ud af alle dine koder, for du genbruger jo selfølgelig ikke koder til flere forskellige sider ? Og alle dine koder er selfølgelig super svære at gætte og virkeligt lange, så man ikke bare kan prøve at bogstavkombinationer fra en ende af ?

Password-managere

Det er svært at holde sine koder svære at bryde og samtidigt huske dem alle sammen, uden at man er nødsaget til at skrive dem ned.
Til det formål findes der for eksempel en del password-managere, som er systemer til at gemme sine koder i, hvorefter man så sætter en meget stærk kode på selve manageren. På den måde skal man ikke huske en masse forskellige koder.
Men hvad nu hvis koden til din password-manager bliver brudt eller bliver hacket ind i, så har en anden person pludseligt adgang til alle dine koder.
Man må indse at adgangskoder altid vil have en svaghed.

Det er derfor 2 faktor godkendelse er en ting.

Kort fortalt, så betyder det egentligt blot at der er 2 koder på dit login.
Den første kode er den traditionelle kode, som du kender og plejer at bruge. Men efter at den er indtastet, skal der bruges en ekstra kode.
Den anden kode er ikke en kode du selv kender med det samme, den bliver nemlig først genereret når du skal bruge den og efter du er logget ind, deaktiveres koden. På den måde er der ikke en kode som kan falde i de forkerte hænder.

Men hvordan skal du så selv kunne taste den?

Jo, den anden kode skal du selfølgelig kende når du skal logge ind. Det kan eksempelvis være ved at systemet du skal logge ind på, sender den via en SMS, når du skal taste den ind. På den måde skal en person med dårlige intentioner både have fat i din kode og din telefon. Smart!

Der er også andre muligheder. Eksempelvis kan koden blive sendt til din e-mail, men den metode har nogle svagheder. Eksempelvis er det ikke meget værd hvis du bruger samme kode til din e-mail, så man blot kan logge derind og se den ekstra kode. Eller måske er det din e-mail du er ved at logge ind på. Læs også gerne mit indlæg om e-mail-sikkerhed.

Den mest brugte medtode er Time-based one-time password (TOTP), som kort fortalt er en kode genereret ud fra en meget avanceret formel, hvori  tid er en faktor (hvilket betyder at koden skifter konstant). Formlen kendes kun af siden du skal logge ind på og så dig.
Det er organiseret så du ikke skal sidde med en lommeregner for at få din kode. Man bruger i stedet en app hvori man har lagt sin formel ind.
Så igen skal man bruge både din kode og telefon for at logge ind. Men denne metode virker selvom du ikke har mobildækning.

Gør 2FA det lidt mere bøvlet at logge ind? Ja, men det er det værd.

Firewall - derfor

Du har hørt ordet mange gange, men hvad gør den egentligt og hvorfor er den så vigtig?

Først lidt baggrundsviden

Når trafik bevæger sit rundt på internettet, sker det som udgangspunkt igennem noget der hedder porte. Når du eksempelvis sidder og læser denne teskst, er du kommet ind til den via port 443. På din computer er du gået ud af en tilfældig port der er ledig. Det er ved disse porte at en firewall kan stå vagt.

Sådan er du beskyttet som udgangspunkt

Når du som privat kunde ved en internetudbyder benytter deres udstyr, er der sjældent en firewall med. Men du får dog alligevel en grad af beskyttelse.
Da de fleste internet-udbydere kun benytter sig af IPv4, er der ikke nok ip-adresser til alle på internettet. Derfor ligger der i routeren en NAT (Network Address Translation), som hjælper dig.
En NAT gør at flere enheder i dit hjem, kan benytte den samme IP-adresse på internettet, så der er nok adresser til alle.

Hvordan beskytter en NAT?

En NAT beskytter dig på den måde, at hvis noget udefrakommende trafik gerne vil ind til din computer, forsøger den at gå ind af en port på din IP-adresse.
Men da der er flere enheder der deler den samme adresse, fører porten i første omgang over til din NAT, som så bestemmer hvilken enhed trafikken skal sendes videre til.
Men hvis der ikke er konfigureret noget i din NAT til det formål (også kaldet port forwarding), så lukkes der af for trafikken og trafikken kan ikke komme ind til dig.
MEN!, da verden er ved at skifte over til IPv6 for at få flere IP-adresser, vil der i fremtiden ikke længere være brug for NAT og den vil derfor blive afskaffet. Dermed vil der kunne kommunikeres direkte med alle dine enheder.

Hvad gør en standard firewall så?

En standard firewall er vagten der står ved porten og tjekker om trafik er tilladt adgang. Den kikker på hvor trafikken kommer fra og om du har givet firewallen besked om at trafikken er tilladt. Hvis du eksempelvis skal spille et online-spil med nogle venner, kan det være at der er blevet åbnet en port til det formål. Alt trafik du ikke har tilladt, vil blive afvist ved porten.
En firewall kan man også sætte til at tjekke trafik der er på vej ud af dit netværk, hvis man ønsker det.

Hvad så med en mere avanceret firewall?

En firewall kan være mere avanceret og udføre flere funktioner, det kan eksempelvis være en statefull firewall, som jeg kort vil beskrive her.
En statefull firewall kontrollere ikke bare portene, som en standard firewall vil gøre. Den kikker også på indholdet af trafikken. Man kan overført sammenligne det med en lufthavn, hvor en ikke-statefull tjekker pas på alle passagerer og en statuefull også tjekker deres bagage.
Indholdet af trafikken bliver så sammenlignet med en liste af "farlige" ting, som ikke skal lukkes hverken ind eller ud af din computer. Det kan være at trafikken minder om et hackerforsøg eller at udgående trafik er et forsøg på at stjæle din data.

Sådan får du en firewall til din computer

En firewall kan være placeret to steder. Enten på indgangen til dit private netværk, hvor den arbejder for alle dine enheder. Den placering er mest brugt i store erhvervsnetværk, da det godt kan være en dyr løsning (som dog er alle pengene værd).
Alternativet, som kan være lige så godt, når man ikke har så mange enheder, er at installere en firewall på den enkelte computer. De fleste operativtsystemer har en indbygget standard firewall, men alternativt har man tit den mere avanceret installeret sammen med sit antivirus-program.

Konklusion

Er en firewall nødvendig? De fleste klarer sig lidt endnu uden, da de har en NAT, men den er stadig en god ide. Specielt hvis man har følsom data på sin computer.
Hvor skal min firewall være placeret? Som privat bruger, der måske også tager sin computer med rundt, er en software på computeren at fortrække. På et kontor som kan være mere sårbar, vil jeg fortrække at have en firewall placeret ved indgangen til netværket. Skal computeren tages med ud af huset, bør den suppleres med en firewall på selve computeren også.
Er statefull firewall nødvendig? Det kommer helt an på hvor godt du vil beskyttes.
Hvad jeg gør? Jeg har en Sophos-firewall på mit kontor og har installeret en antivirus med firewall fra ESET på computeren, som jeg tager med ud af huset.

Husk på at selv med den bedste firewall, kan man ikke være 100% sikker!
 

Husk at kryptere hele din computer

Du har sat en kode på din computer og tror måske at dine data er sikre her bagved. Men er den nu også det?
Som udgangspunkt er de det desværre ikke.

Derfor er din kode til computeren ligegyldig

Sætter du kode på din computer, gør det at andre ikke blot kan tænde for den og se dine dokumenter. Men gør du ikke andet, svarer det til at låse din hoveddør på huset, men lade alle vinduerne stå åbent.

Der er mange andre indgange til dine data, end blot at tænde computeren. Hvis man tænder computeren med en speciel USB-Pen eller CD-ROM, kan man lave en "alternativ dør". På den måde kan man komme ind på din computer, uden at kende koden. Faktisk kan man herefter ændre din kode.
Alternativt kan man pille computerens harddisk ud og aflæse alt data via en anden computer, igen uden at bruge en kode.

Men er det blot dine dokumenter der er i fare?

Nej, desværre ikke. Har du autologin/Husk min kode på din Facebook-konto, e-mail, dropbox og lignende, kan disse informationer stjæles lige så nemt.
Jeg har prøvet at lave en lille demonstration, der viser hvor nemt det kan være.

Men der er heldigvis noget du kan gøre

Hvis du kryptere indholdet af din computer, lukker du for alt andet end "hoveddøren", hvor du har din sat din kode på. Det vil derfor ikke længere være muligt at snyde sig vej ind, hverken via en USB-Pen, CD-ROM, at skille computeren ad eller andre ting.
Man kan vælge at kryptere enkelte elementer, så som dokumenter og billeder. Men kun ved at kryptere hele computeren, kan du være helt sikker.

Heldigvis er det ret nemt at kryptere sin computer!

Der ligger nogle indyggede værktøjer på mange systemer i dag, jeg vil lige gennemgå dem.
På linux-systemer, kan man bruge LUKS. Det fungere rigtigt godt, du skal blot være sikker på at din SWAP også er krypteret, så du ikke risikere at koden ender der, har du eksempelvis sætter den i stand-by.
Har du en MAC, skal du aktivere File-Vault. Herefter klarere computeren faktisk hele arbejdet for dig.
På en Windows-computer er der i nogle versioner noget der hedder BitLocker, som burde virke lige som File-Vault. Min erfaring er dog at det er meget besværligt at bruge og at man ikke rigtigt kan have tillid til om det rent faktisk virker. Bruger du Windows, vil jeg i stedet anbefale at man bruger ESET DESLock+, som går ind og ligger et "ekstra lag" uden om Windows og beskytter din data på den måde.

Er der ingen ulemper ved at kryptere?

Jo, nogle få, det er derfor at alt ikke er krypteret som udgangspunkt. Lad mig opremse dem her.
1) Hvis du glemmer din kode, får du aldrig adgang til dine data igen (hvor du før kunne få en professionel til at gå ind af "bagdøren")
2) Tidligere kunne det gøre computeren en smule langsommere, men med moderne CPU'er der har AES-NI indbygget, er der ingen mærkbar forskel.
3) Dine data kommer til at fylde lidt mere, specielt små filer kommer til at fylde mere. Lad mig tage eksemplet - du har 2 spillekort, uanset hvor meget du blander dem, kan du gætte den oprindelige rækkefølge på 2 gæt, derfor er du nødsaget til at tilføje alle de andre kort også, for at skjule de oprindelige -. Du kan tænke det samme om et tekst-dokument med ganske få bogstaver. Et stort billede, har derimod masser af tal og bogstaver der kan blandes, uden at man tilføjer ret meget mere. Mine erfaringer siger at på en alm. computer, kommer dataen i gennemsnit til at fylde 10% mere.

Men fordelene gør nemt op for ulemperne!

Når du lige om lidt går i gang med at kryptere hele din computer, skal du ikke være nervøs hvis det tager lang tid.
Første gang du sætter den i gang, kan det godt tage nogle timer. Herefter vil du ikke mærke en forskel.

Er din e-mail-konto sikker?

Som udgangspunkt tænker du måske at dine e-mails er sikre, da de er beskyttet bagved en kode som er super svær at gætte. Den del har du sikkert også ret i, men i dette indlæg vil jeg ikke bruge tid på at skrive om sikkerheden på din webmail eller lignende klient.

For hvem kan læse dine mails udover dig?

Udover afsenderen og modtageren af en e-mail, kommer beskeden nemlig i hænderne på flere forskellige undervejs. Hvis du ikke har gjort dig nogle tanker om det, får du lidt at tænke over lige om lidt.

Lad os starte fra en ende af.

Du skal logge ind på din webmail for at skrive en e-mail til din mor:
Har du her muligheden for at trykke på "Glemt adgangskode" og få en ny kode? Hvis det er tilfældet, ligger alle dine mails ukrypteret på din udbyders servere (eller din udbyder har i hvertfald en 'ekstra nøgle'). Det kan eksempelvis være ved Google, Yahoo eller Microsoft. Dette er meget normalt, men du skal være opmærksom på at din udbyder i sådanne tilfælde også vil kunne læse dine mails (og nogle gør det også, det er sådan at Google kan målrette reklamer til dig).
Det er derfor vigtigt at du enten vælger en e-mail-udbyder som du har tillid til eller en udbyder som lagrer alle dine mails krypteret, uden selv at have nøglen til at dekryptere (Se eksempelvis protonmail.com).
Udover at du skal have tillid til at din udbyder ikke læser dine e-mails, så skal du også have tillid til at de har styr på sikkerheden. For i det tilfælde at din udbyder bliver hacket, vil hackeren også have adgang til dine e-mails. Ved en udbyder der kryptere alt, vil en hacker ikke kunne læse dine e-mails.

Hvorfor kryptere alle udbydere så ikke alle deres e-mails? Der er to ganske simple årsager. Den første er at teknologien er relativt ny og det er derfor ganske få udbydere som har udviklet systemer til det. Den anden grund er at hvis du glemmer din egen kode, så vil alle dine e-mails gå tabt (udbyderen har jo ikke længere en 'ekstra nøgle').

Lad os komme videre. Du har nu logget ind på din webmail og er opmærksom på om din udbyder kan læse dine e-mails.
Du sender nu en e-mail til din mor. E-mailen kommer nu fra din udbyder over til din mors udbyder, men er du opmærksom på om den kommer direkte derover eller om den tager nogle stop undervejs?
Når man modtager en e-mail, kan man i noget der hedder 'headeren' (det er en slags konvolut) se hvilken vej e-mailen har taget.
Her er et eksempel hvor jeg har sendt fra protonmail.ch til &Rasmussen ApS's ene mailserver:

Received: from mail2.protonmail.ch (mail2.protonmail.ch [185.70.40.22])    (using
 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))    (No client
 certificate requested)    by gw.ogr.dk (Postfix) with ESMTPS id 41KDRl6DlYzNkZ5
    for ; Mon,  2 Jul 2018 19:15:56 +0200 (CEST)

Som man kan se hvis man har forstand på det (det er svært at læse for de fleste, så jeg har simplificeret den), har denne e-mail eksempelvist være en tur forbi en mellemliggende server (typisk for at tjekke om det er en spam-e-mail).
I dette tilfælde skal man være opmærksom på om de mellemliggende servere også er under din- eller modtagerens udbyders kontrol. For hvis ikke, skal du jo også have tillid til endnu en udbyder. Da alle de mellemliggende servere, reelt kan lave en kopi hvis de ønsker det.

Noget andet som du også skal være opmærksom på, dette er også selvom der ikke er nogle mellemliggende servere. Det er om selve transporten af e-mailen er krypteret. For hvis den ikke er det, kan der være rigtig mange personer som kan lave en kopi af e-mailen og du har ingen chance for at se hvem eller hvor mange.
Du ser det ved at der skal stå TLS, TLSv1.2 eller lignende besked (se evt. mit indlæg om https, det er nemlig samme princip).

Nu er e-mailen fremme og hvem der så kan læse den - udover den tiltænkte modtager - afhænger af hvem modtageren benytter som udbyder. Præcis som det jeg skrev om i starten om din egen udbyder.

Hvordan beskytter jeg så mine e-mail fuldstændigt ?

Udover at have en rigtig god kode, som du sikkert allerede har, skal du altså vælge din udbyder med omhu.
Men der er en ting mere som du kan gøre, der er utroligt effektivt. Men det kræver at både du og modtageren har denne mulighed.

Hvis du kryptere selve indholdet af en e-mail, vil indholdet blot ligne volapyk for en tredjepart, som skulle komme i besidelse af den.
Hvordan gør man så det? Det er ikke altid nemt, selvom det måske kommer til at lyde som det.
I dette indlæg vil jeg skrive om en metode der hedder PGP (Pretty Good Privacy).

Når man har noget krypteret indhold, er der som udgangspunkt to 'nøgler' til indholdet. En nøgle (offentlig nøgle) som udlukkende kan låse og en som udelukkende kan låse op (privat nøgle).
Den første nøgle (den offentlige, som kun kan låse), deler man gerne kopier af ud til andre (se eksempelvis min her) og den anden holder du meget tæt.
Så når du gerne vil sende en krypteret e-mail til din mor, skal du altså bruge hendes offentlige nøgle, så du kan 'låse' den inden afsendelse. Ligesom at hun skal bruge din, hvis hun vil svare krypteret tilbage til dig. På den måde ved du, at det kun er hende som kan læse e-mailen, hvis hun da ellers ikke har delt sin private nøgle med andre.

Dette er som sagt lidt besværligt, da både afsender og modtager skal understøtte PGP, men også fordi at man skal have kontakt på forhånd, for at udveksle offentlige nøgler.
Men tilgengæld giver det en utrolig god beskyttelse!

 - Jeg håber at du blev lidt klogere på hvor sikker din e-mail-løsning er og at du har valgt din udbyder med omhu. Men husk på at intet er 100% sikkert.