Det råder minst sagt skakiga tider på nätet. Vi har de senaste veckorna rapporterat om allt kraftfullare överbelastningsattacker som utnyttjar oskyddade enheter i det så kallade sakernas Internet. Den hittills kraftigaste var en attack mot den franska molntjänstleverantören OVH – en attack som nådde hisnande 1Tbps, vilket var nästan dubbelt upp mot det tidigare rekordet. I fredags var det så dags igen, och den här gången slog attacken med än mer förödande kraft mot en mängd populära sajter och tjänster. Bland de drabbade hittar vi bland andra Twitter, Reddit, Spotify och New York Times.

Själva attacken riktades dock mot det amerikanska företaget Dyn, och mer specifikt mot den DNS-infrastruktur som Dyn tillhandahåller. DNS står för Domain Name System och är en förutsättning för att webbplatser ska kunna fungera som de gör. DNS ansvarar för att översätta ”människovänliga” webbadresser som binero.se till numeriska, maskinläsbara IP-adresser. Varje gång du skickar ett e-postmeddelande eller besöker en webbplats sänds en DNS-förfrågan om uppslagning till Internetleverantören för att dirigera trafiken rätt. Attacken var således inte riktad mot de många stora webbplatserna som påverkades, utan mot den infrastruktur som de är beroende av för att fungera. Att just Dyn attackerades är ingen slump och förklaringen är enkel– de har väldigt stora aktörer som kunder.

Samhällsviktiga sajter nere i Sverige

Initialt gick flera av sajterna att nå i Sverige och andra delar av Europa, men senare under fredagen drabbades ett antal svenska webbplatser, däribland regeringens webbplats, de samhällsviktiga msb.se (myndigheten för samhällsskydd och beredskap) och krisinformation.se. Även biojätten SF:s biljettsystem låg nere under flera timmar, men det är inte helt bekräftat att det berodde på attacken mot Dyn. Överlag är det viktigt att vi poängterar att problemen i Sverige uppstod i efterdyningarna av den stora attacken i USA, och alltså inte på att någon riktade kanonen mot just svenska webbplatser.

Det handlar med andra ord om att det uppstår en slags domino-effekt där webbplatser som har en relation med den DNS-server som går ner, själva slutar fungera efter ett tag. Helt enkelt för att de inte längre kan utbyta den information som krävs. De svenska webbplatser som drabbades använde alltså Dyns DNS-tjänst, och när den fick problem drabbades även webbplatserna (även om det tog lite längre tid innan det märktes här).

Dyn skickade efter några timmar ut ett pressmeddelande om attacken, som de benämner som ”historisk” i sin omfattning. Man förklarar att man fått jobba enormt hårt i sina försök att stå emot attacken. Dyn berättar att attacken kom i tre vågor. Den första, som man ganska snart insåg inte liknade de DDoS-attacker man kontinuerligt utsätts för, slog ut åtkomsten till webbplatserna för användare på USA:s östkust. När man väl lyckades återställa tjänsten drabbades man av en andra våg, som nu var av mer global karaktär. Troligen var det den som fick efterdyningar i Sverige och andra delar av världen. Den tredje attackvågen menar Dyn att man lyckades avvärja förhållandevis effektivt.

Man betonar också att man trots attackens skala inte under någon tidpunkt drabbades av en total nedtagning, utan att webbplatserna till exempel gick att nå från västkusten samtidigt som de låg nere på östkusten. Dock garderar man sig med att säga att att alla användare kan ha upplevt en betydligt längre laddningstid på webbplatserna som en följd av attacken. Totalt beräknas minst 1200 unika domäner ha drabbats av attacken.

Ännu en attack via uppkopplade saker

Det kommer inte som en överraskning att även den här attacken följer i samma spår som den trend vi sett de senaste månaderna – det vill säga att angriparna utnyttjade otaliga uppkopplade enheter som står öppna eller dåligt skyddade. Till exempel används övervakningskameror, routrar, skrivare och till och med glödlampor. Dyn pekade omedelbart på att botnätet byggts med hjälp av det skadliga programmet Mirai, som vi också rapporterade om i vårt förra inlägg.

Mirai används för att söka upp och infektera just oskyddade enheter som kan användas vid överbelastningsattacker. Nyligen släpptes dessutom källkoden till Mirai fri på diverse hackerforum, vilket dessvärre lär borga för att allt fler vill testa hur enkelt de kan sänka webbplatser med hjälp av dessa enheter. Så här skriver Dyn om vad man hittills vet om attackens omfattning, utan att nämna några maxhastigheter eller liknande kring attacken:

”Vid det här laget vet vi att det var en sofistikerad DDoS-attack som omfattade tiotals miljoner IP-adresser. Vi genomför en grundlig orsaken och kriminalteknisk analys, och kommer att rapportera vad vi vet på ett ansvarsfullt sätt. Arten och källan till attacken är under utredning, men det var en sofistikerad attack över flera angreppsvägar och Internetplatser. Vi kan, med hjälp av analyser från Flashpoint och Akamai, bekräfta att källan för attackens trafik var botnät bestående av enheter som smittats av Mirai. Vi observerade att tiotals miljoner diskreta IP-adresser som är associerade med Mirai-botnät var en del av attacken.”

Går det att skydda sig mot DDoS?

Vad kan då en enskild webbplatsägare göra för att inte drabbas vid en en attack av den här magnituden? Det enda vettiga svaret för alla som har kritisk information som alltid måste vara tillgänglig, är att inte lägga alla sina ägg i samma korg. Med andra ord inte enbart förlita sig på en enda Anycast-leverantör för DNS-hanteringen, vilket nu alltså var fallet för de webbplatser som drabbades. Något som alltså hade kunnat undvikas med ett mer proaktivt säkerhetsarbete.

Det nog illa att en myndighet som MSB inte själva tagit tag i denna sårbarhet – men det hela ser ännu sämre ut när det dessutom avslöjas att myndigheten faktiskt har varnats för precis det här redan för fyra år sedan. Flera experter på säkerhet och DNS, från flera olika företag, har skickat brev till MSB för att påtala risken med att bara ligga hos en leverantör. Till exempel berättade säkerhetssajten kryptera.se under helgen att Stephan Lagerholm på Secure64 och Torbjörn Eklöv på Interlan, redan 2012 tillsammans författade ett brev där man ifrågasatte MSB:s val av leverantör för DNS.

Använd flera leverantörer

Kjetil Jensen, product specialist för hosting på Binero, skrev även han vid den tidpunkten ett brev till MSB för att påtala risken. Han anser, i likhet med i princip varje säkerhetsexpert som uttalat sig om attacken, att det är obegripligt att stora och viktiga aktörer förlitar sig på en enda leverantör, inte minst då DNS-systemet är utformat för att man ska kunna ha flera olika leverantörer.

– Det är förvånansvärt att man inte tagit tag i det under så många år, säger han, och konstaterar efter en snabb sökning att MSB under lördagen förvisso gick över till nya namnservrar, men att man fortfarande ligger hos en enda leverantör, även om det bör sägas att den nya leverantören Netnod får betraktas som ett avsevärt säkrare val. (Och inte nog med att MSB:s säkerhetsarbete i bästa fall kan kallas reaktivt, man missade dessutom att föra över DNSSEC till den nya namnservern.)

– Vår rekommendation är absolut att välja ytterligare en Anycast-leverantör, säger Kjetil Jensen och förklarar att Binero dels använder UltraDNS från Neustar för Anycast, och utöver det också har kompletterat med en egen lösning som kör en annan arkitektur för att få en till hög nivå av redundans.

– Genom att alla som kör vår namntjänst omfattas av detta, kan skadeverkningarna vid en attack minskas rejält. Det finns också en premiumtjänst där kunderna erbjuds ett kraftigt SLA-avtal (Service Level Agreement) samt får ta del av samtliga noder i vårt nätverk som just nu är utspridda på 31 platser globalt i världen.

På kartan nedan kan du själv se hur Bineros noder är geografiskt placerade:

Missbruk av domäner har länge varit ett allvarligt problem. Faktum är att problemet förmodligen är större än de flesta skulle våga gissa. Bara mellan första och tredje kvartalet förra året identifierade Anti-Phishing Work Group över 630 000 webbplatser som används enbart för nätfiske. Majoriteten hade registrerats i USA.

Nu har en grupp bestående av säkerhetsforskare från bland annat Princeton University och Google tagit fram ett verktyg som automatiskt ska kunna söka upp domäner som registreras i skadliga syften. De tekniska dokumenten bakom verktyget som döpts till det passande PREDATOR (Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration) presenterades vid förra veckans ACM Conference on Computer and Communications Security, som ägde rum i Wien, Österrike. Forskarna beskrev verktyget som en vidareutveckling av dagens system för domäners ”rykte” där en domäns användning först observeras och sedan tilldelas poäng baserat på vilken typ av information som lagras och en rad andra faktorer.

Tanken med PREDATOR är att utrusta operativ it-säkerhetspersonal och domänregistrarer med förmågan att göra en sådan ryktesbedömning redan innan själva domänregistreringen sker genom att observera och utvärdera så kallade ”time of registration”-beteenden. Syftet är helt enkelt att göra det svårare för cyberkriminella att registrera webbsidor för att skicka spam, lansera nätfiskekampanjer och överbelastningssattacker eller andra skadliga aktiviteter. Cyberbrottslingar registrerar rutinmässigt tusentals domäner varje dag just för sådana ändamål.

Snabbt upptäcka varningssignaler

– Vår intuition har alltid varit att sättet som skadliga aktörer använder onlineresurser på, skiljer sig fundamentalt från det sätt legitima aktörer använder dem på. Vi letade därför efter dessa varningssignaler som gör att ett domännamn automatiskt kan identifieras som ett dåligt domännamn, sa Nick Feamster, tillförordnad chef för Princetons centrum för informationsteknologi, i samband med presentationen av PREDATOR. Han förklarade också att arbetet bakom verktyget till stor del bygger på tidigare forskning som varit inriktad på utvärdera DNS-uppgifter redan innan registrering och därmed kunna förutspå framtida DNS-trafik – en teknik som Verisign patenterade redan 2012.

Tidiga utvärderingar av verktyget efter användning på registreringsloggar av .com och .net-domäner under en femmånadersperiod visade att det var möjligt att uppnå en 70-procentig upptäcktsnivå med en falsk positiv-nivå på endast 0,35 procent. Resultaten tyder på att verktyget ger ett effektivt och tidigt första försvar mot DNS-domänmissbruk. Framförallt upptäcks de skadliga domänerna oerhört mycket snabbare än via det DNS-svartlistningssystem som oftast används idag. När PREDATOR finns ute för allmänt bruk är oklart, men forskarna har ambitionen att lansera verktyget så snart det bara är möjligt.

Vi kan väl få utropa ett ödmjukt ”snabba på”?

Nätjätten Akamai har släppt sin State of the Internet-rapport för årets tredje kvartal. Där framgår en hel del intressanta trender. Klart är bland annat att antagandet av IPv6-adresser får allt mer vind i seglen, även om det ser väldigt olika ut i olika delar av världen. I topp hittar vi Belgien med det senaste årets ökning på drygt 3 procent nu ligger på 39 procent i IPv6-användning. Därefter följer Grekland och Tyskland.

USA stod för en kraftig ökning med hela 13 procent och landade på totalt 21 procent, tack vare en enorm tillväxt i mobila IPv6-uppkopplingar, främst via Verizon och T-Mobile. I amerikanska trådlösa nätverk är IPv6-användandet nu uppe i över 50 procent.

Tyvärr kan vi återigen konstatera att utvecklingen går trögt i Sverige. I slutet av 2015 låg vi på under 3 procent, och inte mycket har hänt sedan dess. Vilket förstås är oroväckande med tanke på att IPv4-adresserna håller på att ta slut. Dessutom fattades ett beslut om att alla svenska myndigheter skulle ha gått över till IPv6 senast 2014 – något som med andra ord inte har skett.

Hög bredbandshastighet i Sverige

Akamais rapport lyfter även fram tillväxten av höghastighetsbredband. Även här hittar vi glädjeämnen. Det senaste året har den genomsnittliga hastigheten ökat med 21 procent och ligger nu på 6.3 Mbps. Högst genomsnittlig hastighet har Sydkorea på 26,3 Mbps, följt av Hong Kong och Norge. Sverige tar en hedrande fjärdeplats med en genomsnittlig hastighet på prick 20 Mbps. I botten hittar vi ett flertal länder i Nordafrika och Mellanöstern, med Jemen som enda land med en genomsnittlig hastighet som understiger 1 Mbps (0,7 Mbps).

Högst genomsnittlig så kallad peak-hastighet hittar vi i Singapore med hela 162 Mbps, vilket placerar landet långt före Hong Kong och Sydkorea som är tvåa och tre med 116 respektive 114 Mbps. Sverige hamnar utanför topp 10. Den högsta genomsnittliga mobilanslutningshastigheten var 23,7 Mbps i Storbritannien, medan den lägsta var 2,2 Mbps i Venezuela.

Sammanfattningsvis kan vi konstatera att vissa delar av världen fortfarande går trögt, att Sverige står sig väl på många områden av utvecklingen (men inte så väl som vi gärna vill skryta med) och att asiatiska länder springer allra snabbast framåt.

Läs hela Akamais rapport här (pdf).

En ny nätfiskekampanj riktad mot Gmail-användare är enligt säkerhetsexperter både smart konstruerad och för många dessvärre också väldigt svår att upptäcka. Men som tur är finns det några saker du kan hålla utkik efter.

Attacken inleds med att en Gmail-användare får ett mail som ser ut att komma från någon de känner. Brevet har en till synes okej bilaga bifogad (den tycks passera säkerhetskontroller). Om mottagaren klickar på bilagan öppnar webbläsaren ett nytt fönster där användaren uppmanas att logga in på vad som ser ut att vara Gmail, men som givetvis är en scam-sida som syftar till att stjäla användarens inloggningsuppgifter. Angriparen använder därefter en sofistikerad automatiseringsfunktion för att omedelbart logga in på användarens konto.

När de väl tagit sig in på offrets konto, börjar de samla in information för att lansera sekundära angrepp. Först kommer de leta efter bifogade filer som deras offer tidigare skickat till sina kontakter samt relevanta ämnesrader från tidigare sänd e-post. På så sätt de börjar samla in e-postadresser till offrets kontakter. Dessa blir i sin tur nya mål för angriparna, och det är det som gör attacken så effektiv – det ser ut som om du får ett mail från en kontakt du litar på och i samma stil och med liknande innehåll som denne vanligtvis brukar skicka.

En attack i flera steg

Mailen som skickas innehåller en miniatyrversion av den bifogade filen och när den klickas öppnas den inte i Gmails förhandsgranskare, utan istället öppnas alltså en relativt trovärdig inloggningssida för Gmail. Och ju fler som går i fällan, desto snabbare sprids nätfisket vidare. En annan grundläggande anledning till att kampanjen tycks fungera så effektivt är att den istället för att skicka offret vidare till en infekterad sida, som potentiellt ofta automatiskt kan blockeras av Googles Safe Browsing-system (eller upptäckas av en vaksam användare), laddar den bifogade filen in en hel webbsidas kod direkt i webbläsarens adressfält. Den största delen av koden döljs för användaren, som bara ser följande i adressfältet:

Och, ja, att se ”https://accounts.google.com” någonstans i adressfältet räcker för att väldigt många, och inte bara de allra mest ouppmärksamma, ska lita på att de faktiskt befinner sig på en regelrätt Google-sida.

Så skyddar du dig

Det är som sagt en mycket sofistikerat upplagd attack, med flera dimensioner. Men det finns som tur är några enkla sätt att skydda sig från den och liknande nätfiske. Genom att aktivera tvåfaktorsautentisering i Google är det i princip omöjligt för en angripare att ta sig in på ditt konto utan att lägga beslag även på den andra nyckel, exempelvis din smartphone eller en usb-sticka med krypteringsnyckel. Ett annat råd är givetvis att leta efter låsikonen intill adressen i webbläsarens adressfält, det indikerar att du befinner dig på en SSL-säkrad server. Även om en del nätfiskare börjat lägga till sig själva som värdar på SSL-servrar är det något du alltid ska kika efter. Och huvudregeln är givetvis att aldrig lämna ifrån dig någon viktig information på sajter som inte är krypterade.

Slutligen, om du misstänker att du redan gått på den här bluffen ska du givetvis så fort som möjligt byta lösenord, spana därefter in ditt Gmail-kontos aktivitet och inloggningar och avsluta alla som inte är du själv.

Vi vet att ni är många som längtat efter en hostad Exchange-lösning och därför är vi glada att nu kunna erbjuda en egen skräddarsydd lösning för det allra vassaste på e-postmarknaden – Exchange 2016!

Nu kan du, oavsett vilket grundpaket du har i dagsläget, enkelt aktivera stöd för hostad Exchange i vår miljö. Kostnaden per konto är 59 kr i månaden inkl. moms och i det ingår 10 GB utrymme, full support och all funktionalitet du kan behöva. Vi ger dig också en unik lösning där du dessutom kan välja att kombinera Exchange och din ”vanliga” e-post på en och samma domän. Det innebär att du enkelt kan välja ut ett antal av dina e-postkonton och köpa Exchange-licenser enbart för just dessa, medan du fortsätter använda den e-posttjänst som ingår i våra webbhotellskonton för övriga – du måste alltså inte köpa Exchange åt alla om du inte vill eller behöver det! Detta underlättar också vid en övergång till Exchange då ditt “gamla” e-postkonto finns kvar i bakgrunden och du kan enkelt kopiera över de mail du behöver i en valfri e-postklient via IMAP.

Genom att välja just Bineros unika hostade Exchange-lösning får du dessutom bland annat tillgång till vår kompetenta och svensktalande support. Det är ett dessutom ett utmärkt val för dig som är mån om säkerhet och integritet, då backup och lagring sker på våra servrar placerade i Sverige. Du får också redan från start hög säkerhet med antivirus och spamskydd. För samarbete mellan kollegor blir Exchange garanterat ett lyft med bland annat möjligheter till delade kontakter, adressböcker och kalendrar. Givetvis kan du komma åt allt via webbaccess eller med hjälp av de skräddarsydda mobilapparna för iOS/Android.

Som om det inte vore nog ger vi dig halva priset på din första faktura (3 eller 12 månader) Beställer gör du inne i din kontrollpanel under Administration -> Extratjänster. Läs mer om fördelarna och om hur tjänsten fungerar rent tekniskt här.

Erbjudandet gäller t.o.m 2016-03-31.

De flesta känner idag till att det är en god idé att skydda trådlösa nätverk med krypterade lösenord. För företag är det förstås extra viktigt att nätverken inte står helt vidöppna för vem som helst att ansluta sig till (ofattbart nog förekommer det ändå i högre utsträckning än ni anar). Men det finns flera andra säkerhetsrisker som du bör ha koll på för att minimera risken att du råkar ut för intrång. Här kommer 7 bra tips!

1. Säkra all nätverkshårdvara fysiskt

Du kan implementera de bästa säkerhetsprotokollen i världen, och de kan ändå lätt kringgås om någon obehörig får sig fysisk tillgång till dina trådlösa åtkomstpunkter eller andra nätverkskomponenter. Till exempel, om du har en accesspunkt som står på ett bord i ett olåst rum, kan någon komma in som besökare och med en enda knapptryckning, snabbt återställa den till fabriksinställningarna vilket kan öppna upp oskyddad åtkomst till nätverket. Eller om du till exempel har en öppen nätverksport i receptionen eller väntrummet, kan någon snabbt koppla in en egen accesspunkt, att ge sig själv oskyddad eller till och med säker trådlös åtkomst till nätverket.

Se till att de viktigaste nätverkskomponenterna, inklusive modem, routrar och switchar, är säkrade i ett låst rum eller garderob, och att resten av nätverket och komponenterna är fysiskt säkrade och utom räckhåll, särskilt i allmänna delar av byggnaden som många kommer åt. Överväg även att inaktivera oanvända vägg- och switchportar.

2. Använd inte default-SSID eller lösenord

Detta kan äventyra säkerheten på ditt trådlösa nätverk. SSIS står för Service Set Identifier och är alltså själva namnet på ditt nätverk. Trådlös utrustning levereras med ett default-namn och om du inte ändrar denna kan det öka risken att någon obehörig ska kunna knäcka ditt lösenord. Det beror på att vissa typer av så kallad cracking förlitar sig på SSID och genom att använda default-inställningar blir knäckandet lite lättare.

Välj istället noggrant dina egna namn och lösenord. Och här kommer nästa brasklapp, välj helst inte ett SSID som avslöjar vem det tillhör eller var det är placerat (typ ”Binero våning 2”) då en angripare som letar efter mål i en byggnad tenderar att föredra att på förhand veta vilka han slår till mot. Även om din router eller accesspunkt ser ut att ha till synes unika och oidentifierbart SSID och MAC-adress så är det sällan fallet. Gör inte heller misstaget att välja för lätt lösenord, även om det underlättar för dina anställda. Du gör er alla en björntjänst.

3. Dela inte lösenord för nätverket

Det här främst ett problem för nätverk som använder privatanvändar- eller PSK-läget (Pre-Shared Key) för WPA eller WPA2-säkerhet. I en PSK-setup, använder alla samma lösenord för att ansluta till det trådlösa nätverket, med andra ord är det inte ett bra sätt att kontrollera enskilda användares åtkomst. Om till exempel en anställd lämnar företaget eller om en trådlös enhet som konfigurerats med det aktuella lösenordet blir stulen, kan den tidigare anställde eller den som stulit utrustning lätt komma åt nätverket. I den bästa av världar ändrar du givetvis lösenord efter en stöld, men många glömmer tyvärr bort det. Att missa att ta bort tidigare anställdas privilegier är dessvärre ännu vanligare.

Istället bör du alltid använda enterprise- eller 802.1X-läge för WPA eller WPA2-säkerhet (och du ska alltid använda WPA2). På så vis tilldelas varje användare sina egna inloggningsuppgifter för nätverket, vilket gör det lätt att stänga ner åtkomsten för enskilda användare eller enheter.

4. Undvik helst WPS PIN-autentisering

WPS (Wi-Fi Protected Setup) är en funktion som ingår i de flesta trådlösa routrar och i många bättre accesspunkter. WPS är tänkt att göra säkerheten i nätverk lättare att ställa in och hantera, men funktionen kan dessvärre även öppna några allvarliga säkerhetsrisker. En sårbarhet i PIN-autentiseringsmetoden för WPS gör det enkelt att knäcka den 8-siffriga PIN-koden och komma över lösenord när det privatanvändarläget för säkerhet (som beskrivs i punkt 3) används.

Denna sårbarhet är en annan anledning till varför företag bör använda enterprise-läget på WPA2-säkerhet, eftersom WPS-funktionen inte fungerar med det läget. Om detta inte är möjligt, bör du överväga att inaktivera WPS på dina trådlösa routrar eller accesspunkter. Säkerhetshålen i WPS PIN-funktionen är förvisso åtgärdade på de allra flesta nya enheter, men vill du vara på den säkra sidan ska du undvika WPS helt i din företagsmiljö.

5. Förhindra att användare ansluter till angränsande wifi-nätverk

En säkerhetsrisk som många inte tänker på är användare som av misstag ansluter till angränsande wifi-nätverk, trots att de befinner sig på kontoret. Problemet med detta är att bärbara datorer och andra trådlösa enheter som de anställda ansluter till andra nätverk blir än mer sårbara, och deras data kan potentiellt ses av användare på de andra nätverken.

Anställda eller deras trådlösa enheter kan också luras att ansluta till andra nätverk om någon sätter upp en falsk accesspunkt med samma namn som företagets befintliga, och skapar ett så kallat honeypot-nätverk för att utföra man-in-the-middle-attacker. Dessa typer av attacker kan förhindras genom att övervaka accesspunkterna i nätverket och använda serververifiering med enterprise-läge för WPA2.

Det finns förstås också situationer där användare medvetet ansluter till andra nät, till exempel närliggande öppna hotspots eller gratis wifi på till exempel caféer och hotell. Ibland kan de göra det för att få snabbare uppkoppling eller för att inte behöva använda sin surfpott, och ibland till och med för att få obegränsad åtkomst till internet (om ditt nätverk till exempel använder innehållsfiltrering). Det problemet kan bara avhjälpas genom en kombination av bra teknik (dvs inte ha ett långsamt nät) och att utbildning till dina användare om olika risker. I allra värsta fall, om det handlar om mycket känslig data, kan det bli tal om att blockera användarnas möjligheter att ansluta på vissa sätt, eller till vissa typer av nät.

6. Var vaksam även för interna hot

Oftast har du huvudfokus på att du måste kryptera ditt nätverk för att skydda från externa hot, men du måste ha hoten inifrån i åtanke. Vid användning av privatanvändarläget för WPA eller WPA2, kan vem som helst med lösenordet övervaka den trådlösa trafiken och de andra användarna. Trafiken som kan samlas in med hjälp av en nätverksanalysator (som till exempel Wireshark), är i råformat och därför svår för de flesta att förstå, men det finns lösenords-sniffers och lättanvända verktyg för sessionskapning som gör det relativt enkelt för vem som helst att komma över informationen.

Lösenords-sniffers listar vanligtvis användarnamn och lösenord för alla inloggningar i nätverket som sker via klartext, såsom okrypterade webbplatser via HTTP, e-postservrar utan kryptering och filöverföringar via FTP. Verktyg för sessionskapning kan till exempel genomsöka nätverket efter användare som loggar in på hemsidor som inte krypterar hela inloggningsprocessen. Därefter kan verktygen leta efter en viss cookie som genererats av webbplatsen för att få tillgång till användarens session. På så vis kan den som vet vad den gör med några klick komma åt en annan användares konto utan att veta dennes lösenord.

Återigen är enterprise-läge på säkerheten din räddare, då den inte tillåter användare i ett nätverk att se andra användares trafik. Med andra ord ett enkelt sätt att hindra användare från att sniffa lösenord och kapa sessioner.

7. Kontrollera inställningar för gästnätverk

De flesta trådlösa routrar har en gästfunktion utformad för att ge besökare tillgång till endast Internet och kanske utvalda delar av det lokala nätverket, samtidigt som det skyddar ditt privata nätverk och datorerna i det. På enterprise-klassade routrar, switchar och accesspunkter kan du emulera denna funktion genom att konfigurera virtuella LAN och flera SSID.

Men det händer inte sällan att inställningar i gästnätverket blir fel, särskilt om utrustningen ställs in en gång vid uppsättning och sedan bara får leva sitt eget liv. Därför är det ett gott råd att både dubbelkolla och trippelkolla att det privata nätverket verkligen är säkert när någon är uppkopplad på gästnätverket. Testa att med jämna mellanrum själv ansluta till gästnätverket, surfa på nätet och köra några pingar för att säkerställa att allt fungerar som planerat och att du inte kan komma åt något du inte borde komma åt.

En ny typ av nätfiskekampanj sprider sig som en löpeld över nätet och alla med ett Gmail-konto kan drabbas. Angreppet bygger på att offret skickas en till synes oskyldig länk att dela ett Google Docs-dokument, som ser ut att komma från någon som hen känner och förmodligen litar på. Men om offret klickar på länken till det falska dokumentet skickas hen vidare till en sida med en uppmaning om att godkänna delningen via en falska Google- Docs-app, vilket dessvärre ger angriparna kontrollen över offrets Gmail-konto, som förstås omgående används för att sprida hacket vidare. Själva angreppssättet är inte nytt, men eftersom det använder Googles egna Apps-ramar så ser det väldigt pålitligt ut och därför verkar det också fungera ovanligt bra jämfört med många andra försök till nätfiske.

Den typ av skada som en hacker kan göra med åtkomsten att läsa, skicka och ta bort dina e-postmeddelanden, är förstås enorm. Inte minst då de flesta av dina andra konton brukar använda din Gmail som e-postadress för att bekräftelse och kontoåterställning. Med andra ord öppnar det teoretiskt för att angripare även tar kontroll över till exempel ditt Apple-, Amazon-, Facebook- eller Twitter-konto. Angreppet verkar dessutom inte bara riktas mot privata Gmail-konton, utan även företag som använder Googles e-posttjänster är i farozonen.

Givetvis är den främsta uppmaningen att inte klicka på länken om du misstänker att den är falsk. Är du på jobbet bör du omedelbart uppmärksamma den IT-säkerhetsansvarige – risken är att många fler på din arbetsplats kan vara drabbade. Mailen kan som sagt vid en första anblick vara svåra att skilja från fullt legitima, inte minst eftersom de på alla sätt ser ut att komma via Google-tjänster. Det finns dock några saker att hålla uppsikt över. På screenshots som delats i sociala medier ser vi hur mailen tycks vara sända till den suspekta adressen hhhhhhhhhhhhhhhh@mailinator.com och därefter lagt in dig som ytterligare mottagare.

Här har en Twitter-användare postat en kort video på hur angreppet går till:

Google har tagit fram flera nya säkerhetsfunktioner och förbättringar för att skydda Gmail-användare mot e-postmeddelanden från nätfiskare. De nya funktionerna är avsedda för användare av de olika G Suite-paketen (tidigare Google Apps for Work), som är avsett för företag, utbildningsinstitutioner och andra små och stora organisationer och som innehåller en mängd olika Google-tjänster och produkter (Gmail, Kalender, Google+, Drive med flera). Tyvärr har spam och nätfiske, trots Google tidigare säkerhetsåtgärder, länge varit ett ihållande problem för användarna. För bara någon vecka sedan spreds ett omfattande angrepp via nätfiske i Gmail-miljön. Nu tar sökjätten ytterligare krafttag och förlitar sig i ännu högre grad på maskininlärning för att snabbare upptäcka och varna för nätfiske.

Google menar i sin förklaring av den nya tekniken att nätfiske, sett till helheten, i princip alltid följer ett förutsägbart mönster. Därför har man låtit säkerhetsexperter utveckla en helt ny algoritm som flaggar och försenar potentiellt misstänkt e-post. Innehållet i dessa e-postmeddelanden körs sedan genom ytterligare kontroller baserat på purfärska realtidsuppdateringar i Googles spamfilter och Safe Browsing-teknik, som testar tillförlitligheten av eventuella länkar som ingår i e-postmeddelandet. Leveransen av sådana e-postmeddelanden kan försenas med upp till fyra minuter, och administratörer rekommenderas inte att använda den här funktionen istället för anti-malware/phishing-programvara, utan snarare tillsammans med det.

En annan viktig ny säkerhetsåtgärd är att Gmail kommer att varna för oavsiktlig delning av information genom dolda kontakter som lagts till i CC- eller BCC-fältet – något som i värsta fall kan leda till dataförlust och att obehöriga får full insyn i känslig konversation. Det är inte ovanligt att angripare försöker lura sina offer genom att utge sig för att vara någon offret litar på, vilket inte alltid är lätt att upptäcka om inte avsändarens adress granskas närmare. När en användare trycker på ”svara” när de läser ett mail skannar Google mottagarlistan, inklusive adresser i CC och BCC. Om en mottagare inte tillhör användarens organisation och inte heller återfinns bland dennes kontakter, kommer en varning att visas. Båda dessa nya funktioner är på som standardläge, och det är på administratörerna att stänga av dem om de vill.

Man har även biffat upp en del gamla säkerhetsfunktioner. Direktvarningarna vid klick på misstänkta URL:er, som alltså varnar användarna för den potentiella skadliga naturen hos de webbplatser som de besöker, kommer i ännu högre grad drivas av inlärningstekniken för Google Safe Browsing. De algoritmer som används anpassar sig snabbt till nyupptäckta mönster, och tekniken håller samma takt som förändringarna.

Gmails försvar mot skadliga bilagor har också uppdaterats, och man kommer nu korrelera flaggad skräppost med bifogade filer och avsändarregler, för att enklare kunna förutsäga meddelanden som innehåller nya och osynliga malware-varianter. Dessa skydd gör det möjligt för Gmail att bättre skydda användare från till exempel zero-day-malware och ransomware. Detta är ett tillägg till att blockera bilagor i form av filtyper som har en hög potential för säkerhetsrisker, som .EXE (körbara filer) eller .JS (javascript-filer). Dessa funktioner kommer att skydda alla Gmail-användare som standard.

Semester är allt mindre synonymt med total utloggning och frånvaro från våra arbetsuppgifter. Dagens digitala verktyg tillåter oss att sköta arbetet från i princip var som helst. Undertecknad är inget undantag utan tillhör på gott och ont den där växande skaran människor som har svårt att låta bli att jobba lite även på semestern.

Framför allt är det mailkorgen som pockar på, förmodligen för att den är så lockande lättåtkomlig i den där smarta telefonen som du fått av jobbet och som den allt-i-allo-maskin den blivit suddat ut gränserna mellan jobb och fritid. Faktum är att hälften av alla svenskar kollar sin jobbmail på semestern och att en femtedel uppger att de planerat att jobba på distans under semestern. Det visar en ny undersökning som Sifo gjort på uppdrag av IT-bolaget Citrix.

Det här kan ju låta bra ur en arbetsgivares synvinkel, att ha anställda som ser till att uppgifter utförs och mail besvaras oavsett om de sitter på kontoret eller ligger på stranden. Men det kan också innebära stora säkerhetsrisker. Sifo-undersökningen visar nämligen också att 34 procent av de totalt över 2000 kontorsanställda som tillfrågats i undersökningen använder sin jobbdator även för privata ändamål. 31 procent uppger att de har laddat ner filer för privat bruk på sin jobbdator och lika många har använt lösenordet till sin jobbdator för andra privata tjänster på nätet. En annan känd riskfaktor är förstås att många på semestern kopplar upp sig på oskyddade nätverk på till exempel hotell och flygplatser, något som öppnar för att obehöriga kan snappa upp kommunikationen.

Det här beteendet kan så klart sätta företagets information i farozonen, inte minst då 9 av 10 tillfrågade uppger att de har fjärråtkomst till dokument på företagets servrar. Därför behöver alla företag se över hur de hanterar säkerheten inte bara på varje enskild enhet utan även på filnivå, det vill säga att ställa frågan om vilka som ska ha åtkomst till vad – samt varför, hur och varifrån de ska ha åtkomst. Det är en utmaning som alla måste sätta sig in i idag. Att bara låsa ner möjligheten till det mobila arbetslivet är med största säkerhet kontraproduktivt – nästa generation arbetare kommer i ännu högre grad förutsätta att de kan jobba när som helst och var som helst.

Vill du veta mer om hur din organisation kan göra distansarbetet så säkert som möjligt? Kontakta gärna vårt systerbolag ExternIT – de är specialister på just detta!

Mer än en tredjedel av små och medelstora företag har råkat ut för en ransomware-attack under det senaste året. Det visar en ny rapport från säkerhetsföretaget Malwarebytes. Rapporten, som baseras på svar från 1054 företag från Nordamerika, Europa, Australien och Asien, lyfter också fram vilken enorm påverkan en sådan attack kan ha – hela 22 procent av de drabbade företagen tvingades att helt stänga ner sin verksamhet för att minimera skadeverkningarna. För ungefär en av sex drabbade organisationer orsakade en ransomware-attack driftstopp i 25 eller fler timmar. Flera organisationer uppger att deras system låg nere i över hundra timmar efter en attack. 15 procent av organisationerna i undersökningen uppger att de förlorade betydande intäkter till följd av ransomware.

De flesta organisationerna i Malwarebytes rapport ser ransomware som en hög prioritet att hantera, men är samtidigt tveksamma till sin förmåga att hantera det. 75 procent av de undersökta organisationerna har hög eller mycket hög prioritet när det gäller att lösa problemet med ransomware. Trots detta menade nästan hälften att de inte har förmåga att stoppa en ransomware-attack. Detta får ses som särskilt oroande med tanke på att över en tredjedel av organisationerna uppger att de har investerat i ett aktivt säkerhetsarbete (med både taktik och teknik) mot ransomware, men att det trots detta har svårt att hantera en attack.

Mest bekymrade över ransomware-utvecklingen är föga förvånande aktörer inom finanssektorn, medan transportföretag känner minst oro över att drabbas. För många företag är källan till infektionen okänd och ransomware sprids som vi vet ofta mycket snabbt. 27 procent av de organisationer som drabbades av ransomware kunde inte heller identifiera hur den skadliga koden kom in i nätverket. Mer än en tredjedel av ransomware-infektionerna sprids vidare till andra enheter och för två procent av de undersökta organisationerna har ransomware-infektionen påverkat alla enheter i nätverket.

E-posten mest sårbara kanalen

Rapporten visar också att små och medelstora företag i USA drabbas hårdare av malware än vad företag i Europa gör. Den vanligaste källan till ransomware-infektioner i amerikanska organisationer var relaterad till användningen av e-post – 37 procent av attackerna på små och medelstora företag i USA härstammar från en skadlig e-postbilaga och 27 procent från en skadlig länk i ett mail. I Europa rapporterades emellertid att bara 22 procent av attackerna skedde genom en skadlig email-bilaga, och lika många rapporterades komma från en skadlig länk.

Att betala eller inte betala är så klart en de mest omstridda diskussionerna kring skadeverkningarna av ransomware. Enligt Malwarebytes rapport anser 72 procent av de små och medelstora bolagen att man aldrig bör betala lösensumma till angriparna. Majoriteten av de som är öppna för att betala menar dock att detta enbart bör göras om de krypterade filerna är av stort värde för organisationen. Vidare uppger en tredjedel av de organisationer som drabbats av ransomware och valt att inte betala lösensumman att de förlorade filer som en följd av detta.

Läs gärna vår längre text om ransomware och vad du kan göra för att minska riskerna att din organisation drabbas: 
Ransomware – allvarligaste hotet på nätet?

E-post är idag så mycket mer än bara en brevlåda – snarare har den blivit det primära samarbetsverktyget i väldigt många organisationer. Med Exchange 2016 är det enklare än någonsin att dela kontakter, adresser och kalendrar. Säkerheten är också viktigare än någonsin – du vill ha koll på var din data finns och vem som kommer åt den.

Under hela september kan du ta del av ett fantastiskt fint erbjudande på vår hostade Exchange 2016-lösning. Testa nu och vi bjuder dig på tre gratismånader för obegränsat antal adresser (om du väljer att fortsätta med Exchange 2016 är ordinarie pris 59:-/mån per e-postadress och våra avtal löper på 1, 3 eller 12 månader.)

Genom att välja vår hostade lösning kan du sova gott i vetskap om att din data lagras på våra servrar som står på svensk mark. Du får dessutom givetvis högklassig backup och tillgång till vår kompetenta och svensktalande support. I Exchange 2016 finns också smarta funktioner för delning av till exempel kalendrar och kontakter, inbyggt spamskydd och antivirus samt åtkomst via skräddarsydda mobilappar.  Läs mer och beställ redan idag!

Webben måste göras snabbare. Det anser Google, som låtit sina ingenjörer utveckla en ny algoritm för att sätta eld i baken på TCP – huvudtransportprotokollet för all trafik på internet. TCP utvecklades på 1970-talet som en del av protokollpaketet TCP/IP för att formatera data i paket och skicka den över Internet. Forskare vid Internet Engineering Task Force (IETF) uppskattar att över 90 procent av IP-trafiken idag överförs via TCP.

Sedan protokollet togs fram har det genom åren givetvis gjorts flera ansträngningar för att snabba upp TCP/IP. De flesta har av förklarliga skäl fokuserats på hur TCP hanterar trafikstockningar – TCP utformades nämligen för automatisk paketförlust och för att sakta ner hur snabbt trafiken skickas när det uppstår ”trängsel”, vilket avgörs genom att övervaka antalet förlorade paket i transporten. Ska vi vara krassa är det ju så att TCP designades för en annan tid, med långsamma uppkopplingar och routrar med ytterst begränsad buffert och där all trafik som skickades styrdes av klick på länkar. Det funkade länge helt utmärkt men idag ser det ju minst sagt annorlunda ut och en hastighetssänkning vid trafikstockning kan få helt andra konsekvenser för Internetupplevelsen.

Tar bort trafikstockningar

Google menar nu att man funnit ett sätt att istället proaktivt och löpande optimera hastigheten som trafiken skickas med för att minimera risken för trafikstockningar. Lösningen stavas BBR (Bottleneck Bandwith and Roundtrip propagation time) – och baseras på en accelerationsmodell som uppskattar det snabbaste sättet att skicka data via olika rutter för att kunna hantera trafiken betydligt effektivare när belastningen ökar. BBR uppskattar ständigt genomströmnings- och rundturstrafiken över flera rutter, så att protokollet ”vet” hur länge det tar för viss data att korsa nätverket om det skickas i en viss takt. Genom att göra så skickar BBR alltid trafik med en hastighet som nätverket kan hantera. Detta är mer betydligt mer effektivt än de ursprungliga TCP-överbelastningsreglagen.

Enligt Googles mätningar ska BBR kunna öka hastigheten med upp till 14 procent och algoritmen används redan på Youtube och sedan några veckor även på Googles molnplattformar. Där har trafiken i genomsnitt optimerats med fyra procent. BBR är också kompatibelt med ett annat alternativt transportprotokoll, QUIC (Quick UDP Internet Connections), som också utformats av Google och som i skrivande stund övervägs för standardisering av IETF.

Det är förstås oklart när eller om BBR blir en helt vedertagen standard, men många Google-kunder kan redan idag dra nytta av det nya protokollet. Standarder tar tid att enas om och just nätverksprotokoll har historiskt visat sig vara en ännu hårdare nöt att knäcka. Men om någon nätaktör ska lyckas driva igenom det så har förmodligen Google bäst odds.

Det är i dag rätt lätt att dra slutsatsen att vi kommunicerar allt mer via sociala medier, chattappar eller samarbetsverktyg som Skype och Slack, och att e-post allt mer är digital dinosaurie. Verkligheten är dock en annan. Det framgår med all tydlighet av IIS senaste årliga rapport ”Svenskarna och Internet” som släpptes i veckan. 97 procent av svenskarna använder e-post och 69 procent gör det dagligen – och de siffrorna har hållit sig på ungefär samma nivå de senaste tio åren.

Det som är lite förvånande är att användningen inte skiljer sig markant åt i de olika åldersgrupperna som ingår i IIS undersökning. Förvisso används e-post allra flitigast av svenskar mellan 36 och 45 år, där 87 procent uppger att de mejlar dagligen, något som säkerligen hör ihop med att mejlen är en stor del av arbetet för den åldersgruppen. Lägst är användningen bland 12-15-åringar men över hälften använder ändå sin e-post dagligen. I den äldsta åldersgruppen, de som är 76 år och äldre, använder 9 av 10 e-post och över hälften gör det dagligen.

Som väntat är det också vissa kommunikationskanaler som används extremt mycket mer av unga, 91 procent av 12-15-åringarna använder till exempel Snapchat, vilket bara 42 procent av 26-35-åringarna och 24 procent av 36-45-åringarna gör. Instagram används också allra mest av yngre, men kurvan börjar slutta rejält först vid 46-55-åringarna. Facebook är den sociala plattform som har jämnast fördelning över åldersgrupperna, och används till och med av hela 47 procent av svenskarna över 76 år. Totalt använder 74 procent av svenskarna Facebook i någon utsträckning.

Vi kommunicerar mer – överallt

Klart är att det ena eller andra kommunikationssättet eller plattformen inte tycks ersätta varandra i någon större omfattning – i stället tycks vi svenskar hela tiden kommunicera mer i alla kanaler och på alla sätt. Att våra mobila enheter bidrar till detta är inte heller någon överraskning, vi svenskar använder våra mobiler allt mer och till allt fler saker. I åldersgrupperna upp till 45 år använder över 90 procent internet i sin mobil varje dag. Totalt har drygt 85 procent av användarna idag en egen smartphone, jämfört med att 78 procent har en egen dator. På en befolkning på drygt tio miljoner människor finns det i Sverige över elva miljoner mobilabonnemang.

Vad gäller fasta uppkopplingar fortsätter fiberanslutningarna att växa och idag uppger 51 procent av svenskarna att deras hushåll har en sådan uppkoppling. Samtidigt har allt fler, 29 procent, valt att köra 3G/4G via router och därmed har den sortens uppkoppling passerat ADSL som idag används av 20 procent av hushållen. Det är dock vanligare med fiber eller anslutning via kabel-tv i storstäder, medan de andra typerna av uppkoppling återfinns oftare på lands- och glesbygd. Där är det till exempel dubbelt så vanligt med en ADSL-uppkoppling.

Läs mer om ovanstående utveckling och mycket, mycket mer om svenskarnas förhållande till internet och teknik här. (IIS.se)

Att svaga lösenord är ett av de främsta hoten mot it-säkerheten får vi verkligen hoppas att de flesta känner till idag. Men från vetskap till praktik tycks det fortfarande vara långt. Analysföretaget Ovum presenterade nyligen en global undersökning bland hundratals it-chefer och it-ansvariga, om hur det står till med lösenordshanteringen i deras organisationer. Det visade sig utmynna i en ganska dyster läsning. Över hälften av de svarande uppgav nämligen att de helt överlåter åt sina anställda att hantera sitt eget lösenordsbeteende – ett förfarande som givetvis kan innebära stora risker för organisationen.

61 procent av it-cheferna som tillfrågats menar dessutom att deras organisation uteslutande förlitar sig på personalutbildning för att genomdriva starka lösenord. Anställda får utöver det klara sig på egen hand, utan någon teknik på plats som ställer tvingande krav på en viss nivå av lösenordsstyrka.  Tekniken för att skydda mot lösenordsdelning är också alldeles för svag. På frågan om hur organisationen skyddar sig mot onödig lösenordsdelning, hade 64 procent av de svarande ingen teknik på plats och endast 14 procent hade automatiserade kontrollfunktioner på plats för att få vetskap om när det händer. Det råder till exempel brist på implementering av SSO (Single Sign-On) i många organisationer. Faktum är att 56 procent av de undersökta organisationerna inte hade någon SSO-funktion på plats.

Molntjänster en svag punkt

Undersökningen visar också att 78 procent av it-cheferna saknar möjlighet att kontrollera åtkomst till de molnbaserade applikationer som används av deras anställda. Fyra av tio svarande uppger att deras organisation fortfarande är beroende av helt manuella och föråldrade processer för att hantera användarlösen för molnapplikationer. De flesta företag är medvetna om denna brist på insyn och kontroll, men majoriteten gör inte tillräckligt, om något alls, för att ta itu med situationen.

Dessutom uppger 76 procent av IT-cheferna att de upplever många och återkommande problem kring lösenordshanteringen och att mer än en tredjedel av användarna behöver hjälp som kretsar kring lösenord minst en gång i månaden.

”Denna forskning har tydligt identifierat ett brådskande behov av att stänga lösenordsäkerhetsgapet. Alltför många organisationer lägger över ansvaret för lösenordshanteringen på sina anställda och har inte den automatiska lösenhanteringstekniken på plats för att identifiera när saker går fel”, skriver Andrew Kellett, chefsanalytiker för Infrastructure Solutions på Ovum, i samband med att undersökningen publicerades.

Företagsledare en stor säkerhetsrisk

Ovums undersökning baseras alltså på de som ansvarar för it-säkerheten i organisationerna, och betonar riskerna med att låta de anställda själva hantera sina lösenord. Men hur står det då till med lösenordssäkerheten hos de högre upp i trappan, som till exempel vd:ar? Inte heller detta är ett särskilt muntert område. En ny studie från säkerhetsföretaget F-Secure visar att nästan en tredjedel av vd:ar på medelstora och stora bolag har blivit måltavla för riktade attacker efter att deras e-post och lösenord läckt ut. I många fall handlar det om att de använt företagets e-postadress för att registrera sig på andra onlinetjänster och där satt samma lösenord som de har på företaget.

De vanligaste tjänsterna som vd:ar använder företagets e-post på är Linkedin och Dropbox, som båda drabbats av massiva dataintrång de senaste åren och fått stora mängder användardata stulen. F-Secure undersökte e-postadresser som används av toppledare från flera hundra av de största företagen i tio länder. Forskarna jämförde sedan dessa adresser med F-Secures databas över information som läckt till följd av intrång i olika onlinetjänster. I Danmark fann man till exempel att hela 62 procent av vd:arna  hade länkat sitt företags e-post med antingen Dropbox eller Linkedin och att denna sedan läckt. I Sverige var motsvarande siffra 27 procent.

Studien visar också att hela 81 procent av vd:arna ovetande har sin e-postadress och annan personlig information som födelsedatum, adresser och telefonnummer tillgänglig på olika former av spamlistor eller läckta marknadsföringsdatabaser. De länder med den högsta nivån på vd-info som exponerats på spam- och marknadsföringslistor är Nederländerna, Storbritannien och USA, som alla landar på 95 procent. Totalt var det endast 18 procent av de undersökta vd:arna som överhuvudtaget inte råkat ut för några läckor som kunde sättas i samband med deras företags e-postadress.

Genom dåliga lösenordsvanor sätter toppcheferna både sina egna konton och företagsdata i riskzonen. Enligt Verizons rapport Data Breach Investigations Report 2016, skedde hela 63 procent av alla bekräftade dataintrång till följd av svaga, standardardiserade eller stulna lösenord.

Att använda ett unikt starkt lösenord för varje tjänst eller konto online är med andra ord grundläggande för att hålla illvilliga hackare på behagligt avstånd – och de flesta säkerhetsexperter rekommenderar att du använder någon typ av lösenordshanterare för att göra det så säkert, smidigt och enkelt som möjligt.

På grund av bristande säkerhetsinställningar och rutiner är miljontals uppkopplade enheter enkelt sökbara på nätet – och därmed i farozonen för både intrång och för att utnyttjas i botnät. Det visar en ny global undersökning från säkerhetsföretaget Trend Micro, som analyserat enheter som går att hitta via Shodan – verktyget som brukar kallas ”hackarnas Google”. Shodan är enkelt förklarat en sökmotor som katalogiserar olika cybertillgångar eller internetanslutna enheter. Shodan hittar och listar enheter och system som exempelvis webbkameror, babymonitorer, medicinsk utrustning, ICS-enheter, hushållsapparater och databaser, och mycket mer.

Undersökningen har fokuserat på ett femtiotal stora städer i Europa och USA, varav flera är kända som ”tech-hubbar”. I Europa hittade Shodan över 2,8 miljoner uppkopplade enheter i Berlin, vilket gav förstaplatsen åt tyskarna, tätt följda av London med drygt 2,5 miljoner enheter. Tilläggas bör att om vi tar hänsyn till folkmängd så hade både Lissabon och Amsterdam dock fler riskabla uppkopplade enheter per capita. Stockholm hamnade med sina 405 810 enheter på en nionde plats, vilket är på ungefär samma nivå som Paris (som dock har mer än dubbelt så många invånare).

En närmare titt på vilka typer av enheter som identifierats visar att två av de tre mest exponerade enheterna är nätverksrelaterade, vilket indikerar att det lär finnas vanliga grundläggande och allvarliga fel i hur nätverksutrustning konfigureras (eller inte konfigureras). Merparten av de exponerade enhetstyperna är olika typer av trådlösa åtkomstpunkter (WAP) – med andra ord nätverkshårdvara som tillåter wifi-enheter att ansluta till ett trådlöst nätverk. Dessa är särskilt vanliga i Tyskland där Trend Micros forskare hittade 58 171 sådana enheter.

Brandväggar var de näst vanligaste upptäckta enheterna, följt av uppkopplade kameror i hem och på offentliga platser, vilket bör ses som väldigt oroväckande ur ett integritetsperspektiv. Något överraskande hade Aten flest webbkameror i farozonen med 5066, tätt följt av Stockholm med 4954 och  därefter Madrid och London med drygt 3000 vardera.

Och trots att routersäkerhet är ett hett ämne i IT-världen – visar Trend Micros data att även ett stort antal routrar är exponerade, vilket till exempel öppnar för omdirigering av trafik och många andra väldigt allvarliga attacker. Flest exponerade routrar hittades i Madrid (3086), Aten (2639) och London (2215).

Berlin var däremot överlägset vad gällde antalet utsatta e-posttjänster med hela 105 509, följt av London med 80 623. Majoriteten av de exponerade e-posttjänsterna var relaterade till sårbarheter i Postfix SMTPD.

Operativsystem för öppen källkod används på de flesta exponerade enheterna. 62 procent körs på Linux-system (Linux 3.x och 2.6.x), medan ungefär 20 procent kör Windows (Windows 7 och 8).

”Med tanke på att många av städerna räknas som tech- och affärshubbar är det oroväckande att människor i dessa städer inte använder sina kunskaper för att ta fram ett bättre säkerhetspraxis. Antalet exponerade enheter är sannolikt bara toppen av isberget, och alla som angriper dessa kan få tillgång till hela nätverk. Med det kommande införandet av GDPR måste organisationer se till att de har effektiv nätverkssegmentering, stark autentisering och åtkomstkontroll och en effektiv säkerhetslösning i flera lager”, säger Rik Ferguson, VD för säkerhetsforskning på Trend Micro.

Vill du grotta ner dig djupare i exakt vilka typer av enheter, tillverkare, modeller och operativsystem som är mest utsatta finner du hela Trend Micros undersökning här (föredömligt uppdelad utifrån geografiska regioner).

Ett av de största hoten mot it-säkerheten kommer inifrån – men det är sällan som insidern själv förstår att den utgör ett hot. En ny undersökning visar att bara vart fjärde insiderbrott är av fientlig karaktär medan medan resterande 75 procent är oavsiktliga och snarare sker av oaktsamhet.

Det är säkerhetsföretaget NTT Security som i sin nya rapport 2017 Global Threat Intelligence Center lyfter fram faran med oaktsamma anställda. Oavsiktliga insiderhot kan exempelvis vara en anställd som skickar känsliga dokument till en konkurrents e-post eller en anställd som hämtar hem infekterad programvara från nätet och sprider ett virus i företagets nätverk. NTT Security menar att organisationer måste ha en plan för cybersäkerhet på plats för att minimera dessa risker – något många dessvärre saknar.

– Hotrapporten visar att i de fall där organisationer inte har en proaktiv cybersäkerhetsplan på plats, kan konsekvenserna bli förödande. Faktum är att NTT Security har sett skador på grund av insiderbrott som uppgår till mer än 30 miljoner dollar. Även i organisationer som har väldefinierade planer för förebyggande av olyckshändelser, ger de ofta inte tillräckliga saneringsbestämmelser för insiderbrott, vilket gör att organisationen är mindre beredd att reagera snabbt, säger Steven Bullitt, Vice President, vice vd för Threat Intelligence & Incident Response på NTT Security.

Att organisationer inte upptäcker insiderbrott är förstås allvarligt, men inte svårt att förstå om vi betänker att de allra flesta även har svårt att upptäcka attacker utifrån. En annan ny rapport, gjord av EY, visar att bara 12 procent av organisationerna tror att de sannolikt har förmågan att upptäcka en sofistikerad cyberattack. EY:s undersökning innefattar nästan 1200 it-chefer i stora bolag i USA och Europa.

I rapporten framgår att 56 procent av de tillfrågade redan har eller planerar att ändra sina strategier och planer på grund av den ökade frekvensen av cyberhot och sårbarheter. Den snabba accelereringen av antalet uppkopplingar inom globala organisationer, vilket till stor del drivs av den mobila tillväxten och av Internet of Things, har förstås medfört nya sårbarheter som allt mer sofistikerade angripare kan utnyttja.

Rapporten visar att vanliga attacker (utförda av ”osofistikerade”, enskilda angripare) ofta framgångsrikt utnyttjade sårbarheter som organisationerna var medvetna om, vilket tyder på stora brister vid genomförandet av standardsäkerhetsprocedurer.

De flesta organisationer fortsätter dock att öka sina utgifter för cybersäkerhet, och mer än 90 procent av respondenterna säger att de förväntar sig högre budgetar kommande år. 87 procent menar att ökade cyberhot kräver ett mer robust svar, och säger att de behöver upp till 50 procent mer finansiering för att nå en acceptabel säkerhetsnivå – men bara 12 procent räknar med att få en ökning med mer än 25 procent under nästa år.

Sjuttiofem procent av de svarande säger att upptäckten av ett brott som orsakat skada, sannolikt har en ”positiv” inverkan på den ökade fördelningen av budgetar. Däremot säger 64 procent att en attack som inte verkar ha orsakat någon skada, sannolikt inte heller skulle leda till en ökning av budgeten för cybersäkerhet, trots att det är välkänt att skador som orsakas av cyberattacker kanske inte är omedelbart uppenbara.

Ökande hot från malware och vårdslösa anställda

Malware (64 procent jämfört med 52 procent år 2016) och nätfiske (64 procent jämfört med 51procent förra året) uppfattas som de hot som har mest ökade organisationernas riskexponering under de senaste tolv månaderna. Oaktsamma eller omedvetna anställda ses som den allvarligaste sårbarheten för organisationernas säkerhet (60 procent jämfört med 55 procent år 2016). Även på frågan om vilken som är den mest sannolika attackvektorn ansåg 77 procent att oaktsamma anställda är den mest sannolika källan, följt av cyberkriminella grupperingar (56 procent) och medvetet illvilliga anställda (47 procent).

Vad gäller möjligheterna att stå emot en avancerad attack, har många organisationer allvarliga farhågor om nivån på sina nuvarande it-säkerhetssystem. 75 procent av respondenterna räknar med att deras fömåga att identifiera sårbarheter ligger mellan ”mycket låg till måttlig förmåga”. Ytterligare 12 procent säger att de inte har någon formell intrångsdetektering på plats, medan 35 procent beskriver sin dataskyddspolicy som icke existerande eller i bästa fall en ad hoc-lösning, och 38 procent har inte ens något system för identitets- och åtkomsthantering.

De flesta organisationer är medvetna om behovet av ett säkerhetsoperationscenter (SOC), som tillhandahåller ett centralt, strukturerat och samordnat nav för alla it-säkerhetsaktiviteter. Men 48 procent av de svarande säger att de fortfarande inte har ett SOC, varken in-house eller via outsourcing.

Även informationsvägarna tycks vara bristfälliga. Bara hälften av de tillfrågade it-cheferna säger att de regelbundet rapporterar till styrelsen, och endast var fjärde som är ansvarig för it-säkerhet sitter i styrelsen och bara 17 procent anser att styrelserna har tillräcklig kunskap om informationssäkerhet för att fullt ut kunna utvärdera effektiviteten av förebyggande åtgärder.

AMP är framtiden. Det är Googles tydliga budskap till webbutvecklare och onlinepublicister. I förra veckan ägde nämligen AMP Conf 2018 rum i Amsterdam – en hel konferens tillägnad AMP. Google passade då på att presentera två heta nyheter. Den första, som döpts till AMP Stories, är en funktion för att exempelvis nyhetssajter ska kunna utnyttja snabbheten i AMP för att presentera ett visuellt fokuserat och ”berättande” innehåll i mobilen, inte helt olikt hur användare kan lägga upp ”stories” i sociala nätverk som Facebook, Instagram och Snapchat.

Innan funktionen rullades ut har Google testat den tillsammans med bland andra Washington Post, CNN och Mashable – samtliga uppges vara mycket nöjda och entusiastiska. AMP Stories ska vara särskilt väl lämpat för allt som kan berättas på ett övertygande visuellt sätt med hjälp av ett fåtal bilder eller korta videoklipp och minimalt med text. Dessutom ska det gå att implementera klickbara interaktioner, övergångar mellan olika ”berättelser” och mycket mer.

– AMP-berättelser möjliggör en ”mobile first”-upplevelse för berättande som digitala nyhetspublicister kan publicera på sina egna webbplatser och därefter enkelt distribuera ut på den öppna webben, sa Rudy Galfi, produktchef för AMP på Google, under AMP Conf.

Möjligheter till annonsering

Googles utvecklingspartners i arbetet med AMP Stories är också nöjda med att Google redan från början har tänkt på möjligheterna för dem att tjäna pengar direkt i AMP Stories – med andra ord med hjälp av annonser, vilket idag förstås är en livsnödvändighet för alla nyhetssajter. Det ska vara möjligt att direkt i AMP Stories enkelt baka in både annonser som visas före innehållet och annonser som visas på ”ett icke-störande sätt” under uppspelningen, samt finnas möjligheter att publicera olika typer av sponsrat innehåll. Detta menar vissa kan leda till att Google plockar ytterligare russin ur den globala annonskakan på till exempel Instagrams och Snapchats bekostnad. Om Google siktar på att distribuera ut AMP Stories till allt fler användare i framtiden faller ju (åtminstone för många annonsörer) incitamenten att annonsera på Snapchat om  de kan nå en mycket större publik på Google.

Här nedan kan du se Googles demo av AMP Stories. Sökjätten betonar dock att det nya formatet fortfarande är ”experimentellt” men att vi inom kort lär få se allt fler publicister på nätet anamma möjligheterna till interaktivt berättande genom AMP:s supersnabba ramverk. Läs gärna mer om AMP Stories hos Google.

AMP direkt i e-posten

Den andra stora nyheten stavas AMP for Email och handlar som namnet antyder om en AMP-integration i Googles e-posttjänst Gmail. Med AMP-stöd kan e-posten göras med interaktiv, till exempel genom att hålla ett visst meddelande uppdaterat i realtid i stället för att det är ett statiskt brev som ser likadant ut när det än öppnas. Google menar också att det ska underlätta för att hela processer, till exempel ska onlinebokningar kunna ske direkt i e-postmeddelandet och mottagare ska kunna ta del av kampanjer eller svara på enkäter utan att behöva klicka sig vidare. Sammantaget ska användare, tack vare AMP, helt enkelt kunna spara mycket tid genom att de mer sällan kommer vara tvungna att lämna sin e-post för att utföra olika saker. Booking.com och Pinterest är två aktörer som hoppat på tåget direkt och som kommer att använda AMP i kontakten med sina användare.

AMP for Email kommer att rullas ut i skarp version senare i år, men utvecklare kan redan nu registrera sig och börja laborera med AMP-funktioner för e-posten. Google har också släppt specifikationerna för AMP for Email och då AMP är öppen källkod hoppas Google att även andra webbaserade e-posttjänster, och alla upptänkliga tjänsteleverantörer, ska implementera stöd för AMP i sina system. Läs mer om AMP for Email på Googles blogg.

Vi ska också direkt nämna att den här satsningen redan har mötts av en hel del kritik. Läs till exempel det här inlägget på TechCrunch innan du slår klackarna i taket och jublar åt Googles fantastiska initiativ – den ger ett intressant perspektiv på det hela.

Vi har fått vänja oss vid allt kraftfullare DDoS-attacker de senaste åren, men de senaste veckorna har slagstyrkan minst sagt skruvats upp ytterligare några snäpp. För knappt en vecka sedan utsattes GitHub, världens största plattform för utvecklare, för en storskalig DDoS-attack vars bandbredduppmättes till 1,35 Tbit/s – den kraftfullaste attack som någonsin skådats. Det tidigare rekordet hade den mycket uppmärksammade attacken mot domänleverantören Dyn – då uppmättesbandbredden till 1,2 Tbit/s.

Den stora skillnaden med attacken mot GitHub var att den till skillnad från Dyn-attacken (och den absoluta majoriteten av DDoS-angepp) inte härstammande från ett massivt botnät. I stället förlitade sig attacken på så kallad memcrashing (läs gärna Cloudflares ingående förklaring här) där Memcached-servrar angrips. Memcached är ett öppen källkodbaserat system för minneshantering som används för att påskynda åtkomstitiden för frekvent använda filer på dynamiska och databasdrivna webbplatser. Genom att cacha data och objekt direkt i arbetsminnet minskar antalet gånger en extern datakälla (såsom en databas eller ett API) måste läsas in.

Angriparna utnyttjade publika servrar med UDP-stöd, vilket förstärkteattacken oerhört mycket. Genom att skicka förfrågningar till servrarna med Githubs IP-adresser som avsändare, lyckades man amplifiera svarspaketen så att de blev över 50 000 gånger större i storlek än de ursprungliga förfrågningarna.

Rekordet stod sig inte ens en vecka

Nätjätten Akamai lyckades dock,via sitt Prolexic-nätverk, avvärja de värsta skadeverkningarna av rekordattacken. GitHub var uppe igen (om än med en del störningar) redan efter tio minuter. Akamai gick dock snabbt ut med en varning om att vi förmodligen bara fått en försmak av vad DDoS parat med memcrashing kan åstadkomma. Och dessvärre fick de rätt tidigare än någon anat. Inte ens  en vecka efter attacken mot GitHub rök rekordet all världens väg när Arbor Networks meddelade att man uppmätt en attack med en bandbredd på hela 1,7 Tbit/s mot en ännu icke namngiven amerikansk tjänsteleverantör.

Förfalskad e-post är dessvärre ett vanligt inslag i nätkriminellas ”verksamhet” och utöver att drabba mottagaren kan det också vålla problem för den verkliga ägaren av e-postadressen som används för nätfiske eller spam. Det är inte ovanligt att Bineros support kontaktas av oroliga kunder som till exempel märkt att de får mängder av studsar på e-postmeddelanden som de aldrig skickat. ”Någon måste ha hackat mitt konto och nu använder de min mail, vad ska jag göra?” brukar vara den första frågan, trots att det (vanligtvis) inte handlar om att någon lyckats ta kontroll över kundens e-postkonto, utan att det i de flesta fall rör sig om en spambot som hittat e-postadressen på nätet och sedan missbrukar den för att skicka stora mängder mail.

Det finns dock ett någorlunda enkelt sätt att förebygga att det här sker. Med hjälp av SPF, Sender Policy Framework, kan du styra vilka e-postservrar som har rätt att skicka mail från ditt domännamn. Detta sker genom att publicera en SPF-policy som ett TXT-record direkt i din DNS-konfiguration. När en mottagande e-postserver tar emot ett mail från ditt domännamn kontrollerar servern det mot hur SPF-informationen i DNS ser ut. Om meddelandet kommer från en e-postserver som inte är publicerad i policyn är detta en indikation för den mottagande servern om att något kanske inte står rätt till.

Bineros support brukar alltid rekommendera kunder som drabbats, eller oroar sig för att drabbas, av att deras e-postadresser förfalskats, att se över en eventuell användning av SPF. Dock är det inte alltid helt problemfritt att komma igång, och det finns en del saker som kan strula med SPF. Vi tycker att IT-säkerhetsföretaget WeCloud har satt samman en mycket matnyttig guide till SPF och hur det hela fungerar och vilka eventuella problem som kan uppstå, vi rekommenderar verkligen att du läser den. Och om du behöver ytterligare hjälp står vår eminenta supportpersonal givetvis redo! Lycka till!

Utlovade bredbandshastigheter som inte hålls är utan tvekan en källa till irritation. Det är ingen överdrift att påstå att branschen länge utnyttjade det vakuum av lagstiftning som fanns (eller inte fanns) kring hur de kunde marknadsföra sina erbjudanden. Det var inte sällan som ”Upp till xxx Mbps ” i själva verket inte var i närheten av topphastigheten. Att hastigheterna varierar är i sig inte märkligt och kan beror på geografisk placering, typ av byggnad, kundens utrustning och mycket mer. Problemet är att leverantören utlovat något som kunden sedan inte får, men trott sig ha betalat för.

Efter klagomål och ärenden världen över har en del ISP:er tagit åt sig av kritiken och försökt friskriva sig antingen med tillägg i avtalen eller genom att skriva ut hastigheter i intervall (exempelvis som 12-24Mbps), något som också vissa myndigheter forcerat fram. I Storbritannien har man nu gått ett steg längre. Där klubbade Committees of Advertising Practice tidigare i år igenom en ny lag som trädde i kraft i maj, efter påtryckningar från Which, en slags brittisk motsvarighet till den svenska Konsumentombudsmannen, som menade att man jobbat för den här lagändringen sedan 2013. I maj, strax innan de nya reglerna trädde i kraft, gjorde Which? en stor granskning som visade att brittiska hushåll betalar för bredbandstjänster som i genomsnitt är 51 procent långsammare än vad som annonserats.

Den nya lagen tvingar kortfattat alla ISP:er att hålla den utlovade ”upp till”-topphastigheten minst hälften av tiden. Efter några månader visar det sig nu att lagstitningen har föranlett att i princip alla Storbritanniens internetleverantörer har ändrat sin marknadsföring. Vissa, däribland Vodafone, har döpt om dem så att de överhuvudtaget inte längre signalerar en viss hastighet, medan andra helt sonika har skruvat ner den hastighet som utlovas i marknadsföringen – några med så mycket som 40 procent lägre. Efter att den nya lagen infördes har leverantörernas marknadsförda hastigheter minskat med i genomsnitt 15 procent, och Virgin är den enda ISP som faktiskt höjt sina utlovade hastighet under sommaren.