Sjef i Nasjonal Sikkerhetsmyndighet:

Din e-post er mål for kriminelle

Den amerikanske nettkjempen Yahoo! måtte i år innrømme en av de største kjente datalekkasjene av brukernavn og passord fra sine servere.
Den amerikanske nettkjempen Yahoo! måtte i år innrømme en av de største kjente datalekkasjene av brukernavn og passord fra sine servere. Foto: Albert Gea / Reuters

Dropbox, Yahoo, LinkedIn. Norske brukere er også rammet av de enorme datalekkasjene som har blitt kjent i år. – Dessverre vanskelig for folk å vite om de er rammet før nettstedene tar kontakt, sier avdelingsdirektør i NSM, Hans Christian Pretorius, til ABC Nyheter.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

RÅD FRA NSM: – Skriv ned passordene med penn og papir

Nasjonal sikkerhetsmyndighet (NSM) gikk denne uken for første gang ut med råd om passord til menigmann. Nedenfor er en forkortet utgave, skrivet i sin helhet finner du her.

«Passordkrav fra arbeidsgiver til den enkelte (…) tar ofte kun høyde for det ene passordet til arbeidsplassens systemer, og glemmer at nordmenn har et behov for mellom 15-20 unike passord. (…) Strenge sikkerhetsregler som følges, kan gi bedre sikkerhet. Men strenge sikkerhetsregler som ingen greier å følge, gir dårligere sikkerhet.»

Faren for at passordet ditt på ett eller annet tidspunkt kommer på avveie, er ifølge NSM stor.

Bruk 2-faktor autentisering

To-faktor autentisering er autentisering med noe man vet og noe man har, for eksempel et passord og en kodebrikke.

Bruk unike passord for ulike tjenester

NSM anbefaler at du går til Nettvett for gode råd om blant annet det å lage sterke passord.

Skriv gjerne ned passordene

Listen bør behandles som et verdipapir, og beskyttes deretter. Den bør heller ikke ligge synlig i nærheten av din datamaskin.

Velger du å skrive ned passordene dine, så gjør det med penn og papir. IKKE lagre dem som en fil på datamaskinen. Et annet alternativ er å bruke et passord-håndteringsprogram.

Rådet om å skrive passordene ned vil komme overraskende på noen, «men spør deg selv: greier vi å huske 15-20 unike passord som skal være av en viss kompleksitet og lengde?»

NOEN RÅD OM PASSORD

1.Passord skal være lange, komplekse og «uvanlige». Ingen andre i verden bør kunne ha valgt samme passord som deg.

2. Passord kortere enn ti tegn regnes som svake. Vanlige angrepsformer i dag kan teste milliarder av kombinasjoner og knekke kortere passord raskt. Flere tegn med variasjon: store og små bokstaver, tall og spesialtegn i et passord, eller mange ord i en passord-frase du lett kan huske, gjør det vanskeligere for angripere å gjette riktig kombinasjon.

3. Tjenester som inneholder mest sensitiv informasjon bør ha særlig høy passordsikkerhet. Eksempler: jobb-passord, e-post, helseopplysninger.

4. Bytt ikke et godt passord om det ikke er noen grunn til det.

Kilder: Anne-Marie Eklund Löwinder og rapporten Lösenord för alla (IIS).

Først i september ble det kjent at informasjon om en halv milliard Yahoo-kontoer kom på avveie i en av historiens største datalekkasjer i 2014. Navn, epostadresser, telefonnummer og (krypterte) passord.

– Det varierer hvordan disse lekkasjene skjer. Hackerne klarer noen ganger å bryte seg inn i selve brukerdatabasene, og skraper all informasjon knyttet til enkeltpersoner derfra, sier avdelingsdirektør i Nasjonal sikkerhetsmyndighets (NSM) avdeling for cybersikkerhet, Hans Christian Pretorius, til ABC Nyheter.

NSM er en av landets tre hemmelige tjenester, underlagt Forsvars- og Justisdepartementet.

Les også: Din e-post er mål for kriminelle

Tidligere i år måtte både Dropbox, LinkedIn og Myspace innrømme lekkasjer som berørte millioner av brukere.

– Jeg blir like forundret hver gang det lykkes hackere å få tak i denne mengden data. Vi anbefaler alltid kryptering som et opplagt tiltak. Man kunne forvente at denne typen informasjon ligger kryptert, sier Pretorius.

Kryptering er å gjøre data uleselige for andre enn rett mottaker.

– Dessverre er det vanligvis slik at alminnelige brukere i liten grad kan vite om de er rammet før tjenesteleverandøren kontakter dem direkte, sier Pretorius.

Aktuelt: Omfattende nettangrep mot USA påvirker Norge

Heldigvis finnes det visse sikkerhetstiltak man kan fatte som privatperson.

NSM gikk denne uken for første gang ut med råd om passord til privatpersoner (se forkortet versjon i faktaboks, eller klikk lenken for NSMs skriv).

Les også: Forbyr politikerne smartklokker: Frykter russisk spionasje

Kaprer Facebook-kontoer

– Vi har også sett eksempler på overtakelse av Facebook-kontoer, og siden bruk av Messenger til å lure vennekretsen, for eksempel for å tigge penger.

En kapret Facebook-konto kan være utgangspunkt for phishing og svindel. Illustrasjonsfoto: Colourbox.com.
En kapret Facebook-konto kan være utgangspunkt for phishing og svindel. Illustrasjonsfoto: Colourbox.com.

(Sjekk Facebooks sikkerhetsinnstillinger hvis du vurderer å skjerpe sikkerheten for din konto).

NSM tror likevel miljøet for denne typen kriminalitet er begrenset i Norge.

– Det aller meste som blir stjålet dukker opp til salgs på markedsplasser i Dark Web, sier han.

«Dark Web» er nettsteder man ikke får adgang til gjennom en ordinær nettleser, der IP-adressene man besøker og sitter på er skjult. Her kan både kjøper og selger ha reelt skjult identitet.

– Det kan for eksempel dreie seg om salg av informasjon av flere hundre tusen kredittkortnummer i slengen, inkludert CVC-koder og utløpsdatoer. Så testes de av kjøper, for å sjekke om noen av dem ikke er sperret enda.

Det meste netthandel fra norske bedrifter krever to-faktorautentisering (som med kodebrikken i nettbanken). NSM-avdelingsdirektøren mener slik handel er trygt.

– Men vi ser fortsatt flere utenlandske tilbydere som kun krever informasjonen på selve kortet, sier Pretorius.

Les også: Beredskapen sviktet under cyberangrep

Passordtips fra hysj-tjenesten

NSM har denne uken publisert et fyldig dokument med råd om passord på nett (se faktaboks).

Avdelingsdirektør i Nasjonal sikkerhetsmyndighets (NSM) avdeling for cybersikkerhet, Hans Christian Pretorius. Foto: NSM.
Avdelingsdirektør i Nasjonal sikkerhetsmyndighets (NSM) avdeling for cybersikkerhet, Hans Christian Pretorius. Foto: NSM.

– Hovedbudskapet er at det er vanskelig å huske alle brukernavn og passord. Hackerne som stjeler passordet ditt befinner seg ikke på ditt hjemmekontor, ved din maskin. Så det å skrive passordet ned på en lapp hjemme er faktisk uproblematisk, sier Pretorius.

– Vi ber også brukere benytte tonivåautentisering der det er tilgjengelig, altså noe fysisk du har som gir deg innloggingsinformasjon utover brukernavn og passord, som med kodebrikken i nettbanken. Da blir det brått mindre farlig med slike store lekkasjer som vi har fått dokumentert i år. Men sluttbrukere får ikke gjort noe med det hvis de møter leverandører som ikke har dette tilbudet.

– Kravet av to nivåer sikkerhet bør også, ideelt sett, gjelde all bruk av kredittkort.

Pretorius forteller også at ID-tyveri begynner å bli et «ganske omfattende» problem i Norge.

– Det er at noen utgir seg for å være en annen, og siden bestiller noe, kjøper noe eller annet som du ender med å måtte betale. Den rammede ender med fakturaen, men ikke produktet. Det gjelder å følge litt med på kontobevegelser.

Sjekke om du er rammet?

Mange utenlandske nettbutikker er fremdeles så slappe på sikkerheten at en som har tilgang på kortnummer og den tresifrede CVC-koden på baksiden av kortet ditt vil kunne kjøpe varer og tjenester i ditt navn. Sett med 100.000-vis av stjålne kortopplysninger omsettes på nettsteder de kriminelle frekventerer. Foto: Erlend Aas / NTB scanpix
Mange utenlandske nettbutikker er fremdeles så slappe på sikkerheten at en som har tilgang på kortnummer og den tresifrede CVC-koden på baksiden av kortet ditt vil kunne kjøpe varer og tjenester i ditt navn. Sett med 100.000-vis av stjålne kortopplysninger omsettes på nettsteder de kriminelle frekventerer. Foto: Erlend Aas / NTB scanpix

Tjenesten «Have I been pwned» (slang-uttrykk fra online-dataspill; «owned») drives av regionsdirektør hos Microsoft Troy Hunt som har spesialisert seg på nettsikkerhet. Her kan man sjekke om ens innloggingsopplysninger har vært omfattet av noen av de mest kjente lekkasjene hos de store tjenestene de siste åra.

Pretorius understreker at man må utvise forsiktighet også ved bruk av slike «hjelpsomme» nettsider.

– Det hender at det etter store lekkasjer dukker opp tjenester der du kan sjekke om dine data er på avveie. Her må man utvise forsiktighet, siden noen av dem ber deg oppgi både brukernavn og passord, sier han.

Les også: – Tvungent passordbytte er direkte skadelig

Tester stjålne data systematisk

I en britisk studie nylig opprettet forskerne 100 falske epostkontoer, for å se hvordan datatyver ville benytte dem da innloggingsopplysningene ble «lekket».

Et overraskende funn var at datasnokene ikke umiddelbart tok over og støvsugde kontoene for data. Isteden var det en del tidlig aktivitet av «nysgjerrige» som sjekket at innloggingsopplysningene stemte, og at kontoen var aktiv. Siden ble det stille en stund.

Kontoene lot til å bli overvåket slik at tyvene kunne vurdere verdien av informasjonen som strømmet gjennom dem, melder BBC News.

Ofte gikk det mellom dager og uker fra første innlogging til tidspunktet da misbruket startet for fullt.

Etter lekkasjene kommer en periode med «utprøving», der innloggingsopplysningene blir testet. Mye av testingen utføres av dataprogrammer. I år har det blitt registrert en kraftig økning i slike programmers forsøk på å ta seg inn på ulike nettkontoer med stjålne data, ifølge BBC-artikkelen.

Les også: Dataangrep avdekker alvorlige sikkerhetsmangler

Støvsuger epostkontoer

Innholdet i epostkassen din kan være selve indrefileten for driftige datasnoker. Illustrasjonsfoto: Colourbox.com.
Innholdet i epostkassen din kan være selve indrefileten for driftige datasnoker. Illustrasjonsfoto: Colourbox.com.

– Det vi har observert er hvordan tyvene bruker innloggingsinformasjon fra et nettsted og aktivt tester denne annensteds. Når de stjeler epost-innlogginger går de ofte inn og henter ut alle meldingene som ligger der. Det finnes ofte mail med informasjon om brukernavn og midlertidige passord. Tyvene leter etter informasjon som har verdi, typisk kontoinformasjon, sier avdelingsdirektør Pretorius i NSM til ABC Nyheter.

Den norske datasikkerhetseksperten Per Thorsheim mener det er en mer nedstemmende grunn til at så store mengder lekkede data har dukket opp i år:

– De legger det ut for salg så de kan presse de siste få tusen dollarene ut av det, sier han til BBC News.

Thorsheim mener data-tyvegodset som har blitt kjent i 2016 allerede er grundig bearbeidet i det skjulte.

Øvrige kilder: PC World

Les også:

– Millioner av biler utsatt for «kodeknekkere»

Hva gjør man når hackerne kan stenge en oljeplattform?

Biologisk bank-ID kan være dødelig (kommentarartikkel)

Personvernpolicy