6 store hackerangreb - og 6 vigtige it-sikkerhedsråd

Illustration: Virrage Images/Bigstock
Store virksomheder som Sony, Dropbox, LinkedIn og Yahoo har lært det på den hårde måde. Det behøver du ikke - hvis du følger de 6 vigtigste råd i kølvandet på nogle af verdens største hackerangreb.

Hackerangreb er hverdagssnak. Også for helt store virksomheder som Sony, Dropbox, LinkedIn og Yahoo. På baggrund af seks store hackerangreb gennem tiderne, har it-ekspert Megan Berry fra Techrepublic.com samlet de seks vigtigste råd til it-sikkerhed .

1: Tving brugere til at skifte kodeord regelmæssigt

I august 2012 offentliggjorde Dropbox en hændelse, hvor en kunde havde fået stjålet sin adgangskode fra et andet site. Det gav hackeren fri adgang til kundens filmappe, der blandet andet indeholdt et internt dokument med alle virksomhedens e-mailadresser.

Det klare råd fra Megan Berry er derfor: Skift kodeordene til jeres medarbejderkonti, uanset om det er Dropbox, Gmail eller lignende, regelmæssigt.

2: Hash og salt kodeordene

Simple krypteringsteknikker er ikke nok til at beskytte brugernes passwords mod visse hackere, skriver Megan Berry. Det fandt LinkedIn fandt ud af i sommeren 2012:

I juni måned stjal hackere seks millioner LinkedIn-passwords og lagde dem ud på en russisk hjemmeside for at få hjælp til at cracke dem. Kodeordene blev krypteret på det mest grundlæggende niveau, hvilket gør det forholdsvis let for hackere at regne dem ud i løbet af få dage.

Læs også: Er din LinkedIn-konto blevet hacket? Tjek dit password her

Derfor opfordrer Megan Berry til at hashe, salte og hashe igen. Passwords beskyttes i dag typisk med hash-funktioner, som i stedet for selve adgangskoden gemmer en beregnet værdi ved at køre adgangskoden gennem en hash-funktion. Den metode er imidlertid sårbar, hvis en hacker får fat i filen med hashværdierne, fordi han kan køre en ordliste gennem den samme hash-funktion og sammenligne med de værdier, der står på listen. Derfor tilføjer man ofte et 'salt', som er en ekstra streng, der bliver kørt gennem hash-funktionen sammen med kodeordet.

Derefter skal kontooplysningerne gemmes på en sikker webserver, der er placeret i sin egen lille boble på dit netværk for at isolere den fra angreb.

3: Lav backup af krypteringsnøgler

Recurly, et amerikansk firma, der lever af at ordne fakturaer og kreditkortoplysninger til virksomheder oplevede i begyndelsen af ​​september, at deres primære krypteringenhed fejlede. Det beskadigede nogle af de krypteringsnøgler, som beskyttede kreditkortoplysninger - og firmaet havde ikke lavet en sikkerhedskopi. Derfor tog det meget lang tid at genskabe nøglerne.

4: Kontroller opkøbte virksomheder

I sommeren 2012 stjal en gruppe af hackere e-mail adresser og adgangskoder fra mere end 450.000 Yahoo-brugere. Hackerne kunne lave en såkaldte SQL-injektion på grund en gammel fil med en masse kontooplysninger fra firmaet Associated Content, som Yahoo opkøbte i maj 2010.

Læs også: Hackere trækker 453.000 passwords ud af Yahoo med SQL-injektion

Så kontrollér opkøbte virksomheder grundigt, når de kan indeholde filer, som kan misbruges.

5: Lær dine medarbejdere i at genkende phishingmails

Det amerikanske byggefirma Patco tabte i 2012 345.000 dollars, fordi cyberkriminelle brugte phishing-mails til at skaffe sig adgang til selskabets bankkonto.

E-mails kan efterhånden se så ægte ud, at det kan være svært at skelne mellem falske og den ægte varer. Herhjemme har der været sager, hvor e-mails fra Nets og SKAT vil lokke kontooplysninger ud af brugere. Så oplys medarbejderne endnu klarere om, hvilke phishing e-mails, der kan være i omløb.

6: Serveropdatering i jerngreb

I marts måned 2012 fik hackere adgang til Utah Department of Technology Services (DTS), der indeholdt data for statens Medicaid-program inklusive omkring 280.000 amerikanske personnumre.

Det var en simpel serveropdatering, der for det første åbnede en dør på vid gab. Det skyldes, at de de fabriksindstillede kodeord ikke blev ændret, firewallen var hullet som en si og gamle, ukrypterede data, der ikke var blevet slettet, blev efterladt på serveren. Dem kunne hackere misbruge.

Du kan læse hele gennemgangen af de seks sager her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen Elgaard Larsen

...nummer 1 er skudt forbi.

At tvinge passwordskift igennem, betyder bare, at der kommer løbenumre i passwords ("MitPassword01", "MitPassword02" osv.). Det giver ikke megen reel sikkerhed.

Selvfølgelig bør man skifte passwords en gang imellem, men det er vigtigere, at man ikke bruger det samme password til halvskumle og vigtige tjenester.

  • 0
  • 0
Jens Krabbe

...det følges op med automatiske indbyggede krav om at passwords ikke må ligne tidligere passwords, eller andre personlige kendte kendetegn, indeholde datoreferencer, osv. Det er forholdsvis simpelt at implementere.

  • 0
  • 0
Mike Mikjær Blogger

Bør brugerne instrueres i at opbygge en personlig password politik der effektivt gruppere sites på en sådan måde at brugeren har ét password til de absolut vigtigste sites, f.eks. netbank og erp-system, steder hvor du er 100% sikker på at de har styr på sikkerheden og vigtigst af alt, steder der informere dig ved brister og ikke opbevarer dit password i klar-tekst. I tilfælde af en brist skal koden skiftes og et løbenummer er ikke nok.

Dernæst har de ét password de kan bruge som password på firma computere og firmaets systemer, og til sidst et tredie password til facebook, datingsider og alt andet ligegyldigt knald. Fortæl kunderne hvordan hashing fungerer og hvorfor det er problematisk. Brugere er godtnok dumme, men ikke dummere end at de godt kan forstå tingene når de får dem forklaret på et sprog de forstår.

Det dur ikke at lave et systemisk tjek, det virker modsat, folk finder veje udenomkring det og du ender med et system der er endnu mere usikkert fordi det bliver modarbejdet internt. Du er simpelthen nødt til at uddanne dine brugere, hvis ikke du tror de er i stand til det så udstyr dem med et chipkort med en private-key på og en pinkode og lav single-sign on.

Derudover, #4, det er ikke nok at kontrollere indkøbte projekter - du er også nødt til løbende at kontrollere dine egne programmører.

  • 0
  • 0
Log ind eller Opret konto for at kommentere