Sikkerhet

Smart bulbs and the dangers of the IoT

Author: Katrina Rosseland

About myself: As a 15 year old girl, I attended the first Hacker Highschool class in Norway and was hired to fulfill the role of a project assistant at DIGFO. Currently 16, I am glad I can contribute to the surprisingly low but slowly rising percentage of women in cyber security today.

Smart bulbs and the dangers of the IoT

The Internet of Things or IoT has seemingly exploded in the past several years with the introduction of Google Home, Amazon’s Alexa, and numerous other staples of today’s modern home. Among the several devices considered part of the IoT are «smart bulbs».

These bulbs connect to WiFi and can be controlled remotely, giving people a fun, new, seemingly harmless gadget to add to their homes. As with almost every device that is given the ability to connect to various points, it can pose some serious security issues.

There was an experiment in which someone broke a cheap «smart light» open to see what information they could get out of it and to everyone’s surprise, with little to no effort, they obtained the SSID and the encryption key of the WiFi network. Within the bulb, the data was stored in plaintext, conveniently readable to anyone. This issue was then fixed and now the data is encrypted, thus resolving the problem, but the security issues with the IoT are far from over.

Having a multitude of devices connected to each other and outside networks is asking for trouble, especially when these devices are so new and misunderstood to the average person. It is important to keep in mind that these devices have a substantial amount of information on us and our networks/devices especially if they are all linked together. Bruce Schneider in the book «Click Here to Kill Everybody» recommends to stop, think, then connect. Because it is not always necessary to connect everything. Do you really need to connect your toaster to the web and possibly make yourself vulnerable to attacks? By succumbing to the modern way of living easier with the use of the IoT, you are in less control of what your devices know and do with your data.

Sikkerhet

Sextortion

Ny bølge med Sextortion.
Svindlere forsøker seg på utpressing via epost, skriver på norsk og henter et tidligere brukt passord fra en kompromittert tjeneste for overbevisning. (Et nettsted som har blitt hacket hvor du har hatt en konto og brukernavn/mail/passord er kommet på avveie og er tilgjengelig).
Noen tilfeller bruker de også de siste sifrene fra mobilnummeret ditt, dette kan feks hentes ved å bruke glemt passord funksjonen i en tjeneste. Her kan de kan bli informert om nummeret ditt, men da kun de siste tallene. (Er det ikke merkelig at svindleren kun nevner de siste tallene, bryr de seg plutselig om personvern?;)

Merk eposten som svindel i programvaren og slett den.Du må regne med at passordene dine havner på avveie. Det er grunnen til at du aldri skal bruke samme passord på flere tjenester. Aktiver 2-trinns bekreftelse (tofaktorautentisering).

Continue reading

Sikkerhet

Hacker Highschool

Hacker Highschool av ISECOM (the Institute for Security and Open Methodologies) ble publisert i 2003. Laget for å inspirere tenåringer til å lære seg datasikkerhet og bruke kunnskapene til gode formål.

Hacking er problemløsning på høyt nivå! Det kreves ferdigheter, logikk og kreativitet som igjen er ønsket av alle arbeidsgivere. (Sommer 2018 inngikk IBM partnerskap med Hacker Highschool.)

Pete Herzog, grunnlegger og direktør av ISECOM/HH spurte om jeg ville holde det første kurset i Norge. Første klasse ble gjennomført Vår 2018 på KKG i samarbeid med Aftenskolen i Kristiansand. Alt materialet er tilgjengelig på nettsidene og man kan også kjøpe bøkene her.

hh

Nytt kurs holdes Våren 2019, ta kontakt lurer du på noe 🙂

GDPR, Sikkerhet

Stordata

Bedre kjent som BIG DATA. Når man begynner å jobbe med datasikkerhet så innser man hva som egentlig foregår. I denne sammenheng din brukerdata. Informasjon, opplysninger og spor lagt igjen av deg. Gjerne på tjenester som bruker dette for å gi målrettet reklame. Husk at hvis tjenesten er gratis er det du som er produktet.

Stordata er rett og slett store datasett. Som nevnt kan dette brukes til å gi reklame, men  dette kan også brukt til verre formål som å påvirke deg politisk.

Selskaper har nå i lang tid samlet inn data som de nødvendigvis ikke har trengt, dette fordi det har vært enklere å ta alt og at man kanskje kunne bruke det til noe senere. Ofte har dataen blitt solgt videre og er da utenfor din kontroll. Data er den nye oljen blir det ofte sagt.

Angripere liker godt store mengder data om deg, fordi man kan bruke verktøy som enkelt samler inn dette, som igjen brukes til å lage en passord profil for å forsøke å ta over dine brukerkontoer.

Eksempler på verktøy:

Heldigvis har vi fått en ny personvernlov (GDPR) som krever at selskapene informerer hva de gjør med din data og at du må samtykke til dette.

For å vite hva som egentlig skjer og har skjedd i lang tid, vil jeg anbefale boken Data and Goliath fra Bruce Schneier.

bigdata
I like BIG DATA and I cannot lie
Sikkerhet

Passord

Dagens nyhetsbilde viser til 1,4 milliarder passord på avveie, av disse ca 573 000 norske. (Aftenposten/Dagbladet/VG)

Dette er en eldre sak som har kommet frem igjen, men man kan aldri snakke nok om hvor viktig et godt passord er. Økonomien i Norge er så god at vi har råd til å kjøpe det siste utstyret og lisensiert programvare, dette gjør at det er ganske vanskelig å bryte seg inn i et nettverk (må nesten være satt opp feil eller nulldagssårbarheter). Angripere går derfor etter svake passord for å få tilgang, eller forsøker å lure til seg tilgang.

Du kan kontrollere styrken på passordene dine her:
Howsecureismypassword (Tjeneste laget av passord håndterings verktøy Dashlane)

password

Du kan kontrollere om du har hatt en konto på en tjeneste som har hatt datalekasje her:
Haveibeenpwned (Database laget av Troy Hunt med 5,4 mrd registrerte kontoer)

pwned

Angripere bruker følgende teori, velg noe annet og slå på to-faktor autentisering!

  • Gjennomsnittlige passordet er 7-9 tegn
  • Den gjennomsnittlige personen kjenner 50 000 til 150 000 ord
  • 50% sjanse for at brukerens passord inneholder en eller flere vokaler
  • Kvinner foretrekker personlige navn i passordene sine, og menn foretrekker hobbyer
  • Mest sannsynlig brukte symboler ! @ # $% & * ? ~
  • Hvis tall brukes, er det vanligvis 1 eller 2, og det vil trolig være på slutten
  • Hvis mer enn ett nummer vil det vanligvis være sekvensielt, dvs. 12 eller 345
  • Hvis det brukes en stor bokstav, er denne vanligvis i begynnelsen, etterfulgt av en vokal
  • 66% bruker 1 eller 2 passord for alle sine kontoer
  • En av ni personer bruker et passord på den vanlige topp 500-listen

Hadde ikke min venn Per Thorsheim hatt bilskiltet Passord, hadde nok jeg tatt det. Jeg får velge GDPR istedet 🙂

perpassord