Hvad gør man som virksomhed, hvis man mister en disk med kundeoplysninger, eller hackere har banet sig vej til databaserne?

Det står nu mere klart, i hvert fald for teleselskaber, der har fået et sæt nye regler at leve op til. EU-Kommissionen har nemlig vedtaget en ny forordning, der strammer rapporteringspligten, skriver advokatfirmaet Kromann-Reumert.

Ifølge de nye regler skal teleselskaber inden for 24 timer melde til myndighederne, hvis der er sluppet persondata ud om kunderne. I Danmark er det Erhvervsstyrelsen, der skal have besked.

Er der sket et brud på sikkerheden, skal teleselskabet rapportere om, hvilke slags data, der kan være sluppet ud, og hvad der er gjort for at begrænse skaden. Er der ikke overblik over situationen i løbet af et døgn, kan man få lov at vende tilbage med flere detaljer i løbet af senest tre døgn efter problemet blev opdaget.

Det er dog kun, hvis data er blevet lækket i klartekst, at et teleselskab skal give besked. Er data krypterede, er der ingen krav om at melde det til myndighederne. Det samme gælder, hvis teleselskabet kan dokumentere, ved hjælp af en test, at datalækket ikke vil krænke kundernes persondata eller privatliv.

I 1932 kom brugte Marx Brothers kodeordet “swordfish” i en film og lige siden har det været en løbende vits at genbruge det.

… eller også er det bare et dokumentarisk strejf, for at give værket sandsynlighed.

Et password skal idag have en entropi nord for 128 bits og det vil i store træk sige en kombination af mindst 128 tegn, hvis der er nogen form for mening deri, og naturligvis må du ikke bruge det samme password flere steder.

Lad os lige prøve at se hvad det indebærer:

Et godt password således ud: “Visiten kun med Complimenter. Men vi maa ind og see til, at vi kand faae noget Mad; thi Tiden gaaer hastig, Klokken 8te skal vi paa Mascaraden igien. “

– inklusive tegnsætning, stavning og spaciering.

Held og lykke med at huske det, hvis du ikke er udgået fra d.Kgl Teaters elevskole.

(Hvis man bedes om at indgive et “password hint”, ville “Tonny Landy” være et godt valg.)

I gamle dage lærte man salmevers i skolen, men bortset fra skuespillere, professionelle sangere og nogle få kirkeligt entusiatiske, kan nutidige danskere sjældent huske alle vers korrekt i andre sange end “I dag er det ____’s fødselsdag…” og selv i den kniber det ofte.

Med andre ord: Passwords som sikkerhedsforanstaltning er ikke bedre end en almindelig godt slidt cylinderlås: Det viser at man ikke ønsker at alle og enhver tramper ind, men alle der vil ind, kan komme det uden større besvær.

At store firmaer så heller ikke kan finde ud af at håndtere passwords er ikke noget nyt: Sidste år var det LinkedIn, i år er det Adobe og så er der alle dem vi ikke har hørt om, inklusive alle de passwords og password-filer NSA har opsnappet.

Jeg har brugt en times tid på at kigge i Adobes lækkede data og det er deprimerende læsning.

Selvfølgelig er det forkert og i strid med gældene sikkerhedspolitik og alt muligt andet papirarbejde når politifolk eller andre ikke er gode nok med deres passwords.

Men problemet er altså ikke menneskene, men passwordene.

Der er ikke nogen indlysende erstatning for passwords på vej, alle former for biometri der er foreslået er kun marginalt mere sikre og alle lider de af den ulempe at kidnapning og mord bliver mere relevante teknikker for kriminelle.

Den umiddelbart foreliggende løsning, er at udstyre menneskene med en “salmevers-o-matic” dims, som kan lave og huske nogle komplicerede passwords.

En app på en mobiltelefon ville være oplagt: Plug telefonen i USB, lade den simulere keyboard og indtast så “adobe” i app’ens søgefunktion og tryk “send password”.

Desværre er mobiltelefoner en totalt ubrugelig platform for sikkerhed og at plugge sin mobil ind i USB porten på en computer med noget der skal gemmes for NSA, er det samme som at Gøre døren høj og porten vid for dem.

Ikke at den gennemsnitlige PC er meget bedre nu om dage, specielt ikke “enterprise” orienterede maskiner, der oftest leveres med alle mulige bagdøre enablet i BIOS’en.

“For at gøre det nemt for IT afdelingen.”

(Og. naturligvis, andre venner & bekendte af producenten.)

En af grundene til at RaspBerry Pi er blevet så stor en success, er at rigtig mange med forstand på sikkerhed øjner den som en computerplatform man kan stole på.

Der ikke er nogen “BIOS”, ikke noget præinstalleret spyware, skodware eller monopolware.

Det er en computer hvor man helt selv bestemmer hvad software der skal køre og endnu mere vigtigt: Hvad software der ikke skal køre.

Indtil nogen bygger en open-source “salmevers-o-matic” på en sådan platform, må vi klare os som bedst vi kan.

Jeg laver mine passwords med ‘strings -16 < /dev/random’ nu om dage og gemmer dem i en PGP krypteret fil, beskyttet af en pass-phrase, som dermed er den kurv jeg har lagt alle mine æg i.

Ikke nogen god løsning, men den mindst ringe jeg har kunnet implementere.

phk

Arbejdsmarkedets Feriefond, der forvalter danskernes ubrugte feriepenge, har indtil tirsdag haft store problemer med login-løsningen for virksomheder, der indberetter feriepenge. En NemID-baseret løsning, der skulle have været sat i drift 1. november var nemlig ramt af så store problemer, at feriefonden valgte at lade virksomhederne logge ind med blot et CVR-nummer.

Nødløsningen var sat i værk, efter at et skifte til login med NemID’s medarbejdersignatur ikke som ellers planlagt kom i drift 1. november. Da Version2 talte med direktøren for Arbejdsmarkedets Feriefond, Nina Löwe Krarup, tirsdag, var løsningen stadig ikke kommet på plads endnu.

»Vi arbejder på højtryk for at få det nye system op at køre og er naturligvis rigtig kede af, at løsningen i øjeblikket slet ikke er optimal,« sagde Nina Löwe Krarup tirsdag til Version2.

Kort tid efter kunne Nina Löwe Krarup vende tilbage og fortælle, at den nye login-løsning ville komme online tirsdag aften. Med fjorten dages forsinkelse kan virksomheder altså nu logge på og indberette via NemID’s medarbejdersignatur.

Tidspres tvang fonden til usikker løsning

På trods af den nærmest åbne adgang kunne direktøren dog ikke uden videre lukke for indberetningerne, til NemID-løsningen var klar, da fristen for indberetning og indbetaling af ubrugte feriepenge er den 15. november.

Feriepenge skal hæves af virksomhedernes ansatte inden for det ferieår, der for 2011’s vedkommende sluttede den 30. april 2013. De penge, som danskerne ikke får hævet i tide, overgår nemlig til Arbejdsmarkedets Feriefond, som forvalter disse til ‘almennyttige ferieformål for lønmodtagere’, fremgår det af fondens hjemmeside.

Sidste år havnede 116.014.000 ubrugte feriekroner således i Arbejdsmarkedets Feriefond.

Nina Löwe Krarup forklarer, at de hos fonden er klar over, hvad sårbarheden kan medføre, og at de derfor har skærpet opmærksomheden på falske indberetninger.

»Det, der sker i systemet allerede nu, er, at siden 1. november har vi holdt indberetninger op imod indbetalinger, så vi fanger, hvis der skulle ske falske indberetninger. Det er noget, vi er ekstra opmærksomme på nu, hvor systemet er sårbart,« sagde Nina Löwe Krarup tirsdag til Version2.

Nina Løwe Krarup ønsker ikke at oplyse, hvem leverandøren af den fejlbehæftede løsning er.

Ejeren af 470.000 Blackberry-enheder – det amerikanske forsvarsministerium – skifter taktik og lukker snart flere konkurrerende gadget-leverandører ind bag linjerne.

Hidtil har kun 10 Blackberry mobiltelefoner og Playbook-tablets opnået forsvarets afgørende sikkerhedsgodkendelse ATO “authority to operate”. Dette har både Android- og Apples iOS-produkter til gode.

Men nu oplyser Pentagon, ifølge websitet Defenceone.com, at det arbejder på at udvikle en egen app-butik til særligt godkendte apps samt et system, der skal sikre at alle mobile enheder i princippet kan godkendes og benyttes af forsvaret.

Blackberry har de seneste år været en virksomhed i hård modvind. Så sent som i sidste uge afblæste Blackberry en selskabsovertagelse fra investeringsfonden Farifax og fyrede direktøren Thorstein Heins, hvis plads blev overtaget af John Chen.

Pentagon har siden 2012 arbejdet på en plan for overgangen fra PCer til smartphones og tablets. En talsmand fra Pentagon Damien Pichart oplyser, at dén plan i modsætning til den nuværende situation ikke favoriserer en bestemt leverandør eller teknologi.

Sikkerhedssystemet, der skal håndtere de nye mobile enheder er i et tidlig udviklkingsstadie. Pichart oplyser at forsvaret kører et lille pilotforsøg inden årets udgang.

Pentagon forventer at sikkerhedsgodkende 300.000 nye enheder med det nye system inden 2016.

I 1932 kom brugte Marx Brothers kodeordet “swordfish” i en film og lige siden har det været en løbende vits at genbruge det.

… eller også er det bare et dokumentarisk strejf, for at give værket sandsynlighed.

Et password skal idag have en entropi nord for 128 bits og det vil i store træk sige en kombination af mindst 128 tegn, hvis der er nogen form for mening deri, og naturligvis må du ikke bruge det samme password flere steder.

Lad os lige prøve at se hvad det indebærer:

Et godt password således ud: “Visiten kun med Complimenter. Men vi maa ind og see til, at vi kand faae noget Mad; thi Tiden gaaer hastig, Klokken 8te skal vi paa Mascaraden igien. “

– inklusive tegnsætning, stavning og spaciering.

Held og lykke med at huske det, hvis du ikke er udgået fra d.Kgl Teaters elevskole.

(Hvis man bedes om at indgive et “password hint”, ville “Tonny Landy” være et godt valg.)

I gamle dage lærte man salmevers i skolen, men bortset fra skuespillere, professionelle sangere og nogle få kirkeligt entusiatiske, kan nutidige danskere sjældent huske alle vers korrekt i andre sange end “I dag er det ____’s fødselsdag…” og selv i den kniber det ofte.

Med andre ord: Passwords som sikkerhedsforanstaltning er ikke bedre end en almindelig godt slidt cylinderlås: Det viser at man ikke ønsker at alle og enhver tramper ind, men alle der vil ind, kan komme det uden større besvær.

At store firmaer så heller ikke kan finde ud af at håndtere passwords er ikke noget nyt: Sidste år var det LinkedIn, i år er det Adobe og så er der alle dem vi ikke har hørt om, inklusive alle de passwords og password-filer NSA har opsnappet.

Jeg har brugt en times tid på at kigge i Adobes lækkede data og det er deprimerende læsning.

Selvfølgelig er det forkert og i strid med gældene sikkerhedspolitik og alt muligt andet papirarbejde når politifolk eller andre ikke er gode nok med deres passwords.

Men problemet er altså ikke menneskene, men passwordene.

Der er ikke nogen indlysende erstatning for passwords på vej, alle former for biometri der er foreslået er kun marginalt mere sikre og alle lider de af den ulempe at kidnapning og mord bliver mere relevante teknikker for kriminelle.

Den umiddelbart foreliggende løsning, er at udstyre menneskene med en “salmevers-o-matic” dims, som kan lave og huske nogle komplicerede passwords.

En app på en mobiltelefon ville være oplagt: Plug telefonen i USB, lade den simulere keyboard og indtast så “adobe” i app’ens søgefunktion og tryk “send password”.

Desværre er mobiltelefoner en totalt ubrugelig platform for sikkerhed og at plugge sin mobil ind i USB porten på en computer med noget der skal gemmes for NSA, er det samme som at Gøre døren høj og porten vid for dem.

Ikke at den gennemsnitlige PC er meget bedre nu om dage, specielt ikke “enterprise” orienterede maskiner, der oftest leveres med alle mulige bagdøre enablet i BIOS’en.

“For at gøre det nemt for IT afdelingen.”

(Og. naturligvis, andre venner & bekendte af producenten.)

En af grundene til at RaspBerry Pi er blevet så stor en success, er at rigtig mange med forstand på sikkerhed øjner den som en computerplatform man kan stole på.

Der ikke er nogen “BIOS”, ikke noget præinstalleret spyware, skodware eller monopolware.

Det er en computer hvor man helt selv bestemmer hvad software der skal køre og endnu mere vigtigt: Hvad software der ikke skal køre.

Indtil nogen bygger en open-source “salmevers-o-matic” på en sådan platform, må vi klare os som bedst vi kan.

Jeg laver mine passwords med ‘strings -16 < /dev/random’ nu om dage og gemmer dem i en PGP krypteret fil, beskyttet af en pass-phrase, som dermed er den kurv jeg har lagt alle mine æg i.

Ikke nogen god løsning, men den mindst ringe jeg har kunnet implementere.

phk

Ejeren af 470.000 Blackberry-enheder – det amerikanske forsvarsministerium – skifter taktik og lukker snart flere konkurrerende gadget-leverandører ind bag linjerne.

Hidtil har kun 10 Blackberry mobiltelefoner og Playbook-tablets opnået forsvarets afgørende sikkerhedsgodkendelse ATO “authority to operate”. Dette har både Android- og Apples iOS-produkter til gode.

Men nu oplyser Pentagon, ifølge websitet Defenceone.com, at det arbejder på at udvikle en egen app-butik til særligt godkendte apps samt et system, der skal sikre at alle mobile enheder i princippet kan godkendes og benyttes af forsvaret.

Blackberry har de seneste år været en virksomhed i hård modvind. Så sent som i sidste uge afblæste Blackberry en selskabsovertagelse fra investeringsfonden Farifax og fyrede direktøren Thorstein Heins, hvis plads blev overtaget af John Chen.

Pentagon har siden 2012 arbejdet på en plan for overgangen fra PCer til smartphones og tablets. En talsmand fra Pentagon Damien Pichart oplyser, at dén plan i modsætning til den nuværende situation ikke favoriserer en bestemt leverandør eller teknologi.

Sikkerhedssystemet, der skal håndtere de nye mobile enheder er i et tidlig udviklkingsstadie. Pichart oplyser at forsvaret kører et lille pilotforsøg inden årets udgang.

Pentagon forventer at sikkerhedsgodkende 300.000 nye enheder med det nye system inden 2016.

COMM2IG og Apple har vundet et udbud på levering af 3.040 iPads til skolebørn og daginstitutioner på Grønland. Det fremgår af en pressemeddelelse fra COMM2IG.

Projektet, der er støttet økonomisk af den almennyttige fond Villumfonden, skal gøre viden mere tilgængelig for grønlandske børn og unge og gøre det lettere for forældre at følge med i deres børns skolearbejde.

»Det går stærkt med it-udviklingen i disse år, og it er som skabt til Grønland. Læring er ikke kun det, der foregår på skolen, men i høj grad hvilke muligheder eleverne får for at få informationer og kommunikere globalt,«udtaler Jens-Jørgen Pedersen, der er fondsråd i Villumfonden.

Den danske it-leverandør COMM2IG har snuppet kontrakten for næsen af Atea og de tre grønlandske leverandører MDC data, Pisiffik og Tele Greenland.

COMM2IG og Apple har vundet et udbud på levering af 3.040 iPads til skolebørn og daginstitutioner på Grønland. Det fremgår af en pressemeddelelse fra COMM2IG.

Projektet, der er støttet økonomisk af den almennyttige fond Villumfonden, skal gøre viden mere tilgængelig for grønlandske børn og unge og gøre det lettere for forældre at følge med i deres børns skolearbejde.

»Det går stærkt med it-udviklingen i disse år, og it er som skabt til Grønland. Læring er ikke kun det, der foregår på skolen, men i høj grad hvilke muligheder eleverne får for at få informationer og kommunikere globalt,«udtaler Jens-Jørgen Pedersen, der er fondsråd i Villumfonden.

Den danske it-leverandør COMM2IG har snuppet kontrakten for næsen af Atea og de tre grønlandske leverandører MDC data, Pisiffik og Tele Greenland.

Det historisk store læk af e-mail-adresser og password-hints fra Adobes servere giver mulighed for at se, hvordan danske brugere har forvaltet sikkerheden.

I en dansk analyse af de 38 millioner lækkede brugerkonti kan man se, hvordan brugere hos politiet, PET og Forsvarets Efterretningstjeneste husker deres password. Og det ser umiddelbart ikke alt for sikkert ud.

Analysen, der har en anonym afsender, baserer sig på en sortering af de lækkede data, der er tilgængelige mange steder på nettet nu. I dataene kan man se e-mail-adresse på brugeren samt tips til at huske passwordet. Selve passwordet er krypteret, men de mest almindelige passwords er allerede gennemskuet og dekrypteret af hackerne.

Blandt de 81 e-mail-adresser, der slutter på @politi.dk, har flere valgt at bruge et administrator-password eller deres kode til politiet systemer, viser deres husketip. Andre har nemt gennemskuelige tips som ’hustru’ og ’birgits efternavn’.

Ophavsmanden til gennemgangen advarer imod at bruge vigtige og strengt fortrolige passwords på en side som Adobes.

»Det er MEGET skræmmende at se ’arbejdskode’, ’Administrator password’ og ’admin pass’ som password-hints hos politiet. Hvorfor dog skrive sin arbejdskode på en hjemmeside, man skal bruge én gang for at hente et stykke software?« lyder kommentaren i dokumentet.

Hos Rigspolitiet oplyser kommunikationsrådgiver Carsten Andersen, at man er opmærksom på problemstillingen.

»Vi har sendt en mail til de adresser, der stadig er gyldige, og bedt brugeren om at skifte password,« siger Carsten Andersen til Version2.

Han ønsker dog ikke at komme nærmere ind på, hvilke konsekvenser det har haft, at nogle af brugerne angiveligt har brugt interne administrator-passwords på en ekstern tjeneste.

»Jeg kan ikke sige så meget andet, end at vi har håndteret den problematik,« siger kommunikationsrådgiveren.

Hundenavne og sodavand

Hos Forsvarets Efterretningstjeneste har en bruger valgt tippet ’dogs name’, der også er temmelig nem at gennemskue, men omvendt måske ikke information, en hacker ville kunne finde frem til på nettet.

En ansat hos PET skriver ’sodavand’ som husketip, hvilket indskrænker feltet betragteligt. Kvikke hoveder kan dog have valgt et tip, som ikke har noget at gøre med passwordet, kun for at forvirre fjenden.

På listen over danske e-mail-adresser, der er ramt af lækket, er der også to fra Version2, hvor den ene tilhører en medarbejder, der stoppede for over fem år siden. Det samme kan altså gøre sig gældende for de øvrige eksempler på listen – at de for længst er forældede, og at medarbejderen har skiftet password mange gange siden.

»Brug en ’password manager’ (1password, Keepass, Lastpass, etc), og lav tilfældige kodeord til hver tjeneste (genbrug aldrig kodeord), eller sørg for at bruge ligegyldige kodeord (fx ’123456abekat’) til ligegyldige sider/services. Tvinger en side dig til at lave en bruger for at downloade et stykke software, så indtast aldrig dit arbejdskodeord! Så hellere gå med 123456abekat,« lyder rådet fra ophavsmanden til analysen.

Ser man på alle de 404.356 danske e-mail-adresser, der er blevet lækket, har 4.264 valgt kodeordet ’123456’, som er det klart mest populære. Men drengenavne er også højt oppe på listen. Mikkel, christian, oliver, thomas og morten er således alle på Top20. Her er de tilhørende husketips også ganske forudsigelige: Søn, nevø, barnebarn, kæreste og kat, lyder nogle af dem.

Ud fra længden af den krypterede tekst, der rummer selve passwordet, kan man se, om længden på passwordet er på over eller under syv tegn. Og her får sikkerhedsfirmaet CSIS en røffel i analysen. Ud af de ni lækkede brugerkonti har fire således valgt korte passwords. Det ene password er faktisk allerede brudt, men husketippet var også ’min chef’, som altså var nem at gætte.

Version2 har valgt ikke at linke til dokumentet, selvom det er offentligt tilgængeligt på nettet.

Det historisk store læk af e-mail-adresser og password-hints fra Adobes servere giver mulighed for at se, hvordan danske brugere har forvaltet sikkerheden.

I en dansk analyse af de 38 millioner lækkede brugerkonti kan man se, hvordan brugere hos politiet, PET og Forsvarets Efterretningstjeneste husker deres password. Og det ser umiddelbart ikke alt for sikkert ud.

Analysen, der har en anonym afsender, baserer sig på en sortering af de lækkede data, der er tilgængelige mange steder på nettet nu. I dataene kan man se e-mail-adresse på brugeren samt tips til at huske passwordet. Selve passwordet er krypteret, men de mest almindelige passwords er allerede gennemskuet og dekrypteret af hackerne.

Blandt de 81 e-mail-adresser, der slutter på @politi.dk, har flere valgt at bruge et administrator-password eller deres kode til politiet systemer, viser deres husketip. Andre har nemt gennemskuelige tips som ’hustru’ og ’birgits efternavn’.

Ophavsmanden til gennemgangen advarer imod at bruge vigtige og strengt fortrolige passwords på en side som Adobes.

»Det er MEGET skræmmende at se ’arbejdskode’, ’Administrator password’ og ’admin pass’ som password-hints hos politiet. Hvorfor dog skrive sin arbejdskode på en hjemmeside, man skal bruge én gang for at hente et stykke software?« lyder kommentaren i dokumentet.

Hos Rigspolitiet oplyser kommunikationsrådgiver Carsten Andersen, at man er opmærksom på problemstillingen.

»Vi har sendt en mail til de adresser, der stadig er gyldige, og bedt brugeren om at skifte password,« siger Carsten Andersen til Version2.

Han ønsker dog ikke at komme nærmere ind på, hvilke konsekvenser det har haft, at nogle af brugerne angiveligt har brugt interne administrator-passwords på en ekstern tjeneste.

»Jeg kan ikke sige så meget andet, end at vi har håndteret den problematik,« siger kommunikationsrådgiveren.

Hundenavne og sodavand

Hos Forsvarets Efterretningstjeneste har en bruger valgt tippet ’dogs name’, der også er temmelig nem at gennemskue, men omvendt måske ikke information, en hacker ville kunne finde frem til på nettet.

En ansat hos PET skriver ’sodavand’ som husketip, hvilket indskrænker feltet betragteligt. Kvikke hoveder kan dog have valgt et tip, som ikke har noget at gøre med passwordet, kun for at forvirre fjenden.

På listen over danske e-mail-adresser, der er ramt af lækket, er der også to fra Version2, hvor den ene tilhører en medarbejder, der stoppede for over fem år siden. Det samme kan altså gøre sig gældende for de øvrige eksempler på listen – at de for længst er forældede, og at medarbejderen har skiftet password mange gange siden.

»Brug en ’password manager’ (1password, Keepass, Lastpass, etc), og lav tilfældige kodeord til hver tjeneste (genbrug aldrig kodeord), eller sørg for at bruge ligegyldige kodeord (fx ’123456abekat’) til ligegyldige sider/services. Tvinger en side dig til at lave en bruger for at downloade et stykke software, så indtast aldrig dit arbejdskodeord! Så hellere gå med 123456abekat,« lyder rådet fra ophavsmanden til analysen.

Ser man på alle de 404.356 danske e-mail-adresser, der er blevet lækket, har 4.264 valgt kodeordet ’123456’, som er det klart mest populære. Men drengenavne er også højt oppe på listen. Mikkel, christian, oliver, thomas og morten er således alle på Top20. Her er de tilhørende husketips også ganske forudsigelige: Søn, nevø, barnebarn, kæreste og kat, lyder nogle af dem.

Ud fra længden af den krypterede tekst, der rummer selve passwordet, kan man se, om længden på passwordet er på over eller under syv tegn. Og her får sikkerhedsfirmaet CSIS en røffel i analysen. Ud af de ni lækkede brugerkonti har fire således valgt korte passwords. Det ene password er faktisk allerede brudt, men husketippet var også ’min chef’, som altså var nem at gætte.

Version2 har valgt ikke at linke til dokumentet, selvom det er offentligt tilgængeligt på nettet.