nrk.no

Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett

Kategorier: Det sosiale nettet,Internett & Trådløst


I løpet av det siste året har vi i NRKbeta sett to områder der folk kan komme til å få seg en lei opplevelse om de ikke sikrer seg litt bedre på nett. Det ene handler om Facebook, Twitter og andre sosiale tjenester på nett. Det andre handler om Gmail.

(Bilde: på en konferanse i Sverige i høst testet jeg Firesheep og snappet opp innlogging til flere titalls deltakere i løpet av minutter)

Problem nummer 1: Ildsauen

Under en forelesning på universitetet i Bergen i forrige uke fortalte jeg elevene om det lille innstikket til Firefox som enkelt lar deg snappe opp login for andres kontoer på sosiale nettverk. Det heter Firesheep, er ganske enkelt å installere og skremmende enkelt å bruke.

Det var mye skriverier om det da Eric Butler lanserte det i fjor. Likevel er det mange som ikke tar de nødvendige grep for å unngå å være utsatt.

Etter å ha advart studentene fyrte jeg opp Firesheep i bakgrunnen mens jeg foreleste. Etter kun kort tid kunne jeg logge meg inn på både Facebook- og Twitterkontoen til flere av dem. Jeg nøyde meg med å ramse opp noen av kontoene jeg hadde tilgang til og lukket høfflig Firesheep uten å logge inn på noen av dem.

De gangene jeg har testet Firesheep blir jeg skremt over hvor enkelt det er å få tilgang til andres kontoer. Heldigvis er det et par faktorer som må på plass før du er utsatt. Det er kun når du er koblet til et trådløst nettverk uten kryptering. Og personen som eventuelt snapper opp innloggingsinformasjonen din må være koblet til samme trådløse nett. Men situasjonen er ikke så uvanlig. Spesielt på hoteller og konferanser er det ofte at mange kobler seg til det samme ukrypterte trådløse nettet.

Så hvordan unngår du at sleipe folk med skumle hensikter logger seg inn på kontoen din? Mange gir råd om å aldri koble seg til ukrypterte trådløse nett. Et ubrukelig råd. Vi må jo på nett. Hele tiden. Og ofte finnes ikke annet enn det ukrypterte nettet til hotellet, Starbucks, McDonalds eller konferansen du er på.

HTTPS

Den aller enkleste løsningen er å bruke HTTPS fremfor HTTP når du logger deg inn. Da må tjenesten du logger deg inn på støtte dette. Og heldigvis støtter de store tjenestene som Facebook og Twitter dette. Skriv enkelt og greit https://twitter.com eller https://facebook.com i adresselinjen når du skal logge inn. Bytt eventuelt bokmerkene dine til HTTPS en gang for alle. Da vil forbindelsen mellom deg og tjenesten du bruker være kryptert. Enten det trådløse nettet du er koblet til er åpent eller ikke.

Men noen tjenester tar deg plutselig tilbake til en ukryptert side etter at du har logget inn. Da kan et innstikk som heter HTTPS Everywhere hjelpe deg.

Oppdatering. Godt tips fra a-jay i kommentarfeltet:

«På Facebook – gå inn på Kontoinnstillinger -> Kontosikkerhet og slå på “Bruk Facebook med en sikker tilkobling (https) hvis det er mulig”. Da vil den alltid logge deg på med https selv når du skriver http.»

Konstant kryptert forbindelse

Bruk av et såkalt VPN sikrer deg også. Det står for «Virtual Private Network» og gir deg en kryptert forbindelse til en maskin som så tar deg videre ut på nettet. Mange bedrifter benytter dette for å kryptere kommunikasjonen mellom deg og jobben din når du er ute av kontoret. Men ofte er disse løsningene komplekse og krever innlogging med passordkalkulator. Det gidder vi jo ikke når vi bare skal inn på Facebook eller Twitter.

Heldigvis finnes det enkle løsninger for privat bruk som ikke koster mye. De kan være litt komplekse å sette opp første gang, men så kreves bare et tastetrykk for å logge seg inn og sikre at alt du gjør på nettet er kryptert. Jeg har selv god erfaring med StrongVPN. Og noen anbefalte meg en gang BTGuard. Men det finnes mange gode aktører der ute.

Bruk av VPN sikrer også privatlivet ditt mot styresmakter som innfører lagring av det du foretar deg på nettet.

Problem nummer 2: Gmail

For min del har Gmail revolusjonert måten jeg bruker elektronisk post. Og en tur innom outlook, mailprogrammet på Mac eller andre løsninger blir en pine og en plage i forhold. Jeg har brukt Gmail siden 2005 og det faktum at jeg aldri trenger å bruke tid på å slette mail har sikkert spart meg flere ukesverk siden den gang. Jeg rundet mine gratis 7GB for lenge siden, men de fem dollarne i året det koster å legge til 20GB er kanskje en av de beste investeringene jeg har gjort noen gang.

Men min gmailboks begynner å inneholde veldig mye kontaktdata og annen personlig informasjon. Og jeg er ikke alene. Så innbrudd i folks gmailkontoer har blitt lukrativ forretning. Blant annet fordi om noen får tilgang kan de sende ut store mengder spam og elendighet fra din konto til alle dine kontakter.

Og i vår lille redaksjon bestående av fem personer har to fått gmailkontoen sin brutt opp. Da jeg fikk mail med tilbud om store mengder medisinske produkter av kollega Arnesen i fjor ante jeg ugler i mosen. Han fikk fort byttet passord og ryddet opp. Og for hans del var nok sikkerhetshullet en internetcafé i et eller annet av de i overkant eksotiske landene han har for vane å frekventere når han er på ferie. Det er ikke uvanlig at slike steder er utstyrt med en såkalt «keylogger». Som lagrer passordet ditt når du logger deg inn.

For Henrik, som også fikk kontoen kompromittert, er det ikke godt å si hvordan uvedkomne kom seg inn. Han hadde ikke frekventert tvilsomme internettcaféer og opererer med passord som er så komplekse at selv CIA ville fått problemer med å komme inn ved hjelp av rå datakraft.

Konklusjonen er at innlogging ved hjelp av kun passord kan være utrygt for en konto som er så attraktiv å bryte opp. Dette vet Google, så de gir brukerne mulighet til å aktivere totrinnsinnlogging. Desverre krever det et par tastetrykk å sette opp. Men når det er aktivert er det ganske sømløst å bruke. Og det øker sikkerheten på gmailkontoen din radikalt.

Du beholder din vanlige innlogging, men får et ekstra trinn med verifisering. På maskinene du bruker ofte kan du lagre verifiseringskoden. Og i programmene som skal aksessere gmail får du en egen programspesifikk kode. Kort fortalt er det temmelig sømløst når det først er satt opp.

Så vår anbefaling om du bruker gmail er å aktivere totrinnsinnlogging først som sist.

Sett opp en feriekonto

En annen måte å sikre seg er å sette opp en annen mailkonto for bruk på ferie. Du lager da automatisk videresending fra din hovedkonto mens du er på ferie. Når du logger deg inn på din midlertidige konto kan du se og svare på alt folk sender deg mens du er på ferie. Og om noen snapper opp innloggingen din er det ikke til hovedkontoen, men til den midlertidige kontoen som ikke inneholder like store mengder kontakter og informasjon.

Har dere tilsvarende erfaringer? Eller andre tips for å ivareta sikkerhet uten å måtte gjøre nettopplevelsen svært begrenset?

40 kommentarer

  1. Https er gode greier det, så lenge du er på nett via en nettleser, men hva med alle apps som kommuniserer brukerdata? Er denne faren til stede når jeg via min iPhone logger på Facebook, Twitter og andre tjenester som har en dedikert app?

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Kjell)

      Sist vi sjekket plukket ikke Firesheep opp innlogging fra applikasjoner. Men om en app ikke bruker kryptert forbindelse er det fullt mulig for kyndige folk å plukke opp den innloggingen også.

    • Sjur (svar til Kjell)

      Appene bruker vel ikke passord men OAuth. Dermed er i hvertfall passordet ditt trygt. Men om det er lett å spoofe/missbruke oauth login vet jeg ikke.

  2. På Facebook – gå inn på Kontoinnstillinger -> Kontosikkerhet og slå på «Bruk Facebook med en sikker tilkobling (https) hvis det er mulig». Da vil den alltid logge deg på med https selv når du skriver http.

    Svar på denne kommentaren

    • Simen (svar til a-jay)

      Det er en del Facebook-apps som ikke fungerer med HTTPS. Du vil da få spørsmål om å skru av https, og det ser ut til å være midlertidig.

      Dessverre er det ikke midlertidig! Velger du å skru av HTTPS, må du inn på innstillingene for å skru det på igjen.

      Se mer her:
      f-secure.com/weblog/archives/00002106.html

  3. Hei. Jeg kan ikke se å ha muligheten til denne totrinnsinnloggingen fra security settings på min google-konto, hva kommer dette av? Er det noe jeg ikke har fått med meg som jeg må gjøre for å få aktivert dette alternativet?

    Vil det også være enkelt å deaktivere tjenesten om jeg skulle ønske det?

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Einar)

      Hmm. Ikke godt å si. Jeg har engelsk språk i min gmail. Går til «account settings» -> Personal Settings -> Security -> 2-step verification

      Jeg vet at enkelte andre Google-tjenester har dukket opp senere for dem som har norsk språk i menyene sine.

      Svaret på spørsmål 2 er: ja, du kan slå av funksjonen når du vil.

    • Eirik Solheim (NRK) (svar til Marit)

      Det er nok fullt mulig å bryte seg inn i hotmailkontoer også. Men de fleste historiene jeg har hørt handler om gmail. Enten fordi flere jeg kjenner har gmail eller fordi den er mer populær og attraktiv å bryte seg inn i.

      Hotmail sliter fremdeles med ettervirkningene etter at de ble en eneste gigantisk bøtte med spam en gang på begynnelsen av 2000-tallet. Så det er mulig hotmail ikke er så verdifullt for spammere å bryte seg inn i.

  4. Angående VPN så er jo det bare en kryptert tunnel mellom klient og VPN-serveren og gir ikke ende-til-ende kryptering. Det er først og fremst av hensyn til anonymitet bruk av StrongVPN o.l brukes(klientens primære IP-adresse brukes bare for kommunikasjon med VPN-server). De som drifter VPN-serveren vil f.eks kunne se all http-trafikk om de vil (lite sannsynlig at de gidder) og http trafikk vil gå videre ukryptert frem til webserveren. En ulempe er også at all trafikk må gå via VPN-serveren og det kan gi redusert hastighet og økt forsinkelse.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Jan)

      Helt riktig. Og tydeligere forklart enn min «gir deg en kryptert forbindelse til en maskin som så tar deg videre ut på nettet».

      Men: den krypterer mellom maskinen og VPN-serveren. Og dermed kommunikasjonen som går over det ellers ukrypterte trådløse nettet. Det svakeste punktet.

  5. Folk burde bruke full diskkryptering med TrueCrypt, CCLeaner for å slette spor o.l., skru på krytert virtuell hukommelse i Windows 7, GPG for privat mail, Pidgin med OTR for private lynmeldinger og SIP Communicator for privat telefoni.

    I tillegg er HTTPS Everywhere som anbefales over meget bra. Det er også lurt å skru av disk cache i Firefox, regelmessig slette mail fra server. Tor er bra for anonymitet.

    Svar på denne kommentaren

  6. Rune Normann

    Dette var helt sikkert en flott artikkel, men når jeg ser ordet «brutt» skrevet som som «brudt», klarer jeg ikke lese mer. I tillegg er variasjonen i språket elendig, samtidig som setningsoppbyggingen er på et svært lavt nivå.

    Jeg ga min lillebror et løfte tidligere i kveld om å prøve å se det positive i ting, men sliter litt etter å ha lest 50% av teksten her.

    Svar på denne kommentaren

  7. Google har gode (men kanskje litt kompliserte) måtar å omgå problema med ‘2-step verification’.

    Facebook har ikkje lika gode måtar å omgå problem som oppstår når du aktiverer https

    Men om du møter på eit Facebook-relatert problem, kan du deaktivera https mellombels, aktivera eller gjer det som feila og så aktivera https etterpå.

    Eit døme er ‘Connect Spotify to Facebook’.
    Den krev visst at du deaktiverer https (inne på Facebook sine brukarkontoinnstillingar).

    Når samankoplinga av Spotify og Facebook først er på plass, kan du aktivera https i Facebook igjen.

    Svar på denne kommentaren

  8. For Henrik, som også fikk kontoen kompromittert, er det ikke godt å si hvordan uvedkomne kom seg inn. Han hadde ikke frekventert tvilsomme internettcaféer og opererer med passord som er så komplekse at selv CIA ville fått problemer med å komme inn ved hjelp av rå datakraft.

    Har du noen eksempler? :P.

    Nei over til halvor her, bra artikkel som alt annet her. Liker at dere ramser opp en 3-4 alternativer istedenfor å kun fokusere på 1 spesielt!

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Arildm)

      Eksempel på et klassisk Henrik-passord: «aøehje hj4pa3fehjwh 89hj hu90 hu9 hjfiewy89 hru3i+fvfds68r+u9 j ioh uiy83&/89u 80løæsiojk»

      🙂

  9. LogMeIn tilbake til heime-PCen er nesten sikkert nok.
    Installer LogmeIn Free på heime-PCen og ta over skjermen på den, når du er tilkopla usikra nett.

    Det kan for mange vera ein god nok VPN.
    I alle fall om du brukar ein medbrakt maskin som klient.

    Svar på denne kommentaren

  10. Jeg byttet språk til «US English» og da dukka den opp 🙂
    ———————————————

    En ting jeg lurer på ang. denne tjenesten; hvem betaler for SMSen Google sender deg for verifisering?

    Svar på denne kommentaren

    • handalsh (svar til Peter Zen)

      Google sender sms gratis. Dersom du bruker kalenderen til google, kan du få sms-varsel for å påminne deg om møter, etc.
      🙂

  11. Nå er det ikke slik at man må ha passordet til en bruker, for å benytte en brukers epost som avsender…

    ALLE kan bruke hvilken som helst avsenderadresse når de sender epost! Det kreves heller ikke mye kunnskap for å få det til. Hvorfor tror dere at det kommer så mye SPAM fra mennesker dere «kjenner»?

    SPAM fra «kjent folk» har ingen ting med passord tyveri eller knekking av kontoer å gjøre. Det er som regel det at «kjent folk» er for slurven med å oppgi epost adressen sin på alle mulige slags forum o.l.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til Juba)

      …det er likevel slik at en mail som faktisk kommer fra en venn og en mail som «later som den kommer fra en venn» stort sett blir behandlet forskjellig av spamfilterne.

      For dem som spammer er en mail med falsk avsender mindre verd en en mail som faktisk blir sendt fra en du kjenner sin mailkonto.

      Dessuten er selve kontaktlisten du får tilgang til ved å bryte deg inn på en annens konto mye verd. Det er som oftest en lang liste over fungerende mailadresser til ekte mennesker. I motsetning til de fleste spamutsendelseslister. De inneholder enorme mengder adresser som ikke når ekte mottakere.

  12. For å unngå automatisk keylogging av passord kan man bruke musen til å modifisere inntastingen.

    I stedet for å skrive «Passord» kan du skrive «tullPassord», så merke de fire første bokstavene og slette dem.

    Svar på denne kommentaren

  13. Tekno episode 2 – Med DLD, Watson og fremtidsvisjoner

    […] Selv om folk flest ikke har så mye direkte ulovlig å skjule er det mange som lurer på hvordan de kan beskytte seg mot lagringen. Som vi er inne på i programmet skal du virkelig konsentrere deg om du skal klare å skjule alle spor. Men det finnes en del løsninger der ute. Vi i NRKbeta-redaksjonen reiser en del og trenger kryptering når vi kobler oss til usikrede nett på hoteller og andre steder. En liten bivirkning vil den typen løsninger som da kreves er at de også gjør det vanskeligere for andre å holde styr på hvordan du bruker nettet. Vi har skrevet om dette i artikkelen Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett. […]

    Svar på denne kommentaren

Legg igjen en kommentar til Juba Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.