Varning: Enkelt att hacka våra elnät

[gaidin]

Men en länk installerar inte programvara.

Nej, man behöver klicka på den först.

 

[Jaggatagga]

I slutet av november utsatte Malmö stad sina 3 500 anställda för ett test, en fejkad ”phishing-attack” med målet att komma åt inloggningsuppgifter. Men kommunen blev tvungen att stoppa testet i förtid – efter att en tredjedel av mottagarna gått i fällan, rapporterar Sydsvenskan.
[bild]

Vid en riktig ”phishing-attack” brukar mottagare få 72 timmar på sig att klicka på länken i mejlet. Men efter bara 27 timmar hade 1 121 anställda i Malmö stad klickat på länken, motsvarande 32 procent av arbetsstyrkan. Anmärkningsvärt med tanke på att målet är att bara fem procent av de anställda ska gå i fällan, säger Jan Olsson, kriminalkommissarie på polisens nationella it-brottscentrum.

– Det här upprepar sig gång på gång vid den här typen av tester. Vi som människor är usla på att tänka efter en sekund innan vi agerar.

Dom blev till och med varnade i förväg!
[bild]

Källa Sydsvenskan (betalvägg? +allt)

Mm och det där är inte användarnas fel.

När man byter lösenord i Windows (vilket man tvingas till på jobbet) måste man typ ange det nya i tre fyra fönster i en massa olika popup rutor.

Att folk anger sina lösenord lite över allt är ett självförvållat problem. De tränas till det.

 

[Fairlane]

När man byter lösenord i Windows (vilket man tvingas till på jobbet) måste man typ ange det nya i tre fyra fönster i en massa olika popup rutor.

Måste man? Det har jag aldrig gjort.

 

[pacman42]

Måste man? Det har jag aldrig gjort.

Det är inte Windows som är problemet, det är att man har ett gemensamt lösenord som används i flera olika system på företaget eller den offentliga arbetsgivaren. Jag har samma bekymmer hos min arnbetsgivare. Det finns flera olika backend-system som använder samma användardatabas, men de har olika inloggningar ändå. Det har dock blivit bättre och bättre de två senaste åren då många av dessa system nu "känner av" vilken databas som används och då kan använda sig av samma popup och då klarar Windows och webbläsarna av att inse att det är samma användare formation som de redan har lagrad.

 

[useless]

och då klarar Windows och webbläsarna av att inse att det är samma användare formation som de redan har lagrad.

Får ni spara lösenorden i webbläsaren? På mitt jobb har man stängt av den funktionen av säkerhetsskäl. Resultatet är att folk har så enkla lösenord som möjligt och samma lösen till alla olika system för att slippa komma ihåg flera olika...

 

[CattenJansson]

Forskare har testat hur enkelt det är att hacka elnätet, och resultatet var nedslående.

Du kan läsa artikeln här: Varning: Enkelt att hacka våra elnät

Sverige ligger lite bakom när det kommer till att jobba med ”Exposure Management”.

Vill en hackare in, så kommer dom in.

Det enda man egentligen kan göra för att skydda sig är att proaktivt se till att det finns så lite sårbarheter som möjligt för hackarna att utnyttja när dom väl är inne.

Patcha allt, fixa dåliga konfigurationer och övervaka AD för hitta felaktiga konton osv och använder man publika moln så måste man även hålla koll på samma saker där.

Det kräver lite jobb men det är väl värt det.

 

[Fairlane]

Det är inte Windows som är problemet, det är att man har ett gemensamt lösenord som används i flera olika system på företaget eller den offentliga arbetsgivaren. Jag har samma bekymmer hos min arnbetsgivare. Det finns flera olika backend-system som använder samma användardatabas, men de har olika inloggningar ändå. Det har dock blivit bättre och bättre de två senaste åren då många av dessa system nu "känner av" vilken databas som används och då kan använda sig av samma popup och då klarar Windows och webbläsarna av att inse att det är samma användare formation som de redan har lagrad.

OK, dålig konfiguration isåfall som inte använder exempelvis SAML.
Jag har varit på ett ställe där jag hade stora problem att sätta mitt första lösenord i Windows (eller mer korrekt, AD) så den hela tiden envisades med att jag inte uppfyllde lösenordspolicyn. På sedvanligt Windows-maner så talar den ju inte om kraven så jag fortsatte med längre lösenord (stora och små bokstäver, siffror och specialtecken hade jag redan), till en kollega förklarade att jag inte fick ha så komplicerade lösenord... Om jag minns rätt så var det exakt 8 tecken och inga specialtecken som gällde. Orsaken var att man synkroniserade det med att gammalt system som inte klarade något annat... 🙄

 

[Unikt namn]

Gamla skitsystem är roten till mycket ont.

 

[cpalm]

Gamla skitsystem är roten till mycket ont.

Nya skitsystem också för den delen... 😆

 

[lars_stefan_axelsson]

Det enda man egentligen kan göra för att skydda sig är att proaktivt se till att det finns så lite sårbarheter som möjligt för hackarna att utnyttja när dom väl är inne.

Ja, det är bra. Men det ignorerar hela "bakändan," dvs de tre sista leden i NIST-modellens: identify, protect, detect, respond, recover. *)

Men att säkerhet kostar pengar i övervakning och beredskap för att svara, är fortfarande ett svårsmält budskap. Ja, dvs inte som förr, då det var stört omöjligt, men vi är fortfarande inte riktigt hemma.

Dock har vi några markeringar i vinstkolumnen; Ransomware är t ex idag på ut-döende. Man utpressar genom att hota med att publicera "stulen" information istället. Ren ransomware i form av kryptering och utpressning är i stort sett helt borta eftersom säkerhetssystem idag kontinuerligt kontrollerar om lagrad information krypterats och larmar om så skett. Denna åtgärd har visat sig mycket framgångsrik på förhållandevis kort tid.


*) Det är fö just de delarna jag själv jobbat med de senaste trettio åren, ja, dvs jag firar officiellt trettioårsjubileum nästa år.

 

[pmd]

Det är nog inga tillverkare av värmepumpar, inverters, batterier, tvättmaskiner, robotdammsugare, etc som är i närheten av den supportkapacitet som skulle behövas om varenda kund skulle tvingas logga in med nåt annat än ett lösenord på en klisterlapp på appparaten...

Varför ska man behöva logga in i sin egen apparat?

 

[pmd]

Nej, en dator ska inte kunna hackas flr att man går in på fel hemsida.

Ja, och det ska inte finnas buggar i programvara.

 

[Alfredo]

Varför ska man behöva logga in i sin egen apparat?

Det är väl rätt brukligt? Jag måste exempelvis logga in i mina egna datorer.

 

[pmd]

Om du klickar på en länk som installerar ett övervakningsprogram från mig som interceptar tangentbordet, då kan jag göra mycket roligt.

Är det vanligt att webbläsare installerar programvara bara för att användaren har klickat på en länk?

 

[pmd]

Det är väl rätt brukligt? Jag måste exempelvis logga in i mina egna datorer.

Eventuellt är det bra, men det är inte en otvetydig sanning. Jag brukade ha autologin på min Mac i flera decennier.
Det var mycket bekvämt.

Efter att ha hällt ett glas rödvin i datorn (en laptop) i höstas ändrade jag dock policy. Det innebar en viss risk att inte ha ett loginlösenord på datorn när jag lämnade in den till en Mac-verkstad för reparation. Lyckligtvis var datorn stendöd så datorreparatörerna fick aldrig chansen att "logga in".

Numera loggar jag in i datorn med fingeravtryckläsaren.

Men jag tänkte mer på apparater som tvättmaskin, L/L-värmepump och annat i den stilen som man kan konfigurera så att man behöver logga in för att utföra vissa uppgifter.