Tom Heine Nätt og Christian F. Heide. Datasikkerhet

Transkript

1 Tom Heine Nätt og Christian F. Heide Datasikkerhet

2 KAPITTEL 1! " # $ % & ' & ( ) * + *, & - * '. ' / ' 2 ) 3 & ( : ; < = 8 9 > 7? ) A (. ),. 1 ( A,, 1 ( & B C D E C - F, *, D. ) G ; H I J K ; L 8 J J ; M ; > N O? I J ; : ; I 8 J J ; L P ; H I H 8 9 H 7 J = ; J? 8 I J : 7 H 7 I 8 J J ; L P ; H Q C R * & -., D *,.. ) *, D 5 6 S L T S L T U? > ; L ; L I S V ;? > 8? ; ; L 8? > < W I X J S 9 S > 8 Y? T S L M 7 I K S? KAPITTEL 2 Z [ \ C ) ] & - 1 (, *, D & 0. ^ B C 1 ' _ ^ B C 1 ' C D 1 0 *, F. - ` 9 7 I I 8 I J I 6 8? : ; 9 W P 8 I P 8? > a b L ; :? 8? > 7 6 I J 7 : ; 6 7 L ; a 6 8? : 9 ; L? ; I ; c b S I H 9 8 I H ; L d S b b : 7 > ; I O b b ; 9 b S I H Q B C ) *, D D e.,, C +. ^ B C 1 '

3 fg g h i j k } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } l 0 - m ' ' *, D n c b S I H J 9 8 ;? H ; L o ; 9 9 S M 9 ; : : ` L X b H ; L 8? > 7 6 ; c b S I H / ) + C ' ' & (. )., KAPITTEL 3 # p. ' ' 1 0 *, F. - ` S b 8 ; L 7 6? ; H H I 8 : ; L W P 8 I P 8? > c? ; H H I 8 : ; L Y? T S L M 7 I K S? I H X 6 ; L 8 ` 9 7 I I 8 I J I 6 8? : ; 9 a b L ; :? 8? > 7 6 I J 7 : ; 6 7 L ; V J ; : ;? ; H H I 8 : ; L p. ' ' & F ) ) q b b r X >? 8? > ` S L H 7 : L ; I I ; L q M : 8 L 8 > ; L 8? > s A 3 - * 1. ) *, D B 2,. ' ' KAPITTEL 4 [! t u # v & D D C F. B & 1 1 C ) F N?? > w b 7 I I S L : M ; : b ; L I S? 9 8 > 8? T S L M 7 I K S? N?? > w 6 7? 9 8 > ; b 7 I I S L : N?? > w S L : 9 8 I H ; b 7 I I S L : N?? > w J S L H ; b 7 I I S L : M ; : ;? J 9 ; H ; >? 5 6 S L : 7? 9 7 > ; ; H > S : H b 7 I I S L : < x ; > L ;? I? 8? > ; L 8 I X I H ; M ;? ; y K ;? r L U J 7 6 b 7 I I S L : z. ) ( ' { m ] C ) 2 (,. ( (. B & 1 1 C ) F s. ) 1 C, - * D E 2, F '. ) *, D & 0 B & 1 1 C ) F Y J J ; > 8 b 7 I I S L : ; H H 8 9 7? : L ; e.,. 1 '. ) 1 E 2, F '. ) *, D & 0 B & 1 1 C ) F y 9 ; M H b 7 I I S L : W 7 I I S L : P 8? H ` 9 7 L H ; J I H b 7 I I S L : C ^ ] & ( ' C ) ^ & A '., ' * 1. ) *, D

4 fg g h i j k _ -. ( ' ) C, * 1 ( * F., ' * '. ' ~ ). ' ' * D ' * - D &, D ' * - 3 ) A (. ) ( C, ' C. ) W 7 I I 8 6 r L U J J H 8 6 r L U J J ; r L U J ; L J S? H S ; L P 7 L 6 8 < KAPITTEL 5 " # [! "! $! #! \ m 1 * 1 ( ' * - D &, D q M > w 7 U H ;? H 8 I ; L 8? > o 7 I J 8? 6 7 L ; W S : I 9 U L b 8? > Q 0 & ( E. '. ) * B ) C D ) & + 0 & ). o 7? > ; 9 b w S b b : 7 H ; L 8? > ; L \ e. ), 1 ' m ) *, D Q * ( (. ) C B B 3. 0 & ) *, D & 0 F & ' & ` L X b H ; L 8? > 7 6 : 7 H 7 a 8 J J ; L P ; H I J S b 8 ; L ( 0 * ' '. 1. D +. F + & 1 ( *, 0 & ) ) A ( & 0 &, F ). 1 + & 1 ( *,. ) Q ( m ' e.,. 1 '. ) = K ;? ; I H ; 9 ; 6 ; L 7? : O L ;? ; x ; I J X H H ; 9 I ; 7 6 : 7 H 7 = 8 9 > 7? > b w : 7 H 7 x L U J ; L ;? % & ' & + & 1 ( *,. ). ) * ( (. -., D. )., s ƒ n? P ; H ; L 8 P K ; M S > J S? H S L ` K O L ; H O X KAPITTEL 6! # a J 7 : ; 6 7 L ; ` 7 r 9 ; : ; 9 S J 7 9? ; H H = L w : 9 O I ;? ; H H W L S X I ; L 6 ; L % p Q G a c T S L T 7 9 I J? 8? >

5 fg g h i j k } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } G a c J 7 b L 8? > G a c X H H 8? > p. ' ' 0. ) ( 1 A ' 1 ' m ) &,, + A ). ) KAPITTEL 7 ˆ t # $! / s Q ` L X b H ; L 8? > U H ;? H 8 I ; L 8? > 5 6 S L T S L r ;? X H H ; I T S L H I 7 H H 5 = = W < 5 6 S L J 7? H 8? > > w > 7 9 H M ; : 5 = = W a <,, - C D D. F e C,. ) a H K ; 9 ; 8? T S L M 7 I K S? I J 7 b I 9 ; L < a S V ;? > 8? ; ; L 8? > a ; I K S? ;? ; I U H 9 O b I H 8 : Q B C ) *, D 0 * & *, ] C ) + & 1 e C, 1 ( & B 1 -. ) p. ' ' 1 * F. ) +. F B & ) & +. '. ). o 7? 8 b U 9 7 I K S? I? 8? > a H K ; 9 ; : 7 H 7 q 6 ; L 6 w J? 8? > / & R (. F.,. ' ' e.,. 1 '. ) Š L S I I c I 8 H ; I V L 8 b H 8? > Œ a a Š L S I I c I 8 H ; L ; Ž U ; I H T S L > ; L X Š a KAPITTEL 8 Q ( & F. 0 & )., 1 C B B 3 m D, *, D Q B ). F, *, D C D *, ]. ( 1 e C, 8 L U I q L M = L S K 7? ; L G L 8 6 ; c r X c : S? 9 S 7 : o 7 J L S 6 8 L U I, ( A 3 & 1 e C, p m ' '. - & 1 ' 5 L 6 ; L J J S? S M 8 I J 6 8?? 8? > a b L ; :? 8? > 7 6 b L S b 7 > 7? : 7 S > L ; J 9 7 M ;

6 fg g h i j k a b 8 S? 6 7 L ; S S H J 8 H I a 8 >? 7 H U L r 7 I ; L H : ; H ; J I K S? 5 ; U L 8 I H 8 J J a? U r 9 ; H L w : ; L N H T S L : L 8? > ; L S > I 6 7 J P ; H ; L 6 ; : 7? H L U I b L S > L 7 M M ; L K ; L? 8? > \ ). + ' * F., 1 1 ( & F. 0 & ). = H 6 ; J J ;? : ; I J 7 : ; 6 7 L ; Y? H ; > ;? H I J 7 : ; 6 7 L ; a J L ; : : ; L I X : : I J 7 : ; 6 7 L ; a ; 9 6 S b b : 7 H ; L ;? : ; I J 7 : ; 6 7 L ; N H 6 8 J 9 8? > I 6 ; L J H O X S > M 7 9 ; L T S L I J 7 : ; 6 7 L ; a S I ; M ; : 8 ; L x S H? ; H H / C & KAPITTEL 9 " t $ # l B B - * ( & 1 e C,. ) = 8 9 > 7? > I L ; H H 8 > P ; H ; L o S r 8 9 I J 7 : ; 6 7 L ; J S? S M 8 I J I 6 8? : ; 9 N J K ;? H ; J 8 9 : ; L 7 9 I J ; 7 b b ; L \ m 1 * 1 ( ' * - D &, D C D 1 * ( ) *, D a J K ; L M 9 w I N a x c H 8 9 J S r 9 8? > o 8?? ; J S L H a b S L 8? > S > T K ; L? I 9 ; H H 8? > ` 7 I H S > I 7 9 > 7 6 M S r 8 9 ; ;? P ; H ; L C + + A, * ( & 1 e C, = L w : 9 O I ;? ; H H x 9 w H 7?? 0. ) 0 2 (, *, D = 8 9 I H ; : ; 6 L ; 9 I ; Q Q a o a c I 6 8? : ; 9 & * - 3 ). & ( *, D C D ) C C ' *, D

7 fg g h i j k } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } } KAPITTEL 10 $ " š $ V ; L 7 b ; W P 8 I P 8? > s. ) 1 C, 0. ), *,, 1 ' * - - *, D. ) a H 7? : 7 L : 8?? I H ? > ; L a b L ; :? 8? > : ; 9 ; L 7? : L ; S M M ; > < a J K U 9 H 8? T S L M 7 I K S?? I J ; H S M b ; L I S? 6 ; L? ;? : L ; L I ; > S 6 ; L H 8 : Q 0 *, F. - ] ) & œ 0.,,. ) L ; M M ; : ; KAPITTEL 11 $ " š $ ž \ & - 1 ( *, ] C ) + & 1 e C, z.,,. ) C D ( C, ' & ( '. ) 7 9 I J ; 6 ;?? ; T S L ; I b O L I 9 ; L / { 1 ' *, D & 0 *, ] C ) + & 1 e C, Y : ;? H 8 H ; H I H X 6 ; L 8 = L 7 : 8 I K S? ; 9 9 J L 8 M 8? H ; H a S V ;? > 8? ; ; L 8? > S > I 6 8? : ; 9 N H b L ; I I 8? > Ÿ S r r I O J ; L ; L r ; 8 : I > 8 6 ; L ; q T T ;? H 9 8 > ; S > b L H ; 8? I H 7? I ; L a H 7 9 J ; L ; T 7 M ; S > 6 ;?? ; L ). F e. B & ) ' 1 ' e.,. 1 '. ) b b ; L ; H H I 8 : ; L S > b L S > L 7 M 6 7 L ; - * ( ( & B ) *, D / 0 & œ - * (. ) 0 *. D., ' - * D 4 0. ) 0 2 (, *, D l, C, m +. 1 C 1 * & F *. ) p. ' ' F & ' *, D KAPITTEL 12 # # $! # t # e { B & 0 0 & ). ) C D ' e.,. 1 '. ) a J U T T ;? : ; 6 7 L ; L

8 fg g h i j k 7 L 9 8 > ; 6 7 L ; L Y J J ; c ; J I 8 I H ; L ;? : ; 6 7 L ; L 7 J 9 ;? : ; r U H 8 J J ; L ` S b 8 ; L 7 6 ; J I 8 I H ; L ;? : ;? ; H H r U H 8 J J ; L o 7? > ; 9 b w L ; H H 8 > P ; H ; L q b b : 7 > ; I 6 8? : ; 9 r U H 8 J J ; L U J I K S? I H K ;? ; I H ; L 7?? S? I ; H K ;? ; I H ; L S > M 7 L J ; : I b 9 7 I I ; ' & - *, D B 2,. ' ' 7 > L 8? > 7 6 J S L H : 7 H S > S I 6 8? : ; 9 a b 8 S? 6 7 L ; S > J ; X 9 S > > ; L I 7 7? : L ; H 7 L 8 I 8 J S ;? p. ' ' 3 &, ( W P 8 I P 8? > a J 7 : ; 6 7 L ; KAPITTEL 13 # # / 0 C ) ] C ) D 2 ) F. ' D & - ' 4 n? J S M b S? ;? H r L U J ; I M 7? > ; I H ; : ; L Y? > ;? 9 7? > T 7 > H L 7 : 8 I K S? a 8 J J ; L P ; H? ; : b L 8 S L 8 H ; L ; I ` S M b 9 ; J I 8 H ; H a H ? > I J L 8 > y 7 M M ; 9 H ; J? S 9 S > 8 I S M 8 J J ; 9 7 L I ; > ;? : L ;? : L ; P ;? I X? / 0 & ( &, 0 * 1 C + 3 ) A (. ). D e { ). 4 \ ). + ' * F 1 A ' 1 * ( '. ) $ #! p C ) 1 ( _, D. - 1 ( _, D. - 1 ( p C ) 1 (!

9 l s _ v ª «ª 28 Et velkjent problem med datasikkerhet er at vi glemmer å tenke på hvem hackerne er, hva de vil, og hvilke metoder de har til rådighet. De som driver med det vi kan kalle «klassisk datasikkerhet», fokuserer i mange tilfeller på svært avanserte tekniske løsninger, mens mange av svindlerne bruker enkle teknikker som ikke dekkes av dette. Ser vi på bøker og undervisning om datasikkerhet, forklarer de ofte i detalj over titalls sider hvordan en krypteringsalgoritme fungerer, og hvor sikker den er. Dessverre forklarer de sjelden når og hvordan den skal brukes, og det faktum at informasjonen ofte stjeles når den er ukryptert under utarbeidelse eller lesing. Selvsagt trenger vi personer som kan denne typen datasikkerhet, men det er viktig å utvide den med flere perspektiver. Dette smitter over på brukere som tror at teknologien skal klare å løse alle problemer. Brukere tror at de er sikre så lenge de har installert brannmurer, antivirusprogramvare og de siste oppdateringene. Dette hjelper selvsagt mye, men utenfor denne rammen faller en rekke angrepsformer som er rettet mot deg som person, og ikke mot teknologien. I visse tilfeller kan slike verktøy til og med virke mot sin hensikt ved at brukerne blir sløvere fordi de tror de er sikret mot «alt» gjennom verktøyene. Hackere og svindlere fokuserer imidlertid i stor grad også på å «hacke brukerne» gjennom forholdsvis enkel teknologi og psykologi istedenfor selve systemene. Bruce Schneier uttrykker behovet for denne ikke-teknologiske delen av datasikkerheten veldig godt ved å si: ± ²³ µ ¹ º» ¼ ½ ¾ ²» ¹ ¼ ½ ³ º ¹ ½ ½º ²¼ º ³ ²»» º À º ³ µ Á ²¼ ¾ º  À ¹ µ À ± º» º ¼ Á ³ à ³ ²»» º À º ³ µ Á ²¼ ¾ º ¼ º º ½ ½º º» ¼ ½ ¾ ²º ¼ Ä Å Æ Ç È É Ê Ë Ì Í È Ì Ë Ë Î È Ì Í Når vi tenker datasikkerhet, tenker vi oftest på hackere som innehar stor teknisk kompetanse, og som fokuserer på å knekke de tekniske sperrene i et IT-system. Det er få som er klar over hvor stor del av dataangrepene som har svært lite med teknologi å gjøre. De tradisjonelle tekniske hackerne fokuserer i stor grad på å benytte sin kunnskap til å knekke den tekniske sikkerheten i svært ettertraktede og kompliserte

10 % l l Q _ Ð / _ Ñ % l l Ð p l v _ mål som banker og offentlige etater. Vanlige brukere er derimot langt mer utsatt for angrep som baserer seg på psykologi og noen forholdsvis enkle tekniske triks. Målet kan for eksempel være å få ofrene til å utføre handlinger eller dele informasjon. Teknologien er dermed bare et verktøy for å svindle brukeren, ikke målet i seg selv. Den delen av angrepet som har med teknologi å gjøre, baserer seg stort sett på at få brukere vet hvordan verktøyene og tjenestene de benytter hver dag, fungerer «bak kulissene». For teknisk kyndige personer er ikke slike teknikker ukjente eller spesielt avanserte. Innenfor datasikkerhet kalles fokuset på å «hacke» brukerne istedenfor systemene social engineering. Den menneskelige faktoren viser seg gang på gang å være sikkerhetens svakeste ledd. Svært mange av angrepene vi beskriver i denne boka, er avhengig av at mennesker blir lurt. Ò Ó Ô Õ Ö Õ Ø., ( F. D & ', C., {, 1 (. ) 2 ] 2 E., '. ' A ' ). D, 1 ( & B. ' ' * -., 3. F ) * ] ' Ù %. ( &, F & %. ' '.. ) C ] '. 1 0 Ú ) ' ( ). 0., F. Û C D 3 & ( +.,,.,. 1 ( & - E & D C F. ( A,, 1 ( & B. ) ] C ) 2 ( - & ). F. ' Ù., ( F. D 1 2 * 1 '. F., & ', C., -. D D. ) ] ) & 1. D., + *,,. B *,,. B 2 B & ) (. ) *, D 1 ^ B - & 1 1., F. ) -. F. - 1., ' * - 3. F ) * ] '., B & ) (. ). ) Ù p 2 )., &, 1 & ' ' ( C + +. ) B 2 & ) 3. * F Û 29 B. ) 1 C,., +. F 1. D + *,,. B *,,., *,, B 2 ( C, ' C ). ' C D 1. ' '. ) F., * s ƒ ^., Ù B. ) 1 C,.,. ' F C ( A +., ' 1 C + *,,. E C - F. )., ƒ z Û C D F. ) +. F C D 1 2. ', & 0, C D., & F ) Ù s. ) 1 C,., -. D D. ) *,,. B *,,., *., ( C, 0 C - A ' ' C D 1., F. ) F., ' * - & F ). 1 1., * ƒ z ^., Û * F., ' ) C & ' E &, D e { )., D C F D e. ), *, D Ù s ) C '. ) & ' B. ) 1 C,., 1 C + - & + *,,. B *,,., B 2 B & ) (. ) *, D 1 B - & 1 1., Û C D 1 C + C D 1 2. ) + C ' ' & (. ) & 0 ] C ) 1., F. - 1., Û *, ( - A F. ) '.. ' - * '. B ) C D ) & + B 2 + *,,. ^ B *,,., Ù %. ' '. B ) C D ) & + +. ' Û 1 C + F. ' -. ' ' ( &, E., '. 1 C B B 1 ( ) * ] '. ) ' * - B 2,. ' '. ' Û 1 ' & ) '. ' & A ' C + & ' * 1 (, 2 ). ' & 0 F C ( A +., '., B,. ' Û C D F. ' ( C B *. ) '. 1 2 * F. ' 1 ( e A - '. C 0. ) & - -. ). D,. & ) ( F C ( A +., '. ) ] ) & C ] ]. ). ' 1 + & 1 ( *, ' * -., 1 ( e A - ' + & B B. ^

11 l Q p _ Ð Û s Ð Ñ Ð l z l Ð _ Ñ % l l v l Ñ Ð p Ñ Ü Ý Ë Î Ì Å Þ ß Î È Ì Í Det finnes mange verktøy som lar deg fjernstyre en maskin. 29 Flere av disse verktøyene viser en kopi av maskinens skjerm og kan la andre fjernstyre maskinen din via egen mus og tastatur. Andre verktøy er tekstbaserte og lar en annen person kjøre kommandoer i bakgrunnen på din maskin. 115 Dette er legitime verktøy som har en klar hensikt. De lar administratorer drifte en maskin som er plassert et annet sted, eller det kan ytes såkalt fjernhjelp til personer som har problemer med maskinen sin. Alle disse verktøyene er imidlertid også en gavepakke til hackere. Dersom verktøyene er aktivert hos offeret, og hackeren klarer å åpne en tilkobling, vil hackeren oppnå det som tilsvarer fysisk tilgang til maskinen, selv fra den andre siden av jordkloden. Begrensning av tilgang til fjernstyring foregår ofte ved hjelp av brukernavn og passord til brukerkontoene som allerede finnes på maskinen. Alternativt må de utenfor kjenne en kode for å kunne koble på. I flere av verktøyene må også 29 Windows leveres med sitt eget system for fjernstyring kalt Remote Desktop. Teamviewer er et annet populært produkt.

12 l s _ v à tilgangen godkjennes av maskinens eier. Social engineering er derfor en vanlig benyttet teknikk for å lure eieren til å gi tilgang. Ò Ó Ô Õ Ö Õ Ø _, ] ). + D &, D '. 1 C *, F -. ). E & ) 3 ) A ( ' F., 1 * 1 '. ' * F., Û. ) 2 ) *, D. F. D B 2 '. -. ] C, C D C B B D * & ' F. e C 3 3. ) ] C ) * R ) C 1 C ] ' Ù %. 3 ) A (. ) 1 C R * & -., D *,.. ) *, D ] C ) 2 1 ( & B. ' * - - * ' 0. F 2 3. F. D -. '. ] ). + ] C ) 1 ( e. - - * D *, ] C ) + & 1 e C, B 2 + & 1 ( *,., F *, Û 1 C + F A ). ) B 2 C + 1 ' ) C 0. )., 1 +. F *, ] C ) + & 1 e C,., F. E & ) Ù Q. - 0 C + F * 1 1. C B B - m 1, *, D.,. 0 * ) (. ) 1 0 Ú ) ' '. (, * 1 (. Û. ) F. - * (. * & m 1 '. +. ) Û C D F. '. ) F. ) ] C ) -. ' ' ] C ) 1 0 *, F -. ),. 2 0 * '. E 0 & 1 C + 1 ' 2 ) B 2 1 ( e. ) +., F *, Ù _ ' '. ) 2 E & ] 2 ' ' ' * - - * '., F *, Û 1 ( & - F. E e. - B. F. D +. F * ( 0 * ' ' F & ' & 0 * ) A ) &, F ). B ) C ) Ù %. ' F. * 0 * ) (. - * D E. '., D e { ) Û. ) 2 ] 2 F. D ' * - 2 *, 1 ' & - -. ) ) 1 ' & ) '. B ) C D ) & + +. ) ] C ) ] e. ), 1 ' m ) *, D Û F. 1 1 A '., C B B D * ' * - ( C 3 - *, D 1 *, ] C ) + & 1 e C, C D 2 B,. ] C ) ' * - ( C 3 - *, D A '., 0 * F. ). D C F ( e.,, *, D & 0 F. D Ù %. ) +. F ( &, F. 1. F. ' F A 1. ) B 2 1 ( e. ) +., á C D ) A (. ), & 0, Û 3. ' & - *, D 1 ^ ( C ) ' *, ] C ) + & 1 e C, C 1 0 Ùâ Û, 2 ) F. + 2 ' '. {, 1 (. F. ' Û C D C D ' m ). + & 1 ( *,., F *, Ù 116 Slike fjernstyringsverktøy kan også komme i form av skjult skadevare som er blitt installert på maskinen. De inneholder logisk nok ingen tilgangskontroll, og er så godt som usynlige for brukeren. Mer om dette i kapittelet om skadevare. ã ä Õ Ó Ó Ø å Ô æ Õ ç è ä Õ é ê Ô æ ë é å ê ì / & & - - ' * F ] e. ), 1 ' m ) *, D., & 0 1 ( ) A F F &, ' F A * ( (. 3., m ' '. ) F., & ( ' * 0 ' ) A ( B & 1 1 C ) F B 2 3 ) A (. ) ( C, ' C. ) Ù * - - & ' & - F ) * ] e. ), 1 ' m ) *, D 1 C + F A * ( ( ' & ) *, * ' * & ' * 0 ' * - Ù \ { - D & - - ' * F, { m. +. F B 2 E 0 & 1 C + 1 ( e. ) B 2 + & 1 ( *,., C + F A - & ) &, F ). ] e. ), ^ 1 ' m ). F., Ù Å È í í Ë Î Æ î î ï Ë ð É Î È Ì Í É ð ñ É Þ É Uansett hvordan vi vrir og vender på det, er det i bunn og grunn våre data (altså det som er lagret på maskinen) vi er redde for. At en maskin ikke starter, eller at en hacker får tilgang til en brukerkonto, er ikke selve krisen. Problemet er at vi ikke lenger får tilgang til dataene våre, eller at de blir lest eller endret av andre.

13 l s _ v ó ô õ Få mobile enheter krypterer i dag informasjonen på minnekortene som er i bruk. På samme måte som vi beskrev med harddisker i en ordinær maskin, kan minnekortene derfor enkelt plukkes ut av en mobil enhet og settes inn i en minnekortleser på en annen maskin. Slik kan uvedkommende få full tilgang til innholdet. ö õ ø õ ø ù ú ª û ø 230 I lengre tid har det eksistert apper som kan tilby sporing og fjernsletting av en stjålet enhet. Denne funksjonaliteten er nå også tatt inn i flere mobile operativsystemer og kan redusere konsekvensene av flere sikkerhetsutfordringer som er beskrevet angående fysisk sikring. Samtidig åpner dessverre også disse funksjonene for nye problemer. Hva om noen får tilgang til administrasjonen av sporingen og fjernslettingen? Som oftest skjer denne administrasjonen gjennom en nettside med innlogging via brukernavn og passord. Som tidligere beskrevet er det ikke usannsynlig at noen kan komme inn på slike personlige brukerkontoer om vi ikke er flinke til å beskytte oss. Med tilgang til administrasjonen kan vår posisjon bli overvåket av andre, eller noen kan plutselig fjernslette hele enheten vår. Har vi en komplett sikkerhetskopi (som alle bør ha), er en fjernsletting irriterende og tidkrevende. Om vi ikke har sikkerhetskopi, mister vi viktige data for godt. Selv enklere løsninger kan vise seg å være et sikkerhetsproblem. Enkelte enheter har for eksempel en funksjon der et visst antall forsøk på rad med feil PIN-kode på skjermlåsen sletter all informasjon. Dersom denne funksjonen ikke har en tidsforsinkelse mellom forsøkene, kan noen enkelt tømme enheten vår for data i et ubevoktet øyeblikk. Ò Ó Ô Õ Ö Õ Ø & B ) *, D & 0., E. '. ) 0 & )., B - & D. 1 C + E. ) e. ' l B B -. ^ 3 ) A (. ). 0 2 )., ü ý þ Ù %. ' ' ) & B B C ) '. ) ' 3 - &, ' &,,. ' & 0 F., & A 1 ' ) & - 1 (. & 0 * 1., E. Q m F,. m C ) ^ 3. 1 ( e. F C ' & -. *,, ÿ ý ý ' * -., s & m s & - ^ ( C, ' C ] C ) 2 ] 2 ' * - 3 & (. ( C, ' ) C - -., C 0. )., E. '., Ù

14 @ v p / _ _ Ð %. ' 0 * 1 '. 1. D & ' E & R (. ),. E & F F. A ', m ' '. '., ] A, ( 1 e C, * l B B -. ^ B ) C F A ( '. ) ] C ) ] e. ), *, D Û F. )., 0 * & * ƒ - C A F ( &, C D 1. ' '.., ( C F. B 2., E. '.,. Ù \ A, ( ^ 1 e C,., 0 & ) +., ' 1 C +. ' & - '. ), & ' * 0 ' * - ] e. ), 1 -. ' ' *, D C +., E. '., ' e 2 -. ' Ù l - ' E & R (. ),. ' )., D '. 2 D e { ). Û 0 & ) 2 ] 2 ' * - D &, D ' * - 3 ) A (. )., 1 l B B -. % á 3 ) A (. ) ^, & 0, C D B & 1 1 C ) F â C D 1 2 & ( ' * 0. ). œ + * 1 '. ' ^ + C F A 1 Ù \ A, ( 1 e C,., E & F F. C D 1 2., + A - * D E. ' ' * , F F *, D. ) ' * - œ ' m 0., Û 1 C +, 2 ] & ( ' * 1 ( 0 & ) 3 ) A (. )., Ù F., A, * (. ( C F., 1 C '. C B B., E. '., * D e., Ù 231! " #! " $ % & ' $ & (

15 Å l s _ v ó kjennskap til hvilken ID som er vår, vil de ved hjelp av enkelt utstyr kunne overvåke når utstyret vårt er til stede. Dette kan for eksempel gi arbeidsgivere informasjon om oppmøte, og innbruddstyver kan få informasjon om når vi ikke er hjemme. Ò Ó Ô Õ Ö Õ Ø 1 ' & 1 e C,. ) ] C ) + C 3 * -,. ' ' * 1 - C Ù %. 0 & ) 3 - &, ' &,,. ' B - & 1 1. ) ' * C + ) 2 F. ' ) A, F ' Q ' C ) ' *, D. ' Û Q ' & ' 1 + *, * 1 '. )., 1 ( C, ' C ) C D s & ) ( 0. *., Ù % * ( & - '. Q ^ R & ' R E. ),. ( &, & 0 '. -. ] C,., 1 Q ^, A + +. ) Û 1 C +. ). ' A, * ( ', A + +. ) (, m ' '. ' ' * - Q ^ ( C ) '. ' Ù z. F 2 B - & 1 1. ). 1 - * (. ] & - 1 (. 3 & 1. ^ 1 ' & 1 e C,. ) ) A, F ' * 1 - C ( &, 3 & ( +.,,.,. C 0. ) 0 2 (. E 0 C ) 3. 1 '. + '. '. -. ] C,. & 1. 1 ' & 1 e C,., C B B F & D. ' ] C ) F * F. 3 & ). 0 & ) & ( ' * 0. * 0 * 1 1. ' * F 1 ) C + Û ( C B * ^ 240 ' * - -. D D ] C ) ] & - 1 (. ' F. 0. ) F *.,. 1 C , F ' A ' Û 1 - * ( & ' F. 1 ( A * F., ] C ). ^ ' ) A (,. 3 & 1. 1 ' & 1 e C,., ] C ) ' * - ( C 3 - *, D Ù % & F.,,. 3 C ( & ( ). 0. ' Û 0 & ) 1 & (., E. - ' * 1 *, 3. D m,, Û C D F. ' 0 & ) * ( (. C ] ]., ' - * D ( e., ' C +, C., 0 * 1 1 '. E C + 1 ' C F 3 & ( Ù %. ' 3 -. * + * F -. ) ' * F 1 B. ( A ^ -. ) ' * C + F. ' ( A,,. 0 Ú ). 1 B * C, A ' 1 ' m ) ] ) & A '., - &, F 1 (.. ' '. ) ). ', *, D 1 ' e.,. 1 '. ) Ù ' * - -. D D ' * - 2 C 0. ) 0 2 (. B C 1 * 1 e C,.,. ) F. ' C D &,, 1 m, - * D & ' 3 & 1. 1 ' & 1 e C,. ^ '. -. ] C,.,. Ù ) " * # % # # Å + Tidligere i boka har vi beskrevet hvor enkelt det er å misbruke e-postsystemet. Med enkle grep kan det sendes en e-post med et selvvalgt navn og e-postadresse som avsender. Standarden har ingen sikkerhetsmekanismer mot dette.

16 @ v p / _ _ Ð På tilsvarende måte er det lite sikkerhet bygd inn i SMS-standarden. Å gjennomføre forfalskning (SMS spoofing) er imidlertid litt mer teknisk komplisert. Av den grunn har det inntil nå vært mindre utbredt. De siste årene har det derimot dukket opp nettjenester som gjør jobben for svindlerne. Det eneste som trengs, er å oppgi nummeret som meldingen skal sendes til, selve meldingen og et falskt fra-nummer. Fra-nummeret kan også være en tekstlig versjon som «Banken» eller «Posten». Disse tjenestene markedsføres ofte rundt ideen om morsomme spøker, men kan vel så gjerne benyttes til svindel. 241 I enda større grad enn ved e-post blir brukere lurt av SMS-forfalskning, rett og slett fordi de ikke vet at det går an å manipulere systemet. Mange har en sterk tro på at telenettet og teleoperatørene har laget et 100 % sikkert system, og at disse aktørene håndterer sikkerheten for dem.

17 Q Q l v _ _ % _ Ð % _ v for datakriminalitet. Selv om facerape virker ganske uskyldig, og også til tider kan være veldig morsomt 87, illustrerer det hvor utsatt vi er. Selv om vi kanskje vokter maskinen vår litt mindre overfor venner, betyr faktisk det at vi ble utsatt for facerape, at vi også kunne blitt svindlet av noen med skumlere hensikter. Det kan være noen i vår nærhet som vil oss noe vondt, eller at en spøk vipper over grensen og får alvorligere konsekvenser. Ò Ó Ô Õ Ö Õ Ø Q. - 0 C + ] & R. ) & B. C ] ' B 2 1 C +., A 1 ( m - F * D 1 B { ( Û C D 1 C + + &, D. +.,. )., + 2 ' 2 -. Û. ) F. ' - * (. ] A - - '. ' F & ' & *,, 3 ) A F F Ù %., 1 0., 1 (. & 0 * 1., _ B ). 1 1., 1 ( ). 0 * ü ý ü C +., & 0 F. ] { ) 1 '., C ) F * 1 (. 1 & (.,. F. ) C ] ]. ). ' ] C )., ] & R. ^ ) & B. &, +. - F '. B. ) 1 C,., 1 C + 1 ' C F 3 & ( Ù _, à 2 ) D & D A ' ' ] ) & p C ) ) (, B *, D ) * 1 * (. ) '. 3 { '. ) ) C B B ' * - ' C 2 ) 1 ]., D 1. - Ù ). '. ' '. ) 3 -. ' C F &, 1 (. D A ' '. ) * ] { - D. z Ñ F { + ' ' * - þ ý ý ý ( ) C D ü ý ý ý ( ) * 3 C ' ] C ) 2 E & - & D ' A '. ' B., * 1 3 * - F. B 2 - " * # $ ã ä Õ Ó Ó Ø å Ô æ Õ ç è. / Õ é. Õ * 1 '., (. ) F A & ', C., E & ) E & ' ' ' * - D &, D ' * - ( C, ' C., F *, Û 3 { ) F A 3 m ' '. B & 1 1 C ) F Ù %. ' D e. - F. ) C + F., +. ) (. - * D. C B B ] { ) 1. -., C B B E { ). ) Û ) & ' 0.,,. ) 1 ' C F 3 & ( Ù v & & - F ) *, C., ] 2-2,.., + C 3 * -., E. ' F. ) F A. ) *,, - C D D. ' Ù \ C ) - & ' & - F ) *., E. '. ) F. ) F A. ) *,, - C D D. ' Û A '., & ' 1 ( e. ) ,. ) & ( ' * 0. ) ' Ù 247 Det finnes lite kontroll og få mekanismer som hindrer noen i å opprette en ny profil i navnet ditt. Slike falske profiler er blitt svært utbredt og har fått navnet identitetskapring (identity hijacking). Ofte fylles slike falske profiler med informasjon og bilder fra din eksisterende profil, og deretter kan svindlerne lure dine eksis- 87 Read an Interview: 6 Creative Ways to Facerape Your Friends com/2013/06/22/6-creative-ways-to-facerape-your-friends/

18 l s _ v ý terende og nye kontakter over på den falske profilen ofte under dekkhistorien om at din gamle brukerkonto ble hacket, og at du derfor måtte opprette en ny. 0 1 Ô å 2 Õ ê * F., ' * '. ' * ). D * 1 ' ). ) *, D 1 B ) C , Ù B B ). ' '. ) 0 *.,, m 3 &, ( ( C, ' C B 2,. ' ' Û * +. &, ( % Ù Q - * (. 1 m 1 '. +. ) ] A, D. ). ) * + * F -. ) ' * F F 2 ) - * D D - C 3 & - ' Û C D ( C 1 ', & F.,. ] C ) ' e.,. 1 '.,. * ' * - -. D D ' * - +. ) & ) 3. * F. ' ] C ), m. 3 ) A (. ). D e { ) F. ' - * '. {, 1 (. - * D Ù Spesielt utsatt vil du være dersom du ikke benytter sosiale medier. Oppretter noen en profil i navnet ditt, vil alle dine kontakter i «den virkelige verden» tenke at endelig kom han/hun seg på nett, og ukritisk legge til svindleren som kontakt. Dette skjer stadig ved å utnytte identiteten til offentlige personer som ikke har noen offisiell profil. 248 Det samme gjelder for brukere som ikke har opprettet en profil i alle de ulike sosiale mediene som finnes. Mangler du en profil på LinkedIn, kan en svindler enkelt benytte profilbilde og informasjon fra Facebook til å lage en troverdig profil for deg. ã ä Õ Ó Ó Ø å Ô æ Õ ç è. Ø Ô Ó Õ é 3 è å Ø Õ é Q { ( e. 0, - * D. ' '. ) F * ' '. D. ', & 0, * Ñ C C D -. C D * F. A - * (. 1 C 1 * & F *.,. ] C ) 2 E. -. ' & ' ' Ù

19 Q Q l v _ _ % _ Ð % _ v ü %., 1 & + +. D ) A B B., E & ) C D * F ) & ' ' +. F & { ) *, D.,. ' * - z ^ B ) C D ) & + ^ +. ' ) C - -e. D. ),. 4 5 Û F. ) B ) C D ) & + -. F. )., E. - ' A '., ] C ) 0 & ) 1. - ). * 1. ) B { ( C D ( C, ] ) C, '. ). ) F. + 1 C + 1 ' 2 ) 3 & (,. ' ' E. ' 1 Û +. F F. ). 1 A ' ' & ) Ù F. ' '. B ) C ^ D ) & + +. ' 3., m ' '. 1. ' '. ). D. ' A ' 1 & D, 3 & ). - C 0 - * D. +. ' C F. ) Û 1 C & + +., ^ - * D,. F. -. ) & 0 '. ( 1 ' C D ( & - -., & 0, +. F ' *, D 1 C + E & ) 0 Ú ) ' B A 3 - * 1. ) ' A, F. ) ] A - - ', & 0, ' * F - * D. ). Ù 4 6 D 1 2 &, & - m 1. & 0 3 * - F. + & '. ) * & -. C D ' * - E { )., F. +. ' & F & ' & D * ) 1 B C ) C + E ' 2 ) 3 & ( Ù $ * # % * " % ã ä Õ Ó Ó Ø å Ô æ Õ ç. ê 3 ê ë Ö Õ Ô 3 Ô å. Ø Õ Ö Õ 2 å Õ é ~ ' ] { ) * ( (. E &, F - *, D. ) C D F. - * ( (. *, ] C ) + & 1 e C, 1 C + F. ' 0 * Ú ) ' A 3. ( 0. + ' 2 ] 2 ( C 3 -. ' ' * - F *, B. ) 1 C, Ù ~,, D *, F. - 1 C + B ) { 0. ) 2 ( C 3 -. & ( ' * 0 * '. ' ] ) &,. ' ' 0. ) ( 1 & F ) ) C D 3 ) A (. ) ^ ( C, ' C. ) ' * - F *,. B. ) 1 C, & - * & Û D e.,, C + 1 B { ) ). A, F. ) 1 { ( ) C D ( C, ( A ) ) &, 1. ) Ù Ì Ë Þ Þ ñ É Þ È Ì Í 285 En variant av sosiale medier er nettdating. Disse tjenestene har på få år gått fra å være en metode til å finne partner som mange så ned på og var skeptiske til, til å bli en svært vanlig måte å finne en partner også for langtidsforhold. Selv om det eksisterer mange gode og seriøse tjenester, og tilhørende profiler registrert på dem, er det også noen som øyner muligheten for svindel gjennom å sette opp en falsk tjeneste eller lage falske profiler på eksisterende tjenester. Personer som er på leting etter partner, kan være lettere å lure siden de gjerne ledes av kjærlighetens følelser mer enn fornuft. De som står bak svindelen, spiller da i stor grad på social engineering. Tre typer svindel er gjengangere. Felles for dem alle er at de har profiler som ser svært interessante ut. Det er viktig å huske at bilder lett kan hentes fra andre kilder. For å skape tillit venter de ofte på at du tar kontakt. 96 TV3 play: Trolljegerne 97 Dagbladet: Slik avslørte de nett-trollene expressen/netthets/robert_aschberg/ /

20 l s _ v Økonomisk svindel: Målet er å få deg følelsesmessig involvert i en falsk profil. Når bakmennene forstår at du er «betatt» og har full tillit, beveger de seg over i neste fase der de etterspør penger, enten for å kunne få i stand et møte eller under dekke av at familen til «din utvalgte» har fått en alvorlig sykdom eller andre pengepoblemer. Mange har stått og ventet forgjeves på en flyplass for endelig å møte sin kjære. Prostitusjon: Mange prostituerte bruker nettdating for å komme i kontakt med kunder. Ofte er ikke dette målet åpenlyst fra starten, men tilbudet kommer når du har fått tillit til personen. Markedsføring: Pornosider og webcammodeller benytter ofte nettdatingsider i sin markedsføring. Etter hvert som du er blitt «kjent» med en person, viser hun seg tilfeldigvis å være webcammodell. Fristelsen er da stor for mange til å betale penger for å se sin fremtidige kjæreste «in action». 286 Utenom de mer tradisjonelle datingsidene dukker det stadig opp flere datingannonser som del av annonsesystemene på nettsider og sosiale medier. Selv om mange av dem også er seriøse, må en vise svært stor skepsis overfor slike ukjente aktører. Slike annonser fører i mange tilfeller til svært useriøse tjenester eller ren svindel. Etter å ha registrert seg får brukeren ofte en svært lokkende melding fra en potensiell partner, men må da plutselig betale til tjenesten for å kunne svare. Vær også klar over at slike annonsetjenester gjerne finner lokasjonen din gjennom nettverksadressen maskinen din har. Dermed får du i mange tilfeller en forespørsel fra en svært tiltrekkende potensiell partner i ditt nærområde. Også sosiale medier i seg selv er blitt en datingarena. På samme måte som med tradisjonell nettdating skal du være svært kritisk overfor fristende tilbud du får her. Ò Ó Ô Õ Ö Õ Ø ^ 1 (. - * D 2 ] C ) 1 ' 2 & ', C., E & ) D 2 ' ' B 2 Ù v * ( * 1. ) F. ' 1. D 1 ' & F * D 0. ( ( & ' C ) F ^ ' & (. ' œ ( e Ú ) - * D E. ' D e { ) 3 - *, F C D 1 2 D e. - F. ) E. ) Ù

21 Q Q l v _ _ % _ Ð % _ v ü p. 7 8 C ) ( * +. 1 ] C ) ' ) C +., 9 ó 2 ) D & ) * ' * 1 ( ] m 1 * ( ( B ) C ]. 1 1 C ) 3 C ^ 1 & ' ' * ~ Q l Ù / &, ( C + * ( C, ' & ( ' +. F F. ' E &, ' ) C F F. 0 & ) 1 A B. ) + C F. - -., %., * 1. * - &, * B 2., F & ' *, D 1 * F. Ù %. E & F F. E m B B * D 1 ( ) * ] ' - * D ( C, ' & ( ' 0 * & R E & ' Û +., B ) & '. ' & - F ) * B 2 '. -. ] C,., Ù %. E & F F. E ) & - F ) * ' ) A ] ]. ' E 0. ) &, F ). Û +.,., F & D & 0 ' & - '. F. & ' B ) C ]. 1 1 C )., 1 ( A - -. ( C + +. ' * C - * 0 * & ] C ) 2 ' ). ] ]. %., * 1. ] C ) ] { ) 1 '. D &, D Ù / A, 0 & ) F. ) B 2., ] C ' C 1 E C C ' Ù C D & ' E A, 0 * - -. E &, 1 ( A - -. ( C ' '. ) E.,,. F * ' Ù / A, E & F F. C D 1 2 D -. + ' * D e., ) ' F.,,. ( C ] ]. ) '., & 0., + &,, B 2 D & ' & A '., ] C ) E C ' ' F. ) E &, 3 C F F. Ù 1 ' C B B. ' & 0 + m, F * D E. '.,. Û 1 C + ] &, ' ( C ( & *, * ( C ] ]. ) '., Ù / &, 3 -. F { + ' ' * - ]., D ^ 1. - * þ 2 ) C D : + 2,. F. ) Ù? Õ 2 é å è æ Õ é $ $! " " ; < = > F ) * ] '. ) ] C ) 3 *, F. ) C ] '. 1 C 1 * & F *. ) +. F, C. 1 C + 1 ' e. -. ) F. &, 1 & ' '. 1 & ) 3. * F 1 ' * F C D C B B +. ) ( 1 C + E. ' Ù %., 1 ' C ). 1 * ( (. ) E. ' * D. A ' ] C ) F ) *, D.,. ) F. + &, D. ] C ) +.,. ] C ) 1 0 *, F. - C D 1 ( & F. 0 & ). 1 C + 1 B ). 1 0 * & 1 C 1 * & F *. ) - * ) +. F *.,. 1 e. ( (. ' * & ) 3. * F 1 ' * F., Û. ) F. ' & - - ' * F., 0 * &,, 1 m, - * D E. ' ] C ) & ' F * * ( (. ) E. ' 1 A ' ] C ) F ) *, D.,. ( &, ) & F ) * ] '., 1 1 m 1 '. +. ) Ù Q F ' & A 1 E. ' 1 B - * ( '. ) F. ' * ( (. ' * - 2 ( C C ) ' ] ) & & '., F. - 1 & + ' & -. ) ) A, F ' ( e { ( (., 3 C ) F. '. ' '. )., F ' & ) 3. * F 1 F & D *,,. E C - F. ) *, ] C ) + & 1 e C, ] ) & & ) ^ 3. * F 1 B - & 1 1., Ù ~ ' ] C ) F ) *, D.,. ) & ' 1 C 1 * & F *. ), 2 B 2 1. ' ' C D 0 * 1. ) 3 - * ' ' F. ', m. œ ( e { ( (., 3 C ) F. ' Û C D &, 1 & ' '. E & ) C ] '.., 1 0 Ú ) ' - & 0 '. ) 1 (. - ] C ) 2 1 B ). *, ^ ] C ) + & 1 e C, * F * F *.,. Ù %.,,. *, ] C ) + & 1 e C,., ( &, 0 Ú ). ( ) * ' * 1 ( * 1. D Û ) F., ( &, 3., m ' '. 1 1 C +., & 0 + &, D. 3 ) * ( (. ) * +. ) C + ] & ' '., F. 1 0 *, F. - C D &, D ). B Ù, ] C ) + & 1 e C,., ( &, C D Ú ). 1 0 Ú ) ' *, '. ). 1 1 &, ' ] C ) ( C, ( A ) ). )., F. 3. F ) * ] '. ) Û 1 C + *, C., ' * - ] ) ( &, D 2 - &, D ' ] C ) 2 ] 2 ' & ( * F. ' '. Ù _ ' &,,. ' ] C ) E C - F. ) & ' & ) 3. * F 1 1 '. F. ' * + &, D. 1 C 1 * & F *. ). ) 1 0 Ú ) ' ] ). + ^ ' ). F., F. *, ] C ) + & 1 e C, Ù %. &, 1 & ' '. ( &, F. ) ] C ) -. ' ' C B B ] & ' '. 1 1 C + 3. F ) * ] '., 1 &, 1 * ( ' A ' & F Û , 2 ) F. F. -. ) B ) * 0 & '. ' &, (. ) C D +., *, D. ) Ù 287