rss
Sverige

Chatt om IT-säkerhet

Sverige.
Försvarets rådgivare svarade på frågor om lösenord, hackers och dataintrång.

Ulf Löfven är VD för Ekelöw InfoSecurity som arbetar med IT-säkerhet både strategiskt och tekniskt, bland annat för statsledningen och myndigheter inom försvars- och rättsväsendet. Ulf Löfven har 20 års erfarenhet av branschen.


pontus: Vad krävs för att man ska känna sig säker i sitt egna wi-fi nätverk? Är det lönt att ha lösenord? Ifall någon insatt/kunnig vill komma in i nätverket gör han/hon det utan mindre beskymmer? mvh
Ulf Löfven: Hej Pontus, Visst ska man ha skydd för sitt wifi nätverk! Det försvårar för obehöriga att använda din bandbredd och det gör det svårare att komma åt din information. Det krävs en del att komma åt ett wifi nätverk som dels använder kryptering, dels har komplexa lösenord för att koppla upp sig.

Anna A: 1. Kan man lita på Windows brandvägg (som finns när man köper datorn) eller bör man köpa en annan? 2. Räcker det att ha brandvägg och antivirusprogram eller bör jag skaffa något annat program ockå?
Ulf Löfven: Hej Anna, Nu får jag säkert flera säljera av olika brandväggar och anti-virusprogram på mig :-) Svaret är att de flesta är ungefär lika bra för en privatperson. Windows brandvägg och anti-virusprogram har blivit helt ok och du kan använda det lika gärna som att köpa en annan produkt. Däremot rä det viktigt att du uppdaterra så fort det kommer en uppdatering.

BengtH: Hur kontrollerar jag om min/mina adresser och lösenord är kapade?
Ulf Löfven: Det är en svår fråga. Det egentligen enda sättet att få veta det, det är om mail etc från din adress dyker upp på ställen och med innehåll som du inte har skrivit.

Jim Profit: Är det inte bra att det blir en skandal, så folk fattar att man inte kan ha korta lösenord som "tejp" och att sajter med dålig säkerhet får skämmas?
Ulf Löfven: Njaaa... helst skulle vi som jpbbar med IT-säkerhet vilja att folk inser detta utan skandaler. Skandaler som den som nu är aktuell skadar ju individer och det vill i alla fall jag inte. Frågan om lösenord har varit aktuell så många år så nu tycker jag det börjar bli dags att folk tar till sig allvaret med att ha dels olika, dels komplexa lösenord.

maria: Jag har hört talas om program som hjälper mig hålla ordning på lösenord. Är de bra?
Ulf Löfven: Det finns program att lägga på sin mobil eller på dator. Dessa program krypterar (alltså skyddar) innehållet som t.ex lösenord. Det finns en mängd olika program så där får du kolla runt t.ex på tekniktidningarnas sidor där man testar sådana program.

PR: Jag använder sen 15 år tillbaka uteslutande Linux system på mina datorer. Jag har aldrig blivit hackad eller fått virus. Mina kollegor och bekanta som använder Microsoft Windows av olika varianter har alla blivit hackade eller fått virus.Är Windows så mycket sämre på inbyggd säkerhet än Linux?
Ulf Löfven: Det där är 1miljon-kronorsfrågan! Det finns en mängd svagheter i Linux också. Fördelen med Linux är att man lättare kan styra vad som händer i datorn än vad man kan göra i Windows. Dessutom är Windows mycket tacksammare att attackera för det är som Davids kamp mot Goliat där David är Unix/Linuxvärlden och Microsoft uppfattas som Goliat. Detta förringar inte Microsoft ansvar att ta fram produkter som är säkra att använda.

Fundersam: Gruppen anonymous har gått ut med att de tänker stänga ner Facebook den 25e november för att de ska ha fått reda på att facebook ger ut information till regeringen, även om detta är sant eller falskt, skulle de kunna stänga ner facebook som de gått ut och sagt?
Ulf Löfven: Ja det återstår att se. Anonymous är en samling kompetenta personer. Jag har ingen aning om ifall dom har hittat svagheter i facebooks kod som dom kan utnyttja.

Daniel: Vilket ansvar har en internetsites ägare i tillfälle av att deras site blir hackad och folks personliga uppgifter och lösenord läcker ut? Kan ägaren straffas för att ha haft dålig säkerhet? Hur stor andel av de som begår brott på internet lyckas man gripa och lagföra?
Ulf Löfven: Idag har en Internet-sites ägare inget direkt ansvar. "Straffet" blir väl uthängning i media (som den nu aktuella blogsiten). Statistiken kring datorrelaterad brottslighet är ganska bristfällig av de skäl att först måste man veta att man utsatts för brott, därefter skall man tycka det är värt att anmäla. Det gör att det är svårt att svara på uppklarningsfrekvens.

Sven: Finns det något riktigt säkert antivirus program som inte slöar ner datorn. Sitter bakom en router och är alltid online. Med ett Windows 2000 som gått nonstop i 10 år nu och har aldrig drabbats. Har jag haft tur eller?
Ulf Löfven: Tjaaa, du kan endera haft tur eller så besöker du inte webplatser där du kan få skadlig kod nedladdad och är försiktig när du öppnar email. Det finns flera antivirusprogram som är bra. Jag rekommenderar dig att läsa recensioner i datortidningar eller på webplatser. Där kan du bilda dig en uppfattning om vilka produkter som passar just dig bäst.

Mjukvaruutvecklare: Vilket lagstöd finns för att åtala utvecklare av hemsidor som slarvar med hashning och saltning av lösenord? Det är ju utvecklarens fel att detta händer inte användaren. Hade utvecklaren behandlat lösenorden på ett korrekt sätt hade ett intrång inte haft någon större efterföljd.
Ulf Löfven: Det finns inget lagstöd för detta. De seriösa websiterna bör ägna en hel del tid åt att dels säkerställa att man använder säker programmering och att man verkligen testar funktioner innan de driftsätts. Det slarvas en hel del idag med bägge dessa åtgärder.

krille: Jag finner det konstigt, hur enkelt de kunnat extrahera lösenord. Även om åtkomst till databas ges borde lösenorden vara krypterade. Så såvida inte lösenord är vanliga ord som kan brutforcas, eller i klartext ( vilket inte borde vara tillåtet). Borde de inte gå så lätt, Eller har jag missat något?
Ulf Löfven: Hej Krille, I många system ligger lösenorden inte krypterade utan haschade. Om man kan få tillgång till den del av databasen där dessa ligger så är det ganska enkelt att ta fram orden i klartext.

krille: Anonymous har även gått ut att de inte tänker fullfölja Facebook-uppdraget pga av nya uppgifter (med hänvisning till polisbrutalitet med Occupy Wallstreet). Samt ta ner pedofilnätverk. Gäller att hänga med.

fredrik: Är det möjligt att få virus från en annan dator i ens hemnätverk? Har en polare som sitter på en dator full med virus, men som inte bryr sig om det. vill dock inte att det ska sprida sig till min.
Ulf Löfven: Ja det är absolut möjligt att sprida virus från en dator till en annan i hemmanätverket. Det kan t.ex ske om ni spelar online. Jag skulle rekommendera din kompis att ta frågan på allvar och försöka rensa sin dator.

Daniel: Vilken är den största källan till virus? Man hör ofta om mailade filer men hur många går egentligen på sådana? Hur är det med riskerna vid fildelning och vid vanlig surfning?
Ulf Löfven: Jag har ingen exakt statistik på detta. Mycket kommer fortfarande från email men en hel del trojaner kommer från infekterade websidor.

IronG: Om sajterna använde hashalgoritmer och lagrade hashvärden i stället för att lagra passworden direkt i systemet så vore problemet löst. Detta skulle varken vara mer komplicerat eller kostsamt. Vad anser du?
Ulf Löfven: Njaaa.. hashalgoritmer kan knäckas med tillräcklig tid (beroende på hur starka dom är förstås). Att lagra lösenord i klartext i databaser är direkt oansvarigt och det borde varje ansvarig se till att inte göra.

fredrik: Hur bra är antivirusprogrammen på att hitta dessa "spionprogram" som kan installeras på datorn? Känner mig orolig varje gång jag går in på mina mejl, orolig att någon ska hacka den.
Ulf Löfven: Man ska komma ihåg att nästan samtliga antivirusprogram tittar på historisk data. Dom ser hur virusproducenterna har gjort sina virus. Det betyder att dom alltid ligger efter. Dessutom har de flesta funktioenr för att läsa sådant som inte uppfattas som normalt. Generellt är dom ganska bra på att fånga virus. För att du ska känna dig tryggare när du öppnar din email så tycker jag du skall fundera på "varifrån kommer detta email". Är det från någon helt okänd så måste du värdera om det tillräckligt viktigt för att öppna mailet eller om du kan slänga direkt.

Alex: Det räcker väl inte med bara att kryptera?.. De går att dekryptera. Det kanske tar längre tid men kan man bryta det så är det väl inte säkert. Jag har hört om program som tex TrueCrypt som krypterar hela hårdisken med 3des/Aes. Dessa krypteringsalgoritmer kan man väl inte bryta eller?
Ulf Löfven: Truecrypt har funktioner för att både kryptera filer och hela hårddisken. Krypteringsalgoritmerna är starka men...det är oftast en fråga om tid och datorkraft för att kunna knäcka dem. Men för den vanlige användaren är t.ex Truecrypt bra.

Danne: Hur skyddar man på bästa sätt sitt hemmanätverk från intrång?
Ulf Löfven: Du bör ha en router med brandväggsfunktion. De flesta routera har det idag. Beroende på hur teknisk du är så kan man ställa in en del i denna router. Dessutom bör varje dator ha en lokal brandvägg samt ett aktuellt antivirusprogram.

Mats: Jag har en iMac och då jag använder internet gör jag det med sladd (ej trådlöst). Hur skyddar jag dator bäst mot intrång och eventuella virus eller spionprogram?
Ulf Löfven: Hej Mats, Du bör ha en brandvägg och ett aktuellt antivirusprogram. Det finns flera för Mac. Kolla på webben över lämpliga program.

IronG: Vad menar du när du säger att om man får tag i de hashade passworden så är de lätta att extrahera?
Ulf Löfven: Det där beror på hur lösenorden är lagrade i databasen. Om man kan få tag i den fil där de ligger så har man tillgång till samtliga lösenord och även om filen är skyddad så går det ofta att ta fram lösenorden i klartext.

Johnny: Ska man ha ett lösenord liknande #4kd)ML3.=3 som man måste skriva ned, eller endast bokstäver, tex JhJoBpsg4 JagHeterJohnnyOchBorPåStorGatan4?Att knäcka dem är egentligen lika svårt, det handlar ju mer om vilka tecken man lagt till att prova med. Dvs, långa lösenord är bäst, oavsett vilka tecken?
Ulf Löfven: Det finns andra sätt att skapa lösenord. Ditt exempel är rätt svårt att komma ihåg :-) Ett enklare exempel är t.ex en låt du kan. Låt oss säga Bä, Bä Vita Lamm Har Du Någon Ull...den kan de flesta. Om du tar första bokstaven i denna ramsa blir det BBVLHDNU. Då har du ett lösenord som är ganska komplext men som du kommer ihåg (Glöm bara inte vilken sång det var! :-) Man kan göra det även mer komplext genom att blanda stora och små bokstäver. Då bygger du ett lösenord som blir svårt att knäcka.

Johnny: Ser väldigt sällan info från er experter om tex Lastpass som spar lösenorden. Använder det själv, funderar utmärkt.
Ulf Löfven: Jag kan bara hålla med dig. Om man använder komplexa lösenord så är LastPass och andra ett bra stöd.

Alex: Tack för ditt svar Ulf. Vad kan du rekommendera som är som TrueCrypt fast för den väldigt kunniga. Som du sa så är det en fråga om tid och kraft. Finns det ett program som skulle ta mer kraft och mer tid eller inte alls kunna knäcka det.
Ulf Löfven: Njaaa..det mesta går att knäcka. Det finns flera produkter som är bra. Truecrypt används av många och anses vara bra.

krille: Om man använder enkla ord och fraser som är någon variation av ord från en ordbok plus sifforor etc. Så kan man skapa hashkoder med hjälp av diverse ordböcker och matcha mot hashkoderna. Om man får en match har man hittat lösenordet. Så det gäller att använda bra lösenord som ej lätt kan återskapas!
Ulf Löfven: Ja du har helt rätt. Använd inte ord som finns i ordböcker, regsiteringsskyltar, namn eller andra vanliga ord. Mitt exempel BBVLHDNU tidigare kan göras mer komplext genom att sätta till !BbVL2HDNU Fortfarande byggt på BäBäVita Lamm... men nu mer komplext. Det bästa är att hitta något som passar dig.

Alex: Om det mesta kan knäckas så borde man väl ge upp och använda samma teknik som på chip som finns på kreditkort? De anses ju vara säkra och inte gå att knäcka.
Ulf Löfven: Där håller jag inte med dig. För hackern är det en fråga om hur mycket tid och kraft han/hon skall lägga ner mot vad han/hon kan få tillbaka. Om du t.ex endast har semesterbilder på din dator och lite annat, ganska värdelöst för en hacker, då kommer han/hon bara lägga lite tid på dig. Däremot att ta sig in i försvarsindustrier eller annan industri där man kan stjäla patent eller annat som är värt pengar; då kan hackern lägga ner avsevärt mer tid. Därför räcker ofta ett basic skydd för den enskilde (brandvägg på datorn, uppdaterat antivirusprogram) samt ett gott omdöme långt.

Relaterade artiklar

Författare:
Publicerad 26 oktober 2011 14.35
Uppdaterad 26 oktober 2011 14.35

Sverige
Läsarpulsen

Vad är detta?

Bloggar

Hästbloggen

citat

Beridna högvakten från Stockholm kommer att förgylla Travderbyt första söndagen i september. Högvakten är på Skåneturne och kommer även att synas...

blogbild Trav och tips med Anders Engman.

Golfbloggen

citat

Peter Hanson hade presskonferens på Sturup Park under onsdagen och uttryckte en hel del intressanta tankar inför sommaren, Scandinavian Masters och US Open...

blogbild Fredrik Hedenskog golfbloggar med fokus på de skånska tourspelarna.

Inside Redhawks

citat

Signerad och levererad. Nåja, kanske inte fysiskt, men 24-årige Mads Bødker har skrivit på ett tvåårsavtal med Malmö Redhawks. Inte helt oväntat. Hade ett...

blogbild I Inside Redhawks får du med en ojämn regelbundenhet läsa tankar och funderingar om klubben.

Engström

citat

Doc Watson, folk- och bluegrassgitarristen, dog igår. Han blev 89. Minns honom så här eller så här eller så här eller så här — med Earl Scruggs, hemma...

blogbild Bloggar om aktuella konserter, favoritlåtar, nya band, bortglömda band, utskällda band och musikjournalistik.

Wimans blogg

citat

Den 15 augusti 2008 drog han på sig MFF-tröjan, som en av klubbens stora värvningar på 2000-talet. Åtminstone var det så det framställdes, när den...

blogbild Max Wiman punktmarkerar MFF.

På två hjul

citat

Åter till projektet jag påbörjade för ett tag sedan. Jag bytte ju till mig en gammal Crescent för ett tag sedan och strippade den helt på allt som fanns...

blogbild

Cannesbloggen

citat

Cannesfestivalen är slut, och som väntat tog Michael Hanekes ”Amour” (bilden) hem Guldpalmen. Mads Mikkelsen vann välförtjänt priset som bästa manliga...

blogbild Mattias Oscarsson och Martin Andersson bevakar filmfestivalen på plats i Cannes.

Ida Skovmand

citat

Bild från The Paris Review, nummer 200. Skapat av Leanne Shapton och Ben Schott. I senaste numret plockade The Paris Review beskrivningar från böcker och...

blogbild Ida Skovmand bloggar om mode och trender.

Frostberg

citat

När forskningsparken Ideon i Lund nu tar ett nytt grepp och öppnar för strategiska samarbeten är det ett viktigt steg för att hänga med i den moderna...

blogbild Thomas Frostberg om näringslivet.

Grafikdesken

citat

Sydsvenskans första Ipadtidning kom i december 2010. Redan i första numret fanns specialgjord interaktiv grafik. Att göra Ipadgrafik...

blogbild Show, don\'t tell! Grafikredaktionen bloggar om allt som är visuellt.

På tungan

citat

Det sägs att det ska regna i Malmö denna lördag. En perfekt dag alltså att springa och söka skydd på krogarna i stan. Elva av dem inkluderas i den öltipsrunda...

blogbild Bloggar om glädjeämnen och sorger i hemmaköket, i mataffärer, på krogen, på nätet och framför allt i munnen.

Heidi Avellan

citat

Per Schlingmann byter jobb. Från PR-strateg för regeringen till PR-strateg för Moderaterna. Ungefär. Han lämnar alltså det omdiskuterade skräddarsydda jobbet...

blogbild Sydsvenskans politiska redaktör bloggar om samhällsutvecklingen - från Malmö till månen.

Mixad zon

citat

Några dagar efter 0–5-smällen på Rambergsvallen kom jag plötsligt på hur MFF ska spela. Rikard Norling har säkert starka argument för varför han disponerar...

blogbild Sydsvenskans egen mixade zon – med funderingar kring aktuella fenomen.

Handboll med Jan Gustafson

citat

Handbollen är glödhet i Skåne just nu. För andra gången under 2000-talet är möjligheterna stora att vi får se två skånska klubbar i SM-slutspelets...

blogbild Blogg om elitserien med tonvikt på de lokala skånelagen Lugi, H43 och HK Malmö.

Ping

citat

Nyhetssajter blir bättre och bättre på att berätta varifrån vi hämtar vår information. Tidigare i år lovade Expressens chefredaktör till exempel fler länkar...

blogbild Ping handlar om digitala medier, webbutveckling och mötet mellan ny teknik och ny journalistik.

Toppnyheterna just nu

© Sydsvenska Dagbladets AB 2012  Ansvarig utgivare: Daniel Sandström  Nyhetschef: Niklas Lundell Nyhetsredaktör: Yvonne Johansson
Nyhetstips: 71234@sydsvenskan.se Telefon webbredaktionen: 040-28 12 34 Telefon växel: 040-28 12 00 Fax: 040-93 54 75
Postadress: Sydsvenskan 205 05 Malmö Besöksadress: Krusegatan 19 Malmö