Security by heart at Activemind Solutions

26/06/2025

I den här videon tipsar jag om hur man lätt undviker att ange inloggningsuppgifter på fel ställe. Nästan dagligen kommer det så kallade phishing mail eller andra meddelanden där vi uppmanas att logga in någonstans för att "få återbetalning", "återställa konton" m.m. Många av dessa fake:ade sidor ser riktiga ut och handlar om så kallad credential harvesting, dvs man samlar in inloggningsuppgifter för att senare använda i bedrägerier, hackning eller andra onda avsikter.

Många av dessa mail går att genomskåda ganska lätt men vi ska vara försiktiga och framförallt inte klicka på länkar i dessa mail, speciellt om det är "brådskande".

Stay safe out there och har du några frågor eller vill veta mer så är det bara att höra av dig till mig på [email protected].

05/06/2025

Låt dig inte luras av att säkerhet handlar om att ha den bästa brandväggen.

Förstå mig rätt, så klart är det inte oviktigt att ha en bra brandvägg och min poäng handlar inte om att skrota brandväggen eller välja något sämre alternativ. Så klart är en bra brandvägg nödvändigt MEN det jag vill lyfta fram är att säkerhet handlar inte bara om teknik och bra gadgets.

Här är ett exempel - Ett IT-företag sålde in en riktigt bra brandvägg till ett företag, till och med segmenterade nätverket enligt konstens alla regler. MEN vid en säkerhetsgenomgång upptäcker jag ovanlig trafik på nätverket och kommer fram till att en nätverkssladd från det allra heligaste i nätverket är dragen i taket och fortsätter ut till intilliggande lokal utanför säkerhetszonen. Där satt en person och bland annat spelade XBOX via företagets managementnätverk som inte ens de anställda har tillgång till.

Säkerhet handlar om ett 360-graders tänk som inkluderar ALLT från fysisk säkerhet till digital och mänskligt beteende. När vi glömmer det så är det lika med att vi låser ytterdörren men låter nyckeln hänga på en s**k bredvid dörren och vi skriver en lapp att här är nyckeln.

Bara för att vi har satt upp en brandvägg en gång så innebär det inte att vi är säkra. Vi behöver också kontinuerligt testa och följa upp så att förutsättningarna inte förändras. Det finns så många scenarion där någon glömmer låsa dörren, "bara" skall öppna en nätverksport för att testa en sak och glömmer att stänga igen eller som i det här fallet att man inte har koll på att nätverket fortsätter utanför lokalerna.

I samtliga av dessa fallen så vill jag påstå att det faller tillbaka på mänskliga ”misstag”. Människan är svagaste länken oavsett om det är en vanlig medarbetare eller en professionell IT-kunnig som borde veta bättre.

Ta för vana att ställa jobbiga frågor, kräv att även det mest otänkbara testas, oavsett hur osannolikt det kan vara. Det är oftare än vi tror som just det blir anledningen till incidenter.

Har du frågor eller vill prata höra mer så är det bara att skicka ett meddelande.

Stay safe out there ✨

07/05/2025

"Vi har inget behov av er kompetens utan har kontroll på det!" var svaret jag fick när jag uppmärksammade ett företag på att deras webbtjänst helt öppet avslöjar personuppgifter, databaslösenord och annan känslig information.

Inom IT-säkerhet finns något som heter Responsible disclosure vilket innebär att när jag som jobbar med säkerhet upptäcker sårbarheter och informationsläckage i system och webbtjänster så kan jag välja att informera den ansvarige så att de har en chans att åtgärda detta innan det kommer i händerna på busarna.

Det kallas just responsible för att vi inte publicerar eller använder den informationen varken för egen vinning eller för att orsaka skada.

I detta specifika fallet har jag som upptäckt bristen identifierat ett 60-tal installationer av deras branschspecifika system som används av lika många företag och jag är säker på att det finns ytterligare därute som jag inte har hittat. många av de här installationerna bryter bland annat mot GDPR, men framför allt så riskerar individer, kunder och leverantörer att få sin information utnyttjad av illasinnade.

Hur kommer det sig att ett företag som blir uppmärksammad på sårbarheter i sina system väljer att kategoriskt avfärda detta med att "de har kontroll", medans jag kan bevisa att i skrivande stund att samtliga av dessa är sårbara. Vad säger det om företagets syn på hur de värderar sina kunder och deras lagrade information som de samtidigt hävdar är skyddad?

Responsible disclosure innebär i princip att jag utan att ta betalt informerar företaget om bristerna jag hittat och detta specifika företag ville inte ens bli informerade vilket jag anser är oerhört oprofessionellt av någon som säljer sina tjänster till företag som litar på att deras information hanteras varsamt och säkert.

Veckans känga går definitivt till företaget som levererar webbtjänsten och eftersom jag inte når igenom till det företaget så väljer jag nu att göra en Responsible disclosure till deras kunder så att de själva kan driva detta vidare och kommer även presentera en enkel lösning för att iaf åtgärda delar av problemet. Detta blir tyvärr indirekt dålig publicitet för webbtjänstföretaget vilket inte är avsikten, men kundernas säkerhet är viktigare.

Jag vill med detta inlägg skicka med en stor vädjan till alla er som utvecklar webbtjänster och system att på riktigt ta ansvar för era system så att kunderna inte blir drabbade. Och om någon väljer att göra en Responsible disclosure, ta den på allvar och välkomna informationen. Vi som arbetar med säkerhet brinner för att det skall vara just säkert och det blir nästan en förolämpning att inte bli tagen på allvar.

Till dig som använder webbtjänster och system som andra har tillverkat, ställ krav på att det finns ett aktivt arbete för att upprätthålla säkerheten i de system ni använder. Tipsa gärna om det finns webbtjänster eller system som upplevs osäkra.

Tveka inte att höra av dig om du har frågor eller behöver hjälp, gärna innan det händer tråkigheter.

02/04/2025

Hur kan du veta mitt lösenord...?

Jag är varken tankeläsare, magiker eller illusionist, men hur kommer det sig då att det ändå går att förvåna så många människor varje vecka genom att berätta var lösenord sparas/göms och framför allt systemen som många använder för att komma ihåg sina lösenorden? Och det syns på människor när de känner igen sig.

Svaret är smärtsamt enkelt, "det är så vi människor fungerar" för att komma ihåg saker, så klart grovt generaliserat men vi tar med oss det beteendet när det kommer till lösenord. Vi återanvänder lösenord på flera ställen, skapar små varianter av lösenorden som bygger på samma struktur och tyvärr för ofta väldigt förutsägbara som ex.vis barnens namn och födelseår.

Hur kan jag vara så säker på allt detta? Resultatet av alldeles för många incidenter och case som jag själv hjälpt till att hantera under åren landar i att intrången kan härledas till svagt återanvänt lösenord eller väldigt förutsägbara lösenordsstrukturer ….fortfarande år 2025. I princip skrev jag samma artikel 2020 så det har gått 5 år sedan dess men fortfarande är vi fast i att våra lösenord är alldeles för dåliga, nästan som att låsa ytterdörren hemma och sen lägga nyckeln under dörrmattan.

Jag är den första att hålla med om att lösenord är ingen bra lösning! MEN det finns verktyg som lösenordshanterare för att undvika att behöva återanvända lösenord eller skapa lösenordsytem med förutsägbara mönster och den kommer dessutom hjälpa dig så du inte fyller i lösenorden på fel ställen.

Då kommer frågan, är det värt att råka ut för en incident som kostar kanske 500 000 för att lösenordet används på många ställen, eller är det ett bättre alternativ att spendera några hundringar per år på en lösenordshanterare? För mig är svaret givet och jag skulle bli SÅ glad om fler väljer detta, för jag vill inte hitta att sårbarheten i företag (och privatpersoner) är så enkel som lösenorden när lösningen knappt ens kostar pengar…innan det händer, sen blir det vansinnigt kostsamt.

Hjälp mig bli en ännu lyckligare Ethical hacker genom att göra mitt jobb svårare 🙏💜

02/04/2025

Har du tänkt på hur du namnger dokument och filer? Finns det känslig information med i filnamnet? Läcker du information den vägen?

Man kan ju ställa sig frågan om det egentligen spelar någon roll vad filerna heter, vi vill ju tydligt berätta vad filen innehåller. MEN, hur tydliga ska vi vara?

Dagligen i mitt jobb med IT-säkerhet och support så stöter jag på situationer där just filnamn avslöjar massor med information, ibland övertydligt känslig information men också de där små pusselbitarna jag behöver för att kunna komma vidare med att hitta vägen in i ett företag när jag testar.

Här är ett exempel på situation där filnamnen avslöjar känslig information:

Häromdagen var jag på ett företag där man behöver en tagg för att komma åt utskrifterna i skrivaren/kopiatorn. Det är ju en bra funktion för att skydda mot obehörig insyn. Men vad händer när man oavsett vem som är inloggad kommer åt jobbhistoriken för ALLAS utskrifter? Här spelar det en avgörande roll vad du döpt filnamnet till.

Förutom att jag kan se vem som gjort utskriften (fullständigt namn) så kunde jag genom filnamnen avgöra information som: kontrakt namngivna med identifierande uppgifter om plats och person, information om anbud till specifik organisation/företag och det är bara ett axplock av information och det är användarna ovetande om.

Det är inte ovanligt att det finns personnamn, personnummer, kundnamn, nycklar eller annan information i filnamnen och exemplet med personnummer känns som problematiskt när det kommer till GDPR.

Jag hittar även den här informationen i loggfiler, felloggar eller andra listor som tyvärr också ibland finns tillgängliga för publik beskådan på internet, också där är användarna helt ovetandes och det kan leda till intrång och incidenter.

Mitt råd till dig är att alltid fundera en extra gång på vad för information du ger i från dig. I detta fallet genom hur du namnger filer men så klart alltid i allt du skriver, säger och gör för det är där det presenteras fantastiska möjligheter att få informationen som behövs för att göra ett intrång eller bedrägeri.

Stay safe out there och har du några frågor eller behöver hjälp så tveka inte att connecta här eller kontakta mig.

13/03/2025

Hur känns det i magen när du tänker på dina lösenord?

Om du stannar upp för en sekund och tänker på alla dina lösenord och koder, hur känns magkänslan och vad säger intellektet?

Kan det vara så att magkänslan inte är så skön eller att intellektet skriker ut att det inte känns säkert, framför allt om samma lösenord eller snarlika används på flera ställen.

Mer än 50% av alla jag möter i mitt jobb och vardag (och då är jag diplomatisk) behöver se över sina lösenord omedelbums och ändå blundar för det faktum att det är så, trots att innerst inne så vet vi att det inte är bra lösenord.

Varför blundar vi för detta? Först ska jag väl säga att inte ens jag tycker att lösenordssystemen är en bra lösning och den ger utrymme för att vi blir sårbara för att det är så många lösenord att hålla ordning på och alla ställen har lite olika förutsättningar för hur ett lösenord skall vara sammansatt.

En annan sak som jag tror gör att vi blundar för detta är att det just är många lösenord att komma ihåg och komma på och blir helt ohanterbar och det håller jag med om men det finns lösningar som lösenordsprogram som kan hjälpa oss både att skapa starka lösenord och säkerställa att vi inte anger de på fel ställen.

Varför tar jag upp lösenorden (igen)?

Vi människor kommer inte ihåg tillräckligt många olika saker samtidigt som ex.vis lösenord och vi är påhittiga så vi använder system för att skapa lösenord så vi kommer ihåg dem. System som gärna innehåller ord, namn, platser m.m. som vi känner igen OCH som kan kopplas till oss och när vi använder dessa på många ställen så ökar risken dramatiskt att hela vårt lösenordssystem blir knäckt istället för att vi använder helt unika lösenord på varje ställe som inte har något sammanhang.

Skulle kunna hålla en hel föreläsning om bara lösenordshantering och hur vi kan hålla oss trygga men här kommer i alla fall några tips:

* Använda unika lösenord som inte återanvänds

* Använd lite längre lösenord så blir de svårare att knäcka

* Lösenord behöver inte vara massa slumpmässiga tecken men det bör inte finnas något logiskt sammanhang. Ex.vis så är lösenordet ”MammaMuSpelarGurkaI17Skogar” oändligt mycket bättre än ett lösenord som innehåller företagets namn och årtalet när det startades, eller barnens namn och födelseår.

* Det viktigaste lösenordet att hålla unikt och svårt att lista ut är det till din e-post, varför undrar du kanske? Vårt mailkonto används till att återställa lösenord och inloggningar till andra ställen och får någon tillgång till din mail så kan man sannolikt återställa många av de inloggningar du har på olika ställen och har du inte Multifaktor-autenticiering påslaget så är risken väldigt stor att du blir av med både det ena och det andra.

Har du några frågor eller behöver hjälp så är du alltid välkommen att höra av dig

13/02/2025

Kära utvecklare och desingers av system!
Jag skriver till er på förekommen anledning med något som om och om igen dyker upp nämligen att sårbarheter och informationsläckage implementeras när system utvecklas och alldeles för många gånger är det uppenbart att det borde vara en red flag.

Jag vill inte på något sätt klanka ner på varken utvecklare eller designers för det finns så många olika scenarion och anledningar till att säkerhetsrisker slinker igenom och som förhoppningsvis uppdagas längs vägen, så meningen är inte att förolämpa någon utan lyfta något som vi MÅSTE ta tag i tillsammans.

Ett par av de sakerna är att se över är vilken information som lagras i logg/debug-filer och framför allt VART sparas dessa filer.

För en tid sen hittade jag ett webbsystem som jag spårat till minst 100 installationer där fel- och debugfiler finns tillgängliga öppet på internet och till och med refererats till med länkar från felsidor. Jag kommer åtekomma med ett annat inlägg kring detta men det är allvarligt vilken information jag kan få tag på via dessa filer.

Så jag ber ödmjukast om att vi alla som är inblandade i ett systems livscykel från idé till utveckling och drift tar ansvar för att hjälpa till att undvika dessa fel. Jag använder ofta uttrycket "Think like a hacker" och det kommer väl till pass framförallt när det gäller webbaserade system där man genom ett enkelt script kan scanna "hela" internet efter känslig information. Dessutom om den som hackar systemet kan läsa felloggarna så blir det betydligt enklare att se vad som inte funkade och hur man går runt det.

**Så reflektera (och ta action) på följande**
- Vilken information skriver ni till loggfilerna?
- Finnas det känslig information där som lösenord till databasen (connection string), personuppgifter (GDPR), API-nycklar
- Vart är loggfilerna lagrade? och viktigast av allt, är de tillgängliga publikt?

Av de 100 installationerna av systemet jag nämnde ovan så hittar jag information såsom fullständiga personnummer, namn, lösenord till databas, SQL-uttryck med data och som avlöjar databasstruktur....och mycket mer. Det är infomrmation som inte hör hemma i den typen av filer och definitivt inte om de är öppna mot internet.

Vill poängtera att ingen hackning av systemen har gjorts för att komma åt informationen, som etisk hackare måste vi ha tillstånd för att kunna göra penetrationstester. Företagen som är drabbade samt programutvecklingsbolaget kommer informeras genom så kallad Responsible Disclosure så det kan åtgärdas.

Låt oss tillsammans göra det svårare för busarna

15/01/2025

Vi kan arbeta hur mycket som helst med it-säkerhet på företagen, men så länge vi inte inkluderar ett 360-graders tänk kring säkerhet så är möjligheterna fortfarande stora för potentiella hotaktörer att komma åt våra system och data.

Det kan verka långsökt att "77 procent av Sveriges föräldrar har lånat ut jobbdator eller jobbtelefon till sitt barn utan tillsyn" har något med saken att göra, men här kommer ett potentiellt scenario baserat på en verklig händelse.

För en tid sen arbetade jag med en utredning av ett groomingfall där en okänd person tog kontakt med ett barn via en spelchat i syfte att dels få barnet att skicka bilder på sig själv, men också även att över tid bygga ett förtroende med barnet för att lura av den viktig information.

Pappan till barnet var VD för ett företag och förövarna lyckades övertala barnet att ge ut adressen, ta bilder på huset och bilarna med registreringskylt och nästan få barnet att ge ut kortuppgifterna till föräldrarnas kreditkort. Att läsa den chatkonversationen och manipulationen som pågick över en längre tid utan föräldrarnas vetskap gör ont ända in i hjärtat.

Så med det i åtanke och också vad bifogad artikel handlar om så är det extremt enkelt att ta scenariot vidare till att förövarna ber barnet att kolla en grej på föräldrarnas dator (jobbdator). Kanske öppna en webbsida, ladda ner ett program eller fotografera något på skärmen. Exemplen är många på vad det skulle kunna vara, MEN det som blir extra skrämmande är att just den datorn kanske till och med är uppkopplad till företagets nätverk eller har känslig information tillgänglig.

Om man dessutom tar med i beräkningne att i många fall så finns det inga säkerhetsspärrar eller skydd i datorn för att komma åt den känsliga informationen eller plantera ett program som kan köras när man väl kommer till kontoret igen och som ringer hem till förövarna.

Så jag vill uppmana till att säkerhet handlar väldigt mycket om en beteendeförändring och ett 360-graders säkerhetstänk och jag lovar att det behöver varken kosta skjortan eller att man behöver vara paranoid.

Källa:

Vanligare i Sverige än i andra länder.

31/05/2022

Är sociala medier viktig eller affärskritisk för din verksamhet? Vad händer om du i morgon inte kommer åt ditt konto längre? Lyssna på min video INNAN du blir utsatt, det är väl investerade 7 minuter ❤️

Du får gärna hjälpa till att dela och sprida filmen så fler kan agera innan det tråkiga händer🙏

Behöver du hjälp, helst innan det händer så är det bara att höra av dig.

24/05/2022

Kunder börjar ställa högre krav på att leverantörer arbetar med säkerhet och det med all rätt. Ingenting är starkare än dess svagaste länk.

Igår träffade jag ett företag som arbetar under sekretess och lagkrav och jag hittade snabbt en mycket onödig risk som tyvärr allt för många företag inte uppmärksammar som en risk.

I filmen berättar tipsar jag om hur du själv kan upptäcka den sortens risker.

Alldeles för många företag börjar arbeta med säkerhet när det har skett en invident eller när kunden kräver det.

Jag kan hjälpa er att på ett enkelt och effektivt sätt börja eliminera de vanligaste riskerna som tyvärr står för flertalet incidenter.

Vill du veta mer? Hör av dig så tar vi ett kort snack.

Du kan maila på [email protected] eller ringa på 0708-990134

06/06/2021

Här kommer en spontan video som dök upp som en idé nyss på ett ämne som är återkommande och behöver lyftas. Det handlar om när vi säger "Vi har koll på vår säkerhet" för många gånger visar det sig tvärtom och det vill jag belysa med ett exempel i den här videon.

Bjuder också på lite fågelkvitter och porlande vatten eftersom jag har använt moder jords green screen idag :-)

Om du uppskattar den researchen jag gör kring säkerhet och vår integritet och känner att du vill bidra på något sätt så är du varmt välkommen att stödja mitt ideella arbete genom att dela inläggen jag lägger ut eller att bidra på https://flattr.com/ så att mer tid kan läggas på researchen.