Säkerhetsbimbo.se











{mars 11, 2011}   Vem behöver antivirus till mobilen?

Har du antivirus till din mobil? Har du en smartphone? Jag är inne på min tredje eller fjärde smartphone och har först nu installerat ett antivirusprogram, valde en gratis variant av samma firma som jag kör på datorn, om inte annat kan jag utvärdera lite och fundera lite på hur det känns att ha antivirus i mobilen, om det försämrar prestanda och annat man kanske oroat sig för. När man hade en ”dumphone” fanns inga antivirusprodukter till denna, men man hade ju och andra sidan inte heller speciellt mycket att skydda. Det skulle vara sina kontakters telefonnummer då (som för alldel kan vara till stora nytta för någon som behagar utföra lite social engineering) samt förståss sånt som har med själva abonnemanget att göra, d.v.s. inte så kul om någon nyttjar ditt abonnemang vare sig de vill ringa koreanska betalnummer eller utföra brottsliga handlingar med hjälp av din telefon, där sedan polisens spår leder direkt till dig. Ovan är väl ungefär vad någon skulle kunna ställa till med på din gamla telefon, men din nya smartphone, har ju förståss oändliga möjligheter både för dig och för busen. Vad du kan göra med din telefon, kan förståss busen också göra, förutsatt att du på något sätt släppt in skadlig kod. Utför du bankärenden per telefon? Då kanske busen också kan göra det. Ansluter du till företaget? Toppenmöjlighet för busen! Använder du tjänster som Dropbox, där du lagrar en del filer online, så kan busen ha fri passage.

Om vi ska vara lite paranoida, som vi säkerhetsmänniskor tenderar att vara, kan också en relativt harmlös tjänst som exempelvis list-tjänsten ”Remeber the milk”, vara ett utmärkt sätt för någon som vill låtsas vara du, att ha stenkoll på din exakta agenda för den närmaste tiden. ”Tjena Göran, Jag vet inte om du hörde att jag skulle till konferensen i Dublin, men just nu håller jag på och bokar biljetterna, och det verkar som att jag behöver informatiom x och y för att säkerställa att vi kommer från vårt företag. Storchefen är ju i Sälen, jag ringde faktiskt upp lite blommor dit som kommer idag, han har ju fyllt år, så jag tänkte att han kanske kunde få koppla av lite för en gångs skull, och att jag inte skulle behöva störa honom, tror du att vi kan lösa det här på ett smidigt sätt? Liknande är förståss fullt möjligt om man håller koll på någon annans att göra listor, och om man har ett välsmort munläder. Hur ofta tror ni att operationen nedan skulle misslyckas? Säkert ibland, men oftast inte, tror jag. Att tekniken med mobilbetalningar med nfc redan finns, även om den inte används i någon större utsträckning gör problemet än större. Troligen kommer mobilbetalningar användas av en större andel personer än de som valt att köra bankappar initialt.

Tiden är förbi då ett sunt bondförnuft kunde skydda oss, om det är på ditt ansvar att känslig företagsdata läckt ut så kan du inte skydda dig själv genom att säga ”Men, så konstigt, jag brukar ju alltid avgöra om ett program (eller en länk för all del) är pålitligt eller ej, med min magkänsla, och det har inte hänt hittills att jag gjort fel.” Det kanske är vårt ansvar att ligga lite före? Dessutom ingår ibland även annat nyttigt som antitheft, sekretess och smsblockerings-funktionalitet. Du kan kan ju alltid läsa Computer Swedens test av mobila antivirusprogram och varför inte börja med att skaffa ett skydd till din egen mobil? Finns det förbättringspotential i ditt företags mobilsäkerhet?

P.S. Du missar väl inte Dataföreningen och Sig Securitys  årliga IT-säkerhetskryssning i maj? I år sticker vi till Riga och det kommer att vara fokus på IT-brott och sociala medier.

sanna006 @ 11:01 f m [filed under mobilt, skadlig kod, social engineering tagged , , , , , , , Lämna en kommentar »


{augusti 21, 2009}   April, april .. jag kan lura dig vart jag vill ..
få företag motstår en attack med social engineering.. Tanken ovan är inte baserad på någon vetenskaplig undersökning utan snarare ett antagande om hur människan fungerar. Vi vill vara hjälpsamma, vi tror gärna gott om folk och även bland de mest ”paranoida” säkerhetstänkarna kan det ibland saknas ”inskolning” för vilka tillvägagångssätt folk faktiskt kan ha när de försöker komma åt saker. Vi håller så gärna upp dörren om folk har händerna fulla, i synnerhet om denna någon hållit upp den tidigare dörren för oss, trots all bråte de släpar på. Inte är vi så onda, att vi i det läget ställer frågan ”Ursäkta, men har du verkligen rätt att vara i den här lokalen?” Om man inte känner några skrupler när man lurar någon (och tro mig, sådana finns det gott om), så löper man inte speciellt stor chans att bli avslöjad om det inte finns inbyggda kontroller samt kunskap om hur den typen av bedrägeriförsök faktiskt utförs. Inte skulle någon kunna vara så fräck, tänker vi, men det kan dom! Om jag ringer dig en dag och presenterar mig som en kollega från ett av bolagets kontor, men utan att ställa några obehagliga frågor, utan bara ”chittchatta” lite och kanske till och med smickra dig lite ”Jo, vi har blivit tillsagda att titta lite mer på hur ni sköter backuperna hos er, för det verkar ju ha fungerat utmärkt, till skillnad från vår lösning”).. Du kollar inte nödvändigtvis upp mig i det läget, jag har ju inte efterfrågat någon sekretessbelagd information. Det gör jag först några veckor senare, när jag med andan i halsen ringer upp och säger att nu är det verkligen panik och kan du inte plocka fram inloggningsuppgifterna X eller information Y, annars kommer chefen att strimla mig och jag är dessvärre ute på stan och har inte tillgång till systemen och kan heller inte berätta att jag är ute för chefen.. klart man vill hjälpa till, eller hur? trust_me

Jag kanske vet att du har en kollega som heter Albin Jakobsson som är på semester i Sälen (det stod i hans blogg nämligen). Jag kanske inte vet vad han har för mailadress, men det är inga problem att skapa upp en gmail som skulle kunna vara Albins privata adress och göra ett försök att få någon information överskickad ”till Sälen”, som han inte insåg att han skulle behöva förrän han kom fram, eftersom han egentligen inte tänkt jobba. Och Albin lovar t.o.m. att bjuda på öl när han är tillbaka om du vill vara så vänlig att ordna detta lite snabbt. Och, tyvärr är täckningen lite dålig och Albin spenderar all tid i backen nu, så mailen är bästa kommunikationsmedlet.. Det kan vara krångligt när problem inte går att lösa rent tekniskt, utan måste informeras bort, eller lösas på något annat sätt.. hur hindrar man exempelvis någon som har tillgång till ett system från att missbruka sin ställning.. Jag hörde någonstans att någon sade ”Jo, jag känner till väldigt mycket konfidentiell information som potentiellt skulle kunna skada mitt företag om det kom i fel händer. Men naturligtvis finns det inte i min horisont att på något sätt bidra till en sådan handling.. förutsatt att jag inte tjänar FETT med pengar på det förståss  samt upplever det som relativt säkert.” Så där är vi igen.. människan..

Disclaimer:Säkerhetsbimbo.se skrivs av tjejer med säkerhetsintresse inom IT-frågor. Vi utger oss inte för att vara IT-säkerhetsexperter generellt, även om sådana kan komma i göra inlägg i bloggen.

sanna006 @ 2:03 e m [filed under social engineering tagged , 1 Kommentar »


et cetera
Följ

Få meddelanden om nya inlägg via e-post.