Det er let nok at være ude med riven, det er ligesom jeg netop har talt med en kollega omkring; 9/10 af alle it-sikkerhedsmæssige problemer almindelige brugere kommer ud for, er enten selvforskyldte eller skyldes ignorance.
The Wizardry Compiled (1989), Rick Cook
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
Ingen jeg kender, som ikke har en interesse eller profession i IT har styr på deres Outlook, Google, FaceBook, Twitter, Instagram, LinkedIn m.v. privacy og sikkerheds settings, men bruger dem gladeligt og deler gladeligt artikler når der er "sikkerhedsudfordringer". Jeg kan simpelthen ikke følge med i det hele, så jeg har fravalgt en stor del af de socigale medier.
Der er et skræmmende antal mennesker, som f.eks. ikke skifter default passwords på de enheder de anskaffer, installere software med kendte sikkerhedshuller (som f.eks. Teamviewer), bruger hjernedøde passwords og installerer software fra ikke sikre kilder og ikke ser på permissions når de tager noget i brug.
Det er let at føle sig forfulgt/overvåget og det er pokkers svært at undgå og det kan hurtigt blive en sovepude, at man tror det hjælper mod overvågningen at gøre eller ikke gøre X-Y-Z, men da alt ens opmærksomhed går med X-Y-Z glemmer man at A-B-C egentligt er det vigtigste.
De knapt så reaktionære af os indser, at vi kan have gavn af teknologien og det at følge med, er en nødvendighed for en moderne tilværelse, men indser også at vi må beherske alle eller i det mindste så mange som muligt af aspekterne omkring det, for ikke at blive misbrugt.
- Hvor mange har f.eks. en mærkat eller skydelåg over kamera'et i deres laptop?
- Hvor mange læser og forstår tilladelserne (og følgerne heraf) en app/program spørger om når den bliver installeret?
- Hvor mange læser og forstår betingelserne når de tilmelder sig en service på indernettet?
- Hvor mange bruger google-DNS? - Hvor mange ved ikke at de bruger google-DNS?
- Hvor mange har et smart-tv med netforbindelse?
- Hvor mange har sat privacy og security op på deres PC, smartphone eller tablet?
- Hvor mange har sat privacy og security op i deres browser? Herunder blokerer cookies fra bl.a. [*.]facebook.com?
- Hvor mange bruger 12 eller flere karakterer med både case og specialtegn i deres passwords og som ikke er baseret på et simpelt system med navne og/eller fødselsdatoer?
- Hvor mange har en DMZ/Perimeter på deres netværk ud over routeren fra indernetudbyderen?
- Hvor mange har et stærkt password på deres WIFI, administrator profil og ikke har aktiv remote-admin, respond to ping from WAN m.v. fra på deres router?
- Hvor mange har en eller anden bagdør til deres netværk, som ikke er er sikret med mindst en 2048bit (hellere 4096bit) RSA nøgle?
- Hvor mange kører en forældet eller ikke opdateret udgave af Windoze og/eller Internet Exploder?
- Hvor mange har two-factor authentication/authorization på Google/Gmail, Outlook Live, Dankort/Mastercard, Ebay, Amazon m.v.?
- Hvor mange sender personhenførbare og/eller personfølsomme data uden explicit at identificere modtager og sikre at data bliver krypteret med tidsvarende kryptering?
- Hvor mange har kryptering af lager i deres laptop (og PC)?
- Hvor mange anvender bærbare HDD, USB og andre medier som ikke er krypteret med den rimeligt stærk algoritme og nøgle?
- Hvor mange har sat en OpenVPN forbindelse eller lignende op på deres router, som sikrer at al trafik er krypteret i det mindste til VPN break-out?
Der er meget meget mere man enten skal fra-, til- vælge eller holde styr på for ikke let at kunne trackes, aflyttes m.v. Bare tag Tapatalk som eksempel, mange af Tapatalk brugerne herinde havde deres "rigtige" navn i deres Tapatalk profil og så nytter det ikke at hæge om ens identitet bag NVF-aliaset
Der er og eller har været brugere som har anvendt samme brugernavn, signatur m.v. på andre fora, hvor der er afgivet mere lokationsnære oplysninger, adresser m.v.
Iøvrigt kan det at fravælge noget resultere i såkaldte non-events, når
"alle" andre gør/anvender/udfører det, så kan udeblivelse eller fravalg give en event i sig selv. Det er nok ikke en bekymring som p.t. er relevant, men det kan blive højest aktuelt når eller hvis øget samkøring af registre bliver lovligt og en realitet.
Jeg kan heller ikke holde styr på det hele og jeg prøver at holde styr på det jeg vægter tungest - Og for at komme tilbage til tråden, så bør det være et krav (og jeg er egentligt rimeligt sikker på at GDPR kan hjælpe os) at lokations- og køre-data ikke deles eller at deling kan slåes fra indtil at enheden udsættes for en større G-påvirkning.
For at citere en tidligere kollega
If you do not know that you are under attack, it is because you have already been hacked!