daniel goldberg och linus larsson it-säkerhet för ... - iis · innehåll förord 04 1. inledning...

hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEM

en introduktion

Daniel Goldberg och Linus Larsson

It-skerhet fr privatpersoner

en introduktion

Daniel Goldberg och Linus Larsson

It-skerhet fr privatpersoner

Organisationsnummer: 802405-0190Besksadress: Ringvgen 100 A, 9 tr, StockholmBrevledes p .SE Box 7399, 103 91 StockholmTelefon: +46 8 452 35 00. Fax: +46 8 452 35 02E-post: [email protected] www.iis.se

IT-skerhet fr privatpersoner.SE:s Internetguide, nr 30Version 1.0 2013Daniel Goldberg och Linus LarssonTexten skyddas enligt lag om upphovsrtt och tillhanda-hlls med licensen Creative Commons Erknnande 2.5 Sve-rige vars licensvillkor terfinns p creativecommons.org, fr nrvarande p sidan creativecommons.org/licenses/by/2.5/se/legalcode.

Illustrationerna skyddas enligt lag om upphovsrtt och tillhan-dahlls med licensen Creative Commons Erknnande-Icke-Kommersiell-IngaBearbetningar 2.5 Sverige vars licensvillkor terfinns p creativecommons.org, fr nrvarande p sidan creativecommons.org/licenses/by-nc-nd/2.5/se/legalcode.

Vid bearbetning av verket ska .SE:s logotyper och .SE:s gra-fiska element avlgsnas frn den bearbetade versionen. De skyddas enligt lag och omfattas inte av Creative Commons-licensen enligt ovan.

.SE klimatkompenserar fr sina koldioxidutslpp och stdjer klimatinitiativet ZeroMission. Se www.zeromission.se fr mer information om ZeroMission.

Frfattare: Daniel Goldberg och Linus LarssonRedaktr: Hasse NilssonProjektledare: Jessica BckFormgivning: BedowOmslagsillustration: Camilla AtterbyFrsta upplagan.Tack till: Anne-Marie Eklund-Lwinder, .SE och Myndig-heten fr samhllsskydd och beredskap, MSB.ISBN: 978-91-87437-05-2

.SE (Stiftelsen fr Internetinfrastruktur) ansvarar fr Internets svenska toppdomn. .SE r en oberoende allmn-nyttig organisation som verkar fr en positiv utveckling av Internet i Sverige.

Alla .SE:s InternetguiderDu hittar alla .SE:s utgivna Internetguider p www.iis.se/guider. Du kan bestlla en prenumeration p nyutgivna guider genom att skicka namn och adress till [email protected].

http://www.zeromission.se%20

Innehll

frord 041. inledning 052. virus, trojaner och maskar 06 2.1 Olika typer samma syfte 06 2.2 Virus 07 2.3 Trojaner 07 2.4 Maskar 08 2.5 Vad kan de stlla till med? 09 2.6 Hur blir du infekterad? 10 2.7 Social ingenjrskonst 10 2.8 Skerhetsluckor 10 2.9 Om du inte letade efter ett program, installera det inte 12 2.10 Om du har installerat det, uppdatera det 12 2.11 Om du inte behver programmet, avinstallera det 12 2.12 Hur upptcker man att man r infekterad? 13 2.13 Uppdatera, uppdatera, uppdatera 143. ntfiske och den oknda avsndaren 15 3.1 Din vn kan vara vem som helst 16 3.2 Att fejka en avsndare r ingen konst 184. trdlsa ntverk 21 4.1 Nr det gr riktigt illa 21 4.2 S skyddar du ntverket 23 4.3 Publika ntverk 24 4.4 Proffskryptering med VPN 255. lsenord och tvfaktorsinloggning 27 5.1 Att vlja ett bra lsenord 27 5.2 S kncks ett lsenord 29 5.3 Samma lsenord verallt? 31 5.4 Programmen som hjlper dig 32 5.5 Tv faktorer framtidens inloggning 326. e-post r som vykort 36 6.1 Kryptering skert men lite krngligt 37 6.2 Tre enkla krypteringsverktyg 407. s skyddar du dina pengar 45 7.1 Ntbanken viktigast av allt 45 7.2 Kontokortet bedragarens favorit 47 7.3 Skimming, den gamla tidens kortbedrgeri 47

7.4 Den hackade e-handlaren 48 7.5 Betaltjnster en (lite) tryggare mellanhand 49 7.6 Men jag fr vl tillbaka pengarna? 498. mobilen nsta skerhetsarena 52 8.1 S ser hoten ut 52 8.2 Olika plattformar, olika risker 54 8.3 S skyddar du dig 559. att radera p riktigt 58 9.1 Enkelt terskapa borttagna filer 58 9.2 S sopar du undan spren 59 9.3 Stulna telefoner en guldgruva fr tjuven 60 9.4 S tmmer du din mobiltelefon 61 9.5 Tm telefonen p avstnd 6310. stll krav! 65 10.1 Hur lagras mitt lsenord? 65 10.2 Hur lagras mina filer? 66 10.3 Vad hnder med min information? 6711. ordlista 6812. lnkar 74

5

frord

Frord

Aldrig har it-skerhet varit ett lika omtalat mne som idag. Vecka efter vecka fylls lp-sedlarna av nyheter om stulna lsenord, manipulerade bankomater och vervak-ningsskandaler. Varningsbrev frn vra banker om illasinnade datorvirus, utfor-made fr att i tysthet stjla vra sparpeng-ar, hr till vardagen. Kapade Facebook- och Twitterkonton likas.

Inte undra p att mnga blir oroliga. Hur vet man att de filer som finns lagrade p ens dator inte kan lsas av ngon an-nan? Hur vet man att ens e-postkonto inte fr ovntat besk av en illasinnad angri-pare? Och kan man verkligen lita p att ens pengar r skra hos ntbanken? Vgar man ge sig ut p ntet ver huvud taget?

Det r fr att ge svar p sdana frgor som vi har skrivit den hr guiden som r till fr att lra dig grunderna i hur man hller sig sker i den digitala vrlden. Vi bjuder p matnyttiga tips om enkla tgrder fr att hlla din e-post, ditt Facebookkonto och

dina bankuppgifter i skert frvar. Vi fr-klarar hur saker och ting fungerar och gr igenom till synes knepiga ord och frkort-ningar som kryptering, ssl och fabriks-terstllning. Vi ger dig ocks en inblick i vad som faktiskt hnder bakom skrmen och tangentbordet nr du knappar in ett lsenord eller loggar in p din ntbank.

Innhller i den hr guiden krver inte srskilda frkunskaper. Vi har anstrngt oss fr att gra den s lttlst som det bara gr. Fr den oinvigde kan it-skerhet kn-nas som ett ogenomtrngligt komplicerat mne. I sjlva verket r det inte alls srskilt svrt att f en knsla fr hur allt hnger ihop. Om du klarar av att sl p en dator, ge dig ut p webben och logga in p ett Face-book-konto br du inte ha ngra som helst problem att ta dig igenom den hr guiden. Nr du lst klart r vr frhoppning att du ska kunna ge dig ut p ntet trygg i vetska-pen om vilka faror som finns dr ute, och hur man bst skyddar sig frn att rka illa ut. Med ett par enkla handgrepp gr det att gra sig immun mot de vanligast frekom-mande hoten, och som i de allra flesta sam-manhang rcker en skopa eftertnksamhet och sunt frnuft lngt.

Daniel Goldberg och Linus LarssonStockholm, September 2013

6

kapitel 1: inledning

01 Inledning

De kommande 67 sidorna r uppdelade i sammanlagt tio olika kapitel. I vart och ett av dem gr vi igenom ett srskilt mnesomrde och ger handfasta tips p smarta tillvgagngsstt. r du intres-serad av ngot srskilt s blddra grna direkt till det kapitel som passar bst, men fr dig som vill ha en grundlggan-de teknisk genomgng rekommenderar vi att brja med kapitel 2 och kapitel 3. I dem frklarar vi ngra vanligt frekom-mande begrepp som ven anvnds sena-re i texten. I kapitel 10 ger vi dessutom tips p lmpliga frgor att stlla till det eller de fretag du vljer att samarbeta med p ntet, ngot som blir allt vanli-gare i takt med att vi lgger vr e-post, vr kommunikation och vra filer i hn-derna p internetfretag som Google, Facebook och Microsoft.

Sist i guiden fljer en ordlista, dr vi frklarar vanligt frekommande termer och frkortningar. Anvnd den grna

som en lathund, eller ta chansen att im-ponera p dina mer tekniskt kunniga vnner.

Vr ambition har varit att texten du hller i din hand ska vara lrorik, intres-sant och lttlst, men ocks betryggande. Visst finns det mnga fallgropar att vara vaksam p, och visst kan man aldrig lita hundraprocentigt p att en oknd angri-pare inte upptckt nya svagheter att ut-nyttja fr att komma t ens hemligheter. Men det betyder inte att man ska sluta anvnda sig av datorer.

Ntet och den digitala tekniken fr med sig fantastiska mjligheter fr oss alla. Gi-vetvis ska man inte vara rdd fr att dra nytta av dem. Det gller bara att, precis som i vilket annat sammanhang som helst, gra sig medveten om riskerna och se till att skydda sig s gott det gr.

7

kapitel 2: virus, trojaner och maskar

02 Virus, trojaner och maskar

Datorvirus har funnits i rtionden och r bland de mest mytomspunna freteel-serna i it-skerhetsvrlden. I otaliga fil-mer och tv-serier har de framstllts som datorvrldens monster, en slags ondsinta varelser som p egen hand kan sprida sig frn dator till dator och stlla till problem. Som om de hade en egen vilja.

Verkligheten r, som s ofta, lite min-dre dramatisk. Men vad som stmmer r att datorvirus mycket riktigt kan stlla till med rejl skada.

Frst ngra ord fr att undvika be-greppsfrvirring. Ordet datorvirus an-vnds ofta, lite slarvigt, som benmning p alla typer av skadlig kod. Det r vanligt inte minst i tidningarnas rubriker. Men faktum r att verkliga virus har frsvunnit nstan helt. Istllet har andra, liknande typer tagit ver, till exempel trojaner och maskar. Hr ska vi g igenom hur de skil-jer sig frn varandra. Drfr kommer vi att anvnda skadlig kod som sammanfat-

tande benmning, en versttning av de engelska begreppen malware och mali-cious code.

2.1 Olika typer samma syfteMan ska inte blanda ihop virus, trojaner och maskar som om de vore samma sak. Rent tekniskt skiljer de sig rejlt frn var-andra. De sprids p olika stt och krver olika mycket resurser att utveckla. D-remot har de mycket gemensamt. Alla utnyttjar de skerhetshl i din dator fr att lura sig in och ta kontroll ver den. Vl inne frsker de ofta gra tv saker: Utnyttja din dator fr att sprida sig sjlva vidare till andra, eller utnyttja din dator fr sina egna syften. Oftast handlar det i slutndan om att tjna eller stjla pengar. Senare i kapitlet gr vi igenom hur det gr till i nrmare detalj.

Hr fljer kortfattade beskrivningar av de tre vanligaste typerna av skadlig kod: virus, trojaner och maskar.

8


2.2 VirusAtt datorvirus kallas som de gr r ingen slump. De beter sig nmligen p ett stt som pminner om virus i naturen, trots att de r skapade av programmerare.

Datorvirus infekterar ett program ge-nom att hnga sig fast vid det, ungefr som naturens virus angriper ett djurs eller en mnniskas kropp. Nr datorn r infekte-rad kan information p hrddisken rade-ras, avlyssnas eller ndras. Dessutom kan viruset utnyttja datorns berkningskraft utan att anvndaren mrker det. Mnga av de tidiga exemplen p virus tycktes vara skapade av personer som mest ville visa upp hur skickliga programmerare de var. Drfr gjorde vissa av dem ingen skada p den infekterade datorn. Sdana virus har dock blivit mindre vanliga med tiden.

Verkliga virus r mycket komplicerade att programmera ihop. Dessutom har antivirusprogrammen blivit skickligare p att upptcka dem. Det har ftt kriminella att verge virus till frmn fr de andra typerna av skadlig kod, framfrallt troja-ner och maskar.

2.3 Trojaner Trojaner har ftt sitt namn efter legenden om den trojanska hsten. Dr gmde sig grekerna inne i en trhst fr att lura sig

in i staden Troja. Trojanen lurar sig in p datorn p ett liknande stt, ofta dolda i ett annat program eller i en fil.

Till skillnad frn virus, som infekterar vanliga program, kan trojanen existera helt fr sig sjlv. Men det som har ftt kri-minella att vlja trojaner framfr virus r framfrallt en sak: De r enklare att pro-grammera och vl s effektiva.

Nr en trojan har ftt fste p ens dator kan den anvndas fr en hel del. Till ex-empel kan den avlyssna det du skriver p tangentbordet fr att komma ver dina lsenord, kontokortsnummer eller an-nan knslig information. Informationen som snappas upp kan skickas vidare till personen som styr trojanen helt utan att du mrker det.

En annan vanlig funktion r att en in-fekterad dator kan kapas och fjrrstyras. Det kallas ofta att den ingr i ett botnt (dr bot r en frkortning av robot), det vill sga ett stort ntverk av kapade da-torer som kontrolleras av en person eller grupp. Ett omfattande botnt r vrt stora pengar. Det kan exempelvis anvndas fr att skicka ut gigantiska mngder onskad reklam, bedrgerifrsk via e-post, eller rikta verbelastningsattacker mot webb-platser. En sdan gr ut p att mngder med infekterade datorer p kommando

9

brjar skicka skrpinformation mot en webbplats, tills den inte klarar av mer och slutar fungera. Tnk sjlv vilken makt det skulle innebra om man kunde f tiotu-sentals datorer att utfra nstan vilken handling som helst p kommando.

Trojaner brukar ha fantasifulla namn och benmningar, Haxdoor eller Zeus fr att ta tv vanliga exempel. Namnen har antingen bestmts av trojanens skapare, eller kommer frn antivirusfretaget som upptckte dem.

2.4 MaskarTill skillnad frn virus r maskar fristende program som inte behver infektera en viss fil fr att infektera en dator. Namnet kom-mer frn dess frmga att sprida sig sjlv man brukar sga att masken kryper sig fram mot nya datorer att ta kontroll ver.

Olika maskar tar sig fram p olika stt. Vissa kan kopiera sig ver ett ntverk, andra lgger sig p usb-minnen som flyttas mellan datorer och en tredje typ sprider sig genom att sjlv brja skicka e-postmeddelanden frn den dator den har tagit ver.

Nr en mask har infekterat en dator kan den gra ungefr samma skada som en trojan. Men genom ren har det ocks dykt upp maskar utan tydligt syfte allt de verkar gra r att sprida sig vidare och

ta ver fler datorer. nd har de stllt till rejl skada eftersom de sprider sig med sdan fart att de tynger ntverk och ver-belastar e-postservrar.

2.5 Vad kan de stlla till med?En dator som har infekterats av en trojan, en mask eller ett virus fortstter ofta fung-era som om ingenting hade hnt. Mjligt-vis gr den lite lngsammare n tidigare eftersom datorns prestanda och uppkopp-ling till ntet anvnds till annat n vad du sysslar med. S vad r d problemet?

En hel del, och inte bara fr dig sjlv. Vi nmnde tidigare att tangentbordet kan avlyssnas. Det r ngot av en standard-funktion i moderna trojaner, och den kan anpassas fr speciella syften. Till exempel kan den reagera nr du fr upp ett inlogg-ningsformulr p skrmen. Nr du knap-par in anvndarnamn och lsenord snap-pas de upp och skickas vidare till den som kontrollerar trojanen.

Mest eftertraktade r de lsenord som angriparen kan anvnda fr att tjna pengar, till exempel inloggning p konton som Paypal eller andra som r kopplade till ett kontokort. ven internetbanker har drabbats av den hr typen av inloggning, framfrallt p den tiden d engngskoder p plastbrickor (s kallade skrapkoder) an-


10

vndes fr att logga in. I dag har bankerna brjat ta skerheten p strre allvar och det krvs mer avancerade trojaner fr att stjla pengar. Se kapitel 7: "S skyddar du dina pengar", fr en nrmare beskrivning.

Men datorer som har kapats med troja-ner anvnds inte bara fr att komma ver garens konton och knsliga information. En angripare kan ocks vilja utnyttja din dator fr helt andra syften. Ett r utskick av skrppost. Sdana utskick frenklas med tillgng till ett par tusen (eller nnu fler) kapade datorer, eftersom kllan blir svrare att spra.

Om du skulle drabbas av en trojan r det mjligt att du inte ens sjlv mrker det. Men i bakgrunden pgr handlingar som du troligtvis inte vill ha ngot att gra med.

2.6 Hur blir du infekterad?Fr att smyga in en trojan eller mask p din dator mste angriparen ta till speci-ella metoder. De kan se mycket olika ut, men har alla en sak gemensam: Antingen lurar de din dator eller s lurar de dig. Att lura din dator innebr att angriparen knner till en skerhetslucka i till exem-pel Windows som hen kan utnyttja. Att lura dig r precis vad det lter som. Det kallas social ingenjrskonst och r minst lika effektivt.

2.7 Social ingenjrskonstNr du sitter vid din dator, inloggad med rtt lsenord och drmed med full till-gng till alla funktioner kan du sjlv stlla till en hel del skada. I sig r det helt i sin ordning du ska ju kunna radera filer, installera program och till och med fjrr-styra din egen dator.

Men det fr ocks med sig en fara. Om en angripare kan lura dig att utfra en handling r det som om hen satt vid tang-entbordet sjlv. Mnga har begripit att det r enklare att lura personen vid datorn n att hacka sjlva datorn.

E-postmeddelanden med falsk avsn-dare r en variant av social ingenjrskonst. Ibland r de utformade fr att se ut att ha en bank som avsndare. Andra gnger an-vnder de formuleringar som angriparen frstr att mottagaren kommer att ha svrt att motst.

2.8 Skerhetsluckorven om social ingenjrskonst r effektiv s utnyttjar bedragare ocks rent tekniska svagheter i program och operativsystem fr att plantera trojaner och fra in mas-kar. Infr sdana hot vilar det strsta an-svaret p fretagen som utvecklar opera-tivsystemen och programmen. Men som vanlig anvndare finns det ett par nd-


11

verkurs!E-postmasken som blev filmEtt tidigt exempel r e-postmasken ILOVEY-OU (ibland kallat Love Letter) som brjade sprida sig p ntet r 2000. Det spreds genom ett mejl med mnesraden ILOVEYOU och en bifogad fil som sg ut att vara ett krleks-brev. Men nr man klickade p filen installe-rade man istllet den skadliga koden. Drefter plockade masken fram ens kontaktlista i e-postprogrammet och skickade sig sjlv vidare till de 50 frsta adresserna. Med andra ord spreds ILOVEYOU frn vn till vn. Inte kon-stigt att mnga gick p bluffen det sg ju ut att vara ett krleksbrev frn ngon de knde. Tiotals miljoner datorer infekterades innan masken kunde stoppas.

Exemplet r gammalt, men bedragare an-vnder fortfarande metoder som bygger p samma princip: Locka med ngonting motta-garen har svrt att st emot (sex eller pengar, ofta i form av lotterivinster r tv favoriter) och lgg till en uppmaning att klicka p en fil eller beska en webbadress.

Just masken ILOVEYOU har gtt till histo-rien ven av andra anledningar. r 2011 frevi-gades historien om den i den romantiska thril-lern Subject: I love you.

E-post r inte det enda sttet att sprida skadlig kod. Samma trick har brjat anvn-das p sociala medier i takt med att anvn-darna har flyttat dit. Frbluffande ofta an-vnder angriparna till och med telefonen. En bedrgerimetod gr ut p att ngon ringer upp och utger sig fr att vara supportper-sonal, ofta frn Microsoft. Drefter lotsas anvndaren genom tgrder p datorn som i sjlva verket innebr att hen lmnar ifrn sig knslig information som inloggnings- och bankuppgifter.

Det r svrt att helt skydda sig frn social ingenjrskonst. D och d mste man trots allt lita p en avsndare. Men du kommer en bit p vgen med tv grundregler.

Fr det frsta om det lter fr bra fr att vara sant s r det frmodligen s. Nej, du har inte vunnit stora pengar p ett lotteri du inte har deltagit i. Fr det andra serisa fretag anvnder aldrig e-post fr att sprida uppdateringar till din dator. Dubbelkolla med kllan, ls p den officiella hemsidan eller ring och frga om du r osker. Du kan ocks an-vnda Google fr att ska p formulering-ar i ett mejl. Ofta har ngon annan redan skrivit om bluffen.


12

vndiga tgrder som man mste vidta.Fljande tre rd r en bra grund fr var-

daglig it-skerhet. De kommer ursprung-ligen frn Brian Krebs som r en vlknd skribent inom it-skerhet.

2.9 Om du inte letade efter ett program, installera det inteSurfar du runt p mf och pltsligt fr upp ett fnster som uppmanar dig att rensa din dator? Kanske ett fejkat meddelande om att du har ftt virus som mste tas bort? Eller lften om bttre kvalitet p strmmad film?

I sdana lgen ska man direkt stnga fnstret utan att installera ngot pro-gram. Med stor sannolikhet rr det sig om en ren bluff. Programmet kommer inte utfra vad det utlovar. Det kommer kan-ske krva dig p pengar och kan mycket vl installera skadlig kod p din dator, just det som programmet lovar att rensa bort.

S tnk efter innan du installerar ett program: Letade jag efter just det hr? Om inte, hur gick det till nr det hamnade p min skrm?

2.10 Om du har installerat det, uppdatera detNya skerhetshl upptcks hela tiden. Det gller bde operativsystem som Windows eller Mac OS och enskilda program. Det

har mjukvarufretagen insett och drfr skickar de regelbundet ut uppdateringar som tpper till luckorna, frhoppningsvis innan kriminella kan utnyttja dem.

Sdana uppdateringar r gratis och ska installeras s snart de finns tillgng-liga. Visst kan det knnas trttsamt med stndiga meddelanden om uppdateringar, men se till att omedelbart installera t-minstone de som handlar om skerhet. Det finns gott om exempel p vad som kan hnda annars. Fr ngra r sedan var pdf-filer bland de mest populra fr att infektera datorer med trojaner. Det kunde ske p grund av ett skerhetshl i Adobe Reader, programmet som mnga anvnder fr att lsa pdf-filerna. Adobe fick kritik fr att fretaget drjde med att slppa lagningar, men ven nr de fanns tillgngliga s kunde attackerna fortstta eftersom inte alla uppdaterade.

I dag har de flesta program funktioner som automatiskt kontrollerar om det finns uppdateringar tillgngliga. Se till att aktivera den!

2.11 Om du inte behver programmet, avinstallera detVarje installerat program r en potentiell genvg in till din dator. Ju frre program du har installerade desto svrare blir det


13

2.12 Hur upptcker man att man r infekterad?Skapare av trojaner och maskar lgger ner ofantliga resurser p att hlla sina program osynliga efter att de har infek-terat en dator. Drfr r det mycket svrt att upptcka dem p egen hand som van-lig anvndare.

Det r hr antivirusprogram kommer in i bilden. De anvnder ett par metoder fr att upptcka skadlig kod. Dels inne-hller de en lista med signaturer, som kan liknas vid den skadliga kodens fing-eravtryck. Genom att jmfra datorns fi-ler med signaturerna kan man upptcka skadlig kod, och frhoppningsvis ta bort den. Dessutom spanar den efter program som beter sig mrkligt i strsta allmn-het, eftersom det kan vara ett tecken p infektion.

Frutom att granska filer p hrddis-ken brukar antivirusprogrammen block-era falska webbsidor som frsker stjla dina uppgifter och kontrollera inkom-mande e-post. Drfr marknadsfrs de inte alltid som antivirusprogram utan som heltckande skerhetsprogram. Men inte desto mindre r ett av deras vik-tigaste syften fortfarande att upptcka och ta bort skadlig kod.

Tips!Antivirus fr Mac?De flesta antivirusprogram riktar sig till Windows-anvndare, eftersom majoriteten av all skadlig kod angriper just Windows. Men ven om Mac-anvn-dare fortfarande r tryggare s har ett antal hot ven mot Mac dykt upp p senare r, och det finns s-kerhetsprogram med antivirusfunktioner att tillg ven dr. Tnk p att ven om du som anvnder Mac inte smittas av skadlig kod skriven fr Windows, s kan du av misstag fra smittan vidare till pc-anvn-dare genom att vidarebefordra e-post med skadliga filer, bedrgliga webbadresser och s vidare.

att ta sig in. Gr det drfr till en vana att ta bort program som du bestmmer dig fr att du inte behver. Som en bonus sparar du drmed p hrddiskutrymme. Tnk p att principen inte bara ska glla vanliga program, utan ocks instickspro-gram (plugins eller extensions som de kallas p engelska) i webblsare.


14

Varning!Antivirus hller mig sker mot allt!

Det finns inget hundraprocentigt skydd mot skadlig kod, inte ens fr den som kper dyra s-kerhetsprogram och betalar fr regelbundna upp-dateringar.

Ny skadlig kod kan spridas p ntet och stlla till med skada innan de identifieras av skerhetsfre-tagen och programmen lr sig knna igen dem. Om du hr till de frsta att bli infekterad av ny skadlig kod finns det drfr risk att din dator skadas. Drfr gller det att vara frsiktig med att ladda hem program och klicka p bifogade filer eller ln-kar i e-post om du inte r helt sker p att de kom-mer frn en trygg avsndare. I kombination med antivirus kommer sdan frsiktighet rcka lngt fr att hlla datorn fri frn infektioner.

2.13 Uppdatera, uppdatera, uppdateraEftersom ny skadlig kod upptcks hela tiden r det viktigt att antivirusprogram-met hlls uppdaterat. I regel sljs de med en prenumeration fr nya signaturfiler. Genom att regelbundet ladda hem nya lr sig programmet vad det ska leta ef-ter. Nr programmet r instllt att hmta nya filer behver du inte tnka mer p det, uppdateringen sker i regel automa-tiskt i bakgrunden.

En rad fretag sljer antiviruspro-gram. Symantec, McAfee, Kaspersky, F-Secure och Sophos r ngra av de mest knda. De varierar bde i pris och funk-tioner, s vilket som passar dig bst r svrt att sga. Mnga finns i en gratis testversion som kan laddas hem och an-vndas under en kortare tid. Testa dig grna fram! Utver detta s har de se-naste versionerna av Windows och Mac OS X skerhetsfunktioner som du br ha aktiverade.


15

kapitel 3: ntfiske och den oknda avsndaren

03 Ntfiske och den oknda avsndaren

En av de vanligaste metoderna fr att kom-ma ver knslig information p ntet och sprida skadlig kod, trojaner och virus r med hjlp av det som kallas fr phishing. Ordet r en omskrivning fr fishing, och brukar versttas till ntfiske p svenska. I korthet gr det ut p att en angripare

lurar dig att lmna ifrn dig knslig in-formation genom att ltsas vara ngon annan. I det hr kapitlet gr vi igenom de vanligaste formerna av ntfiske, och fr-klarar hur du skyddar dig.

Ibland kan ntfisket vara ltt att genom-skda: Alla ntsurfare r bekanta med de

Falsk e-post som ser ut att komma frn din bank eller ditt kreditkortsfretag r en vanlig form av ntfiske.

16

enorma mngder skrppost som landar i vra e-postldor varje dag. Ibland r det en pstdd slkting i ett avlgset land som lovar att verlmna ett bortglmt arv om du bara skickar ver en liten ad-ministrationsavgift. Ibland r det en p-stdd vinst i en tvling, dr vrdefulla prylar blir dina om du bara uppger dina bankuppgifter fr avsndaren.

De flesta har lrt sig att genomskda sdana enkla bluffar och snabbt frpassa dem till papperskorgen. De flesta mejl-program har dessutom inbyggda filter fr att automatiskt sortera bort onskad skrppost.

P senare r har dock mnga ntfis-kare blivit mer sofistikerade. Framfrallt de phishing-mejl som frsker komma ver inloggningsuppgifter till banker har blivit svrare att skilja frn kta vara. Ge-nom att anvnda logotyper, text och bil-der stulna frn bankens verkliga webb-plats gr det att f till mejl som ser ut att vara kta. Inte sllan ber avsndaren dig logga in fr att bekrfta exempelvis din adress, eller installera en skerhetsupp-datering. I sjlva verket smusslas dina inloggningsuppgifter undan och anvnds sedan av angriparen fr att lnsa ditt kon-to (se kapitel 7: S skyddar du dina peng-ar, fr mer om detta). Regeln hr r att

din bank aldrig ngonsin mejlar och ber om dina inloggningsuppgifter eller att du ska logga in p en sida fr att kolla att dina uppgifter stmmer.

3.1 Din vn kan vara vem som helst Att mnga frsk till ntfiske r enkla att genomskda beror p att avsndarna siktar brett. De flesta skrppostare skick-ar ut sina mejl till flera miljoner mot-tagare, ofta p flera sprk och i mnga olika lnder. Strategin ger dem vldigt lite utrymme att anpassa utskicken till just dig. Det tvingar dem att formulera sig brett och opersonligt i sina texter, och det gr det lttare fr e-postprogrammens automatiska filter att identifiera skrp-posten och omedelbart frpassa den till papperskorgen.

Givetvis r det en svaghet som listiga angripare lrt sig utnyttja. Det kanske bsta sttet att gra ntfiske mer effektivt r nmligen, ngot paradoxalt, att be-grnsa antalet mottagare. Om en angri-pare bara vljer ut svenskar kan hen kon-centrera sig p att frbttra sprkbruket, exempelvis. Genom att bara vlja kunder till ett visst fretag, eller boende i ett visst omrde, gr det att bttra p trovrdig-heten ytterligare genom att strssla tex-ten med bekanta detaljer och referenser.


17

Checklista!Tre anledningar att bli misstnksam De flesta phishingmejl r ltta att avslja. Hr r tre saker att vara uppmrksam p nr du frsker avgra om avsndaren r den hen utger sig fr att vara.

1. StavfelNtfiskare behver inte vara svenskar ven om de frsker lura svenska anvndare. Ofta verstts textinnehllet i mejlen automa-tiskt med hjlp av verktyg p ntet. Var dr-fr uppmrksam p mrkliga formuleringar, rena stavfel och underliga ordval. Brukar din bank inleda mejl till dig med Kre herre/fru? Brukar din mobiloperatr inleda p-minnelser om obetalda fakturor med orden Fel bill, en misslyckad versttning av det engelska ordet fr rkning? Bda r exempel ur verkligheten, och ltta att genomskda fr den som lser noga

2. Varifrn kommer mejlet?Ett enkelt stt att avgra ett mejls kthet r att kika nrmare p avsndaren. Intill eller strax under namnet (beroende p vilket mejl-program du anvnder), ser du mejladressen

i sin helhet. Titta noga p e-postdomnen, det vill sga vad som str efter @ i adressen. Ett mejl frn Telia br rimligen komma frn telia.com eller telia.se, inte frn exempelvis [email protected]. ven det r ett exempel frn verkligheten, och ett tydligt tecken p att ngot inte str rtt till. Men ven om adressen stmmer ska du inte kn-na dig helt sker, det gr faktiskt att fejka en riktig avsndaradress.

3. Vart leder lnkarna?De flesta ntfiskare frsker f dig att klicka p en lnk i mejlet, antingen fr att skicka dig vidare till en falsk inloggningssida eller fr att installera skadlig kod p din dator. Undersk drfr lnkarna lite extra innan du klickar. I de flesta mejlklienter kan du enkelt frhandsgranska lnkar genom att hlla muspekaren ver dem. I fnstrets botten, eller intill muspekaren, visas d destinationsadressen. Fr att terg till ex-emplet ovan: I ett mejl frn Telia br ln-karna rimligen leda till telia.se- eller telia.com-adresser. Inte, som i detta fall, till en suspekt tysk shoppingsajt. Tyvrr har banker och e-handelssajter ofta lnga och komplicerade adresser till specifika sidor och tjnster s hr gller det att vara extra uppmrksam.


18

Genom att g nnu ett steg lngre, och fokusera utskicket p just dig, kan en skicklig ntfiskare gra bluffen nstan omjlig att upptcka. Det kallas fr spear fishing, spjutfiske p svenska, och syftar p ntfiske dr mltavlan har krympts ned till att omfatta en enskild individ, eller en mycket liten grupp av mottagare.

Ett vlknt exempel intrffade r 2011, och fick minst sagt desdigra konsekven-ser. Ngon skickade d ett mejl till en handfull anstllda p skerhetsfretaget RSA, med det bifogade exceldokumentet 2011 recruitment plan.xls. Mottagarna valdes noggrant ut av angriparen de var just sdana som skulle berras av en rekryteringsplan. En av dem gick p bluffen och ppnade den bifogade filen. I exceldokumentet gmde sig ett stycke skadlig kod, som snabbt tog kontroll ver den anstlldes dator och letade sig vidare p fretagsntverket. Mltavlan var RSA:s mest knsliga fretagshemlig-het, krypteringstekniken SecurID, som anvnds av mngder av fretag fr tv-faktorsautentisering (ls mer om den tekniken i kapitel 5: Lsenord och tv-faktorsinloggning). Angreppet lycka-des, och rets strsta skerhetsskandal var ett faktum. Allt tack vare ett oanse-ligt ntfiskemejl.

3.2 Att fejka en avsndare r ingen konstMetoden som anvndes fr att komma t skerhetsfretaget RSA:s hemligheter kan enkelt anpassas ven mot privatpersoner. I regel r folk mer bengna att klicka p lnkar eller lmna ver viktig information till personer de knner och litar p. Det r inte s konstigt men hur vet du att vnnen som mejlar, eller pratar med dig p Facebook, verkligen r den hen utger sig fr att vara?

Det finns inga inbyggda sprrar p inter-net som frbjuder oss att registrera exem-pelvis e-postadresser i falskt namn, s lnge just den adressen inte r upptagen. Dess-utom finns verktyg p ntet som lter en angripare fejka en avsndaradress utan att ens registrera den p riktigt. Hsten 2012 roade sig exempelvis en skmtsam hackare med att skicka tramsigt skrivna mejl frn adressen [email protected] till journalister. Fr den som inte noterade stavningen i frnamnet (Sverigedemokraternas partiledare skriver Jimmie, inte Jimmy) var bluffen svr att ge-nomskda. I det fallet var avsikten bara att roa, men samma metod kan anvndas ven fr att sprida trojaner och maskar. Frga dig sjlv: Hur noga tnker du efter innan du laddar ned en fil eller klickar p en lnk som skickats till dig av en vn?


19

verkurs! Ingen klickar vl p spam?Det kan tyckas mrkligt att skrpposten fortstter att flda in i vra e-postldor r efter r. Ingen kan vl vara s dum att den klickar p vad som i de flesta fall s uppen-bart r frsk till bedrgeri? Faktum r att ntfiske r ett mycket effektivt verktyg fr att sprida skadlig kod och lura av ntsurfare knslig information.

r 2009 genomfrde fretaget Trusteer en underskning dr mer n tre miljoner ntanvndares beteende analyserades un-der en tremnadersperiod. Resultatet visade att ungefr en procent av alla amerikanska bankkunder luras att klicka p en lnk i ett ntfiskemejl, som utgett sig fr att komma frn deras bank, under varje enskilt r. Av dem fyller nstan hlften i sina inloggnings-uppgifter p sidan de sen skickas vidare till.

En av hundra kanske inte lter mycket, och mycket riktigt r trffgraden p ett en-

skilt skrppostutskick lg. Men med tanke p de enorma volymer som skickas ut rcker den nd lngt. Erfarna spammare jobbar nmligen enligt hagelbsseprincipen, och siktar s brett det bara gr och hoppas att tillrckligt mnga gr p bluffen.

En titt p siffrorna rcker fr att bekrfta den bilden. En vanlig dag skickas som regel tiotals miljarder skrppostmeddelanden. Inte sllan utgr den mer n tv tredjede-lar av all e-posttrafik som fldar ver ntet. Vrlden ver skickas det allts dubbelt s mycket skrppost som riktig e-post. Det mesta r dligt formulerade sljbrev fr bil-lig Viagra och suspekta dejtingsajter, men ven frsk att komma ver bankuppgifter eller annan knslig information r vanligt frekommande.

Enligt en underskning gjord av sker-hetsfretaget Symantec var 0,35 procent av alla mejl som skickades i vrlden under juni 2011 utformade fr att lura mottagaren att lmna ifrn sig ett lsenord, ett kontokorts-nummer eller ngon annan form av knslig information.


20

Av samma anledning r inloggnings-uppgifter till konton p sociala medier, exempelvis Facebook eller Twitter, myck-et trvrda. Genom ett stulet Facebook-konto r det i mnga fall en barnlek att lura av andra knslig information kan-ske pojk- eller flickvnnen kan vertygas att knappa in sitt kontokortsnummer i chattfnstret fr att lsa en akut situa-tion? Kanske kan bsta vnnen vertygas att ladda ned ett roligt spel, som i sjlva verket innehller en lmsk trojan? Bldd-ra till kapitel 5 fr att lsa mer om detta.

Det bsta sttet att skydda sig frn nt-fiske r allts att s ofta det gr kontrol-lera om avsndaren verkligen r den hen utger sig fr att vara. Ett enkelt knep r att helt enkelt kontakta avsndaren via en e-postadress du har sedan tidigare, och be avsndaren bekrfta sin identitet. Vill du vara extra sker s stll en kon-trollfrga som bara avsndaren kan svara p. Kanske minns din vn ngonting som

hnde i er barndom? Kanske kan dina frldrar svara p ngonting som r vl-knt i familjen, men inte fr andra?

Fr den verkligt frsiktige finns nnu en tgrd att ta till: Lyft telefonen och ring upp! D kan du helt enkelt frga avsnda-ren om hen verkligen skickat just det dr misstnkta meddelandet till dig eller ej.


21

kapitel 4: trdlsa ntverk

04 Trdlsa ntverk

Trdlsa ntverk i hemmen har varit en sjlvklarhet i mnga r. Inte minst gick fler ver till trdlst nr bredbandsope-ratrer fr ngra r sedan brjade skicka ut utrustningen som krvs gratis till sina kunder. Att tekniken slog igenom var knappast frvnande. Det r mycket praktiskt att kunna flytta sig med en br-bar dator frn kket till vardagsrummet utan att krngla med ntverkskablar.

Men vad vissa glmmer r att det trd-lsa ntverket inte bara fungerar inom hemmets vggar. Bor du i lgenhet ser du skert grannarnas ntverk. Plocka med dig datorn ner p gatan och du kommer mrka att bde ditt eget ntverk och gran-narnas gr att n ven dr.

Det r allts fullt mjligt fr vem som helst att n ditt ntverk och utnyttja det fr sina egna syften, bara genom att vara i nrheten av bostaden. Drfr mste ditt trdlsa ntverk skyddas p ett annat stt n ett som bestr av kablar.

4.1 Nr det gr riktigt illa drfr ska du skydda ditt ntverkMan kan frga sig varfr man ska skydda sitt trdlsa hemmantverk med lsen-ord och kryptering. r det inte en trevlig gest att bjuda grannar och frbivand-rande p gratis uppkoppling? Jo, visst r det s. Men samtidigt r det frknippat med risker att lta vem som helst surfa via ens uppkoppling.

Fr att frst varfr mste man frst grunderna i hur polisen arbetar fr att utreda it-baserad brottslighet. Nr en misstnkt spras p ntet brjar polisen ofta med en ip-adress som har fastnat i en loggfil ngonstans. Det gller oavsett om brottet r hot via e-post, dataintrng el-ler illegal fildelning. Om brottet bedms allvarligt nog kan polisen sedan vnda sig till internetoperatren och begra ut information om vem som anvnde ip-adressen vid tillfllet d brottet begicks. Nr namn och adress har lmnats ut har

22

polisen allt som behvs fr att genomfra en husrannsakan.

Ip-adressen sger allts ingenting om vem som har utfrt ett brott, bara vilken uppkoppling som anvndes. Men det r mot garen av uppkopplingen som en eventuell husrannsakan riktas, vilket kan vara nog s otrevligt ven om det senare visar sig att innehavaren r helt oskyldig.

Scenariot r inte hypotetiskt, vilket ett antal boende i Dalarna blev varse en tidig vrmorgon 2012. D slog polisen till mot flera bostder i Ludvikatrakten. Personen de skte misstnktes fr ett allvarligt da-taintrng mot bland annat it-fretaget Logicas servrar. Adresserna de slog till mot hade tagits fram genom sprning av ip-adresser. Polisen klampade in, beslag-tog mobiltelefoner, datorer och hrddis-kar. De boende tvingades sitta igenom frhr dr de anklagades fr allvarliga brott som kunde ge lnga fngelsestraff.

Frst senare framkom att de allihop var helt oskyldiga. De var vanliga dator-anvndare som surfade p ntet, skickade e-post och betalade sina rkningar via in-ternetbanker. Dremot hittade polisens tekniker ngot intressant nr de tittade nrmare p deras trdlsa ntverk. De hade hackats och anvnts av en frmman-de person som bodde i nrheten. Vid en

Tips!Frgor till din operatr

Stll krav p din internetoperatr om en trdls router ingr i abonnemanget. Hr r tre frgor som du ska krva svar p:

r lsenordskrav och kryptering aktiverat frn start? Kan jag sjlv byta till ett eget lsenord? Be om hjlp om det r komplicerat! Vilken typ av kryptering anvnds?

husrannsakan hemma hos honom hittade man en frstrkningsantenn monterad p balkongen. Med hjlp av den kunde han n trdlsa ntverk p lngt hll och mycket riktigt terfanns knckta lsenord till grannarnas ntverk sparade p en av hrddiskarna i bostaden.

Drmed avfrdes de oskyldiga gran-narna helt frn frunderskningen, men ngra av dem har eftert vittnat om hur


23

omskakande det var att f poliser instor-mande en tidig morgon utan att frst vad som hade hnt.

4.2 S skyddar du ntverketI huvudsak behvs tv sorters skydd fr trdlsa ntverk: Dels ska ntverket fr-ses med lsenord och dels ska det kryp-teras (ls mer om kryptering i Kapitel 6: E-post r som vykort). Lsenordet stop-par obehriga frn att ansluta sig. Krypte-ringen hindrar dem frn att avlyssna din surfning. Som tur r lser man bde och med en enda instllning.

S varfr behvs kryptering fr att nt-verket inte ska avlyssnas? Egentligen rcker det att tnka p hur trdlsa ntverk egent-ligen fungerar. Nr du surfar utan sladd flyger ju all information mellan din dator och routern genom luften. Det betyder att ngon annan kan snappa upp den p vgen, till och med utanfr ditt hem. Innehllet p hemsidor, text du sjlv skriver in, filer som laddas upp och ned. Samt och detta r kanske det vrsta en hel del lsenord till sajter p ntet.

Alla moderna trdlsa routrar har i dag std fr kryptering som duger gott fr

S hr ser inloggningen till ett ntverk som skyddas med WPA2-kryptering ut p en Mac.

Och s hr ser inloggningen till ett ntverk som skyddas med WPA2-kryptering ut p en PC.


24

Det finns flera olika skerhetsstandarder fr trdlsa ntverk. Alla gr de ungefr samma sak de krypterar trafiken fr att gra den olslig fr utomstende men med olika re-sultat. Hr r de vanligaste typerna:

1. WEP gammalt och dligtWEP r en gammal form av skerhet fr trdlsa ntverk som togs fram redan p 1990-talet. ven om din router fortfarande har std fr WEP s ska det undvikas. Fr det ska sgas rakt ut: WEP erbjuder mycket

hemmabruk. Exakt hur instllningarna grs beror p vilken routermodell du har. Men i grunden r det okomplicerat: Vlj krypteringsmetod, ange ett lsenord och du r igng.

Det finns dock ett par fallgropar att und-vika. Framfrallt ska man akta sig fr ldre typer av kryptering. Vilken typ av krypte-

svag skerhet och ska aldrig anvndas. Fak-tum r att det kan knckas p ngra sekunder.

2. WPA efterfljarenBland instllningarna kan du hitta mjlighe-ten att vlja WPA, en standard som fljde efter WEP. Undvik ven denna, eftersom den har fasats ut till frmn fr efterfljaren WPA2.

3. WPA2 bst hittillsSedan flera r ska alla trdlsa routrar ha std fr denna modernare skerhetsfunktion. Det r denna du ska vlja, om den inte r frvald redan nr du plockar upp routern ur kar-tongen. I routrar fr hemmabruk kallas den ibland WPA2 Personal eller WPA2-PSK.

Viktigt!Vlj rtt skerhet fr din router


ring som anvnds kan du se genom att log-ga in p routern, men ofta kan man ocks se det nr man ansluter sig till ntverket.

4.3 Publika ntverk hemligheter hr inte hemma p kafetAllt fler kafer och hotell erbjuder trdl-sa ntverk till sina kunder. Ibland skyddas

25

Varning!Se upp med lsenordet!I alla sammanhang dr kryptering anvnds gller en regel: Det spelar ingen roll hur bra skerhetsmekanismer du har aktiverat om du inte vljer ett starkt lsenord. Mnga routrar levereras med ett frinstllt lsenord. Det r en bra id att byta det mot ett eget som r lngt och drmed svrt att kncka. Se kapitel 5 fr tips om bra lsenord!

dessa av lsenord, men ibland r de helt ppna. Som anvndare r det praktiskt bara att ansluta och stta igng att surfa. Men man ska komma ihg att ens infor-mation d kommer flyga genom luften, ofta helt okrypterad och drmed mjlig att avlyssna.

Det finns till och med srskilda program som anvnds fr att snappa upp mnnis-kors lsenord frn sdana ntverk. De r frbluffande effektiva och kan enkelt an-vndas av vem som helst som r i nrheten av kafet eller hotellet.

Drfr r det en god id att vara mer frsiktig nr man surfar frn ett kaf. Visst r det okej att kolla nyhetssidor, men om du hanterar ngot mer knsligt br du vidta vissa tgrder.

Fr det frsta: Kontrollera om adressen i din webblsare brjar p https istllet fr http. Det betyder att anslutningen r krypterad och svrare att avlyssna.


4.4 Proffskryptering med VPNVill du vara riktigt sker p att ingen av-lyssnar dig nr du anvnder ett publikt ntverk s r det enda alternativet att kryptera allt du gr. Det enklaste sttet att lsa det r med tekniken VPN, som str fr virtual private network virtuellt privat ntverk.

Att anvnda VPN innebr att din upp-koppling mot en sajt, till exempel Gmail.com, inte gr direkt frn dig till Gmail. Is-tllet gr allt ditt surfande via en speciell server som du ansluter till med stark kryp-tering. Rent tekniskt anvnder du drfr det lokala ntverket bara fr att ansluta till en enda server: VPN-tjnstens server och tack vare att anslutningen dit r krypterad s flyger ingen oskyddad information om-kring i luften p kafet dr du sitter. Tnk p att din uppkoppling bara skyddas fram till den vpn-server du anvnder. Drefter kan den rra sig p ntet helt okrypterad,

26

Viktigt!Lsenord men ingen kryptering Vissa publika ntverk slpper in anvndaren utan lsenord men krver inloggning (och ibland betalning) innan man kan beska en webbplats eller hmta sin e-post. Detta r en annan sorts inloggning n den som beskrevs hr ovan och innebr inte att ntverket r krypterat. Med andra ord: Betrakta dem som helt ppna och anvnd dem drefter.

Detta system anvnds till exempel av Telias tjnst Homerun och SJ:s trdlsa ntverk ombord p tgen.

men hr fokuserar vi p att undvika avlyss-ning p kafets trdlsa ntverk.

VPN anvnds av mnga fretag vars anstllda arbetar utanfr kontoret. Men det kan ocks kpas som en tjnst av pri-vatpersoner fr ngra tior i mnaden. Det finns en mngd kommersiella tjnster att vlja mellan. I grunden gr de alla samma sak, men hastigheten kan variera. Efter-som ditt surfande tar en omvg via en server s kan uppkopplingen bli lngsam-mare. Drfr r det vrt att testa ett par tjnster och sjlv avgra vilken som gr snabbast fr dig.

Tips!Anvnd (nstan) alltid httpsMnga webbplatser erbjuder mjlighet att kra krypterat ver https, men har det inte aktiverat frn brjan. Om du anvnder antingen Google Chrome eller Firefox som webblsare s finns ett gratis in-sticksprogram som heter HTTPS Everywhere. Med det installerat kommer webblsaren alltid vlja htt-ps nr det r mjligt.

Ls mer och ladda hem: https://www.eff.org/https-everywhere


https://www.eff.org/https-everywhere%20

27

kapitel 5: lsenord och tvfaktorsinloggning

05 Lsenord och tvfaktorsinloggning

Tnk att du ska logga in p alla sajter du ngonsin har registrerat dig p. Hur mnga lsenord skulle du behva kom-ma ihg? Fem? Tio? Hundra?

Lsenordet r fortfarande det i sr-klass vanligaste sttet att identifiera sig p internet. nd r s gott som alla s-kerhetsexperter verens lsenord r ingen bra lsning och borde ersttas s snart det bara gr. Problemen med dem r mnga. Knappt ngon kan komma ihg alla sina lsenord. Gng p gng kommer hackare ver stora databaser med vanliga mnniskors lsenord och kan logga in p deras konton.

Vi ska snart komma in p vilka alter-nativ som finns, men det r lika bra att vi p en gng slr fast en sak: Lsen-orden kommer finnas kvar ett bra tag framver. Drfr r det viktigt att lra sig anvnda dem p rtt stt. Vi brjar med sjlva ordet hur ska ett bra lsen-ord se ut?

5.1 Att vlja ett bra lsenordLsenord ska vara lnga, svra att gissa och innehlla mer n vanliga bokstver. Lter det som ett recept fr lsenord som ingen mnniska klarar av att komma ihg? Jo, s kan det vara. Men det finns knep som gr det enklare. Hr gr vi ige-nom hur man kan vlja ett lsenord som r svrare fr en angripare att komma ver. Se till att lsa guiden nda till slutet, fr lsenordet vi brjar med r ett riktigt dligt exempel.

S hr ser mnga lsenord ut, kanske speciellt fr en hundintresserad: rottweiler.

Vad r d problemet? Vi brjar med lngden. Ett vanligt rd r att lsenord ska vara minst tta tecken lnga. Det r en bra tumregel, men det finns egentligen ingen anledning att inte g lngre n s. Vljer du rtt s r det lika enkelt att komma ihg ett lsenord som r femton tecken lngt. Kom ihg ju fler bokstver och andra tecken du vljer desto mindre r risken att ngon

28

frmmande kan komma in p ditt konto.Den andra regeln r att det ska vara

svrt att gissa. Hr finns ngra regler som alla br flja stenhrt: Ditt lsenord ska aldrig vara ett vanligt ord eller namn. Det strsta misstaget r att anvnda ett ord som r starkt frknippat med dig sjlv namnet p ett husdjur eller en slkting, ditt eget efternamn eller liknande. Sdana r ltta att gissa sig till eller hitta p ntet. Kanske har du skrivit om ditt husdjur p Facebook eller bloggat om din familj? I s fall tar det inte mnga sekunder att identi-fiera ett par namn att prova som lsenord.

Med andra ord r rottweiler ett dligt l-senord, speciellt om du har pratat om ditt intresse fr denna hundras p ntet. ven om du inte skulle ha gjort det s finns ordet i ordlistor, vilket frenklar gissningsarbe-tet avsevrt. (Varfr ordlistor gr en attack enklare gr vi igenom i nsta avsnitt.)

Ett stt att bde gra lsenordet lngre och slippa problemet med ordlistor r att helt enkelt lgga till fler ord. Det behver inte gra lsenordet mycket svrare att komma ihg:

minhundrottweilern(Tnk min hund rottweilern, men ofta fr lsenord inte innehlla mellanslag.) Vips s r vi uppe i 18 bokstver, vilket r betydligt bttre.

Den tredje regeln gller vilka bokst-ver och tecken man anvnder. Hr gller samma princip ju svrare det r att gissa desto skrare r lsenordet. Fler sorters tecken betyder fler mjliga varianter av lsenordet och drmed ett klurigare giss-ningsarbete. Ett frsta steg r att blanda stora och sm bokstver. Det finns mnga stt att gra det:

MinHundRottweilernMinHundROTTWEILERNminHUNDrottweilern

Till sist ett starkt lsenord innehller inte bara bokstver, utan ocks siffror och specialtecken som till exempel , # eller &. Visst r det bra att vlja tecken el-ler siffror som r lttare att komma ihg, men undvik de mest uppenbara som till exempel ditt fdelser.

Som vn av rottweilerhundar kanske man vet att den registrerades av den ame-rikanska kennelklubben r 1931.

minHUNDrottweilern1931 eller varfr inte:

minHUND1931rottweilernAtt kncka ett lsenord r aldrig helt omj-ligt men man kan gra det svrare fr angriparen. Med ett lsenord av den hr typen har du tminstone inte gjort det ondigt enkelt, och dessutom slipper du ett obegripligt lsenord av typen 8FFv0Z2.


29

Varning!Enkla knep kan genomskdas

Ett vanligt knep fr de som vill gra lsenord svra-re att genomskda r att ta ett vanligt ord och byta ut bokstver mot siffror som liknar dem. Telefon blir t3l3f0n och s vidare. Men eftersom knepet r vlknt kan angriparen stlla in sitt knckningspro-gram fr att testa dessa varianter.

Att gra varje begynnelsebokstav i lsenordet stor r lockande, eftersom det r enkelt system att memorera. Men av samma anledning r det enklare att gissa sig till. Frsk hitta ett system som inte ge-nomskdas lika ltt.

Man talar ofta om att gissa lsenor-det. Visst kan det hnda det r drfr man aldrig ska vlja till exempel sitt barns namn som lsenord. Men oftast handlar det om tv automatiska metoder: Dels en s kallad ordlisteattack och dels metoden brute force, vilket kan versttas till r-styrka p svenska.

Du kanske har sett nyheter om att listor med lsenord har lckt frn stora webb-platser. Ibland talas det om att lsenorden som har lckt r krypterade och det kan ju lta tryggt. Det som r krypterat borde vl vara skert?

Nej, faktiskt inte. Fr nr angriparen vl har kommit ver en lckt lsenordslista s kan hen anvnda speciella program fr att gissa lsenord i blixtsnabbt tempo. Det kan liknas vid att frska logga in flera miljarder gnger i sekunden, eller nnu oftare. Men de flesta sajter skulle stnga en angripare ute efter ett par misslyckade frsk. Fr den som har kommit ver lis-tan med krypterade lsenord finns inga sdana begrnsningar.

Vi brjar med att frklara brute force-attacken. Principen r simpel: Gissa varje tnkbart lsenord. Sg att vi utgr frn att lsenordet som ska knckas r mellan tre och tta tecken lngt. D kan den frsta gissningen vara aaa som fljs av aab

Men varfr behver man krngla till det s hr? Fr att begripa det mste man fr-st hur en attack gr till.

5.2 S kncks ett lsenordVi har nu visat skillnaden mellan ett ltt-knckt och ett svrknckt lsenord. Men varfr r skillnaden s stor? Frklaringen ligger i de tv vanligaste metoderna som angripare kan anvnda.


30

och sedan aac. Nr alla kombinationer av tre bokstver r testade r det bara att g vidare till de med fyra bokstver. Och s vidare. Som du frstr blir det en hel del gissningar, men en kraftfull dator kommer klara av alla mjliga kombina-tioner p ngra sekunder.

Men om angriparen inte bara behver gissa mellan kombinationer av bokst-ver, utan ocks vilka som ska vara ver-sala och vilka som ska vara gemena? D blir alternativen fler och drmed krvs fler gissningar. Detsamma sker nr du lgger in specialtecken eller gr ditt l-senord lngre.

Ordlistan d? Att kncka ett lsenord med hjlp av ordlista r den allra enklaste genvgen. Nr man ska kncka ett lsen-ord testar man ofta frst alla ord man har i en ordlista. De innehller de vanliga ord, namn och annat som mnga vljer som lsenord. Det kan rra sig om hundratu-sentals exempel, men 100 000 gissningar r mycket litet i sammanhanget. En dator klarar det p brkdelen av en sekund.

Kort sagt: Om du vljer ett vanligt ord kan du rkna med att lsenordet kan knckas omedelbart. Lt oss ta ngra exempel:

fido: Ett riktigt dligt lsenord. Kan mycket vl finnas i angriparens l-

senordslista, och ven om det inte gr det s kncks det p brkdelen av en se-kund. rottweiler: Ngot bttre, eftersom det r lngre. Men ven detta finns i ordlistor. minhundrottweilern: Redan hr brjar det se riktigt bra ut. Frutsatt att an-griparen inte har ngra ledtrdar om lsenordets lngd eller vad det bestr av s r lsenordet svrt att gissa sig till.

Men sdan tur har man inte alltid. Ju fler av rden som nmns hr ovan desto skrare blir ditt lsenord. Om du byter frn minhundrottweilern till minHUN-D1931rottweilern s kar antalet mjliga kombinationer ytterligare.

Att kncka ett lngt lsenord med en vanlig hemdator skulle ta flera miljoner r om angriparen skulle vara tvungen att testa alla tnkbara alternativ. I praktiken r det sllan s. Genom sofistikerade metoder, till exempel s kallade regnbgstabeller, kan antalet gissningar som behver genom-fras snkas dramatiskt. Drmed kncks lsenordet snabbare nnu ett gott skl att anvnda ett lngt och svrknckt lsenord.

5.3 Samma lsenord verallt?Du har skert konton p ntet som skulle kunna bli hackade utan att det gr speciellt


31

stor skada. Till exempel inloggningen till en filmtjnst att ditt lsenord dit kncks skulle bara innebra att ngon kan se film p din bekostnad. Vrre saker kan hnda.

Mnga resonerar s och vljer drfr samma lsenord p en mngd sajter. Vad de inte tnker p r att om lsenordet lcker frn en av dessa sajter s kommer angriparen t dem allihop. Det r nm-ligen enkelt att testa om lsenordet som visade sig fungera p en webbplats ven gller p en annan.

Vrst r det om man har anvnt samma lsenord p skrpsajter och fr konton som r viktiga till exempel din e-post-adress. I samband med att lsenord lcker ut lcker ofta ven e-postadressen efter-som den anvnds som anvndaridentitet. Sg att det r en Gmail-adress. D r det ltt fr angriparen att g till gmail.com och frska logga in med lsenordet som redan r p villovgar.

Drfr r det viktigt att inte anvnda samma lsenord och e-postadress ver-allt. Brja med att identifiera dina vikti-gaste konton.

Din e-postadress hr till dem, inte minst eftersom den kan anvndas fr att skapa nya lsenord p andra sajter. Det r ju dit mejlen kommer nr du har glmt ett lsenord och ber att f ett nytt. Med an-

dra ord kan den som har tillgng till ditt e-postkonto snabbt ta kontroll ver varenda konto du har p ntet.

Fr mnga har Facebook blivit lika vik-tigt som e-post, och den som anvnder Twitter flitigt br ha ett unikt, starkt l-senord ven dr. Hur listan ver viktiga konton ser ut varierar frn person till per-son. Vilket konto skulle det vara vrst om ngon utomstende tog ver?

Hr r det ltt att tnka ingen bryr sig vl om mitt konto? Men faktum r att just Facebookkonton r hgvilt fr bedragare, och det handlar inte om att de r nyfikna p dina meddelanden.

En vanlig bedrgerityp bygger nmli-gen p att en angripare tar ver ditt Fa-cebookkonto. Med det under kontroll kan hen starta en chatt med en av dina vnner, dr hen utger sig fr att vara du. Historien bedragaren diktar upp brukar handla om att du r utomlands och har blivit av med plnboken. Drfr ber bedragaren om ett snabbt ln, som ska betalas direkt till utlandet via till exempel Western Union. Men i sjlva verket r det bedragaren som plockar ut pengarna, allt p grund av att lsenordet till ditt Facebookkonto ham-nade p villovgar. Nr vnnen vl upp-tcker att det inte var dig hen pratade med r det i regel fr sent.


32

Med andra ord undvik till varje pris att anvnda samma lsenord verallt. Kla-rar du inte av att ha ett lsenord fr var-enda sajt du har registrerat dig p, ha t-minstone unika p de viktigaste.

5.4 Programmen som hjlper digJu bttre du blir p att vlja lsenord desto fler fr du att hlla reda p. Det fr mnga att snart falla tillbaka i att anvnda samma lsen verallt. Men det finns en rad pro-gram som kan hjlpa dig.

De kallas lsenordshanterare och byg-ger p en enkel princip: Hela din samling lsenord ligger sparade i en krypterad (och drmed olslig) databas som skyddas med ett lsenord. Som du frstr r detta l-senord det viktigaste du ngonsin kommer vlja med hjlp av det fr man ju tillgng till alla lsen du har sparade.

Ett ltt stt att lsa problemet r att lta webblsaren spara lsenord. Det frenklar inloggningen, men innebr ocks att alla som kommer t din dator kan logga in lika enkelt. Det har till och med visat sig mjligt att plocka fram de sparade lsenorden ur webblsaren, vilket kan knnas oroande.

Om du istllet vill anvnda ett separat program fr att hantera lsenord finns det mnga alternativ, varav ngra syns i listan hr intill.

5.5 Tv faktorer framtidens inloggningSkerhetsexperter har gng p gng dmt ut lsenorden som en frlegad s-kerhetsmekanism. Men vad ska d an-vndas istllet?

Syftet med en inloggning r att kon-trollera att bara rtt personer har tkomst till informationen som sks, exempelvis den du har p ditt e-postkonto. Fr att f ett starkare skydd kan man komplettera anvndarnamn och lsenord med fler parametrar. Exempelvis ngonting som berttar vem anvndaren r (fingerav-tryckslsning, rstanalys, gonskanning) eller ngonting som anvndaren har (ett smart kort eller en skerhetsdosa).

Tanken r att lsenordet ska kunna hamna i hnderna p en angripare utan att hen kan logga in p ditt konto. P samma stt kan man tappa bort sker-hetsdosan utan att den som hittar den kan logga in.

Lter det mrkligt? Frmodligen an-vnder du redan tvfaktorsinloggning, till exempel fr din internetbank. Dr an-vnds ofta skerhetsdosor med kort till-sammans med en kod eller ett lsenord.

Det r en utmrkt id att skydda ven ditt e-postkonto med denna metod. Mnga av de stora mejltjnsterna har redan std fr det. Ofta behver du inte ens en extra


33

Lsenordshanteraren 1Password krver huvudlsenordet fr att ppnas.

Tips!Vlj lsenordshanterare nogaDet finns en uppsj program som hjlper dig att hantera dina mnga lsenord. De flesta fungerar som krypterade databaser dr du lagrar lsenorden. Tnk dock p att du verkligen mste kunna lita p den tjnst du vljer. Om mjligt vlj ett program med ppen kllkod, s experter har mjlighet att granska den i jakt p skerhetsluckor. Vissa program lagrar lsenorden p sina egna ser-vrar, eller "i molnet" som det ofta kallas. Hr finns det anledning att vara skeptisk, efter-som du mste lita p att de skyddar sina ser-vrar tillrckligt noga. Oavsett vilket du vl-jer s finns det ngra saker du br tnka p.

1. Fr det frsta r det bra om programmet finns till bde Windows och Mac, och kanske Linux om det r ngot du ver-vger. Skulle du byta dator s r det prak-tiskt att kunna ta lsenorden med dig, utan att behva skriva av dem ett och ett.

2. Fr det andra fungerar mnga av dem ocks p mobiltelefoner. S lnge de sk-

ras med bra lsenord r det en utmrkt id, eftersom du d kan plocka fram de l-senord du behver ven nr du inte sitter vid datorn, speciellt om du har sparat mer n bara lsenord till webbplatser. Mnga anvnder samma program fr till exempel portkoder.

3. Fr det tredje och detta r viktigast av allt vlj ett program som r betrott. Ladda bara hem det frn den officiella webbplat-sen och sk grna runt efter information om eventuella skerhetsrisker.


34

skerhetsdosa utan anvnder mobilen. Nr tekniken r aktiverad anvnder du en engngskod tillsammans med ditt van-liga lsenord fr att logga in. Mejltjnsten skickar engngskoden till dig antingen i ett sms, eller via en srskild app.

Lter det krngligt? Fr att gra det enklare behver du inte ange engngsko-den vid varje ny inloggning, om den sker frn samma dator. Hur ofta du mste skriva in ett nytt engngslsenord varie-rar mellan tjnsterna.

Tvfaktorsinloggning gr webb-mejl och andra tjnster betydligt skrare att anvnda.


35

Tips!Mejltjnsterna med std fr tv-faktorsinloggning

GmailAktivera funktionen i dina kontoinstllningar. Sedan ang-er du ditt telefonnummer fr att f engngskoder skickade via sms, eller laddar hem appen Google Authenticator till An-droid eller Iphone.

Outlook (tidigare Hotmail)ven Microsoft har en speci-ell app fr sin tvfaktorsin-loggning.

Viktigt! Skriv aldrig ner ditt lsenord

Att skriva sitt lsenord p en papperslapp och gmma det under tangentbordet beskrivs ibland som ett klassiskt misstag. Dr lr ju den som vill stjla det leta allra frst.

Visst r det ett dligt gmstlle, och program-men fr lsenordshantering vi nmner hr ovan r betydligt bttre alternativ.

Men faktum r att Bruce Schneier, en av vrl-dens frmsta skerhetsexperter, argumenterar fr att man visst kan skriva upp viktiga lsenord p en papperslapp och ha den i plnboken. Hans ar-gument bygger p tv delar: Dels att starka lsen-ord i dag mste vara s starka att de blir nrmast omjliga att komma ihg. Dels att vi r vana vid att hantera sm papperslappar skert i vra pln-bcker. Det r trots allt samma stlle som vi an-vnder fr sedlar.


36

kapitel 6: e-post r som vykort

06 E-post r som vykort

E-post r kanske den mest fundamentala kommunikationsformen p ntet. Du skriver ngra rader, klickar send (skicka), och vips har ditt meddelande landat hos mottagaren. Blixtsnabbt och enkelt. Men skert? Inte alls.

Att skicka ett mejl kan mest av allt liknas vid att skicka ett vykort utan kuvert p posten. Faktum r att vykort frmodligen r ett bttre val om du har hemligheter att fr-medla i text, fr de passerar betydligt frre snokande gon n ett genomsnittligt mejl.

P vg till mottagaren studsar ett mejl via en mngd servrar anslutna till ntet. Vid varje enskild punkt r det en ltt match att lsa vad som str skrivet i det. Din e-postleverantr, din internet-leverantr och din arbetsgivare (om du anvnder fretagsmejlen) kan alla enkelt ta del av de mejl du skickar. Likas de per-soner som kontrollerar de vriga servrar mejlet passerar genom.

Det beror p att mejl skickas ver n-

tet i klartext som bokstver, siffror och andra tecken och drmed kan lsas med blotta gat var som helst lngs vgen. I e-posttekniken finns inga inbyggda sker-hetstgrder som dljer det du skriver fr andra n mottagaren. Ej heller ngra stt fr dig som avsndare att avgra om, och i sdana fall vem, som tagit del av infor-mationen du skickat. En angripare som vill komma ver just din kommunikation kan allts ta hjlp av ett program fr att spela in all trafik som rr sig in och ut frn just din dator, fr att sen i lugn och ro leta fram just de e-postmeddelanden som r intressanta.

Med andra ord r e-post i grunden otjnligt fr den som r mn om att hlla hemligheter hemliga. Den som nd vill mejla, men utan att nyfikna lgger nsan i blt, mste ta saken i egna hnder.

6.1 Kryptering skert men lite krngligtAtt kryptera ett meddelande innebr att kasta om bokstverna i det s att ingen, frutom mottagaren, kan ta del av infor-mationen. I grund och botten fungerar det p samma stt som barndomens le-kar med hemliga kodsprk: I Astrid Lind-grens bcker om msterdetektiven Kalle Blomqvist pratar huvudpersonerna r-varsprk med varandra, genom att lgga

37


Tips!Flera e-postkonton en genvg till skerhet

Ett enkelt skerhetsknep r att anvnda olika e-postkonton fr olika syften. Anvnd din or-dinarie fr seris kommunikation. Det r den adress du kan skriva p visitkort och lmna ut till bekanta som du ska kommunicera med. Skaffa ett gratis, extra konto hos Gmail, Hotmail, Yahoo eller liknande som du bara anvnder nr du registrerar dig p sajter. Se det som ditt skrpkonto, speciellt fr nr du registrerar dig p mer amatrmssiga webbtjnster, dr s-kerheten kan misstnkas vara smre.

Samma adress kan anvndas nr du laddar hem program frn ntet, vilket ibland krver re-gistrering. Det r den extra adressen som du kommer anvnda fr att f ut nya lsenord frn webbplatserna du r registrerad p om du har glmt bort det. Drmed slipper du lmna ut din ordinarie e-postadress till hger och vnster. Det minskar mngden skrppost och innebr dessutom att din mejladress inte ligger lagrad tillsammans med lsenord.

Men kom ihg ven om du anvnder ett skrpkonto ska du aldrig anvnda samma lsenord till din viktigaste e-postadress som du anvnder p andra webbplatser. Du ska inte heller ha samma lsenord till ditt ordinarie konto som till ditt skrpkonto.

in ett o efter varje konsonant och sen upprepa den igen. Ordet rvarsprket blir d till rorvovarorsospoprorkoke-tot. Tanken r att bara den som knner till metoden frstr vad som sgs.

Moderna krypteringsmetoder bygger p liknande principer, men r i praktiken

omjliga att ta sig igenom utan rtt nyckel. Texten krs genom en algoritm, ungefr som ett matematiskt recept, som gr den olslig. Bara den som knner till lsenor-det, dekrypteringsnyckeln, kan backa ban-det och gra den till klartext igen.

En av de mest spridda krypteringstekni-

38

kerna idag heter PGP, vilket str fr Pretty Good Privacy. Den uppfanns redan r 1991 av programmeraren Phil Zimmerman. Fretaget PGP gs idag av antivirusjtten Symantec men standarden, som gr un-der namnet OpenPGP, r ppen och fritt tillgnglig fr vem som helst att utveckla produkter kring (se nedan).

PGP bygger p ett system dr tv nycklar r inblandade: en publik och en privat. Bda behvs fr att kommunikationen ska funge-ra, men bara den ena behver hllas hemlig.

Fr att skicka ett PGP-krypterat med-delande till ngon behver du frst per-sonens publika nyckel. Denna r en serie till synes slumpmssigt utvalda tecken (se bild). Mnga som anvnder PGP publice-rar sina publika nycklar ppet, till exempel lngst ned i sin mejlsignatur, eller under kontaktfliken p sin sajt eller blogg. Andra gr sin publika nyckel tillgnglig p en s kallad nyckelserver. Det r att likna vid en telefonbok, dr mngder av nycklar finns listade efter vem de tillhr. P samma vis mste du ge din publika nyckel till ngon fr att den personen ska kunna mejla dig.

Om du vill vara absolut sker p att den person som kontaktar dig verkligen r den hen utger sig fr att vara s br du vara noga med hur du delar ut din publika nyckel. Att bara skicka ver den i ett mejl

Som synes blir ett e-brev olsligt fr obehriga sedan det krypterats.


39

anses inte vara tillfrlitligt en person som avlyssnar kommunikationen kan d skicka krypterade mejl till dig.

Frr i tiden ordnades skallade PGP-signeringspartyn, dr deltagarna utbytte nycklar med varandra och samtidigt legi-timerade sig med id-kort. P s stt kunde alla vara skra p att personen de pratade med verkligen var rtt. Om du vill vara ex-tra noga s kan du bete dig p ett liknan-de stt stm helt enkelt trff med den du vill mejla skert med, och lmna ver nycklar ga mot ga.

Nsta steg r att skriva ditt meddelan-de i krypteringsprogrammet, fr att sen kryptera det med mottagarens publika nyckel. Resultatet, ett sjok till synes ols-lig text, klistrar du in i ett vanligt mejl och

skickar till din mottagare. Hen kan sedan dekryptera texten med sin hjlp av sin pri-vata nyckel.

Din privata nyckel sparas i regel som en fil p din dator. Du kan ven exportera den i textform eller som en fil, fr att lagra den p exempelvis ett USB-minne. Fr att komma t den privata nyckeln anvnds ett lsenord, som du matar in i krypteringsprogrammet.

PGP anses vara en mycket plitlig kryp-teringsstandard. S lnge du vljer ett starkt lsenord till din privata nyckel (se kapitel 2: Lsenord och tvfaktorsinlogg-ning fr mer om bra och dliga lsenord) och ser till att hlla den hemlig kan du allts vara trygg i att ingen tjuvlyssnar p ditt mejlande.

Men vad hnder om en angripare listar

Exempel p en publik PGP-nyckel vilken anvnds som signatur i e-post.


40

ut mitt lsenord? D r det givetvis fritt fram fr personen, frutsatt att hen ock-s har tillgng till datorn dr din privata nyckel finns lagrad, att lsa all din kryp-terade e-post. Men s lnge du valt ett ordentligt starkt lsenord r det mycket osannolikt att s sker.

6.2 Tre enkla krypteringsverktyg Det finns en uppsj program p ntet som hjlper dig att komma igng med krypte-ring snabbt och enkelt. Hr r tre alterna-tiv som r vrda att titta nrmare p.

skrare webbmejl med mailvelopeMailvelope r ett enkelt insticksprogram fr dig som anvnder webbmejl som Gmail eller Outlook.com. Med det instal-lerat krvs bara ett par knapptryckningar fr att gra dina mejl olsliga fr andra utom mottagaren. Vissa r skeptiska till att lta ett insticksprogram i webblsaren hantera krypteringen, men fr webbmejl som Gmail r det definitivt bttre n ing-en kryptering alls. Mailvelope bygger p PGP och r mycket smidigt att anvnda.

Viktigt att komma ihg r att Mailve-lope bara krypterar textinnehllet i dina mejl. Vill du ven skydda dina bifogade fi-ler krvs ytterligare mjukvara (ls mer om Truecrypt nedan).

Brja med att installera programmet via www.mailvelope.com. Det fungerar fr bde Chrome och Firefox, bde till Mac och Windows. Nr det r p plats och ak-tiverat i webblsaren (klicka dig fram till plugins-fliken i din webblsare) s kommer du att se en ny ikon i form av ett hngls, till hger om webblsarens adressflt.

Det frsta du behver gra r att skapa din krypteringsnyckel. Den publika delen mste du ge till mottagaren, fr att hen ska kunna skicka mejl till dig (oroa dig inte fr att den hamnar i ortta hnder, den publika nyckeln r till fr att spridas ppet). Den privata nyckeln mste du d-remot se till att hlla hemlig. Om ngon fr tag p den s kan de direkt avkryptera alla hemliga mejl som skickas till dig.

Klicka p hnglset, vlj options och sedan generate key. Fyll i ditt namn och din e-postadress. Istllet fr lsenord ber Mailvelope om en passphrase ett rd om att lsenordet ska vara lngt som en hel mening. Flj detta rd!

Klicka sen p display keys s ser du din egen publika nyckel i listan. Via Export-menyn kan du skicka den direkt till din mottagare.

Dina vnners nycklar lgger du till ge-nom att klicka p import keys.

Nu r du redo att mejla skert! Logga in


http://www.mailvelope.com

41

p webbmejlen och pbrja ett nytt mejl. Notera den nya hnglsknappen i textfl-tets vre hgra hrn. Klicka p den fr att ppna ett specialfnster fr kryptering.

Det listiga med detta fnster r att or-den du skriver aldrig lmnar din egen da-tor. Det finns allts ingen mjlighet ens fr Google att lsa av texten i okrypterat

tillstnd. Skriv allts precis som vanligt. Nr du r klar klickar du p hnglset, vljer mottagare (av de vars nycklar du har importerat) och bekrftar. Vips blir texten obegriplig ja, just det krypterad. Tryck p Transfer fr att klistra in det i mejlet, och skicka drefter som vanligt.

Om du fr ett krypterat mejl av en vn, klicka d p hngls-symbolen som syns ver den krypterade texten. Mata in ditt lsenord och vips texten frvandlas till lsbart skick igen.

gpgmail kryptering p den egna macenMailvelope r ett utmrkt alternativ fr webbmejlanvndaren. Men fr den som hller fast vid lokala e-postprogram be-hvs andra alternativ. Fr dig som kr Mac r GPGMail ett bra alternativ. Det bygger i grunden p samma PGP-teknik fr att hlla dina meddelanden trygga.

GPGMail r en plugin till Mac OS X in-byggda e-postprogram Mail. Det ingr i paketet GPG Suite som ocks innehller fler krypteringsverktyg, men hr fokuse-rar vi p e-postkrypteringen.

Ladda hem paketet frn www.gp-gtools.org. Installationen behver ingen nrmare beskrivning, och principen r densamma som fr Mailvelope. Du be-


Varning! Hll din privata nyckel hemlig men tappa inte bort denSkerheten i PGP hnger helt och fullt p att din privata nyckel aldrig hamnar i ortta hnder. Se dr-fr till att vlja ett starkt lsenord till den (se kapi-tel 2 fr mer information om detta). Se ven till att memorera det i huvudet och ha det inte antecknat p ngra papperslappar som ligger framme. Anvnd aldrig din privata nyckel, och knappa aldrig in ditt lsenord, p en dator som du inte vet r fri frn av-lyssningsprogram eller annan skadlig kod (till exem-pel en allmn dator p ett kaf eller ett bibliotek).

Lika viktigt r att inte tappa bort nyckeln. Utan din privata nyckel r det i praktiken omjligt att lsa upp information som krypterats fr dig.

http://www.gpgtools.orghttp://www.gpgtools.org

42

hver importera dina kontakters publi-ka nycklar och de behver importera din publika nyckel innan ni kan kommuni-cera med varandra.

Nr programmet r installerat dyker ngra extra knappar upp i fnstret dr du skriver din e-post. Hnglset r den viktiga knappen precis som i Mailvelope r det den du klickar p fr att frvandla ditt van-liga e-postmeddelande till ett krypterat.

Att ta emot krypterade brev r nnu enklare. Dessutom visar programmet tyd-ligt att meddelandet skickades p ett s-kert stt, ven nr det har lsts upp s du kan lsa det.

Till skillnad frn Mailvelope kryp-terar ven GPGMail dina bifogade filer. ven dessa r allts olsliga fr alla utom din tilltnkta mottagare.

skydda bifogade filer med truecryptMed hjlp av Mailvelope skyddar du text-innehllet i dina mejl, men inte bifogade filer. Fr det behvs andra program, som till exempel Truecrypt.

Truecrypt r ett vlknt krypterings-program som finns fr bde PC och Mac. Det kan anvndas bde fr att kryptera enskilda filer eller hela minnesenheter, exempelvis ett USB-minne eller en hrd-

Tips!Mejlkryptering till WindowsEn bra och kostnadsfri lsning som liknar GPGMail fr Mac r GPGWin fr dator som anvn-der Windows. Finns att laddas ned frn www.gpg4win.org


disk. Vad gller enskilda filer kan man, ngot frenklat, sga att Truecrypt ska-par en lst behllare i vilken dina filer gms. Behllaren kan bara ppnas av den med rtt lsenord. Programmet r gra-tis att anvnda och kan laddas ned frn www.truecrypt.org.

Genom att bifoga en Truecrypt-behl-lare med ett mejl krypterat med Mail-velope skyddar du allts bde mejlets textinnehll och dina bifogade filer frn avlyssning.

http://www.gpg4win.orghttp://www.truecrypt.org

43

Varning! Din e-postadress syns fortfarande

Genom att kryptera ett mejl skyddar du dess innehll frn objudna gster. Dremot visas fort-farande din egen adress och mottagarens adress (samt en hel del annan information som till exempel vilken tid och vilket datum mejlet skickades) ppet. Sdana uppgifter brukar kallas fr metadata, och r i de flesta fall mindre viktiga att skydda n mejlets sjlva textinnehll. Men fr dig som r mn ven om att skydda din och mottagarens identiteter r det viktigt att knna till.

Ett enkelt stt att komma runt problemet r att kombinera kryptering med anonyma och temporra mejladresser. r du riktigt mn om bde din och mottagarens anonymitet, be hen gra det samma.


Grundprincipen med Truecrypt r en-kel: Du anvnder programmet dels fr att skapa krypterade behllare, men ocks fr att ppna de som skickas till dig. Var-je behllare skyddas av ett lsenord som behvs fr att ppna den. Vill du skicka ngon en Truecrypt-behllare mste du allts ven skicka personen rtt lsenord (ett smidigt stt r att gra detta i form

av ett krypterat mejl. P s vis frhindrar du att lsenordet snappas upp av ngon annan p vgen).

I praktiken kan Truecrypt vara ett gan-ska knepigt program att anvnda. En ut-mrkt nybrjarguide finns p http://www.truecrypt.org/docs/tutorial. Den beskri-ver steg fr steg hur du gr till vga fr att skapa en krypterad behllare.

http://www.truecrypt.org/docs/tutorialhttp://www.truecrypt.org/docs/tutorial

44

Det har varit svrt att undg rapporteringen om amerikanska NSA:s massavlyssning av e-post och internettrafik. Hsten 2013 avsl-jades dessutom, med std i dokument frn visselblsaren Edward Snowden, att de ame-rikanska och brittiska underrttelsetjnsterna lyckats kncka flera av de mest anvnda kryp-teringsformerna p ntet.

Varfr, kanske du undrar, ska man d ens bry sig om att frska mejla skert, nr hem-liga agenter nd kan lsa allt?

Fr det frsta: Att regeringar kan avlyssna allt som sgs p ntet r en sanning med mo-difikation. Edward Snowdens uppgifter om knckta krypteringstekniker pstr, ngot frenklat, tre saker. Amerikanska NSA har lyckats ta sig frbi den standard som gller fr krypterad trafik ver ntet (den teknik som r aktiv nr du ser ett litet hngls i webblsarens adressfnster, och som till exempel anvnds nr du kper ngonting med ditt bankkort hos en e-handlare). Man har dessutom lyckats pverka internationella krypteringsstandar-der fr att gra dem lttare att kncka, samt vertygat kommersiella skerhetsleverantrer att installera bakdrrar i de produkter de sl-jer. Det r mycket allvarliga uppgifter, men de gller inte allt. Som skerhetsexperten Bruce Schneier konstaterade: De gr det genom att fuska, inte genom matematik".

I skrivande stund vet ingen om ven de program vi rekommenderar i det hr avsnit-tet r ppna fr avlyssning. Mycket talar fr att s inte r fallet. PGP-standarden har existerat i mer n 20 rs tid. Lika lnge har den synats i smmarna av vrldens frmsta skerhetsexperter. Ingen har lyckats hitta svagheter i den, ej heller spr av hemliga bak-drrar som lter de amerikanska myndighe-terna smita frbi krypteringen.

Frutsatt att inga hittills oknda bakdrrar finns i koden de fusk som Bruce Schneier talar om s terstr bara r kraft. Men att kncka en PGP-nyckel genom att testa alla mjliga kombinationer r i praktiken mer eller mindre omjligt.

Lt oss ocks anta att du anvnder en specialbyggd superdator, som kan testa en miljard miljarder kombinationer i sekunden (vilket r lngt ver vad som r mjligt i skri-vande stund). ven d skulle det ta dig mer n 10 000 miljarder r att testa alla mjliga kombinationer.

Givetvis gr det inte att sga med fullstndig skerhet att de amerikanska myndigheterna inte ven lyckats ta sig frbi de tekniker vi re-kommenderar i den hr guiden. Men i nulget r ppna standarder som PGP och Truecrypt de bsta alternativen fr den som vill hlla sitt mejlande skert.

Viktigt!Regeringar kan nog inte kncka allt

45

kapitel 7: s skyddar du dina pengar

07 S skyddar du dina pengar

Du har skerligen sett rubriker i tidning-arna om hur bedragare lnsar ditt kon-tokort eller hur hackare tar sig in p din internetbank och tmmer sparkontot p pengar. Brottsligheten p ntet har vuxit blixtsnabbt de senaste ren, och den vi-sar inga tecken p att avta. Lite tillskru-vat kan man till och med sga att den har ersatt den gamla tidens rn och stlder fr mnga brottslingar har ntbedr-gerier helt enkelt visa sig mer lnsamma.

Fr en vanlig anvndare som har drabbats kan det framst som ett mys-terium. Pltsligt r bankkontot tmt p pengar och det r svrt att begripa vad som hnt. S hur gr digitala bedrge-rier till egentligen och vad kan man gra fr att skydda sig?

Fr att svara p det mste man stta sig in i ngra av de vanligaste typerna av it-brott. De ser nmligen helt olika ut bero-ende p om de riktas mot ditt kontokort eller din internetbank.

7.1 Ntbanken viktigast av alltFr den som frsker stjla pengar frn privatpersoner p ntet r internetban-ken det bsta mlet. Orsaken r uppen-bar vl inloggad har bedragaren till-gng till samtliga konton och kan drfr komma ver stora pengar, betydligt mer n ett stulet kontokortsnummer ger. Det r ju kopplat till ett enda konto, i regel garens lnekonto.

Lgg till att internetbanker kan anvn-das fr att skicka tiotusentals kronor till ett frmmande konto s blir det ltt att frst varfr det r ntbankerna som be-dragarna helst frsker ta sig in p.

Tidigare var intrng mot ntbanker re-lativt enkla att genomfra p grund av de undermliga skerhetssystemen. Bland de svenska bankerna gllde det framf-rallt Nordea. Om du var kund i banken fr ngra r sedan s kanske du kommer ihg engngskoderna som man skrapade fram p ett plastkort och anvnde fr att logga

46

in och signera betalningar. De var frbluf-fande enkla att lura till sig. Allt bedragaren behvde gra var att skicka ut tusentals e-postmeddelanden som skickade kunden till en falsk kopia av Nordeas webbplats. Dr ombads man knappa in tv koder. Men istllet fr att anvndas fr inlogg-ning skickades de till bedragaren, som i lugn och ro kunde anvnda dem fr att logga in och fra ver pengar till ett an-nat konto, ofta i utlandet (ls mer om sdana bedrgerier i kapitel 3: Ntfiske och den oknda avsndaren).

D och d tog angriparna till mer sofis-tikerade metoder. Istllet fr den fejkade Nordeasidan anvndes ocks en trojan som snappade upp engngskoder i bakgrunden och smusslade undan dem till bedragarna. P s stt kom de ver flera miljoner kronor.

Sedan dess har skerheten skrpts, vilket har gjort det svrare fr bedragarna. Ls-ningen bestr i de flesta fall av skerhetsdo-sor med kort samt en pin-kod.

Men det vore fel att tro att faran r helt ver. Fr sedan dess har en ny genera-tion trojaner dykt upp. De r utformade fr att verlista just de skerhetssystem som bankerna infrde nr skrapkoderna visade sig odugliga den skerhetsdosa som du troligtvis anvnder fr att logga in p din internetbank.

Men hur fungerar de? Ngot frenklat kan man sga att den lgger sig som ett ex-tra lager mellan dig och din internetbank. Nr trojanen vl har tagit kontroll ver din dator s har den i princip fritt spelrum att gra vad den behagar. Till exempel vad du ser p skrmen nr du loggar in p din internetbank, eller att ndra det du skri-ver in till ngot helt annat.

Anta att du ska betala din elrkning. P pappret frn elbolaget str kontonummer, summa och en ocr-kod. Du plockar fram dosan och loggar in som vanligt. Men se-dan brjar trojanen agera. Nr du klickar i menyn fr att starta en ny betalning kid-nappar trojanen formulret.

Du skriver in elbolagets kontonummer, men utan att du ser det s ndras det till ett konto som bedragaren kontrollerar. ven summan kan ndras i bakgrunden, utan att det syns p skrmen.

S nr du tror att du godknner en be-talning p 150 kronor till ett elbolag god-knner du i sjlva verket att en betydligt strre summa skickas till ett konto du aldrig har hrt talas om. I vissa fall har transaktioner som genomfrs p detta stt uppgtt till flera hundra tusen kronor.

Flera trojaner har dykt upp i ntbanks-attacker av det hr slaget. Ofta har de fantasifulla namn som Zeus (en ldre va-


47

riant som ftt st modell fr efterfljare), SpyEye, Citadel och Ice IX.

Frgan r vad man kan gra fr att skydda sig. I kapitel tv beskrev vi hur trojaner och annan skadlig kod fungerar, samt vad man kan gra fr att hlla sig sker. Om du fljer rden dr skrar du dig ocks mot trojanbaserade angrepp p internetbanken.

Detsamma gller phishing, allts utskick av falsk e-post fr att lura bankkunder. Frn bankhll har det upprepats gng p gng, men det tl att sgas nnu en gng: Svenska banker skickar aldrig mejl och ber om koder eller andra knsliga uppgifter. Om du fr ett sdant kasta det direkt.

7.2 Kontokortet bedragarens favoritKontokortsbedrgerier har funnits lika lnge som det har funnits kontokort. I grunden bygger de alla p samma princip: Ngon frfalskar ditt kort eller skaffar ett kort i ditt namn och lyckas anvnda det fr att ta ut pengar ur en bankomat eller kpa varor med det. I mnga fall behver bedragaren inte ens skapa en fysisk kopia av kortet, eftersom kortets nummer och ytterligare ngra uppgifter r allt som be-hvs fr att gra kp p ntet.

Dremot mste bedragaren alltid kom-ma ver uppgifterna p ngot stt. Det

finns tv huvudsakliga metoder fr att gra detta: Genom att lsa av kortets mag-netremsa i smyg vilket r mer knt som skimming. Eller genom att komma ver en strre databas med kortnummer frn till exempel en e-handlare.

7.3 Skimming, den gamla tidens kortbedrgeriDu har skerligen hrt talas om skim-ming. Det r vad det kallas nr kriminel-la monterar utrustning p bankomater som kopierar kortnummer frn alla kort som passerar. Sdana maskiner r bde billiga och enkla att anvnda. Nr de har suttit uppe ngon dag r de fulla med ko-pierade kortuppgifter. D kan personen som satte upp den tervnda, ta med sig den och i lugn och ro fra ver bytet till en dator, ungefr p samma stt som man flyttar filer frn ett usb-minne.

Drefter kan kortnumren antingen lggas in p tomma kort, anvndas fr kp p ntet eller sljas vidare. Oavsett s slutar det ofta med att ngon tar ut pengar eller kper varor och pengarna dras frn ditt konto.

De mer avancerade njer sig inte med kortnummer utan snappar ven upp din pin-kod, tack vare en liten kamera som monte-ras i bankomatens ovansida. Och det r inte


48

bara vanliga bankomater som blir skim-made. Samma knep har anvnts p s vl bensinstationer som i biljettautomater.

Ofta r skimmingutrustningen diskret utformad fr att se ut som en del av ban-komaten, men den kan genomskdas. Ef-tersom den r tillflligt monterad kan den sitta lst. Om det ser misstnkt ut finns det allts ett enkel

daniel goldberg och linus larsson it-säkerhet för ... - iis · innehåll förord 04 1. inledning...

Documents