Smarthelp får avtale med Telenor

Smarthelp AS er et lite selskap jeg sitter i styret i og forsøker å hjelpe så godt jeg kan. Selskapet startet med et system for å tilkalle nødhjelp raskt og presist, men gudene skal vite at å selge avansert teknologi (det er mye mer bak enn en app, særlig fordi man må ha avansert krypering) til offentlige institusjoner tar lang tid og skal gjøres av store bedrifter.

Så vi går mot privat- og bedriftskunder – se nye nettsider – og en av dem som har latt seg begeistre er Telenor. Etter litt frem og tilbake undertegnet vi en samarbeidsavtale med Telenor for to dager siden, her er et bilde av daglig leder Fredrik Øvergård og Ida Elders, ansvarlig for IoT business development i Telenor:

Dette er win-win: Telenor får tilgang til avansert teknologi, Smarthelp får tilgang til Telenors distribusjons- og supportapparat. Mulighetene er mange, både for salg av Smarthelp direkte (et problem for små selskaper er at de ikke har et etablert kontraktsforhold til det offentlige, for eksempel, eller at de ikke har stort nok eget salgsapparat) eller, på litt lengre sikt, at mye av det Smarthelp leverer blir tilgjengelig gjennom Telenors egne tjenester.

Gratulerer til Fredrik og til Telenor – og hvis du har behov for sikkerhet for ansatte, vil ha måter å koordinere ressurser på uten at det går ut over personvern, eller ønsker å ha kontroll på dine egne personopplysninger – ta kontakt med Fredrik eller meg!

Enkel intro til kryptering og e-tjenesten

E-tjenesten vil gjerne ha en bakdør til kryptert innhold her til lands – et forslag som har blitt slaktet på ytringsfrihets- og rettssikkerhetsgrunnlag, blant annet. Jeg synes forslaget er minst like dårlig, men av rent tekniske grunner. Men skal man ha en mening om hvorfor forslaget er dårlig, må man ha en grunnleggende forståelse for hvordan kryptering virker.

Dette kan du lese om i min kommentar hos Digi.no. Teksten kommer til å dukke opp her etterhvert. I mellomtiden har du lydfilen her – takk til Odd Erik Gundersen og Lena Andersen for gjennomlesning og gode kommentarer!:

Epost og utpressing

Og der fikk også jeg en utpressingsepost, gitt…ransommail.jpg

Og hva skal man gjøre i en sånn situasjon?

Svaret er:

  1. Endre de passordene som det blir referert til (særlig om man bruker det samme passordet flere steder, noe man ikke skal gjøre.)
  2. Innstallere en passordbeskytter a la Lastpass (som jeg bruker, betaler for og er fornøyd med.)
  3. Slette eposten.
  4. Puste ut og tenke på noe annet.

Disse epostene ser ut som om de vet en hel del ting om deg, men egentlig vet de ingenting bortsett fra det ene passordet som de referer til. Dette passordet kommer fra en eller annen webside som du har opprettet en bruker med en eller annen gang, og som deretter har hatt et datainnbrudd og fått stjålet sin passordfil. (Det å ha en ikke-kryptert passordfil er naturligvis et stykke inkompetanse på linje med Bergen Kommune, men det er dessverre nokså vanlig der ute.) Deretter sender man eposter til folk, truer med å avsløre dem som pornografibrukere, håper på napp og betaling i Bitcoin.

Men det er ikke så farlig som det ser ut som*. Så slapp av. Og begynn å ta passord på alvor…

*Hadde det vært et virkelig datainnbrudd i din PC, ville du funnet ut at harddisken din var kryptert og at du måtte betale en masse penger for å få låst den opp igjen. Ikke noe problem hvis du bare har skikkelig backup, men slitsomt ellers. Og nok en grunn til å ta passord og backup seriøst.

Eposter og elæring og falskhet

Fikk denne eposten i innkurven i morges:

xtramile

La meg se: En epost fra «Nasjonal Sikkerhetsmåned» (som jeg ikke har hørt om) som ber meg klikke på en lenke (som går til en annen adresse på domenet «xtramile.no») som jeg ikke vet hva inneholder – for å lære meg at jeg ikke skal klikke på eposter jeg ikke vet hvor kommer fra?

Noen bør ta seg en tenker her – hvis det hele da ikke er hensikten. I så tilfelle: Smart. Omtrent som den gamle historien om at Unix og C egentlig var en spøk som ble trodd…

Phishing fra falsk DnB

imageFikk nettopp en SMS fra DnB med teksten «Bekreft ditt mobilnummer» og en lenke til dnb-mobilbank dot com. Banken bekrefter at det er phishing – så slett meldingen. Websiden du kommer til, ser tilforlitelig ut i en mobiltelefon, men ingen lenker virker og hvem vet hva som skjer om du skulle finne på å fylle ut og sende inn noe data….

 

Oppdatering: Nå i avisen.

Ikke fiks brukeren

bruce-blog3Bruce Schneier er verdens mest anerkjente ekspert på datasikkerhet, en skarp kritiker av bl.a. det han kaller «sikkerhetsteater» – at vi må tusle inn på flyplassen i sokkelesten for at folk skal tro at de er mer sikre og politikerne kan vise til at de har gjort noe.

Bruce skriver en blogg som burde være pensum ved hvert eneste IT-studium. Sånn a propos forrige blogpost her – her er en link til hans siste om hvordan vi må slutte å tro at vi kan få til datasikkerhet ved å fikse hva brukerne gjør (takk til SerendipityCat for den). Om ikke noe annet, så trenger jo de som vil bryte seg inn i systemer å få det til bare en gang, mens de stakkars brukerne som ikke skal trykke på mistenkelige linker trenger å gjøre det riktig hver eneste gang. Og det er jammen ikke så enkelt å skjønne hva som er mistenkelig eller ikke. Hvorfor ikke heller gjøre teknologien sikker i seg selv?

Noen sitater:

The problem isn’t the users: it’s that we’ve designed our computer systems’ security so badly that we demand the user do all of these counterintuitive things. Why can’t users choose easy-to-remember passwords? Why can’t they click on links in emails with wild abandon? Why can’t they plug a USB stick into a computer without facing a myriad of viruses? Why are we trying to fix the user instead of solving the underlying security problem? […]

We must stop trying to fix the user to achieve security. We’ll never get there, and research toward those goals just obscures the real problems. Usable security does not mean «getting people to do what we want.» It means creating security that works, given (or despite) what people do. It means security solutions that deliver on users’ security goals without­ — as the 19th-century Dutch cryptographer Auguste Kerckhoffs aptly put it­ — «stress of mind, or knowledge of a long series of rules.»

I’ve been saying this for years. Security usability guru (and one of the guest editors of this issue) M. Angela Sasse has been saying it even longer. People — ­and developers — ­are finally starting to listen. Many security updates happen automatically so users don’t have to remember to manually update their systems. Opening a Word or Excel document inside Google Docs isolates it from the user’s system so they don’t have to worry about embedded malware. And programs can run in sandboxes that don’t compromise the entire computer. We’ve come a long way, but we have a lot further to go.

Legg Bruce’ blogg til din RSS-liste (hvis noen fortsatt bruker RSS, da). Det vil du ikke angre på. Rent bortsett fra at du blir enda mer irritert når du skal inn i avgangshallen på Gardermoen.