SethP's webbplats - datorsäkerhet

Fem bra tips för din datorsäkerhet

Eller, tja... Egentligen handlar det om de fem absolut dummaste sakerna som du kan göra med en Internetuppkopplad dator. Mina "bästa tips" handlar alltså om att upplysa om dessa och kanske få dig att göra någonting åt dem.

(Denna sida är en lättare revidering och uppdatering av ett av mina gamla (?) blogginlägg. Informationen är dock lika aktuell och relevant idag som 2015.)

 

safety_cr.jpg


1

Skriv INGET (!!) på nätet som du inte vill att någon annan ska få reda på!

Vare sig det är i e-postmeddelanden, ett inlägg på Facebook, ett personligt meddelande, på en så kallad molntjänst (lagringsutrymme på nätet) eller i en chat så är det du skriver konfidentiellt. Det kan mycket lätt, för att inte säga sannolikt, spridas utan att du vet om det och användas på alla möjliga sätt.

Ett bra exempel kan vara en helt personlig dagbok. Jag skulle främst råda dig att skriva en sådan på papper, men om du ändå vill använda datorn, surfplattan eller mobilen istället så se till att spara filerna lokalt, alltså på den egna datorn, och helst krypterat i någon form. (Vad det gäller krypterat utrymme på din dator se slutet av nästa punkt.) Det går att vara hur paranoid som helst när det gäller personlig och/eller hemlig text men för normala användare så tycker jag att någon form av krypterat utrymme lokalt på den egna datorn är en ganska bra lösning. Allt beror dock på hur pass hemlig information du sparar. Skulle det gälla t ex ett (ditt) företags hela konto- och finansinformation så behöver man vara extra paranoid, men gäller det bara en personlig dagbok så bör ovanstående, alltså lokal krypterad lagring, vara en fullt tillräckligt metod att använda.

(Självklart gäller detta för alla filer som du inte vill att någon annan ska kunna se. Lägg alltså inte ut bilder, ljud, text eller filmer som du vill hålla privata på Internet. Vad det gäller molnlagring så kan man förvisso använda sådana tjänster för att ha säkerhetskopior (backup) ifall din dator (t ex) skulle haverera. Mitt råd är dock att se till att filer som du vill hålla privata är krypterade på något sätt innan du laddar upp dem i "molnet". De flesta molnlagringstjänster är (nog?) vad jag vet krypterade, med så kallad end-to-endkryptering. Men här gäller det att kunna lita på dessa. Vill man vara extra försiktig så krypterar man själv filerna innan man laddar upp dem.)

Se nedan för tips på olika program för att kryptera filer eller skapa ett krypterat utrymme på din dator.

 

2

Använd inte ett och samma lösenord på flera olika sajter eller tjänster!

Säg att du råkar ha samma lösenord för din inloggning på Facebook som du har för din e-post på t ex Gmail. Säg att någon råkar få reda på lösenordet till Facebook. Inte så farligt tänker du kanske? Nja, det är väl inte värre än att folk i så fall kan skriva saker i ditt namn, skicka personliga meddelanden i ditt namn och låtsas vara du och be folk du känner om att göra olika saker. Det senare kan handla om allt möjligt som att be dem om deras inloggningsuppgifter som om de är dumma nog att skriva över huvud taget nu är i någon helt obehörig människas händer.

Vad värre är, om du har samma lösenord till flera ställen (t ex Gmail), är att "hackern" (i brist på en mer passande benämning) nu kan använda din e-post till precis allt möjligt. Inte så farligt tänker du kanske? Men dina vänner vet ju inte om att ditt e-postkonto är kapat! De får inte heller reda på det eftersom du inte längre kommer in på e-postkontot själv. Hackern har nämligen, snäll (?) som hen är, bytt lösenord åt dig men utan att meddela dig. Hen ÄGER nu din e-post! Det går att skydda sig på olika sätt mot detta scenario, och kanske se till att du får tillbaka ditt e-postkonto, men det är besvärligt. Den simpla lösningen för dig är att du sätter dig och ringer runt till alla du känner och meddelar dem vad som har hänt och att de nu inte längre ska befatta sig med meddelanden som kommer från ditt.namn@eposten.com

Men vad som är ännu värre är är att hackern nu fritt och i lugn och ro kan läsa igenom alla dina tidigare mail (och de som skickas till "dig" framöver). Tro mig! Du vill inte att någon helt utomstående har tillgång till allt som du har skickat och allt som du har fått från andra. Och tro mig. Du anar inte vad ett kapat e-postkonto (i ditt namn) kan ställa till med framöver.

Edit 2016-01-24:
Värt att nämna i sammanhanget är så klart att ditt (enda) lösenord inte behöver läcka bara för att du har gjort något galet. Det kan vara en av hemsidorna som du loggar in på som inte sköter om sin säkerhet som de borde. Ibland kommer det ut att en sajt rekommenderar sina användare att byta lösenord för att deras databas har läckt ut, eller bara befaras ha läckt ut. Om du då har ett och samma lösenord till många olika sajter och tjänster så får du ett rätt stort jobb att göra med att byta lösenord på alla olika ställen.. om du ens kommer ihåg alla! Tänk vad behändigt det då skulle vara om du gjort som man bör göra från början, nämligen använda helt olika lösenord till alla hemsidor, sajter och tjänster.
/edit

Men hur ska jag då kunna komma ihåg alla mina lösenord till kanske ett hundratal olika sajter och tjänster på nätet? Ett sätt är naturligtvis att skriva ner dem på ett papper eller i ett block som bara du har tillgång till. (Dock inte något jag rekommenderar.) Ett annat och kanske lite smartare sätt är att skriva ned dem i ett vanligt textdokument och spara det som en krypterad fil eller lägga det i ett krypterat utrymme lokalt på din dator. Poängen är att du i så fall bara behöver komma ihåg ett enda lösenord framöver (förutom inloggningen på din dator som inte bör vara samma). Detta "masterlösenord använder du sedan för att komma åt alla de andra. Jag har tidigare själv gjort som i det här exemplet genom att spara dokumentet i en krypterad zip-fil. Numera använder jag dock både ett krypterat utrymme på datorn som jag lätt kan spara alla möjliga privata saker i, och en så kallad lösenordshanterare för alla uppgifter om inloggningar (etc).

Hur, var ju själva frågan? Enklast (?) är att använda ett gratis komprimeringsprogram som t ex 7-Zip, som kan ställas in så att det blir på svenska, och spara textfilen i det, med kryptering och lösenord. Se video här på YouTube för instruktioner (dock på engelska) eller lite mer utförligt i denna videon. Om du istället vill använda ett förmodligen säkrare alternativ, eller åtminstone skapa ett större krypterat lagringsutrymme för alla möjliga filer, så rekommenderar jag att du använder VeraCrypt (info på wikipedia.org/wiki/VeraCrypt) eller möjligen TrueCrypt. Dessa två programmen är väldigt lika varandra eftersom VeraCrypt är en vidareutveckling av just TrueCrypt. En bra instruktionsfilm (på engelska) finns här. (Båda programmen kan dock ställas in på svenska.)

KeePassXCEdit 2016-01-24:
Allt här ovan, i det senaste stycket, är inte det bästa alternativet. Nu rekommenderar jag istället starkt att du börjar använda ett speciellt lösenordshanteringsprogram, för att alltså hantera alla dina (olika) lösenord. Själv har jag valt gratis- och open source-programmet KeePassXC och du kan läsa mer om det och om hur man använder det i ett inlägg på min blogg (med instruktionsvideo). Inlägget där har dock några år på nacken och handlar om föregångaren KeePass (utan XC). Instruktionerna är dock desamma för båda programmen.
/edit

 

 

3

Sluta (!!) lita på att din dator inte utsätts för angrepp i form av skadlig kod!

Alltså: Installera antivirus- och brandväggsprogram och se till att de hålls uppdaterade och framför allt fungerande. Varför? Jo, helt enkelt för att det sprids så mycket skit överallt och i princip hela tiden. Man behöver dessvärre inte ens vara medveten om att man har drabbats förrän det är alldeles för sent. Alla som vet vad ett ransomware är (se bild nedan på ett exempel) och kanske till och med har råkat ut för det vet vilket elände som kan drabba en.

Det så kallade polisviruset, som jag skrivit om för en hel del år sen i ett blogginlägg efter att en vän drabbades, är bara en fjärt i kosmos jämfört med vad ett ransomware numera kan ställa till med. Om du råkar ut för en allvarlig infektion så kan du i princip bara säga adjö och hejdå till allt du har på datorn, radera hela hårddisken (egentligen alla hårddiskar som är anslutna) och börja om från början*... eller helt enkelt betala skurkarna (i dagens läge mellan ca 3 000 och 6 000 kr). Detta är något som t ex FBI i USA nyligen har angett som enda lösningen för att få tillbaka dina filer (om du inte har tagit backup på dem). Problemet är bara att om du betalar så vet du inte vilken annan skit som har planterats på din dator eller att de inte spärrar allt igen efter ett tag.

*) Istället för att börja om helt från början så underlättar det enormt om du har tagit backup på alla dina viktiga filer. (Se nedan för mer info.)


ransomware.jpgRansomware är bara en form av skadlig kod som man kan drabbas av. Windowsdatorer, som jag själv är någorlunda förtrogen med, har ett grundskydd i Windows Defender, och särskilt Windowsbrandväggen är ganska kompetent. Men vad det gäller antivirusprogram skulle jag råda dig att installera ett separat. Gratis antivirusprogram skulle jag dock själv inte rekommendera. Windows Defender duger i dagsläget utmärkt. Gratis antivirusprogram innebär ofta att du får en del meddelanden och popupmeddelanden om att köpa deras "bättre" (?) versioner, som självfallet kostar en slant. Jag har själv tidigare använt gratis antivirusprogram (Avast och tidigare AVG) men har slutligen börjat prenumerera för en betalversion (F-Secure) eftersom jag märkte att Avast slöade ner min Internetförbindelse avsevärt. AVG slutade jag använda när det dök upp många olika mindre relevanta meddelanden (t ex om att köpa deras betalversion) att jag till slut tröttnade. En sak är dock viktigt att ha i åtanke; Vilket antivirusprogram som du än använder så skyddar det inte till 100%. Väldigt skumma sidor på nätet innebär en risk i alla fall. Och om du har för vana att liksom bara prova med att klicka på och godkänna lite allt möjligt som verkar spännande eller som ser ut att behövas, då kommer du, förr eller senare, att drabbas av något virus som tar sig igenom skyddet som ett, även kompetent, antivirusskydd ger. Vad eller vilket ska du då installera? Gå efter rekommendationer, även om de "bara" råkar komma från tillförlitliga webbsidor, som denna.   ;)

Uppdatering 2016-01-09:
Eftersom man aldrig kan vara helt (100%) säker på att aldrig drabbas av något illasinnat program, eller att hårddisken i datorn säckar ihop och helt enkelt slutar att fungera, så rekommenderar jag starkt att ta backup med jämna mellanrum på filer som man absolut inte vill förlora. Det gäller främst fotografier, filmer och dokument som man har skapat själv och alltså inte kan återskapas från Internet. Backup kan man ha antingen i det så kallade molnet, alltså på någon (krypterad) internettjänst som t ex Google Drive, Dropbox eller OneDrive. Eller så har man en extern hårddisk och sköta backuperna med t ex SyncToy 2.1 från Microsoft (finns dock inte längre, men leta om du vill). (Videobeskrivning av undertecknad här på YouTube.) Den senare metoden är den jag själv har valt på sistone och jag har valt extern hårddisk eftersom att hårddiskar som sitter i datorn och alltså alltid är anslutna även drabbas av virus som t ex ransomwares. Enda nackdelen med en extern hårddisk är som jag ser det om man drabbas av brand eller inbrott hemma, och har den förvarad där. Då kan ju den också vara "borta".
/uppdatering

 

4

Tro inte på allt du läser och klicka inte på allt som du kan klicka på!

Hur kan du vara säker på att någon av dina vänners Facebook- eller e-postkonton inte är kapade? Hur kan du vara säker på att en länk som "de" skickar inte leder till något skadligt eller något som du inte är betjänt av för fem öre?

Så kallade phishingmail är bara en typ av e-postmeddelanden som du kan råka ut för. Phishing innebär i korthet att du får ett e-postmeddelande (eller ett chatmeddelande) som ser ut att komma från en vän som ber dig om något. Vanligast är i och för sig att ett phishingmail ser ut att komma från din bank eller från t ex Gmail och att det ber dig att följa en länk i mailet för att exempelvis logga in (för att åtgärda något "viktigt". Men istället för att logga in så har du skickat användarnamn och lösenord till en illasinnad cyberkriminell. Lägg märke till att både mailet och webbsidan som du länkas till kan se ut, och ofta ser ut, exakt som att om de kommer från de verkliga tjänsterna. Men de är alltså helt enkelt kopior som någon bov styr och ställer över.

Ser det ut som att det är något konstigt? Klicka inte!! Verkar mailet vara ganska ovanligt för att komma från din "vän"? Klicka inte!! Känner du inte igen stilen, språket eller utformningen i mailet? Klicka inte!! Dessa är mycket viktiga grundregler, och om någon tvekan föreligger så kontakta din vän på något annat sätt för att ta reda på om det verkligen är han eller hon som har skickat det. Och om det är någon instans, som exempelvis din bank eller e-postkonto, så gå dit manuellt, så att säga, och kontrollera där om det är något som du måste eller bör åtgärda.

 

5

Sluta tro att du (nog?) inte är någon "måltavla"!

  • Har du pengar på banken? Om svaret är ja så är du en måltavla.
  • Har du hårddiskutrymme på datorn eller andra lagringsutrymmen, t ex på din smartphone? Om så är fallet så är du en måltavla.
  • Har du en internetuppkoppling? Kanske till och med ultrasnabbt bredband? Då ÄR du en måltavla.

Det handlar alltså kort och gott inte om vad du tror eller tycker utan om vad skurkarna anser är lönsamt eller användbart. Och allt behöver inte handla om pengar. Din dator och din uppkoppling mot Internet kan utnyttjas för allt möjligt som du knappast vill förknippas med, och utan att du märker något skumt. Det kan handla om att ditt lagringsutrymme kan användas som mellanlagring för allt ifrån terroristpropaganda, bombrecept och kontakter till barnporr eller om att ditt bredband utnyttjas för att utföra storskaliga attacker mot andra som är uppkopplade på Internet, i så kallade denial-of-serviceattacker.

Så allt måste alltså inte handla om pengar. Skurkar och busar på nätet kan ha alla möjliga olika motiv och syften. Pengar är givetvis en stor sak, och en allt större sak nu för tiden, nu när gårdagens irriterande och småbusiga "hackers" istället är en rent cyberkriminella individer (eller ingår i en kriminell organisation). Och som jag beskrivit så kan det alltså lika väl handla om att din dator har blivit en "tjänst" som brottslingar tackar (utan att tacka givetvis) för att de "fått lov" att använda.

 

På nästa sida går jag igenom grunderna i PGP-kryptering.


next