Tom Heine Nätt og Christian F. Heide
DATASIKKERHET
Ikke bli svindlerens neste offer
Datasikkerhet
Tom Heine Nätt og Christian F. Heide Datasikkerhet
Ikke bli svindlerens neste offer
© Gyldendal Norsk Forlag AS 2021 2. utgave, 1. opplag 2021
ISBN 978-82-05-53906-8
Omslagsdesign: Gyldendal Akademisk
Layout: HAVE A BOOK
Figurer: David Keeping
Omslagsbilde: Ulya Erdem/Istock
Bilderedaktør: Anette Badendyck
Bildene på side 103, 117, 135, 206, 210, 211n, 218, 302, 303 og 392: © forfatterne
Sats: HAVE A BOOK
Brødtekst: Minion Pro 10,5/15 pkt
Papir: 90 g My Soll Matt
Trykk: Opolgraf, Polen 2021
Alle henvendelser om boken kan rettes til Gyldendal Akademisk
Postboks 6730 St. Olavs plass 0130 Oslo
www.gyldendal.no/akademisk akademisk@gyldendal.no
Forfatterne har mottatt støtte fra Det faglitterære fond
Det må ikke kopieres fra denne boken i strid med åndsverkloven eller avtaler om kopiering inngått med KOPINOR, interesseorgan for rettighetshavere til åndsverk. Kopiering i strid med lov eller avtale kan medføre erstatningsansvar og inndragning, og kan straffes med bøter eller fengsel.
Alle Gyldendals bøker er produsert i miljøsertifiserte trykkerier. Se www.gyldendal.no/miljo
FORORD
Takk for at du tar deg tid til å lese denne boka!
Den har som mål at du skal bli mer bevisst på datasikkerhet i dagliglivet. Vi ønsker å gjøre deg oppmerksom på hvilke farer som lurer, hvordan du oppdager dem, og hvordan du avverger dem. Med andre ord: Vi ønsker å gi deg en sikrere hverdag.
For å gjøre boka aktuell både over tid og på tvers av ulikt utstyr og programvare vil ikke boka ha detaljerte fremgangsmåter for helt spesielle angrep mot enkeltversjoner av programvare eller operativsystemer. Farer endrer seg konstant, så vårt mål er å lære deg til å tenke selv, ikke å følge oppskrifter.
Innholdet vil derfor gi deg en mer generell sikkerhetstankegang som gjør at du kan oppdage og avverge nye farer som måtte dukke opp, og svindel som er skreddersydd mot enkeltbrukere. Vi har med andre ord ønsket å lage en bok som gjør deg sikkerhetsbevisst.
Som vi alle vet, endrer teknologi seg svært raskt. Derfor kan eksempler, skjermbilder og fremgangsmåter være endret etter at boka ble publisert. Der vi omtaler produkter og tjenester, er dette bare for å illustrere generelle prinsipper. Disse omtalene er ikke ment som anbefalinger.
Selv om det ikke stilles store krav til forkunnskaper, vil enkelte deler av innholdet kunne fremstå noe teknisk. Husk da at det viktige er å forstå hva som kan gjøres, ikke hvordan det gjøres. Du trenger ikke å forstå alle detaljene som en hacker må kunne. Det er hva farene innebærer for deg, og hvordan du avverger dem, som er viktig.
Denne bokas mål er selvsagt ikke å utdanne hackere. For å kunne beskytte seg er det imidlertid viktig å vite hvordan hackere tenker, og til en viss grad hvordan angrep utføres. Denne boka vil derfor inneholde beskrivelser av mye som kan benyttes til å skade andre.
Vi vil på det sterkeste fraråde noen å utnytte kunnskapen de får gjennom denne boka, til å utføre kriminelle handlinger eller handlinger som kan skade andre. Husk at også ting som er ment som en spøk, kan være kriminelt.
HVEM ER DENNE BOKA FOR?
Denne boka er for deg! Enten du er deltaker på et kurs, student ved en høgskole eller et universitet, elev på videregående, ansatt i en bedrift eller en privatperson. Flink i IT eller ei. Alle har behov for å lære mer om datasikkerhet, for dette angår alles hverdag.
BOKAS OPPBYGNING
Boka er inndelt tematisk, der hvert kapittel tar for seg områder som nettsider, e-post, sosiale medier, datalagring og netthandel. I tillegg er det et kort introduksjonskapittel som tar for seg dagens datasikkerhet på mer generelt grunnlag. I de senere kapitlene i boka blir det brukt begreper og teknikker som er forklart i tidligere kapitler. Det skal likevel være helt uproblematisk å lese bare enkeltkapitler. Ordlisten bak i boka kan da være til hjelp.
Gjennom boka finnes det flere typer informasjonsbokser:
Nerdestoff: Disse boksene inneholder informasjon som kan utdype temaet dersom du sitter inne med mer avansert IT-kunnskap. Typisk inneholder boksene henvisning til programkode.
Bedrifter: Disse boksene tar for seg noen utfordringer som spesielt gjelder forholdet mellom ansatte og bedrifter.
Eksempel: Her presenterer vi relevante eksempler som illustrerer de ulike angrepsformene.
På siden: Disse seksjonene har innhold som kan knyttes til temaet, men som ikke er helt sentralt.
Sjekkliste: Her kommer noen gode råd og oppsummering av hva du kan gjøre for å beskytte deg.
Bakerst i boka finner du en ordliste for litt mer tekniske begreper og et stikkordregister.
Vi vil også gjøre oppmerksom på at vi i boka bruker en del fiktive nettadresser og epostadresser i våre eksempler, som http://www.vgnet.no/ og ola@avsender.no. Disse adressene var ikke i bruk da boka ble skrevet, men det er umulig for oss å gi en garanti for at ikke noen på et senere tidspunkt registrerer enkelte av adressene og tar dem i bruk.
Videre gjør vi oppmerksom på at noen av skjermbildene vi bruker, er konstruert spesielt for denne boka, og dermed ikke er skjermbilder av reelle hendelser. Det er for å anonymisere hendelsene eller for å oppnå en høyere kvalitet til trykk.
NYTT I 2. UTGAVE
I 2. utgave av boka er det foretatt en generell oppdatering av innholdet. Vi har også skrevet tre nye kapitler.
Det første av disse heter Nettvett, og er tenkt som en hjelp for alle som er på nett, med fokus på vanlige svindler man kan bli utsatt for, og hvordan man kan unngå å gå i disse fellene.
Det andre nyskrevne kapittelet er om barn og unge og hvordan man som foreldre og lærere skal kunne hjelpe barn til å beskytte seg mot svindlere og overgripere på nettet.
Det tredje er spesielt rettet mot bedrifter og organisasjoner, men vi tror mye av stoffet i dette kapittelet kan være av interesse også for privatpersoner. I tillegg er kapitlene om sosiale medier skrevet om og samlet i ett kapittel.
TAKK TIL
Først vil vi takke vår arbeidsgiver Høgskolen i Østfold og Det faglitterære fond for at de hadde tro på ideen, og for at de har gjort prosjektet mulig å gjennomføre.
I tillegg vil vi få takke følgende personer for at de tok seg tid til å lese og gi tilbakemeldinger på manus for første utgave: Ole Anders Danielsen, Kristoffer Møgster Berge, Henrik Heide, Jim Melby og Tor Moltu.
OM FORFATTERNE
Forfatterne av denne boka arbeider til daglig ved Høgskolen i Østfolds avdeling for informasjonsteknologi, der de blant annet underviser i emnene «Innføring i datasikkerhet», «Informasjonssikkerhet» og «Datasikkerhet i utvikling og drift».
Tom Heine Nätt har en mastergrad i informatikk fra Høgskolen i Østfold. Han er en ettertraktet foredragsholder og har formidlet datasikkerhet i en årrekke.
Christian F. Heide er sivilingeniør fra NTNU. Han har tidligere arbeidet ved Televerkets forskningsinstitutt blant annet med datasikkerhet, og har også arbeidet i konsulentbedriftene Scandpower og Commitment.
INNHOLD
kapittel 1
kapittel 2
kapittel 5
MASKINER, PROGRAMVARE OG DATALAGRING 115
Fysisk tilgang 115
Omgå autentisering 116
Maskinvare 117
Podslurping 120
Svakheter i programvare 120
Mangel på oppdateringer 121
Fjernstyring 122
Sikker oppbevaring av data 123
Kryptering av data 124
Sikkerhetskopier 125
Å kvitte seg med maskinvare 126
Metadata i filer 128
Bruk av andres maskiner 133
Skytjenester 134
Tjenesteleverandørene 135
Beskyttelse av data 137
Tilgang på data 137
Brukeren 137
Datamaskiner er ikke lenger en PC 138
Enheter i hjem og kontor 138
Kjøretøy 141
kapittel 6
DATATRAFIKK OG NETTVERK 145
Avlytting og modifikasjon av datatrafikk 146
Skadevare 148
Kablede lokalnett 149
Trådløse nett 150
Sporing av datatrafikk 155
DNS 157
DNS-forfalskning 160
Modifiserte DNS-oppslag 162
DNS-kapring 162
DNS-avlytting 163
Nettverksutstyr 164
Brannmurer 167
kapittel 7
kapittel 8
Fysisk tilgang og sikring 207
Skjermlås
USB-tilkobling 210
Minnekort 211
Sporing og fjernsletting 212
Kast og salg av mobile enheter 214
Kommunikasjon 216
Mobiltrafikk 216
Trådløse nett 216
Blåtann 217
Overvåkning 219
Tilstedeværelse 221 SMS 221
SMS-svindel 222
Telefonoppringninger 224
Jailbreaking og rooting 224
kapittel 9
NETTVETT 227
Informasjon – svindlernes gull 228
Hvem har tilgang til vår informasjon? 229
Hva deler andre om meg? 237
Skjult informasjon i tjenester 239
Identitetstyveri 242
Konkurranser og undersøkelser 242
Falsk informasjon 249
Utpressing 251
Opplevd anonymitet 253
Raske penger 255
Nettdating 257
Noen generelle tips 258
Ikke la følelsene styre 259
Gjør enkle nettsøk 259
Ikke alt som ser bra ut, er det 260
Er det for godt til å være sant, så … 260
Ikke stol på alt du ser 260
Ikke stol på kjente 261
Ikke stol på teknologien 261
Innse at du kan bli et offer 261
Når skaden har skjedd 262
kapittel 10
kapittel 12
BARN OG UNGE 313
Digital deltakelse 315
Overordnede trusler 317
Mobbing 317
Overvåkning 317
Økonomiske svindler 318
Informasjon på avveie 320
Nettovergrep 322
Utpressing 324
Falsk informasjon 324
Ulovlige handlinger 325
Regler og regelbrudd 326
Begrunnelse og identifiserbarhet 326
Rimelighet 328
Håndheving og oppfølging 328
Hvordan følge med og kontrollere? 329
Holdninger og kunnskap 331
Hjelp når noe skjer 332
Temaer til samtale 333
kapittel 13
NÅR ANDRE SVIKTER 335
Hvorfor går det galt? 335
En komponent brukes mange steder 336
Ingen lang fagtradisjon 338
Å dysse ned er bedre enn å fikse og avsløre feilene 339
Sikkerhet nedprioriteres 339
Kompleksitet 341
Stillingskrig 342
Gammel teknologi som ikke lar seg endre 342
Andre hensyn 342
Hva kan vi som brukere gjøre? 343
Fremtidsutsikter 344
kapittel 14
BEDRIFTER OG ORGANISASJONER
Hvorfor hører man lite om sikkerhetshendelser? 349
Informasjonssikkerhet 350
Ord og begreper 351
Trusselmodellering 353
Risikostyring 354