IT-Säkerhet för allmänheten
av Stefan Midjich
Frågor?
Lyft upp handen och fråga om ni har något ni undrar.
Presentationen finns tillgänglig online på slides.com/stefanmidjich/it-sakerhet/live
Vem riktar sig detta till?
- Du bryr dig om din personliga IT-säkerhet
- Du har ingen tidigare erfarenhet av IT-säkerhet
- Du använder internet regelbundet
- Du kan engelska
Introduktion
- Riskbedömning
- Vad är kryptering?
Praktiska tips
- Skydda din data
- Skydda din kommunikation
- Kringgå online censur
- Välj dina verktyg
Agenda
Agenda
Vad vi inte täcker
- Hur du använder verktygen
- Var du hittar verktygen
- Länksamling på slutet hänvisar till steg-för-steg guider
Riskbedömning
Säkerhet: att avgöra vad du vill skydda och från vem.
Hotbild kan förändras: beror på vad du gör, var du befinner dig och med vem.
Frågeställning
- Vad vill du skydda?
- Vem vill du skydda det mot?
- Hur stort är behovet?
- Vilka är konsekvenserna om du misslyckas?
- Hur mycket är du villig att anstränga dig?
Allas riskbedömning blir unik
Säkerhet = Disciplin
Kompromiss: Använd en särskild dator eller enhet för känsligt arbete.
Introduktion till kryptering
Hejsan!
YJBIiD8/hLyYzQhjA==
YJBIiD8/hLyYzQhjA==
Hejsan!
kryptera
avkryptera
- Mål: kommunicera säkert över osäkra kanaler.
- Lita på matematiken: använd en algoritm som låter dig kryptera meddelanden med hemlig "nyckel".
- Krypterade meddelanden oläsliga utan hemligheten.
- Problem: hemlighet måste vara känd av mottagaren.
Exempel
Lösenordsskyddat arkiv
Kryptering: Publik nyckel
Hejsan!
- först skapar mottagaren ett nyckelpar
- vad en nyckel krypterar kan bara avkrypteras av den andra
- en nyckel delas offentligt (publik) och en annan är hemlig (privat)
- public key encryption: bara mottagaren kan avkryptera meddelandet
- privata nycklar är hemligheter och bör skyddas av lösenord
kryptera
YJBIiD8/hLyYzQhjA==
YJBIiD8/hLyYzQhjA==
avkryptera
Hejsan!
Exempel
- PGP - Pretty Good Privacy
- TLS - https://
https://
Skydda din data
Lösenordspolicy
Lösenordspolicy
- Använd hela, grammatiskt korrekta, meningar.
- Klassificera olika tjänster med säkerhetsnivåer.
- Använd en lösenordshanterare.
Starka lösenord
Kn3p1gt$99
En vanlig mening 2014.
- Relativt kort
- Svårt att komma ihåg
- Svårt att förmedla
- Långt
- Lättare att minnas
- Lättare att förmedla
- Innehåller specialtecken
För bäst resultat använd enbart tecken mellan A och Z.
Säkehetsnivåer
- Regel: Använd inte samma lösenord
- Regel: Byt lösenord ibland
Klassificera tjänster baserat på hur känsliga de är för din personliga integritet.
Kompromiss: Använd samma lösenord för flera tjänster.
Hög säkerhet
- Personlig e-post
- Eget PC-konto
Låg säkerhet
- Forum
- Spel
- Webbutiker
- Gästkonton
- Slaskkonton
Tips för allmänna tjänster:
Skriv tjänstens namn i lösenordet.
Enkel kod.+flashback.info
Lösenordshanterare
Program som låter dig lagra lösenord krypterat på din dator.
- Insyn i programmets kod
- Du ska äga datan
- Förslag för individer KeePass
- Förslag för organisationer: Siptrack
Skydda din data
Diskkryptering
Full disk encryption
Också känt som
Fördelar
- Finns i alla Operativsystem
- Lätt att installera
- Lätt att använda
- Oftast bra kryptering
Nackdelar
- Bortglömt lösenord betyder förlorad data
- Kräver inloggning till datorn
- Kräver annorlunda säkerhetsrutiner
- Lämna inte påslagen dator obevakad
- Se till att backup också är krypterad
- Använd starka lösenord
Tips
Skydda din kommunikation
- Chatt
- E-post
- Webbsidor
- Övrig trafik
Förhindra avlyssning
Populära alternativ
- Viber
Öppna alternativ
- Pidgin+OTR
- Adium
- ChatSecure
- Signal
Chatt
E-post
Tips
- Använd ej webmail
- Lär dig använda PGP (Kryptering med publik nyckel)
Läs mer på emailselfdefense.fsf.org
E-post
Phishing
- Falsk e-post
- Riktade budskap
- Ofta länkar eller bifogade filer
- Sprider virus
- Exempel: Cryptolocker
E-post
Phishing
- Granska brevet noga
- Är brevet oväntat?
- Läs länkar noga
- Håll muspekaren över länken och läs adressen innan du klickar
Läs mer på ssd.eff.org
Webbsidor
Tips
- Använd Firefox
- Adblock
- HTTPS Everywhere
- Privacy Badger
- Noscript (Avancerat)
Övrigt
- Virtual Private Network
- En skyddad kommunikationsväg till en ändpunkt på internet.
- Skyddar dig mot farliga trådlösa nätverk
Förslag
- Ipredator
- Mullvad
- Torguard
VPN
Kringgå censur
- Webbproxy
- VPN
- Tor
Webbproxy
Exempel: proxy.org
- Omväg ut på internet
- Enklast att använda
- Tekniskt minst avancerad
VPN
Läs flera recensioner av VPN-tjänster på torrentfreak.com
Tor
Anonymiseringsnätverk
Globalt nätverk av proxyservrar som studsar din anslutning mellan sig för att ge anonymitet
Välj dina verktyg
Webbläsare
Firefox
Argument
- Helt öppen mjukvara
- Full kontroll över Javascript
- Kraftfulla tillägg
- Främst Noscript
- Adblock
- Privacy Badger
- HTTPS Everywhere
E-post
Thunderbird
Argument
- Helt öppen mjukvara
- Tillägg: Enigmail
Läs mer på emailselfdefense.fsf.org
Kryptering
PGP
PGP står för Pretty Good Privacy
Du använder oftast en implementation av PGP, t.ex. Enigmail, GnuPG eller GPG4Win
OS
Fedora Linux t.ex.
Argument
- Öppen mjukvara
- Stark säkerhetsimplementation
- Lättanvänd skrivbordsmiljö
- Full-disk kryptering
Länkar
Ytterligare studier
MeraKrypto
- Samverkan för ett säkrare internet
- Stockholm, Göteborg, Malmö
- MeraKrypto hemsida
- Håller workshops
- Föreläsningar
- E-postlista för MeraKrypto Syd
Ytterligare studier
Hackerspace
Ytterligare studier
IT-säkerhet för allämnheten v2
By Stefan Midjich
IT-säkerhet för allämnheten v2
Uppdaterad presentation som gavs till VGregion 2016-04-21.
- 1,232