IBM Verse – no go

Jeg har lige fået mig en IBM Verse email konto, efter at have været på venteliste i en evighed.
Det er en vældig flot løsning hvor mail, kalender, kontakter og filer er tæt integrerede.

Desværre er det også en hamrende usikker løsning hvor der tilsyneladende slet ikke er tænkt email authentication ind,
IBM Verse accepterer som man kan se herunder uden videre spoofede Paypal emails, på trods af paypal.com DMARC reject policy’en.

ibm-verse-no-security

Råd mod hikke

Hikke Et enkelt hik kan vel nærmest være sjovt.
5 minutters hikke er ekstremt irriterende.
Jeg har lige overstået 11 dages mere eller mindre konstant hikke, det var dælme godt nok belastende, jeg fik kun sovet et par timer hver nat, havde svært ved at holde mig vågen på arbejde (det sørgede hikken dog for jeg så alligevel kunne) og ikke mindst havde jeg svært ved at spise, tabte mig næsten 3 kg på de 11 dage.

Det er svært at få effektiv hjælp når man har en hikke man ikke kan komme af med.

Først kan man afprøve alle de mange “gode råd” på nettet og diverse sundhedssites man kan finde mod hikke. Hold vejret, drik koldt vand, drik varmt vand, stå på hovedet og drik koldt vand med et sugerør, bliv forskrækket, påfør dig selv smerte osv.
Hos mig var der ikke noget der hjalp, og de sorte rande under øjenene pga søvnmangel mindede efterhånden om sorte affaldssække.

Så kom turen til vores sundhedsvæsen, min egen læge kunne ikke hjælpe, så det blev til nogle opkald til 1813 og besøg på Frederiksberg skadestue.

Frederikberg skadestue lagde en sonde gennem min næse ned i min mavesæk og fyldte den op med lokalbedøvende gel, det hjalp ikke, men i teorien en udmærket ide at afprøve.

Jeg fik foretaget en gastroskopi og lægen konstaterede at det ihvertfald ikke var et mavesår der var årsagen til hikken.

På et tidspunkt var der så en læge der fik den fremragende ide at give mig en kombination af Klorzoxazon og Stesolid, det var hvad der skulle til for at kurere min hikke.

Godt råd er hermed givet videre.

Teleudbydernes emailsikkerhed

Telefon Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere.

Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem.

Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

Generelt er emailsikkerhed og teleudbydere diamentrale modsætninger, man ser samme lave sikkerhedsniveau som hos bundskraberne fra SKAT, NETS og NemID.
SKAT, NETS og NemID kan man dog på sin vis forstå, de er præcis så fuldkommen ligeglade med brugerne som man nu engang kan tillade sig at være når man er en monopolvirksomhed, teleudbyderne derimod, er trods alt rigtige virksomheder der skal leve af kunderne, så her havde jeg håbet på lidt mere.

Eneste lyspunkt i min mini-undersøgelse er TDC familien, hvor man dog trods alt er gået igang med at sikre kunderne imod phishing.

Alt i alt: Næste gang du modtager en phishing email der udgiver sig for at komme fra en teleudbyder, så kan du roligt brokke dig højlydt til den pågældende teleudbyder, du modtager primært disse emails fordi de intet gør for at forhindre det.

TeleudbyderSPFDKIMDMARC
3Ja [1]?Nej
ACNNej?Nej
BiBobJaNejNej
CBBJa?Nej
CallMeJa [1]?Nej
DLG TeleNej?Nej
FullrateJa [1]?Ja [4]
JustfoneNej [2]NejNej
NettalkJa?Nej
OK MobilNej?Nej
OisterNej [2]?Nej
One MobileNej?Nej
TDCJaJa [3]Ja [4]
TelenorNej [2]?Nej
TeliaJa [1]?Nej
TelmoreJa?Ja [4]
Universal TelecomNej?Nej
ViptelNej?Nej
WaooNej [2]?Nej
YouseeJaJa [3]Ja [4]

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] OK, men med advarsler.
[2] Teknisk defekt, syntaxfejl eller for mange DNS opslag.
[3] Noget, men ikke alt email DKIM signes.
[4] Monitor mode, dvs ikke nogen egentlig beskyttelse, kun overvågning.

Oversigten over teleudbydere er hentet fra : http://www.telemarkedet.dk/telefoni/udbydere

Rejsebureau phishing

albatros-travel I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.

Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Denne gang var det Albatros Travel og deres kunder det gik ud over, hvem bliver mon de næste de kriminelle kaster sig over ?

Lad os kigge på hvad der egentlig skal til for at Albatros Travel kan sige de har gjort alt hvad der rent teknisk kan gøres for at forhindre IT kriminelle i at misbruge deres brand, man kunne kalde det en slags anti-phishing ToDo liste som de kan anvende hvis de kunne tænke sig at minimere effekten af, og risikoen for en ny phishing sag.

  1. WhoAmI øvelsen.
  2. Albatros Travel har et fint velkendt brand, men når det kommer til email kommunikation, bliver indtrykket lidt mudret. Noget email kommer fra albatros-travel.com, og til andre formål anvender man .dk/.se/.no/.fi domænerne. Alt i alt lidt forvirrende og en udstrakt hånd til IT kriminelle.
    ToDo: Simplificer eventuelt, men få under alle omstændigheder kommunikeret på hjemmesider, i kvitteringer og alle andre tænkelige steder hvad der anvedes til hvad.

  3. Email authentication
  4. Lader man hoveddøren stå pivåben får man nok på et tidspunkt besøg af banditter. Noget lignende kan man sige om domænenavne, Albatros Travels domæner (albatros-travel.dk/se/fi/no/com) står alle til fri afbenyttelse for alle som måtte ønske at anvende dem til at sende Albatros Travel phishing emails ud.

    Albatros Travel bør implementere DMARC.
    At implementere DMARC kan tage alt fra et par timer til flere år, i Albatros Travels tilfælde vil jeg mene det kan klares på et par uger eller 3.

    Corporate email
    Det ser ud til Albatros Travel internt i firmaet anvender Microsoft Exchange som mailserver, det er naturligvis ikke optimalt idet Exchange ikke har support for DKIM signing af emails indbygget, men det kan et smart lille produkt fra Adminsystem software rette op på.

    Nyhedsbreve
    Apsis som er nyhedsbrevsleverandør for Albatros Travel DKIM signer allerede alt email, her mangler man blot at tage en Albatros Travel Return-Path i brug, så vil de emails være 100% DMARC compliant.

    Rapportering
    En vigtig del af DMARC er de feedback rapporter man får fra mailservere rundt omkring i verden som modtager email der hævder at komme fra ens domæne. Ud over at afsløre eventuelle konfigurationsfejl eller “glemte” mailservere er rapporterne også med til at sikre man ikke bliver taget med bukserne nede næste gang kriminelle forsøger at misbruge ens domæne. Til behandling af DMARC rapporter kan man med fordel anvende Dmarcian.com

    Resultat
    Med DMARC sikrer man sig mod eksakt domæne phishing, dvs IT kriminelle vil ikke længere være istand til at afsende email med en albatros-travel.dk/se/fi/no/com From: adresse.
    Det gælder for alle emailadresser hos Google, Yahoo, Microsoft, AOL og nogle andre.

NemID phishing

NemID Logo Der er efterhånden skrevet en del om NemID phishing, så nu må det være på tide jeg også kommer med et bidrag.

NemID phishing er på grund af sløseri eller manglende kompetencer hos NemID, Digitaliseringsstyrelsen og Nets et evigt tilbagevendende problem.
Jeg har selv gennem tiden modtaget en del NemID phishing emails, nogle af dem kunne man kalde gode forsøg, andre har været latterligt elendigt lavet.

For et par dage siden modtog jeg i forbindelse med bestilling af en ny nøgleviser en ægte email fra NemID, når man ser sådan en ved man ikke helt om man skal grine eller græde.
En ægte email fra NemID har, bortset fra den er skrevet på pænt dansk, mere eller mindre alle de tekniske kendetegn en NemID phishing email har.

Jeg handlede hos NemID, men kvitteringsemailen kom fra certifikat.dk, det er vel nogenlunde ligeså underligt som at handle online hos coop.dk og få en kvittering fra Dagli’ Brugsen.
I selve emailen linkes til både nemid.nu og nets-danid.dk.
Emailen underskrives Nets DANID A/S
Og som en ekstra bonus er der også vedhæftet en “mystisk” fil (en eller andens S/MIME signatur)

Alt i alt gør NemID det bestemt ikke nemt for helt almindelige mennesker at skelne mellem ægte og falske NemID emails.

Trustpilot email

TrustpilotTrustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed.
For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender.

Så langt, så godt .. Men..

Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.

Umiddelbart ser email sikkerhed imidlertid ikke ud til at være det man bruger flest kræfter på hos Trustpilot. Rent teknologimæssigt halter man ca. 10 år bagefter, faktisk er man er ikke nået længere end til SPF hos Trustpilot.
En ting er at man halter bagefter, en anden ting er hvordan så forholder sig til de teknologier man rent faktisk har kendskab til, og det er her det bliver rigtig kritisk.
I Trustpilots SPF implementerings guide er den foretrukne tilgang til SPF at man ganske enkelt sletter sin SPF record !
Nej du behøver ikke at kigge efter, dette indlæg er ikke skrevet 1. April.

Uddrag af Trustpilot SPF opsætningsvejledning: (Screenshot her)

Tekniske instruktioner
Hvordan tilpasser jeg mine indstillinger?
Du kan vælge at gøre ét af følgende:
1. Slet din SPF record
De fleste domæner har ikke nogen SPF record. Det betyder, at de tillader en hvilken som helst tredjepart at sende e-mails ud på deres vegne. Det kan være, du anvender et tredjeparts-værktøj, der kræver en specifik SPF record, så vær forsigtig, før du fjerner den.
2. Tilføj trustpilotservice.com
Ved at tilføje trustpilotservice.com i din SPF record, giver du udtrykkeligt tilladelse til, at vi sender e-mails på dine vegne. Nedenfor finder du et eksempel på, hvordan du kan tilføje trustpilotservice.com til din SPF record.

Variant 2 er knap så slem, her er ikke på samme måde som i variant 1 tale om man direkte kompromiterer sin egen sikkerhed, men til gengæld afslører denne variant at Trustpilot slet ikke har sat sig ind i hvordan SPF egentlig virker.

Sikkerhedsfirmaers emailsikkerhed

Phishing-hook Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på.
Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ?

Ak, jeg blev klogere :-(

Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed. Lad os håbe der ikke er andre områder hvor det også kniber med at holde sig opdateret.

Jeg skal huske at fremhæve et enkelt firma i min miniundersøgelse, Android/iOS Antivirus firmaet Lookout har helt styr på deres egen emailsikkerhed.

NavnSPFDKIMDMARC
AVGNej [1]?Nej
AvastJa?Nej
AviraJa?Nej
BitdefenderNej?Nej
BullguardJa?Nej
DK CERTJaNejNej
Rådet for Digital SikkerhedNej?Nej
CSISJa?Ja [2]
Dr. WEBNej?Nej
ESETJa?Nej
FortConsultNejNejNej
F-SecureJaNejNej
GDataNej?Nej
IntegoJa?Nej
Kaspersky LabJa?Nej
LookoutJaJaJa
McAfeeJa?Nej
NormanJa?Nej
NortonJa?Nej
Panda SecurityNej [1]?Nej
TrendmicroJa?Nej

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] SPF record er teknisk defekt.
[2] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.

2015-03-14: DK CERT har endelig, år efter min første henvendelse fået fixet deres invalide SPF record.

DMARC nyt #2

DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC.
Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster.
DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC.
Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC).
Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne

TDC er på vej med DMARC

DK-Hostmaster arbejder også på en DMARC implementering

SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.