10 grunner til å kutte ut Facebook (og 1 til å bli der)

24/03/2010

God oppsummering i www.csoonline.com av Joan Goodchild om hvorfor man bør kutte ut Facebook.

  1. Privatlivet ditt er historie
  2. Facebook er ikke laget for å ivareta dine interesser
  3. Hyppige designendringer påvirker privacy-innstillingene
  4. Gjennom Facebook blir sosial manipulering nå enda mer målrettet
  5. Du kan ikke stole på annonsene
  6. Spam
  7. Du vet ikke hvem dine venner egentlig er
  8. Du broadcaster ofte at du er borte, og at huset ditt således trygt kan besøkes av tyver
  9. Du vet ikke hva Facebook finner på i morgen når det gjelder manglede beskyttelse av privatliv
  10. Enkelt for “uønskede personer” å overvåke deg (sjef, ex-dama/-typen, foreldre etc.)

Og hvorfor forbli på Facebook?

  1. For å overvåke dine ansatte, ex-dama/-typen, barn etc. (se pkt. 10 ovenfor)

1 kommentar | Uncategorized | Permalink
Sendt av onerod

Sentralisert sperring av kredittvurdering

24/02/2010

Se også del 1 og del 2 om sperring av kredittvurdering.

Datatilsynet tar nå til orde for en felles sperretjeneste mot kredittvurdering slik at man slipper å kontakte hvert enkelt kredittvurderingsselskap. Det er et forslag jeg ønsker velkommen. Dessverre tror jeg at man vil klare å generere så mange problemstillinger rundt dette at en fungerende løsning ligger langt fremme. I mellomtiden får vi gjøre det på den enkle måten mot hvert enkelt kredittvurderingsselskap (se linker ovenfor).

Legg igjen en kommentar » | Uncategorized | Permalink
Sendt av onerod

Baksiden ved bruk av verktøylinjer i nettlesere

27/01/2010

Jeg har alltid vært motstander av å installere verktøylinjer i nettleserne mine. Motstanden ble ikke noe mindre etter at jeg leste en artikkel fra The Register om hvordan Google sin verktøylinje fortsetter å sende ut informasjon om dine aktiviteter, selv etter at du har deaktivert den.

Verktøylinjer har blitt en svært populær plattform for reklame for selskaper som Google, AOL, MSN og Yahoo. I tillegg benyttes de flittig av malware-produsenter. F.eks. finnes det noe som heter Security Toolbar. Dette er et verktøylinjeprogram som påberoper seg å kunne fjerne spyware. Men selv om en maskin er ren, rapporterer det om tilstedeværelsen av spyware for å overbevise brukeren om å kjøpe en full versjon av Security Toolbar. Som mange andre falske produkter er Security Toolbar veldig vanskelig å fjerne manuelt.

Selv om verktøylinjer i utgangspunktet skal gi deg økt funksjonalitet, er primærhensikten å reklamere samt samle inn informasjon om deg. I tillegg til at verktøylinjene lekker informasjon om dine aktiveteter, går de ut over ytelsen på PC’en din (primært under oppstart av webbrowseren). Og jo flere du har, jo mer reduseres størrelsen på visningsvinduet ditt. 

Too many toolbars

Mitt inntrykk er at slike verktøylinjer sjelden bringer med seg noe som er så nyttig og unikt at det veier opp for bakdelene. Og som regel kan du få samme funksjonalitet på andre måter.

Dessverre er det mange programinstallasjoner som default bringer med seg verktøylinjer. F.eks. hvis du installerer Java er Google Toolbar default valgt. Du må selv huske på å fjerne avkrysningen før du går videre i installasjonen, noe mange brukere ikke gjør. Jeg har sett mange browsere med et uttall verktøylinjer installert, uten at brukeren benytter disse eller vet hvordan de har kommet inn på PC’en.

Legg igjen en kommentar » | Teknisk sikkerhet | Permalink
Sendt av onerod

Snø og kulde gir færre innbrudd

23/01/2010

Sitter og ser ut vinduet. Masse minusgrader og snø. Er du også lei snø og kulde? Det er ihvertfall innbruddstyvene. Med unntak av påsken er vinteren lavsesong for innbrudd i private hjem. Snøen og kulden skaper vanskelige arbeids- og kjøreforhold. Og i snøen settes det spor både fra bildekk og føtter. I tillegg er det færre tilreisende innbruddstyver til Norge på den kalde vinterstiden. Riktignok kan snøfall og manglende måking gjøre det lett å finne hus hvor eier er bortreist. Men dette veier ikke opp for de dårlige arbeidsforholdene. Så hva kan lære av dette? Tja, ikke måk verandaen, under vinduene eller langs husveggen. Dette reduserer angrepsflaten. Og sørg for at det alltid måkes når det har snødd.

Legg igjen en kommentar » | Fysisk sikkerhet | Tagget: , | Permalink
Sendt av onerod

Sperring av kredittvurdering, del 2

13/12/2009

Se også del 1 om sperring av kredittvurdering.

Det tok litt tid, men så fikk jeg endelig sendt avgårde en melding til Lindorff (varsling@lindorff.com), Dun and Bradstreet (oppdatering@db24.no) og Experian (kundesenter@no.experian.com) (tidligere Credittinform AS)  om at jeg ønsket å bli sperret mot kredittvurdering. Et ark med underskrift, hengte på førerkortet mitt og puttet det hele i scanneren. Så var det bare å sende avgårde filen i en e-post hvor jeg ba om å bli sperret.

 5 arbeidstimer etter at jeg sendte forespørslen svarte Lindorff: “Bekrefter at du er sperret for kredittvurdering her hos Lindorff Decision. Kode for opphevelse av sperren sendes per post.”  Og dagen etter lå koden i postkassen min. Ikke dårlig .

 Ga aldri noen e-postrespons, men koden kom samtidig med koden fra Lindorff. Veldig raskt håndtert også av Dun & Bradstreet.

 Varslet meg med en gang om at henvendelsen var registrert, men at Experian for tiden hadde lengre behandlingstid enn normalt. Har ikke hørt noe mer fra dem men regner med det kommer en kode i posten ganske snart.

Så nå er det bare å vente på første bedrift som prøver å kredittvurdere meg. Da vil de få en melding om at jeg er sperret for kredittvurdering. De vil så måtte kontakte meg og be meg oppheve sperringen til de har fått kredittvurdert meg. Så må jeg nok selv huske på å aktivere sperringen igjen. Det ser dessverre ikke ut som det er støtte for midlertidig åpning for kredittvurdering for kun en gitt bedrift.

By the way; Norsis har en artikkel om  en nylig endret prosedyre hos kredittvurderingsselskapene.

Oppdatering, 18.12.2009: Etter en uke fikk jeg en kode fra Experian også.

5 kommentarer | Personellsikkerhet | Permalink
Sendt av onerod

CSO versus CISO

10/12/2009

Mange bedrifter bruker CSO- og CISO-tittelene (evt. “sikkerhetssjef” og “informasjonssikkerhetssjef”) om hverandre uten å ha noen formening om forskjellen på arbeidsinnholdet og ansvaret. Noen bruker også tittelen IT-sikkerhetssjef uten at jeg helt forstår betydningen av den tittelen. Er det IT-utstyret man skal passe på eller er det informasjonen? Og hvis det menes at man kun skal passe på informasjon lagret/prosessert på IT-utstyr så har man et stort hull i informasjonssikkerheten sin da mye informasjon er å finne på papir og i hodene på folk. Jeg er av den oppfatning at enten bør man ha en CSO, eller så bør man ha både en CISO og CSO, evt. supplert også med en IT-sikkerhetssjef. Kun en CISO eller IT-sikkerhetssjef vil føre til at mange sikkerhetsrelaterte oppgaver står udekket.

Derek Slater i magasinet “CSO” har en god figur som illustrerer hvordan CSO sitt ansvar strekker seg utover vesentlig flere områder enn hva som gjelder for CISO (som i all hovedsak er opptatt av infosecurity). Dette er en figur jeg nå har hengt opp på arbeidsplassen min. Figuren kunne dog med fordel vært utvidet med ansvaret til CTO. Da ville man bedre sett hvor IT-sikkerhetssjefen passer inn.

Legg igjen en kommentar » | Generelt | Permalink
Sendt av onerod

Byttet blog-host

21/08/2009

wordpress-pluginsI lys av min forrige Blog om hva Google vet om oss har jeg flyttet bloggen min fra Google til WordPress. Og jeg må si at så langt er jeg fornøyd. Ting fungerer som jeg forventer, og det er mer funksjonalitet tilgjengelig. Blog-adressen er den samme (blog.onerod.net).

Jeg har importert innlegg og kommentarer fra min forrige blog, så om artiklene her er litt feil formatert så er det årsaken.

1 kommentar | Generelt | Tagget: | Permalink
Sendt av onerod

Hva Google vet om deg

20/08/2009

googleVet du egentlig hva de ulike Google-tjenestene lagrer om deg? Jeg har undersøkt litt (blant annet i Infosecurity Professional, issue number 6) og funnet ut følgende (som sikkert bare er et bruddstykke av sannheten);

Search er Googles søketjeneste. Tjenester som Search, Gmail, Orkut og Desktop benytter sammenkoblede cookies som ikke utløper før i 2038. Hver av disse cookiene lagrer informasjon om dine websøk. Google sletter ikke informasjon fra disse cookiene. Derfor, om du gir Google et sett med søkeord, kan Google produsere en liste med personer som har søkt etter disse søkeordene. Personene identifiseres enten vha. IP-adresse eller Google-cookie-verdi. Og motsatt, om man gir Google en IP-adresse eller Google-cookie-verdi, kan Google produsere en oversikt over søkeordene denne personen har benyttet.

Google Desktop gjør det mulig å søke etter office-dokumenter, epost, bilder etc. på PC’en sin. Tjenesten indekserer innholdet på PC’en (indeksen lagres heldigvis lokalt). Men tenk deg om det er en sårbarhet (eller bakdør) i tjenesten og den kan nås via nettverket? Da kan all informasjonen på PC’en hentes ut. Google Desktop 3 (GD3) tillater brukere å søke på tvers av flere PC’er. GD3 lagrer indekser og kopier av filer på Google sine servere i nesten en måned.

Orkut er Google sitt sosiale nettverk. Andre er f.eks. facebook og myspace. Sosiale nettverk inneholder personinformasjon som navn, adresse, telefonnummer, alder, siviltilstand, religion, hobby etc. Ved å ta i bruk Orkut tillater du i praksis at Orkut kan gjøre hva de vil med all informasjon du registrerer. Du gir bort alle rettigheter til informasjonen.

Gmail er Google sin mailtjeneste. Primærrisikoen her er at de fleste brukerne tillater Gmail å være mer enn bare en eposttjeneste. De tillater Gmail å være en tjeneste for søking, lagring og shopping. Sammenstilling av informasjon fra disse tjenestene kan gå utover personvernet. Spesielt med tanke på at epost lagret på en tredjeparts server mer enn 180 dager ikke lenger beskyttes av Electronic Communications Privacy Act som sier at epost skal betraktes som et privat kommunikasjonsmiddel.
Gmail Patents; Google har tre patenter ifm. Gmail. Den viktigste av disse patentene (#20040059712) gjør at Google kan lage profiler basert på uttrekk av diverse informasjon fra mail du sender; mottaker, avsender, adressebok, emne, vedleggets sti, m.m.

Chrome er Google sin nettleser (browser). Alle URL’er du besøker logges av Google. Alle ord, del av ord eller fraser som du skriver inn i adressefeltet (selv om du ikke trykker enter/return) logges av Google. Chrome sender en automatisk cookie med alle automatiske søk som foretas i adressefeltet.

Adroid er Googles operativsystem for mobiltelefoner. Adroid lagrer informasjon om oppringte telefonnumre, innkommende telefonnumre, websøk, epost og geografiske lokasjoner hvor telefonen er blitt brukt.

Google Health tillater brukere å lagre sine helseopplysninger. Enkelte selskaper i USA har nå begynt å tillate at Google Health importerer deres helseopplysninger på vegne av brukerne.

Men som sagt, det vil ikke overraske om dette bare er toppen av isfjellet.

Så et par tips er;

  • Ikke bruk Google til alle disse tjenestene. Spre tjenestene utover flere leverandører.
  • Når mulig, bruk tjenestene som er innebygget i OS’et (søketjenester, IM-tjenester, etc.)

 

OPPDATERING, 26.08.2009

Ser at Digi skriver om at Google henter trafikkdata fra kundenes mobil og IT-avisen skriver Sjekk trafikken på mobilen. Det påstås at dataene er “helt anonyme”. Mmm… skeptisk.

1 kommentar | Teknisk sikkerhet | Tagget: , | Permalink
Sendt av onerod

Boligalarm gir mer enn varsling av innbrudd

10/07/2009

Leser stadig om at boligalarm er en unødvendig utgiftspost. F.eks. her. Resonementet er at alarmen er dyr, tyvene er borte før vekterne kommer og forsikringsselskapet dekker uansett eventuelle tap du måtte ha.

Men man glemmer noe;

  • en godt skiltet alarm gjør at tyvene gjerne går til neste hus (uten alarm)
  • et alarmsystem tilbyr gjerne brannalarm med varsling til vekter som igjen varsler brannvesen
  • et alarmsystem med skallsikring kan stå på om natten og motvirke nattlig besøk
  • et alarmsystem tilbyr ofte panikkalarm som man kan aktivere om man får truende besøk
  • et alarmsystem senker forsikringspremien
  • vektertjenesten tilbyr ofte oppbevaring av husnøkler, noe som kan brukes til inspeksjon av boligen ved alarm, eller i fall du har mistet nøklene dine så slipper du å tilkalle låsesmed

Alarmsystemet har nok begrenset effekt mot målrettede tyver som besøker huset ditt mens du er bortreist. Men klarer du å skremme bort enkelte tyver, så har du spart deg for masse arbeid med å rette opp skadene, de psykologiske sårene ved å hatt uvedkommende på besøk, samt egenandelen til forsikringsselskapet. Bare det burde være verdt noe. I tillegg har du de andre effektene listet opp ovenfor.

15 kommentarer | Fysisk sikkerhet | Tagget: , , , | Permalink
Sendt av onerod

Sperring av kredittvurdering

19/06/2009

Se også del 2 om sperring av kredittvurdering.

Her om dagen tok jeg den nye selvtesten fra Datatilsynet for å teste hvor mye jeg kunne om det å beskytte min identitet. Testen gikk bra, men jeg oppdaget (nok) et hull i min kompetanse; det er mulig å sperre seg mot kredittvurdering! Hvordan? Send en kopi av din legitimasjon (eks. førerkort) samt underskrift til Lindorff, Dun and Bradstreet og Experian. Da får du et passord tilbake som du senere kan benytte for å oppheve sperringen.

Kjekt å vite/gjøre.

PS: Er litt usikker på hva prosessen blir når du skal tillate at en bedrift kredittvurderer deg. Kan man vha. passordet oppheve sperringen for denne ene bedriften eller må man oppheve hele sperringen? Håper det første er tilfelle.

2 kommentarer | Personellsikkerhet | Tagget: , | Permalink
Sendt av onerod

« Forrige innlegg
Follow

Get every new post delivered to your Inbox.