Juha Jurvanen

GDPR: Fem viktiga nyheter i EU:s dataskyddsförordning

En länk till en bra artikel med begriplig samnanställning om ett av de kanske mest uppmärksammade nya direktiven som träder i kraft snart.

Att inte f√∂lja GDPR kan bli enormt dyrt, upp till 20 miljoner ‚ā¨ eller 4% av oms√§ttningen i b√∂ter.

Hur har ert företag förberett sig? Kommer det vara stora förändringar som behöver göras? Vad kan göras rent tekniskt för att förbereda sig?

https://computersweden.idg.se/2.2683/1.660488/eu-dataskydd-it-upphandlingar

Återstartsplaner för IT РDisaster Recovery på svenska

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Efter 20 år som IT konsult inom många olika områden är min erfarenhet att backuper och återstartsplaner för IT fortfarande är en eftersatt fråga. I sak har det inte förändrats mycket , trots molntjänster och förenklade metoder och hur många gånger det än diskuteras på möten blir det ändå eftersatt och uppskjutet.

√Ąnda till den dagen n√•got verkligen h√§nder och de d√§r backuperna beh√∂vs.

Backuper är för de flesta ett tråkigt ämne och sällan något som prioriteras, varken av IT avdelningen eller av ledningen men, tyvärr är ändå den krassa verkligheten att backuperna är något av det viktigaste ett företag eller organisation har.

En av de mest grundl√§ggande fr√•gorna varje IT chef och VD m√•ste s√§lla sig √§r “Hur l√§nge kan vi klara oss utan v√•r IT? Timmar ? Dagar ? M√•nader ?
Utan den tankegången kommer teknikerna och IT avdelning aldrig att ha ett mål att jobba mot för att skapa en användbar återstartsplan som följer den riktlinjen. Backuper och riktlinjer för återstartsplaner är alltid ledningens ansvar.

Förarbetet under den normala driften är väldigt viktig att tänka på .
Att inte kontinuerligt övervaka backuperna, testa att de innehåller vad de ska och ha ett öga på eventuella fel kan få väldiga konsekvenser.

Att inte ha planerat igenom hur en stor återställning av hela IT systemet ska gå till i förväg kan leda till en onödigt lång återstartsprocess i sökande efter dokumentation, backuper, hårdvara och kompetenta tekniker.

Att återställa enskilda filer på en server är inte en test av backuperna , det är i bästa fall bara ett test av läsbarheten på backuperna. Ett riktigt återstartstest (Disaster Recovery Test )  ska utgå från scenariot att hela servern eller hela servermiljön helt enkelt inte längre finns att tillgå.

Tekniker som skall återställa ska ha tillgång till backuperna, dokumentationen och hårdvara att återställa till. Det är allt. Ingen att ringa. Ingen att fråga. Syftet skall vara att ha en tillräckligt bra teknisk återstartsplan och kunna följa den så att företaget eller organisationen har tillgång till sina IT system inom den tid som krävs enligt IT policyn och företagets BCP (Business Continuity Plan ) och DRP (Disaster Recovery Plan) .

Här kommer många frågor in per automatik att tänka på.
Alla de här frågorna förutsätter att det redan är konstaterat att det är just backuperna som måste tas till .
För att komma fram till det beslutet krävs också en del planering innan och beslut att fatta baserat på vad som hänt (virusattack, brand, stöld, översvämning, terrorhot o.s.v. ) 

  1. Var finns backuperna? √Ąr de p√• tape? -Var finns banden? √Ąr de krypterade och vem har l√∂snorden?
    På disk?  I princip är frågeställningarna de samma som på tape.
    √Ąr det onlinebackuper? – √Ąr de krypterade ? Hur mycket data √§r det totalt och hur mycket bandbredd har vi att tillg√• ? Kommer sj√§lva √•terl√§sningen av data att ta f√∂r l√•ng tid f√∂r allt data √∂ver den h√§r bandbredden t.ex. 10 Mbits eller 100 Mbits ?
  2. Hur har backuperna tagits ?  Vilken backup programvara ha använts och hur får vi tag på den ? Hur återställer man backupservern i t.ex. Legato Networker eller Tivoli TSM för att ens kunna börja återläsa något från backuperna? Hur lång tid tar den initiala återställningen och har vi räknat in den tiden i vår DRP ? För t.ex. Legato kan en sån återställning handla om många, många timmar för man kanske måste scanna igenom varje tape och få in dem i databasen och i TSM är databasen kritisk för att kunna få tillbaka något alls från backuperna.
  3. Hur ser systemdokumentationen ut ?
    Hur var servrarna uppsatta med volymstorlekar, programvaror, operativsystem med service packs o.s.v. ? Många företag missar den här delen i sin återstartplan och det kan leda till ett alldeles onödigt tidsspill under återställningen . Dokumentationen är gammal eller direkt felaktig . Här behövs enkla och automatiserade system som uppdaterar systeminformationen dagligen. Administrativa lösenord behöver också finnas tillgängliga, i Wndows server världen även de lokala administrativa lösenorden och en uppdaterad IP plan kommer behövas.
  4. Till vad ska vi återläsa backuperna?De flesta företag organisationer har inte en dubblerad serverpark som bara står och väntar en katastrof och att veta till vilken hårdvara det faktiskt ska återläsas till är en viktigt fråga att tänka på alltså, hur får vi tag på reserv hårdvara eller ska vi återläsa allt till en virtuell miljö? Hur får vi tag  på en server som kan husera t.ex. 25 servrar med 4 GB RAM vardera minst och 50 GB disk utrymme?
  5. Vart ska vi göra den faktiska återläsningen? Om företaget eller organisationen drabbats av en större olycka kommer det troligen inte att gå att återställa miljön på samma ställe. Det måste finnas en plan för vart både personal och IT personal ska ta vägen för att ens kunna påbörja en återläsning och återuppbyggnad av IT miljön. Oavsett hur så måste förmodligen verksamheten återuppstå förr eller senare.
  6. Vem ska g√∂ra vad? Och i vilken ordning?Det h√§r √§r ocks√• hemskt viktiga fr√•gor. Vem eller vilka ska g√∂ra det rent praktiska med √•terl√§sningen ? Vem ska t.ex. meddela p√• hemsidan / twitter / press att ni r√•kat ut f√∂r ett haveri och meddela n√§r ni ber√§knas vara i full drift igen ? P√• vilka siffror baseras den informationen dvs fr√•n tidigare krascher eller tidigare √•terstartstester eller bara en “allm√§n k√§nsla” dvs mer eller mindre baserat p√• gissningar ?Finns det redan utsett i vilken ordning olika system och funktioner ska upp och vilka som √§r mest kritiska och viktigast att f√• upp f√∂rst ? Vad IT avdelningen tycker √§r viktigt kanske inte alls √§r det viktigaste f√∂r f√∂retaget sett ur aff√§rssynpunkt. Att f√∂rst√• samspelet mellan olika system √§r kritiskt.Om ingen med kunskap om hur milj√∂n var uppbyggd finns tillg√§nglig, kommer dokumentationen att vara en hj√§lp eller ett hinder f√∂r den externe konsulten som skall hj√§lpa till ? Att √•terl√§sa t.ex. en kraschad Microsoft Exchange Server med tillh√∂rande Active Directory eller en komplicerad Oracle installation √§r inte alldeles sj√§lvf√∂rklarande f√∂r den som aldrig gjort det innan. Allt g√•r s√•klart att g√∂ra om backupen √§r korrekt taen men det kan ta m√•nga g√•nger l√§ngre tid √§n n√∂dv√§ndigt att vara ig√•ng igen. Jag har sett exempel d√§r det handlat om veckoer innan systemn √§r uppe igen.
  7. Återställningen i sig Рär den permanent eller tillfällig? Om återställningen gått bra så måste man ändå ha klart för sig om det är en tillfällig lösning man återställt sin miljö till och så fort man är i normal drift igen måste man börja planera för återgång till den riktiga miljön igen .

Det här är egentligen bara några av saker som jag vet man måste tänka på för sin verksamhet och framförallt, man måste ta sig tiden att göra det här jobbet , antingen internt eller att anlita en extern konsult som hjälper till med att strukturera upp arbetet och planeringen med nya ögon.

Kommentera gärna eller kom med synpunkter eller kontakta mig för vidare funderingar kring de här frågorna.

Ett möte kostar bara lite tid men kan ge så mycket mer

Juha Jurvanen РSenior IT konsult inom backup, IT säkerhet, servedrift och molntjänster .

End of life för Windows Server 2003 РDags att migrera till nytt OS eller flytta till Molnet ?

End of life för Windows Server 2003 imorgon

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Imorgon är det sk Patch Tuesday dvs den dagen varje månad då Microsoft släpper olika uppdateringar för sina operativsystem.

Morgondagen är dock lite speciell då det är sista gången Microsoft släpper uppdateringar för just Windows Server 2003 familjen. Efter det kommer alltså inga nya säkerhetsuppdateringar att släppas och det är väldigt viktigt att vara medveten om.

För företag och föreningar som fortfarande använder någon variant av Windows Server 2003 familjen finns alltså en del saker att tänka på efter det.

Valen man står inför är att migrera till ett nyare operativsystem med allt vad det kan innebära som t.ex. inkompabiliktet med programvaror man kör. Oftast går det att lösa men kräver en del testande och tid att lägga ner på projektet för att vara säker på att verksamheten kan fortsätta utan överraskningar. Saker som länkar hos användare och olika pekar i filsystemen kan också ställa till en del trassel om man bara installerar upp en ny server i miljön.

Flytta till en plattformsoberoende molntjänst som Red Cloud ITs rCloud Office?

Ett annat alternativ är att t.ex. börja undersöka molntjänster dit man kan flytta sina applikationer som t.ex. Red Cloud ITs rCloud Office. Fördelar här är t.ex. att flytta sin Visma eller Pyramid och i ett slag göra den även åtkomlig från iPad, Android o.s.v men ändå ha säkerheten, backuper och generationshanteringar inbyggd till en fast kostnad per användare och månad.
Många CRM och affärssystem finns helt enkelt inte för MAC, Android , iPad osv men utvecklingen går alltmer åt BYOD dvs låt användarna själva bestämma vilket operativ eller plattform de vill använda. Då behövs lösningar som stöder att de kan komma åt affärssystemet o.s.v.

Oavsett bör man som företag se över sin IT miljö eftersom det helt enkelt över tid kommer bli alltmer osäkert att köra ett operativ som inte längre stöds. Hackers kommer att utnyttja vetskapen att ett tidigare oupptäckt säkerhetshål helt enkelt inte kommer att åtgärdas.

Det finns en del saker att göra under en övergångsperiod dock eftersom det ju kommer nya patchar imorgon.

Nedan är några punkter att tänka på

1. Se till at ha fungerande certifikat på all kommunkation till och från servern för att skydda er mot eventuell avlyssning och sk Man in the Middle attacker. Kom ihåg dock att bara installera ett SSL certifikat inte räcker, det behövs fler ingrepp i servern för att säkra upo den. Certifikatet i sig skyddar inte heller mot t.ex. skadlig kod eller intrångsförsök.

2. Se till att ha ett väl fungerande antivirus, t.ex. F Secures PSB lösning där man kan ta hjälp av tredje part att övervaka eventuella larm och använda dess Software Updater.

3. Ett automatiserat intrångsskydd för lösenorsdattacker med Syspeace. Det pågår väldigt mycket intrångsförsök i bakgruinden som man ofta är helt omedveten om.

4. Gå igenom vilka portar i brandväggar som är öppna och tänk igenom dem noggrannt. Vad behöver egentligen vara öppet ? Stän allt som inte uttryckligen måste vara öppet. Styr trafik korrekt.

5. En stark, tvingande lösenordspolicy för alla användare. MINST 8 tecken o.s.v.

6. Se till att alla program är uppdaterade, även Java och Flash o.s.v. om de körs på servern och den används som Terminal Server. Generellt sett så ska programvaror alltid vara uppdatrade till senaste versioner. Har ni en lite större miljö finns lösningar för att distribuera ut programvaror från centralt håll , även till era arbetsstationer, t.ex med PDQ Deploy eller via Group Policies.

7. Gå igenom alla fil och katalogrättigheter på servern och följ de rekommendationer som finns. Googla på uttryck som 2003 Server Hardening och läs igenom och testa att ni satt upp sakerna efter bästa rekommendationer.

8. Om ni kör t.ex. Windows Server 2003 SBS behövs en del eftertanke med hur er mail ska hanteras framöver. Det kan handla om stora mängder datat i en Exchange Server och kräva en del eftertanke med hur det ska migreras på bästa sett , antingen till en extern leverantör elelr till en ny mailserver,

9. T√§nk igenom om servern beh√∂ver vara n√•bar fr√•n Internet egentligen ? Finns det m√∂jlighet att flytta Internet acessen till ett nyare operativ och l√•ta √•tkomst hanteras av den ist√§llet ? √Ąr en VPN l√∂sning smidigare eller finns det andra s√§tt att sk√∂ta extern √•tkomst ? Det f√•r ju inte vara f√∂r kr√•ngligt f√∂r anv√§ndarna.

10. I sak har inte den här punkten med migrering av Windows Server 2003 att göra men kolla igenom backuperna kontinuerligt och tänk igenom hur ni kanske vill ha en arkivkopia av den gamla servern efter en migrering ? Hur ska den återläsas om det behövs ?

11. Fundera på vilken väg ni vill gå vad gäller er IT miljö. Till en extern molntjänst eller kanske dags bygga ett eget privat moln eller en hybrid ? Att flytta sina saker till en molntjänst kräver en del eftertanke och är kanske inte alls rätt väg för er.

Återanvända serverparken ?

Att uppgradera den befintliga serverparken kan vara den bästa lösningen för just er verksamhet. Troligen är det äldre servrar som körs om ni fortfarande använder Windows Server 2003 men de maskinerna kanske går att återanvända till andra saker (dvs först installera om / uppgradera dem till nyare operativ och sedan återanvända för t.ex. fillagring för arkivering , backup server, Terminal Server Access o.s.v.). I sammahanget ska naturligvis även virualisering av serverparken nämnas och även här finns flera vägar att gå t.ex. VMWare eller Hyper-V eller Xenserver.

Det finns inget självändamål i att kasta hårdvara bara för den är lite till åren och avskriven men ändå fungerar. Ofta kan den hårdvaran räcka till att byga en egen, intern molntjänst om man är orolig för att flytta sitt data till en molnleverantör.

Det finns många olika vägar att gå och det gäller tänka igenom att det blir rätt för just er verksamhet.

Oavsett väg ni väljer kan jag hjälpa er planera och implementera. För mer information, kontakta mig här

Dokumentation , övervakning och rutinbeskrivningar vid incidenter

√Ėvervakning, incidenthantering och dokumentation av IT milj√∂n

konsult inom backup It säkerhet molntjänster och infratruktur

N√§√ĄTVERKET OCH KOMMUNKATIONDRNA ?

 

Hur ser nätet ut med IP adresser och IP planer? Topologi ?
Switchar och Routrar med VLAN och routing? Modem för failover ?
Vilka förbindelser finns in och ut ? Vad är kritiskt och behövs en redundant förbndelse?
Hur sätter man upp automatisk övervakning,  inventering och larmhantering ? Går dokumentation att automatisera ?
Behöver man se över manuella rutiner i händelse av ett IT stopp ?

SERVRARNA, N√ĄTET OCH MILJ√ĖN ?

Vilka operativsystem används och vilka service packs och support packs? Vilka applikationer körs och hur hanterar vi licenserna?
Vilka tjänster / processer måste vara igång och vilka kan / bör man stänga av ?
Går det att enkelt få fram allting som behövs för inventering? Hur övervakas servrarna ?
Vad kan konsolideras till viruella miljöer t.ex. VMWare ESX/GSX server eller tilll molntjänster?
Leverantörer av hårdvara ? Ska data och servra de klassificeras för en restore och i vilken ordning måste de återställas ?
Hur hänger de olika systemen ihop och finns det relevanta systembeskrivningar?

ARBETSSTATIONERNA ?

Vilka operativsystem används, Windows, MAC, Linux , iPad ? Vilka applikationer körs och hur håller vi reda på icenserna?
Vem har kontroll över arbetstationerna och verktyg när BYOD trenden blir allt starkare ?

RIKTLINJER OCH IT POLICIES

Vilka finns de och hur följs de ? Vad har ledningen beslutat ? Hur hanteras ITIL och Change Management och Patch management som WSUS eller SCMM ? Hur hanterar ni sociala medier? Hur ska BYOD (Bring Your Own Device) trenden hanteras?

VILKA TJ√ĄNSTER OCH APPLIKATIONER K√ĖRS EGENTLIGEN

Kan det vara vettigt att sätta upp automatiserade system för övervakning av servrar och nät?
Centraliserad applikationsinstallation eller är det dags att se om vissa system går att flytta till molnet?

HUR HANTERAS EN INCIDENT?

Finns det beskrivningar av hur t.ex. ett IT haveri ska hanteras eller vad man gör vid en  hacker attack ? Vilka är kosekvenserna för företaget ?

Kontakta mig här för möte

Att migrera eller importera sin hemsida till WordPress

importera sin hemsida till WordPress

Skapa hemsidor för mobila enheter som iPad, Android o.s.v. genom att importera sin hemsida till WordPress

De flesta företag och organisationer har en hemsida och har haft det i många år men utvecklingen på hur folk söker på nätet och vad de använder har ändrats radikalt de senaste åren.-

Många använder nu mobiltelefoner, surfplattor som iPad och Samsung Tablets och en äldre hemsida är inte riktigt trevlig att titta på i dem.
Hemsidan behöver minimieras vad gäller text, grafik och menyer o.s.v och det ska vara intuitivt för besökaren att välja i men meny vad du vill de ska gör t.ex. kontakta er eller beställa saker

Ett sätt att göra detta mer modernt är t.ex. att skapa en helt ny hemsida i HTML5 och kopiera alla text o.s.v. från den gamla och sedan peka om allt till den nya sidan.
Att utveckla en hemlt ny websida är dock ganska dyrt om man anlitar folk till det och om man gör det själv blir det kanske inte så bra som man tänkt sig och det tar tid att sätta sig in i hur allt fungerar och hänger ihop med t.ex. SEO.

Ett annat sätt är att sätta upp en WordPress (eller annat system men jsut WordPress är enligt min uppfattning väldigt lättarebetat) och hantera mobiler enheter den vägen, utan att behöva göra om allt jobb som man gjort innan. Här är alltså ett par tips om hur man kan importera sin hemsida till WordPress.

Första installerar man en WordPress (eller använder t.ex. en one click blog hos sin domänleverantör eller hos WordPress.com själva.
Här finns naturligvis ganska många saker att tänka på vad gäller säkerhet o.s.v. men att få igång själva grunden är välsigt enkelt.

Vill ni ha hjälp med detta så kontakta mig

På sin hemsida sätter man sedan upp en kort kod som känner av om besökaren kommer med en mobil enhet och skickar sedan över den automatiskt till den mobilanpassade sidan.
Koden för detta kan se ut så här.
Den här koden placecas i din HEAD Рtag dvs före på din startsida (eller på alla dina sidor på hemsidan)
Byt helt enklt ut adressen där det står https://www.jufcorp.com/wordpress till den sida dit du vill ha trafiken.

Du måste även ta bort tecknen före och efter där det står script och lägga till < ihop med script.
Anledningen till att jag lagt dem där är att koden annars tolkas som just script och mobil enhet fortsätter ladda startsidan på den här hemsidan kontinuerliogt dvs en loop.

/+/ script type=”text/javascript”>
if (navigator.userAgent.indexOf(‘iPhone’) != -1) {
document.location = “https://www.jufcorp.com/wordpress”;
}
if (navigator.userAgent.indexOf(‘iPad’) != -1) {
document.location = “https://www.jufcorp.com/wordpress”;
}
if (navigator.userAgent.indexOf(‘Blackberry’) != -1) {
document.location = “https://www.jufcorp.com/wordpress”;
}
if (navigator.userAgent.indexOf(‘Android’) != -1) {
document.location = “https://www.jufcorp.com/wordpress”;
}
” /script> /+/

Nu kommer alla enheter som är mobila att automatisk skickas till den nya , mer mobilanpassde sidan medans besökare med en PC eller MAC kommer att stanna kvar på sidan som den såg ut.
Testa mot t.ex. http://www.jufcorp.com från en PC och en smartphone.

Flytta gamla hemsidan eller ha den parallellt ?

Anledningen till att inte helt flytta sin gamla hemsida är att man på det sättet kan behålla sin plats på Google och ändå jobba parallellt med att få upp besöksantalet på sin nya sida med SEO dvs sökmotoroptimering. Man kan också vara väldigt nöjd med den för just PC och MAC men vill ändå ha en mobilvänlig sida för sina nya besökare och kunder.

Man kan till stor del återanvända sin hemsida som den ser ut vad gäller färger och layout med olika verktyg för att automatisk importera det.
Att importera själva texten och innehållet kan också göras automatiskt, antingen online eller om man har sin kod lokalt sparad så kan man använda t.ex. HTML2 importer.

Efter man importerat sin hemsida i WordPress sätter man sig ner och planerar menystrukturer så det blir en logisk ordning på saker för besökaren.
H√§r kan man t.ex. v√§lja att kategorisera vissa bloginl√§gg samma √§mne som t.ex “Molntj√§nster” och sedan se till att ha en menypunkt som pekar p√• just kategorin “Molntj√§nster”.
P√• det s√§ttet komemr bes√∂karen att kunna v√§lja “Molntj√§nster” i menyn och automatisk f√• upp alla inl√§gg ni skrivit om “Molntj√§nster”

Säkerhet och SEO bla.i WordPress

Till WordPress finns en väldig massa färdiga s.k. plugins som är till för säkerhet, SPAM minimimering, kontaktformulär, CAPTCHA och sökmotoroptimering för att få t.ex. Google att upptäcka ens sida.

En del av dem är väldigt enkla att förstå hur de fungerar och väldigt många är gratis.

Att sätta sig i dem tar ofta inte så lång tid men om ni vill ha hjälp med tips och förslag eller hjälp att genomföra just det jag skriver om här så är ni välkomna att kontakta mig

Skydda Windows och t.ex. Exchange webmail OWA mot lösenordsattacker

Juha Jurvanen

Skydda sin Exchange OWA Webmail mot lösenordsattacker

Microsoft Exchange Server är en väldigt vanlig mailserver för både små, medelstora och stora företag.
För mindre företag ingår den t.ex. i sviterna Small Business Server och för större företag installeras den ofta som en separat server för att ge användare en enkel tillgång till epost, kontakter och kalender och naturligtvis en bra integration med Microsoft Outlook.

Att ge användarna tillgång till en webmail inloggning är vanligt och sätts upp av de flesta företag/leverantörer. Tanken är naturligtvis att man ska kunna läsa sina mail från vilken webläsare som helst.

Inloggningen till webmail är oftast tillgänglig via en länk som t.ex. https://mail.företaget.se/owa och den är tillgänglig för hela världen, vilket ju är tanken. Användarna kan ju vara på resande fot varsomhelst i världen och då ska även werbmail vara lätt att komma åt.

Nackdelen med att webmail är tillgängligt från alla i hela världen betyder just at det är synligt och nåbart för alla. De företag / leverantöer använder också standardlänkar för detta så det är allmänt kända s.k. sökvägar äevn för hackers.

Att stoppa lösenordsattacker

1 Windows Server finns ingen inbyggd mekanism för att hantera lösenordsattacker (s.k. brute force attacks eller dictionary attacks).
En lösenordsattack bygger på en ganska enkel princip, skriv in användarnamnet som du tror att det ska vara (ofta t.ex. användarens mailadress alternativt företagetsdomän\användarnamn) och sedan gissa sig fram med en väldigt lång lista ord och variationer på ord och på det sättet helt enkelt hoppas på att lyckas logga in.
En hacker gör inte det här för hand utan det är helt automatiserat.

Account Lockout Policy som skydd

Det n√§rmaste inbyggda skyddet som finns i Windows Server √§r Account Lockout Policy som i praktiken s√§ger att “Om det h√§r anv√§dnarnamnet ar misslyckats att logga in t.ex. 5 g√•nger inom en halvtimme ska kontot l√•sas och inte kunna logga in under t.ex 30 minuter”. Account Lockpt Policy √§r nite p√•slaget som standard vilket kanske √§r lika bra.

Tänk scenariot när en hacker vet en användares namn (vilket vädigt ofta är ganska enkelt att få fram genom att söka på t.ex. hemsidan efter namnstandraden på mail och söka efter sk metadata på Internet) och vill försöka ta sig in för att komma åt epost.

Om Account Lockout Policy är påslaget så kommer användarens hela konto att låsas ner.
Hackern kan inte använda just det kontot men i den andra vågskålen ligger ju att det kan inte användaren själv
heller. Användarnamnet (dvs kontot) är ju låst.

I ett sådant scenario har Account Lockout Policy tyvärr gjot mer skada än nytta eftersom användaren inte kommer
åt sina mail längre ( eller något annat heller i företagsnätet).

Account Lockout Policy i en DDOS atatck

Om en sån attack sker från hundratals eller tusentals datorer (sk botnät) samtidigt så har en hacker alltså ganska effektivt helt lamslagit ett företag därför att det är inte bara webmail-inloggningen som drabbas utan det är användarens hela konto som låses dvs , man kan inte ens logga in när man sitter på kontoret.
Kontot √§r l√•st och tiden m√•ste v√§ntas ut eller en systemadmininstrat√∂r m√•ste manuellt l√•sa upp kontot.Ofta attackeras flera anv√§ndarnamn samtidigt och som ren kruiosa kan man n√§mna att kontoto “administartor” inte g√•r att l√•sa i Micorosft WIndows Serevr dvs en hacker kan f√∂r√∂ska gissa sig till l√∂senordet hur m√•nga g√•nger som helst (ett tips h√§r √§r att b√∂rja med att d√∂pa om kontot till n√•got annat n√§r ni s√§tter upp era system )

Testa din egen säkerhet och respons på incidenter

Jag har också själv uppmanat många att testa sin egen säkerhet gentemot sin leverantör av t.ex. molntjänster eller sitt eget företags IT policy.
Testa helt enkelt att logga in mot t.ex er webmail med ditt anävndarnamn men medvetet fel lösenord .
Testa det t.ex. 10 eller 15 gånger i rad och se vad som händer?
Kommer någon att reagera, låses ditt konot, kommer någon at rappportera till dig att någon försökt använda ditt konto ?
Om du kontaktar IT avdelningen eller leverantören och ber om en rapport på när och varifåfrn någon försökt använda ditt konto , kan de få fram dessa uppgifter åt dig ? Hur hanterar t.ex. er leverantör av molntjänster såna här saker ?

Att skydda Exchange utan Account Lockout Policy

Om Account Lockout Policies däremot inte är aktiverat kan en hacker försöka med hur många inloggningar och lösenord och variationer som helst utan att det egentligen märks eller ens uppmärksammas ofta av IT avdelningen eller driften av molntjänsten.
Förr eller senare kan en hacker gissa rätt lösneord . Med tilfäckligt många datorer och löeneordslistor är sannolikheten allt högre. Det är egentligen ren matematik.

Det finns några sätt att lösa det här på.

En gammal metod är att implementera en VPN lösning med certifikat (ett certifikat krypterar och veriferar trafiken mellan två punkter, t.ex. mellan din dator och ert företagsnät så det inte ska kunna avlyssnas)eller dosor med tvåvägvalidering/SMS som validerar användaren med en kod och inte tillåter direkt åtkomst till webmail utan ett svar från dosan/SMS.
Den typen av lösningar brukar också kallas tvåvägsautentisering.

En VPN l√∂sning kr√§ver en del administration, SSL certifkat (f√∂ratt skydda siog mot s.k. “man in the middle”
attacker elelr förkortat till MITM ) och ibland även licenser och prgramvara som måste installeras på de enheter där man vill logga ifårn.
Funktionalitet blir alltså lidande efetrsom man kan vara på resande fot elller lånat en PC / MAC o.s.v. och inte
kan elelr får installera VPN klieneten.

Med en VPN lösning öppnar man också upp ofta upp trafik i sin helhet till fler enheter på insidan av brandväggen
och om maskinen man sitter vid t.ex. drabbats av ett virus kan det leda till obehagliga scenarion elelr om
datorn som kopplar upp sig blivit hackad så har även hackaren full tillågn till hela ert företagsnät.

Att dölja inloggningen till sin OWA webmail från hackers

Ett annat sätt är att inte tillåta webmail mot OWA alls. Nackdelen är naturligtvis att användare inte enkelt kan komma åt sin mail och även synkronisering med mobila enheter blir lidande.

Ett fjärde alternativ är att byta t.ex. port på sin OWA (från standard https / 443 till något annat.).
Det här skyddar dock inte inloggningen för webmailen utan gör den bara lite svårare att hitta men den är oftast väldigt enkel att hitta för den som vill. En anna nackdel är att det kan krångla med andra tjänster i ert nät eller ibland t.o.m ändras tillbaka till standrad efter en Windows Update körning vilket är en huvudvärk för serverteknikerna och som kan betyda det tar ett ta att hiotta vad som hände och att lösa det. Under tiden komemr era tjänster inte att fungera.

Automatisk blockering av lösenordsattacker med Syspeace

Det fjärde och och i särklass enklaste alternativet är att använda Syspeace.

Syspeace övervakar misslyckade (och lyckade) inloggningar på b.la. Exchange Server och bedömer om det är en
lösenordsattack eller inte baserat på regler man själv kan ändra och styra.

Standarddreglerna s√§ger att “om en IP adress misslyckats med att logga in fler √§n 5 g√•nger under 30 minuter ska den IP adressen helt l√•sas ut fr√•n att kommunicera med Exchange Server p√• alla portar under 2 timmar”.

Attacken registreras, spåras och rapporteras via epost till systemadministartören med information om varifrfrån attacken kom med IP adress och DNS namn, när attacken inträffade,hur länge IP adressen kommer att vara låst samt vilket användarnamn som hackaren försökte använda och vad den attackerade servern heter.

Användarens konto blir alltså inte låst, hackarens attack (eller attacker om det sker från tusentals datorer) blockeras per automatik och kan inte fortsätta (och det gäller alla funktioner och tjänster som finns på serverns som t.ex. Remote Desktop, WordPress eller FTP o.s.v.)
All historik lagras i Syspeace för framtida rapporter och granskning.

Larm till systemadministratör från attacken

Från systeadministratörens sida blir det snabbt och enkelt att se om en attack pågår och om den är riktad mot företaget dvs att hackers försöker ta sig in eftersom de flesta systemadministratörer jkänner igen användarnamnen inom det egna företaget och ser direkt om attacken komemr från t.ex. Kina fast man vet att användaren ju sitter i Stockholm mitt emot honom.

Nedan är ett exempel på en attack som bleckarts och hur mailet ser ut till systemadministarörte.

√Ąmne: Syspeace Alert from ******\TS001, IP 64.27.25.31 (unassigned.calpop.com) [United States] blocked until 2015-02-08 12:40:00

Meddelande:
Blocked address 64.27.25.31 (unassigned.calpop.com) [United States] 2015-02-08 12:40:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:30:00
Occurrences: 8
Lockout time: 02:00:00
Previous observations of this IP address:
2015-02-08 10:39:28 ts001\administrator
2015-02-06 20:20:24 ts001\administrator
2015-02-06 17:01:34 ts001\administrator
2015-02-06 13:42:08 ts001\administrator
2015-02-06 10:19:56 ts001\administrator
2015-02-06 06:51:45 ts001\administrator
2015-02-06 03:25:37 ts001\administrator
2015-02-05 23:55:54 ts001\administrator

Testa Syspeace eller låt mig hjälpa er att installera och licensiera Syspeace

Jag kan hjälpa er att installera Syspeace, skaffa licenser och göra konsultjpobbet för bara 850 SEK (ex moms ) per server.

I kampanjen ingår att jag installerar intrångskyddet, sätter upp det åt er samt ni får en 1 årslicens.
En licens för Syspeace kostar ungefär mostvarande ett antivirus per server dvs 73$ US Dollar per år men licensmodellen är helt flexibel och tillåter att t.ex. teckna en licens för bara 3 månader eller bara en månad eller 2 år.

Merparten av kostnaden är alltså egentligen licensen för Syspeace. Om ni även vill jag hjälper att övervaka och ta emot larm från er Syspeace kan jag givetivs hjälpa till med det och även hjälpa er med andra IT relaterade säkerhetsfrågor.

Kontakta mig

Ladda ner och testa Syspeace själv

För att testa Syspeace själv istället, ladda ner en gratis, fullt fungerande testversion i 30 dagar här.
Installtonen är oerhört enkelt att göra och tar vanligen inte mer än 2 minuter att göra utan att behöva ändra i
er infrastruktur och närverkshanteringen eller inverstera i specialiserade IDS / IPS system. Syspeace börjar
lyssna efter lösenordsattacker direkt efter ni klickat på Start knappen i Syspeace GUI. EFter ni satt upp
reglerna kan ni helt enkelt stänga Syspeace GJI.
Syspeace installeras som en Windows tjänst och sköter all övervakning av lösneordsattacker i bakgrunden och
startas upp automatisk efter omstart av servern.

Samma licensnyckel som användes vid test används även som skarp licens vid beställnig och det är också samma licensyckel för alla era servrar (t.ex Remote Desktop, SQL Server, Citrix, Sharepoint o.s.v. ).
Inget krångel med flera licenser att hålla reda på och olika löptider för licenser.

Licenserna är inte knutna till en specifik server utan kan fritt installeras och flyttas mellan servrar utifall
ni byter ut servrar,

Syspeace fungerar på Windows Server från 2013 och uppåt och Windows 7 och uppåt och stöder förutom alla windows
inloggningar även SQL Server, Exchange SMTP Authetication, WordPress samt ett flertal andra inloggningsfunktioner och det finns även möjligheten att integrera Syspeace motorn i sin egenutvecklade websida för PHP eller .NET. för t.ex. en webshop.

Att stoppa lösneordsattacker mot Windows Servrar ska inte behöva vara varken svårt eller dyrt.

Incidenthantering vid hacking och att rapportera till ISP eller företag

Incidenthantering vid hacking och att rapportera till ISP eller företag

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Igår och idag har en specifik IP adress från en av våra ISP:er försökt bryta sig hos några av mina kunder.
Alla attacker har blivit blockerade av Syspeace så de har inte lyckats men eftersom just den här adressen försökt i två dagar hos 4 olika kunder fördelade på olika nät så är det dags att rapporeta det som en incident.

När såna här attacker kommer från Kina, Indien, Korea, USA o.s.v. så brukar jag låta det vara om jag inte ser att det är en seriös attack dvs man har t.ex. använt kända användarnamn inom Active Directory som verkligen finns hos kunden. (Administrator fins ju alltid och det är standard att försöka logga in med)

Om det däremot kommer från Sverige brukar jag kika lite noggrannare och skicka följande mail med bifogad rapport.

Anledningen till att samla ihop information så detaljerat är att jag vill att deras säkerhetsavdelnineg ska få all information direkt och även kontaktuppgifter till mig utifall de vill verifiera att jag är jag. Se t.ex. den här otäcka saken jag skrev om brist på incidenthantering hos ett lands riksdag efter jag försökte påtala ett hacker angrepp (*obs På engelska*) .

Hur gå tillväga för att få fram information ?

Först och främst måste man ha något som larmar om själva angreppet.
Som jag skrev ovan använder jag själv Syspeace på alla Windows maksiner för att enkelt få attacken blockerad, rapporterad och spårad..

När du får reda på IP adressen och/eller DNS namnet kan du enkelt kontrollera vi t.ex. WHO IS vem den IP adressen tillhör och vilken mail adress de vill man ska kontakta dem på, ofast är det en abuse@***.se

Nackdelen med t.ex abuse adresser är att de kan bli översållade med mail och det mesta betraktas som SPAM så mitt förslag är att ringa till dem först och säg att du tänkte skicka ett mail dit med logar och beskriva vad som hänt. På det sättet är man seriös och de blir kanske lite mer uppmärksamma.

Här är en kopia på mailet jag skickade till dem

Hej.
Hoppas ni har en bra dag .

Vänligen bortse inte detta som SPAM eller ett skämt., Ni är välkomna att kontakta mig för att verifiera detta.
Kontakt uppgifter finns längs ner i detta mail

Jag heter Juha Jurvanen och är en oberoende IT konsult inom backup, IT säkerhet och driftsfrågor samt Syspeace

Jag har ett antal kunder som jag hjälper med drift och övervakning och hos dem har jag installerat intrångsskyddet Sysoeace för Windows Servrar

Anledningen till det här mailet till er är att Syspeace har larmat om en IP adress på ert nät som attackerat flera av mina kunder (bifogar loggar i PDF fil )
Den attackerande maskinen i fråga är :

Blocked address *.***.***.** (h-***-**.a1***.corp.******.se) [Sweden]

En misstanke är att det är default installerat Windows Server 2008 / 2008 R2 då den hare n standard IIS start sida när man surfar till den.
Har inte undersökt närmare med nmap o.s.v

Huruvida den står som en brandvägg för maskiner på insidan eller om det är den som är ursprunget går inte at avgöra dock men jag vet den har attackerat 4 av mina kunder under de senaste två dagarna och ni torde kunna se trafiken i era brandväggsloggar för att verifiera enligt PDF filen.

Vanligen brukar jag inte kontakta leverantörer om det är från t.ex. Kina eller Korea o.s.v. men om det är i Sverige kan man ju vara lite hjälpsam och uppmärksamma leverantören på det, om inte annat för så lite goodwill och ni har ju b.la särkerhetspaket osv så det ser kanske inte så bra ut att den typen av trafik kommer från era företagskunder.

Skulle ni ha några frågor om Syspeace eller annat jag kanske kan hjälpa till med eller vill att jag tar kontakt med er slutkund själv så är det bara att höra av sig.

Med Vänlig hälsning / Regards
Juha Jurvanen

0046 0709-66 69 97
*****.******@jufcorp.com

Senior IT konsult inom backup, IT drift, IT säkerhet och cloud
Senior IT consultant in backup, server operations, IT security and cloud services

Rapporten i PDF format jag skickade

Bruteforce Alert Report from JufCorp

och nedan är rapportens innehåll

FromIPAddress TargetIPAddress Date SucceOssrigin Account Extra
*.*.*.* ****.****.se [*.*.*.*} 2015-02-05 01:55 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 22:55 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 17:59 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 17:59 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 14:25 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 10:57 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 10:57 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:23 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
*.*.*.* ****.****.se [*.*.*.*} 2015-02-04 07:22 No Windows login ****\administrator 10 – Remote interactive
Originating IP DNS
(h-*-**.a***.corp.******.se) [Sweden]
Bruteforce preventions statsistics by Syspeace @ JufCorp ( https://www.jufcorp.com/wordpress
JufCorp AB РOberoende IT konsult inom backup, IT säkerhet, molntjänster och drift

Med Vänlig hälsning / Regards
Juha Jurvanen

0046 0709-66 69 97
****.********@jufcorp.com

Senior IT konsult inom backup, IT drift, IT säkerhet och cloud
Senior IT consultant in backup, server operations, IT security and cloud services

Vill ni veta mer om IT säkerhet och andra IT frågor ?

Kontakta mig

Uppföljning från ISP i fråga:

Hej,
***** besvarar aldrig den här typen av frågor, om inte frågeställaren representerar de svenska myndigheter vars rätt att få svar är reglerad i lag. Vi kan därför i nuläget varken bekräfta eller dementera att de uppgifter som efterfrågats finns hos oss, utan hänvisar till Polisen eller annan berörd myndighet.
Med Vänliga Hälsningar
***** Abuse Team
abuse@****.***

Finska F-Secure säljer molnlagringstjänsten Younited till amerikanska Synchronoss

JufCorp Blog

JufCorp Blog

F-Secure säljer Younited till amerikanska Synchronoss

Iadg kom nyheten att F Secure väljer att sälja sin molnlagringsstjänst Younited till amerikanska Synchronoss. Vad som är bakgrunden vet jag inte. F Secure har historiskt sett inte varit något driftsföretag och att tillhandahålla den här typen av molntjänster kräver både hårdvara, personal och resurser.

Om bakgrunden nu är att man fölorat pengar på det eller tjänar gott om pengar på försäljningen vet jag inget om alltså, det enda jag kan veta med någorlunda säkerhet är att det naturligtvis någon form av ekonomisk bedömning bakom.

Om Synchronoss , det lilla jag snabbt fick fram

Köpet av Younited i sig är dock intressant. Jag har jobbat länge i IT branschen och med molntjänster och har aldrig hört talas om företaget som köper den.
Det tolkar jag väl helt enkelt som att de inte varit så aktiva i norra Europa.
En snabb titt på deras hensida visar också att de inte har något i Norden ( http://www.synchronoss.com/company/offices/) , inte ens i Finland.
Företaget är dock väldigt stort och finns representerat över stora delar av världen och är specialiserade på b.la molntjänster.

Frågan som dock ställer sig automatiskt nu är, vart tar data vägen ? Kommer de att ha allt data kvar hos datacenters hos F-Secure i Finland ? Komemr de att migrera över data till sina serverhallar i USA eller kanske på Irland ? Vem kommer ha tillgång till data nu ? Om data kommer flyttas, kommer befintliga kunder ha möjliheten att inte flytta med därför att man inte vill ha sitt data utanför t.ex. Norden eller Europa?

Det här kan också vara ett led för Synchronoss att etablera sig i Norden. Ja vet som sagt inte, jag har ingen insyn i affären eller i affärsplanen.

Om jag som kund valt att anlita en leverantör baserat på deras tjänster, varumärke och rykte, då är det ju med dem jag vill ha mitt avtal.

Om det f√∂retaget sedan s√§ljer mitt avtal till n√•gon annan s√• √§r det ju inte den tj√§nsten jag k√∂pte och i det h√§r fallet √§r det ett f√∂r mig helt ok√§nt f√∂retag som tagit √∂ver. Mitt data √§r allts√• en handelsvara och inte riktigt med mitt tysta medgivande som √§r fallet i Google t.e.x d√§r jag villigt s√§ljer mina surfvanor och annat f√∂r att de ska kunna ge mig reklam och “gratis” s√∂kmotor.

Det här är intressanta frågor just ur ett integritetsperspektiv och naturligtvis också lite av ett trovärdighetsproblem för F Secure men kanske även för molnlagring i stort.

Företaget i sig är amerikanskt vilket betyder de lyder under amerikansk lag där datat kan lämnas ut till NSA och andra myndigheter på lösare grunder än vad vi kanske har i Norden generellt. Det hrä rä också en fråga som Mikko Hyppönen på F Secure har pratat mycket om under åren och jag har sett många av hans föreläsningar. För er som inte sett dem kan ja starkt rekommendera att ni letar upp dem på t.ex. YouTube. En mycket intressant talare med många bra tankar och idéer och ett mycket högt tekniskt kunnande,

Försälljningen i sig behöver inte vara av ondo och det fungerar säkert lika bra som innan men det väcker ändå en del frågor som sagt och jag tror att en och annan blivit lite förvånade över nyheten just med tanke på vad F Secure har kommunicerat tidigare kring integritet och användares data.

Här är i alla fall F Secures pressrelease om frågan

Vill ni veta mer om IT säkerhet och andra IT frågor ?

Kontakta mig

Svenska molntjänsten rCloudOffice som lokal enhet i Windows10

Att skapa en lokal enhet till ditt data i molntjänsten rCloud Office för copy paste

Det finns många olika molntjänster och alla funegrar olika, en del har lite egenheter t.ex. med kopplingar mellan den lokal datorn och ditt data i molnet.

Vissa molntjänster använder sig enbart av t.ex en websida för att skicka och hämta filer , andra använder en Citrix klient eller någon annan specifik klient för att komma åt data och program.
Red Clouds inställninga har från början varit att vi ska behöva göra så liten inverkan på den lokala datorn som möjligt men ändå ge kunderna en enekl åtkomst till sitt data. Vi tror på att använda sig av det som redan finns och minimiera installationer för användaren.

Med data menar vi inte endast t.ex. filer eller epost utan vi har tagit begreppet längre, vi menar även hela program.
Vi kan även ta över t.ex. filändelser så när du klickar på en fil t.ex Excel så startas Excel i rCloud så du kan arbeta med dokumentet utan att ha Microsoft Office installerat lokalt.

Ibland vill man dock ha ett sätt att t.ex kunna kopiera en fil från sin lokala dator till sitt moln genom att dra och släppa filen .

På Red Cloud IT använder vi oss samma teknik som många andra dvs vi låter de s.k. uppmappningarna ske över WebDAV och SSL certifikat.
Det finns många ratis WeBDAV klienter på nätet och protokollet stöds av Windows, MAC, iPad, Linux och Android så det är ett enkelt och stanardiserat sätt att hantera fillagring i molnet.

Den här videon nedan visar ett sätt som vi gjorde med ett enkelt script och en inloggning för att koppla ihop din lokala dator med molnet så du har ditt data som en enhet lokalt i datorn också .

Nedan är en video som visr hur man kan skapa en lokal enhet i sin dator för att ha sitt data tillgängligt från molnet i rCloud Office.

Youtube_logo

Kontakta JufCorp för frågor?

Att blanda molntjänster som rCloud Office och molnlagring som Dropbox

Att blanda molntjänster rCloud Office och molnlagring som Dropbox

Idag fick jag ett support samtal till helpdesk på Red Cloud IT.

Användaren hade valt att köra med Microsoft Word i rCloud Office men att öppna filen från DropBox och jobba med den.

Det som tyvärr hände var att hennes session bröts p.g.a nätverksfel hos dem och filen blev inte rätt sparad.
Användaren ringde och frågade om vi kunde ta tillbaka filen från våra backuper eller om det fanns sparat i generationer.

Eftersom vi inte har någon insyn eller kontroll över externa molntjänster kunde vi naturligvis inte hjälpa användaren men som förslag för framtiden sa jag att de i istället skulle spara allt sitt data i rCloud och på det sättet enkelt kunna återta dokument i flera generationer tillbaka.

Alla program och rätt versioner i rCloud Office

Alla program och data är nåbara på Windows, iPad, MAC, Android istället för att hämta filer från externa tjänster och vara beroende av att just det programmet som behövs för att öppna filen (och i rätt version) verkligen finns tillgängligt på den dator eller surfplattan man jobbar med.

Säkerheten i molnet i rCloud

Ytterligare en fördel med det arbetsättet är att man vet vart allt data befinner sig, det är skyddat av intrångsskyddet Syspeace och Red Cloud IT kan enkelt spärra tillgång till datat för obehöriga.

Om data lagras externt kan vi inte göra något när såna saker här händer, om det däremot hade sparats i företagets / föreningens gemensamma kataloger ller i användarens hemkatalog så hade ett enkelt högerklick löst problemet.

Att återskapa filer i rCloud Office

Nedan en länk till ett YouTube klipp vi gjorde för länge sen om hur enkelt man tar tillbak filer i rCloud Office
I början av videon mappar vi bara upp användarens hemkatalog som en lokal enhet för att visa att filerna finns där så videon startar vid hur man återtar filer med ett högerklick

Youtube_logo

Kontakta JufCorp för frågor?