Helgarblað 17.–20. febrúar 20178 Fréttir Sönn samkeppni Allar gerðir hleðslutækja fyrir Apple tölvur. Verð: 11.990 kr. Magsafe hleðslutæki Öryggismál í ólestri hjá fjölda fyrirtækja n Tæknivefur afhjúpaði að margar íslenskar vefverslanir voru berskjaldaðar Þ að er eiginlega bara sorglegt að þetta skuli vera svona árið 2017,“ segir Jón Ólafsson, ritstjóri tæknivefsíðunnar lappari.com, sem á dögun­ um birti umfjöllun um vefsíður sem hann ætlaði að varast. Ástæðan var einföld. Jón, sem áhugamaður um netöryggismál, hafði á vafri sínu um netið upp götvað að ríflega tuttugu vefsíður íslenskra fyrirtækja voru ekki eins öruggar og þær gætu ver­ ið fyrir notendur sem þar gátu verið að senda inn ýmiss konar persónu­ upplýsingar, jafnvel greiðslukorta­ upplýsingar. Jón tók því saman lista yfir fyrirtækin og birti á vef sínum sem vakti töluverð viðbrögð. Mörg fyrir tækjanna brugðust skjótt við og bættu úr, en Jón segir mikilvægt fyrir almenning að vera meðvitaður um öryggi sitt á vefsíðum og í vef­ verslunum. Eins og gamli sveitasíminn Það sem kom í ljós í athugun Jóns var að fjölmargar vefsíður voru ekki með samskiptastaðalinn HTTPS uppi á innskráningarhlutum vefja sinna. HTTPS er staðall fyrir öruggari samskipti yfir internetið og miðar að því að tryggja að sam­ skipti notenda við vefsíður sem fara fram yfir HTTP séu dulkóðuð og því varin fyrir ýmiss konar árásum og upplýsingaþjófnaði. Í stuttu máli er HTTPS staðfesting á að vefurinn sem þú vilt heimsækja sé sá sem hann segist vera, dulkóðun sam­ skipta, auðkenna og persónulegra upplýsinga notenda er varin. Jón bendir á að HTTPS sé ekki fullkom­ ið en það sé einn liður í því að gæta öryggis notenda og ætti því að vera regla frekar en undantekning. „Það er hægt að líkja þessu við gamla sveitasímann í samanburði við nútíma símakerfi. Það er bara þannig að ef þessi öryggislausn er ekki á þá getur í raun hver sem er „hlustað“ á pakkana sem þarna eru að fara á milli notanda og vefsíðu. Alveg sama hvort það séu leyniorð eða greiðslukortaupplýsingar. Þetta skiptir gríðarmiklu máli.“ Afsláttur á öryggi Jón kveðst hafa verið að vafra um til­ tekna síðu þar sem hann hugðist ný­ skrá sig sem notanda en tók þá eft­ ir að það vantaði græna lásinn sem á að birtast fyrir framan vefslóðina í vafranum með yfirlýsinguna um að tengingin sé „Secure“ eða örugg. (Sjá mynd). „Ég fór þá að velta fyrir mér hvort þetta væri svona víðar og tók mér nokkrar mínútur í að flakka milli vef­ síðna fyrirtækja sem ég mundi eftir og þar kom upp þessi listi, 21 fyrir­ tæki sem ekki var að sinna þessu rétt. Úr varð þessi bolti og það er búið að vera áhugavert að fylgjast með þessu.“ Dæmin sem Jón tók í umfjöllun sinni voru um vefverslanir og síðan innskráningarform þar sem notendur eru að skrá sig á póstlista og þess hátt­ ar. Hann segir að allur vefurinn eigi án undantekningar að vera í HTTPS, en til vara þurfi öll form þar sem not­ endur eru að skrá inn persónuupp­ lýsingar að fara fram yfir HTTPS. „Allt annað er afsláttur á öryggi mínu sem notanda hjá viðkomandi fyrirtæki. Við ættum að varast þannig form og láta viðkomandi fyrirtæki vita og biðja þá að laga sem fyrst,“ skrifar Jón á lappari.com. Þar birtir hann einnig skýringarmyndband frá netöryggis­ sérfræðingnum Troy Hunt sem sýnir hversu auðvelt það er að komast yfir notendanöfn, lykilorð og aðrar upp­ lýsingar ef vefsíður eru ekki í þessum öryggisstaðli, HTTPS. Misjöfn viðbrögð Níu fyrirtæki höfðu samband við hann strax um helgina þar sem þau þökkuðu honum ábendinguna og bættu úr með þeim orðum að þau viðurkenndu að þessir hlutir þyrftu að vera í lagi. Því er Jón sammála. „Eitt fyrirtæki tók þessa óstinnt upp og sagði að ég hefði átt að fara með þessar athugasemdir beint til þeirra og gefa þeim færi á að laga þetta. Að setja þessa vottun á tekur 10 mínútur fyrir vana menn og í mín­ um huga er ekki réttlætanlegt að vera ekki með hana á. Þetta er bara sofandaháttur.“ Stór fyrirtæki á meðal Svarta listann sem Jón birti á lapp­ ari.com hefur hann síðan uppfært eftir því sem viðkomandi fyrirtæki hafa tekið við sér og bætt úr. Athygli vekur að meðal fyrirtækja þar sem þessi mál voru í ólestri voru vefsíður bókhaldsfyrirtækisins Notando. is, Elko, Tölvulistinn, Byko, Húsa­ smiðjan og Rúmfatalagerinn, svo dæmi séu nefnd. Öll þeirra fyrir­ tækja sem hér eru nefnd, höfðu þó bætt úr þessu þegar þetta er skrifað. „Punkturinn hjá mér var að vekja fólk til umhugsunar og vitundar um að skoða þetta og hvort, þegar það er að slá inn notandanafn, leyni­ orð eða hvað sem er, þessi græna öryggistilkynning sé uppi í horn­ inu.“ Jón kveðst ætla að halda áfram að vakta vefsíður fyrirtækja með þessum hætti. n Sigurður Mikael Jónsson mikael@dv.is Afhjúpaði bresti Jón Ólafsson tók saman svartan lista yfir fyrirtæki og vefverslanir, sem bjóða upp á ný- og innskráningar þar sem persónuupplýsinga er krafist, sem ekki uppfylltu sjálfsagðar netöryggiskröfur. Mynd REutERS „Það er hægt að líkja þessu við gamla sveitasímann í samanburði við nútíma símakerfi. Öruggari tenging Svona birtist örugg síða í vefslóð vafra þíns ef vefurinn sem þú ert að nota er í HTTPS. Grænn öryggislás, „Secure“ vottorð og HTTPS í slóðinni. Fyrir neðan má sjá hvernig vefslóð birtist ef síðan er bara í hefðbundnu, óöruggu HTTP. Mynd SkJáSkot

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43
Page 44
Page 45
Page 46
Page 47
Page 48
Page 49
Page 50
Page 51
Page 52
Page 53
Page 54
Page 55
Page 56