Statens sikkerhed

sikkerdigital.dk

1. juli skal staten være færdig med at implementere Tekniske minimumskrav for statslige myndigheder
For de fleste tiltags vedkommende er det lidt svært at sige om man er kommet i mål, men der er også dele som er fuldt synlige ude fra det åbne Internet.
Herunder kan du se status på nogle få udvalgte domæner. Det ser ikke lige godt ud alle steder, godt der er lang tid til d. 1. juli.

DomæneDNSSECDMARCTLS 1.2
borger.dkOKOKOK
cfcs.dkOKOKOK
datatilsynet.dkOKOKOK
digst.dkOKOKOK
domstol.dkFAILFAILOK
dst.dkFAILFAILOK
em.dkOKOKOK
fm.dkOKFAILOK
fmn.dkOKOKFAIL
forsvaret.dkOKOKFAIL
ft.dkOKOKOK
justitsministeriet.dkOKFAILFAIL
pet.dkFAILFAILFAIL
politi.dkOKOKOK
regeringen.dkFAILOKFAIL
rigsrevisionen.dkOKOKFAIL
sikkerdigital.dkOKOKOK
skat.dkOKOKOK
smittestop.dkFAILOKFAIL
sst.dkFAILFAILOK
statens-it.dkOKOKOK
um.dkOKFAILOK

Sidst opdateret: 1/07/2020

Når gode råd bliver dårlige

DR-Logo

De kriminelle som sender os phishing emails er blevet bedre til at skrive dansk og det er jo lidt et problem når de kloge mennesker, som rådgiver os i forhold til phishing i årevis har angivet dårligt dansk som et af de sikre kendetegn ved en phishing email.
DR har skrevet en artikel om problemet med vellignende phishing emails.
Artiklen starter fint med en gennemgang af problemet og viser en del eksempler.
Men i sidste afsnit: “Kig på afsenderadressen” bliver den gode artikel til en direkte misvisende og farlig artikel.

Når det drejer om ansvarlige firmaer 1 som Yousee, SKAT, Netflix, Paypal & Twitter er det ganske rigtig det sikreste blot at kigge på afsenderadressen for at afgøre om en given email er falsk.
Men når det drejer sig om email fra Postnord gælder dette tip altså ikke, ingen af Postnords domæner er sikret mod misbrug, enhver kan frit misbruge @postnord.dk, @postdanmark.dk og @ecmail.post.dk email adresser.

Det skal for god ordens skyld nævnes at Postnord gentagne gange de sidste 7 år er blevet opfordret til at beskytte deres domæner mod misbrug, indtil videre uden held.
Ligeledes er journalisten bag artiklen forsøgt kontaktet med henblik på at få rettet fejlen, også uden held.

1 Mange firmaer har valgt at beskytte sig selv og deres kunder mod falske emails, du kan se nogle af dem her.

BIMI

BIMI logo

DMARC handler normalt om sikkerhed. Din egen sikkerhed, dine kunders sikkerhed og ikke mindst dine leverandører og samarbejdspartneres sikkerhed. Hele vejen rundt kan man med DMARC slippe for de mest vellignende phisning emails ved hjælp af DMARC.
Hvis den slags sikkerhed er helt uinteressant for dig er DMARC uinteressant for dig….. og dog, bliv lige hængende lidt endnu.
I sidste uge blev Google/Gmail en del af BIMI projektet.

BIMI er den korte udgave af Brand Indicators for Message Identification.
Med BIMI kan man få vist sit firma logo sammen med afsender navnet i modtagerens inbox.
Det kunne f.eks se således ud.

BIMI example

Ser det interessant ud? Jamen så blev DMARC alligevel interessant for dig. BIMI er nemlig kun en mulighed hvis du har en DMARC reject eller quarantine policy i drift.

Læs mere om BIMI

Bedre sent end aldrig – men

Digitaliseringsstyrelsen

NemID phishing har været vældig populært denne sommer.

Nemid.nu domænet har været beskyttet imod misbrug i lang tid, så de kriminelle har været nødt til at anvende alternative domæner.

Først blev NETS misbrugt, deres domæne (nets.eu) står til fri afbenyttelse, de er aldrig rigtig blevet færdige med at implementere DMARC. De er over årene adskillige gange blevet gjort opmærksomme på at det ville være hensigtsmæssigt hvis de fik sig en fuld DMARC implementering, men den slags behøver man som monopol ikke at bekymre sig om.

Så var det Dansk ITs tur (dit.dk), Email sikkerheden hos Dansk IT har ikke været tidssvarende siden engang i 2005. Så ja, det er vel ikke så overraskende at deres domæne blev misbrugt.

Så kom turen til Digitaliseringsstyrelsen (digst.dk)
Nu begynder det at blive lidt pinligt. Tilbage i 2017 deltog jeg i en workshop hos Center for Cybersikkerhed sammen med Digitaliseringsstyrelsen, Statens IT & Danske Bank.
Vi kom med input til hvad der senere blev til Center for Cybersikkerheds vedledning om DMARC.
Jeg har jo i en del år forsøgt at udbrede kendskabet til DMARC, så jeg gik vældig glad hjem fra den workshop og tænkte, “Fedt, nu skal de alle hjem og igang med DMARC”, ja OK ikke Danske Bank, de var den første bank der implementerede DMARC i Danmark.
Statens IT kom hurtigt igang, men hos Digitaliseringsstyrelsen skete der ikke rigtig noget, trods nogle opfordringer til at komme igang blev deres domæne ved med at være ubeskyttet.

Så gik det galt, og fik de endelig fingrene ud hos Digitaliseringsstyrelsen.
De har nu en fuld DMARC implementering + DNSSEC + DANE.

Så tillykke til Digitaliseringsstyrelsen og velkommen på Elite listen

Bedre sent end aldrig – men det havde været endnu bedre hvis de havde handlet før de blev misbrugt.

NemID phishingmail i omløb
Styrelse advarer: NemID-svindlere på spil

Hvor der er vilje, er der vej

For et par uger siden lå Netcompany og rodede på min fumle liste, idet de siden de oprettede deres DMARC record i Juni sidste år ikke har haft en funktionel DMARC record.
Nu er der imidlertid sket ting og sager, på et par uger fra de bevæget sig fra 0 til 100, de har nu en fuld DMARC reject policy.
Det er sgu’ godt gået, flot indsats!

Lad os håbe flere konsulenthuse følger det gode eksempel.

 

Finans Danmark

Finans Danmark

Sidste år i marts måned kom Finans Danmark med en opfordring til at tage kampen op med bla. phishing ved hjælp af DMARC.
Med ganske få undtagelser lykkedes det en samlet finansbranche fuldstændig at overhøre denne opfordring.

Finans Danmark har nu valgt at gå foran med et godt eksempel.
finansdanmark.dk domænet er nu topsikret mod misbrug med en DMARC reject politik, og derudover har man også aktiveret DNSSEC for domænet.
Så bliver det ikke bedre!

Finans Danmark er nu at finde på Elite listen

Så mangler vi bare at resten af finansbranchen kommer igang med at sikre sig selv og deres kunder mod falske emails.

“v=DMARC1; p=none;”

Doing it wrong

DMARC standarden blev designet til at være nem og ufarlig at tage i brug.
Man starter ganske simpelt med at overvåge sin email leverance, der er tale om ren overvågning, sikkerhedsmæssigt og leveringsmæssigt gør denne konfiguration ingen forskel.

"v=DMARC1; p=none; rua=mailto:xxx@ag.dmarcian.com;"

Herefter udfører man de nødvendige tilretninger for at ens email opfylder kravene fra DMARC standarden, tilretter SPF records, tilføjer manglende DKIM signaturer osv.
Denne process kan tage alt fra et par timer til flere år at komme igennem. Det er her værd at bemærke det yderst sjældent er tekniske forhindringer der får tingene til at tage tid, det skyldes typisk langsommelige interne procedurer og ansatte med et anstrengt forhold til nytænkning.

Når ens DMARC rapporter viser konfigurationen er helt på plads kan man skifte til en mere restriktiv DMARC politik, den kunne så således ud:

"v=DMARC1; p=quarantine; rua=mailto:xxx@ag.dmarcian.com;"

Bemærk ordet quarantine, oversat til dansk betyder det i en DMARC record at falske emails med dit domæne som afsender skal leveres direkte i spam mappen.

Vil man opnå bedst mulig beskyttelse mod misbrug, kan man efter et stykke tid skifte til den strengeste DMARC politik, det kunne se sådan ud:

"v=DMARC1; p=reject; rua=mailto:xxx@ag.dmarcian.com;"

Ordet reject medfører at falske emails nu helt afvises hvor de forsøges afleveret.

Alt i alt er DMARC i forhold til så mange andre ting ganske enkelt at implementere, der er jo ikke rigtig noget der kan gå galt…. troede jeg …

Inden man går igang bør man lige bruge en times tid på at sætte sig ind i det helt grundlæggende vedrørende DMARC, ring til en ven, hyr en professionel eller se nogle af de mange DMARC instruktions videoer på Youtube.
Den del er der desværre nogle firmaer som springer let og elegant henover.
Her på det seneste har jeg set en del DMARC records med følgende indhold:

"v=DMARC1; p=none;"

På dansk står der noget i stil med: “Hej emailservere i hele verden, jeg er igang med at implementere DMARC, så nu må i gerne generere rapporter når i ser email som skal forestille at komme fra mit domæne, når rapporterne er færdige kan i bare smide dem væk, jeg vil ikke have dem”

Sådan en konfiguration er selvsagt noget komplet meningsløst fumleri.
Det er ikke sådan at konfigurationen rent teknisk gør skade, den gør hverken fra eller til, i praksis kunne man ligeså godt slette en DMARC record med det indhold.
Men måske sender man et lidt uheldigt signal til de kriminelle?
Her er tale om et firma som sjusker med sikkerheden, er email sikkerhed den eneste form for sikkerhed der sjuskes med, eller sker det også på andre områder?

Fumle listen kan du se eksempler denne slags DMARC implementeringer.