Danalock – En dansk produceret trådløs dørlås med Apple HomeKit

Jeg har længe gået og luret på markedet for HomeKit enablede dørlåse, og forventningerne var høje da jeg bestilte en af disse.

Valget faldt på en Danalock, da den på papiret lød ganske tillokkende.
Den fungerede med HomeKit, den kunne leveres med flere forskellige typer af låsecylindre, heriblandt de mest anvendte typer her hjemme. Sidst men ikke mindst har Apple valgt at indtage den i sortimentet, som den eneste lås, i hele Europa.

Jeg må erkende at jeg ikke er tilfreds med produktet. Selvom at den låser som den skal, så har der været så mange små irriterende problemer.

Låsen ser ganske godt ud, og det er rimeligt ligetil at samle og montere den.

Desværre var den ene af de to skruer der skulle anvendes til at montere låsen af en forkert type, men Danalock har lovet at sende den rigtige med posten.

Da låsen så var monteret, og klar til brug, begyndte problemerne for alvor. Telefonen blev tændt, og appen fandt hurtigt låsen.
Desværre var de to knapper for hhv “Lås op” og “Lås” grå, og låsen reagerede ikke på nogen som helst input.

Efter et par minutter begyndte tændte en kraftig rød diode, som blot lyste fast.

Et forsøg på at finde den rette vejledning på Danalocks hjemmeside var ikke til meget gavn, da vejledningen er under opdatering, da en ny app ifølge siden er på trapperne.

Den medfølgende vejledning, samt et punkt på Danalock’s FAQ forklarede at man kunne slette låsen i appen, og nulstille låsen med 10 tryk på en knap vha en papirklips.
Lige lidt hjalp det. Uanset hvor mange gange der blev klikket lyste låsen blot rødt.

Efter en del forsøg og søgen forsøgte jeg at fjerne de fire batterier fra låsen, og da de kom I igen så det ud til at låsen igen virkede som den skulle.

Home Appen registrere låsen, og låsen fungerer vha Siri.

Vi har nu skullet leve med låsen i nogle måneder, og der er nogle ting med stabiliteten, som irriterer mere og mere, efterhånden som nyhedsværdien aftager. Idéen bag er smart, men i praksis er den ikke stabil nok, og man kan f.eks. ikke forlade hjemmet uden at tage den analoge nøgle med.

Låsen kan betjenes på flere måder.
Manuelt vha nøglen, Gennem danalock appen, i Apples Home app eller via Siri, som i screenshotsne her under:

Når den virker får man svaret “OK, Hoveddør er låst”:

Når den fejler kan man vente et pænt stykke tid, hvorefter man får følgende besked:

Den fejler også nogle gange gennem Home Appen:

Fejl set i danalock appen:

Jeg har både været spændt på om det hjalp at opdatere, både da iOS 12 og iOS 13 udkom, men begge gange har det blot vist sig at der kom nye udfordringer, og nye fejlmeddelelser.

iOS 13

Positive ændringer:

Jeg har længe ønsket at kunne åbne for folk på afstand. Fx. en håndværker der skal ind og fixe et eller andet. Det har dog ikke kunne lade sig gøre med iOS 11 og iOS 12, da den kun har kunnet låse op og i når telefonen var på husets WIFI. Derimod har man sagtens kunne få oplyst om døren var låst, når man var udenfor hjemmets WIFI dækning.

Problemer med iOS 13

Samtidigt med at man kan låse op og i alle steder fra holdt den op med at kunne se om låsen er låst. Ligemeget hvad siger den låsen er åben, også selv om den er låst.

GDPR

GDPR blev indført af EU i 2018, for at beskytte Europæiske borgeres privatliv. Der er stadig den dag idag virksomheder og foreninger, der ikke er klar over hvilke forpligtigelser den har givet dem, og hvor store bøder de risikerer at få hvis de bryder reglerne.

De tørre paragraffer:

GDPR Info kan man let finde de enkelte paragraffer, yderligere information kan findes på GDPR.eu.

Rettigheder og pligter:

Både som bruger og som virksomhedsejer, kan det anbefales at læse datatilsynets folder “Registreredes rettigheder“.

Herunder kan du finde links til en del interessante sager der vedrører GDPR.

Retten til Indsigt:

Må pensions- og forsikringssager tilbageholde lægefaglig korrespondence om dig?
https://www.version2.dk/artikel/datatilsynet-ser-paa-principiel-sag-retten-indsigt-pensionsdata-1089100?

Indlejrede links til Facebook og Google Analytics

Må offentlige sider indlejre trackere fra Facebook og Google?
https://www.version2.dk/artikel/offentlige-hjemmesider-sladrer-google-facebook-1086330

Hvis din hjemmeside indeholder facebook like knapper (eller anden indlejring) er du dataansvarlig!
https://www.version2.dk/artikel/eu-dom-hjemmesider-med-facebook-like-knap-goer-sig-dataansvarlige-1088581

Personfølsomme data i svagt- eller ikke krypterede emails:

Krifa fik hård kritik af datatilsynet over at have udsendt 1500 emails med personfølsomme data, der anvendte en for svag krypteringsform.
https://www.version2.dk/artikel/fagforening-efter-gdpr-broeler-vi-mente-var-ok-1089460

Anvendelse af CPR som password:

Krifa har fået kritik og påbud af Datatilsynet over deres procedure om at anvende CPR numre som adgangskoder.
https://www.version2.dk/artikel/fagforening-efter-gdpr-broeler-vi-mente-var-ok-1089460

Synology Drive

Hvis man har en netværks tilsluttet Synology NAS, stående, kan man aktivere deres “Synology Drive” funktion, og efterfølgende anvende den på samme måde som med “DropBox”, OneDrive eller lign, men med betydeligt mere plads (såfremt du har udstyret den med store diske).

Du henter den lokale Synology Drive Client til Windows eller Mac fra deres Downloadcenter. iOS Appen finder i Apple Store.

Læs mere om Synology Drive her.

Scan din Mac for Virus og Malware – MacOS

Det ses forholdsvist sjældent at en Mac er ramt af vira eller malware i forhold til Windows.
Når jeg ser maskiner med malware, er det oftest fordi brugeren i god tro har installeret noget der skulle øge sikkerheden (men ikke gør det), eller hvor et andet program har installeret Malware i baggrunden. For at undgå dette, så vær meget kritisk når du installerer noget fra andre kilder end Apples egen App Store.

Scan din Mac

Scan med Malwarebytes, der gennemsøger din Mac igennem for Malware.

Falske anti virus apps

Lad være med at installere følgende programmer, der er udgiver sig for at være antivirus software, men reelt fungerer som spyware og/eller serverer popup reklamer for brugerne.

MacSweeper

Scan din Computer for Virus og Malware – Windows

Malware dækker i dette tilfælde over flere typer software. Blandt andet spyware, keyboard bloggere, falske virus programmer og monitering-software.

Selvom at det er vigtigt at man har et opdateret antivirus program kørende i baggrunden, så kan de desværre ikke forhindre alt. De forhindrer dig sjældent i at installere software, du selv vælger at installere, herunder software du lokkes til at installere af pop up vinduer på hjemmesider eller lign.

Kør RKILL https://www.bleepingcomputer.com/download/rkill/

Malware Bytes https://www.malwarebytes.com/

Falsk anti-virus software

Der findes en række programmer , som enten serverer popo reklamer i stedet for at rense din maskine, eller hvor det eneste du får ud af at betale de insisterende popup vinduer med “Du har 28 viruser betal for at rense din PC”, eller “Programmet er udløbet, betal for et års abonnement” er at du slipper for popups om betaling i en periode.

Man kan finde en liste over en hel del af dem på Wikipedia

Datalæk

Desværre dukker der fra tid til anden større datalæk op med oplysninger. Listen herunder er kun nogle af de mange læk, men man kan se at selv store velrenommerede virksomheder er ramt, med millioner af berørte brugere.

2019

Collection #1” (Combinationen af adskillige hacks/lækager)
772.904.911 berørte brugere
Passwords samt E-mail adresser.

2018

Creative (Hardware producent)
483.015 berørte brugere
Brugernavne, Passwords, E-mail adresser samt IP adresser

2017

2016

Dailymotion (Video site)
85.176.234 berørte brugere
Brugernavne, Passwords samt E-mail adresser

LinkedIn
164.611.595 berørte brugere
Passwords samt E-mail adresser

2015

Abondonia – Et DOS spils site
776.125 brugeres brugernavne, Passwords, E-mail adresser samt IP adresser.

Patreon
2.330.382 berørte brugere
E-mail adresser, Adresser, Betalingshistorik, Private beskeder samt aktivitet på hjemmesiden

2014

Avast (Antivirus)
422.959 Berørte brugere
Brugernavne, Passwords samt E-mail adresser.

Biltly (Genvejstjeneste)
9.313.136 berørte brugere
Brugernavne, Passwords samt E-mail adresser

KickStarter
5.176.463 berørte brugere
Passwords samt E-mail adresser

MalwareBytes
111.623 berørte brugere
Brugernavne, Passwords, Fødselsdage, E-mail adresser, Ip adresser samt aktivitet på hjemmesiden

Snapchat
4.609.615 berørte brugere
Brugernavne, Telefonnumre, Geografisk lokation

2013

Adobe
152.445.165 Berørte brugere
Brugernavne, Passwords, Password hints samt E-mail adresser

imgur (billede hosting)
1.749.806 berørte brugere
Passwords samt E-mail adresser

tumblr
65.469,298 berørte brugere
E-mail adresser samt Passwords

2012

Dropbox
68.648.009 berørte brugere
Passwords samt E-mail adresser

last.fm
37.217.682 berørte brugere
Brugernavne, Passwords, Email adresser samt aktivitet på hjemmesiden

2011

Sony
37.103 berørte brugere
Brugernavne, Passwords, Navne, Fødselsdato, Køn, Telefonnumre, E-mail adresse samt Postadresse

2008

MySpace
359.420.698 berørte brugere
Brugernavne, Passwords samt E-mail adresser

Office 365 – Appadgangskoder

Microsoft har en totrinsbekræftelses løsning, til at øge sikkerheden ved login. Microsoft kalder det for “MFA” (Multi-Factor Authentication)

På samme måde som når du logger på med NemID skal du bruge et brugernavn (din email adresse), en adgangskode samt en ekstra kontrol af at det er dig, vha. en app på din telefon, eller ved at sende dig en SMS (svarer til koden på dit NemID papkort).

Herudover giver Microsoft dig muligheden for at generere en kode til brug i Apps, eller programmer, der ikke understøtter MFA. Sjovt nok er Skype, der er en del af Office 365 en af programmerne der ikke understøtter MFA.

Det er nemt at generere en appadgangskode. Du skal blot logge ind på Office 365, og gå til siden [Yderligere sikkerhedskontrol – appadgangskoder]

Tryk på “opret” knappen, og skriv hvilken app du skal bruge koden til (det bruges udelukkende så du kan holde styr på hvilken kode der bruges til hvad).

Opret én kode til hver app, så du kan slette den igen når den ikke længere er i brug.

 

Opdater Microsoft Office for Mac

Der kommer jævnligt nye opdateringer til Microsofts Office pakke. Også til Mac versionen.

Disse tilbydes ofte når man starter Word, eller andre Office programmer, og jeg ser gang på gang at brugere klikke på “Udsæt”, eller “Spørg ikke igen”, fordi det ikke lige passer ind på det pågældende tidspunkt.

Men uden opdateringer rettes fejl ikke, nye funktioner kommer ikke til, og sikkerhedshuller lukkes ikke efterhånden som de opdages.

Plugins som WordMat holder også tit op med at virke, fordi plugin’et er skrevet til en nyere udgave af Word.

Således holder du Microsofts Officepakke opdateret:

Åbn et Officeprogram, f.eks. Word:

Klik på “Hjælp” i menuen, og vælg derefter “Kontroller, om der er opdateringer”.

Vælg muligheden “Download og installer automatisk” og klik på “Søg efter opdateringer”

 

Hvis der er opdateringer til officepakken, vil disse blive tilbudt. Når de er installeret søger du atter efter opdateringer (der kan sagtens ligge opdateringer der først kan installeres når noget andet er blevet opdateret, hvis den har været slået fra længe nok).

Når alle opdateringer er indlæst får du nedenstående besked om at “Der er ingen tilgængelige opdateringer til din Microsoft-software i øjeblikket. Prøv igen senere.”

Øg sikkerheden med to faktor autentifikation

De fleste almindelige brugere ved ikke hvad der menes med to faktor autentifikation, eller multi faktor autentifikation, selvom at de anvender det hver gang de skal logge på deres webbank, eller kontrollere deres selvangivelse.

To-faktor autentifikation giver et ekstra lag sikkerhed, ved at tilføje noget fysisk til login vha. brugernavn/adgangskode.

Det fysiske kan være NemID papkortet, hvor der anvendes en ny kode ved hver login, en engangskode genereret på et stykke hardware, en SMS med en engangskode, dit fingeraftryk, ansigtsgenkendelse mm.

Ved at tilføje noget fysisk, f.eks. en SMS der sendes til din mobiltelefon, er det langt sværere for en hacker i udlandet at opsnappe dine login data og misbruge din konto, da det ikke er nok at prøve at logge på din Gmail konto, med lækkede informationer fra en af de mange sikkerhedsbrister med lækkede informationer. Et eksempel kunne være de 38.000.000 Adobe kunder, hvis informationer blev lækket tilbage i 2013.

For at finde vejledninger til hvordan du slår 2FA (To Faktor Autentifikation) til på de forskellige tjenester kan de søges op på twofactorauth.org

De fleste større tjenester tilbyder efterhånden 2FA, og en del af dem giver brugerne flere valgmuligheder, f.eks. SMS, Apps, eller hardware tokens (f.eks. en lille nøglering med et display, der kan generere en kode til dig).

Som eksempel kan nævnes Google/Gmail/Youtube, Apple, Microsoft/Outlook/Office365, Facebook, Instagram, Twitter, WordPress, Pinterest, LinkedIn, Adobe, Snapchat, LastPass, Amazon, MailChimp og Zendesk

Phishing – Forsøg på at aflure dine personlige informationer

En af de tekniker der anvendes til at skaffe adgang til personlig oplysninger kaldes “Phishing”.

Oftest foregår det via en email der udgiver sig for at være en udbredt tjeneste, f.eks. en større bank, AppleID, SKAT eller som i nedenstående tilfælde Netflix.

Eksempel 1 – Netflix

Da afsenderen sjældent ved hvem der er oprettet hos tjenesten, skydes der med spredehagl. Folkene bag phishing mails laver en mail, der ligger så tæt op ad en officiel mail som muligt, med logo, og links til tjenestens support mm. for at virke overbevisende.
Oftest er mailens indhold et lettere faretruende emne, som man skal reagere på hurtigst muligt, inden man får tænkt for meget over det. Det kan f.eks. være “Du har overtræk på din konto”, “Dit betalingskort er blevet afvist”, “Din konto er fuld – Log på for at modtage flere email”, “Din konto er blevet hacket – Log på for at skifte din adgangskode”…

På Internettet er det muligt at købe lister med titusindvis af danske e-mail adresser.  Afsenderne sender herefter mailen til samtlige modtagere, i håbet om at nogle af dem der vitterligt er oprettet hos den pågældende tjeneste bider på i troen om at det er en officiel advarsel.

Hvis brugeren klikker på linket kan man risikere at inficere sin maskine med malware, men oftest ledes man til en hjemmeside bagmændene har sat op så den igen ligner tjenestens officielle hjemmeside, med felter til brugernavn og adgangskode, eller betalingskort oplysninger.

Hvis man taster oplysningerne ind, sendes de til folkene bag, der efterfølgende kan logge på din konto, eller foretage køb på dit dankort (afhængig af hvilke oplysninger der er indtastet).

I dette Netflix eksempel, fremgår det at man skal “opdatere betaling”. Jeg kunne forestille mig at man først bliver bedt om at logge på (så har de dine logon oplysninger), og derefter kommer man til en side hvor man skal genindtaste sine betalingskortsoplysninger (så kan de købe løs på dit dankort).

Hvad kan de så bruge logon oplysninger fra Netflix til, ud over at “Bingewatche” dine yndlings serier?
Alt for ofte bruger folk den samme adgangskode til flere tjenester.

Hvis du giver dem din e-mailadresse og adgangskode til Netflix, og så anvender den samme adgangskode til at logge på din webmail…
…så har de pludselig adgang til størstedelen af dit digitale liv, og kan nulstille adgangskoder til andre tjenester (Facebook, AppleID, Google Store osv osv).

Hvordan kan man lure om det er en phishing mail?

Oftest kan man (som i eksemplet herunder), med lidt opmærksomhed, lure at det er en phishing mail:

  1. Mailens afsender har intet med Netflix at gøre.
  2. Opdater betaling knappen leder ikke til Netflix. Hvis man holder musen over et link i en e-mail (UDEN at klikke på det), kan man se det bagved liggende link.
  3. Ofte ser man at en del af teksten er fuld af stavefejl, eller meget dårlig grammatisk dansk. Her er der ligefrem anvendt “Sludretekst”.

Eksempel 2 – Microsoft Office 365


Ovenstående mail modtog jeg fra nogen der udgiver sig for at være fra Microsoft. Igen er der et par tegn der afslører at det er et phishing forsøg:

  1. Afsender adressen har intet med Microsoft at gøre.
  2. Når man holder musen over linket er det ligeledes et domæne der ikke ligefrem virker til at være relateret til Microsoft.
  3. Den tidsfrit man får er 12 timer, hvilket kun giver mening hvis man ønsker at få brugeren til at klikke hurtigt uden at bruge for meget tid til at tænke over mailen. Sendes mailen kort efter man er taget hjem, så er fristen udløbet længe inden man møder på arbejde. Igen et tegn på at den ikke er legitim.
  4. Jeg kender ikke til et “Microsoft 2018” produkt, og det giver ikke mening at oprette et team til hvert år. Når der så står “Office 365 Team” et par linier over “Microsoft 2018 Team” giver navnet endnu mindre mening.

Hvad gør du hvis du er i tvivl?

Hvis du er det mindste i tvivl så lad være med at klikke på noget i mailen.

Hvis der er problemer med din bank, eller en tjeneste som f.eks. Netflix, så vil du kunne rette det på deres netbank, eller profilen på tjenestens hjemmeside.
Åben tjenestens hjemmeside, og log ind derfra. Brug IKKE linket i mailen.