Lösenord till 400 000 svenska konton är hackade och spridda på Internet

Under de senaste dagarna har vi kunnat läsa, höra och titta på en lång rad information om hackade konton i Sverige. Till och med webb/e-post konto till flera riksdagsman och offentliga personer lär ha kommit ut på avvägar. Experterna uttalade sig i TV, Radio, Tidningar och på olika ställen inom Internet.

Vi har även tidigare sett att hemsidor för flera partier hackats, flera polisanmälde och tom det finns domar som berör intrång hos politiska partier. Huruvida den senaste intrången och attacken hade politiska avsikter eller inte bör kunna diskueras av de som har bättre insyn och sakkunsaper.

Vad var det egentligen som har hänt?

  • Någon påstod att flera hemsidor har hackats, under augusti/september iår
  • Hos ett konto på Twitter dyker upp en del information om hackade konto, hashkoder, mm.
    Individen som äger twitter kontot bedyrar sin oskuld i detta härvan.
  • Först bloggtoppen.se och sedan rad andra hemsidor som gratisbio.se mfl medger att deras servrarna är hackade. Sedan visar det sig att 57 ytterligare hemsidor är också hackade.
  • Alla uppmanas till att byta lösenord, speciellt användarna som har konto på någon av de berörda servrarna vilket är jätte bra
  • Flera webb-platser erbjuder tjäsnter att “testa ditt lösenord” bl. a. IDG, PTS, mm.

Efter en vecka denna intensiva storm verkar alla diskussioner kring datasäkerhet somnat helt för denna gång

Vad har vi lärt oss?

Det har varit en kaotisk nyhetsrapportering, oftast ytliga reportage och dessutom experter som förklarade användarna som “lata” och “dumma”.

Varje expert har analyserat små delar av enskilda händelser och get råd och dåd till vanliga användaren. En kritisk granskning visar att genom att strukturera upp tillgänglig information skulle kunna ge en bättre helhetsbild. Därefter kunna  analysera vad som hänt (de kända fakta), vilka är risker och försöka dra lärdom av vad som hänt. Huvudsyftet bör vara att försöka att undvika samma misstag framöver i möjligaste mån.

Professionell hantering av servrar

Det är självklart att servrar måste uppdateras och patchas med de senaste uppdateringar snarst möjligt, panering av patchar och uppdateringar bör stndigt ske av IT-personal som borde bevakas av någon som har ytterst ansvar för datasäkerheten. Vissa menar att hackers använde sig denna gång av s.k. SQL-injection. Oavsett vilken typ av sårbarhet har använts , då ligger stort ansvar på ägarna att se till att dess IT-personal hanterar ständit servrarna på ett adekvat sätt. Misstag kan naturligtvis förekomma men misstag samma skall inte upprepas. SQL-injection har tidigare använts under senaste 6-åren. Bl.a. Dataföreningen drabbats över 4-5 år sedan och lösenord till användarna spridits över nätet. Då användes e-post som användarnamn och samma lösenord på flera servrar både privat och i tjänst. Även då drabbades flera offenliga personer och andra som arbetade inom det publika sektorn.

Användarna och lösenorden

Idag har varje användare tiotal (egentligen mer) olika konton på olika servrar både på jobbet och privat.  Förmodligen den vanliga användaren upplever att  lösenordshantering som besvärlig och krånglig. Användarna  upplever svårigheter att skapa lämpliga (säkrare) lösenord till  flera olika system.  Naturligtvis att kunna komma ihåg var och en av dessa lösenord upplevs ännu svårare. Det kan nämnas att statistiken visar att en av de högsta andel av samtal till företags  IT-avdelning sker efter sommar semester varje år ,  då lär många glömt sina lösenord under sommar semestrar. Därför menar jag att IT/säkerhetsproffsen inte borde klandra användarna för “lathet” utan snarare ge de råd och tips. Under veckan fick vi fick några tips om hur en bättre  lösenord skulle kunna bestå av, och att man skall inte använda samma lösenord på flera servrar MEN nästan ingen gav tips om hur man skall kunna komma ihåg alla dessa utan att anteckna på lappar. Min tips för  att kunna komma ihåg lösenord är att tex använda sig av lösenord  funktionalitet hos de välsorterade antivirus programvara. Det finns även enskilda program för dessa ändamål men det måste vara säkert att programmet avsiktligt eller oavsiktligt inte läcker  information över nätet. Med tanke på att användarna har tillgång till flera olika datorer (företag PC, hemma PC, smarta telefoner, publika datorer, mm) en enhetlig lösning verkar vara svårt att hitta. Jag kan tänka mig att en mobiltelefon app skulle kunna vara en bra lösning, lösenordet skall vara krypterade och dessutom ingen lösenord skall kunna  laddas till någon server på nätet. Naturligtvis lappar är en gammal beprövad metod under förutsättningen att den förvaras på ett säkert sätt.

Apropå råd och tips om lösenordet

Flera hemsidor erbjöd tjänster att testa om det valda lösenordet kan hålla måttet för säkerhet. IDG använt sig av flera kända källor som Microsoft mm.
Generellt borde sådana tester ha större potential för säkerhetsrisker, det är av flera skäl

  • lösenordet kan plockas upp under en HTML-trafik

  • lösenordet kan sparas i tillfälliga minnesplatser (cash) eller i databaser för forskning eller andra icke seriösa ändamål.

  • Programmen som testar ett angiven lösenord utför oftast ett “mekaniskt test” av lösenordet utan någon större hänsyn till diverse aktualiteter, nyheter, populära fraser mm. T.ex. Post och Telestyrelsen, PTS erbjuder test av lösenord (https://www.testalosenord.pts.se/), naturligtvis uppmanas användaren att inte ange sitt riktiga  lösenord. Vad jag förstår är att användaren skall ange något  liknande sin egen lösenord och kanske användaren endast avslöjar hur lösenordet valts för programet.
    Jag testade P#t#sPTS som klassades som ett svagt lösenord. Däremot samma program bedömde ett annat lösenord som var byggd på föregående text och en etta lagt till i slutet dvs P#t#sPTS1, vilket klassades som ett STARKT lösenord (se bild 2 nedan).
    Jag kan tyvärr inte se att lösenordet ens är ett bra lösenord och användarna bör inte knna få en falsk säkerhet.
  • Under förra veckan fanns även en site som frågade är ditt lösenord med i bloggtoppen-dumpen? och då uppmanas man att ange både e-post adress och även lösenordet (se bild 2). Huruvida avsikten är att assistera eller kunna fiska mer information är det oklart. Jag skulle i varje fall aldrig tänka mig att lämna mitt e-post adress och lösenord till någon hemsida http://odmd.direktoratet.se/bloggtoppen/.
  • Det som har hänt och vad  som konsekvensen är för den drabbade individen är mycket svårt att spekulera om idag. Däremot är det dags att ta detta problematik på större allvar.

Journalisters e-post konto

jag fick den uppfattningen att flera journalisters e-post konto blev hackade pga att journalisten använde samma lösenord på flera konton. Det diskuterades lämpligheten att ha kontot på Googles e-post tjänst. Det framgick inte om det rörde sig om Googles gratis e-post tjänst eller betaltjänst avsedda för företag.

Allmänheten som diskuterar känsliga ämnen med journalister och vill förbli anonyma borde naturligtvis vara medvetna om att samtliga elektroniska kanaler kan “avlyssnas” och använda sig av andra lämpliga kanaler. Detta gäller såväl krypterade dokument som okrypterat.

Var och en av oss  ansvarar naturligtvis att känslig material inte riskerar att läcka ut från företag eller organisationen vi arbetar för. Det diskuterades att det finns risk att  även källskyddat material kan ha läckt ut pga att några journalister också använde samma lösenord på flera ställen. Jag har mycket svårt att förstå att “källskyddat” material , känslig och intern material skulle överhuvudtaget  lagras på någon dator ansluten till nätet. En analogi är att ha anteckningsblock om känslig information på obevakat bord på en café eller i en parkerad bil.

Googles gratis e-post tjänst hos journalisten

Som privat person bör man vara medveten om att all data hos flera gratistjänstföretag regelbundet och automatisk genomsöks. Tjänsteföretaget hittar konsumentprofil och därmed kan tex Google, MSN kunna erbjuda tjänster som användarprofilen pekar på som intressanta marknadsföringsområden. Man bör vara uppmärksam att  även andra gratistjänster har möjlighet  att på samma sätt lägga upp  “konsumentprofiler”. Det innebär att dessa tjänster bör undvikas då personlig integritet får en större prioritet än prislappen för tjänsten.

Säkerhetsexperten informerar hur man kan få tag på lösenordet

Svenska dagbladet tipsar om en säkerhetsexpert som med all välvillighet informerar hur det går till från att hitta hash-kodade filen och sedan hur kunna omvandla filen till klartext. Tipsen är att   tex använda sig av ”avkodningstjänster” på Internet. Detta innebär tyvärr ett betydligt större spridningseffekter. Dessa tjänster oftast samlar in ”data” för att kunna användas vid senare tillfällen antingen för forskning eller kommersiell syfte.  http://blogg.tkj.se/byta-losenord-bloggtoppen-hacket/

Lärde vi oss något?

Till sist men inte minst,

  • Till vanliga användare:
    Användarna bör se till att skapa bättre lösenord och hitta mest lämpliga metoder att komma ihåg lösenorden. En enkel jämförelse använd inte billig nyckel, använd inte samma nyckel till kassaskåpet, garagedörren, dörren till bostaden och till jobbet.
  • Till kollegor inom IT-säkerhet:
    även om användarna använde sig av mera komplex lösenord hos bloggtoppen.se då skulle lösenordet kunna hackas eftersom det är inte något större problem för avkodaren för att generera lösenord i klartext, kanske avkodningen hade tagit något längre tid. Huvudproblemet var att bloggtoppen.se hanterades inte på ett adekat sätt och drabbats tusentals konto, däremot att använda en och samma lösenord på flera servrar har drabbats enskilda användaren.

Jag är säker på att jag har förbisett flera vilktiga punkter. Vad tror du? Kommentera gärna här eller skicka in dina kommentarer via e-post om du så föredrar det.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s