En kopia på registret är publicerad på internet på en publik sida. Medier skriver om ”en lista på sympatisörer”, vilket är helt fel, och låter människor uppleva en falsk trygghet genom att inte länka till sajten som har publicerat uppgifterna.

Med andra 0rd, de som inte behärskar tekniker för att gräva fram information på internet förhindras från att ta del av materialet… Är man däremot en van forumanvändare så vet man att informationen redan diskuteras och länkas till på en del sajter, t ex Flashback.

OBS! Denna lista innehåller uppgifter om ALLA som någon gång har kontaktat SD och begärt information, inklusive studenter, journalister,  osv. Den är med andra ord inget register över SD-medlemmar, utan på vanligt folk som har varit i behov av information gällande skolarbete, undersökningar, tidningsartiklar, osv.

• sdfolk.com

• The Pirate Bay: sverige demokraterna register
  (Torrent borttagen den 26/9 2010)

• Flashback: SDs medlemsregister hackad, hur extrahera?
  (Kräver inloggning per 22/9 2010 kl 13:55).

Uppdatering:

En privatperson, vars uppgifter fanns med på listan, har polisanmält SD för brott mot personuppgiftslagen:

TV4: Hon stämplas felaktigt som Sverigedemokrat

För tre år sedan beställde 19-åriga Maja Tolgraven information om Sverigedemokraterna i samband med ett skolarbete. Hon skulle skriva en kritisk rapport om partiet. När hon fått informationen ringde hon till SD:s kansli och bad att hennes kontaktuppgifter skulle tas bort från alla register.

…

Maja Tolgraven har nu polisanmält Sverigedemokraterna för brott mot personuppgiftslagen.

Bakground:

• SvD: SD-register utlagt på nätet (2010-09-21)

En lista på över 5 700 personer som visat intresse för eller blivit medlemmar av Sverigedemokraterna har lagts ut på internet. Uppgifterna har troligen hämtats från SD:s hemsida vid en hackerattack, uppger flera medier.

• DN: Flera på SD-listan känner sig uthängda (2010-09-21)

Den lista på 5.740 namn som lades ut sent på måndagen sedan någon tagit sig in på SD:s hemsida och stulit uppgifterna innehåller också namn på personer som absolut inte vill förknippas med partiet.

• IDG: SD:s hemsida hackad – register spritt på nätet (2010-09-21)

Bland uppgifterna som nu sprids finns medlemmarnas privata information såsom fullt namn, e-post och bostadsadress. Information om medlemmarnas intressen kring Sverigedemokraterna avslöjas också.

Enligt uppgifter i medier så har information om Facebook-användare läckt ut på internet.

Hela storyn verkar dock vara en sanning med mycket modifikation.

Enligt en artikel i DN så har ”detaljerad information om hundra miljoner Facebookanvändare har publicerats på Internet av säkerhetskonsulten Ron Bowes”.

Trots den sensationella rubriken så avslöjar artikeln att informationen har samlats genom att skanna profiliformation som redan var publik på Facebook (”information som inte skyddats av läsarnas sekretessinställningar”), dvs. inte på ett sensationellt sätt som man kanske skulle tro (läs mer om ”Web Scraping” på Wikipedia).

Nyhetens källa

DN har hämtat artikeln från BBCs webbsajt, men censurerat delar av nyheten när det gäller information som de flesta svenska medier brukar klassa som ”onödig”.

I BCCs artikel står det klart och tydligt hur den ”utläckta” informationen kan hittas, i form av en skärmdump. BBCs artiklar om ämnet kan hittas nedan:

• BBC: Facebook data harvester speaks out (2010-07-29)

• BBC: Details of 100m Facebook users collected and published (2010-07 29)

• Googlesökning: facebook info leaked

Anledning till oro?

Huruvida ”Web Scraping”-tekniken är laglig diskuteras i flera länder. Men vad som visas offentligt på Facebook bestäms av användarna själva, precis som det också har påpekats i medier.

Jag tycker dock att timingen för insamlingen i detta fall var förträfflig! Diskussionen borde handla om varför folk reagerar på denna typ av nyheter, när det är dem själva som bestämmer hur mycket personlig information som ska vara tillgänglig på internet.

Alla dessa Facebook- och Twitter-konton, vad är det egentliga syftet med dem?

”Some people are just idiots when it comes to security”

Några kommentarer från The Pirate Bays webbsida bekräftar att informationen, som ”skrapats” genom skanning, innehåller inget sensationellt:

I don’t think this is a hack, but a collection from public domain info that people have shared. The importance of the info is structuring it and allowing someone to search or compute the data. – porkster

90% people wouldn’t even know about this if BBC hadn’t made it popular. They’re just making a big deal about it. All this data was already there, the real effort is in the collection, collation and structuring. - ridge87701

Och min favorit:

Classic, some people are just idiots when it comes to security. Its not Facebooks fault but their own for not securing their data through the use of correct settings. You don’t have to use Facebook and if you can’t understand the settings, remove your account. - physixmaster

…and finally, The Link!

• The Pirate Bay: Facebook directory – personal details for 100 million users

Mer läsning:

• PC för alla: Uppgifter från Facebook sprids på fildelarsajter (2010-08-02)

För första gången publicerar en svensk nyhetssajt ledtrådar kring hur man hittar piratkopierad mjukvara. På tidningen CSOs internetsajt kunde man se en skärmdump med namnet på programvaran och sajten som den kunde laddas ner ifrån.

Trots att länkning till sajter med olagligt innehåll aldrig har prövats i svenska domstolar, så har svenska medier undvikit att publicera länkar till källor när de har skrivit om nyheter kring illegala IT-relaterade aktiviteter. En trolig orsak är att länkningen skulle kunna tolkas som uppmaning till brott.

Det var därför mycket förvånande att läsa artikeln ”Utrednings-verktyg ute på Nätet” på CSOs sajt:

Microsoft har tagit fram ett verktyg som snabbt ska kunna tanka ut känsliga data ur en dator. Det var tänkt att bara användas av poliser. Nu sprids det via fildelningsnätverk.

The Pirate Bay - Cofee

Ett trendbrott? Knappast.

Artikeln avslöjade i sedvanlig ordning inte namnet på det utredningsverktyget eller fildelningsnätverket som artikeln handlade om.

Men en skärmdump i anslutning till artikeln avslöjade mer än vad man kunde ”önska sig” att finna.

Cofee, Computer Online Forensic Evidence Extractor

Programvaran hette ”Cofee”, och det nämnda fildelningsnätverket var The Pirate Bay. Svårare än så var det inte…

Så här står det på Wikipedia om Cofee:

Computer Online Forensic Evidence Extractor (COFEE) is a modified USB flash drive for investigators for quick extraction of forensic data from Windows computers that are suspected to contain evidence of criminal activity.

It allows investigators to search through data onsite as an automated forensic tool. The device, developed by Microsoft, is activated by being plugged into a USB port, and purportedly contains 150 commands that can dramatically cut the time it takes to gather digital evidence.

These commands offer such functions as the ability to decrypt passwords, search a computer’s Internet activity, and analyze the data stored on a computer including data stored in volatile memory, which could be lost if the computer were shut down for transport to a lab.

Mer läsning:

• Microsoft: Computer Online Forensic Evidence Extractor (COFEE)

Nyligen avslöjades en kritisk bugg i internets mest kända krypteringsprotokoll. Mediernas rapportering i ämnet var dock under all kritik.

Den 4 november 2009 avslöjades en kritisk bugg i krypteringsprotokollen ”Secure Sockets Layer (SSL)” och ”Transport Layer Security (TLS)”, den senare vidareutveckling av TLS. Buggen rapporterades ha funnits med ett bra tag och vara välkänd.

Enligt säkerhetsforskaren och CTOn på H4rdw4re LLC, Chris Paget, så finns buggen på protokollnivå, vilket innebär följande (källa: Computerworld):

There’s a whole lot of stuff that’s going to have to get fixed on this one: Web browsers, Web servers, Web load balancers, Web accelerators, mail servers, SQL Servers, ODBC drivers, peer-to-peer protocols.

Enligt Chris Paget så beror buggen antagligen på att SSL-protokollet aldrig implementerades enligt specifikationerna. Chris Pagets tankar kring buggen kan man läsa på hans blogg.

En bugg med allvarliga konsekvenser

SSL-kryptering

Problemet är ganska allvarligt, eftersom SSL-kryptering används av i princip alla kommunikationssätt på internet som kräver högre säkerhet där informationen behöver skyddas från obehöriga användare och/eller system.

Det största problemet för t ex internetbanker idag är sk. ”Man in the Middle (MITM)”-attacker. Med hjälp av en MITM-attack så blir det i praktiken omöjligt för en webbanvändare att avgöra om sajten som besöks tillhör banken eller inte. Sårbarheter som upptäcks i SSL och TLS över tiden gör det ännu svårare att förebygga eventuella MITM-attacker, då det inte är någon raketforskning att utnyttja dessa sårbarheter.

”Upptäckten” inte avsiktlig

Trots att buggen var välkänd så avslöjades informationen hittils inte, troligen för att skydda webbanvändarna. Avslöjandet var dock ett faktum när en tekniker på SAP oavsiktlig skickade informationen om sin ”upptäckt” till IETFs (The Internet Engineering Task Force) mailinglista.

Så här stod det i teknikerns mail, ”[TLS] MITM attack on delayed TLS-client auth through renegotiation”:

The problem: when Microsoft IIS is configured to request a client certificate after having received the request, then it WILL perform an unauthenticated request!  Sending the reply back only to the authenticated client is a poor excuse for acting on an unauthenticated request.

Nyheten i medier

Denna nyhet gick att finna på en av de få säkerhetsrelaterade nyhetssajterna i Sverige, nämligen CSO (Chief Security Officer), under rubriken ”Bugg i SSL låter angripare ta över servrar”.

Artikeln saknar dock väsentlig information kring konsekvenser av buggen, t ex vid MITM-attacker. För en seriös artikel i ämnet duger knappast rubriker som ”angripare som tar över servrar” eller ”hackare som tar över datorer”, så länge man inte vill behandla sina läsare som obildade eller icke-kompetenta.

En länk till en mer utförlig artikel i Computerworld finns, men det saknas tekniska beskrivningar eller länkar till källor, som skriver mer detaljerat om ämnet.

Press på tillverkarna

Jag skrev i ett tidigare inlägg, ”Clickjacking, och medier”, att när medier skriver flitigt om problem som upptäcks, så sätter de press på de berörda företagen att ta fram en lösning så snart som möjligt. Just detta fall bör absolut inte vara ett undantag.

För en gångs skull så står det också i CSOs artikel:

Det har satt extra fart på tillverkarna att ta fram en lagning. Buggen har varit känd i inre kretsar sedan augusti. Arbetet med att laga den har gjorts genom organisationen ICASI, Industry Consortium for Advancement of Security on the Internet, under namnet ”Project Mogul”.

Mer läsning:

• PhoneFactor: Renegotiating TLS

Jag har sedan jag läste en artikel, ”9 av 10 Windows-användare i riskzonen för Adobe-buggen”, på IDGs sajt för ett år sedan velat att skriva en artikel om begreppet ”Clickjacking”.

Ungefär två(!) månader efter artikeln så uppmärksammades samma problem åter i en annan artikel på IDG, ”Clickjacking – det nya hotet mot webbläsare”.

Clickjacking är en metod avsedd att lura webbanvändarna att avslöja konfidentiell information, eller att få dem utföra en uppgift utan att de själva märker det.

Här kommer en kort sammanfattning från Wikipedia (på engelska, det finns ännu ingen svensk översättning):

A clickjacked page tricks a user into performing undesired actions by clicking on a concealed link. On a clickjacked page, the attackers show a set of dummy buttons, then load another page over it in a transparent layer. The users think that they are clicking the visible buttons, while they are actually performing actions on the hidden page. The hidden page may be an authentic page, and therefore the attackers can trick users into performing actions which the users never intended to do and there is no way of tracing such actions later, as the user was genuinely authenticated on the other page.

For example, a user might play a game in which they have to click on some buttons, but another authentic page like a Webmail site from a popular service is loaded in a hidden iframe on top of the game. The iframe will load only if the user has saved the password for its respective site. The buttons in the game are placed such that their positions coincide exactly with the ”select all” mail button and then the ”delete mail” button. The consequence is that the user unknowingly deleted all the mail in their folder while playing a simple game. Other known exploits have been tricking users to enable their Webcam and microphone through Flash (which has since been corrected by Adobe), tricking users to make their social networking profile information public, making users follow someone on Twitter, etc.

Clickjackad Adobe Flash Player

Inställningar för Adobe Flash Player

Som framgår av Wikipedia så kunde man använda ”Clickjacking” för att slå på den ovetande användarens webbkamera och mikrofon via inställningarna för Adobes Flash Player.

Denna information gick dock inte att finna i någon av IDGs artiklar. Inte heller i en annan artikel på samma tema publicerad kort därefter skrev man tydligt om denna säkerhetsmiss, trots att artikel hette just ”Varning: Så lätt kapar hackare din webbkamera”. Dessutom publicerades denna artikel EFTER att Adobe hade lanserat en uppgradering för att förhindra diverse clickjacking-attacker, då metoden var känd länge!

Den enda som man kunde göra för att finna mer utförlig information var att följa länken till en utländsk sajt under en av de nämnda artiklarna på IDG, Computerworld, eller googla på termerna ”clickjacking” och ”adobe flash”. Detta resulterade i massor av träffar på artiklar på utländska sajter.

Clickjackade svenska medier

Så varför publiceras artiklar på IDG med rubriker som ”Så lätt kapar hackare din webbkamera” utan att ge utförlig information om metoden och hur man förhindrar den, och varför först efter att en uppgradering hade gjorts tillgänglig?

Min uppfattning är att svenska medier inte vill ”avslöja” för mycket om hur diverse illasinnade metoder fungerar, gissningsvis av juridiska och/eller moraliska skäl. De vill troligen inte sprida information om brottsliga handlingar vidare, eller förknippas med ”sensationsjournalistik” a la Aftonbladet.

Samma information går dock alldeles utmärkt att finna på seriösa utländska medier med hjälp av en sökning och ett par klick.Det är ju inte informationen i sig som är brottslig, utan användning av denna information.

Och om man översätter information från en annan sajt, borde man inte då åtminstone inkludera delar som är väsentligare än ”en bugg i Adobes Flash som gör det möjligt att ta kontroll över en användare dator genom att använda skadlig kod i en Flash-animation”?

En annan sida av myntet

Dessutom finns en annan sida av myntet. När utländska medier skriver så flitigt om detta problem så sätter de press på det berörda företaget att ta fram en lösning så snart som möjligt. Men svenska mediers ”försiktiga” attityd skyddar knappast datoranvändarna, utan förhindrar användarna från att sätta press på de berörda företagen när väsentlig information inte förmedlas på ett effektivt sätt.

Mediernas roll är inte längre att översätta och samtidigt förkorta utländska artiklar som det passar dem. Den eran är borta sedan länge.

Clickjacking: Ett exempel

Omröstning:

 Loading ...