Anders Romelsjö på jinge.se

Chefredaktörerna ylar om datasäkerhet

Självklart ska man få ha sina inloggningsuppgifter ifred från hackers, samtidigt kan jag inte undgå att lyfta på ögonbrynen när Jan Helin från Aftonbladet och Thomas Mattson från Expressen skriver långa artiklar och låter sig intervjuas i olika TV-program där de försöker framstå som etikens försvarare och den privata integritetens riddare. Det blir ett lätt löjets skimmer över det hela, dessa män skyr inga medel om de kan agera på ett upplagefrämjande sätt, men då handlar det om ”pressfrihet”. Backa bandet till Juholt-
drevet för ett par veckor sedan..

Aftonbladet: ”Lösenordet till tusentals kända svenskar har legat ute på internet i flera veckor. Vissa av dem har haft samma lösenord till bloggen som till betydligt mer känsliga adresser. – Det är för jävligt. Jag hade samma lösenord till min riksdagsmail tidigare, säger Carl B Hamilton. Samtliga lösenord som finns registrerade på bloggtoppen.se har läckt ut. Tusentals lösenord; privatpersoners, kändisars och toppolitikers, finns nu på nätet. Har du någonsin haft en blogg registrerad på bloggtoppen.se måste du omedelbart byta löseord. 93 000 användarkonton är drabbade.”

Jag kan inte säga att jag följer hackarnas bedrifter särskilt noga, men jag vet att det finns, eller har funnits, grupper med dramatiska namn som Anonymous och Vuxna Förbannade Hackare. Initierade kan säkerligen rada upp många namn på olika grupperingar som finns eller har funnits.

Visst, det finns många som av bekvämlighetsskäl eller ren dumhet använder enkla lösenord, en bekant till mig använder ”sötakajsa” som lösenord. Och det lösenordet har han lagt in både på sin blogg och på sin webbmejl. Nu har jag förvanskat det tillräckligt mycket för att han inte ska drabbas av svårigheter, men ett lösenord bör se ur så här: ”x%hY9,/…9DdSe@9oÖ.Jy%#?e!?,,jKO6rr”*åÖ´7/” Om det ser ut på det sättet och dessutom är 25-30 tecken långt så ska det mycket till för att hackers ska kunna lista ut mer än ETT av dessa lösenord. Har man dessutom olika lösenord på varje webbplats så är man hyfsat väl skyddad. (forts nedan..)

Man kan givetvis också tänka sig att olika webbplatser använder samma system som banker, men troligen är det att skjuta mygg med en luftvärnskanon, i alla fall för en blogg. Jag har för mig, rätta mig om jag har fel, att kvälls-
tidningarna själva har varit utsatta för cyberattacker, och då går det bra att göra en pudel och lova att se över säkerheten. När andra drabbas, som nu Bloggtoppen, ja då blir det brösttoner och tal om polisanmälningar.

Sedan förekommer det en direkt felaktighet i tidningarnas rubriker. De hävdar att lösenorden har spritts nu, men så är det inte. Den som vill ta fram det verkliga lösenordet måste skaffa ett datorprogram som kan omvandla dessa lösenord till klartext, det går att göra men det är inte lika enkelt som det verkar i tidningarna. Men brösttoner är enkla, ibland verkar det som att de är det enda som finns på chefredaktörers repertoar.

it Andra om: , , , , , , , , , , ab1 ex1 svt1 sr dn1 svd1 Läs gärna: altruist, annarkia, 1, romelsjö, badlands, humanlabrat, 1, ilsemarie, 1, 2, mberglund, varghjärta, 1, allende, k&å

Jinge

, , , , , , , , , ,

11 svar till “Chefredaktörerna ylar om datasäkerhet”

  1. Det viktigaste med lösenorden är ju inte hur de ser ut utan hur svåra de är att knäcka. Följande tabell ger en indikation på hur många tecken som behövs för att få ett säkert lösenord: http://en.wikipedia.org/wiki/Password_strength#Password_strength_depends_on_symbol_set_and_length

    80 bitars entropi räcker för de viktigaste lösenorden, men kräver dock 18 tecken om lösenordet bara innehåller bokstäver. Problemet är att dagens system inte är gjorda för långa lösenord, dessvärre utan oftast är det 6-10 tecken som gäller och inga symboler. Det borde finnas en standard för lösenordshantering och fler system borde tillåta lösenord baserat på entropi snarare än antal tecken.

    J+ingeH-arE/nF*otoblogg är ett mycket säkert lösenord och väldigt lätt att komma ihåg.

  2. Det är bra med långa ifall man testar med brute force, dessutom kan man ha de olika på ett dokument i den egna datorn om den inte kan nås av obehöriga. Bara att kopiera och klistra in. Behöver man ha med sig uppgifterna kan man spara dem på en minnespinne på nyckelknippan.

    Visst har de påpekat, men rubrikerna är 90 000 användares LÖSENORD på drift, och så är det inte.

  4. Aftonbladet ylar om datasäkerhet och källskydd. Själva sitter dom med fasta lösenord. Om dom nu är så måna om sina källor SKA man använda VPN med engångslösenord. ALLA som jobbar med känslig information ska använda liknande lösningar. Frukstansvärt oseriöst och jag förtår inte varför ingen ställer den frågan?
    Stora mediabolag ska kunna implementera en sådan lösning. Fattar inte vad deras IT-ansvariga håller på med.

  5. Tog del av diskussionen i morgonsoffan på SVT i morse i ämnet. ABs fokus på hur viktigt det är att journalisternas källors anonymitet kan försäkras kan jag förstå, samtidigt saknar jag det andra perspektivet, hur säkra kan vi mediakonsumenter vara på att de nyheter källorna säger sig vilja förmedla är sanna när de kan gömma sig bakom anonymiteten? Journalisternas jobb är att förmedla nyheter som är sanna eftersom det är dessa som är relevanta i en demokrati värd namnet. Lever de upp till detta? Kanske finns det de som själva vill kunna se vilka uppgiftslämnarna är för att kunna bedöma sanningshalten i vissa ”nyheter” ..

  6. Men jösses. Man kan väl för sjutton inte skriva samma lösen på en slumpmässig hemsida på nätet som till något viktigt, det finns ju ingen anledning. Verkar som folk tror att de är hemma när de är på en hemsida på nätet, när de i själva verket befinner sig bakom fiendens linjer!

  7. Eftersom hemsidorna lagrat osaltade md5 checksummor av lösenorden så hjälper det inte att ha 60 tecken långt lösenord. För en struntsumma kan man hyra in sig i molnet för en timme och knäcka miljoner lösenord. Personerna som driver hemsidorna borde ha varit mera uppmärksamma i skolan, endast amatörer skapar sådanna lösningar.

  8. Varje gång man reggar sig på en site så bör man anta att det är en spamtrap och uppge sin slask-epost. Man bör i min mening inte avslöja sitt möjliga login-namn och var man arbetar genom att uppge sin riktiga epostadress. Jinge till exempel, jag litar på att han inte är en spamtrap, så han har fått en nivå över slaskepostadressen, men inte min riktiga. Eventuellt kan han luska reda på den, det var ett tag sedan jag kontrollerade att det inte uppstått en koppling mellan dem.

    Att inte skriva in sin arbetsepost när man registrerar sig på en webbsida borde vara grundkurs för datoranvändning på varje arbetsplats, samt hanteringen av lösenord. Ditt lösenord på företaget är en företagshemlighet, en känslig uppgift som du inte får lämna ut. Det förekommer aldeles för ofta att folk kommer åt folks inloggningar genom registrering på en sida som sedan blivit knäckt.

  9. Jan Helin sa i SVT:s morgonprogram att uppgiftslämnares identitet till varje ska skyddas. Jag ska tala om något om medias uppgiftslämnare. Bland dessa finns hemsidor som brukar ha för vana att trakassera privatpersoner. Dessa så kallade ”uppgiftslämnare” brukar stå tillhands med för media totalt irrelevant information om privatpersoner, ibland väldigt kränkande och närgångna uppgifter. Av någon märklig anledning blir det aldrig några artiklar om dessa personer, men väl mycket annat som kan härröras till dessa uppgifter.

    Att det inte blir några artiklar om dessa har sin naturliga förklaring. Det är många gånger totalt omöjligt, eftersom uppgifter som exempelvis: nu har XX köpt följande kläder på internet vanligtvis inte är av den art som brukar bli löpsedlar. Det är heller inte privata uppgifter om sjukdomar, vilka personer dessa dejtat eller hur deras kroppar ser ut.

    För övrigt så kan även följande vara av vikt:

    Förutom att bistå media med dessa uppgifter brukar dessa s.k. ”uppgiftslämnare” ägna sig åt intrång och inbrott hos privatpersoner och skadegörelse av egendom. Även intrång i datorer och e-mejl-konton tycks ha förekommit.

    Frågan är på vilket sätt anser media att det är försvarbart med att hålla dessa krafter bakom ryggen?

    • Förutom att bistå media med dessa uppgifter brukar dessa s.k. ”uppgiftslämnare” ägna sig åt intrång och inbrott hos privatpersoner och skadegörelse av egendom. Även intrång i datorer och e-mejl-konton tycks ha förekommit. Frågan är på vilket sätt anser media att det är försvarbart med att hålla dessa krafter bakom ryggen?

      Kom med exempel på dina påståenden. Vad menar du, och var (och i vilken tidning) kan man se exempel på detta? Vilka är det du anser begår inbrott, och var och när. Och i vilket sammanhang anser du att media har missbrukat den sortens uppgifter?

  10. ”Ingen avancerad attack” skriver IDG http://www.idg.se/2.1085/1.412290/ingen-avancerad-attack
    Nej det är ju alldeles sant, en SQL-injektion är ingen avancerad attack som kräver några avancerade scanningsverktyg och annat, utan det räcker med en vanlig webbläsare. Dessutom är en SQL-attack rätt enkel att skydda sig mot för den som bryr sig det minsta om säkerheten för sina användare. Det gör självklart inte attacken i sig mindre allvarlig men det mest allvarliga är självklart den generellt sett dåliga insikten vad gäller säkerhet hos diverse internettjänster.

    Hmm IDG skriver ”Personerna som hackade bloggtoppen.se fick ut lösenorden ”hashade”, med andra ord krypterade.”. De antyder på så vis att hashning är detsamma som kryptering vilket är fel. Ett krypterat lösenord eller en krypterad fil går att dekryptera för den som har nyckeln. Ett hashat lösenord går däremot inte att dekryptera.

    Nåväl kontentan av det hela måste iaf bli att alla som tillhandahåller internettjänster måste ta ett större ansvar för sina användares säkerhet, och så svårt är det inte.
    Som läget är nu drar man sig verkligen för att registrera sig på några internettjänster öht eftersom man inte har en susning om vilken säkerhet de har.