Just nu går mediadrivet gällande att bloggtoppen.se har fått sin passordlista avslöjad genom en enkelt SQL-injection. Detta är ett mycket gammalt och välkänt knep för att komma in en webbplats. Minns att jag läste om dem på 90-talet. Jag tycker att alla dagens IT-utvecklare borde känna till dem och vet hur de skall skydda sig mot den.
Men icke sa nicke. Man ser hela tiden sådana enkla knep fungerar för att ta sig förbi ‘säkerheten’ på webbplatser. För har de hål för denna enkla typen av attack så kan man knappast säga att webbplatsen har ett säkert system.
Hackerattack mot tiotusentals konton | Inrikes | SvD.
Detta är alltså ett litet intrång och inte speciellt upphetsande om det inte varit så att man twittrat ut hashkoderna via twitter från en uppmärksammad avhoppare från ett riksdagsparti. Själva hashkoderna publicerades nämligen för flera veckor sedan på flashback – så allt detta har varit känt i veckor innan. Men först när de publicerades på twitter av någon som använde sig av den kände riksdagsmannen twitter så blev det en nyhet.
Nu är detta att andra har tillgång till passorden. Många av denna typen av siter som bloggportalen har inte säker inloggning på sin webbplats. Det betyder att FRA kan i sin signalspaning få reda på passordet i klartext i stället för som en hashad summa. Det gör det enklare för FRA att gå in i allas epost och kolla vilka epostmeddelanden du fått.
Så detta är en storm i ett vattenglas. Webbplatser som inte tillåter säker inloggning så behöver man inte säkra passord för. Så gör som Rick Falkvinge och många andra och ha ett slänga-bort passord för siter med dåligt grundsäkerhet – för du vet om att andra kommer åt ditt passord någon gång. Se till att du dock använder ett unikt säkert passord på de siter där det är viktigt att ingen kan komma åt ditt konto.
Tyvärr tror jag samma stor förvåning kommer sker bland de drabbade då första gången man upptäcker i media att de data som lagras via datalagringsdirektivet hamnar i fel händer – frågan för mig är inte om det sker utan när det sker. Databaser läcker det har vi sett gång på gång på gång…
Lösenord heter det.
Kärt barn har många namn: krypteringsnykel, lösenord, igenkänningsord, nyckelord, kod. passerord
Ett förtydligande kanske är på sin plats. Om jag läst FRA-lagen rätt får FRA inte ägna sig åt aktiva åtgärder på nätet, dvs dataintrång. Om de skulle komma över ett knippe lösenord får de alltså inte själva använda dessa genom att ta sig in på olika konton. Möjligen kan man tänka sig att informationen överlämnas åt en annan tjänst i Sverige(KSI?) eller till någon utländsk samarbetspartner. Men förutsättningen är i så fall att a) sändare och mottagare inte finns i Sverige och b) att det rör sig om ett allvarligt utländskt hot mot landet, som t.ex. terrorism eller främmande makts underrättelseverksamhet.
Från en läcka om hur FRA agerar:
””Lars” uppger att det inte görs någon fullständig granskning av information som utbyts mellan FRA och underrättelseorgan i andra länder, erfar Ny Teknik. Därmed kan uppgifter om vanliga svenska medborgares mejl, telefonsamtal, kontakter och sociala nätverk hamna i händerna på utländsk underrättelsetjänst. ”
http://www.nyteknik.se/nyheter/it_telekom/allmant/article3033210.ece