Posted by on May 22, 2008

Nä, jag tror inte att svenska myndigheter sponsrar kinesiska hackers. Jag tror inte heller att brittiska ambassaden, Helsingborgs Cityförening eller American Airlines gör det.

Att jag överhuvudtaget funderar över detta beror på att Per Hellqvist’s blogg ikväll ledde mig till Jonathan James som drar märkliga och felaktiga slutsatser. Jonathan skriver om att Verket för Högskoleservice blivit hackade.

Jonathan googlade efter andra sajter som sprider samma skadliga kod och hittade den bland annat på två kinesiska sajter som han konstaterar tillhör kinesiska myndigheter. Utifrån det drar han slutsatsen att kinesiska myndigheter ligger bakom attackerna och Per Hellqvist är snabb att påstå att Jonathan lett detta i bevis.

Det gemensamma i den senaste attackvågen är att man attackerar enkla, men vanligt förekommande, mål, närmare bestämt gamla sajter skrivna i ASP. Själva attackerna sker från botnets som inte diskriminerar några sajter, det är en fullständig bombmatta där man försöker göra en SQL injection och direkt går vidare till nästa sajt utan att analysera resultatet.

De två kinesiska sajter som Jonathan pekar ut är också skrivna i ASP. Den gamla fransiskanermunken William of Ockham skulle antagligen komma fram till en slutsats av detta faktum, men resultatet skulle inte bli detsamma som Jonathans. Det är helt enkelt inte mer sannolikt att dessa två sajter avsiktligt sprider den skadliga koden än att någon av de sajter jag räknade upp i början gör det.

Jag vet inte om Per Hellqvist och Jonathan James har en politisk agenda, men den här typen av propaganda och desinformation fyller ingen annan funktion.

  • http://jonathanj.com Jonathan James

    Oj!

    Tack för att du läser min blogg!

    Några kommentarer till vad du skrivit..

    1) Kinesiska myndigheter sponsrar.. inte svenska.
    2) Jag har belägg för vad jag pratar om, se t ex mitt senaste blogginlägg som jag postat som trackback till din bloggpost.
    3) Jag har ingen politisk agenda, vilket du kan se på de vattentäta källor jag har för mina påståenden!

  • Ulf Hedlund

    Min rubrik var avsiktligt vald, eftersom den fil du hittar på de två kinesiska servrarna lika gärna kunde finnas på en svensk sajt och man kan inte dra några slutsatser från det.

    Filen finns på mängder av sajter för att underlätta fast-fluxing och alla är inte kinesiska. Mest sannolikt är det “manuellt” hackade sajter där man lånar bandbredd.

    Jag tvivlar inte på att det finns kinesiska intressen som utnyttjar tekniken men i det här specifika fallet ser jag inget som faktiskt bevisar det.

    Mängder med .edu-sajter innehåller sidor vars URL används för att sälja populära blå piller via spam, men det visar bara att någon skaffat sig möjligheten att lägga en fil där. Det *bevisar* inte på något sätt att det amerikanska skolväsendet sponsrar spammarna.

  • http://jonathanj.com Jonathan James

    Du blandar ihop fakta, gör felaktiga analoga jämförelser och använder haltande exempel när du argumenterar.

    1) Det är fastställt att Kina har en militär cyberforce, att de hackar internationella intressen samt företag. Fastställt genom forensisk teknologi samt även genom underrättelseinformation och uttalanden från Kinesisk militär.
    2) Det är fastställt att dessa attacker som är aktiva just nu härrör ursprungligen ifrån Kina.
    3) Det är fastställt att Kinesiska hackers stulit militär och kommersiell information från myndigheter och storföretag.
    4) Kinesiska myndighetssiter fungerar som lagringsplats för javascript, exekverbara trojaner samt exploitkod och har hostat denna kod sedan minst år 2006.
    5) Kina har endast gripit EN person (2007) för IT-brottslighet.

    Vidhåller du fortfarande att de inte (aktivt eller passivt) understöder och sponsrar illegal cyberaktivitet som i slutändan gynnar Kina som stat?

    Gör om, gör rätt! :)

  • Ulf Hedlund

    Att fråga om jag fortfarande har en åsikt som jag aldrig har haft eller uttryckt är ett fint gammalt trick. Tyvärr faller det försöket på att jag i föregående kommentar säger att jag inte tvivlar på att det förekommer.

    Jag håller däremot fast vid det jag skriver, nämligen att ditt inlägg inte innehåller några bevis för sponsring.

    Jag gissar dessutom att du inser det själv eftersom du använder formuleringar som “indikationer” och “aktivt eller passivt”. Per Hellqvist påstod däremot att du hittat bevis vilket var vad jag skrev från början (tyvärr trackbackas inte de usla IDG-bloggarna).

    Ett bevis som inte är oomkullrunkeligt är helt enkelt inte ett bevis.

    “Circumstantial, at best” skulle min favorit-TV-åklagare Jack McCoy säga (ja, jag ser på för många tv-serier :-)

  • alexander grahn

    Kan inget annat än att hålla med. det är ingen ovanlighet att sidor hackas för att hosta skadlig kod. därför är det omöjligt att se det som någon form av bevis.