Ungefär där var jag nöjd, ett snyggt demo av ett välkänt problem. Dvs, problemet har varit välkänt för alla som vet något om IT-säkerhet i allmänhet och web i synnerhet. Det här är inte nytt, jag kunde fått fram samma info via en mängd andra sniffers som funnits i åratal.

Det nya är gränssnittet som är tämligen enkelt att få igång och på ett bra sätt visualiserar problemet även för någon som inte vet hur TCP/IP fungerar.  Syftet med den här appen är alltså att visa att det finns säkerhetsproblem i många av de sajter vi besöker dagligen. Läs gärna det sista igen. Säkerhetsproblemet ligger hos sajten.

Visst är det bra om det här uppmärksammas, kanske kan man få några av sajterna att ta tag i problemet.  Tyvärr tycks det inte vara en vinkel som passar svensk press, här är det istället vanlig sensationshysteri som gäller.  Expressen har tex en “Så undviker du att bli drabbad” med “goda råd” som möjligen är välmenta men i stort sett fullständigt felaktiga.

Den första punkten är delvis korrekt, men bara delvis eftersom grundproblemet fortfarande ligger hos sajten och det är fortfarande tekniskt möjligt (men krångligare) att avlyssna din trafik även om du kör via sladd.  Den andra punkten är däremot helt missledande, säkerhetsproblemet har absolut ingen koppling till Firefox. Nil, zip, nada.

Den som skrivit den där punkten borde överväga en ny karriär. Dörrvakt på centralens herrtoalett kanske skulle passa kompetensnivån?

Så vad är anledningen till att de här sajterna inte löser problemet?  Svaret är åtminstone delvis enkelt.  Pengar.  Kostnad.

Att kryptera data i en webserver drar extra prestanda.  Det finns flera faktorer som påverkar, men låt oss grovt uppskatta den extra lasten till 5%.  En webserver som klarar 1000 samtidiga användare med okrypterad trafik kan då bara hantera950 användare med krypterad trafik.  Jag har ingen aning om hur många servrar Facebook har igång, men för ett par år sedan talades det om mer än 10000.  Med tanke på hur många användare som tillkommit sedan dess rör det sig idag om nästintill ofattbart många maskiner.

Om man då ska erbjuda all trafik krypterad behöver man ännu fler maskiner. Hårdvarukostnad är en sak, sedan tillkommer löpande driftskostnader.  Tusentals nya maskiner ska sättas i drift och hållas med el och kyla.

Om jag hade varit journalist, så hade jag valt att fråga några av de här företagen varför de inte skyddar min information.  Men jag antar att sånt inte säljer tidningar lika bra som hysteri.

Gårdagens trojan hos Expressen är ett aktuellt exempel på varför det argumentet inte håller.   Moderna sajter återpublicerar på olika sätt info som kommer från annat håll.

I det här fallet tycks det ha varit Expressens väderinfo-leverantör som varit den egentliga boven. Men, för den skrupellöse finns det en del pengar att tjäna genom trojaner och botnät, det kan lika gärna ha varit en betald annons som innehållit skadlig kod och som levererats via något av de externa annonsnätverk som Expressen använder.

Om du är i “det händer inte mig”-gruppen, dra upp huvudet ur sanden och installera virusskydd.  Nu.

(om du är i “jag kör mac/linux/löksoppa”-gruppen och tänker kommentera så har jag ett boktips hos Adlibris)

Ganska märkligt om Apple byggt sin lösning på det sättet, normalt har man en central databas som listar alla giltiga engångskoder så att man enkelt kan verifiera dem när de ska användas som betalning. Så fungerar tex skrapkoderna för att fylla på telefonkort och på det sättet behöver själva koden inte vara särskilt stark i sig.

Jag har inte sett någon officiell kommentar från Apple än.

Kanske är detta bara ytterligare ett exempel på att security by obscurity aldrig fungerar.

En snabb koll på svenska Tradera visar en del iTunes-presentkort att köpa till priser som tycks för låga.  Ett kort värt 200 USD (ca 1750 kr idag) säljs tex för 750 kr.  Koden levereras via email.

I kvällens mailskörd fann jag ett mail från Spotify som uppmanade mig att byta lösenord på mitt konto.

Hade de blivit hackade?  Nej.

Däremot har det funnits en svaghet i protokollet som används när användarens Spotify-klient pratar med Spotify-servern. Protokollet innehåller bland annat funktioner för att fråga servern om användarinformation. Med utgångspunkt från användarnamnet gick det att få fram fullständigt namn, adress och andra uppgifter, tex om användaren hade ett betalkonto eller inte. Det gick inte att läsa ut fullständig kontokortsinformation men de fyra sista siffrorna i en betalande användares kortnummer fanns tillgängliga.  Märkligt nog gick det också att läsa ut det “salt” som är en del i processen när användarens lösenord krypteras.  Detta skulle ha kunnat användas för att göra en brute-force attack och testa sig fram till rätt lösenord, för en användare i taget.

Den som designat protokollet måste ha haft en riktigt dålig dag, självklart ska de här delarna av användarinfo aldrig lämna servern.   Nu tycks det som att Spotify själva insett det redan i december och tagit bort de olämpliga delarna.

Att med brute force läsa ut alla användare och deras lösenord hade varit extremt tidsödande och det är inte sannolikt att det har skett.  När Spotifys VD, Daniel Ek, säger till IDG att “risken för den enskilde användaren är mycket liten” så har han antagligen rätt.

Frågan är varför de valde att meddela användarna nu, mer än två månader senare?   Förklaringen finns antagligen i programmet Despotify, som är en alternativ klient avsedd att kunna köras i tex Linux där ingen officiell Spotify-klient finns.  Despotify är open source, all källkod finns tillgänglig och i den hittar man också kommentarer om bristen i protokollet.

Min gissning är att Spotify tittat på källkoden, upptäckt dessa kommentarer och insett att det bara var en tidsfråga innan någon öppet skulle börja diskutera brister i Spotify. Det hade varit rejält dålig PR, man ville förekomma den diskussionen och gick därför själva ut med information.

Spotify har ingen lätt uppgift när de försöker få musikindustrin på sin sida och har inte råd med någon dålig publicitet.  Att själva ta initiativet och berätta om detta är ett försök att minimera skadan.

Det hade naturligtvis varit bättre om de informerat redan när de själva upptäckte och åtgärdade det potentiella problemet, men jag har viss förståelse för att de inte gjorde det.  Det var helt enkelt inte troligt att någon användare drabbats.

Tyvärr formulerar pressen sig ändå på ett sätt som ger intryck att tusentals användares information är ute i det fria.  Trist eftersom Spotify är ett fantastiskt bra sätt att (lagligt) hitta musik via nätet.

Läs också hos: Aftonbladet IDG IDG Expressen Affärsvärlden (som inte tycks ha förstått pressmeddelandet) och Sydsvenskan (som inte heller kan läsa innantill).  Spotify skriver förstås själva på sin blogg.

(Om man är mer konspiratoriskt lagd kan agerandet förstås vara ett sätt att svärta ner Despotify genom att antyda att de som ligger bakom Despotify skulle vara ansvariga för problemet.  Jag hoppas att så inte är fallet.)

Update: Despotify svarar hos IDG

1. Köp en lista med stulna men fungerande kortnummer.
2. Köp SMS i bulk av lämplig leverantör med hjälp av de stulna kortnumren.
3. Köp tillgång till några timmars användande av ett botnet
4. Använd botnetet för att generera fejkade röstnings-SMS, med avsändarnummer som originerar från “rätt” land
5. Vinn omröstningen

Om man skulle vara en glad hacker, låt säga en rysk för exemplets skull, med ett bra kontaktnät, så kanske man inte ens behöver betala för punkterna 1 och 3 eftersom man kan få tillgång till det ändå.

Apropå ingenting alls, då. Resonemanget ovan är givetvis helt hypotetiskt och har förmodligen ingen verklighetsanknytning.

Att jag överhuvudtaget funderar över detta beror på att Per Hellqvist’s blogg ikväll ledde mig till Jonathan James som drar märkliga och felaktiga slutsatser. Jonathan skriver om att Verket för Högskoleservice blivit hackade.

Jonathan googlade efter andra sajter som sprider samma skadliga kod och hittade den bland annat på två kinesiska sajter som han konstaterar tillhör kinesiska myndigheter. Utifrån det drar han slutsatsen att kinesiska myndigheter ligger bakom attackerna och Per Hellqvist är snabb att påstå att Jonathan lett detta i bevis.

Det gemensamma i den senaste attackvågen är att man attackerar enkla, men vanligt förekommande, mål, närmare bestämt gamla sajter skrivna i ASP. Själva attackerna sker från botnets som inte diskriminerar några sajter, det är en fullständig bombmatta där man försöker göra en SQL injection och direkt går vidare till nästa sajt utan att analysera resultatet.

De två kinesiska sajter som Jonathan pekar ut är också skrivna i ASP. Den gamla fransiskanermunken William of Ockham skulle antagligen komma fram till en slutsats av detta faktum, men resultatet skulle inte bli detsamma som Jonathans. Det är helt enkelt inte mer sannolikt att dessa två sajter avsiktligt sprider den skadliga koden än att någon av de sajter jag räknade upp i början gör det.

Jag vet inte om Per Hellqvist och Jonathan James har en politisk agenda, men den här typen av propaganda och desinformation fyller ingen annan funktion.

Inget nytt i den delen, det handlar om hyfsat kända problem som “bara” drabbar den som envisas med att använda Internet Explorer. Det som är intressant och skrämmande är mängden sajter som laddar scriptet för den intet ont anande besökaren.

Bland de drabbade hittar man sajter från FN, flygbolag och ambassader. Resesajter, privata sajter, forum och många andra. Kort sagt, sajter som man besöker utan att ha anledning att tro att de vill skada ens dator. Vid en snabb kontroll igår hittade jag ett helt gäng svenska sajter som drabbats.

Det de här sajterna har gemensamt är att de är databasdrivna. Det innehåll som visas för besökaren finns inte lagrat som HTML-sidor i textfiler utan ligger istället i en databas. Det gör att sajternas “redaktörer” via ett administratörsgränssnitt enkelt kan uppdatera innehållet, lägga till artiklar eller ändra rubriker och texter.

Problemet är att om den illvillige hackern Filip Fjunmustasch lyckas ändra i databasen, så kommer hans ändringar att visas för sajtens besökare. Den snabbtänkte läsaren tycker nu förstås att den som äger sajten borde se till att Filip inte kan ändra i databasen. Det är så sant, men det är inte alla sajtbyggare som har tänkt så långt.

Bombmatta

Veckans angrepp är inte på något sätt riktat mot specfika sajter. Det är en bombmatta som lagts ut, praktiskt taget varenda sajt i världen har blivit utsatt för ett intrångsförsök men bara de sajter som varit sårbara har drabbats. Nu är det förstås inte fråga om en miljon kineser som manuellt suttit och besökt alla sajter i världen utan en programvara som systematiskt bearbetat alla sajter.

Den teknik som använts kallas SQL Injection och innebär att man som besökare på en websajt tillåts skicka ett SQL-kommando till sajten som glatt skickar det vidare till databasen utan att fundera över om det är klokt eller inte.

I de fall angreppet lyckats har javascript-kod lagts in i databasen och därmed visats för besökarna. De besökare som använt Internet Explorer har hämtat hem scriptet och i alltför många fall drabbats av elak kod som installerats i deras dator.

När jag skriver detta ser det ut att vara mer än 700 000 sajter som drabbats (en enkel google-sökning visar ett ungefärligt antal). Många systemadministratörer och webmasters torde ha slitit sitt hår de senaste dygnen. Hur många användare som fått sina datorer infekterade för att de besökt någon av dessa sajter vill jag inte ens tänka på.

Vad kan man då lära sig av detta?

Som användare kan du se till att inte använda en trasig webläsare. Oavsett vilken du föredrar ska du se till att den är uppdaterad, även en version som bara är några månader gammal kan innehålla säkerhetshål som Filip och hans kompisar redan hittat. Ett uppdaterat virusskydd hjälper också.

Om du varit med om att bygga någon av de drabbade sajterna så kanske du borde överväga att byta yrke. Eller om du trivs med det du gör, se till att lära dig allt du behöver för att göra ett bra jobb. Ta ansvar för vad du levererar.

(IDG har också rapporterat nu: här och här)

Spray har inte ens orkat använda en grundläggande hash för att lagra lösenordet.

(klicka på bilden för större version)

(edit: idg.se: Intrång på spray.se)

För tillfället är sajten nere och visar det här smått underhållande meddelandet:

Hackarna har dels lagt ut källkoden för själva sajten samt en kopia på databasen. De har anonymiserat användarinformationen med hänvisning till att det är användarna som drabbats av sajtens påstådda bedrägeri.

Dataintrång är ett brott och jag pratar hellre om hur man bäst skyddar sig mot det än om hur man utför brotten. Trots det tycker jag att det här hacket skulle kunna klassas som civil olydnad och det kan onekligen vara nyttigt ibland.

(edit: jag påstod först att det var VFH som hade utfört hacket, jag skyller på att jag inte hade fått dagens första kopp kaffe när jag först skrev detta)