Kul att någon tar upp det konceptet i Sverige, men genomförandet kunde definitivt varit bättre.  Till att börja med så förväntas man maila svaret på en fråga till dem för att vara med i tävlingen. I mailet ska man ange sitt Gowalla-namn, så jag antar att de lägger in de tävlande manuellt.  Det kunde förstås ha gjorts mycket enklare och snyggare.

Sedan var det då var kampanjsidan ligger.  Adressen är http://kampanj.ica.se.test.levonline.com/wordpress/wordpress_sv_11/?page_id=65 vilket inte ser helt seriöst ut. Snarare ser det ut som ett phishingförsök med det riktiga domännamnet i början av ett annat domännamn.

Den sidan är dock ok, men servern som sidan ligger på är det inte.  Går man till förstasidan på samma server riskerar man att drabbas av en trojan.  Min Avast tutade högljutt.

Det känns som de hade lite väl bråttom med att få ut den här kampanjen.

@mansj påpekar att man får browservarning också, det fick dock inte jag i min Chrome.

Tillägg:

Stefan Ronge från Deportivo som ligger bakom kampanjen påpekar att de inte gjort den infekterade bloggen och att en ny kampanjsajt snart är på plats tillsammans med en fan page på Facebook.  Med tanke på hur snabbt han reagerade och svarade tvivlar jag inte på att Deportivo har koll på vad de gör.

Leverantören att peka finger åt i det här fallet är huvudsakligen Levonline som uppenbarligen inte klarar att hålla sina servrar friska.  Möjligen kan jag tycka att någon från ICA borde haft en bättre helhetsbild av projektet.

Guldmedalj i OS-grenen “Bad Timing” går därför nu till Microsoft som försöker locka besökare till sin partnerkonferens genom att använda precis samma trick. Det här landade nyss i min mailbox:

Tillägg:  Nu, bara några timmar senare, anlände precis ett mail till där de ber om ursäkt för det tidigare utskicket.  Sånt gillar vi, det är ok att göra en miss om man lär sig något av det.

“If you’re not prepared to be wrong, you will never come up with anything original“

Jag har skrivit om det här tidigare, “användarnamn och lösenord“, och min egen favoritlösning är fortfarande Roboform. Den genererar bra slumpmässiga lösenord när jag registrerar mig på en ny sajt och kommer ihåg dem tills jag ska logga in nästa gång.  Roboform fungerar numera även med Chrome och man har alltså tillgång till sina inloggningsuppgifter i såväl Internet Explorer, Firefox och Chrome samtidigt.  Det går också att ordna synkning mellan flera datorer om man vill.

Du kan ladda ned en 30-dagars trial-version, Roboform Trial, eller besök deras sajt för att läsa mer, Roboform.com.

Och fall inte för chokladfrestelsen.

På samma sida fanns förstås också länkar till andra relaterade sidor, tex min facebook-profil:

Det är fullt naturligt att Facebook-sidan kommer med bland de översta sökresultaten, men ser inte URLen lite märklig ut?  Den innehåller en mine.nu-adress som kommer från en dynamisk DNS-tjänst.  Jag tittar närmare på vart adressen leder och konstaterar att IP-adressen ägs av Chello Broadband i Österrike.

Det visar sig att det på adressen ligger en enkel proxy som vidarebefordrar alla requests. Går man tex till google.com.putza.mine.nu får man upp google.com.

Det betyder att om man luras att logga in på en sajt kommer proxyn att kunna fånga upp inloggningsuppgifterna. Nu fungerar det inte i Facebook-fallet, proxyn tycks inte hantera SSL, men det är tyvärr inte alla sajter som kräver inloggning över SSL.

I det här fallet misstänker jag att det är någon som satt upp en proxy på sin hemmamaskin för att kunna nå valfria sajter från ställen där de av någon anledning är spärrade, tex från skolan eller jobbet.  Det kan naturligtvis också vara ett rent phishingförsök.

Den stora frågan är hur den där urlen kunde hamna så högt i googlelistningen. Just nu ser jag ingen naturlig förklaring till det, men jag kanske är för trött. Kommentera gärna om du har en förklaring eller en teori.

Nä, jag föredrar riktiga böcker trots att de också har sina dåliga sidor  (nu syftar jag inte på innehållet i böcker av Jan Guillou, jag tänkte mest på flyttkartongernas vikt när man flyttar).

Men det finns tillfällen när ljudboken vinner över pappersboken, det är t ex både svårt och olämpligt att läsa en bok samtidigt som man kör bil och det kan vara trevligt att ha en ljudbok i mobiltelefonen som man kan lyssna på när man är ute och rör på sig.   Därför har jag vid några tillfällen köpt ljudböcker på nätet, alltid från ställen där jag får vanliga MP3-filer som går lätt att överföra till en iPod eller mobiltelefon, t ex hos Adlibris.

Dessa ljudböcker ligger alltså på min hårddisk och eftersom jag betalt för dem så tycker jag att de borde få ligga där, men så enkelt är det visst inte.  Blotta förekomsten av dessa ljudböcker i min dator skulle nämligen kunna användas som bevis för att jag ägnar mig åt fildelning av ljudböcker.

Låter det osannolikt?   Nej, efter att ha läst den här artikeln av André Rickardsson, tidigare expert på IT-säkerhet hos SÄPO, inser jag att det vore fullt möjligt.

I det specifika ärendet 2707-09 hos Solna Tingsrätt finns ingenting i ansökan som visar att någon fildelning faktiskt har skett.  I ansökan sägs att “verken tillgängliggjorts” och det påstås att det skett “i stor skala”.  Men någon bevisning för det finns inte i ansökan.  Man visar bara att de listade ljudböckerna fanns på en dator ansluten till den IP-adressen just när Antipiratbyrån, utan ägarens samtycke,  tog sig in i den datorn.

Om Anders Nilsson hos Antipiratbyrån får för sig att bryta sig in i min dator skulle han bara behöva göra några skärmkopior/utskrifter av innehållet i min ljudbokskatalog för att kunna göra en ansökan hos tingsrätten.   Om tingsrätten godkänner den så är nästa steg att Antipiratbyrån stormar min lägenhet med hjälp av kronofogdar och beslagtar mina datorer i väntan på utredning.

Naturligtvis skulle jag så småningom frikännas eftersom jag antagligen skulle kunna leta fram kvitton på att jag köpt dessa böcker, men under tiden skulle Henrik Pontén skicka ut pressmeddelanden om ytterligare ett lyckat tillslag.  Jag kan livligt föreställa mig hur de skulle formuleras.

“Vid tillslaget beslagtogs hårddiskar på totalt 3TB, motsvarande 7000 ljudböcker”

Att mina 3TB hårddiskar inte är fyllda med ljudböcker utan med säkerhetskopior av programkod jag själv skrivit och digitalbilder från min egen kamera är ju ointressant när Pontén ska skryta över sin framgång. Hans uppgift är att få så mycket publicitet som möjligt och tidningarna kommer okritiskt att påstå att mina hårddiskar verkligen innehöll just 7000 ljudböcker.

Själv skulle jag under tiden berövas möjligheten att jobba, eftersom jag huvudsakligen jobbar hemifrån och behöver mina datorer.

Rättssäkerhet fanns helt enkelt inte med på agendan när Beatrice Ask och hennes kollegor godkände att företag utför polisarbete i frågor där företaget själv har vinstintresse.

Läs annat intressant om: ipred, personlig integritet, antipiratbyrån, fildelning

update: IDG skriver om detta, Michael Gajditza polisanmäler Antipiratbyrån

Gårdagens trojan hos Expressen är ett aktuellt exempel på varför det argumentet inte håller.   Moderna sajter återpublicerar på olika sätt info som kommer från annat håll.

I det här fallet tycks det ha varit Expressens väderinfo-leverantör som varit den egentliga boven. Men, för den skrupellöse finns det en del pengar att tjäna genom trojaner och botnät, det kan lika gärna ha varit en betald annons som innehållit skadlig kod och som levererats via något av de externa annonsnätverk som Expressen använder.

Om du är i “det händer inte mig”-gruppen, dra upp huvudet ur sanden och installera virusskydd.  Nu.

(om du är i “jag kör mac/linux/löksoppa”-gruppen och tänker kommentera så har jag ett boktips hos Adlibris)

Ganska märkligt om Apple byggt sin lösning på det sättet, normalt har man en central databas som listar alla giltiga engångskoder så att man enkelt kan verifiera dem när de ska användas som betalning. Så fungerar tex skrapkoderna för att fylla på telefonkort och på det sättet behöver själva koden inte vara särskilt stark i sig.

Jag har inte sett någon officiell kommentar från Apple än.

Kanske är detta bara ytterligare ett exempel på att security by obscurity aldrig fungerar.

En snabb koll på svenska Tradera visar en del iTunes-presentkort att köpa till priser som tycks för låga.  Ett kort värt 200 USD (ca 1750 kr idag) säljs tex för 750 kr.  Koden levereras via email.

I kvällens mailskörd fann jag ett mail från Spotify som uppmanade mig att byta lösenord på mitt konto.

Hade de blivit hackade?  Nej.

Däremot har det funnits en svaghet i protokollet som används när användarens Spotify-klient pratar med Spotify-servern. Protokollet innehåller bland annat funktioner för att fråga servern om användarinformation. Med utgångspunkt från användarnamnet gick det att få fram fullständigt namn, adress och andra uppgifter, tex om användaren hade ett betalkonto eller inte. Det gick inte att läsa ut fullständig kontokortsinformation men de fyra sista siffrorna i en betalande användares kortnummer fanns tillgängliga.  Märkligt nog gick det också att läsa ut det “salt” som är en del i processen när användarens lösenord krypteras.  Detta skulle ha kunnat användas för att göra en brute-force attack och testa sig fram till rätt lösenord, för en användare i taget.

Den som designat protokollet måste ha haft en riktigt dålig dag, självklart ska de här delarna av användarinfo aldrig lämna servern.   Nu tycks det som att Spotify själva insett det redan i december och tagit bort de olämpliga delarna.

Att med brute force läsa ut alla användare och deras lösenord hade varit extremt tidsödande och det är inte sannolikt att det har skett.  När Spotifys VD, Daniel Ek, säger till IDG att “risken för den enskilde användaren är mycket liten” så har han antagligen rätt.

Frågan är varför de valde att meddela användarna nu, mer än två månader senare?   Förklaringen finns antagligen i programmet Despotify, som är en alternativ klient avsedd att kunna köras i tex Linux där ingen officiell Spotify-klient finns.  Despotify är open source, all källkod finns tillgänglig och i den hittar man också kommentarer om bristen i protokollet.

Min gissning är att Spotify tittat på källkoden, upptäckt dessa kommentarer och insett att det bara var en tidsfråga innan någon öppet skulle börja diskutera brister i Spotify. Det hade varit rejält dålig PR, man ville förekomma den diskussionen och gick därför själva ut med information.

Spotify har ingen lätt uppgift när de försöker få musikindustrin på sin sida och har inte råd med någon dålig publicitet.  Att själva ta initiativet och berätta om detta är ett försök att minimera skadan.

Det hade naturligtvis varit bättre om de informerat redan när de själva upptäckte och åtgärdade det potentiella problemet, men jag har viss förståelse för att de inte gjorde det.  Det var helt enkelt inte troligt att någon användare drabbats.

Tyvärr formulerar pressen sig ändå på ett sätt som ger intryck att tusentals användares information är ute i det fria.  Trist eftersom Spotify är ett fantastiskt bra sätt att (lagligt) hitta musik via nätet.

Läs också hos: Aftonbladet IDG IDG Expressen Affärsvärlden (som inte tycks ha förstått pressmeddelandet) och Sydsvenskan (som inte heller kan läsa innantill).  Spotify skriver förstås själva på sin blogg.

(Om man är mer konspiratoriskt lagd kan agerandet förstås vara ett sätt att svärta ner Despotify genom att antyda att de som ligger bakom Despotify skulle vara ansvariga för problemet.  Jag hoppas att så inte är fallet.)

Update: Despotify svarar hos IDG

Det första verktyget är Microsoft Source Code Analyzer som kan hjälpa till att undersöka ASP-källkod och peka ut särskilt sårbara avsnitt. Jag har inte testat detta, men det kan sannolikt vara till hjälp för den som aktivt försöker förbättra gammal kod.

Det andra kommer från HP i samarbete med Microsoft, HP Scrawler som sägs kunna hitta problem från klientsidan. Det är en gratisversion av ett kommersiellt verktyg och den här versionen har sina begränsningar.

Det sista verktyget är egentligen inte nytt men uppdaterat. URLscan installeras som ett filter i IIS och kan konfigureras att inte släppa igenom requests som bedöms skadliga. URLscan behöver konfigureras att fungera med de applikationer man har men det finns exempelkonfigurationer som ger ett hyfsat grundskydd. Den här lösningen är lite som att sätta ett plåster på en läckande bensindunk, men kan i många fall vara den enklaste lösningen.

Meddelandet uppfyller alla tecken på phishing, men misstänksam som jag är ringde jag förstås Fortum för att kolla om de verkligen gör på det sättet. Jodå, det gör de. När jag frågade om man kunde förvänta sig någon form av legitimation från den som tar emot nycklarna lät kundtjänsten helt oförstående. Det skulle alltså inte vara svårt att ordna ett blåställ med en Fortum-logga på och skaffa sig fri tillgång till ett antal lägenheter genom den här metoden.

När jag ser ett stort företag göra på det här sättet får jag plötsligt bättre förståelse för varför folk blir lurade av phishing-email.