En gammelmediaskribent låter naturligtvis inte fakta hindra en bra artikelvinkel, så man låter istället ett “lås- och säkerhetsföretag” få reklamplats i texten.

För något år sedan var det inte Facebook som utmålades som tjuvarnas paradis, då var det Gowalla och Foursquare.   Och om man går lite längre tillbaka:

och det är inte nog med dessa hemska telefonsvarare som orsakar inbrott, akta dig för begravningar och bröllop!

Nä, det är nog säkrast att säga upp sig från jobbet och sluta med semester.  Lås in dig och stanna hemma.

Men ikväll uppdaterade Sony sin info och meddelar bland annat:

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility.

Vad de säger är alltså att alla användaruppgifter antagligen har stulits. Det gäller sannolikt också kreditkortsinformation.  Om du använt PSN så finns det alltså en hyfsat stor risk att någon nu har tillgång till dina kreditkortsuppgifter.

Det är minst sagt märkligt att Sony behövde en vecka på sig för att berätta för sina användare.

Om du använt samma användarnamn och lösenord på PSN som på andra sajter är det nu en bra ide att byta lösenord på de andra ställena.  Helst då till olika lösenord för varje tjänst.  Det kan också vara en bra ide att ringa banken och höra om de rekommenderar att du byter kort.

Det finns en fil i Android som innehåller positionsdata, så långt är det likadant som i iPhone. Men medan iPhone tycks fylla på filen i all oändlighet så är filen i Android bara en tillfällig cache. Den innehåller de senaste positionerna och lagrar data i max 48 timmar. Cachedatat kan användas när en app vill veta position men inte behöver så exakt info att man måste dra igång GPSen, vilket då sparar batteri. Man kan också använda sig av cachedatat för en ungefärlig position under den tid det tar för GPSen att få en bra fix från GPS-satelliterna.

Det är alltså inte riktigt samma sak som att logga positioner för alltid. Det har spekulerats i om det var meningen att filen i iPhone skulle fungera på samma sätt, men att en bugg eller rent förbiseende gjort att filen inte rensas.

Så här långt är det alltså en funktion som används lokalt i telefonen.   Det finns också de som argumenterar för att Android även rapporterar positioner till Google som använder den informationen för att bygga upp sin egen positioneringsdatabas, att användas för positionering av telefoner och datorer som saknar GPS.

Ja, Android rapporterar sånt till Google regelbundet, men det finns en i mitt tycke väldigt väsentlig detalj.  Användaren kan välja om rapportering ska ske eller inte.

Så här ser det ut i min Nexus (Android 2.3.3) när jag slår på positionering via mobiloperatör/WiFi:

Jag får alltså själv välja om jag tycker det är ok att skicka info till Google eller inte. Notera att kryssrutan “Use wireless” alltså handlar om positionering. Oavsett om man godkänner rapportering eller inte fungerar förstås WiFi-uppkoppling som vanligt i telefonen.

I min lilla labbtelefon, Huawei U8300, ser det ut så här i svensktalande version (2.1-update1):

Man kanske kan ha synpunkter på översättningen, men funktionen finns med och användaren kan välja.

Att ha möjlighet att slå av eller på rapporteringen känns i varje fall marginellt bättre än att automatiskt ha godkänt den inbyggda spionen via ett avtal som man möjligen har ingått när man köpt telefonen.

Generellt har jag en hel del åsikter om att hårdvarutillverkare tar sig friheter på det här sättet.  Om de ska plocka ut information från min utrustning och använda/behandla på något sätt så är det oerhört viktigt att det är tydligt, att det är opt-in samt att man kan slå av eller på när man vill.  Det är min information och jag vill ha rätten att bestämma över den.  Jag använder t ex Foursquare, Gowalla, Places, Latitude och andra tjänster som är baserade på positionering, men det är jag som bestämmer när, var och hur.

Filen visade sig innehålla en fullständig logg över alla basstationer som iPhonen varit i kontakt med. Datum, tid och position noggrant noterade.     De har nu gjort ett hack som läser filen och plottar allt snyggt och prydligt på en karta.    Programmet kan hämtas här.

Det känns inte nödvändigt att påpeka hur märklig den här loggningen är. Helt klart är att datat är en guldgruva för den svartsjuke eller nyfikne som har tillgång till en dator som använts för synkning.

Vid gränspassager sker allt oftare en scanning och/eller kopiering av data från laptopdiskar.  Den här filen kommer förstås med där också och kan berätta en hel del om datorägarens vanor.

Å andra sidan har mobiloperatörerna tillgång till samma information.  Samma info som staten vill lägga vantarna på genom datalagringsdirektivet.

Ur den synvinkeln har jag hellre loggfilen i min egen dator än i statens, men det ska bli spännande att se hur Apple förklarar sig.  Jag gissar på (bort-)förklaringen att det var en debugfunktion som inte var menad att vara med i produktion.

Om du har en iPhone och vill minska risken att någon tittar på loggen, kan du välja att kryptera din backupdata i iTunes, men tänk på att välja ett bra lösenord.

Nu verkar det som Samsung är inne på samma farliga mark.  Keyloggern Starlogger har hittats i laptops från Samsung.  En keylogger kan spela in användarnamn, lösenord och allt annat man skriver på sin dator.  Det insamlade datat kan sedan skickas till någon via internet utan att datorägaren har en aning om vad som pågår.

Det är illa nog att många PC levereras fulla med bloatware, demoversioner och annat junk förinstallerat, men att dessutom få säkerhetshål på köpet…

Jag skulle vilja se den här historien bekräftad från fler källor, men tills vidare känns det som en bra ide att undvika Samsung-datorer.

update:

Jag började fundera över om Samsung möjligen gör något liknande i sina Android-telefoner och hittade den här texten.   Nu ska jag vika mig en foliehatt.

update 2:

Falskt alarm, uppenbarligen.  Tar av mig foliehatten igen.

Ungefär där var jag nöjd, ett snyggt demo av ett välkänt problem. Dvs, problemet har varit välkänt för alla som vet något om IT-säkerhet i allmänhet och web i synnerhet. Det här är inte nytt, jag kunde fått fram samma info via en mängd andra sniffers som funnits i åratal.

Det nya är gränssnittet som är tämligen enkelt att få igång och på ett bra sätt visualiserar problemet även för någon som inte vet hur TCP/IP fungerar.  Syftet med den här appen är alltså att visa att det finns säkerhetsproblem i många av de sajter vi besöker dagligen. Läs gärna det sista igen. Säkerhetsproblemet ligger hos sajten.

Visst är det bra om det här uppmärksammas, kanske kan man få några av sajterna att ta tag i problemet.  Tyvärr tycks det inte vara en vinkel som passar svensk press, här är det istället vanlig sensationshysteri som gäller.  Expressen har tex en “Så undviker du att bli drabbad” med “goda råd” som möjligen är välmenta men i stort sett fullständigt felaktiga.

Den första punkten är delvis korrekt, men bara delvis eftersom grundproblemet fortfarande ligger hos sajten och det är fortfarande tekniskt möjligt (men krångligare) att avlyssna din trafik även om du kör via sladd.  Den andra punkten är däremot helt missledande, säkerhetsproblemet har absolut ingen koppling till Firefox. Nil, zip, nada.

Den som skrivit den där punkten borde överväga en ny karriär. Dörrvakt på centralens herrtoalett kanske skulle passa kompetensnivån?

Så vad är anledningen till att de här sajterna inte löser problemet?  Svaret är åtminstone delvis enkelt.  Pengar.  Kostnad.

Att kryptera data i en webserver drar extra prestanda.  Det finns flera faktorer som påverkar, men låt oss grovt uppskatta den extra lasten till 5%.  En webserver som klarar 1000 samtidiga användare med okrypterad trafik kan då bara hantera950 användare med krypterad trafik.  Jag har ingen aning om hur många servrar Facebook har igång, men för ett par år sedan talades det om mer än 10000.  Med tanke på hur många användare som tillkommit sedan dess rör det sig idag om nästintill ofattbart många maskiner.

Om man då ska erbjuda all trafik krypterad behöver man ännu fler maskiner. Hårdvarukostnad är en sak, sedan tillkommer löpande driftskostnader.  Tusentals nya maskiner ska sättas i drift och hållas med el och kyla.

Om jag hade varit journalist, så hade jag valt att fråga några av de här företagen varför de inte skyddar min information.  Men jag antar att sånt inte säljer tidningar lika bra som hysteri.

Kul att någon tar upp det konceptet i Sverige, men genomförandet kunde definitivt varit bättre.  Till att börja med så förväntas man maila svaret på en fråga till dem för att vara med i tävlingen. I mailet ska man ange sitt Gowalla-namn, så jag antar att de lägger in de tävlande manuellt.  Det kunde förstås ha gjorts mycket enklare och snyggare.

Sedan var det då var kampanjsidan ligger.  Adressen är http://kampanj.ica.se.test.levonline.com/wordpress/wordpress_sv_11/?page_id=65 vilket inte ser helt seriöst ut. Snarare ser det ut som ett phishingförsök med det riktiga domännamnet i början av ett annat domännamn.

Den sidan är dock ok, men servern som sidan ligger på är det inte.  Går man till förstasidan på samma server riskerar man att drabbas av en trojan.  Min Avast tutade högljutt.

Det känns som de hade lite väl bråttom med att få ut den här kampanjen.

@mansj påpekar att man får browservarning också, det fick dock inte jag i min Chrome.

Tillägg:

Stefan Ronge från Deportivo som ligger bakom kampanjen påpekar att de inte gjort den infekterade bloggen och att en ny kampanjsajt snart är på plats tillsammans med en fan page på Facebook.  Med tanke på hur snabbt han reagerade och svarade tvivlar jag inte på att Deportivo har koll på vad de gör.

Leverantören att peka finger åt i det här fallet är huvudsakligen Levonline som uppenbarligen inte klarar att hålla sina servrar friska.  Möjligen kan jag tycka att någon från ICA borde haft en bättre helhetsbild av projektet.

Guldmedalj i OS-grenen “Bad Timing” går därför nu till Microsoft som försöker locka besökare till sin partnerkonferens genom att använda precis samma trick. Det här landade nyss i min mailbox:

Tillägg:  Nu, bara några timmar senare, anlände precis ett mail till där de ber om ursäkt för det tidigare utskicket.  Sånt gillar vi, det är ok att göra en miss om man lär sig något av det.

“If you’re not prepared to be wrong, you will never come up with anything original“

Jag har skrivit om det här tidigare, “användarnamn och lösenord“, och min egen favoritlösning är fortfarande Roboform. Den genererar bra slumpmässiga lösenord när jag registrerar mig på en ny sajt och kommer ihåg dem tills jag ska logga in nästa gång.  Roboform fungerar numera även med Chrome och man har alltså tillgång till sina inloggningsuppgifter i såväl Internet Explorer, Firefox och Chrome samtidigt.  Det går också att ordna synkning mellan flera datorer om man vill.

Du kan ladda ned en 30-dagars trial-version, Roboform Trial, eller besök deras sajt för att läsa mer, Roboform.com.

Och fall inte för chokladfrestelsen.

På samma sida fanns förstås också länkar till andra relaterade sidor, tex min facebook-profil:

Det är fullt naturligt att Facebook-sidan kommer med bland de översta sökresultaten, men ser inte URLen lite märklig ut?  Den innehåller en mine.nu-adress som kommer från en dynamisk DNS-tjänst.  Jag tittar närmare på vart adressen leder och konstaterar att IP-adressen ägs av Chello Broadband i Österrike.

Det visar sig att det på adressen ligger en enkel proxy som vidarebefordrar alla requests. Går man tex till google.com.putza.mine.nu får man upp google.com.

Det betyder att om man luras att logga in på en sajt kommer proxyn att kunna fånga upp inloggningsuppgifterna. Nu fungerar det inte i Facebook-fallet, proxyn tycks inte hantera SSL, men det är tyvärr inte alla sajter som kräver inloggning över SSL.

I det här fallet misstänker jag att det är någon som satt upp en proxy på sin hemmamaskin för att kunna nå valfria sajter från ställen där de av någon anledning är spärrade, tex från skolan eller jobbet.  Det kan naturligtvis också vara ett rent phishingförsök.

Den stora frågan är hur den där urlen kunde hamna så högt i googlelistningen. Just nu ser jag ingen naturlig förklaring till det, men jag kanske är för trött. Kommentera gärna om du har en förklaring eller en teori.