2008-01-03

Tankeexperimentet FRA

I går kväll meddelade "Vuxna Förbannade Hackare" på Flashbacks forum att de hade tagit sig in på Sveriges största kvällstidning och fått tag på över 1000 användares lösenord. De lösenord som valts för en del användare var rent löjeväckande enkla. En sigge/sigge-variant användes av Informationsdirektör Olof Brundin och "anakin" användes av IT-chefen. Båda mycket osäkra lösenord och åtminstone en av dessa borde inse vikten av att använda svårknäckta lösenord.

Nu är detta långt ifrån någon ovanlighet. På mitt första jobb såg jag ibland skrämmande exempel på dålig informationssäkerhet, lösenord skrivna på skärmarna, på lappar på eller under tangentbordet eller musmattan. Lösenord på fyra siffror, barnens eller hundens namn. Lösenord som kort och gott varit skitenkla att lista ut om man engagerat sig i mer än 5 minuters social engineering.

Anledningen till att så många lösenord kunde listas ut var eftersom de alla kom från användarnas egen fantasi. Användarna är vanliga människor, om än journalister som har meddelarskyddet att tänka på och således borde vara väldigt säkerhetsmedvetna. Det är inte alla människor, det är till och med så att de flesta är så indoktrinerade av en falsk trygghetskänsla att de inte upplever sig hotade över huvud taget. Därför väljer de enkla lösenord, enkla att både komma ihåg och lista ut.

Problemet är att det finns mycket känslig information på en tidningsredaktion, speciellt en av Aftonbladets dignitet. Det spelar ingen roll. Säkerheten är dålig på sina håll ändå. En kedja är aldrig starkare än dess svagaste länk. Och någonstans i kedjan finns det alltid någon som sitter med sigge/sigge. Informationsdatabaser läcker. Alltid.

När det nya datalagringsdirektivet klubbades igenom i EU och FRA köpte sin hett efterlängtade superdator som nu ligger på femte plats över världens kraftfullaste superdatorer, möjliggör detta för en informationsinhämtning som är oöverträffad i modern såväl som historisk tid.

Stasi, den östtyska säkerhetspolisen under kalla krigets dagar, hade inte en tillstymmelse till de möjligheter som finns idag. Nu säger ni att Försvarets Radioanstalt är en säkerhetsmedveten organisation som aldrig kommer att ha en sigge/sigge i anställning. Det kan förvisso vara sant, även om jag betvivlar det. Människor kommer alltid att vara bekväma varelser som gör det lätt för sig. Det finns till och med de som skriver upp sin bankomatkod på sitt bankkort.

De som vill bryta sig in i databaserna som detaljerar svenskars privatliv, deras telefonsamtal, deras surfvanor, vilka GSM-celler de befunnit sig i, vilken ort de nätsurfat ifrån, vilka räkningar de betalt, vilka övervakningskameror de passerat, behöver bara hitta den svaga länken. Den anställde som har skrivit upp sitt lösenord, som den här veckan är det svårknäckta g45&fx!+0, på en lapp bredvid tangentbordet, i handväskan eller i skräpkorgen för att lättare komma ihåg det. sigge/sigge.

Vill du att alla ska kunna ta reda på dina hemligheter?

Informationsdatabaser läcker. Alltid.

Läs även andra bloggares åsikter om , , , , , , , ,

Inga kommentarer: