2015-11-06 11:11

Förundersökning om dataintrång nedlagd efter 1.5 år

Tidig morgon den 20:e april 2014 skedde ett dataintrång i bloggens officiella e-postkonto. Efter ca 1.5 år har nu polisen lagt ner förundersökningen. Här följer en redogörelse för hur intrånget gick till och hur man skyddar sig mot liknande händelser.

På morgonen 20:e april vaknade jag till ett SMS-meddelande från Google, som hanterar min e-post. Jag hade dock ignorerat meddelandet när det pep till nattetid. Det varnade för irreguljära inloggningar på bloggens e-post. Det visade sig vid en omedelbar kontroll att bloggens e-post hade loggats in på från ett IP-nummer på en privat hushållsadress i en förort till Södertälje, samt en annan e-post hade försökt loggas in på från Sydafrika. Försöket från Södertälje gick igenom utan varning, utan det var försöket från Sydafrika som gav en varning och även stoppades automatiskt.
Skärmdump från Googles säkerhetsskärm. Intrånget från Södertälje. Angriparen har både använt Chrome och Windows. IP-nummer etc har klippts bort ur bilden av mig.
Eftersom jag inte är helt inkompetent inom IT, trots att jag hackades (och vet hur det gick till, mer om det nedan), så stoppade jag intrånget ganska omgående. Ingen känd skada, annat än informationsläckage av okänd omfattning. Viktig information och data hanteras dock inte via det kontot, även om källor kan ha röjts.

"Inloggning har skett med korrekta lösenord, och jag har lösenord som avrundat är ca 20 tecken långa (jag anger inte exakt längd av säkerhetsskäl), inte innehållande några ord och utgörandes kombinationer av godtyckliga siffror, tecken och bokstäver. Ej heller finns lösenorden nedskrivna okrypterat någonstans, vare sig analogt eller digitalt. Att knäcka lösenorden via råstyrka kan anses vara omöjligt, 48^20=4.21526369e+33 kombinationer skulle behöva testas. Med 10 000 inloggningsförsök i sekunden skulle det fortfarande ta 8e+22 år att råstyrka sig in, förutsatt att Google inte skulle blockera inloggningen efter X misslyckade försök."
Sedan dess har jag förstås bytt lösenord och aktiverat tvåstegslösen, samt skärpt mina rutiner med publika WiFi-nät.

Även om jag i det inlägget lade fram några alternativa sätt att komma över mina lösenord, så är jag helt säker på hur det hela gått till, nämligen via en man-in-the-middle-attack (MITM) via WiFi-spoofning i SJ:s lounge i Göteborg.

I loungen finns det ett WiFi-nät för resenärerna via en captive portal. Lösenordet står i klartext på disken i loungen. Det var känt att jag skulle åka till Stockholm vid tillfället, men det kan också vara så att jag är ett slumpmässigt offer.

Spoofningen består i att sätta upp ett WiFi-nät med samma namn ("SJ_Lounge") via lämplig utrustning (i princip en bärbar dator eventuellt med en extra dongel för att inte bara bygga ett Wifi peer-nätverk), med egen DNS som pekar ut exempelvis Googles mailservrar mot en MITM-server på hackerns dator, och sedan bryggar vidare till förslagsvis SJ:s Internetkoppling, eller omdirigerar till en helt extern MITM-server.

För mig som offer ser allt ut att fungera som det ska. Då SJ:s captive portal dirigerar om all trafik till deras egen server, för inloggning med lösenordet, så får man normalt felmeddelanden om att identiteten på t ex google.com inte kan styrkas.

Jag var stressad vid tillfället och fick även sådana meddelanden från e-postläsaren, vilket aldrig hänt tidigare och aldrig hänt senare, och jag klickade snabbt bort dem med tanken att det var SJ:s captive portal som strulade. Vad jag inte tänkte på just då var att jag redan hade loggat in på SJ och det skulle inte komma fler felmeddelanden - jag kan ha tänkt att det berodde på tappat WiFi-koppling.

Därmed fick hackern mina fulla ca 20 tecken långa lösenord i klartext, även om kommunikationen skedde via SSL, i kombinationer av stora- och små bokstäver, siffror och tecken. De skickades över automatiskt av e-postläsaren i samma stund som jag klickade bort varningsdialogerna.

Efter en stund minns jag att en man i 30-årsåldern reste sig upp och packade ihop sin dator. Han stirrade konstigt på mig. Inte så där konstigt, som man brukar stirra på mig ("ful jävel"), utan konstigt.

Den natten loggade alltså någon in från Sydafrika och Södertälje, även om intrånget var kort och Sydafrikaförsöket blockerades automatiskt av Google. Att man kom över bägge mina e-postinloggningar, som jag aldrig skriver in i publik miljö, visar att det måste skett genom MITM mot e-postläsarna.

Notera att det är möjligt att genomföra en MITM utan att du vet om det mot din mobiltelefon, om du har automatisk hämtning av e-post. Genom att spoofa ett nätverk du någon gång loggat in på kan man automatiskt få dina lösenord via MITM när din mobiltelefon råkar koppla in sig på det WiFi-nätverket, t ex samma WiFi-nätnamn som din arbetsgivares eller ngt vanligt publikt nät (Homerun?).

Själv har jag dock inte automatisk hämtning av e-post, så den angreppsvektorn kan inte varit aktuell här.

Jag satte ihop ett omfattande förundersökningsunderlag. Polisen tog polisanmälan på allvar, eftersom jag som författare (och bloggare) är en del av lagstadgad yttrandefrihet och därtill har en del källor att skydda. Då bloggen är registrerad hos Myndigheten för Radio & TV omfattas den också av lagstadgat källskydd. Intrånget kan ses som ett angrepp på demokrati, yttrandefrihet och källskydd. Förundersökningsunderlaget visade tydligt vilka IP-nummer det handlade om, tidpunkter etc.

Att man tog anmälan på allvar visade sig på att den inte inom några veckor lades ner pga brott kan ej styrkas, spaningsunderlag saknas eller brott begånget utomlands.

Allt polisen behövde göra var att vända sig till berörd Internetleverantör (i Södertäljefallet) och få ut vem IP-adressen tillhörde vid den exakta tidpunkten och göra en husrannsakan. Detta skedde dock inte, utan jag blev först kontaktat av polisen i somras.

Vid det laget har inte längre Internetoperatörerna några lagkrav på sig att spara uppgifter om vem som satt på ett visst IP-nummer. Eller så orkade inte polisen lyfta på luren och begära ut identiteten på adressens innehavare. Det kan också varit via en Tor-nod, vilket inloggningsförsöken från Sydafrika talar för.

Igår fick jag så beslutet om nedläggning av förundersökningen. För mig ny anledning, inte brist på spaningsunderlag eller brott kan ej styrkas. Nu hette det istället ej anledning anta att åtal mot enskild person kommer att väckas. Nedlagt på grund av att åklagaren antagligen inte orkar gå vidare med åtal. Man kan alltså mycket väl ha en misstänkt, men lägger ner då åklagaren inte förväntas bry sig. Beslutet kan överklagas.

Det finns några lärdomar här.

  1. Klanta er inte på publika WiFi-nätverk. Och nej, man kan inte köra en VPN-tunnel innan man loggat in via SJ:s captive portal. Jag har jobbat med Internet sedan jag var med och satte upp en av världens 500 första webservrar 1993. Jag har studerat säkerhet, jag har jobbat mer än tio år som IT-konsult med fokus på Internet. Men allt som krävdes var lite stress och slarv. You only need to be lucky/unlucky once...
  2. Använd tvåstegslösenord.
  3. Har du Google, gå in på security.google.com och ange vart SMS ska skickas vid misstänkta irreguljära inloggningsförsök. Finns under Enhetsaktivitet och aviseringar. Det kan vara en fördel att ha ett separat telefonnummer detta ska skickas till, t ex en säkerhetsansvarig hos din arbetsgivare om man använder Googles molntjänster. Detta för att ett angreppsförsök inte ska kunna döljas genom att man även t ex stjäl den angripnes mobiltelefon. Tillåt inte att SMS-innehåll visas på din mobils notifieringsskärm - då kan tvåstegslösen enkelt visas för en angripare utan att behöva logga in på telefonen. Sker ett inloggningsförsök med lösenordsdelen samtidigt som angriparen noterar att du har din telefon liggande framme, kan vederbörande eller en medhjälpare passera förbi och se del två av lösenordet och använda detta.
  4. Förvänta dig inte att polisen kommer göra något i tid.
  5. Har du en publik e-postadress, använd inte denna för känslig kommunikation, utan ha allt sådant på ett separat e-postkonto, med annat lösenord. Google blockerade tack och lov inloggningsförsöken till den viktigare e-postadressen, även om lösenordet var korrekt.
  6. För att undvika automatisk uppkoppling mot WiFi-nät du någon gång använt, och täppa till möjligheten till "osynlig MITM", radera alla WiFi-nät från din mobila enhet när du inte använder dessa, alternativt ta bort "koppla upp automatiskt" (motsv). 
  7. Gå regelbundet in på Google Security (eller din motsvarande tjänst) och kontrollera dina inloggningar. Obehöriga inloggningar från Sverige kanske inte ger varningar, likt Södertälje i mitt fall, och kräver manuell kontroll.
Googles tjänster är ganska säkra om man tillämpar tvåstegslösenord och även ställt in varningar för obehöriga intrångsförsök. Social hackning, vilket mitt slarv delvis kan klassas som, är förstås i teorin fortfarande möjligt, även om det är svårare vid tvåstegslösen. Tvåstegslösen förutsätter att du hela tiden har kontroll över din mobiltelefon - har du inte kontroll över den kan någon annan i teorin komma över andra delen av ett tvåstegslösen.

I övrigt, har ni något känsligt ni vill skicka via e-post, använd GPG/PGP eller S/MIME. Min publika GPG-nyckel hittar ni här. GPG fungerar dock inte på iPrylar (möjligt det dykt upp någon app vid det här laget), så ni kan i så fall behöva vänta lite längre på reaktion från mitt håll om jag inte sitter vid datorn.

Varför skriver jag då detta nu? Eftersom förundersökningen lagts ner så kommer detta inte påverka eventuellt åtal. Och security by obscurity is no security. Säkerhetslösningar ska vara så robusta att man ska kunna berätta om dem. Å andra sidan kan man alltid blanda in maskirovka när man ändå är igång.

22 kommentarer:

  1. Scary med den koll som man kan ha på internet.
    SVD har en spalt idag om den uppföljning som Kina gör på sina medborgare.
    Expressen har ju visat att de håller koll på oss.
    Det propageras i dagarna via postsända utskick om ett upprop till folkomröstning.
    Svar skall sändas via ytpost eller SMS ej datorer-allt för att klargöra att namnunderskrifter kommer i oriktiga händer/läs kvällspressens händer.

    Även du Cornucopia brukar outa kommentatorer ibland vilket ogillas men inte till den grad att man tystas!

    SvaraRadera
  2. Vad kan den som gjorde intrång varit ute efter och varför? Låter ju svårt seriöst om någon följt efter dig för att göra ett sådant försök när du är loungen.

    SvaraRadera
    Svar
    1. Nu får du inte förolämpa Cornucopia.
      Han skriver realistiska MÖP trillers som kanske kan intressera nån som vill informera sig om hans källmaterial!

      Radera
  3. Om det gått till enligt bloggarens teori kan det väl vara så att "mannen i 30 årsåldern" väntade på en lyckad capture mot en fake lokal google-mail DNS snarare just följt efter bloggaren. Så att det alltså var ett random fiske efter inloggning mot gmail som utfördes och så snart det lyckades så gäller det att packa ihop och avlägsna sej och sen gå hem och datamina mailkontot och snabbast möjligt försöka exploatera de data man kommer över.

    SvaraRadera
    Svar
    1. min kommentar var svar till RB alltså

      Radera
  4. Trodde inte att det var möjligt med mim-attacker på ssl, men det finns t.o.m. kommersiella produkter för ändamålet.

    fortigate

    En utläggning om fortigate

    SvaraRadera
    Svar
    1. Problemet med t.ex https är ju att det räcker med att vara ouppmärksam och klicka bort en varning så har man öppnat för en MIM-attack. Det vanligaste är nog att mänskliga faktorn är attack ektorn numera.

      Radera
    2. Inte äkta man in the middle...

      Du ansluter till fortigate direkt. Den kan inte lura dig att vara nån annan tack vare ssl certifikat.

      Jag hävdar att bloggaren har missanvänt man in the middle I det här fallet.

      Radera
  5. Tyvärr har smarta lurar den osmarta vanan att sända ut SSID för alla WiFi man har varit ansluten till, till omvärlden:
    http://arstechnica.com/information-technology/2014/11/where-have-you-been-your-smartphones-wi-fi-is-telling-everyone/

    Den informationen kan vara intressant för den som vill sätta upp en "evil twin" med SSL-stripper för MITM-attacker.

    SvaraRadera
  6. På tal om säkerhet, kanske det var en dålig idé av Pentagon att outsourca utveckling av kommunikationsprogram till Ivan, Boris och grabbarna:
    http://www.thedailybeast.com/articles/2015/11/04/pentagon-farmed-out-its-coding-to-russia.html

    (Hittade länken i Ivar Arpis twitterflöde)

    SvaraRadera
  7. Skulle vara intressant om författaren kunde berätta hur automatisk hämtning av mail kan leda till MITM? Den enda möjlighet jag ser är om man använder klartextprotokoll (oavsett efterföljande STARTTLS som kan strippas bort), vilket inte är att rekommendera i någon situation. Om man ansluter direkt till en TLS-port torde det inte gå, iaf min iPhone skriker direkt om hemmagjorda certifikat.

    SvaraRadera
    Svar
    1. Om det finns en mitm i närheten så kan den förstås på samma sätt som om man loggar in manuellt få tag på passord och liknande. Skillnaden är att den kanske går över en osäker wifi-spot som man gick in på bara för att surfa, och att man kanske inte själv märker något förrän långt senare. dllsniff och arpspoof verkar populära program för presumtiva mitm:are. Vill man lära sig hur man gör finns det bra instruktionsfilmer på youtube. Browsade ett klipp där man även lurade browsers med fejkade certifikat genom att utnyttja svagheter i dem, fast den var ganska gammal så de hålen är nog igentäppta nu. Men det visar att det inget är omöjligt.

      Även svagheter i browsers och nadra program med automatiska uppdateringar kan utnyttjas för att installera elakartad kod.

      Radera
    2. För några år sedan använde många tjänster bara ssl vid inloggning, men sedan (under sessionen) användes en cookie i klartext för autentisering vilken. Det var därför ex tillägget firesheep fungerade så bra

      Radera
  8. Det kan vara så att man mycket väl vet vem det är, men att vederbörande är misstänkt för ett flertal likadana händelser och spelar det ju ingen roll för eventuellt straff. Så nej, då orkar man inte bry sig om allt.

    SvaraRadera
  9. Inte så troligt att IP-adressen i Södertälje går till förövaren. Om hen VPNar till Sydafrika och misslyckas så är andravalet inte att köra på den egna uppkopplingen. Ett (semi)publikt wi-fi eller ett oskyddat hemnätverk hos någon mindre kompetent internetanvändare är väl mer troligt.

    SvaraRadera
  10. Jag fattar inte...

    En man in the middle kan inte lyssna av en ssl länk även om den är med i handskakningen.

    Menar du att du egentligen etablerade en ssl anslutning till hackers direkt?

    Då borde du fått varningar om ogiltiga certifikat om det inte var extremt välgjort.

    Ett tips kan vara att endast använda Chrome till Googles tjänster. De använder certificate pinning till sina egna tjänster så även om du får en varning och klickar bort den så kommer inte Chrome att etablera ssl sessionen eftersom Chrome kan Googles publika certifikats fingerprints.

    En hacker måste då också först få tillgång till din dator och hacka Chromes binär...

    SvaraRadera
    Svar
    1. Läs ovan igen. Jag fick varningar men klickade bort dem då jag car stressad och tänkte att de barnpjäs SJ:s captive portal.

      Radera
    2. Det kan vara så att angriparen använder en snarlik URL och användaren inte är uppmärksam. Eller att utgivaren blivit av med sin privata nyckel förstås. Hanteringen av Certifikat i webbläsare är lite för svårt/tekniskt för gemene man.

      Radera
  11. Fast det är det ju om användaren inte är uppmärksam på certifikatet eller vilken URL man besöker.

    SvaraRadera
  12. Råden är för all del bra, men inte särskilt praktiska i vardagen. Jag reser mycket (får varningar om ovanlig aktivitet hela tiden) och det skulle tex inte fungera att min arbetsgivare fick notifieringar. Det finns bara två tillräckligt enkla lösningar på detta för en vanlig användare:

    1) tvåfaktorsautentisering (out of band vid höga krav)
    2) system för beteendeanalys (ovanlig aktivitet osv)

    Det mesta annat fallerar på att man förutsätter att användaren följer rutinerna. Det gör de inte, iaf inte varje gång vilket väl historien ovan styrker.

    SvaraRadera
  13. Så att polisen tog anmälan "på allvar" kan vara en omskrivning att de glömde att lägga ner den pga "spaningsuppslag saknas" och istället lät den ligga och samla damm och efter ett halvår lägga ned den pga "ej anledning anta att åtal mot enskild person kommer att väckas".

    Skulle vara intressant med en redogörelse för vad polisen faktiskt gjort när de lägger ner ett fall, isht ifall de gör det av andra anledningar än "spaningsuppslag saknas" (ie "har ingen aning om vad vi skall göra") eller liknande beskrivningar som visar på att polisen faktiskt inte gjort något konkret.

    SvaraRadera
  14. Mjaha..så trots att IP serveras Kling och Klang på silverfat, orkar de inte lyfta luren innan loggarna raderats. Känns oerhört amatörmässigt.

    Det finns dysfunktionella, underbetalda poliser i tredje världen som med avsevärt sämre förutsättningar presterar bättre än svensk "polis".

    Varför accepteras detta? Det tillåts ju fortgå år efter år, inget annat händer än att någon bitter CIS-man skriver en liten arg snutt i ett kommentarsfält om poliser som är mer intresserade av värdegrund och prajd än att lösa brott.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...