Bloggens officiella e-post, samt Blogger-konton, har hackats och någon har läst bloggens e-post, och eventuellt skickat e-post, under natten. Återigen påminner jag er alla om att använda GPG/PGP eller S/MIME om ni vill kommunicera med mig.
Notera att e-post och Blogger-konton är olika, men bägge har utsatts för intrång under natten. Det verkar alltså handla om en specifikt riktad attack mot bloggen och mig, och inte något slumpmässigt angrepp.
Inloggning har skett med korrekta lösenord, och jag har lösenord som avrundat är ca 20 tecken långa (jag anger inte exakt längd av säkerhetsskäl), inte innehållande några ord och utgörandes kombinationer av godtyckliga siffror, tecken och bokstäver. Ej heller finns lösenorden nedskrivna okrypterat någonstans, vare sig analogt eller digitalt. Att knäcka lösenorden via råstyrka kan anses vara omöjligt, 48^20=4.21526369e+33 kombinationer skulle behöva testas. Med 10 000 inloggningsförsök i sekunden skulle det fortfarande ta 8e+22 år att råstyrka sig in, förutsatt att Google inte skulle blockera inloggningen efter X misslyckade försök.
Det finns därför, vad jag känner till, i princip tre attackvektorer för att fått ut dessa lösenord.
- Någon har lyckats installera en tangentbordssniffer på min dator och läst av dem när de skrivits in, alternativt via datorns nyckelrings lösenord avkrypterat dem ur datorns nyckelring för olika applikationer.
- Någon har utfört en man-in-the-middle-attack (MITM) på ett trådlöst nätverk, och utgett sig för att vara Googles olika servrar. Sist jag använde ett sådant var på SJ förra torsdagen. Åkte ni SJ:s tåg mellan Stockholm och Göteborg förra torsdagen kan ni också vara drabbade. Angrepp kan också skett emot SJ:s 1:a-klasslounge, som rimligtvis kan innehålla diverse intressanta angreppsoffer.
- Heartbleed-buggen har använts innan den patchades, och lyckats få ut mina lösenord.
Det finns diverse andra säkerhetsåtgärder, som jag inte går in på, som gör att jag finner 2. som den sannolikaste attackvektorn. Förhoppningsvis har det varit en generell sniffning av SJ-resenärers lösenord och inte en specifik attack mot mig, med kunskap om vilka tåg jag skulle befinna mig på (står i bloggens kalendarium att jag skulle till Stockholm).
Däremot har man alltså angripit två konton – både bloggen och min e-post. Antingen är det riktat eller så beror det på att bägge lösenorden snappats upp i samma MITM-sniffning.
Att angreppen skedde i natt är ingen slump. Helgtid och nattetid, speciellt långhelg, är ett perfekt tillfälle för att ett angrepp inte ska upptäckas eller åtgärdas optimalt snabbt av mindre uppmärksamma personer.
Det kan ha skickats e-post i mitt namn, som sedan aktivt raderats permanent och totalt från Googles mailkonton. Har man gått in och raderat dem från skräpkorgen, så kan jag inte se om det skickats någon e-post.
Se till att alltid ha 2-stegsinloggning aktiverad på era konton, dvs där man t ex måste logga in med engångskoder man får via SMS. Det hade inte jag – tvåstegsinloggning hade gjort angreppet svårare, men inte omöjlig, då diverse appar istället har separata lösenord om de inte stöder tvåstegsinloggning.
Återigen, kommunicerar ni känsliga uppgifter till mig, eller er identitet är känslig, skicka alltid e-post krypterat. Maila mig och fråga efter min S/MIME-nyckel om ni föredrar det, så svarar jag med ett S/MIME-signerat mail, annars hittar ni GPG/PGP-nyckel här.
Man kan diskutera timingen och vem som kan ligga bakom ett sådant angrepp, men det blir bara spekulativt. Bloggen är registrerad hos Myndigheten för Radio & TV och omfattas alltså av källskydd, så man bör se detta lyckade intrångsförsök som mycket allvarligt.
Tillägg: Minst en person som mailat mig tidigare har i natt fått vänförfrågningar på Facebook från välgjorda fejkkonton.
47 kommentarer
Vill minnas att du nämnt att du sitter bakom en vpn. Är inte det också en möjlig angrepps väg? Vilken vpn tjänst har du?
Angav du en epost som kan kopplas till dig? Kan din betalning spåras till dig? Ens vpn blir ju som ens isp…
Jag kommenterar inte mina säkerhetsarrangemang.
Ovanstående blogginlägg är för att underrätta de som e-postat mig och de som eventuellt fått e-post av "mig" under natten.
Det förstår jag. Tänkte bara ge dig en fjärde attackvektor.
Om man-in-the-middle-attack (MITM) på ett trådlöst nätverk är attackvektorn med högst sannolikhet kan ju Cornu knappast ha använt sig av ett VPN.
VPN rekommenderas förövrigt starkt om man nu använder sig av publika trådlösa nät. Litar man sedan inte på befintliga leverantörer sätter man ganska lätt upp en egen linuxserver som står och brummar hemma i garderoben redo att användas när man är på resande fot.
Verkar konstigt. Hur vet du att du blivit utsatt?
Jag kommenterar inte hur.
Jag ber om ursäkt, men jag tror faktiskt ingen är intresserad av att hacka dig eller din blogg :-).
Vad du tror bryr jag mig faktiskt inte om. Jag har bevismaterial, men det lägger jag naturligtvis inte ut här.
Bevisligen har du fel.
Jaha. Det där med routern låter som om du var en del av ett botnet. Din emailadress kan ha blivit stulen för att användas som spam. Att de lyckades bryta sig in beror inte på att du har ett för kort password utan för att syssarna på google är superbilliga indiska slavarbetare som tjänar en extra hacka på att sälja folks lösenord.
Dum fråga?: Har de som bara läst och kommenterat drabbats på något sätt?
Nej.
Använd alltid en ssh-tunnel eller liknande från okända wlan.
Fick du nån klarhet i varför din Telia Smart router/gateway laddade upp Gb? Du sa att du skulle ju få ett tel-samtal från Telia i feb.
Problemet försvann så fort jag skrev om dem på bloggen, och har inte kommit tillbaka igen, så jag har inte gått vidare kring det. Har tfnnr att ringa om problemen kommer tillbaka.
Slump?
Kan inte din kompis på Chalmers beräkna sannolikheten?
För simpelt, kanske…
Nej, det är naturligtvis ingen slump. Jag brukar citera fyskprof ; Paul Steinhardt; ”Anthropics and Randomness don’t explain anything”
Slump är en förklaring som man ofta tar till i brist på bättre…
Kom ihåg att din router mest troligt kör en gammal version av Linux med mängder av kända 0-days. Router med stock firmware är en hackers bästa vän.
Lite bättre routrar (bl.a. Asus) har VPN server inbyggd. Då har du full kontroll över säkerhetsarrangemanget och kan nå saker på ditt hemmanät som en liten bonus.
Okända Wifi-nät är lite som att slicka på hela rulltrappans ledstång på T-centralen. Oftast klarar man sig men ibland åker man dit rejält.
De har oftast OpenVPN inbyggt som kan vara påverkad av heartbleed
Just Asus verkar ha klarat sig undan, eftersom de körde 1.0.0i
Så ett visst brand skulle vara säkrare ?
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/?kw=100k_pvs&search=100k_pvs
Så ett visst brand skulle vara säkrare ?
http://arstechnica.com/security/2014/04/easter-egg-dsl-router-patch-merely-hides-backdoor-instead-of-closing-it/?kw=100k_pvs&search=100k_pvs
Någon satt kanske bakom dig på tåget och filmade vad du skrev. Svårare behöver det inte vara.
Så kallad Optisk röjande signaler (RÖS)
Om man har en enhet eller program som lagrar lösen åt en så fungerar inte det, det finns dock program som snor åt sig allt som hamnar på "clipboard" eller helt sonica snor databasen (inte så enkelt, då de är krypterade)
Använder man tex Apples "nyckelrings lösenord " , 1Password eller liknande så kan dessa program ibland luras till att skicka lösenordet till en sida man "luras" till (tex då kanske en hackad Wifi sida (SJ?) (information)
Jag förstår inte varför du säger att både e-post och Blogger-konto har hackats. Ett Google-konto kan innehålla både Gmail och Blogger, det är inte separata konton. Eller tolkar jag dig fel?
Är man säkerhetsmedveten har man lager av säkerhet, och använder separata konton för olika tjänster även om det är samma leverantör. Och i detta fall skedde intrång på bägge mina konton.
Lämpligen surfar man med sin 4G telefon som surfpunkt, hyfsat säkert med t.ex. WPA2PSK. Iaf bättre än en publik wifi-router.
Och de som hackade sig in kan ha varit ute efter ip-adresser/fysiska adresser till vissa av de som kommenterat.
Sen fungerar inte ip lokalisering speciellt exakt med mobilt internet, så det är svårt att veta exakt var personen befinner sig med bara IP-adressen som input. Vilket kan vara bra om man inte vill dela med sig om informationen var man är. Ser t.ex. att min IP via http://www.iplocation.net/ finns i Farsta, vilket är fel. Andra tjänster pekar ut den någonstans i närheten av Östersund, vilket också är fel.
Har fler drabbats?
George Orwell 1984 bok
Makten har inte placerat ut mikrofoner och kameror i våra hem, spionprylarna har vi själva lagt överallt i våra hem och vi bär ständigt på en kamera med mikrofon i.
Antingen byggs bakväggar in i produkterna eller så skapar man program för att gå in i produkterna.
4G där kan dom tömma övervakningen på ett ögonblick.
ADSL och fiber där kan dom tömma alt utan att det märks.
Stater eller någon med makt och pengar kan övervaka alt vi gör.
Cornu talar säkert sanning om hacket, vem ligger bakom?
Researchgruppen, får man utgå ifrån. Dom försöker hacka alla hyfsat stora sajter där folk tycker saker för att få information till sitt politiska övervakningsregister. Ett namn här, en ip där, en epost nån annanstans och vips har man besök av RF eller Aschberg. Jag hade nog fredat mig med dödligt våld i det läget.
Vore ju intressant att journalisten Aschberg bryter källskyddet jag omfattas av.
Han hänger ut folk som kommenterar på Avpixlat med namn, bild, adress och arbetsplats. Därmed inte sagt att han hackade Avpixlat. Han kan ha identifierat kommentatorer på Avpixlat genom info insamlad t ex här på din blogg. Källskyddet är inte värt något för folk på Researchgruppen, Expressen eller Aschberg. Dessa människor drivs av att tysta folk med avvikande åsikter. Källskyddet är inget som hindrar folk i RF eller Aschberg. Aschberg är ju trots allt bästa kompis med en redaktör på DN som dödat i politiskt syfte, han använder sig av en dömd mordbrännare för research osv.
Avpixlat har inget källskydd – saknar ansvarig utgivare.
Poängen är att svenska journalister inte har heder. Disqus hackades av Researchgruppen trots att systemet användes av tusentals skyddade tidningar, sedan köpte Expressen resultatet av detta hack och hängde ut personer. Källskyddet betyder nada så länge brott inte kan bevisas och det kan aldrig bevisas i dessa sammanhang.
Gustav detta hack är åtalbart inte något för svenska journalister.
Snorunge eller så är det någon som vill veta vad cornu vet, jag tror på det sistnämnda.
Jag gissar att alla cornus mejl nu läses av X
@ekvationsteorin
Med ditt track reckod skulle jag säga att det är pengamängden som ligger bakom inbrottet.
Eller vad säger du?
@cornu: numera har väl Avpixlat en ansvarig utgivare vid namn Mats Dagerlind?
Follow the money…
I första hand skulle jag gissa på branschorganisationen för konstruktionsmateriel för enstegstätade putsfasader. Du har retat det bolåne-torsk-industriella komplexet en gång för mycket och de är ute efter att täta sina läckor. Ja, inte i fasaderna förståss.
Du har åter igen idiotförklarat dig själv. Man blir inte hackad om man bara följer ett par enkla regler. Att tro att någon på på resa med SJ hackat dig är pinsamt löjligt. Att du sedan tror att du har några statshemligheter på din email spm någon är intresserad av är ännu mera pinsamt.
Det är bara du som tror att du är Sveriges viktigaste person och att ryssarna är inne och hackar/skriver på din sida. Eller är det NSA som hårdbevakar dig? Troligen. eftersom du är så viktig.
USA, Ryssland? Varför skulle de hacka mig? Det har jag inte skrivit något om, eller ens antytt.
Du verkar vara sinnesförvirrad.
Öh, om det nu är sant som Cornu säger att han blivit hackad, vilket jag inte betvivlar alls, så är det förstås någon som har intresse av att just hacka hans blogg, för att komma åt någon slags information som bara finns där. Det finns förmodligen någon miljon bloggare i Sverige, och varför är det intressant att ge sig på just honom. Kanske det är just det han skriver om, och de personer som kommenterar som är av intresse. Kanske det till och med att det är någon beslutsfattare eller annars inflytelserik person som man kan få en hållhake på om man kommer åt dennes persona och vad denne kväkt ur sig. Jag skulle säga att du Unknown just idiotförklarat dig själv, som mindre vetande. IQ 80 eller så är min bedömning. Tillräckligt för att kunna stava men inte tillräckligt för att kunna skriva ner en enda logisk slutsats, utan det stannar vid rent tyckande. Och just tyckande är ju precis vad vem som helst, eller Nån Annan kan producera jelt utan ansträngning 🙂
Med tanke på Heartbleed-buggen och alla andra buggar som ännu är okända i alla de otaliga program som vi dagligen använder personligen på våra datorer och hemma-system, mobiler, etc, så är det väldigt svårt att skydda sig i dagsläget.
Om man sen lägger till olika externa tjänster man använder sig av så ökar komplexiteten ytterligare.
Och sen har vi alla dessa nya "internet of things".
Allt detta gör att det är väldigt komplext och svårt att skydda sig då det hela tiden tillkommer komplicerande faktorer att ta hänsyn till.
Hur många har tänkt på vad ipv6 innebär och att det faktiskt redan finns omkring oss på olika sätt i olika enheter, och att det kring okunskapen om ipv6 och dess existens finns en gotteburk för angripare där de kan stoppa ned sina fingarar å slaska i sig i lugn o ro det dom vill ha? Det är ingen bra skyddsmetod att stoppa en soppåse över huvet i tron att man inte syns!
Sen finns det en fara i att man allför mycket fokuserar sig på att det är olika säkerhetstjänster som ligger bakom det ena och det andra, typ NSA som det tjatas om hela tiden.
Det är faktiskt tillåtet att använda huvet själv och förstå att internet inte är lika med Kalle Anka världen där allt serveras i en färdig lösning av osårbarhet och odödlighet. Internet kan göra ont, då mycket inte byggdes för säkerhet från början utan förlitade sig på tillit bland dom man kände och kommunicerade med.
Själv funderar jag på att satsa mer på IPSec istället för openvpn trots kritiken om påstådda försvagningar (NSA). IPSec har mig veterligen inte drabbats av Heartbleed-buggen, ex. som rapporteras från https://www.bestvpn.com/blog/9392/how-are-vpn-providers-handling-the-heartbleed-crisis/. Dessutom så togs ju IPSec fram i samband med ipv6, vilket passar bra då ipv6 är något som vi förr eller senare måste switcha över till.
I övrigt så instämmer jag till fullo med Cornucopia's rekommendationer om de säkerhetsåtgärder man bör betänka i den osäkra IT-värld vi idag lever i där ingen kan känna sig helt säker, inlusive mig själv.
Själv utgår jag från att allt jag skriver digitalt faktiskt kommer att bli publikt tids nog. Allt.
Vill jag kommunicera hemligt med något är det verbalt F2F eller via skrivna brev som gäller. Då har man iaf. den säkerhetsaspekten att det inte är digitalt från start, även om så klart avlyssning, fotografering, scanning, etc. kan förekomma på det man kommunicerar så det blir digitalt i slutändan ändå.
För den som är orolig för sitt Google konto finns denna samlingssida.
Google Account Security – https://www.google.com/settings/security
Här konfigurerar du om du ska få Mail/SMS om lyckade inloggningsförsök görs från misstänkta platser (från orter/enheter du inte varit på tidigare)
Var det så du fick reda på den Lars?
Inloggninsgsloggen https://security.google.com/settings/security/activity?pli=1
Kan du beskriva vad det var som gjorde att du såg det? (vet att du inte vill berätta om dina säkerhetsarrangemang, men blev du automatiskt uppmärksammad eller fick du manuellt kontrollera? Funkade Googles varningssystem?)=
Vilken plats/ip var det? Kina?
Vilket operativsystem stod i listan?
Det kan vara av vikt för andra som inte vet vad de ska leta efter, speciellt eftersom du kör Mac OS vilket är internationellt ovanligt.
För de flesta är det deras hemma IP och Mac/Windows/Iphone/Android via sin operatör och svenskt IP.
Viktigt att tänka på är att inte alla "besök" på sin mail loggas i listan utan bara nya inloggningar. Så även om du varit med din telefon på ett annat WiFi och tittat i din mailkorg så så syns inte det i listan om du inte "loggat in" igen med enheten.
Kolla också om du gett någon app/tjänst för mycket behörighet till dina uppgifter på den här listan
https://security.google.com/settings/security/permissions.
Alla dina länkar är bra och relevanta.
Jag kommer återkomma med alla detaljer, tids nog. Även bevismaterial. Först får processen ha sin gång.
Bra.
Länkarna ovan var i första hand avsedda för andra läsare av bloggen, eftersom jag förstår att du redan visste om dem. Det jag är mest nyfiken på är så klart om Googles varningssystem fungerade som tänkt.