Förundersökning om dataintrång nedlagd efter 1.5 år

320

Tidig morgon den 20:e april 2014 skedde ett dataintrång i bloggens officiella e-postkonto. Efter ca 1.5 år har nu polisen lagt ner förundersökningen. Här följer en redogörelse för hur intrånget gick till och hur man skyddar sig mot liknande händelser.

På morgonen 20:e april vaknade jag till ett SMS-meddelande från Google, som hanterar min e-post. Jag hade dock ignorerat meddelandet när det pep till nattetid. Det varnade för irreguljära inloggningar på bloggens e-post. Det visade sig vid en omedelbar kontroll att bloggens e-post hade loggats in på från ett IP-nummer på en privat hushållsadress i en förort till Södertälje, samt en annan e-post hade försökt loggas in på från Sydafrika. Försöket från Södertälje gick igenom utan varning, utan det var försöket från Sydafrika som gav en varning och även stoppades automatiskt.

Skärmdump från Googles säkerhetsskärm. Intrånget från Södertälje. Angriparen har både använt Chrome och Windows. IP-nummer etc har klippts bort ur bilden av mig.

Eftersom jag inte är helt inkompetent inom IT, trots att jag hackades (och vet hur det gick till, mer om det nedan), så stoppade jag intrånget ganska omgående. Ingen känd skada, annat än informationsläckage av okänd omfattning. Viktig information och data hanteras dock inte via det kontot, även om källor kan ha röjts.

Jag skrev följande då:

“Inloggning har skett med korrekta lösenord, och jag har lösenord som avrundat är ca 20 tecken långa (jag anger inte exakt längd av säkerhetsskäl), inte innehållande några ord och utgörandes kombinationer av godtyckliga siffror, tecken och bokstäver. Ej heller finns lösenorden nedskrivna okrypterat någonstans, vare sig analogt eller digitalt. Att knäcka lösenorden via råstyrka kan anses vara omöjligt, 48^20=4.21526369e+33 kombinationer skulle behöva testas. Med 10 000 inloggningsförsök i sekunden skulle det fortfarande ta 8e+22 år att råstyrka sig in, förutsatt att Google inte skulle blockera inloggningen efter X misslyckade försök.”

Sedan dess har jag förstås bytt lösenord och aktiverat tvåstegslösen, samt skärpt mina rutiner med publika WiFi-nät.

Även om jag i det inlägget lade fram några alternativa sätt att komma över mina lösenord, så är jag helt säker på hur det hela gått till, nämligen via en man-in-the-middle-attack (MITM) via WiFi-spoofning i SJ:s lounge i Göteborg.

I loungen finns det ett WiFi-nät för resenärerna via en captive portal. Lösenordet står i klartext på disken i loungen. Det var känt att jag skulle åka till Stockholm vid tillfället, men det kan också vara så att jag är ett slumpmässigt offer.

Spoofningen består i att sätta upp ett WiFi-nät med samma namn (“SJ_Lounge”) via lämplig utrustning (i princip en bärbar dator eventuellt med en extra dongel för att inte bara bygga ett Wifi peer-nätverk), med egen DNS som pekar ut exempelvis Googles mailservrar mot en MITM-server på hackerns dator, och sedan bryggar vidare till förslagsvis SJ:s Internetkoppling, eller omdirigerar till en helt extern MITM-server.

För mig som offer ser allt ut att fungera som det ska. Då SJ:s captive portal dirigerar om all trafik till deras egen server, för inloggning med lösenordet, så får man normalt felmeddelanden om att identiteten på t ex google.com inte kan styrkas.

Jag var stressad vid tillfället och fick även sådana meddelanden från e-postläsaren, vilket aldrig hänt tidigare och aldrig hänt senare, och jag klickade snabbt bort dem med tanken att det var SJ:s captive portal som strulade. Vad jag inte tänkte på just då var att jag redan hade loggat in på SJ och det skulle inte komma fler felmeddelanden – jag kan ha tänkt att det berodde på tappat WiFi-koppling.

Därmed fick hackern mina fulla ca 20 tecken långa lösenord i klartext, även om kommunikationen skedde via SSL, i kombinationer av stora- och små bokstäver, siffror och tecken. De skickades över automatiskt av e-postläsaren i samma stund som jag klickade bort varningsdialogerna.

Efter en stund minns jag att en man i 30-årsåldern reste sig upp och packade ihop sin dator. Han stirrade konstigt på mig. Inte så där konstigt, som man brukar stirra på mig (“ful jävel”), utan konstigt.

Den natten loggade alltså någon in från Sydafrika och Södertälje, även om intrånget var kort och Sydafrikaförsöket blockerades automatiskt av Google. Att man kom över bägge mina e-postinloggningar, som jag aldrig skriver in i publik miljö, visar att det måste skett genom MITM mot e-postläsarna.

Notera att det är möjligt att genomföra en MITM utan att du vet om det mot din mobiltelefon, om du har automatisk hämtning av e-post. Genom att spoofa ett nätverk du någon gång loggat in på kan man automatiskt få dina lösenord via MITM när din mobiltelefon råkar koppla in sig på det WiFi-nätverket, t ex samma WiFi-nätnamn som din arbetsgivares eller ngt vanligt publikt nät (Homerun?).

Själv har jag dock inte automatisk hämtning av e-post, så den angreppsvektorn kan inte varit aktuell här.

Jag satte ihop ett omfattande förundersökningsunderlag. Polisen tog polisanmälan på allvar, eftersom jag som författare (och bloggare) är en del av lagstadgad yttrandefrihet och därtill har en del källor att skydda. Då bloggen är registrerad hos Myndigheten för Radio & TV omfattas den också av lagstadgat källskydd. Intrånget kan ses som ett angrepp på demokrati, yttrandefrihet och källskydd. Förundersökningsunderlaget visade tydligt vilka IP-nummer det handlade om, tidpunkter etc.

Att man tog anmälan på allvar visade sig på att den inte inom några veckor lades ner pga brott kan ej styrkas, spaningsunderlag saknas eller brott begånget utomlands.

Allt polisen behövde göra var att vända sig till berörd Internetleverantör (i Södertäljefallet) och få ut vem IP-adressen tillhörde vid den exakta tidpunkten och göra en husrannsakan. Detta skedde dock inte, utan jag blev först kontaktat av polisen i somras.

Vid det laget har inte längre Internetoperatörerna några lagkrav på sig att spara uppgifter om vem som satt på ett visst IP-nummer. Eller så orkade inte polisen lyfta på luren och begära ut identiteten på adressens innehavare. Det kan också varit via en Tor-nod, vilket inloggningsförsöken från Sydafrika talar för.

Igår fick jag så beslutet om nedläggning av förundersökningen. För mig ny anledning, inte brist på spaningsunderlag eller brott kan ej styrkas. Nu hette det istället ej anledning anta att åtal mot enskild person kommer att väckas. Nedlagt på grund av att åklagaren antagligen inte orkar gå vidare med åtal. Man kan alltså mycket väl ha en misstänkt, men lägger ner då åklagaren inte förväntas bry sig. Beslutet kan överklagas.

Det finns några lärdomar här.

1. Klanta er inte på publika WiFi-nätverk. Och nej, man kan inte köra en VPN-tunnel innan man loggat in via SJ:s captive portal. Jag har jobbat med Internet sedan jag var med och satte upp en av världens 500 första webservrar 1993. Jag har studerat säkerhet, jag har jobbat mer än tio år som IT-konsult med fokus på Internet. Men allt som krävdes var lite stress och slarv. You only need to be lucky/unlucky once…
2. Använd tvåstegslösenord.
3. Har du Google, gå in på security.google.com och ange vart SMS ska skickas vid misstänkta irreguljära inloggningsförsök. Finns under Enhetsaktivitet och aviseringar. Det kan vara en fördel att ha ett separat telefonnummer detta ska skickas till, t ex en säkerhetsansvarig hos din arbetsgivare om man använder Googles molntjänster. Detta för att ett angreppsförsök inte ska kunna döljas genom att man även t ex stjäl den angripnes mobiltelefon. Tillåt inte att SMS-innehåll visas på din mobils notifieringsskärm – då kan tvåstegslösen enkelt visas för en angripare utan att behöva logga in på telefonen. Sker ett inloggningsförsök med lösenordsdelen samtidigt som angriparen noterar att du har din telefon liggande framme, kan vederbörande eller en medhjälpare passera förbi och se del två av lösenordet och använda detta.
4. Förvänta dig inte att polisen kommer göra något i tid.
5. Har du en publik e-postadress, använd inte denna för känslig kommunikation, utan ha allt sådant på ett separat e-postkonto, med annat lösenord. Google blockerade tack och lov inloggningsförsöken till den viktigare e-postadressen, även om lösenordet var korrekt.
6. För att undvika automatisk uppkoppling mot WiFi-nät du någon gång använt, och täppa till möjligheten till “osynlig MITM”, radera alla WiFi-nät från din mobila enhet när du inte använder dessa, alternativt ta bort “koppla upp automatiskt” (motsv). 
7. Gå regelbundet in på Google Security (eller din motsvarande tjänst) och kontrollera dina inloggningar. Obehöriga inloggningar från Sverige kanske inte ger varningar, likt Södertälje i mitt fall, och kräver manuell kontroll.

Googles tjänster är ganska säkra om man tillämpar tvåstegslösenord och även ställt in varningar för obehöriga intrångsförsök. Social hackning, vilket mitt slarv delvis kan klassas som, är förstås i teorin fortfarande möjligt, även om det är svårare vid tvåstegslösen. Tvåstegslösen förutsätter att du hela tiden har kontroll över din mobiltelefon – har du inte kontroll över den kan någon annan i teorin komma över andra delen av ett tvåstegslösen.

I övrigt, har ni något känsligt ni vill skicka via e-post, använd GPG/PGP eller S/MIME. Min publika GPG-nyckel hittar ni här. GPG fungerar dock inte på iPrylar (möjligt det dykt upp någon app vid det här laget), så ni kan i så fall behöva vänta lite längre på reaktion från mitt håll om jag inte sitter vid datorn.

Varför skriver jag då detta nu? Eftersom förundersökningen lagts ner så kommer detta inte påverka eventuellt åtal. Och security by obscurity is no security. Säkerhetslösningar ska vara så robusta att man ska kunna berätta om dem. Å andra sidan kan man alltid blanda in maskirovka när man ändå är igång.