Som förutspått här på bloggen för många år sedan fortsätter inflationen i kryptovalutor. Bitcoin, Ethereum och senast Ada. Antalet kryptovalutor går på sikt mot oändligheten, eftersom vem som helst kan starta en sådan. Resten är bara marknadsföring om vilket pyramidspel som lockar till sig mest kapital.
Latest in krypto
Dags för lite härligt icke-ironiskt fredagsmys. Angående meddelandehelvetet, så kan appen Signal till iPhone eller Android rekommenderas för den som kunna kommunicera helt privat och fritt från avlyssning av myndigheter eller fnittriga systemadministratörer som har tråkigt till fredagsölen.
Signal är klientsidekrypterad och kommunikationen är alltså krypterad klient till klient. Appen stöder både meddelanden (chatt eller direktmeddelanden/SMS om man så vill), video och krypterad telefoni över Internet. Man behöver inte ens logga in, utan appen använder ditt telefonnummer och e-post som identifikation.
Notifikationer på iPhone kan dessutom ställas in så att man bara underrättas att man fått ett meddelande, och skriver i så fall alltså inte, som alla andra meddelandeappar, ut de första orden ur meddelandet på den låsta skärmen. Nu kan man visserligen stänga av notifikationer för andra appar, så meddelandens inledning inte blir läsbart, men då tappar man även just notifikationsmöjligheten.
Dessutom är appen gratis!
Källkoden finns också att ladda ner, om man nu vill göra en säkerhetsrevision. I utvecklingsteamet hittar man personer med bakgrund från EFF, Electronic Freedom Foundation.
Själva skriver man bland annat följande i Apples AppStore:
“* Say Anything – Send high-quality group, text, picture, and video messages, all without SMS and MMS fees.
* Speak Freely – Make crystal-clear phone calls to people who live across town, or across the ocean, with no long-distance charges.
* Be Yourself – Signal uses your existing phone number and address book. There are no separate logins, usernames, passwords, or PINs to manage or lose.
* Stay Secure – We cannot hear your conversations or see your messages, and no one else can either. No exceptions. You can even tap and hold on a contact’s name to see advanced identity verification options. Everything in Signal is always end-to-end encrypted and painstakingly engineered in order to keep your communication safe.”
Leverantören Open Whisper Systems hemsida hittar ni här.
Så trevligt fredagsmys på dig – nu även krypterat och säkert om du vill fredagsmysa på distans med någon för dig speciell person, utan risk för att något privat läcker ut på vägen eller lagras där någon uttråkad systemadministratör kan titta på det till fredagsölen.
Klarnas betaltjänst Klarna Checkout kan missbrukas för att verifiera om en e-postadress verkligen tillhör en viss person. Om man anger personens e-postadress och postnummer i kassan till en onlinebutik får man upp personens kontaktuppgifter om vederbörande någon gång handlat hos Klarna.
Butiker anger att man behöver ange postnummer för att se leveransalternativ, men det handlar egentligen om att Klarna täppt till en säkerhetslucka. Annars skulle man kunna få fram vem en e-postadress tillhör utan att vet vem personen är, givet att personen någon gång handlat i en butik med Klarna Checkout och angivit e-postadressen. Det är dock inte möjligt (längre) – anger man fel postnummer får man inte upp någon information.
Men anger man rätt postnummer bekräftas det att e-postadressen tillhör en viss person, man alltså visste var personen bodde. Eller så bekräftas det åtminstone att någon med den e-postadressen beställt något på Internet till personens adress.
En tanke var att man kunde få reda på vem som har en e-postadress om man beställer en ren digital tjänst, t ex digitalt abonnemang på “en tidning” eller SvD, då dessa knappast behöver postnummer för tjänsten. Men även vid digitala abonnemang måste man ange postnumret, så Klarna har delvis tänkt rätt här.
Rimligtvis bryter det mot något användaravtal, rent av mot lagen, att använda Klarna Checkout på detta vis, då man inte får utge sig för att vara någon annan.
Det är ändå olyckligt att det räcker att ange e-postadress och postnummer, så får man upp en persons kontaktuppgifter. Dock ej hela telefonnumret, vilket får sägas vara positivt, då det inte alltid finns sökbart. Däremot skulle man kunna få fram adressen till någon med skyddad identitet om denne har handlat via Klarna och man har personens e-postadress.
En hypotetisk angreppsvektor är en brute force-attack mot systemet, där man helt enkelt via ett script testar sig igenom alla postnummer till man får fram identiteten bakom en viss e-postadress. Klarnas system är dock inte speciellt snabbt på att svara, så det tar gissningsvis en stund. Det är okänt om Klarna har någon begränsning i antalet kontaktförsök per tidsenhet. Har man misstankar kring en e-postadress identitet eller personen t ex skrivit “jag bor i Täby och …” kan man förstås börja med relevanta postnummer först, rent av testa manuellt om orten är tillräckligt liten.
Använd aldrig en e-postadress du kopplat till din faktiska identitet, t ex via E-handel, om du anonymt vill kontakta myndigheter, media eller något annat som kan vara känsligt. Klarnas personregister över e-postadresser och kunder visar på teoretiska attackvektorer mot din identitet. Ett dataintrång mot en sådan tjänst, där man alltså inte bara har listor med e-postadresser att spamma, utan också faktiska fysiska kontaktuppgifter och identiteter bakom, är en mycket attraktivt måltavla för hackers.
Det går dock att begära att man tas bort från Klarnas databas genom att kontakta bolaget på [email protected].
Du lämnar spår i allt du gör på Internet. I vissa fall, som med Klarna, kommer de spåren följa dig mellan olika webplatser, åtminstone i kassan på en del betaltjänster och butiker. Egentligen borde man ha en separat e-postadress som man enbart använder till butiker och betaltjänster, rent av unika e-postadresser per butik, så man kan spåra om uppgifter läcker ut. Om du t ex har en egen domän och sätter upp ett e-postalias per butik, och du börjar få spam till ett butikalias, så vet du att butiken eller butikens betaltjänst läcker.
Nu när HD har kommit fram till att grundlagsskyddade media fritt får dokumentera skyddsobjekt väcks frågan kring medias informationssäkerhet, som knappast är av militär grad. Detta gäller speciellt för Bonnier/Expressen och Bonnier/DN, då dessas redaktionen ligger tvärs över gatan mot ryska ambassaden, som därmed obehindrat dygnet runt kan tillämpa alla tillgängliga metoder för att avlyssna dessa tidningar. Nedan följer en sammanställning av några ingångar, som Expressen och DN antagligen inte skyddat sig mot.
DN ligger inte bara nära ryska ambassaden i att man okritiskt servilt publicerar rysk propaganda, man ligger även mycket nära geografiskt. Och nej, att efter nästan en vecka publicera en kritisk ledare duger inte – propaganda ska bemötas direkt eller inte publiceras alls, då alldeles för få läser ledaren så lång tid efteråt.
![]() |
| Tidigare topphemlig berghangar.
Numera museumet Aeroseum. Det finns än idag minst lika hemliga aktiva anläggningar, som journalister nu fritt får fotografera. |
Ett grundläggande problem med att media fritt ska få dokumentera svenska hemligheter är att de inte vet hur hemligt något är. Det finns nivåer från hemligt/restricted hela vägen upp till hemligt/top secret, samt eventuellt ännu hemligare handlingar där även hemlighetsgradens existens är hemlig, som ställer högre och högre krav på informationshanteringen. Hos Försvarsmakten inkluderar det inte bara IT-säkerhet, utan även säkerhet mot RÖS, röjande strålning, där t ex hemligt/top secret måste hanteras i både RÖS-skyddad utrustning och i RÖS-skyddade lokaler.
Men media har alltså ingen aning om skyddsobjektet de dokumenterat endast är av låg hemlighetgrad, eller kanske en av Sveriges allra hemligaste anläggningar eller funktioner, vars existens aldrig kommenterats. Media kommer hantera dessa uppgifter exakt likadant.
Det är också intressant att Expressens flygspaning mot t ex ubåtsunderrättelseoperationen i höstas hanterades tvärs emot ryska ambassaden, som vid intrång alltså direkt kan få en helikopterburen överblick över den svenska marinens operation genom Niklas Svenssons försorg. Det är också intressant att det bara är ett 50-tal meter för ett minneskort att vandra från DN:s redaktion till en GRU-agent på ryska ambassaden.
Låt oss gå igenom några ingångar från ryska ambassaden.
Avlyssningsutrustning
DN och Expressen har garanterat inte gjort en säkerhetskontroll via Säpo av all personal och alla underleverantörer, inklusive den antagligen öststatshärstammande städpersonal, som städar lokalerna. Det kan inkludera städare från Baltikum, varav en del kan vara etniska ryssar, som kan vara i GRU:s tjänst. Även andra städare, hantverkare (ofta från t ex Baltikum) mm kan för ett erbjudande om ersättning med lätthet placera avlyssningsutrustning i lokalen – utrustning som enkelt kan sända information till ambassaden tvärs över gatan. Exempelvis kan man koppla in en avlyssningsapparat i något datornätverksuttag, som sedan enkelt kan skicka vidare information om datatrafiken till ambassaden, eller rent av användas som brygga för att aktivt utföra operationer in i redaktionernas nätverk.
Mediakåren domineras av vänsterväljare och socialister. Av gammal hävd har antagligen många av dessa gamla kontakter från Sovjetunionen, som “vänskapligt bibehållits”. Denna ingång är enklare än att använda underleverantörer. Man ser på vänsterns generella hyllande och försvar av Ryssland att de fortfarande inte fattat att Putinregimen är national-fascistisk och inte socialister, undantaget Jonas Sjöstedt, som inte är tappad bakom en vagn. Om inte annat räcker det för kontaktpersonen på ambassaden att mumla något om “store satan USA”, så ordnar det sig eftersom vänstern genrellt är whataboutists.
Annars kan en vanlig gäst installera avlyssningsutrustning.
Hur ofta går kvalificerad säkerhetspersonal igenom hela redaktionen, samtliga vägguttag, datornätverksuttag och utrymmen, inklusive utrymmet ovan innertaket och säkerställer att ingen obehörig utrustning är inkopplad? Går gäster igenom metalldetektorer och blir genomsökta efter avlyssningsutrustning de kan installera?
Därtill har man förstås möjligheten till klassisk avlyssningsutrustning för att lyssna på möten mm.
Lasermikrofon
Lasermikrofonen uppfanns rent av i Sovjetunionen och kan alltså avlyssna konversationer och andra ljud i ett rum, genom att riktas mot ett fönster. Vibrationerna i fönstret mäts, och konverteras till ljud.
Detta kan mycket enkelt göras inifrån ryska ambassaden, som alltså har fri sikt över till DN och Expressen.
Har DN och Expressen monterat lasermikrofonstörare på samtliga fönster, som sänder brus?
Drönare och okulär spaning
Enligt uppgift har det siktats drönare utanför fönstren till Högkvarteret på Lidingövägen. Inga skärmar på Högkvarteret får vara riktade mot fönster, då de både kan läsas av kameror på drönare, såväl som med kikare från byggnader eller tak i närheten. Detta är standard, men i samband med att man observerade drönare (eller ja, radiostyrda quadcopters) gick upprepning av dessa instruktioner ut på Högkvarteret.
Quadcopters har använts av “baltiska hantverkare” från Litauen för att dokumentera helikopterbasen Malmen utanför Linköping. Dessa upptäcktes och greps, men frågan är hur ofta det sker utan upptäckt eller gripande? Nästa gång ser de till att hävda att de är journalister, så är det fritt fram (undantaget flygsäkerhetsaspekten, men HD kommer nog fram till att grundlagsskyddade media är viktigare än att undvika potentiellt dödliga flygolyckor).
Har DN och Expressen förbud mot att rikta skärmar mot fönstren?
RÖS – Röjande strålning
Elektrisk och elektronisk utrustning ger ifrån sig RÖS, röjande strålning, som kan läsas på distans. Försvarsmaktens lokaler för hemlig information ska vara RÖS-skyddade, och t ex får information av kategorin hemligt/top secret bara hanteras på RÖS-skyddad utrustning.
Mer om RÖS kan man t ex läsa hos FMV:s dokument som PDF här.
Det är mycket enkelt för ryska ambassaden att ha RÖS-läsande utrustning igång obehindrat och konstant, som läser av DN och Expressen. Bland annat kan man i teorin läsa av skärminnehåll på distans oavsett vart skärmen är riktad.
Är Expressens och DN:s lokaler RÖS-skyddade? Svaret är förstås nej. Därmed uppfyller man inte kraven för att hantera hemlig försvarsinformation.
Falska basstationer
Ryska ambassaden kan driva sk falska basstationer, och på så sätt avlyssna DN och Expressens mobiltelefontrafik, samt hålla koll på vilka personer som rör sig i området. Källor på besök kan röjas.
Hur säkerställer Expressens och DN:s redaktioner att man inte råkar använda en falsk basstation för sina mobiltelefonisamtal?
WiFi och datornätverk
Även om det är mycket enkelt att låta en GRU-agent traska över med ett minneskort (eller kopia på detta) från redaktionen till ambassaden, så är det förstås enklare att använda datornätverk. En ingång enligt ovan är helt enkelt att via underleverantörer placera ut avlyssningsutrustning, kopplade till redaktionernas nätverk.
Men inte ens det är nödvändigt. Om man har WiFi på redaktionerna kan ryska ambassaden sätta upp WiFi-noder med samma namn. Då och då kommer någon redaktionsdator försöka koppla upp sig mot den noden och skicka lösenord för inloggning. Därmed får man WiFi-lösen till redaktionsnätverken och kan fritt från ryska ambassaden logga in på redaktionernas nätverk. Avståndet är inte större än att det fungerar, om inte annat med riktantenner.
Man kan även aktivt hacka sig in i nätverken, antingen via social hacking, t ex via redaktionernas underleverantörer, eller genom att t ex stjäla en portabel redaktionsdator från någon journalist på resa. Alternativt kan man använda brute force. Med ambassaden tvärs över gatan har man all tid i världen för det senare.
Om det inte finns WiFi på redaktionerna kan man sätta upp vanliga nodnamn, som man kan tänka sig att redaktionsmedlemmar använder vid resor, som SJ etc. Om journalisterna inte raderar dessa noder från datorn kan datorn automatiskt koppla upp sig mot dessa, och ryska ambassaden dirigerar sedan vidare trafiken ut på Internet, medan man agerar man-in-the-middle och t ex fiskar lösenord till DN och Expressen mailtjänster.
Har redaktionerna militärt säkrade datornätverk eller använder man mer sannolikt vanliga kommersiella standardprodukter? Har man kvalificerad IT-säkerhetspersonal? Använder man WiFi (truppförsök för er i Stockholm – ta en WiFi-sniffer och bege er till platsen och dokumentera WiFi-nätverk, både öppna och dolda – dock med detta inlägg kan förstås ambassaden stänga ner sina falska noder)? Använder redaktionerna tvåstegsinloggning för allt? Är all känslig information krypterad på disk, för att hindra åtkomst vid aktiva dataintrång? Rent av förvaras offline och används endast på datorer som helt saknar nätverksfunktioner (och enligt ovan dessutom är RÖS-skyddade)?
Tillägg: Enligt Wigle finns bland annat WiFi-näten Bonnier-test, Bonnier-prod, Bonnier-guest, Bonnier-BYOD, Bonnier-Digitaltest, bonnier, DN-WPA2, DN-Guest, ExGuest, Exphone, Ex-WPA2 på platsen. Flera av dessa visar sig också ha misstänkt lång räckvidd på kartan, vilket kan tala för att det finns spoofade basstationer med samma namn hos ryska ambassaden, eller åtminstone att de kan nås från ryska ambassaden. T ex når man Bonnier-Guest, Bonnier-BYOD, Exphone, Ex-WPA2 bortanför ryska ambassaden, där Expressen och Bonnier ligger på andra sidan om ambassaden.
Sammanfattning
Närheten till ambassaden ger enorma möjligheter till aktiv och passiv underrättelseinhämtning mot redaktionerna för DN och Expressen. Säpo har rapporterat att 1/3 av ambassadspersonalen i själva verket är GRU-agenter, som alltså bedriver militär krigsförberedande underrättelseverksamhet mot Sverige.
Informationen som ambassaden med lätthet kan få via Expressen och DN kan användas på många sätt. Källor kan avslöjas och utsättas för påverkansoperationer. Påverkansoperationer baserat på känsliga personliga uppgifter om både redaktionsmedlemmar och andra personer kan användas för att rekrytera agenter.
Och den hemliga information som redaktionerna hanterar, inklusive att de nu fritt ska få fotografera skyddsobjekt, är förstås av högsta intresse. Dessa foton kan enkelt läckas av en agent på redaktionen. Det räcker att vederbörande från sin fönsterplats riktar sin datorskärm mot fönstret så kan ambassaden fota av bilderna med kamera från ambassaden. Se dig om på redaktionen. Hur många har sina skärmar riktade mot ryska ambassaden? Hur är dessa personers livsstil?
Med frihet kommer ansvar. Ska redaktionerna få fotografera skyddsobjekt bör den informationen hanteras med militär säkerhet. Och det kommer kosta redaktionerna tiotals miljoner, kanske hundratals miljoner. Ändå kommer man inte runt att redaktionerna inte vet vad som bara är hemligt/restricted och vad som är hemligt/top secret eller värre. Alltså bör allt hanteras som minst hemligt/top secret, vilket kommer kosta.
Mitt förslag är att man helt enkelt flyttar till andra lokaler som inte ligger mitt emot ryska ambassaden, som ni ser på Google Streetview nedan. Expressen och DN är i byggnaderna mitt emot, tvärs över gatan och ni kan rotera Streetview själva.
Själv är jag förstås som författare och bloggare medveten om den här problematiken och har tagit och tar kontinuerligt en del motåtgärder, trots att jag inte sitter mitt emot ryska ambassaden och trots att ingen person eller fordon kan befinna sig inom avlyssningsavstånd utan att jag ser detta.
Viss information ska aldrig hanteras på dator, åtminstone inte på en dator som någonsin kopplas mot Internet eller alls har någon nätverksförmåga. Ibland är papper och penna bra och man får hoppas att det fortfarande gäller även hos Expressen och DN.
Det pågår en möjlig attack mot Googles Gmail. Det kan istället handla om extremt slarv från Googles sida, men jag får varningar om att Googles SSL-certifikat för utgående e-post (SMTP) inte kan styrkas. Det kan handla om att någon försöker fiska lösenord, även om jag bedömer sannolikheten som låg.
Felmeddelandet ser hos Apples OSX Mail.app ut som följer, och sägs bero på att ett certifikat i kedjan har för gammalt datum. Det går därmed inte att bekräfta att man faktiskt pratar med Google, och det hela kan därmed vara en man-in-the-middle-attack som försöker fiska e-postlösenord.
Försiktighetsprincipen gäller här.
Jag använder dock Googles egen DNS 8.8.8.8 (aka The Ulla-Bella Solution), men om man någonstans på vägen lyckats dirigera om 8.8.8.8 till en falsk DNS-server kan man förstås dirigera om SMTP-trafiken till en falsk SMTP-server. Eller dirigera om trafiken på annat sätt på vägen.
Dock verkar detta inte drabba alla plattformar. Jag kan fortfarande skicka mail utan varningar via iPhone. Vilka som drabbats kan bero dels på olika bruk av DNS – iPhonen använder automatisk DNS, dvs Telias DNS och inte 8.8.8.8, vilket talar för att dessa pekar ut olika SMTP-servers. Det kan också bero på var man befinner sig, då Googles lastbalansering förstås skickar trafik till olika servers. Det är ju inte så att smtp.gmail.com är en enda server i hela världen.
Till detta går över kommer jag inte kunna svara på läsarmail, och jag vill härmed också varna för att aldrig acceptera ogiltliga certifikat enligt ovan. För knappt ett år sedan accepterade jag ett ogiltligt certifikat i en publik miljö, och drabbades därmed av ett e-postintrång.
Om man använder tvåstegslösenord kan dock risken minimeras, men försiktighet råder.
Det är möjligt, rent av sannolikt, även om det är slarvigt, att Google missat att uppdatera ett av sina certifikat. Men chansa inte om ni får motsvarande felmeddelanden. Annars kan det förstås även vara en riktad attack enbart mot min nuvarande plats, även om det känns extremt osannolikt. Det kan också vara en bugg hos Google, men liksom slarv så talar vi om världens största Internetbolag här.
Tillägg: Här får jag olika IP-nr till smtp.gmail.com beroende på vilken DNS man använder.
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
smtp.gmail.com canonical name = gmail-smtp-msa.l.google.com.
Name: gmail-smtp-msa.l.google.com
Address: 173.194.71.109
Name: gmail-smtp-msa.l.google.com
Address: 173.194.71.108
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
smtp.gmail.com canonical name = gmail-smtp-msa.l.google.com.
Name: gmail-smtp-msa.l.google.com
Address: 64.233.162.108
Name: gmail-smtp-msa.l.google.com
Address: 64.233.162.109
Whois hävdar dock att bägge alternativen ovan är registrerade åt Google.



