Sedan mitt officiella e-postkonto blev hackat i helgen, har jag fått in många rapporter om kontaktförsök från personer som mailat mig. Så var lite uppmärksamma.
Latest in krypto
Bloggens officiella e-post, samt Blogger-konton, har hackats och någon har läst bloggens e-post, och eventuellt skickat e-post, under natten. Återigen påminner jag er alla om att använda GPG/PGP eller S/MIME om ni vill kommunicera med mig.
Notera att e-post och Blogger-konton är olika, men bägge har utsatts för intrång under natten. Det verkar alltså handla om en specifikt riktad attack mot bloggen och mig, och inte något slumpmässigt angrepp.
Inloggning har skett med korrekta lösenord, och jag har lösenord som avrundat är ca 20 tecken långa (jag anger inte exakt längd av säkerhetsskäl), inte innehållande några ord och utgörandes kombinationer av godtyckliga siffror, tecken och bokstäver. Ej heller finns lösenorden nedskrivna okrypterat någonstans, vare sig analogt eller digitalt. Att knäcka lösenorden via råstyrka kan anses vara omöjligt, 48^20=4.21526369e+33 kombinationer skulle behöva testas. Med 10 000 inloggningsförsök i sekunden skulle det fortfarande ta 8e+22 år att råstyrka sig in, förutsatt att Google inte skulle blockera inloggningen efter X misslyckade försök.
Det finns därför, vad jag känner till, i princip tre attackvektorer för att fått ut dessa lösenord.
- Någon har lyckats installera en tangentbordssniffer på min dator och läst av dem när de skrivits in, alternativt via datorns nyckelrings lösenord avkrypterat dem ur datorns nyckelring för olika applikationer.
- Någon har utfört en man-in-the-middle-attack (MITM) på ett trådlöst nätverk, och utgett sig för att vara Googles olika servrar. Sist jag använde ett sådant var på SJ förra torsdagen. Åkte ni SJ:s tåg mellan Stockholm och Göteborg förra torsdagen kan ni också vara drabbade. Angrepp kan också skett emot SJ:s 1:a-klasslounge, som rimligtvis kan innehålla diverse intressanta angreppsoffer.
- Heartbleed-buggen har använts innan den patchades, och lyckats få ut mina lösenord.
Det finns diverse andra säkerhetsåtgärder, som jag inte går in på, som gör att jag finner 2. som den sannolikaste attackvektorn. Förhoppningsvis har det varit en generell sniffning av SJ-resenärers lösenord och inte en specifik attack mot mig, med kunskap om vilka tåg jag skulle befinna mig på (står i bloggens kalendarium att jag skulle till Stockholm).
Däremot har man alltså angripit två konton – både bloggen och min e-post. Antingen är det riktat eller så beror det på att bägge lösenorden snappats upp i samma MITM-sniffning.
Att angreppen skedde i natt är ingen slump. Helgtid och nattetid, speciellt långhelg, är ett perfekt tillfälle för att ett angrepp inte ska upptäckas eller åtgärdas optimalt snabbt av mindre uppmärksamma personer.
Det kan ha skickats e-post i mitt namn, som sedan aktivt raderats permanent och totalt från Googles mailkonton. Har man gått in och raderat dem från skräpkorgen, så kan jag inte se om det skickats någon e-post.
Se till att alltid ha 2-stegsinloggning aktiverad på era konton, dvs där man t ex måste logga in med engångskoder man får via SMS. Det hade inte jag – tvåstegsinloggning hade gjort angreppet svårare, men inte omöjlig, då diverse appar istället har separata lösenord om de inte stöder tvåstegsinloggning.
Återigen, kommunicerar ni känsliga uppgifter till mig, eller er identitet är känslig, skicka alltid e-post krypterat. Maila mig och fråga efter min S/MIME-nyckel om ni föredrar det, så svarar jag med ett S/MIME-signerat mail, annars hittar ni GPG/PGP-nyckel här.
Man kan diskutera timingen och vem som kan ligga bakom ett sådant angrepp, men det blir bara spekulativt. Bloggen är registrerad hos Myndigheten för Radio & TV och omfattas alltså av källskydd, så man bör se detta lyckade intrångsförsök som mycket allvarligt.
Tillägg: Minst en person som mailat mig tidigare har i natt fått vänförfrågningar på Facebook från välgjorda fejkkonton.
Enligt källor till Bloomberg ska NSA ha känt till och nyttjat Heartbleedbuggen i flera år. Myndigheterna förnekar förstås uppgifterna.
Enligt uppgift har Verisure (fd Securitas Direct, fd Aroundio), drabbats av Heartbleed-buggen. Tjänsten Mina sidor, från vilken man kan styra sitt larmsystem och tillhörande utrustning, ska ha varit öppen för Heartbleed.
XKCD förklarar nedan mycket enkelt hur den sk Heartbleed-buggen fungerar.