www.dumell.net / tidningsartiklar / Hufvudstadsbladet / Klottra på andras webbsidor
Publicerad i Hufvudstadsbladet 27.04.1997
Klottra på andras webbsidor


"Sluta ljuga Bo Skarinder" löd rubriken plötsligt en dag på Amerikanska underrättelsetjänsten CIA:s hemsida. Väggar är inte det enda man kan klottra på längre, nu har det blivit populärt att bryta sig in och ändra på kända företags och organisationers hemsidor.

Den datorkunnige svensken som uttryckte sitt missnöje med statsåklagaren Skarinder nådde ut med sitt budskap till långt fler genom att skriva det på CIAs hemsida än att klottra det på någon vägg, bland annat den internationella nyhetskanalen CNN uppmärksammade händelsen.
Men listan över drabbade organisationer kunde göras mycket längre. Speciellt svenska telefonbolaget Telia har flera gånger fått sitt logo ändrat till Felia och många svenska tidningar har också drabbats. Och uppmärksamhet ger det, till och med så mycket att en svensk tidning "hackade" sina egna webbsidor för att dra uppmärksamhet till dem. I Norge raderade någon nyligen tusentals webbsidor, däribland ett par dagstidningars, från norska telefonbolagets webbserver.

Ingen dator är säker

-Enda sättet att göra en dator fullständigt säker är att gjuta in den i betong och sänka den till havsbottnen, säger Nicklas Andersson på Arrak Software.
Enligt Andersson är det inte bara mycket svårt att göra en dator riktigt säker utan inte ens eftersträvansvärt när det gäller webbservrar.
-Om en dator är inställd för att lagliga användare skall kunna ta sig in i den så finns det alltid en, åtminstone teoretisk, risk att någon kan bryta sig in i den.
Och ofta måste just webbservrar fungera så att utomstående kan ta sig in i dem via Internet. Nästan inga privatpersoner och få företag har sina webbsidor i egna datorer i egna utrymmen. Istället hyr de flesta in sina webbsidor på något, exempelvis, telefonbolags webbserver och då måste ju kunderna kunna komma åt att ändra på sina egna sidor via Internet
-Det är inte frågan om att försöka göra en webbserver så säker som möjligt utan så säker att det inte är värt besväret att bryta sig in i den. Ju fler säkerhetsspärrar som sätts in för att förhindra obehöriga från att bryta sig in desto krångligare blir det ofta också för de lagliga användarna att ta sig in.
Men betyder det här att all möjlig känslig information som finns lagrad i datorer, exempelvis hos banker och myndigheter, riskerar att falla i fel händer?
Enligt Andersson är osäkra webbservrar inget tecken på att annan information är i fara.
-Företag och organisationer skyddar nog kritisk information, exempelvis genom att lagra den i datorer bakom brandmurar som gör att man endast kommer åt informationen från datorer inom företaget eller rentav genom att lagra informationen i datorer som inte alls är anslutna till något datornät. Webbservrar däremot är ju avsedda att enkelt kunna nås av vem som helst och innehåller ingen kritisk information, bara webbsidor. Många företag ser ännu inte på webben som något seriöst utan något de nu är med i eftersom det hör till och är billigt. Det här har ibland lett till att säkerhetsfrågorna skötts med vänstra handen.

Internet är lätt att avlyssna

Hur går det då till när man bryter sig in i en dator? Enligt Andersson finns det två sätt, antingen att ta sig in samma väg som en laglig användare vilket kräver att man kommer över någon laglig användares lösenord eller så försöker man hitta något säkerhetshål genom vilket man kan ta sig in utan lösenord.
När det gäller att komma över lösenord är en populär metod "snooping". Om en person vill ändra på sina webbsidor som finns i någon webbserver tar han eller hon kontakt via Internet till servern och skriver in ett lösenord för att komma åt sidorna. Det här betyder att lösenordet sänds genom olika datorer på Internet innan det slutligen når datorn det var avsett för. Någon kan köra ett datorprogram, en snooper, på någon av datorerna där emellan och snappar upp lösenord på vägen.
-I praktiken är det här inte ett så stort problem för de datorer som mest information flyter genom har inte vem som helst tillgång till men visst är det ett problem, säger Andersson.
-Snooping är farligt eftersom så mycket information på Internet fortfarande överförs okrypterat så att det kan "avlyssnas" på vägen mellan två datorer. Det här är en helt onödig risk för det finns sätt att skydda informationen mellan två datorer, till exempel med SSH (Secure Shell) som vi rekommenderar alla våra användare att utnyttja. SSH krypterar lösenord så att utomstående inte kan snappa upp dem på vägen. Och att knäcka SSH är allt annat än trivialt, säger Sami Koskinen på Clinet som säljer Internetanslutningar åt företag och privatpersoner.
En annan metod att komma åt lösenord brukar kallas "social engineering" och går helt enkelt ut på att försöka få någon att avslöja ett lösenord. En av de mest berömda datorbrottslingarna genom tiderna, Kevin Mitnick, var inget tekniskt geni men han lyckades lura företag att avslöja lösenord genom att ringa upp och påstå sig vara exempelvis en telefonmontör som av någon orsak behövde något speciellt lösenord.
-Det här var populärt tidigare men jag tror inte att det fungerar längre, åtminstone inte här i Finland, säger Andersson.
Hur vanligt är det då att någon ändrar på kända hemsidor här i Finland, i Sverige har det ju hänt tiotals gånger? Såväl Andersson som Koskinen känner endast till ett fall och det drabbade Helsingfors telefonförening där olika kunder kunde komma åt att ändra varandras webbsidor.
Såväl Andersson som Koskinen har ändå märkt att människor regelbundet försöker bryta sig in i olika datorsystem.
-Visst märker vi att vi utsätts för attacker men något stort problem är det inte. Vi försöker skydda oss och informera våra kunder, överlag verkar företag i Finland vara rätt medvetna om riskerna och kunna skydda sig. Men om man inte ser upp kan det gå illa, säger Koskinen.

Macintosh fullständigt säker?

En aktuell diskussion just nu gäller hur säkra olika operativsystem är. Traditionellt har någon typ av Unix-operativsystem använts i serverdatorer men nu har Microsofts Windows NT blivit ett allt populärare alternativ. Nu har också Apples MacOS uppmärksammats speciellt i Skandinavien genom en tävling i Sverige där 100.000 kronor utlovades åt den som kunde bryta sig in i datorn och ändra webbsidorna.
Unix-operativsystem har människor försökt bryta sig in i de senaste 20 åren så de flesta säkerhetshål har upptäckts vid det här laget. Idag är finlandssvensken Linus Torvalds gratisunix, Linux, ett av de allra populäraste operativsystemen för webbservrar.
När någon väl lyckas bryta sig in i en dator beror det enligt Andersson på att någon inte skött sitt jobb för trots att det är svårt att göra en dator riktigt säker sker de flesta intrång med hjälp av enkla och kända säkerhetshål som någon borde ha täppt till.
Windows NT har den senaste tiden utsatts för stark kritik efter att en rad säkerhetshåll upptäckts. Microsoft hävdar att detta är en naturlig följd av att NT vuxit i popularitet sa snabbt och nu utsätts för mycket attacker. Enligt Microsoft är NTs situation inte allvarligare än andra operativsystems var när de lanserades. Enligt kritikerna igen är NT ett så stort och stökigt operativsystem att varje försök att lappa ett säkerhetshål skapar två nya.
Apples MacOS igen har nu utmålats som oerhört säkert i en rad tidningsartiklar efter att ha överlevt en tävling där 100.000 kronor utlovades åt den som kunde bryta sig in i datorn och ändra på webbsidorna. Experterna låter sig däremot inte imponeras så enkelt.
-Det är klart att man får en säker dator om man tar bort alla finesserna. Om man gör det omöjligt för lagliga användare att ta sig in för att ändra webbsidorna är det också svårt för utomstående att ta sig in. Man får en säker men rätt oanvändbar dator. I praktiken gäller det att få med så många finesser som möjlighet och bibehålla användarvänligheten utan att äventyra säkerheten, säger Andersson.
-Det är inte första gången sådana här tävlingar ordnas, senast var det väl Silicon Graphics som erbjöd så och så många mark ifall någon klarade av att bryta sig in i deras dator, säger Koskinen.

Privatpersoner går säkra

Överlag anser varken Andersson eller Koskinen att privatpersoner behöver oroa sig för att råka ut för webbklottrare.
-Privatpersoner är helt enkelt inte tillräckligt intressanta för att locka någon att sätta jobb på att komma åt och ändra sidor. Enda problemet är ifall någon nappar upp en privatpersons lösenord för att den vägen komma in i en dator och kanske komma åt mer intressanta sidor, säger Andersson.
-Jag tror att universiteten är värst utsatta när det gäller intrång för där är antalet användare så ofantliga att det är svårt att övervaka vad som sker, säger Koskinen.


Carl-Magnus Dumell

Observera att den här texten är rätt gammal - det betyder dock inte automatiskt att den är föråldrad.

I många fall är texterna här relevanta och hjälpfulla också idag och de ger alltid en intressant tillbakablick över ämnet.

Carl-Magnus Dumell
Oktober 2011