|
VEM LÄSER DIN E-POST?
E-mail är idag ett av världens vanligaste
kommunikationsmedel. Antal e-mailanvändare uppgår förmodligen
till ca 400 miljoner i världen. Ökningstakten är säkert över
2 miljoner nya användare varje vecka.
Du vet inte vem som läser dina e-mail,
och du vet inte vilka motiv de har som läser eller kan
läsa dina e-mail.
Att skicka ett e-mail, har någon
sagt, är som att skicka ett vykort på posten. Det
är fel. Det är mycket värre ur informationsspridningssynpunkt.
Dels kan du skicka mer information i e-mailet och dels är
det lättare att systematiskt söka på Internet
jämfört med fysisk post.
På den här sidan ska jag förklara
varför du inte skall skicka e-mail om du inte har skyddat
dina dokument med kryptering. Detta gäller både
för privatpersoner, företag och myndigheter. Slutligen
förklarar jag hur du enkelt skyddar dig.
Vem vill läsa mina e-mail?
"Jag har inget att dölja och
det spelar ingen roll att någon läser mina e-mail",
är den vanligaste uppfattningen från de flesta.
I den uppfattningen har man utgått från att alla
bara vill en gott. Tyvärr är detta fel. Om Ni går
igenom nedanstående, och tänker på alla e-mail
som Ni skickat, så inser de flesta av er att ni utsatt
er själva och andra för fara.
Kriminella
Den snabba utvecklingen inom Internet gäller
även kompetens och fantasi inom kriminell brottslighet,
framförallt den organiserade brottsligheten. Men även
skurkar i mindre skala.
I Stockholm har en mängd förmögna
människor blivit utsatta för mycket grova brott.
Ingen vet något om förövarna. De verkar dock
vara mycket välinformerade. Ganska säkert har de
arbetat med e-mailavlyssning, kartläggning och sedan
tillslag. Polisen, som i sin IT-utveckling nyligen lärt
sig styra en mus, vet ingenting och är som frågetecken.
De kriminella syftena varierar, men vanligast
är:
Bakgrundsinformation inför stöld.
T.ex. ta reda på när du inte är hemma.
Utpressning. Bedriva utpressning
med kunskap som skaffats via e-mail. Det kan vara allt från
att man sökt nytt arbete, familjehändelser, till
kärleksaffärer.
Sälja stulen information. Information
har värde. Rätt information till rätt köpare
betingar stora pengar.
Kartläggning. Många kriminella
kartlägger personer. Ibland med rasistiska syften,
ibland för olika typer av brott där den kartlagde
skall utnyttjas/utsättas. Speciellt journalister kartläggs
(inte bara s.k. kriminella gör detta)
Bedrägerier. Där kunskap
om vad som står i e-mail används för bedrägerier
av olika slag.
Stöld. Affärsidéer,
uppfinningar, ritningar, namn, manuskript och mycket annat
som skickas på Internet kan helt enkelt stjälas.
Patentansökningen skickas in före den rätte
uppfinnaren, domänen registreras innan osv.
Det är egentligen få fall av emailavlyssning
som upptäcks så det är stora mörkertal. Ett exempel som kom
fram i rampljuset var när olika kunder hos Stjärn-TV kunde
gå in hos varandra. Mer om detta kan du läsa på dessa länkar
http://www.expressen.se/article.asp?id=23978,
http://nyheter.idg.se/display.pl?ID=991006-IW6
Busstreck
Kunskapen om hur man tar sig in i människors
E-mail är utspridd. I många fall handlar det om
bus med ett oskyldigt upptåg. Det kan dock bli skador
och den som blir utsatt tycker inte alltid att buset är
speciellt roligt.
Misstag
Det är enkelt att skicka e-mail och
fort går det. Alla har i princip gjort misstag och skickat
e-mail helt felaktigt. På motsvarande sätt kan
det ske tekniska misstag så att fel person får
ditt e-mail. Oftast går det bra, men inte alltid.
Företagsspionage
En del företagsspionage är tillåtet,
annat otillåtet. Var gränsen går varierar
betänkligt i olika företags moralsyn. Olika länders
kulturer är också väldigt olika.
Alla företag och företagare skall
utgå från att andra företag gör i princip
vad som helst för att skaffa sig information. Vilket
värde viss information har för ett konkurrerande
företag inser de flesta själva.
Ett exempel som nyligen framkommit är
att Netscape/AOL ibland annat Netscape 4.7 lagt in en spionfunktion
i funktionen smart download. Syftet är sannolikt
för att gör marknadsföring mer exakt.
Funktion är klart oetisk utan att informera
kunden först. Netscape/AOL vill inte lämna några
kommentarer.
Det kan också vara anställda som
bedriver en "liten" birörelse.
Det går att avinstallera smart download
via kontrollpanelen.
Informationen kan ofta köpas eller beställas
av kriminella.
Att skicka e-mail utan att skydda sin information
med stark kryptering kan jämföras med att låta
konkurrenter bli insläppta på företaget utan
lås med tillgång till allt, datorer, arkiv m.m.
Fundera på vad det betyder för
dig om din konkurrent får redan på allt om dig
och ditt företag?
Kundkorrespondens
Affärsutveckling
Rekrytering
Ekonomisk information
Olika kontakter
Ett företag som är utsatt för emailspionage
internt eller externt märker normalt aldrig detta. FMV som
arbetar med krigsmaterial har givetvis en högre säkerhetsprofil
än andra företag. Tack vare detta upptäcktes att de var utsatta
för spionage, ändå bevakade en spion alla kommunikation under
ca 20 dagar. Hur många företag är ständigt bevakade?
Inhemska myndigheter
Varje land har olika policys hur det hanterar
olika former av avlyssning och registrering. För avlyssning
i Sverige krävs det domstolsbeslut, som är sekretessbelagt.
I praktiken går det till så att i de ärenden
där avlyssning behövs för bevisning erhålls
domstolsbeslut i efterhand. Under 1998 var det i Sverige ca
1.000 avlyssningsärenden enligt domstolsväsendet,
1 avslogs p.g.a. formellt felaktigt ifylld handling. Det verkliga
talet är förmodligen minst 10, kanske 100, gånger
större. Eftersom samtliga domar/beslut är sekretessbelagda
känner ingen till handläggningen.
Syftet med avlyssning är att skaffa bevis
och upptäcka brott.
I Sverige finns det fyra myndigheter som sysslar
med avlyssning. Polisen (RPS), Säpo (RPS), Tullkrim och
Försvaret. Dessutom sker antagligen informationsutbyte
med internationella myndigheter.
Varje telefonnummer i Sverige representeras
av en kontakt hos Telia. För varje nummer finns det,efter
krav från myndigheter, ett parallellt uttag att användas
till avlyssning. Vem eller vilka som har tillgång till
den extra kontakten finns det inga uppgifter om.
Den tillgång och möjlighet myndigheter
har att avlyssna (bl.a. e-mail), saknar garantier om hur den
används och tydligt reglerverk om när, hur, var
och mot vem. Säpo har bl.a. åsiktsregistrerat och
avlyssnat mängder med svenskar utan domstolsbeslut.
I väldigt många sammanhang samarbetar
polis med kriminella; stöldgods köps tillbaka och
mycket annat. Vad kostar det för kriminella att få
lågavlönade tjänstemän att gå deras
ärenden? 5.000 -10.000 Kr? Eller någon typ av utpressning?
Nyligen gick det att läsa om en kriminell gangsterledare
som avlönades av polisen, polisen var med vid bröllop
och mycket annat.
Lika är det inom säkerhetspolisen
(RPS), tullkrim och försvaret (sköts av försvarets
radioanstalt och syftet är kontraspionage på främmande
makt). Alltid lågavlönade tjänstemän
och sekretessbelagd handläggning.
Inom dessa myndigheter utförs ofta arbetet
borta ifrån familj och under hårt tryck på
de anställda. Sorgligt vanligt med stor alkoholkonsumtion,
med följdproblem som gör dessa människor till
utpressningsoffer av kriminella. Istället för att
arbeta mot kriminalitet börjar de jobba för kriminalitet.
MC-ligor har så gott som alltid etablerade tjänstemän
inom myndigheter som rapportörer.
I England går samtlig e-mailtrafik igenom
ett antal datorer som myndigheterna använder, officiellt bara
för brottsbekämpning. Övriga EU länder, däribland Sverige,
följer intresserat debatten. Mer om detta kan läsas här
http://www.csmonitor.com/durable/2000/05/05/p1s1.htm
http://www.nandotimes.com/technology/story/
0,1643,500233045-500338944-501940229-0,00.html
I USA används Carnivore av FBI, som är en
plåtlådas som ställs in i Internetleverantörens lokaler, där
FBI läser all E-post. Domstol har prövat och kommit fram till
att Internetleverantörer inte kan vägra inkoppling. http://nyheter.idg.se/display.asp?ID=000712-cs7
Sammanfattningsvis har du ingen garanti för
att inhemska myndigheter använder sina befogenheter korrekt.
Tvärtom bör du utgå från att missbruk
sker.
Utländska myndigheter och ambassader
En organiserad och oorganiserad avlyssning
sker i stor omfattning av utländska myndigheter och ambassader.
Officiellt är det alltid bekämpning mot terrorism,
brott och för landets säkerhet. I praktiken är
det förmodligen största användningen rent industrispionage.
I särklass "bästa" systemet
har USA, med sitt datasystem Echelon, som drivs av NSA (National
Security Agency). NSA kallas populärt data-FBI och beskriver
bra det egentliga syftet. Deras system kan avlyssna alla länders
telefon, telefax och e-mail och det görs i en kolossal
omfattning. Verksamheten sysselsätter enligt uppgifter
som cirkulerar 40.000 människor. Det mesta är superhemligt
runt denna verksamhet, men ibland har vissa saker kommit ut,
bl.a. hade de 1.000 sidor handlingar med avlyssning av prinsessan
Diana.
På senare tiden har det kommit fram
att NSA sysslar med industrispionage i stor omfattning. Bl.a.
rapporterades det offertsumman från Airbus på
5 miljarder till Boing. Boing fick ordern. USA/NSA förnekar
att systemet används för industrispionage. (källa:
EU rapport om Echelon)
1992 berättade NSA-amiralen Studeman
att kommersiell underrättelseverksamhet blivit NSA andra
ben. De Amerikanska företag som får informationsstöd
vänder sig till Office of Executive Support, för
detta. Motsvarande hjälp får vissa engelska företag
via GCHQ:s K-division.
Förmodligen lagras all information för
"heta" personer, såsom företagsledare,
politiker och inflytesrika personer. När det är
intressant fördjupas arbetet med att läsa och dokumentera
informationen.
Väldigt mycket om Echelon finns att läsa
på den här sidan. http://www.aclu.org/echelonwatch/.
Det finns också bra rapporter från EU om Echelon
där USA kritiseras för Industrispionage (Stor NSA
central finns stationerad i England, vilket ifrågasätts).
Det är idag många som ifrågasätter
hur NSA jobbar ihop med Amerikansk industri. Många anser
att Amerikanska företag servar NSA och får betalt
i information som erhållits som industrispionage. Andra
anser att NSA i praktiken kontrollerar USAs demokrati och
styrs av en handfull människor.
Hur det ligger till vet ingen, även om
indicierna är många. Risken är stor att många
Amerikanska företag har avtal med NSA och bygger in bakdörrar,
för NSA information. Sådan uppgifter förnekas
kategoriskt. Vissa fall är dock svårt att förklara
som när det upptäcktes kod hos Microsoft där
det stod "Backdoor to NSA". NSA verksamhet att avlyssna
allt är för övrigt laglig enligt Amerikansk
lag.
Även om USA har det bäst utvecklade
systemet har även mängder med andra länder
mycket stora resurser. Japaner är bl.a. specialister
på att läsa av minnen i telefaxer från Japansk
tillverkade telefaxer (de flesta). Ryssland har välutbyggt
system för intrång och buggning i andra länder,
däribland e-mail.
En mystisk funktion har upptäckts på nätet
där ett program smyger sig in i datorer (trojansk häst) och
skickar information från dig till en IP adress i Ryssland.
GIAC (Global Incident Analysis Center) som upptäckt de stora
trafikflödena rekommenderar Internetanvändare att spärra utgående
trafik till ip-adressen 194.87.6.X . Mer information finns
hos Sans Institutet på http://www.sans.org.
Genomgående så kan du inte veta
om dina e-mail används av utländska myndigheter
och till vad. Kanske är du under specialbevaking för
du fått e-mail av fel person. Kanske din uppfinning
redan finns hos ett Amerikanskt företag innan du hunnit
söka patent.
Det finns inga garantier för något
och allt är mycket hemlighetsfullt.
Hur gör man för att avlyssna
någons e-mail?
Den exakta tekniken skall inte läras
ut, men för att förstå riskerna skall jag
beskriva ett antal metoder. Från relativt enkla till
mer sofistikerade. Allt för att människor skall
inse att "någon läser deras e-mail" och
att man måste skydda sig eller inte använda e-mail.
Olika människors e-mail är ofta
mer eller mindre offentliga. Oftast så talar e-mailadressen
om exakt vilken server som används med ett direkt angivet
domännamn. Emailen innehåller i header uppgifter
om använda IP-nummer som anger servers nummer, adress
och innehavare.
De flesta använder exakt sitt namn, för
och efternamn prydligt, så det är mycket lätt
för en förövare att spåra, vem viss e-mail
tillhör. Telias standarduppställning av e-mail beskriver
också exakt vilken ort innehavaren har (t ex. bertil.svedenlund@mail.tommelilla.telia.com,
fing namn)
Med namn, nummerupplysning och uppgifter från RSV vet
en förövare det mesta utan speciellt kvalitativt
detektivarbete.
Ett axplock av de möjligheter som finns
följer nedan:
Insider
Det här är när någon
som arbetar hos en operatör sprider information. Spridningen
kan vara att man lämnar ut användaridentitet och
lösenord eller att man bara lämnar ut kopia på
innehåll i e-mailen.
Insidern kan göra detta själv p.g.a.
mutor eller andra idéer, men det kan också vara
på uppdrag av sin arbetsgivare, kanske ovetande och
blåögd hantering bara.
Varje dag så säkerhetskopieras
all information. Vem eller vilka som får tillgång
till detta vet ingen.
Hos svenska Telia började för något
år sedan en mängd identiteter florera bland kriminella.
Ganska säkert ett insiderjobb.
I Stockholm har en mängd förmögna
människor blivit utsatta för mycket stora och grova
brott. Ingen vet något och förövarna verkar
vara mycket välinformerade, ganska säkert användes
e-mailavlyssning.
Lämnar insidern ut identiteterna för
att komma åt någons e-mail, så märker
inte den som är utsatt något. Många gånger
går det bara att vara en i taget inloggad på e-mailkontot,
så då kan det vara intrång om man tillfälligt
inte kommer åt sin e-mail.
Insidern kan uppträda i alla typer av
miljöer och kan vara t.ex. underrättelsetjänst,
Polis, Militär, Teliatjänsteman eller anställd
hos en Internetoperatör.
En annan vanlig insider är den vanliga
dataservicepersonalen. De flesta ger utan problem dessa sina
lösenord, utan att betänka vad det kan få
för konsekvenser. I vanliga företagsnätverk så kallade
lan-nät (används ofta i bostadshus också) skickas alla information
inom nätverket utan skydd och varje dator i nätverket kan
mycket enkelt fånga in i klartext alla email och alla annan
Internetinformation. Ett program som används är webspy.
Risken att någon avslöjar insidern
är liten, eftersom han vet att han kan vara avlyssnad.
Genomgående är den potentielle insidern en människa
med relativt låg lön, som förmodligen är
ganska lätt att köpa.
Inkoppling i plint
Hela det svenska telefonsystemet har i princip
olika uppkopplingsplintar/stationer. De flesta sitter i någon
liten enkel stolpe som ingen märker om den öppnas.
Den som har tillgång till en telefonplint kan med lätthet
avlyssna all trafik som passerar, såväl telefon,
telefax som e-mail.
Den som avlyssnar behöver inte vara i
närheten, utan kan ha utrustning som skickar vidare i
luften eller med hjälp av telefonnätet.
Tillgång till telefonledning
Den som har tillgång till rätt
utrustning kan bevaka all trafik i den telefonledning som
passerar. Det finns också lämplig utrustning som
kan kopplas på för att få kopia av all trafik.
Militär använde förr ofta utrustning som kopplades
på ledningen genom att bara klättra upp och haka
fast sin utrustning. Då går det bra att ringa
och lyssna.
Idag är kablarna ofta i marken. Det är
dock inte uteslutet att en inkräktare har spade. Går
inkräktaren till fastighetskontoret eller till Telia
så bistår de villigt med information om vart kablarna
går i marken. Telia åker t.o.m. kostnadsfritt
och märker ut exakt vart deras kablar ligger. Telias
blåögda syfte är att ingen av misstag skall
gräva av kabeln. Att någon skall koppla in ett
extra litet don finns inte i deras tankar.
Intrång i server
Alla servers har speciella ingångar
för service, så kallade serviceportar. Ibland är
de inte skyddade ens med lösenord, men oftast med något
väldigt enkelt lösenord. (admin är populärast)
Intrånget kan göras via anonyma
servrar. Den som tar sig in kan i princip tillskaffa sig alla
information som finns på servern.
Även om du får garantier för
att din server har bra brandväggar och andra former av
skydd, så kan den operatören inte garantera säkerheten
i andra servrar som ditt e-mail går igenom när
du skickar e-mail. Ditt skydd är den nivå som den
sämst skyddade servern har som ditt e-mail går
igenom. Den nivån är inte hög.
Stjäla din användaridentitet och lösenord med
scanning.
Varje gång som du skall hämta
eller skicka e-mail, så skickar du först helt öppet
ditt användarID och lösenord. Hanteringen är
som om varuhuschefen ropar ut i högtalarna koden till
kassaskåpet när han skall lägga in pengar
där.
Det går att bevaka de IP nummer som
din Internetoperatör använder och kopiera den trafik
som man möter och erhålla dina lösenord. En
del bevakar på måfå och tar de lösenord
som fångas medan andra bevakar systematiskt. Kan motsvara
fiske, där en del tar allt medan andra bara tar ädelfisken.
Stjäla e-mail med scanning.
Det går att stjäla kopior av e-mail
som är ute i cyberrymden. Har man preciserad sökning
och bevakar viss server går det att få exakt de
e-mail som man vill. Det går också att ha programrobotar,
som i princip söker exakta uppdrag eller på måfå
vad som hittas ute på nätet. Ibland fångas
något kreditkortsnummer i nätet.
Bredband (fiberoptik)
Bredband har marknadsförts som säkra.
Det är de inte.
Det finns i princip två sätt att kopiera trafiken
från bredband. Det ena är att böja bredbandet
och ta bort höljet, då läcker systemet och
trafiken kan kopieras. Det andra sättet är att göra
ett avbrott, och göra en liten enhet som kopierar trafiken.
Ingen lär märka om någon utländsk ambassad
eller kriminell organisation gör det efter någon
enslig landsväg.
Det lär också finnas speciell radarteknik
för avlyssning av bredband, där det räcker
att man är nära ledningen.
Telefontrafik i luften
All trafik som går i luften kan tas
in av i princip vem som helst med mottagningsutrustning. Idag
finns det lokala Internetnät i städer som gå
via luft och telefontrafik över satelliter. Ofta har
den trafiken någon typ av krypterat skydd; i allmänhet
för svagt. Nycklar finns ofta tillgängliga hos fel
personer.
I det mobila nätet med NMT, GSM 900-1800,
AMPS och ETACS uppgavs krypteringen vara mycket säker.
Det har visat sig att den knäcks på en sekund.
Web e-mail
Webbaserade e-mail har mycket låg säkerhetsnivå.
Hösten 99 så släppte den största, Microsoftägda
Hotmail, in alla som ville, till vilket konto som helst från
vissa sidor. Helt utan lösenord.
Lösenord lagras också i den dator
som används, så det är enkelt för andra
att komma åt din uppgifter, om någon annan använder
samma dator senare
Det finns speciella virus som skickas som
ett e-mail till web-emailen. Viruset läser cookies (=lösenorden),
och skickar de stulna lösenorden automatiskt till ett
annat e-mail. Användaren märker normalt inget.
En metod som förekommer i stor omfattning
och är rena bondfångeriet, är att det läggs
upp falska kopior eller falska inloggningsfunktioner för
de här web-emailen. När någon skall använda
funktionen så sparas bara lösenorden, sedan meddelas
tillfälligt fel. Användaren förstår kanske
inte ens att någon just stulit lösenorden.
Webmailens inloggningsfunktion är ett javaskript
som kan laddas hem till din egna dator. Därefter kan det hårdköras
med lösenordsprövning, vilket ofta knäcks direkt p.g.a. dålig
kvalitet. Ett program som används av hackers är Munga Bunga
(se emailsynaren nr 6.)
Många av de här tjänsterna
t.ex. Hotmail har en service där vanliga e-mail eftersänds
till Hotmail. För att aktivera detta måste du lagra
din användarID och lösenord hos Hotmail. En åtgärd
som avrådes.
I övrigt gäller alla risker för
webbaserade som för vanliga e-mail också.
Tillgång till annans dator
Tillgång till annans dator kan ske
fysiskt eller via nätverk. Många flerbostadshus
har nätverk med tillgång till Internet. Skyddet
mot tillgång till andras datorer är ofta för
lågt eller obefintligt. StjärnTVs nät som
kopplat upp många Stockholmsfastigheter saknade under
lång period helt skydd.
Får någon tillgång till
din dator är oftast lösenord och användarID
krypterade i en fil. Den som kan hittar filen på nolltid.
Dekryptering sker genom att använda likadant program,
d.v.s. inget skydd alls.
I rask takt kommer nya program med diverse
funktioner, som ofta innebär nya säkerhetsluckor.
Ett exempel är Napster, ett program för att kopiera
MP3-filer med andra personer. Funktionen är dock säkerhetsmässigt
avskräckande då man samtidigt med uppkoppling ger
andra access till sin egen hårddisk. Med lite modifiering
har man ett perfekt spionverktyg. Napster har idag ca 20 miljoner
användare och räknar med 70 innan året är
slut. Många kopplar upp sig på företaget,
där kapaciteten på Internet är högre
än hemma, och ger samtidigt ovetande obehöriga tillgång
till företagets hårddiskar.
Napster är först och störst
men det växer upp konkurrenter som svampar med samma
grundsystem.
Ett ytterligare säkerhetshål (eller
medveten bakdörr) har upptäcks i Outlook (eller
Outlook Express) är en metod att bara skicka ett email
som mottagaren inte ens behöver läsa. Emailet planterar
in en funktion som gör att andra kan ta över datorn
och skicka vilken information som helst.
Källkod för detta elaka program
finns publicerat hos Underground Security Research (USSR)
http://www.ussrback.com
Microsoft har en program fix mot hotet på
sin hemsida.
En intressant hemsida finns på http://w1.462.telia.com/~u46210208/
Där författaren menar att nästa alla varit
utsatt för hackare.
Virustrojaner
Det finns virusprogram som fungerar enligt
samma principer med signaler av portar som t.ex. "Happy99"
och "I Love You". Men till skillnad mot dessa program
märker inte den som fått viruset något, utan
det skickar helt obemärkt ut dina lösenord och användar
ID till en programmerad e-mailadress.
Andra trojanprogram är Netbus och Backdoor.
I dessa program tar en utomstående helt enkelt över
din dator, och kan gör exakt vad han vill.
Datorprogram för avlyssning
Det finns en uppsjö av olika program
för avlyssning med olika funktioner. Många program
är till för nätövervakning, men kan användas
av vem som helst för vilket uppsåt som helst. Vissa
program kan riktas mot vissa ip-adresser och få in allt
från denna, behovet torde endast vara kriminellt eller
myndighetsintressen. Oftast finns det "Echelon"
funktion där sökord kan läggas in för
vilka e-mail som skall fångas upp.
Prisläget varierar från några
dollar till tiotusentals dollar. De flesta har demoversioner
för den som vill testa.
Det är förmodligen lagligt att köpa
och använda de här programmen så länge
man inte gör intrång i andras datorer, vilket oftast
inte behövs. Rättsläget är dock mer än
ovisst, och man bör inte använda sig av sådana
här program utan bara skydda sig mot dem.
Sniffer pro
http://www.nai.com
olika versioner kostar från 1.000 USD -20.000 USD beroende
på version. Programmet saluförs av Network Associates,
vilket är märkligt då de är branschledande
med skydd bl.a. PGP och mcafee.
Programmet jobbar i realtid och är ett
av de mest avancerade för "konsument".
CyberSnoop
http://www.pearlsoftware.com
kostar ca 50 USD
Programmet är till för att logga aktivitet såsom
FTP och chat. I huvudsak att installera på den dator
som ska användas för se aktiviteter. Klarar inte
realtid.
Message Inspector
http://www.elron.com kostar
ca 200 kr. Säljs I Sverige av Dataconstruction.
Programmet är till för bevaka nätverk
och kan också skriva rapporter. Går utmärkt
att använda i hyreshus.
Intraspy
http://business.fortunecity.com/all/164/products/intraspy/
kostar 25 USD
Läggs in i dator för att kontrollera
vad man vill t.ex. varje knapptryckning.
Webspy
http://www.webspy.com
kostar ca 300 USD (30 dagars demo)
Det är gamla Livingstone group som bytt namn till Webspy.
Kan fånga upp i princip allt som skickas
över nätet.
Whatsup
http://www.ipswitch.com
säljs i Sverige av http://www.swanhome.se
kostar ca 900 USD.
Programmet är till för att analysera
vilka datorer som är anslutna till ett nätverk,
inte för att avlyssna trafiken. Programmet är dock
ett bra hjälpmedel för att först analysera
sedan använda något av de andra programmen.
Hur gör du för att skydda dig?
För att skydda sig bör man använda
kryptering. Nackdelen med kryptering är att de man kommunicerar
med måste ha exakt samma sorts utrustning. Den ena parten
krypterar och den andra parten dekrypterar.
Tycker du att det är onödigt arbete
och risken är överdriven, så är det minsta
skyddet du bör ha ett anonymt e-mail (Har du bra kryptering
kan du ha ditt namn). Det lilla skyddet gör förhoppningsvis
att angripare väljer någon annan istället
för dig.
Har man viktig information att skydda, så
bör man tänka på att kryptoknäckare utvecklas
i ett rasande tempo med kapacitet på datorer som ingen
tidigare trott varit möjligt på 50 år. Det
finns idag kommersiella datorer som vem som helst kan köpa
(men du behöver ordentligt med pengar) som kan utföra
12.300.000.000.000 beräkningar i sekunden (IBM ASCI White).
För några år sedan ansågs
det som mycket bra med 1.000.000 beräkningar i sekunden.
I branschen har man ett mått som kallas MIPS år. Det jämförs
med hur många år det tar för brute force att knäcka en kryptering.
Med dagens datorkraft tar det som tog ett år tidigare 0,3
sekunder (NSA och liknande har säkerligen ofantligt mycket
högre datorkraft), eller man klarar av 12.000 år på en timme.
Förmodligen har NSA och liknande ordentligt mycket högre
ytterligare datorkraft.
Symmetriska nycklar behöver förmodligen
vara minst 200-300 bitar eller mer för att man skall
stå emot Brute Force (Först sker reducering (p.g.a.
del kännedom om innehåll) enligt visst system sedan
attackeras genom prövning återstående teoretiska
alternativ, en blowfish på 256 bitar motsvarar efter
reducering ca 40-60 bitar, 1099511627776 - 1152921504606846976
kombinationer, att köra Brute Force på).
De flesta krypteringarna är gjorda av
Amerikanska företag. Många litar inte på
Amerikanska företag, då NSA är så aktiva
med avlyssning.
RSA
RSA har inte bara namnet som liknar NSA, utan
de tre grundarna är f.d. NSA anställda. RSA är
den stora giganten i världen. Deras algoritm, RSA-algoritmen,
är det mest använda krypteringsskyddet som existerar
och används i 90-95% av samtliga krypteringsskydd.
Inom krypteringskretsar cirkulerar rykten
att RSA-algoritmen kan läsas/knäckas med ett enkelt
PC-program. NSA, men även andra, påstås ha
tillgång till detta. RSA säger att ingen bevisat
att deras algoritm går att knäcka. RSA har inte
heller bevisat att den inte går att knäcka. Motsägelsefullt
är det därför att RSA presenterar nya algoritmer.
Matematiken bakom RSA-algoritmen är att
den som har summan av två stora primtal (extremt stora
tal), kan inte med bara detta som hjälp räkna ut
de ingående primtalen.
P * Q = N Där P och Q är två
primtal. Den som har N kan ej beräkna P och Q (kanske
inte?).
Rykten säger att primtal på 4096
bitar kan beräknas med mindre än 25 miljoner beräkningar,
genom att börja med sista siffran i primtal och ett 40
tal samband och sannolikheter, bygga upp primtalet med sista
siffran först, den andra sedan osv. Stämmer detta
knäcks en sådan kryptering på någon
sekund.
Anledning finns att ta ryktet på allvar.
Sambandet mellan RSA och NSA samt att det är amerikanskt
gör att man kanske hellre använder andra algoritmer.
En annan sak är att Amerikansk krypteringsexport
varit extremt strikt reglerad till dec 1999, därefter
är det fritt för godkända produkter. Den som
är lite misstänksam av sig kan tro att det är
exportfritt för de produkter som NSA trots kryptering
kan läsa.
Sammanfattningsvis finns det god grund till
försiktighet med amerikanska produkter.
Hushmail
http://www.hushmail.com
Företaget var först i världen
med krypterad webbaserad e-mail. Det finns några stora
nackdelar, dels skyddas du från Hushmails server hem
till dig/företaget bara med SSL kryptering vilket normalt
används för kreditkortsnummerskydd, dels är
det trögt och du kan inte maila allt. Som vanligt när
det gäller kryptering måste båda parter ha
programmet.
Hushmail har gjort stora emissioner och har
högt utvecklingstempo med nya produkter. Företaget
är värt att bevaka.
Fördelen är att det är gratis.
Det är bättre än inget skydd alls och man kan
snabbt komma igång att skicka krypterade e-mail, om
man inte haft skydd tidigare.
PGP
http://www.pgp.com
Detta är kanske det mest använda
programmet för e-mailkryptering. Det är gratis för
privatpersoner och kostar ca 400 kr/användare för
företag.
Programmet jobbar med asymmetriskt skydd,
vilket i princip alltid är osäkrare än symetriskt
då det finns fler kända parametrar. Grundprincipen
är att massan som skall skyddas krypteras symetriskt
med en slumpnyckel, som skickas med men denna nyckel är
krypterad med asymmetrisk teknik och mottagarens offentliga
nyckel. På så sätt är skyddet asymmetriskt.
Programmet finns i många versioner och
är Amerikanskt. Zimmerman som konstruerade programmet
blev åtalad av Amerikanska myndigheter. Efter 3 år
kallades åtalet tillbaka, hur förlikningen såg
ut är sekretessbelagd. Zimmerman sålde direkt efter
detta PGP till företaget som Network Associates (har
bl.a. virusprogrammet Mcafee och avlyssningsprogrammet Sniffer)
PGP stödjer många algoritmer och
finns i många versioner. Detta är ett problem då
användaren inte vet säkert i sin version och hur
den versions kod ser ut. Finns bakdörrar? Det finns mängder
av ställen att ladda hem PGP från. Om det är
säkrare eller osäkrare att ladda från USA
(www.pgp.com)
finns det olika uppfattningar om.
Har man en bra version av PGP anser de flesta
att det är säkert. De fall som PGP knäckts
beror på användarfel, för korta nycklar och
duperade versioner. En korrekt version, rätt använd
bör för de flesta vara tillräckligt säker.
Info om olika buggar och risker med PGP
http://www.cert.org/advisories/CA-2000-09.html
http://www.pgpi.org/doc/bugs/win
http://nyheter.idg.se/display.pl?ID=990531-IW9
http://www.csl.sri.com/neumann/insiderisks.html
Lars-Olof Strömberg, forskare i IT-säkerhet
på KTH i Stockholm menar att organisationer som CIA
kan läsa email Trots att de är skyddade med PGP.
http://www.aftonbladet.se/it/9906/29/it_itskolan1.html.
Den typen av kunskap brukar likt inflation spridas till mindre
och mindre utvecklade organisationer och privatpersoner. (källa
IT skolan aftonbladet)
Ny allvarlig bugg har upptäckts och
blev i media offentlig 26/8 -2000. Buggen är så
allvarlig att att krypterade meddelanden kan dekrypteras av
andra, utan bruteforce.
I PGP från ver 5.0 finns en funktion
som kallas för ADK (Additional Decryption key). Syftet
med funktionen, är att det skall möjliggöra
skydd i företagsmiljö av viktig data. Det här
har sedan det lanserades varit kritiserat då det inneburit
en potentiell risk vid attacker mot en persons nyckel. Diskussioner
runt problemet finns på http://www.cdt.org/crypto/risks98/
ADK kan sättas in i ett okrypterat utrymme
i nyckeln, och hos personer utan att de märker något.
Funktionen blir att preparatorn kan läsa det som är
krypterat.
Det cirkulerar rykten att ADK funktionen är
en medveten inbyggd bakdörr, för myndigheter (läs
NSA). Tillverkaren håller masken och skall komma ut
med buggfix snarast.
Tysken som "upptäckte" problemet finns på
http://senderdek.de/securtity/key-experiments.html
Information om buggen finns också bl.a.
på IDG. http://nyheter.idg.se/display.asp?ID=000826-PFA3
Generalfelet som mycket kraftigt sänker
säkerheten är att det är din motpart istället
för du själv som sätter säkerhetsnivån.
Låt oss säga att du är expert och har den
bästa PGP versionen, kontrollerat källkoden, långa
nyckellängder och allt som kan göras för att
få din version så säker som möjligt.
Du skall sedan skicka ett viktigt dokument skyddat med PGP
till någon, då är det inte din säkerhetsnivå
utan motpartens säkerhetsnivå. Har motparten kort
nyckel, ett duperat program, plus att någon fått
tag i hans hemliga nycklar, så blir säkerheten
därefter. Du skall med andra ord om du vill vara säker,
kontrollera din version och din motparts version och din motparts
säkerhetshantering.
De flesta upplever att programmet är
svårt/omöjligt att använda. Vilket bland annat
belyses i rapporten http://www.cs.cmu.edu/~alma/johnny.pdf
En fördel är att det fungerar på
många operativsystem.
SafeIT (rekommenderas)
http://www.SafeIT.se
Det här är verkligen ett bra och
användarvänligt skydd. Det går snabbt att
komma igång med och är enkelt att använda.
Användaren mailar som vanligt och kryptering/dekryptering
fungerar i bakgrunden. Många använder SafeIT för
det går snabbt och enkelt att integrera i sin IT struktur
och enkelt för kunder att integrera i sin struktur.
Softnet Security som ligger bakom bolaget
och även har en svensk VD moderbolaget har nyligen etablerat
sig i Sverige. Bolaget har också fått generellt
exporttillstånd av 480 bitars kryptering.
http://www.safeit.com/media/pressrelease/010123_swe.html
Industri Standard, 15/2, om Softnet Securitys exporttillstånd:
http://standard.idg.se/artikelarkiv/printartikel.asp?id=111
Säkerhetsnivån ligger mycket högt
i branschen med etablerande av säker förbindelse
med hjälp av 2048 bitars asymetrisk start och användande
av Diffie-Hellman nyckelsystem. Därefter övergår
det till symetrisk kryptering. Nyckeln byts hela tiden ut
mot ny nyckel helt automatiskt, vilken man är helt ensamma
om. Idag används de symetriska algoritmerna Blowfish,
Twofish, Rijndael/AES och den egna SafeIT-algoritmen.
Totalt är säkerheten och användarvänligheten
väldigt mycket bättre än för några
andra e-mailsäkerhetsprogram. Programmet stödjer
att du
använder flera olika e-mailadresser/konton. Det troliga
är att tekniken och programmet blir standard för
säker e-mailkommunikation.
Programmet är mycket snabbt och ökar
hastigheten på dina e-mail istället för som
normalt vid kryptering minskar hastigheten.
Nackdelen är att programmet bara supportrar
PC med win 95/98 NT och 2000. Samt att man behöver e-mailprotokollen
SMTP/POP3.
Programmet är gratis för användande
av upp till 10 säkra kontakter, vill man ha fler får
man uppgradera och det kostar 250 kr (inkl moms).
Bra artiklar på svenska finns bl.a. här:
ComputerSweden:
http://nyheter.idg.se/display.asp?ID=000901-CS4
Nätverk & Kommunikation:
http://domino.idg.se/natkom/nokart.nsf/24da562fb5b11fe7c12563a000657853/
a6f74b72f26038b3c125698a00602291?OpenDocument
ZixMail
http://www.zixmail.com
Zixmail är ett nytt bolag noterat på
Nasdaq som fått in mängder med riskkapital och
har mångmiljardvärlden som noterat företag.
De har några olika produkter och annonserat om ytterligare.
Deras produkt Zixmail har en stor innovation
där man kan skicka e-mail till någon krypterat
utan att motparten har någon programvara eller någon
typ av lösenord att komma ihåg, fantastiskt bra.
Dessutom kostnadsfritt. En granskning under ytan visar dock
att säkerheten är mycket nära noll, t.o.m.
meningslös.
Lite förkortat fungerar det på
följande sätt:
|
1.
|
Jag laddar ner programmet. Fungerar
som eget e-mailprogram.
|
|
2.
|
Jag skapar ett speciellt lösenord.
|
|
3.
|
Jag skickar e-mail till min motpart
som inte har programmet.
|
|
4.
|
I praktiken går e-mailet till
Zixmails server.
|
|
5.
|
Min motpart får ett e-mail från
Zixmail där han skall koppla upp sig till Zixmail
och lägga in ett lösenord.
|
|
6.
|
Efter det får han mail igen
från Zixmail, där han klickar in på
Zixmail Server och klickar in sitt lösenord,
och kan läsa e-mailet.
|
Så här långt är det
ganska väl, förutom att det är en bökig
process att gå igenom för att skicka ett e-mail.
Även om man anar luckor i hantering hos Zixmail (Hur
säkra är anställda hos Zixmail, som kan läsa
i klartext?). Vidare så används SSL kryptering
med sina luckor osv..
Vid en liten granskning av säkerheten
så upptäcker man totala blunders av leverantören.
Det är nämligen så att om en fiende snappar
upp e-mailet så kan han gå in och registrera lösenord
och läsa istället, det handlar om den som läser
först. Vidare så går det bra att gå
in och registrera ett nytt lösenord, och det kan vara
vem som helst. Eftersom vitsen med kryptering är att
skydda sig mot den som obehörigt får tag i informationen,
blir skyddet totalt meningslöst.
Sammanfattningsvis är produkten farlig,
då användare kan tro att de har ett skydd, utan
att ha det. Jag skulle nästan tro att det är säkrare
i vissa fall att skicka ett mail oskyddat och hoppas att ingen
märker något. Här markerar man att man har
information som man vill skydda, utan att göra det. Ungefär
som att skicka pengar i ett kuvert, och skriva på utsidan
med stor text. OBS INNEHÅLLER SEDLAR.
Skydda Word och Zip-filer med kryptering (låg säkerhet)
Du kan lösenordskydda word, excel, powerpoint,
publisher och zipfiler. Sedan skicka dem som bifogade filer
med ditt e-mail.
Säkerheten är dock mycket låg.
Du kan söka på de vanliga sökmotorerna,
så finns det program som öppnar filerna. Öppning
sker dels genom "brute force" prövning av nycklar
och eftersom det oftast är dåliga lösenord öppnas filen snabbt,
dels finns det andra genvägar i algoritmenerna.
Certifikat
Certifikat är egentligen en asymmetrisk
algoritm. Där du har en publik nyckel som är din
identitet och garanteras av någon tredje part. Meddelande
till dig kan krypteras med din publika nyckel/Identitet, men
bara dekrypteras av den som innehar identitetens privata dekrypteringsnyckel.
I Netscape och Outlook finns det inbyggda
certifikatsfunktioner, som dock få vågar lita
på. Även nyckellängder är i de flesta
falla alldeles för kort. Hösten -99 upptäcktes
att Netscapes certifikat bara vara luft utan någon säkerhet.
Detta är en metod som man politikiskt förespråkar
och även infört i lagstiftning. Praktiskt så är metoden tveksam,
men har drivits på av möjligheten att göra elektronisk signaturer.
(se nyhetsbrev nr 4.)
Det finns många standarder och vanligast
är RSA och S/MIME och många garanter. Problemet
är att de olika certifikatsystemen inte fungerar ihop.
RSA-algoritmen, som förespråkas
av de flesta, är den som parodiskt nog många anser går
att läsa idag.
Av den som utfärdar identiteter (d.v.s.
offentlig och privat nyckel), fås inga egentliga garantier
att förtroendet inte kan missbrukas. Vidare så
är människor dåliga på att förvara
hemligheter (i detta fall den privata hemliga nyckeln). Får
någon tillgång till denna nyckel så har
han också makten över identiteten/informationen.
Det kan många gånger vara farligare
att man tror man är skyddad än att man är oskyddad.
Alla system som bygger på garantier från tredje
part bygger upp nya risker, både med egen och andras
hantering.
Ytterligare e-mailsäkerhetsprogram
Det finns många olika. De flesta fungerar
så att du i själva verket krypterar en fil som
du bifogar e-mailet. Problemet är att du måste
sprida din nyckel på något sätt och bara
till rätt användare.
Några finns här:
http://download.cnet.com/downloads/0-10000.html?tag=st.cn.10105-ron.sb.10000
http://www.pepsoft.com/
Till
Toppen
|
