”En av de största svenska attackerna”
Publicerad 2011-10-25
Attacken mot Bloggtoppen är en av de största hittills i Sverige.
Nu riktar en av Sveriges mest ansedda datasäkerhetsexperter stark kritik mot ägarna av sajten.
– Det här handlar om basala säkerhetskrav, säger Anne-Marie Eklund Löwinder.
Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef för Stiftelsen för Internetinfrastruktur. Stiftelsen ansvarar bland annat för att den svenska toppdomänen .se drivs på ett säkert och effektivt sätt. Hon rankas som nummer tre av svenska säkerhetsexperter av it-sajten idg.se.
Ett av de största angreppen
Jämfört med hackandet av Sonys Playstation network i april då 77 miljoner konton röjdes, är detta dataintrång ingenting. Men med svenska mått mätt är det ett av de största intrången.
För tre år sedan hackades sajten Bilddagboken.se och 235 000 kontouppgifter spreds på nätet. Dataföreningen hackades och 24 000 kontouppgifter kom på drift.
Anne-Marie Eklund Löwinder konstaterar att kontoläckaget från Bloggtoppen är ett av det värsta i Sverige.
– Det är definitivt ett av de största angreppen mot en svensk webbplats, säger hon.
"Webbägarna måste veta vad de gör"
Hennes kritik mot ägarna av sajten Bloggtoppen är hård:
– Jag blir förvånad över att det här fortfarande inträffar. Det här är basala säkerhetskrav som man som utvecklare bör känna till. De måste veta vad de gör och ha koll på informationen de hanterar.
Hon förklarar att det finns olika sätt att skydda lösenord.
– För enskilda användare måste lösenorden först och främst väljas med omsorg, så att de inte är för lätta att gissa. Sedan måste webbplatsen lagra dem på ett säkert sätt.
– Men här har webbplatsen använt sig av en väldigt enkel förvanskningsmekanism.
Ekonomi går före säkerhet
Anledningen varför man förbisett säkerheten tror hon är att webbföretag tänker kortsiktigt.
– Att komma ut på marknaden är mycket viktigare än att göra en bra och säker tjänst. Då tar man genvägar och tänker att det löser sig. Det behöver inte kosta ett enda dugg att införa ett säkert system, mer än att man måste ha säkerhetsmedvetna utvecklare. Vad som är svårt är att lappa och laga i efterhand. Det kostar massor.
En gratistjänst är dock, enligt Anne-Marie Eklund Löwinder, svår att ställa några större krav på.
– Där gäller det att ha ett specifikt lösenord som du bara använder just för den webbplatsen. Om man är mån om sina användare och vill ha hög trovärdighet som aktör tycker jag det är rimligt att man har rimlig säkerhet. Är det en tjänst man betalar för tycker jag att man som kund dessutom ska ställa krav på hög säkerhet.
Hon tipsar mot förmodan ovetande webbutvecklare om organisationen OWASP, Open web application security project, som ger ut guidelines. De har bland annat en lista på de vanligaste säkerhetsmisstagen som görs.
– Åtminstone det är ju krav att utvecklaren känner till.
Vem som helst kan avkoda lösenorden
Metoden som använts är en enkel checksummeberäkning, som består i en kombination av siffror och bokstäver.
För den som är det minsta teknikintresserad är det inte svårt att få fram lösenorden med hjälp av hashkoden.
– Verktygen för att avkoda, som är enkla att komma åt på nätet. De sprids fort i teknikkretsar. Det finns många forum, som Flashback, för den här typen av diskussioner. Det sprider sig snabbt både vad som hänt och hur man gör.
Lösenorden måste enligt Anne-Marie Eklund Löwinder vara lagrade på ett sätt som gör det i princip omöjligt att få fram lösenorden ur den krypterade texten, om man inte vet exakt vilken algoritm och nyckel som använts.
– Använder man sig av tillräckligt starka metoder ska det inte vara något problem.