Tele2 personal Annika Tiger bedrev ett sjukligt hat mot företagets kunder.
Ett av Sveriges största telekomföretag är Tele2 och flera kunder drabbades av Annica Tiger och hennes trakasserier.
Sparkad tele2-personal Annika Tiger
Läs mer här, >>>
Myndigheter som blivit utsatta för bedrägerier av Annika Tiger: ...
>>> Konkurrenten Telia ...
>>> Datainspektionen ...
>>> Unionens a-kassa ...
>>> Justitiekanslern...
>>> Polisen ...
>>> Advokat Percy Bratt...
Annica Tiger började i november 1997 som praktikant på Tele2 i Kista utanför Stockholm. Hon utnyttjade tidigt företaget och sin anställning för eget bruk. Till exempel begärde hon ut handlingar i företagets namn för egen vinning eller så ringde hon privata telefonsamtal till kunderna där dessa trakasserades eller baktalades. Annika Tiger är den första kända svenska kvinna som har publicerat datavirus på internet samtidigt som hon hittade på och spred falska anklagelser på internet.
Personalen Annica Tiger blev också känd för sina trakasserier mot konkurrenten Telia's kunder. Annica Tiger lurade och bedrog också Telia, Datainspektionen och Justitiekanslern och hänvisade flera gånger i samband med detta till sin anställning på Tele2. Hon kontaktade också företag så att de skulle läsa vad hon skrev om deras personal i sin egen internetdagbok.
Innan hon fick antällning på Tele2 hade hon arbetat på på B&W som kassörska, men fick sparken. Efter uppsägningen från B&W, nuvarande COOP, studerade hon sedan på Kunskapslyftet. Efter avslutad kurs på Kunskapslyftet utförde hon en hatsida om företaget som hade vägrat ge henne praktikplats då Annica uppenbarligen gjorde sig omöjlig med företaget.
Därefter fick hon anställning på Tele2 men fick sparken efter hon bland annat misskött sig och skrikit, i ett av sina vredesutbrott, åt ansvariga chefer. När hon därefter sökte arbete på ett bevakningsföretag, men nobbades, gjorde hon istället en hat-sida om bevakningsföretaget.
Ett exempel på Annica Tigers misskötsel av sin anställning hos Tele2:
Lyssna på tele2-personalen Annika Tiger här >>>.
Här är också delar av det mail som hon hänvisar till och det syns tydligt att det skickats till abuse avdelningen på Tele2 AB/abuse <abuse@swip.net>, och inte till Tiger som hon så ljugaktigt påstår.
Innehållet i mailet spreds snabbt vidare ut på internet, bland annat till Katinka Löfqvist som gjorde sig lustig över och hånade mailet på sin egen hemsida (www.katinka.com) bara några dagar efter det mottogs på tele2.
|
|
|
|
|
|
Katinka Löfqvist. Datakonsult från Heart New Media i stockholm.
Läs mer om Katinka >>>
|
|
|
|
|
Katinka Löfqvist |
|
Faran hos Telekomföretag
Telekomföretag är idag medvetna om den stora faran med opålitlig personal. Den snabba utvecklingen inom internet gäller även kompetens och fantasi inom kriminell brottslighet, framförallt den organiserade brottsligheten. Men även skurkar i mindre skala.
I Stockholm har en mängd förmögna människor blivit utsatta för mycket grova brott. Ingen vet något om förövarna. De verkar dock vara mycket välinformerade. Ganska säkert har de arbetat med e-mailavlyssning, kartläggning och sedan tillslag. Polisen, som i sin IT-utveckling nyligen lärt sig styra en mus, vet ingenting och är som frågetecken.
De kriminella syftena varierar, men vanligast är:
- Bakgrundsinformation inför stöld. T.ex. ta reda på när du inte är hemma.
- Utpressning. Bedriva utpressning med kunskap som skaffats via e-mail. Det kan vara allt från att man sökt nytt arbete, familjehändelser, till kärleksaffärer.
- Sälja stulen information. Information har värde. Rätt information till rätt köpare betingar stora pengar.
- Kartläggning. Många kriminella kartlägger personer. Ibland med rasistiska syften, ibland för olika typer av brott där den kartlagde skall utnyttjas/utsättas. Speciellt journalister kartläggs (inte bara s.k. kriminella gör detta)
- Bedrägerier. Där kunskap om vad som står i e-mail används för bedrägerier av olika slag.
- Stöld. Affärsidéer, uppfinningar, ritningar, namn, manuskript och mycket annat som skickas på Internet kan helt enkelt stjälas. Patentansökningen skickas in före den rätte uppfinnaren, domänen registreras innan osv.
Det kan också vara anställda som bedriver en "liten" birörelse. Det är egentligen få fall av emailavlyssning som upptäcks så det är stora mörkertal. Ett exempel som kom fram i rampljuset var när olika kunder hos Stjärn-TV kunde gå in hos varandra.
Kunskapen om hur man tar sig in i människors E-mail är utspridd. I många fall handlar det om bus med ett oskyldigt upptåg. Det kan dock bli skador och den som blir utsatt tycker inte alltid att buset är speciellt roligt.
Det är enkelt att skicka e-mail och fort går det. Alla har i princip gjort misstag och skickat e-mail helt felaktigt. På motsvarande sätt kan det ske tekniska misstag så att fel person får ditt e-mail. Oftast går det bra, men inte alltid.
En del företagsspionage är tillåtet, annat otillåtet. Var gränsen går varierar betänkligt i olika företags moralsyn. Olika länders kulturer är också väldigt olika.
Alla företag och företagare skall utgå från att andra företag gör i princip vad som helst för att skaffa sig information. Vilket värde viss information har för ett konkurrerande företag inser de flesta själva.
Ett exempel som nyligen framkommit är att Netscape/AOL ibland annat Netscape 4.7 lagt in en spionfunktion i funktionen smart download. Syftet är sannolikt för att gör marknadsföring mer exakt. Funktion är klart oetisk utan att informera kunden först. Netscape/AOL vill inte lämna några kommentarer.
Det går att avinstallera smart download via kontrollpanelen.
Informationen kan ofta köpas eller beställas av kriminella.
Att skicka e-mail utan att skydda sin information med stark kryptering kan jämföras med att låta konkurrenter bli insläppta på företaget utan lås med tillgång till allt, datorer, arkiv m.m.
Fundera på vad det betyder för dig om din konkurrent får redan på allt om dig och ditt företag?
- Kundkorrespondens
- Affärsutveckling
- Rekrytering
- Ekonomisk information
- Olika kontakter
Ett företag som är utsatt för emailspionage internt eller externt märker normalt aldrig detta. Företaget FMV som arbetar med krigsmaterial har givetvis en högre säkerhetsprofil än andra företag. Tack vare detta upptäcktes att de var utsatta för spionage, ändå bevaka spionen alla kommunikation under ca 20 dagar. Hur många företag är ständigt bevakade? Läs en del om detta här http://www.aftonbladet.se/nyheter/0006/10/epost.html
Varje land har olika policys hur det hanterar olika former av avlyssning och registrering. För avlyssning i Sverige krävs det domstolsbeslut, som är sekretessbelagt. I praktiken går det till så att i de ärenden där avlyssning behövs för bevisning erhålls domstolsbeslut i efterhand. Under 1998 var det i Sverige ca 1.000 avlyssningsärenden enligt domstolsväsendet, 1 avslogs p.g.a. formellt felaktigt ifylld handling. Det verkliga talet är förmodligen minst 10, kanske 100, gånger större. Eftersom samtliga domar/beslut är sekretessbelagda känner ingen till handläggningen.
Syftet med avlyssning är att skaffa bevis och upptäcka brott.
I Sverige finns det fyra myndigheter som sysslar med avlyssning. Polisen (RPS), Säpo (RPS), Tullkrim och Försvaret. Dessutom sker antagligen informationsutbyte med internationella myndigheter.
Varje telefonnummer i Sverige representeras av en kontakt hos Telia. För varje nummer finns det,efter krav från myndigheter, ett parallellt uttag att användas till avlyssning.
Vem eller vilka som har tillgång till den extra kontakten finns det inga uppgifter om.
Den tillgång och möjlighet myndigheter har att avlyssna (bl.a. e-mail), saknar garantier om hur den används och tydligt reglerverk om när, hur, var och mot vem. Säpo har bl.a. åsiktsregistrerat och avlyssnat mängder med svenskar utan domstolsbeslut.
I väldigt många sammanhang samarbetar polis med kriminella; stöldgods köps tillbaka och mycket annat. Vad kostar det för kriminella att få lågavlönade tjänstemän att gå deras ärenden? 5.000 -10.000 Kr? Eller någon typ av utpressning? Nyligen gick det att läsa om en kriminell gangsterledare som avlönades av polisen, polisen var med vid bröllop och mycket annat.
Lika är det inom säkerhetspolisen (RPS), tullkrim och försvaret (sköts av försvarets radioanstalt och syftet är kontraspionage på främmande makt). Alltid lågavlönade tjänstemän och sekretessbelagd handläggning.
Inom dessa myndigheter utförs ofta arbetet borta ifrån familj och under hårt tryck på de anställda. Sorgligt vanligt med stor alkoholkonsumtion, med följdproblem som gör dessa människor till utpressningsoffer av kriminella. Istället för att arbeta mot kriminalitet börjar de jobba för kriminalitet. MC-ligor har så gott som alltid etablerade tjänstemän inom myndigheter som rapportörer.
I England kommer från och med hösten 2000 samtlig e-mailtrafik att gå igenom ett antal datorer som myndigheterna använder, officiellt bara för brottsbekämpning. Övriga EU länder, däribland Sverige, följer intresserat debatten.
I USA används Carnivore av FBI, som är en plåtlådas som ställs in i Internetleverantörens lokaler, där FBI läser all E-post. Domstol har prövat och kommit fram till att Internetleverantörer inte kan vägra inkoppling.
Sammanfattningsvis har du ingen garanti för att inhemska myndigheter använder sina befogenheter korrekt. Tvärtom bör du utgå från att missbruk sker.
En organiserad och oorganiserad avlyssning sker i stor omfattning av utländska myndigheter och ambassader. Officiellt är det alltid bekämpning mot terrorism, brott och för landets säkerhet. I praktiken är det förmodligen största användningen rent industrispionage.
I särklass "bästa" systemet har USA, med sitt datasystem Echelon, som drivs av NSA (National Security Agency). NSA kallas populärt data-FBI och beskriver bra det egentliga syftet. Deras system kan avlyssna alla länders telefon, telefax och e-mail och det görs i en kolossal omfattning. Verksamheten sysselsätter enligt uppgifter som cirkulerar 40.000 människor. Det mesta är superhemligt runt denna verksamhet, men ibland har vissa saker kommit ut, bl.a. hade de 1.000 sidor handlingar med avlyssning av prinsessan Diana.
På senare tiden har det kommit fram att NSA sysslar med industrispionage i stor omfattning. Bl.a. rapporterades det offertsumman från Airbus på 5 miljarder till Boing. Boing fick ordern. USA/NSA förnekar att systemet används för industrispionage.
1992 berättade NSA-amiralen Studeman att kommersiell underrättelseverksamhet blivit NSA andra ben. De Amerikanska företag som får informationsstöd vänder sig till Office of Executive Support, för detta. Motsvarande hjälp får vissa engelska företag via GCHQ:s K-division.
Förmodligen lagras all information för "heta" personer, såsom företagsledare, politiker och inflytesrika personer. När det är intressant fördjupas arbetet med att läsa och dokumentera informationen.
Väldigt mycket om Echelon finns att läsa på den här sidan. http://www.aclu.org/echelonwatch/. Det finns också bra rapporter från EU om Echelon där USA kritiseras för Industrispionage (Stor NSA central finns stationerad i England, vilket ifrågasätts).
Det är idag många som ifrågasätter hur NSA jobbar ihop med Amerikansk industri. Många anser att Amerikanska företag servar NSA och får betalt i information som erhållits som industrispionage. Andra anser att NSA i praktiken kontrollerar USAs demokrati och styrs av en handfull människor.
Hur det ligger till vet ingen, även om indicierna är många. Risken är stor att många Amerikanska företag har avtal med NSA och bygger in bakdörrar, för NSA information. Sådan uppgifter förnekas kategoriskt. Vissa fall är dock svårt att förklara som när det upptäcktes kod hos Microsoft där det stod "Backdoor to NSA". NSA verksamhet att avlyssna allt är för övrigt laglig enligt Amerikansk lag.
Krypteringsprogrammet SafeIT (http://www.safeit.com/) är ett effektivt skydd mot Echelon. Även om USA har det bäst utvecklade systemet har även mängder med andra länder mycket stora resurser. Japaner är bl.a. specialister på att läsa av minnen i telefaxer från Japansk tillverkade telefaxer (de flesta). Ryssland har välutbyggt system för intrång och buggning i andra länder, däribland e-mail.
En mystisk funktion har upptäckts på nätet där ett program smyger sig in i datorer (trojansk häst) och skickar information från dig till en IP adress i Ryssland. GIAC (Global Incident Analysis Center) som upptäckt de stora trafikflödena rekommenderar Internetanvändare att spärra utgående trafik till ip-adressen 194.87.6.X . Mer information finns hos Sans Institutet på http://www.sans.org/.
Genomgående så kan du inte veta om dina e-mail används av utländska myndigheter och till vad. Kanske är du under specialbevaking för du fått e-mail av fel person. Kanske din uppfinning redan finns hos ett Amerikanskt företag innan du hunnit söka patent.
Det finns inga garantier för något och allt är mycket hemlighetsfullt.
Hur gör man för att avlyssna någons e-mail?
Den exakta tekniken skall inte läras ut, men för att förstå riskerna skall jag beskriva ett antal metoder. Från relativt enkla till mer sofistikerade. Allt för att människor skall inse att "någon läser deras e-mail" och att man måste skydda sig eller inte använda e-mail.
Olika människors e-mail är ofta mer eller mindre offentliga. Oftast så talar e-mailadressen om exakt vilken server som används med ett direkt angivet domännamn. Emailen innehåller i header uppgifter om använda IP-nummer som anger servers nummer, adress och innehavare.
De flesta använder exakt sitt namn, för och efternamn prydligt, så det är mycket lätt för en förövare att spåra, vem viss e-mail tillhör. Telias standarduppställning av e-mail beskriver också exakt vilken ort innehavaren har (t ex. bertil.svedenlund@mail.tommelilla.telia.com, fing namn)
Med namn, nummerupplysning och uppgifter från RSV vet en förövare det mesta utan speciellt kvalitativt detektivarbete.
Ett axplock av de möjligheter som finns följer nedan:
Insider
Det här är när någon som arbetar hos en operatör sprider information. Spridningen kan vara att man lämnar ut användaridentitet och lösenord eller att man bara lämnar ut kopia på innehåll i e-mailen.
Insidern kan göra detta själv p.g.a. mutor eller andra idéer, men det kan också vara på uppdrag av sin arbetsgivare, kanske ovetande och blåögd hantering bara.
Varje dag så säkerhetskopieras all information. Vem eller vilka som får tillgång till detta vet ingen.
Hos svenska Telia började för något år sedan en mängd identiteter florera bland kriminella. Ganska säkert ett insiderjobb.
I Stockholm har en mängd förmögna människor blivit utsatta för mycket stora och grova brott. Ingen vet något och förövarna verkar vara mycket välinformerade, ganska säkert användes e-mailavlyssning.
Lämnar insidern ut identiteterna för att komma åt någons e-mail, så märker inte den som är utsatt något. Många gånger går det bara att vara en i taget inloggad på e-mailkontot, så då kan det vara intrång om man tillfälligt inte kommer åt sin e-mail.
Insidern kan uppträda i alla typer av miljöer och kan vara t.ex. underrättelsetjänst, Polis, Militär, Teliatjänsteman eller anställd hos en Internetoperatör.
En annan vanlig insider är den vanliga dataservicepersonalen. De flesta ger utan problem dessa sina lösenord, utan att betänka vad det kan få för konsekvenser.
Risken att någon avslöjar insidern är liten, eftersom han vet att han kan vara avlyssnad. Genomgående är den potentielle insidern en människa med relativt låg lön, som förmodligen är ganska lätt att köpa.
Inkoppling i plint
Hela det svenska telefonsystemet har i princip olika uppkopplingsplintar/stationer. De flesta sitter i någon liten enkel stolpe som ingen märker om den öppnas. Den som har tillgång till en telefonplint kan med lätthet avlyssna all trafik som passerar, såväl telefon, telefax som e-mail.
Den som avlyssnar behöver inte vara i närheten, utan kan ha utrustning som skickar vidare i luften eller med hjälp av telefonnätet.
Tillgång till telefonledning
Den som har tillgång till rätt utrustning kan bevaka all trafik i den telefonledning som passerar. Det finns också lämplig utrustning som kan kopplas på för att få kopia av all trafik.
Militär använde förr ofta utrustning som kopplades på ledningen genom att bara klättra upp och haka fast sin utrustning. Då går det bra att ringa och lyssna.
Idag är kablarna ofta i marken. Det är dock inte uteslutet att en inkräktare har spade. Går inkräktaren till fastighetskontoret eller till Telia så bistår de villigt med information om vart kablarna går i marken. Telia åker t.o.m. kostnadsfritt och märker ut exakt vart deras kablar ligger. Telias blåögda syfte är att ingen av misstag skall gräva av kabeln. Att någon skall koppla in ett extra litet don finns inte i deras tankar.
Intrång i server
Alla servers har speciella ingångar för service, så kallade serviceportar. Ibland är de inte skyddade ens med lösenord, men oftast med något väldigt enkelt lösenord. (admin är populärast)
Intrånget kan göras via anonyma servrar. Den som tar sig in kan i princip tillskaffa sig alla information som finns på servern.
Även om du får garantier för att din server har bra brandväggar och andra former av skydd, så kan den operatören inte garantera säkerheten i andra servrar som ditt e-mail går igenom när du skickar e-mail. Ditt skydd är den nivå som den sämst skyddade servern har som ditt e-mail går igenom. Den nivån är inte hög.
Stjäla din användaridentitet och lösenord med scanning.
Varje gång som du skall hämta eller skicka e-mail, så skickar du först helt öppet ditt användarID och lösenord. Hanteringen är som om varuhuschefen ropar ut i högtalarna koden till kassaskåpet när han skall lägga in pengar där.
Det går att bevaka de IP nummer som din Internetoperatör använder och kopiera den trafik som man möter och erhålla dina lösenord. En del bevakar på måfå och tar de lösenord som fångas medan andra bevakar systematiskt. Kan motsvara fiske, där en del tar allt medan andra bara tar ädelfisken.
Stjäla e-mail med scanning.
Det går att stjäla kopior av e-mail som är ute i cyberrymden. Har man preciserad sökning och bevakar viss server går det att få exakt de e-mail som man vill. Det går också att ha programrobotar, som i princip söker exakta uppdrag eller på måfå vad som hittas ute på nätet. Ibland fångas något kreditkortsnummer i nätet.
Bredband
Bredband har marknadsförts som säkra. Det är de inte.
Det finns i princip två sätt att kopiera trafiken från bredband. Det ena är att böja bredbandet och ta bort höljet, då läcker systemet och trafiken kan kopieras. Det andra sättet är att göra ett avbrott, och göra en liten enhet som kopierar trafiken. Ingen lär märka om någon utländsk ambassad eller kriminell organisation gör det efter någon enslig landsväg.
Det lär också finnas speciell radarteknik för avlyssning av bredband, där det räcker att man är nära ledningen.
Telefontrafik i luften
All trafik som går i luften kan tas in av i princip vem som helst med mottagningsutrustning. Idag finns det lokala Internetnät i städer som gå via luft och telefontrafik över satelliter. Ofta har den trafiken någon typ av krypterat skydd; i allmänhet för svagt. Nycklar finns ofta tillgängliga hos fel personer.
I det mobila nätet med NMT, GSM 900-1800, AMPS och ETACS uppgavs krypteringen vara mycket säker. Det har visat sig att den knäcks på en sekund.
Web e-mail
Webbaserade e-mail har mycket låg säkerhetsnivå. Hösten 99 så släppte den största, Microsoftägda Hotmail, in alla som ville, till vilket konto som helst från vissa sidor. Helt utan lösenord.
Lösenord lagras också i den dator som används, så det är enkelt för andra att komma åt din uppgifter, om någon annan använder samma dator senare
Det finns speciella virus som skickas som ett e-mail till web-emailen. Viruset läser cookies (=lösenorden), och skickar de stulna lösenorden automatiskt till ett annat e-mail. Användaren märker normalt inget.
En metod som förekommer i stor omfattning och är rena bondfångeriet, är att det läggs upp falska kopior eller falska inloggningsfunktioner för de här web-emailen. När någon skall använda funktionen så sparas bara lösenorden, sedan meddelas tillfälligt fel. Användaren förstår kanske inte ens att någon just stulit lösenorden.
Många av de här tjänsterna t.ex. Hotmail har en service där vanliga e-mail eftersänds till Hotmail. För att aktivera detta måste du lagra din användarID och lösenord hos Hotmail. En åtgärd som avrådes.
I övrigt gäller alla risker för webbaserade som för vanliga e-mail också.
Tillgång till annans dator
Tillgång till annans dator kan ske fysiskt eller via nätverk. Många flerbostadshus har nätverk med tillgång till Internet. Skyddet mot tillgång till andras datorer är ofta för lågt eller obefintligt. StjärnTVs nät som kopplat upp många Stockholmsfastigheter saknade under lång period helt skydd.
Får någon tillgång till din dator är oftast lösenord och användarID krypterade i en fil. Den som kan hittar filen på nolltid. Dekryptering sker genom att använda likadant program, d.v.s. inget skydd alls.
I rask takt kommer nya program med diverse funktioner, som ofta innebär nya säkerhetsluckor. Ett exempel är Napster, ett program för att kopiera MP3-filer med andra personer. Funktionen är dock säkerhetsmässigt avskräckande då man samtidigt med uppkoppling ger andra access till sin egen hårddisk. Med lite modifiering har man ett perfekt spionverktyg. Napster har idag ca 20 miljoner användare och räknar med 70 innan året är slut. Många kopplar upp sig på företaget, där kapaciteten på Internet är högre än hemma, och ger samtidigt ovetande obehöriga tillgång till företagets hårddiskar.
Napster är först och störst men det växer upp konkurrenter som svampar med samma grundsystem.
Ett ytterligare säkerhetshål (eller medveten bakdörr) har upptäcks i Outlook (eller Outlook Express) är en metod att bara skicka ett email som mottagaren inte ens behöver läsa. Emailet planterar in en funktion som gör att andra kan ta över datorn och skicka vilken information som helst.
Virustrojaner
Det finns virusprogram som fungerar enligt samma principer med signaler av portar som t.ex. "Happy99" och "I Love You". Men till skillnad mot dessa program märker inte den som fått viruset något, utan det skickar helt obemärkt ut dina lösenord och användar ID till en programmerad e-mailadress.
Andra trojanprogram är Netbus och Backdoor. I dessa program tar en utomstående helt enkelt över din dator, och kan gör exakt vad han vill.
Datorprogram för avlyssning
Det finns en uppsjö av olika program för avlyssning med olika funktioner. Många program är till för nätövervakning, men kan användas av vem som helst för vilket uppsåt som helst. Vissa program kan riktas mot vissa ip-adresser och få in allt från denna, behovet torde endast vara kriminellt eller myndighetsintressen. Oftast finns det "Echelon" funktion där sökord kan läggas in för vilka e-mail som skall fångas upp.
Prisläget varierar från några dollar till tiotusentals dollar. De flesta har demoversioner för den som vill testa.
Det är förmodligen lagligt att köpa och använda de här programmen så länge man inte gör intrång i andras datorer, vilket oftast inte behövs. Rättsläget är dock mer än ovisst, och man bör inte använda sig av sådana här program utan bara skydda sig mot dem.
Sniffer pro
http://www.nai.com/ olika versioner kostar från 1.000 USD -20.000 USD beroende på version. Programmet saluförs av Network Associates, vilket är märkligt då de är branschledande med skydd bl.a. PGP och mcafee.
Programmet jobbar i realtid och är ett av de mest avancerade för "konsument".
CyberSnoop
http://www.pearlsoftware.com/ kostar ca 50 USD
Programmet är till för att logga aktivitet såsom FTP och chat. I huvudsak att installera på den dator som ska användas för se aktiviteter. Klarar inte realtid.
Message Inspector
http://www.elron.com/ kostar ca 200 kr. Säljs I Sverige av Dataconstruction.
Programmet är till för bevaka nätverk och kan också skriva rapporter. Går utmärkt att använda i hyreshus.
Intraspy
http://business.fortunecity.com/all/164/products/intraspy/index.html kostar 25 USD
Läggs in i dator för att kontrollera vad man vill t.ex. varje knapptryckning.
Whatsup
http://www.ipswitch.com/
Programmet är till för att analysera vilka datorer som är anslutna till ett nätverk, inte för att avlyssna trafiken. Programmet är dock ett bra hjälpmedel för att först analysera sedan använda något av de andra programmen.
Hur gör du för att skydda dig?
För att skydda sig bör man använda kryptering. Nackdelen med kryptering är att de man kommunicerar med måste ha exakt samma sorts utrustning. Den ena parten krypterar och den andra parten dekrypterar.
Tycker du att det är onödigt arbete och risken är överdriven, så är det minsta skyddet du bör ha ett anonymt e-mail (Har du bra kryptering kan du ha ditt namn). Det lilla skyddet gör förhoppningsvis att angripare väljer någon annan istället för dig.
Har man viktig information att skydda, så bör man tänka på att kryptoknäckare utvecklas i ett rasande tempo med kapacitet på datorer som ingen tidigare trott varit möjligt på 50 år. Det finns idag kommersiella datorer som vem som helst kan köpa (men du behöver ordentligt med pengar) som kan utföra 12.300.000.000.000 beräkningar i sekunden (IBM ASCI White).
För något år sedan ansågs det som mycket bra med 1.000.000 beräkningar i sekunden. I branschen har man ett mått som kallas MIPS år. Det jämförs med hur många år det tar för brute force att knäcka en kryptering. Med dagens datorkraft tar ett sådant år 0,3 sekunder (NSA och liknande har säkerligen ofantligt mycket högre datorkraft), eller man klarar av 12.000 år på en timme. Förmodligen har NSA och liknande ordentligt mycket högre ytterligare datorkraft.
Symmetriska nycklar behöver förmodligen vara minst 200-300 bitar eller mer för att man skall stå emot Brute Force (Först sker reducering (p.g.a. del kännedom om innehåll) enligt visst system sedan attackeras genom prövning återstående teoretiska alternativ, en blowfish på 256 bitar motsvarar efter reducering ca 40-60 bitar, 1099511627776 - 1152921504606846976 kombinationer, att köra Brute Force på).
De flesta krypteringarna är gjorda av Amerikanska företag. Många litar inte på Amerikanska företag, då NSA är så aktiva med avlyssning.
RSA
RSA har inte bara namnet som liknar NSA, utan de tre grundarna är f.d. NSA anställda. RSA är den stora giganten i världen. Deras algoritm, RSA-algoritmen, är det mest använda krypteringsskyddet som existerar och används i 90-95% av samtliga krypteringsskydd.
Inom krypteringskretsar cirkulerar rykten att RSA-algoritmen kan läsas/knäckas med ett enkelt PC-program. NSA, men även andra, påstås ha tillgång till detta. RSA säger att ingen bevisat att deras algoritm går att knäcka. RSA har inte heller bevisat att den inte går att knäcka. Motsägelsefullt är det därför att RSA presenterar nya algoritmer.
Matematiken bakom RSA-algoritmen är att den som har summan av två stora primtal (extremt stora tal), kan inte med bara detta som hjälp räkna ut de ingående primtalen.
P * Q = N Där P och Q är två primtal. Den som har N kan ej beräkna P och Q (kanske inte?).
Rykten säger att primtal på 4096 bitar kan beräknas med mindre än 25 miljoner beräkningar, genom att börja med sista siffran i primtal och ett 40 tal samband och sannolikheter, bygga upp primtalet med sista siffran först, den andra sedan osv. Stämmer detta knäcks en sådan kryptering på någon sekund.
Anledning finns att ta ryktet på allvar. Sambandet mellan RSA och NSA samt att det är amerikanskt gör att man kanske hellre använder andra algoritmer.
En annan sak är att Amerikansk krypteringsexport varit extremt strikt reglerad till dec 1999, därefter är det fritt för godkända produkter. Den som är lite misstänksam av sig kan tro att det är exportfritt för de produkter som NSA trots kryptering kan läsa.
Sammanfattningsvis finns det god grund till försiktighet med amerikanska produkter.
Hushmail
http://www.hushmail.com/
Företaget var först i världen med krypterad webbaserad e-mail. Det finns några stora nackdelar, dels skyddas du från Hushmails server hem till dig/företaget bara med SSL kryptering vilket normalt används för kreditkortsnummerskydd, dels är det trögt och du kan inte maila allt. Som vanligt när det gäller kryptering måste båda parter ha programmet.
Hushmail har gjort stora emissioner och har högt utvecklingstempo med nya produkter. Företaget är värt att bevaka.
Fördelen är att det är gratis.
Det är bättre än inget skydd alls och man kan snabbt komma igång att skicka krypterade e-mail, om man inte haft skydd tidigare.
PGP
http://www.pgp.com/
Detta är kanske det mest använda programmet för e-mailkryptering. Det är gratis för privatpersoner och kostar ca 400 kr/användare för företag.
Programmet jobbar med asymmetriskt skydd, vilket i princip alltid är osäkrare än symetriskt då det finns fler kända parametrar. Grundprincipen är att massan som skall skyddas krypteras symetriskt med en slumpnyckel, som skickas med men denna nyckel är krypterad med asymmetrisk teknik och mottagarens offentliga nyckel. På så sätt är skyddet asymmetriskt.
Programmet finns i många versioner och är Amerikanskt. Zimmerman som konstruerade programmet blev åtalad av Amerikanska myndigheter. Efter 3 år kallades åtalet tillbaka, hur förlikningen såg ut är sekretessbelagd. Zimmerman sålde direkt efter detta PGP till företaget som Network Associates (har bl.a. virusprogrammet Mcafee och avlyssningsprogrammet Sniffer)
PGP stödjer många algoritmer och finns i många versioner. Detta är ett problem då användaren inte vet säkert i sin version och hur den versions kod ser ut. Finns bakdörrar? Det finns mängder av ställen att ladda hem PGP från. Om det är säkrare eller osäkrare att ladda från USA (http://www.pgp.com/) finns det olika uppfattningar om.
Har man en bra version av PGP anser de flesta att det är säkert. De fall som PGP knäckts beror på användarfel, för korta nycklar och duperade versioner. En korrekt
version, rätt använd bör för de flesta vara tillräckligt säker.
Info om olika buggar och risker med PGP
http://www.cert.org/advisories/CA-2000-09.html
http://www.pgpi.org/doc/bugs/win
http://www.csl.sri.com/neumann/insiderisks.html
http://www.securiteam.com/securitynews/Key_Generation
_ Security_Flaw_in_PGP_5_0.html
Lars-Olof Strömberg, forskare i IT-säkerhet på KTH i Stockholm menar att organisationer som CIA kan läsa email Trots att de är skyddade med PGP. http://www.aftonbladet.se/it/9906/29/it_itskolan1.html. Den typen av kunskap brukar likt inflation spridas till mindre och mindre utvecklade organisationer och privatpersoner.
Ny allvarlig bugg har upptäckts och blev i media offentlig 26/8 -2000. Buggen är så allvarlig att att krypterade meddelanden kan dekrypteras av andra, utan bruteforce.
I PGP från ver 5.0 finns en funktion som kallas för ADK (Additional Decryption key). Syftet med funktionen, är att det skall möjliggöra skydd i företagsmiljö av viktig data. Det här har sedan det lanserades varit kritiserat då det inneburit en potentiell risk vid attacker mot en persons nyckel. Diskussioner runt problemet finns på http://www.cdt.org/crypto/risks98/
ADK kan sättas in i ett okrypterat utrymme i nyckeln, och hos personer utan att de märker något. Funktionen blir att preparatorn kan läsa det som är krypterat.
Det cirkulerar rykten att ADK funktionen är en medveten inbyggd bakdörr, för myndigheter (läs NSA). Tillverkaren håller masken och skall komma ut med buggfix snarast.
Tysken som "upptäckte" problemet fanns på http://senderdek.de/securtity/key-experiments.html
Information om buggen fanns också bl.a. på IDG. http://nyheter.idg.se/display.asp?ID=000826-PFA3
Generalfelet som mycket kraftigt sänker säkerheten är att det är din motpart istället för du själv som sätter säkerhetsnivån. Låt oss säga att du är expert och har den bästa PGP versionen, kontrollerat källkoden, långa nyckellängder och allt som kan göras för att få din version så säker som möjligt. Du skall sedan skicka ett viktigt dokument skyddat med PGP till någon, då är det inte din säkerhetsnivå utan motpartens säkerhetsnivå. Har motparten kort nyckel, ett duperat program, plus att någon fått tag i hans hemliga nycklar, så blir säkerheten därefter. Du skall med andra ord om du vill vara säker, kontrollera din version och din motparts version och din
motparts säkerhetshantering.
De flesta upplever att programmet är svårt/omöjligt att använda.
En fördel är att det fungerar på många operativsystem.
SafeIT (rekommenderas)
http://www.safeit.com/
Detta är ett program för e-mail som nyligen lanserats, men baseras på tidigare använd teknik för telefaxkryptering. Priset är 9,95 -14,95 USD (90 -140 kr, det lägre priset vid rekommendation av tidigare användare ) per användare. Programmet kan bara köpas vi Internet, och det fås omgående genom hemladdning och installeras väldigt enkelt.
Det är ett verkligt lättanvänt program som fungerar automatiskt i bakgrunden och du använder dina vanliga e-mailprogram. Läser man quickguiden (finns på hemsidan) lär man sig hur programmet fungerar på 2 minuter.
Säkerhetsnivån ligger mycket högt i branschen med etablerande av säker förbindelse med hjälp av 2048 bitars asymetrisk start och användande av Diffie-Hellman nyckel- system. Därefter övergår det till 480 bitars symetrisk nyckel och den egna safeIT algoritmen. Nyckeln byts hela tiden ut mot ny nyckel helt automatiskt, vilken man är helt ensamma om.
Totalt är säkerheten och användarvänligheten väldigt mycket bättre än för några andra e-mailsäkerhetsprogram.
Det troliga är att tekniken och programmet blir standard för säker e-mailkommunikation.
Programmet är mycket snabbt och ökar hastigheten på dina e-mail istället för som normalt vid kryptering minskar hastigheten.
Nackdelen är att programmet bara supportrar PC med win 95/98 NT och 2000. Samt att man behöver e-mailprotokollen SMTP/POP3. Enligt uppgifter på SafeITs hemsida kommer det dock för andra operativsystem och andra protokoll.
ZixMail
http://www.zixmail.com/
Zixmail är ett nytt bolag noterat på Nasdaq som fått in mängder med riskkapital och har mångmiljardvärlden som noterat företag. De har några olika produkter och annonserat om ytterligare.
Deras produkt Zixmail har en stor innovation där man kan skicka e-mail till någon krypterat utan att motparten har någon programvara eller någon typ av lösenord att komma ihåg, fantastiskt bra. Dessutom kostnadsfritt. En granskning under ytan visar dock att säkerheten är mycket nära noll, t.o.m. meningslös.
Lite förkortat fungerar det på följande sätt:
1. |
Jag laddar ner programmet. Fungerar som eget e-mailprogram. |
2. |
Jag skapar ett speciellt lösenord. |
3. |
Jag skickar e-mail till min motpart som inte har programmet. |
4. |
I praktiken går e-mailet till Zixmails server. |
5. |
Min motpart får ett e-mail från Zixmail där han skall koppla upp sig till Zixmail och lägga in ett lösenord. |
6. |
Efter det får han mail igen från Zixmail, där han klickar in på Zixmail
Server och klickar in sitt lösenord, och kan läsa e-mailet. |
Så här långt är det ganska väl, förutom att det är en bökig process att gå igenom för att skicka ett e-mail. Även om man anar luckor i hantering hos Zixmail (Hur säkra är anställda hos Zixmail, som kan läsa i klartext?). Vidare så används SSL kryptering med sina luckor osv..
Vid en liten granskning av säkerheten så upptäcker man totala blunders av leverantören. Det är nämligen så att om en fiende snappar upp e-mailet så kan han gå in och registrera lösenord och läsa istället, det handlar om den som läser först. Vidare så går det bra att gå in och registrera ett nytt lösenord, och det kan vara vem som helst. Eftersom vitsen med kryptering är att skydda sig mot den som obehörigt får tag i informationen, blir skyddet totalt meningslöst.
Sammanfattningsvis är produkten farlig, då användare kan tro att de har ett skydd, utan att ha det. Jag skulle nästan tro att det är säkrare i vissa fall att skicka ett mail oskyddat och hoppas att ingen märker något. Här markerar man att man har information som man vill skydda, utan att göra det. Ungefär som att skicka pengar i ett kuvert, och skriva på utsidan med stor text. OBS INNEHÅLLER SEDLAR.
Skydda Word och Zip-filer med kryptering (noll säkerhet)
Du kan lösenordskydda word, excel, powerpoint, publisher och zipfiler. Sedan skicka dem som bifogade filer med ditt e-mail.
Säkerheten är dock totalt noll.
Du kan söka på de vanliga sökmotorerna, så finns det program som öppnar de på nolltid. Öppning sker inte genom "brute force" prövning av nycklar, utan det är andra brister i algoritmen.
Certifikat
Certifikat är egentligen en asymmetrisk algortim. Där du har en publik nyckel som är din identitet och garanteras av någon tredje part. Meddelande till dig kan krypteras med din publika nyckel/Identitet, men bara dekrypteras av den som innehar identitetens privata dekrypteringsnyckel.
I Netscape och Outlook finns det inbyggda certifikatsfunktioner, som dock få vågar lita på. Även nyckellängder är i de flesta falla alldeles för kort. Hösten -99 upptäcktes att Netscapes certifikat bara vara luft utan någon säkerhet.
Detta är en metod som man inom EU förespråkar skall införas. Det är inte svårt att förstå då kontrollen över informationen hamnar hos myndighetstjänstemän.
Det finns många standarder och vanligast är RSA och S/MIME och många garanter. Problemet är att de olika certifikatsystemen inte fungerar ihop.
RSA-algoritmen, som förespråkas av de flesta, är den som parodiskt nog kanske går att läsa idag även för andra.
Av den som utfärdar identiteter (d.v.s. offentlig och privat nyckel), fås inga egentliga garantier att förtroendet inte kan missbrukas. Vidare så är människor dåliga på att förvara hemligheter (i detta fall den privata hemliga nyckeln). Får någon tillgång till denna nyckel så har han också makten över identiteten/informationen.
Det kan många gånger vara farligare att man tror man är skyddad än att man är oskyddad. Alla system som bygger på garantier från tredje part bygger upp nya risker, både med egen och andras hantering.
Ytterligare e-mailsäkerhetsprogram
Det finns många olika. De flesta fungerar så att du i själva verket krypterar en fil som du bifogar e-mailet. Problemet är att du måste sprida din nyckel på något sätt och bara till rätt användare.
Några finns här:
http://download.cnet.com/downloads/0-
10000.html?tag=st.cn.10105-ron.sb.10000
http://online.data-encryption.com/index.asp
http://www.pepsoft.com/
Denna sida är under uppbyggnad och det är tänkt att den kommer att publiceras i sin helhet under hösten 2010.
....
Text av och med tillstånd av Eva.Marie Andersson. http://hem.fyristorg.com/emailsynaren/
Uppdaterad 2011-06-08
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Redaktör och ansvarig utgivare:
John Johansson
yakida@telia.com
www.yakida.se
|
|
|