Anders Thoresson

säkerhet

Kapade mobilnummer och osäkra tredjepartstjänster blir vägar in i våra onlinekonton

Publicerad

När jag skrev om viktiga vardagsråd för en tryggare nätvardag var det en detalj jag valde att utelämna. Dagen efter jag publicerade hackades Twitters vd Jack Dorseys twitterkonto – och plötsligt blev den utelämnade detaljen högaktuell: Vi kan inte lita på sms för engångskoder.

Det som kallas för tvåfaktorsinlogg innebär att det inte räcker med ett lösenord för att logga in på ett konto. Istället krävs en andra faktor (lösenordet är den första). Ibland kan faktor två vara något du är (det vill säga en biometrisk koll, en fingeravtrycksläsare till exempel). Men ofta är faktor två något vi har. Många gånger vår mobiltelefon.

Finessen är att det inte längre räcker med faktor ett (lösenordet, något vi kan). Den som vill logga in på ett konto måste också ha tillgång till rätt pryl. Blir man inte av med sin mobiltelefon, dit en engångskod skickas som sms, är man säker.

I teorin.

I praktiken har det visat sig att telefonoperatörer slarvar med identitetskollen när någon hör av sig och behöver ett nytt sim-kort till sitt mobilabonnemang. Vilket verkar vara vad som drabbade Jack Dorsey. Någon lyckades ordna ett sim-kort med hans nummer, och kunde sen twittra med hjälp av sms via tredjepartstjänsten Cloudhopper.

Den detaljen visar på ytterligare en sårbarhet i vår sammankopplade nätvardag. Dorseys twitterkonto kapades alltså aldrig. Istället gav ett ”kapat” mobilabonnemang tillgång till hans twitterkonto via en tredjepartstjänst.

Att det här är en tänkbar attackväg är inte någon nyhet. Twittercounter (Hundreds of Twitter Accounts Hacked with Swastikas Through Third Party App ’Twitter Counter’) och Timehop (Timehop Hacked — Hackers Stole Personal Data Of All 21 Million Users)är två exempel på tjänster som utnyttjats för intrång riktade mot Twitter.

Tredjepartstjänster är appar och webbplatser som vi kopplar till våra konton på Twitter, på Facebook, på Dropbox, hos Microsoft och så vidare. Kopplingen till de här stora plattformarna gör det möjligt att använda dem på andra sätt och till fler saker än vad plattformen själv gör möjligt.

Men om IT-jättarna har hela avdelningar med säkerhetsspecialister ser det annorlunda ut hos småföretagen som bygger sina tjänster ovanpå plattformarna. Varje säkerhetslucka som finns hos småföretagen blir en väg in till de stora plattformarna också. Det spelar ingen roll hur duktiga Twitters utvecklare är på att förhindra obehöriga att twittra från mitt konto om tjänsten X, som jag kopplat till mitt twitterkonto, är fullt med säkerhetshål.

Så vad kan du göra?

De här två problemen landar i två råd.

För det första: Aktivera tvåfaktorsinlogg, men välj annan leveransväg än sms om tjänsten du använder gör det möjligt. En särskild app för att skapa engångskoderna, som Authy eller Google Authenticator, är bra. En särskild hårdvarunyckel, som en YubiKey är ännu bättre.

För det andra: Ta för vana att kolla igenom vilka tjänster du gett access till dina konton på de stora plattformarna. Kolla med jämna mellanrum igenom listorna hos Facebook, Twitter, Dropbox och så vidare. Hittar du tjänster och appar som du inte längre använder, radera dem.

Fem råd för en tryggare nätvardag

Publicerad

Engångskoder, uppdaterade prylar och färska säkerhetskopior. Lite sunt förnuft och kryptering på det. Fem viktiga vardagsråd om man vill känna sig lite tryggare i digitala (det vill säga alla) sammanhang.

Frågan som kom efter texten om säkerhetsproblem vi vanliga användare inte behöver bry oss borde egentligen fått sitt svar redan där och då: ”Vilka är vardagsråden som ger bra skydd mot vardagsproblemen?”

Svaret kommer här istället.

Det handlar framför allt om fem saker som du, jag och alla andra som har några som helst beröringspunkter med internet och digitala prylar behöver tänka på: Bra rutiner för inloggning till alla våra konton kryddat med lite sunt förnuft, att prylarna vi använder är uppdaterade och att det finns färska säkerhetskopior av det som är viktigt för oss. Bonustipset handlar om appar som gör det enkelt att chatta krypterat.

Med koll på de här grejerna kommer du upp på en nivå som inte gör det trivialt att hacka dina konton eller förstöra för dig på andra sätt, oavsett om man är en snokande kollega eller en nätbrottsling som inte vet vem du är utan bara är på jakt efter konton att kapa.

Vi tar dem i tur och ordning.

Bra rutiner för inloggning (och det sunda förnuftet)

Att inloggningsuppgifterna till bankkontot är värdefulla behöver jag inte berätta för dig. Men det finns många andra inloggningsuppgifter som andra också kan vara intresserade av att komma över. Kanske för att snoka i dina privata meddelanden på Facebook och Instagram, kanske för att posta något pinsamt som får dig att skämmas. Men kanske mer troligt för att använda ditt kapade konto i ett bedrägeri som vänder sig mot dina vänner.

Den som kapar mitt Facebookkonto kan låtsas vara Anders Thoresson i relation till alla mina vänner på plattformen. Och det är betydligt enklare att lura någon att göra något dumt om offret i fråga tror att hen gör en kompis en tjänst än om ropet på hjälp kommer från en vilt främmande person på nätet.

Det är det här som fått namnet Facebook-bedrägeri, men det förekommer på alla plattformar där vi agerar som oss själva och har direktkommunikation med våra vänner. Frågan som kommer i en privat chatt kan handla om ett snabbt lån via Swish eller, som i Swedbanks varningsfilm, om hjälp med engångskoder till bankkontot.

Det första du behöver förstå är alltså att dina inloggningsuppgifter är attraktiva för andra att komma över, även om du själv inte tycker att du har något som är värt att skydda på Instagram, Snapchat eller vilka tjänster det nu är du använder.

Nästa steg är att se till att inloggningsuppgifterna är bra. Vad som kännetecknar ett bra lösenord har upprepats oändligt många gånger, men det tål att påminnas om det igen:

  • Någorlunda långa, gärna åtta tecken eller mer.
  • Inte ord som är lätta för någon du känner att gissa.
  • Inte något av de lösenord som finns med på listorna över de mest använda.

Målsättningen är att se till att ha lösenord som är så svåra som möjligt för andra att gissa eller prova sig fram till. Ett bra sätt att leva upp till de kraven är att använda en lösenordshanterare, ett program som fungerar som ett digitalt kassaskåp. Där låser du in alla dina lösenord och behöver bara komma ihåg det enda som krävs för att låsa upp det. Eftersom de flesta lösenordshanterare kan synkronisera innehållet mellan dator och mobiltelefon är det dessutom ett bättre alternativ än post-it-lapparna på datorskärmen av ytterligare en anledning: Du kommer alltid ha lösenorden med dig.

Det finns många lösenordshanterare att välja bland. Mitt råd är att inte använda en som just dykt upp på marknaden, utan en som varit med ett tag. Det är trots allt ett program som du ska anförtro känsliga uppgifter, och då är det rimligt att välja ett som bevisat sig över tid. Själv använder jag 1Password, men har hört gott om program som Lastpass och Dashlane också.

Nu kommer vi till det jobbiga (som om det inte redan var jobbigt nog): Bra lösenord räcker inte.

För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det väldigt många intrångsförsök till nätkonton som inte är beroende av hur bra lösenord man valt. Jag nöjer mig att nämna ett av dem här.

Nätfiske, den svenska översättningen av engelskans phishing, är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord. Det kan vara ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Problemet är att det inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, men annars ser allt trovärdigt ut. Faller du för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Det finns en lösning på det här problemet. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.

Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.

Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.

Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i Swedbanks film, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara, innan vi går vidare. Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

Uppdaterade prylar

När det dyker upp notifieringar och informationsrutor om att det finns uppdateringar till dina prylar, oavsett om det är själva operativsystemet eller till de appar och program du använder – installera dem. Så snart som möjligt.

Många gånger är det uppdateringar som innehåller nya finesser och funktioner. De är inte intressanta i det här sammanhanget. Det vi bryr oss om är istället att uppdateringarna också, nästan alltid, täpper till säkerhetshål som nätkriminella kan utnyttja för att ta sig in i dina prylar eller ställa till oreda på andra sätt.

Att installera uppdateringar är att stänga fönster som står på glänt. Gör det.

Färska säkerhetskopior

I mobiler, datorer och hos nättjänster har vi massor av dokument, bilder och annat digitalt innehåll vi bryr oss om. Som kanske till och med går att kalla för värdefullt.

Se till att ha färska säkerhetskopior av allt som faller in under den beskrivningen.

En säkerhetskopia är ett skydd mot en stulen mobiltelefon, en kraschad hårddisk eller ett utpressningsvirus som krypterar allt innehåll på hårddisken och kräver en lösensumma för att återställa allt i ursprungligt skick.

För att säkerhetskopior ska vara något värda måste de vara färska. Kommer man inte ihåg eller orkar göra backupen finns ändå risken att månader av dokument och bilder försvinner den dagen olyckan är framme.

Lösningen är att komma bort från ”orka” och ”komma ihåg” genom att se till att säkerhetskopiorna sker automatiskt. Det innebär i praktiken att du väljer en molntjänst för dina säkerhetskopior, eftersom en extern hårddisk kräver att du orkar och kommer ihåg att koppla in den. Med en molntjänst sker säkerhetskopierandet automatiskt, och dessutom hamnar dina kopior på en annan fysisk plats än originalet. Det ger skydd mot stöld och brand.

Tjänster om Apples iCloud och Google Photos kan kännas som säkerhetskopior, men är egentligen inte det. De är tjänster som flyttar bilder mellan olika prylar. Men en bild som av misstag raderas på ett ställe kommer att raderas på de andra också. Bättre då att använda speciella backuptjänster. Vad som är bra varierar över tid, så sök på ”säkerhetskopia molnet” och läs färska recensioner om vad som är bra och prisvärt för tillfället. Backblaze, Carbonite och Crashplan är namn som ofta återkommer.

Kryptoappar

I debatten om kryptering påstås ofta att den som inte har något att dölja inte heller har något behov av kryptering. Rent mjöl i påsen-argumentet. Men det är ett resonemang som förs fram i relationen medborgare-stat. Vi använder internet till all möjlig vardagskommunikation, och även om där inte skrivs olagligheter finns det sånt man inte vill sprida vind för våg.

Saker du kan tänka dig att ställa dig på torget och skrika ut behöver inte kryptering. Det gör däremot sånt som du bara pratar om med några få utvalda personer bakom stängda dörrar.

E-post är ett exempel på kommunikationsverktyg som är mer ”torg” än ”stängd dörr”. Det finns inget som hindrar en uttråkad nätverkstekniker att fördriva några minuter med att läsa e-post som skickas på arbetsplatsen.

Att kryptera var länge bökigt. För e-post var rekommendationen PGP, men där är risken för misstag stor. Idag finns appar som Wire och Signal som gör det lika enkelt att chatta som i vilket annat chattfönster som helst. Till och med mer vardagliga lösningar som WhatsApp och Apples iMessage är krypterade.

Några invändningar eller kompletteringar?

Så. Det var vardagsråden jag hade i huvudet när jag skrev förra inlägget. Men det här är komplext. Saker och ting förändras snabbt. Därför är jag nyfiken på om du som läser har något att invända mot mina råd, eller tycker att de behöver kompletteras med ytterligare några. Lämna i så fall gärna en kommentar!

Foto: Mikayla Mallek.

Alla säkerhetshål påverkar inte dig

Publicerad

Braskande rubriker om nyupptäckta säkerhetshål riskerar många gånger att orsaka mer skada än nytta. De spelar roll för forskare och utvecklare, men för oss vanliga användare är de mest grundläggande råden kring it-säkerhet fortfarande relevanta.

Rubrik i tidningen Forbes: Apple's iPhone FaceID Hacked In Less Than 120 Seconds

Rubriken i det amerikanska affärsmagasinet Forbes kan inte annat än att upplevas som skrämmande. Apple’s iPhone FaceID Hacked In Less Than 120 Seconds. Hos källan som Forbes hänvisar till, Threatpost, är tonläget betydligt mer nedtonad: Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’.

Det här är ett färskt exempel på hur jag tycker att det ofta ser ut när media rapporterar om nyupptäckta säkerhetshål. Nischmedierna lite mer nyanserade, medan medier med bredare målgrupp slår på stora trumman.

Spelar det någon roll? Av flera skäl, skulle jag säga.

Skapar onödig oro hos allmänheten

Den första invändningen tangerar att vara mediekritik. Gå till dig själv. Hur många fler rubriker än artiklar läser du varje dag? Svår fråga att svara på, men rubrikerna är gissningsvis mångdubbelt fler än antalet artiklar. Rubriker som spetsar till omständigheterna lite extra kan vara ett sätt att locka fler till ett klick. Men samtidigt lämna dem som inte klickar med en felaktig bild av de faktiska omständigheterna.

I det aktuella fallet går det inte att anklaga Forbes för att fara med osanning. Men rubriken drar, i min mening, definitivt åt det sensationella hållet. Och det var också vad som fick mig att klicka på den. Efter att ha läst klart Forbes artikel, och Threatposts sammanfattning av forskarna presentation på den stora säkerhetskonferensen Defcon står det klart att a) det finns ett säkerhetsproblem som b) det är långt i från trivialt att utnyttja men c) de som utvecklar den här typen av biometriska säkerhetslösningar måste känna till och försöka hitta sätt att hantera.

För många rop på vargen är ett problem

Problemet är att den här typen av rapportering för den breda allmänheten blir som pojken som ropade vargen. Många säkerhetshål är av just det här slaget, intressanta och viktiga för utvecklare, men av mindre intresse för den genomsnittliga användaren.

Men, och det här är ett stort och viktigt men, emellanåt upptäcks säkerhetshål som är allvarliga i den bemärkelsen att de faktiskt påverkar användare här och nu, i stor skala. Säkerhetshål där användarna inte bara kan utan också behöver agera, exempelvis genom att uppdatera operativsystemet i sin mobiltelefon så snart som möjligt.

Men om man redan är uttröttad av braskande rubriker om än det ena och än det andra säkerhetshålet är risken stor att man inte tar det som är på allvar på allvar.

Känsla av att säkerhetsåtgärder inte spelar någon roll

Det största problemet med onyanserad rapportering kring nyupptäckta säkerhetsproblem är att det kan skapa känslan av att ingenting spelar någon roll. Om det hela tiden upptäcks nya säkerhetshål, varför då bry sig om vardagsråd om exempelvis vad som är bra lösenord?

Av den enkla anledning att vardagsråden ger ett bra skydd mot vardagsproblemen.

Att en forskargrupp hittar ett sätt att lura mobiltelefoners fingeravtrycksläsare är inte ett problem för de flesta av oss så länge det krävs massor av avancerad teknisk utrustning för att lyckas med det. Avancerade angrepp kommer möjligen utnyttjas mot högprofilerade måltavlor, men det är få av oss som är av intresse för exempelvis säkerhetsmyndigheter runt om i världen.

Däremot kan det vara många av oss som har en kollega eller klasskamrat som är lite för nyfiken av sig och har svårt att hålla fingrarna i styr om vi glömmer mobilen på bordet medan vi går på toaletten. I det läget är både fingeravtrycksläsare och pinkoder ett utmärkt skydd. Att det går att ta sig runt de skyddsmekanismerna är inte ett problem i det sammanhanget.

Har ditt lösenord läckt?

Publicerad

Engångskoder är ett sätt att minimera problemen med läckta lösenord. Aktivera den funktionen där det går!

SVT:s program Dold får idag stor uppmärksamhet. Redaktionen har byggt en tjänst där du kan ta reda på om dina lösenord är på drift.

Genom åren har flera stora sajter runt om på internet drabbats av intrång där användardatabasen hamnat på drift. Och med den användarnas e-postadresser – och (kanske) lösenord.

Jag skriver “kanske”. Ibland har lösenorden varit i klartext, det vill säga begripliga för en människa. Ibland har de varit hashade, en slags kryptering. Men de hashfunktioner som använts har inte alltid varit de bästa. I praktiken är en dålig hashfunktion samma sak som klartext.

Dold har byggt en databas med e-postadresser som finns med i en del av de här läckorna. Matar du in din e-postadress får du reda på om den funnits med i några av läckorna, vilket i så fall också innebär att lösenordet som du använde på den aktuella sajten har hamnat i felaktiga händer.

Att använda tjänsten är riskfritt. Din mailadress är ju ingen hemlighet, och därför är det ingen direkt fara att knappa in den i formulär på webben. Det värsta som kan hända är att du drabbas av mer spam.

Men om din mailadress är med i sökningen, då finns det anledning att agera! Byt åtminstone på den drabbade sajten. Och om du använt samma lösenord på fler sajter, byt där också.

Använd orginalet – få en varning vid nästa läcka

Dolds tjänst är en svensk variant av haveibeenpwnd, utvecklad av säkerhetsexperten Troy Hunt. Jämfört med Dold har Hunts tjänst åtminstone två fördelar.

För det första innehåller den fler läckor. När jag söker på min e-postadress hos Dold får jag reda på att den funnits med i tre läckor. Hos Troy Hunt är siffran den dubbla. Genom att använda haveibeenpwnd får du alltså en bättre bild av när dina lösenord faktiskt har läckt.

Haveibeenpwnd har dessutom en notifieringsfunktion. Den låter dig prenumerera på varningar. Så snart en ny läcka sker – och det kommer att hända – där din e-postadress finns med – också högst troligt – kommer du få ett mail om det.

Hur minimera skadan av läckta lösenord?

Att lösenord kommer att fortsätta läcka innebär att du måste fundera på hur du ska minska konsekvenserna när det uppstår. Och det finns några saker du kan och bör göra:

  1. Återanvänd inte lösenord. Samma lösenord ska inte användas på mer än en webbplats. Om du inte orkar leva upp till det rådet, se åtminstone till att dina viktigaste konton är skyddade av unika lösenord. Allra viktigast är e-posten, eftersom det är dit nya lösenord skickas när du eller någon annan beställer ett nytt lösenord.
  2. Aktivera engångskoder. De flesta stora webbplatser, som Dropbox, Google, Facebook och så vidare, har i dag en funktion som ser till att det inte räcker med ett lösenord för att logga in. Du måste också mata in en engångskod, som antingen skickas som sms till din telefon eller skapas med en app i den. Absolut, det blir bökigare för dig när du ska logga in. Men för en obehörig som har ditt lösenord tar det stopp helt och hållet.
  3. Börja använda en lösenordshanterare, ett digitalt kassaskåp där du låser in dina lösenord och andra uppgifter. Det gör att du inte behöver komma ihåg alla unika lösenord, och det innebär dessutom att det blir lättare att leva upp till råden om väldigt långa lösenord. Själv är jag nöjd med 1password.

Läs och lyssna mer om lösenord

Om lösenord har jag skrivit och pratat om en hel del tidigare. Några länktips:

Din webbläsare är inte hackad – åtminstone inte den här gången

Publicerad

“Anslutningen är inte privat. Det är möjligt att hackare försöker stjäla dina uppgifter.” Det är inte det meddelande man förväntar sig att få när man knappar in adressen till Wikipedia, Kickstarter eller Propublica i webbläsaren.

Men det var precis det felmeddelandet som jag och andra plötsligt möttes av med start igår.

Först var min teori att vi faktiskt var utsatta för en attack av något slag. Inte nödvändigtvis riktad mot oss personligen, utan då troligare mot alla som besökte de webbplatserna.

Så används certifikat på webben

Felmeddelandet rör de så kallade certifikat som används för att kryptera trafiken på webben. Det är certifikaten som gör om HTTP till HTTPS.

Med HTTPS blir informationen som skickas mellan en server på webben och webbläsaren i din dator eller mobiltelefon krypterat. Det innebär att ingen annan kan se vad som skickas och inte heller manipulera innehållet i trafiken. Det är bland annat därför som du ska titta efter hänglåset upp i adressfältet i din webbläsare innan du fyller i ditt kreditkortsnummer på en webbplats.

Men krypteringen ökar också sannolikheten för att du faktiskt är ansluten till rätt webbserver. Eftersom certifikaten är kopplade till specifika webbadresser går det inte att hur som helst ta ett certifikat från en webbplats och använda det på en annan.

Krypteringen är också ett sätt att stärka användarnas integritet. Även om det inte är uppenbart känslig information som skickas kan det ändå finnas anledning att hålla den hemlig, eftersom den helt enkelt är privat eller personlig. Det är anledningen till att jag krypterar den här webbplatsen och varför jag tycker att fler tidningar borde göra det.

“En ogiltig utfärdare”

Det är alltså bättre när en webbplats använder HTTPS än när den bara använder HTTP. Bland annat därför att webbläsaren kan varna när något ser misstänkt ut.

I webbläsaren går det att klicka sig vidare när det generella felmeddelandet dyker upp, för att få reda på exakt vad webbläsaren inte gillar med det certifikat den har tagit emot.

Det fel jag oftast snubblat över gäller certifikat som inte längre är giltiga. Certifikaten skapas alltid med en viss livslängd, och sedan måste någon komma ihåg att byta ut dem efter X antal månader. Glömmer teknikerna bort det får användarna felmeddelanden i sin webbläsare.

Men den här gången handlade det om något annat: “Certifikatet har en ogiltig utfärdare,” löd felmeddelandet i den bild som en av mina vänner la upp på Facebook. Men när jag testade samma webbplats, svenska Wikipedia, fick jag inget felmeddelande alls.

Det var här jag började misstänka att det trots allt handlade om något mer än bara mänskligt schabbel.

Sen gick det någon timme, och fick för första gången upp samma felmeddelande från en annan sajt. Men med samma utfärdare, alltså företag som står som garant för att certifikatet är äkta: GlobalSign.

Den mänskliga faktorn

Samma fel på två olika webbplatser som snart blev tre. Och med samma utfärdare också på den senaste. Så nej, vi är inte utsatta för en omfattande attack. En snabb sökning ledde mig till GlobalSigns twitterkonto där det var ganska tätt mellan förklaringar och ursäkter.

Tilltron i certifikaten byggs upp av förtroendekedjor, där de används för att signera varandra. Det GlobalSign lyckats med var att dra tillbaka ett av de certifikat de använde för att signera kundernas certifikat med1. Med resultat att webbläsarna inte längre litar på dem, utan istället visar en varning för användaren.

GlobalSign har rättat till felet, men så som internet fungerar kommer vi få leva med det i ytterligare några dagar. För att webbsidor ska laddas så snabbt som möjligt mellanlagras de nämligen i så kallade content delivery networks. Istället för att en webbsida hämtas direkt från webbservern när du vill besöka den hämtas den ofta från en mellanliggande server där kopiorna av den uppdateras med jämna mellanrum.

Det stora problemet

Att några sajter under några dagar inte kommer att fungera som de ska är problematiskt nog. Men det allvarliga är vad sånt här schabbel gör för nätanvändarnas tilltro till de felmeddelanden de möts av i webbläsaren. “Ignorera aldrig en varning om ett felaktigt certifikat” brukar säkerhetsexperter säga. Jag också, när jag föreläser om digitalt källskydd för journalister.

Men om de flesta fel som användarna dyker på beror på den mänskliga faktorn – gamla certifikat som inte uppdaterats eller brutna förtroendekedjor – är det då rimligt att kräva av användarna att de ska ta varningarna på allvar?

Svaret är nej.

Samtidigt vet vi ju alla att situationen på nätet, för integritet och med nätkriminalitet, inte håller på att ljusna. Att då degradera värdet i varningarna på det här sättet är fruktansvärt olyckligt.

  1. Mer om de tekniska detaljerna hos The Register. ↩︎