webben

Din webbläsare är inte hackad – åtminstone inte den här gången

Publicerad 14 oktober, 2016

“Anslutningen är inte privat. Det är möjligt att hackare försöker stjäla dina uppgifter.” Det är inte det meddelande man förväntar sig att få när man knappar in adressen till Wikipedia, Kickstarter eller Propublica i webbläsaren.

Men det var precis det felmeddelandet som jag och andra plötsligt möttes av med start igår.

Först var min teori att vi faktiskt var utsatta för en attack av något slag. Inte nödvändigtvis riktad mot oss personligen, utan då troligare mot alla som besökte de webbplatserna.

Så används certifikat på webben

Felmeddelandet rör de så kallade certifikat som används för att kryptera trafiken på webben. Det är certifikaten som gör om HTTP till HTTPS.

Med HTTPS blir informationen som skickas mellan en server på webben och webbläsaren i din dator eller mobiltelefon krypterat. Det innebär att ingen annan kan se vad som skickas och inte heller manipulera innehållet i trafiken. Det är bland annat därför som du ska titta efter hänglåset upp i adressfältet i din webbläsare innan du fyller i ditt kreditkortsnummer på en webbplats.

Men krypteringen ökar också sannolikheten för att du faktiskt är ansluten till rätt webbserver. Eftersom certifikaten är kopplade till specifika webbadresser går det inte att hur som helst ta ett certifikat från en webbplats och använda det på en annan.

Krypteringen är också ett sätt att stärka användarnas integritet. Även om det inte är uppenbart känslig information som skickas kan det ändå finnas anledning att hålla den hemlig, eftersom den helt enkelt är privat eller personlig. Det är anledningen till att jag krypterar den här webbplatsen och varför jag tycker att fler tidningar borde göra det.

“En ogiltig utfärdare”

Det är alltså bättre när en webbplats använder HTTPS än när den bara använder HTTP. Bland annat därför att webbläsaren kan varna när något ser misstänkt ut.

I webbläsaren går det att klicka sig vidare när det generella felmeddelandet dyker upp, för att få reda på exakt vad webbläsaren inte gillar med det certifikat den har tagit emot.

Det fel jag oftast snubblat över gäller certifikat som inte längre är giltiga. Certifikaten skapas alltid med en viss livslängd, och sedan måste någon komma ihåg att byta ut dem efter X antal månader. Glömmer teknikerna bort det får användarna felmeddelanden i sin webbläsare.

Men den här gången handlade det om något annat: “Certifikatet har en ogiltig utfärdare,” löd felmeddelandet i den bild som en av mina vänner la upp på Facebook. Men när jag testade samma webbplats, svenska Wikipedia, fick jag inget felmeddelande alls.

Det var här jag började misstänka att det trots allt handlade om något mer än bara mänskligt schabbel.

Sen gick det någon timme, och fick för första gången upp samma felmeddelande från en annan sajt. Men med samma utfärdare, alltså företag som står som garant för att certifikatet är äkta: GlobalSign.

Den mänskliga faktorn

Samma fel på två olika webbplatser som snart blev tre. Och med samma utfärdare också på den senaste. Så nej, vi är inte utsatta för en omfattande attack. En snabb sökning ledde mig till GlobalSigns twitterkonto där det var ganska tätt mellan förklaringar och ursäkter.

Tilltron i certifikaten byggs upp av förtroendekedjor, där de används för att signera varandra. Det GlobalSign lyckats med var att dra tillbaka ett av de certifikat de använde för att signera kundernas certifikat med¹. Med resultat att webbläsarna inte längre litar på dem, utan istället visar en varning för användaren.

GlobalSign har rättat till felet, men så som internet fungerar kommer vi få leva med det i ytterligare några dagar. För att webbsidor ska laddas så snabbt som möjligt mellanlagras de nämligen i så kallade content delivery networks. Istället för att en webbsida hämtas direkt från webbservern när du vill besöka den hämtas den ofta från en mellanliggande server där kopiorna av den uppdateras med jämna mellanrum.

Det stora problemet

Att några sajter under några dagar inte kommer att fungera som de ska är problematiskt nog. Men det allvarliga är vad sånt här schabbel gör för nätanvändarnas tilltro till de felmeddelanden de möts av i webbläsaren. “Ignorera aldrig en varning om ett felaktigt certifikat” brukar säkerhetsexperter säga. Jag också, när jag föreläser om digitalt källskydd för journalister.

Men om de flesta fel som användarna dyker på beror på den mänskliga faktorn – gamla certifikat som inte uppdaterats eller brutna förtroendekedjor – är det då rimligt att kräva av användarna att de ska ta varningarna på allvar?

Svaret är nej.

Samtidigt vet vi ju alla att situationen på nätet, för integritet och med nätkriminalitet, inte håller på att ljusna. Att då degradera värdet i varningarna på det här sättet är fruktansvärt olyckligt.

Mer om de tekniska detaljerna hos The Register. ↩︎

Adblockers handlar om det du inte vill se men också om vad du inte vill lämna ifrån dig

Publicerad 1 oktober, 2015

I och med lanseringen av iOS 9, den senaste versionen av Apples operativsystem för företagets bärbara prylar, tog diskussionen om så kallade adblockers¹ ny fart. I den branschpress som bevakar mediernas utveckling har mycket av naturliga skäl handlat om förlorade annonsintäkter.

Men annonsblockerarna handlar inte bara om vad nätanvändarna undviker att titta på och vilka inkomstbortfall det i sin tur orsakar. Det finns åtminstone två andra aspekter av nätannonser – och därmed blockerare – som i högsta grad är relevanta.

Den ena handlar om säkerhet. Malvertising är den engelska termen för annonser som används för att sprida skadlig kod. Något som inte bara händer på små eller ljusskygga delar av webben utan också på några av de mest välkända sajterna. Bara under de senaste månaderna har bland annat annonser på både Yahoo och Forbes utnyttjats på det sättet för att rekrytera datorer till botnät. Det bästa skyddet är ett uppdaterat antivirusprogram, men en adblocker kan hjälpa till.

Den andra handlar om integritet. Alla har vi upplevt att det dyker upp annonser på Facebook för varan som vi just tittade på i nätbutiken. Det här kallas för retargeting och är en teknik som automatiskt fattar beslut om vilka annonser som ska visas utifrån vad användaren tidigare har gjort på nätet. För att de här annonsbesluten ska kunna fattas måste någon alltså först samla in en massa information om oss som nätanvändaren, vilket är precis vad annonsnätverken gör. Värt att notera är också att datainsamlingen ibland sker utan att man vet vem man samlar in information om. Men att det också finns möjligheter att faktiskt knyta den insamlade datan till specifika individer. Det finns många tillfällen när vi på webben talar om vem vi är. Genom inloggningar, kommentarer eller beställningar. Det ställer i sin tur höga krav på dataskydd hos annonsnätverken. Hur säkerställs att anställda inte missbrukar informationen eller att den stjäls vid ett dataintrång?² Och tro inte att det räcker med att du raderar cookies på din dator för att bli anonym igen. Informationen som samlats in om dig finns kvar hos annonsnätverken – och kan kopplas till dig igen, så snart de placerat en ny cookie på din dator och lyckats klura ut vilken av tidigare insamlad data som är från dig.

Den här insamlingen har alltså i allra högsta grad med annonser att göra. Inte bara för att annonsnätverken utnyttjar informationen, utan för att själva annonserna också står för en stor del av insamlingen.

En av de annonsblockerare för iPhone som släpptes i samband med iOS 9 hette Peace och var utvecklad av Marco Arment, i Applekretsar känd för bland annat appar som Instapaper och Overcast. Hans trackrecord gjorde att Peace snabbt blev en storsäljare och tog topplaceringen på listan över de populäraste betalapparna i USA. Sen gick det något dygn innan Arment överraskade alla med att dra tillbaka Peace från Itunes Store.

I ett blogginlägg och i podcasten Accidental Tech Podcast förklarar han varför. Det kokar ner till lust. Han säger att han inte räknat med de stora framgångarna och att han inte ville att Peace skulle ta tid från Overcast.

Men det är ett annat resonemang i podcasten som jag fastnar för. Han pratar om svårigheterna att bestämma vad som ska blockeras och vad som ska släppas igenom. För även om de här tilläggen i folkmun kallas för adblockers har Apple valt en annan term: Content blockers.

Man skulle, resonerar Marco Arment i podden, kunna tro att det går att nöja sig med att blockera trackers, det vill säga kod som registrerar användarbeteenden:

“Men det går inte att säga ‘jag vill bara blockera tracking, men inte annonser’. Annonser är tracking. För att stoppa tracking behöver du blockera nästan alla annonser. Så enkelt är det. Men för att stoppa tracking behöver man också blockera funktioner från Facebook och Twitter som ligger inbäddade på andra sajter.”

En innehållsblockerare av det slag som Marco Arment utvecklade handlar alltså inte bara om vad användarna inte får se. Det handlar i väldigt stor utsträckning också om vilken information de genom att använda en innehållsblockerare väljer att inte lämna ifrån sig.

Jag använder sedan en tid tillbaka Ghostery i webbläsarna på min dator. Tillägget är effektivt, men också illustrativt. Varje gång en webbsida laddas dyker en ruta upp i nedre högra hörnet som visar vilka trackers och annonsnätverk Ghostery hittat. Och på de flesta större sajter är det många.

Diskussionerna om innehållsblockerarna handlar med all rätta om hur mediehusen ska förhålla sig till en ny verklighet³.

Men vid sidan om mediehusens ekonomi borde diskussionen om innehållsblockerare i betydligt större utsträckning också handla om allas vår integritet.

Foto: Ludovic Bertron.

Adblockers är tilläggsprogram till webbläsaren som stoppar i första hand annonser från att visas. ↩
Medan jag skrev detta dök en relaterad tweet upp i mitt flöde: “Search engines know more about you than your family members know about you.” – Mikko Hypponen, F-secure ↩
Och ur den aspekten lyfte en annan podcast, A16z, en annan intressant aspekt: Den stora annonsblockeraren är enligt diskussionen där inte några tilläggsprogram i webbläsarna, utan Facebook. ↩

Vissa säkerhetshål är allvarligare än andra

Publicerad 25 februari, 2015

Om du bygger en nättjänst där användarna förväntas hantera känsliga uppgifter har du också en skyldighet att ha koll på säkerheten. Men långt i från alla lever upp till det kravet.
En text jag skrev i höstas, om internetsäkerhet vs. säkerhet på internet, tog sin utgångspunkt i just det resonemanget. De experter som jag intervjuade för artikeln i IVA-aktuellt menade att det är en stor och viktig skillnad mellan de två typerna av säkerhet: Internet som infrastruktur har en hög säkerhetsnivå, medan det är sämre ställt med många av de tjänster som levereras via nätet.
Idén till artikeln dök upp under ett besök i Stockholm och en reklamtavla som jag såg på en av bussarna jag åkte med. Socialtjänsten i Stockholm presenterade en ny kontaktväg: Via internet. Och jag började genast fundera på hur bra den idén egentligen är. De som behöver kontakta Socialtjänsten, vet de vilka potentiella risker som finns om de gör det via nätet? Och de som har upphandlat tjänsten hos Socialtjänsten, har de koll på vilka krav de ska ställa?
Svaret på den första frågan har jag ingen aning om. Den andra ställde jag till några av de personer som jag intervjuade. Åtminstone en av dem var övertygad om att det är lite si och så med beställarkompetensen:
– Ofta är det någon med bra munläder som lovar en världsunik tjänst med militärklassad kryptering som skyddar allt som måste vara skyddat. Som beställare måste man i det läget veta vad man ska fråga efter. Förmågan att formulera krav detaljerat, att inte bara speca att man vill ha en ”säker tjänst”, kommer bli allt viktigare i framtiden.
Och när jag pratade med MSB lät svaret (som i MSB:s fall bara handlade om offentliga verksamheter, inte tjänster som det privata näringslivet tillhandahåller) ungefär på samma sätt. Enligt MSB finns dels en ekonomisk aspekt, där lägst pris ofta vinner. Men det är inte den enda och kanske inte ens den viktigaste:
– I grund och botten handlar det om att man inte har gjort en analys och klassning av den information som man lägger ut. Man har inte gjort en riskvärdering.
Allt detta blev jag påmind om idag, när jag läste DN:s artikel om säkerheten på Bris webbplats. På bris.se har det tidigare funnits en chattfunktion, vars loggar tydligen lagrats i ett system som är känsligt för så kallade sql-injections¹.
Men fortfarande idag är trafiken till och från bris.se okrypterad:
All information skickas i klartext, vilket skulle kunna innebära att andra personer i samma nätverk kan se vad som skrivs. I teorin skulle alltså en förälder med ett särskilt datorprogram kunna se i realtid vad som barnen skriver².
Det här är verkligen ett typexempel på en sådan tjänst som jag syftar på i den här textens inledning. Att saker som barn skickar till Bris kan vara – eller till och med ofta är –känsliga är uppenbart. Att organisationen då både har haft och fortfarande har säkerhetshål av den här typen är helt oacceptabelt.
Sql-injections är inget okänt fenomen. Snarare tvärt om. När jag lärde mig grunderna i PHP och MySQL, två programvaror för webbutveckling, i början av 2000-talet var sql-injections en av de saker som böckerna jag läste för varnade för. Och tittar man på senaste säkerhetslistan från organisationen Owasp (Open Web Application Security Project) ligger sql-injections i topp över misstagen man som webbutvecklare inte får begå.
Och vad gäller kryptering av webbtrafik har jag tidigare skrivit om argument för varför till och med nättidningar borde börja med det. Att inte bris.se använder https är oacceptabelt.
– Det arbetet är i gång att åtgärda. Vi ser med jämna mellanrum över vår säkerhet, säger Silvia Ernhagen, kommunikationschef på Bris, till DN.
Inte tillräckligt ofta och tillräckligt grundligt, vad det verkar.
Jag har skrivit en uppföljning till det här inlägget: Vem lär barnen att titta efter ett hänglås i webbläsarens adressfält?
En sql-injection innebär att man skickar ett kommando till en databas, i det här fallet den där chattarna finns sparade, och får den att svara med information som det egentligen ska krävas användarnamn och lösenord för att komma åt. Namnbrickan i bilden (som är tagen av Julia Wolf) visar ett exempel på hur en sql-injection kan se ut. I det här fallet ett försök att radera hela deltagarlistan. Om det lyckades vet jag inte. ↩
Och de där “särskilda datorprogrammen” är inte svåra att komma över. Det handlar inte om suspekta saker, utan bland annat om verktyg som de flesta it-tekniker behöver för att administrera nätverken på sin arbetsplats. ↩

Library Extension – Chrome Web Store

Publicerad 9 oktober, 2014

Library Extension – Chrome Web Store

See books, music and more at your local library as you browse Amazon.com

Ett tillägg till Chrome som ger Amazon nya funktioner. Library extension vet vilket bibliotek som är ditt, tittar efter om boken finns och om den till och med står på hyllorna. Är den utlånad kan du med ett klick ställa dig i kön.

Fungerar bara med bibliotek i USA, Kanada och Australien, tyvärr. Men ett bra exempel på hur webbplatser kan knytas ihop på smarta sätt.

Ifttt kopplar ännu bättre till apparna i iPhone

Publicerad 10 november, 2013

IFTTT Blog – Introducing Actions for iOS Photos and Reminders

iOS Recipes just got a lot more powerful. Now IFTTT can add photos directly to your iPhone albums and create new to-do’s in Reminders!

Jag blir faktiskt mer och mer imponerad av Ifttt. Från början som ett sätt att knyta ihop webbtjänster, nu med allt bättre integration även med annan hård- och mjukvara.

Nästa sida »