Per Hellqvist om IT-säkerhet och sånt

Ingen har väl undgått de senaste dagarnas prat om smutskastningskampanjen mot Fredrik Reinfeldt. Jag blev tillfrågad att titta lite närmare på ett par av de mejl som sänts för att se vad man kan få ut av dem. Det visade sig bli en rätt intressant, om än kort, resa.

När jag tittade på de mejlheaders som sändes till mig såg det relativt klart ut. Man kunde följa IP hoppen och det mesta såg klart ut. Helt klart att den kom från Hotmail och helt klart att IP adressen som stod som avsändare gick till en gateway som ägs av socialdemokraterna. Case closed således.

Det man fått fram i detta läge var ändå inte egentligen bevis för att det gått till så som det verkade. Det finns ju alltid en möjlighet att nån spoofat IP-headers att se ut att komma från Hotmail. Men varför egentligen? Om det var ett enda brev så kanske man orkar göra det, men detta handlade ju i det närmaste om ett veckobrev som sändes ut.En indikation på att det verkligen sänts från Hotmail med andra ord.

Men avsändaren då? En uppslagning av IP-adressen visade ju på att den kom från SAP.se, borde inte det vara klart då? Nja, man kan ju spoofa det också. I värsta fall har nån hackat deras gateway och använt den som proxy. Då skulle Socialdemokraterna ha mer allvarliga problem på halsen än en smutskastningskampanj under valår.

I det här läget har vi alltså tre alternativ:

  1. Det är verkligen nån inne på Socialdemokraternas nätverk som skrivit och skickat breven.
  2. Nån har spoofat alla uppgifter
  3. Nån har tillgång till en gateway hos socialdemokraterna och använder den som proxy.

Vissa saker kan man inte se som utomstående, och nu kändes det som att jag inte kunde göra mer. På onsdagskvällen gick Socialdemokraterna ut och sade att de tittat igenom sina mejlloggar och sett att inga mejl skickats vid den aktuella tiden. Det är kanske inte så konstigt med tanke på att brevet skickats från… just det – Hotmail! Man skulle alltså kollat den vanliga surftrafiken istället…

När jag under torsdagen fick in ett par ytterligare mejlheaders så började jag helt plötsligt bli lite mer tveksam. Ett par uppgifter i headern såg inte helt korrekta ut. Bland annat så stod det “X-Originating-Ip”, alltså “Ip” och inte “IP” som det borde stå. Likadant med “Message-Id” (borde vara “Message-ID”). Dessutom var det två IP-adresser som inte överrensstämde. Illa… Nu började det luta åt en skicklig spoofning. Tillbaka på ruta noll alltså.

I det här läget kom ett TV-team och gjorde en intervju… Vad ska man säga… Jo, sanningen såklart. Att det verkar onekligen som den kommer där den ser ut att komma ifrån, men vissa indicier pekar på en förfalskning. Att jag inte med säkerhet säga bu eller bä utan mer information, t ex loggar från Socialdemokraterna. Det fungerade bra tycker jag.

När jag kom hem toppades såklart nyheterna av att Socialdemokraterna nu kommit fram till att det verkligen var en intern händelse. Gott så.

För att avrunda denna händelse så kan man slå fast att det är oerhört svårt att vara anonym på internet. Bara för att man mejlar från Hotmail betyder det inte att man inte kan spåras. Det går att vara anonym, men det är inte helt lätt. Och får man dessutom en polisanmälan mot sig så öppnas ännu fler dörrar som gör det lättare att spåra upp avsändaren. Värt att tänka på.

Taggar: Uncategorized

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.