2006-09-06

Vänta lite nu...

Att Expressens Nicklas Svensson har haft ett finger med i SAP.net-gate är knappast förvånande.

Däremot slogs jag av en tanke när jag läste Aftonbladets lätt skadeglada artikel i ärendet nyss. De skriver...

"Aftonbladet har tagit del av de logglistor som socialdemokraterna lämnat över till rikskrim. De visar att en av Expressens datorer har använts för att ta sig in på det interna nätverket vid ett tillfälle. Intrånget skedde den 6 augusti i år mellan klockan 18.55 och 18.58. Personen som loggade in har tittat i tre olika mappar."

Efter en snabb koll med vänner som arbetat med samma slags system som SAP.net rullar på får jag en mycket stark känsla av att sossarna dels visste var intrången skulle ske och dels att de inte hade någon brådska (eller något intresse av) att sätta stopp för det på ett tidigt stadium.

Så här:

Varje användares varje aktivitet i varje mapp eller forum genererar en log-rad.

Låt säga att SAP.net försiktigt räknat har 10.000 användare. Om, låt säga, blott en femtedel av dem är någorlunda aktiva användare bör var och en av dem generera i vart fall hundratals log-rader per dag. Låt oss vara konservativa och säga 200. Denna mycket försiktiga beräkning ger 400.000 log-rader per dag! Men det kan mycket väl handla om flera miljoner log-rader varje dag.

Om (s) inte visste vem eller vad de letade efter måste de ha analyserat hundratals miljoner log-rader. Även med maskinell analys är det knivigt och tidskrävande, inte minst eftersom det är många parametrar som måste analyseras och samköras. Ändå hade de alla svar redan i måndags...

Om (s) å andra sidan visste var intrången skedde – och inte hade någon brådska att göra något åt det – då är det en annan femma.

Mycket pekar på att det aktuella kontot på SAP.net var en råttfälla.

Sedan var det bara att lägga dit osten – det vill säga börja sprida inloggningsuppgifterna i rätt kretsar.

Vilket naturligtvis inte ger dem som gick i fällan någon rätt att snoka i datasystem där de inte får vara. Men det breddar bilden lite...

9 kommentarer:

  1. Man visste från socialdemokratiskt håll om detta eftersom Sjöshult konfronterade dem och även fp i tisdags eller onsdags förra veckan om det.
    Därefter gjorde deras säkerhetsföretag Sentor en genomgång som blev klar åtminstone i tid så att DI kunde publicera uppgifterna. Av den anledningen kan de ha haft den klar.

    SvaraRadera
  2. Man får också komma ihåg att de flesta loggfiler är särdeles kryptiska. Jag menar, hur vet man att en inloggad kommer från t.ex. Folkpartiet?

    Jo man måste dra ut ett ipnummer från den extremt kryptiska loggen, kolla det ip-nummret...

    Ingen logg jag har sett har automagiskt gjort en reverse dns look-up för att kolla varifrån en inloggad kommer från.

    Kanske finns det automatiserade processer som gör detta, men det bör ha specialskrivits i så fall från fall till fall.

    SvaraRadera
  3. Om det var en "råttfälla" hade ju s naturligtvis matat fp med falsk information för att skapa dubbelarbete hos motståndaren och på andra sätt dragit nytta av situationen. Istället har fp fått ut autentisk information och fp-ledningen vidgår ju att detta effektiviserat partiets propagandaarbete.

    SvaraRadera
  4. Joel:
    Med risk för att låta lite väl paranoid, men jag spinner vidare...

    Nja. Att lämna riktigt material har ju två större fördelar. Dels riskerar man inte att de fattar att de är avsläjade. Dels kan man bli bli uppröd och indignerad i media över allt viktigt (autentiskt) de har snott. Det senare smäller ju högst.

    SvaraRadera
  5. Kan vara så, eftersom (S) valt att vara så tysta.

    Men ang. alla loggrader. De kan ju ha känt misstänksamhet mot att Fp träffade så rätt med sina utspel. Misstänkt att det rör sig om SAP.net. Kontrollerat just de loggningar som skett emot de berörda rapporterna/dokumenten eller sökt efter inloggningar ifrån Fp:s IP.adress.

    SvaraRadera
  6. HAX, du blandar ihop web loggar med FirstClass loggar. First Class är inget webbsystem och funkar lite annorlunda.

    Nu är jag ingen expert på FirstClass, men mer än nån dag lär det knappast ha tagit att lista ut att tidningstallet.se var inblandade.

    http://www.google.com/url?sa=t&ct=res&cd=2&url=http%3A%2F%2Fwww.intl.firstclass.com%2FDownloads%2FDocuments%2FLog%2520Analyzer.pdf&ei=jCr_RI-nMIXu2wLCmsXsBw&sig=__OOkN-h7bVMLyma4I70qx-GEd6jo=&sig2=saN_JmsC99mjYDFDpsohew#search=%22firstclass%20logs%22

    SvaraRadera
  7. Så fort man misstänker att någons konto har utnyttjats av andra är det enkelt att kolla från vilka ip-adresser inloggningar har skett.

    Utan misstanke brukar dock sådana kontroller inte ské.

    Men om Niklas Svensson berättar för Fredrik Sjöshult som berättar för (s) som låter Sentor kolla så är det enkelt att släppa bomben vid lämpligt tillfälle.

    SvaraRadera
  8. dagens nyhetrere blundra inte:

    ett kd är okcså inblandrade

    två liberaler LIBERALER observerera har suttrit utanfrör sossarnas kontor i skövde okcså loggrat in via ett dåligt kryptrerat nätverkc okcså stulit koder

    det är ohyggligt det är överlagda brott

    fröst tänkcrere man vad barnsligt det hör ör men det är det inet det är allvarrligare än så det handlrar fakctiskt om allas vår säkcerhet

    ska sådnana menniskor som kallrar sej LIBERALER okcså samtidigt stjäl överlagt

    ska dom styra sverigje det undrar jag nu verkeligen

    alliansen fallrer som ett korthus

    sven goran persson kommrer att sittra en perijod till

    sjönt det säjer jag nu yo

    SvaraRadera
  9. Det är väl ingen som försvarar folkpartiet?

    Men om man klarar att hålla två tankar i huvudet samtidigt, så finns det mycket som pekar på att (s) i vart fall sugit på karamellen, för att orsaka största möjliga skada. Vilket, sett ur deras perspektiv, naturligtvis är helt rätt. Det är dock värt att uppmärksamma.

    SvaraRadera

Håll en hyfsad ton. Kommentarer bör vara intressanta, fyndiga eller på annat sätt tillföra något - för att slippa igenom nålsögat.