Annonse


Slik fant han passordene

For et par uker siden sanket Dan Egerstad overskrifter verden rundt ved å publisere et hundretalls brukernavn, passord og tilhørende serveradresser som tilhørte regjeringer, ambassader og offentlige kontorer i mange forskjellige land.

Den svenske sikkerhetskonsulenten la ut hele listen på nettstedet sitt, som deretter ble forsøkt stengt – uten hell – av amerikanske myndigheter.

– Jeg er ikke en hacker
Egerstad har hele tiden hevdet at han ikke er en hacker, og ikke har brutt loven på noen måte for å produsere fram den sensitive påloggingsinformasjonen. Hensikten bak stuntet hevder han er å sette fokus på svake sikkerhetsrutiner og å framprovosere forbedringer (Egerstad tilbyr selv gratis konsulenthjelp til dette formålet).

bloggen sin denne uken publiserte Egerstad fremgangsmåten han benyttet,

Annonse


– Sniffet egne Tor-noder
Ved å analysere utgående trafikk fra anonymiseringstjenesten Tor, kunne Egerstad rett og slett sitte og bla seg gjennom tonnevis med sensitiv trafikkdata. Tor brukes for å skjule IP-adressen når man er på nettet, men det sikkerhetsmessige problemet ligger i at Tor ikke selv krypterer trafikken som går via anonymseringsserverne.

Egerstads firma DEranged Security drifter selv fem Tor-servere, og har dermed full tilgang til data fra TOR-brukere som ikke selv krypterer det de sender eller mottar – deriblant epostmeldinger og påloggingsinformasjon.

Det er hver enkelt organisasjons ansvar at de sender brukerne sine ut på nettet via Tor uten kryptering, hevder Egerstad, og påpeker at det er mange av de som drifter tor-noder man ikke uten videre bør stole blindt på.

Kilder:
Slashdot
DEranged Security

Annonse