Nej, Kanal 5 er (heller) ikke blevet hacket

En kollega sendte mig for nyligt et link til en artikel på TV 2’s tv-website: Kanal5: Vi blev hacket.

Politiken (som jeg tidligere har ikke-rost for deres omgang med teknologi-stoffet) er også sprunget på historien: Reality show-deltagere sendt hjem ved en fejl.

Det er tilsyneladende en god historie. En person skaffer sig adgang til information på Kanal 5’s hjemmeside om, hvem der bliver stemt ud fra Big Brother-showet (der er åbenbart folk der rent faktisk interesserer sig for det) og lagde resultatet ud på nettet.

Der er bare et problem: Det har ikke meget med hacking at gøre.

Den 10. februar skrev jeg, at NemID ikke var blevet hacket (selvom flere journalister åbenbart tror det), og jeg vil da gerne tage turen igen. På et eller andet tidspunkt får vi vel dansk teknologi-journalistik op på et acceptabelt bundniveau. Igen er vi på noget, der for nogen kan synes som et ret detaljeret niveau – men det er altså vigtigt, at der er styr på begreberne.

Der er ingen tvivl om, at ordet ‘hacker’ bliver brugt, fordi det ser godt ud i rubrikker og trækker klik. I TV 2’s artikel er der faktisk en fin forklaring af, hvad denne person har gjort:

Men nu siger kanal5, at en bruger har brudt ind på hjemmesiden og fundet materiale, der først skulle offentliggøres, når resultatet var fundet.

Informationschef på SBS TV, Jesper Jürgensen, er rystet over situationen, der viser at der er behov for at skærpe sikkerheden omkring kanal5.dk.

Videoen var ikke offentligt tilgængelig
“Vi forbereder indhold relateret til exit for alle nominerede, da det jo skal gå stærkt på online-medier. Ved at bruge de identifikationsnumre som hver enkelt emne på sitet får tildelt, fik brugeren via adresselinjen i browseren adgang til en ikke offentlig tilgængelig video, hvor teksten beskrev at Stine måtte forlade huset før afgørelsen var faldet,” siger han og uddyber:

“Hvad brugeren ikke havde bemærket var, at lignende videoer og artikler om Alexanders og Umars exit også var tilgængelig på samme vis. Det var dog kun siden med Stine, som blev postet på Facebook.”

Okay, så hvad er det helt præcis denne ‘hacker’ har gjort? Jo, han har ændret på et ID-nummer i en artikel-URL (http://…). Nogle gange er der et sådan tal i en URL, det fortæller systemet, hvilket artikel i databasen (på serveren) den skal vise for brugeren.

En URL på Kanal 5’s hjemmeside til en artikel om Big Brother ser således ud:

http://www.kanal5.dk/bigbrother?nid=7419

Det er tallet til sidst (7419), som vedkommende har ændret. Jeg vil selvfølgelig ikke opfordre dig som læser til at gøre dette – det er hacking, så lad være.

Nej, selvfølgelig er det ikke det. Hvis artiklen bag et bestemt ID ikke er publiceret, så er den ikke til at få fat på, og så kan vedkommende ikke sprede den på Facebok.

Så kære Informationschef på SBS TV, Jesper Jürgensen: Hvis man kan komme til indhold ved at skrive URL-adressen på det i sin browser, så er det offentligt tilgængeligt. Det er faktisk så offentligt tilgængeligt, at advokater regner det for en fremførelse, hvis jeg linker til en MP3-fil (eller, det var i hvert fald hvad jeg fik at vide til et FDIM-foredrag om emnet).

Usikkerhed om forløbet
Og så kan jeg godt more mig lidt over, at enten informationschefen eller journalisterne ikke har styr på selve forløbet.

Først hos TV 2 – her har hackeren lagt den rigtige artikel ud – altså den om den, der bliver stemt hjem:

Ved at bruge de identifikationsnumre som hver enkelt emne på sitet får tildelt, fik brugeren via adresselinjen i browseren adgang til en ikke offentlig tilgængelig video, hvor teksten beskrev at Stine måtte forlade huset før afgørelsen var faldet,” siger han og uddyber:

“Hvad brugeren ikke havde bemærket var, at lignende videoer og artikler om Alexanders og Umars exit også var tilgængelig på samme vis. Det var dog kun siden med Stine, som blev postet på Facebook.”

Og dernæst hos Politiken hvor ‘hackeren’ nu åbenbart rent faktisk har bemærket at “lignende videoer og artikler om Alexanders og Umars exit også var tilgængelig på samme vis” – han har i hvert fald delt dem på internettet:

En hacker havde op til afslutningen på afstemningerne skaffet sig adgang til flere artikler på Kanal 5’s hjemmeside og spredt dem på nettet. Artiklerne beskrev, at deltagerne Stine, Umar eller Alexander alle var blevet stemt hjem. Men det var ikke tilfældet.

Indholdet i artiklerne skulle nemlig ikke tages for gode varer. Artiklerne var forproducerede og lagt klar af redaktionen, så de kunne bruges om den pågældende deltager, der hver søndag bliver stemt hjem.

Det er smukt.

ER der så fusk med de SMS-stemmer?
Nu ser jeg ikke Big Brother, så jeg ved ikke, hvor mange deltagere, der er tilbage, men det er da påfaldende, at vedkommende kan få fat i artiklen om lige netop den person, som rent faktisk bliver stemt ud – og det inden afstemningen er afsluttet.

Det kan godt være, Kanal 5 har gjort lignende artikler klar om de andre deltagere, men det har de ikke bevist. Enten har de valgt at lade være – ellers kan de ikke.

Historien om, at de skulle være blevet ‘hacket’ er i hvert fald rimelig tynd – med andre ord: det passer ikke. De har selv lagt indholdet ud og gjort det muligt at finde og dele på Facebook. Undskyldningen med, at “det jo skal gå stærkt på online-medier” får mig blot til at trække på smilebåndet, for en tyndere suppe skal man da lede længe efter.

Journalistik?
Det er så, hvad det er. Et andet problem i denne sammenhæng er, at personen bag citaterne ikke bliver udfordret. Han får lov til at slynge ‘hacker’-ordet rundt som en samurai i en brandert. Det må da være tilladt for en af journalisterne lige at spørge: ‘Arh, hacker ligefrem?’.

Hvis man sidder og ændrer på ID-numre i artikler på Kanal 5’s website, er man altså ikke hacker. Man har bare for meget tid. Tid har journalisterne i dette tilfælde åbenbart ikke for meget af – for så var dette forhåbentlig blevet opsnappet.

Opdatering @ 23:33:
Jeg er blevet gjort opmærksom på en god pointe på Twitter:

Oprindelig betyder ‘hacking’ faktisk ting som dette, altså at man leger rundt og eksperimenterer – kort fortalt ‘tweaker’. Dette gælder, hvad enten det er i et program eller, som her, på nettet.

Det, som ordet ‘hacking’ nu dæker over i mainstream-sammenhænge er egentlig det, der kaldes ‘cracking’, altså hvor folk tvinger sig adgang til systemer. Lige for at få dét på plads.

Nej, NemID er ikke blevet hacket

NemID-logoOkay, som gammel (okay, ‘tidligere’) it-journalist må jeg til tasterne 🙂 Nu har jeg fået nok at at høre/læse ordene ‘NemID’ og ‘hacket’:

Politiken: Netbankhackere bryder igennem NemId
Berlingske: Hackere bryder ind hos danske bankkunder
BT: http://www.bt.dk/krimi/hackere-bryder-nemid-hos-danske-bank-kunder

…og min egen arbejdsplads er også med: Hackere lænser konti med nem-ID-koder.

Selv IT-medierne ComON (Hackere overlister NemID-brugere: Stjæler 700.000 kr. i Danske Bank), Computerworld (NemId sprængt: Hackere bryder ind i Danske Bank) og Version2 (Nyt hacker-trick snød NemID: Sådan gjorde de) er med på den.

Problemet er bare: NemID er ikke blevet hacket.

Hvis NemID var blevet hacket, så havde de kriminelle fået adgang til selve NemID-systemet. Det er ikke sket. Det der i stedet er sket er, at nogle NemID-brugere er blevet franarret NemID-login-oplysninger til deres bank og er blevet frastjålet 700.000 kroner.

Det er ikke hacking, men kaldes ‘phishing’. Til Version2’s forsvar skal det siges, at de også har artiklen ‘Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing’.

Phishing (udtales fuldstændig ligesom ‘fishing’ og har været en ‘hot trend’ – eller hvad man nu skal kalde det – indenfor IT-kriminalitet siden cirka 2005, det er altså ikke noget nyt) går ud på netop at franarre folk personlige oplysninger, såsom brugernavne, adgangskoder og nu også NemID-koder. Version2 skriver i artiklen ‘Nyt hacker-trick snød NemID: Sådan gjorde de’:

Denne gang brugte tyvene angiveligt en kombination af malware og phishing til at lokke en ekstra kode ud af Danske Bank-kunder.

Og det er fuldstændig korrekt. Malwaren (på dansk kan det vel bedst kaldes ‘skadelig software’ eller noget ligende) var blevet sneget ind på NemID-brugernes computer – udenom NemID. Dette er formentlig gjort ved, at der er sendt falske e-mails ud, hvor afsenderen giver sig ud for at være et pengeinstitut. Det er en klassiker, og phishing lige efter bogen.

De IT-kriminelle har så brugt malwaren til at præsentere brugeren for et falsk NemID-login-vindue (nu er vi på side 2 i phishing-håndbogen) og brugeren er hoppet i med begge ben (side 3). Og så er pengene væk (side 3, nederst).

I dag var en NemID-mand i sit fineste jakkesæt så på besøg i TV-Avisen hvor han skulle besvare værtens spørgsmål: Er du tryg ved NemID? Og selvfølgelig er han det. For som han sagde: Det er jo ikke NemID, der er blevet angrebet og ‘hacket’.

Det kan virke pedantisk at gå op i den slags, men det er vigtigt for vores forståelse af IT-kriminalitet, som der med garanti ikke bliver mindre af. Som det ser ud nu, er NemID sikker – men folk vil være i fare så længe de klikker på links i mails, de tror kommer fra deres bank – skønt det igen og igen bliver understreget, at din bank aldrig sender dig en mail og beder dig logge ind.

Det er ligesom når man går ned ad Strøget i København og ser folk, der tror, de kan vinde penge fra manden med de tre kopper og kuglen. Det er snyd, lad nu være.

Men når historier som denne dukker op, er en ting sikker: Sikkerhedsfirmaerne står i kø for at komme med bud på forbedringer. Det er ligesom tilbage i skoleklassen, når læreren prøver at sætte videoen til og alle eleverne pludselig råber i mundene på hinanden og har masser af gode råd – men ikke nødvendigvis løsningen.

Fra Secunia lyder det ‘brug mobilen’:

“Ved at kunderne får en sms, når der sker en usædvanlig transaktion på netbanken, er der langt større mulighed for at tage sådan en svindelaktion i opløbet,” siger Thomas Kristensen til epn.dk (kilde)

Nordea har allerede implementeret dette. Men det må vel være bankens eget ansvar – og ikke en del af NemID som håndterer vores, ja, ID, og logon og ikke vores bankforretninger. Nu er jeg ikke helt inde i de oprindelige krav til NemID, så det er muligt jeg tager fejl. Men når Nordea kan implementere det (og gør det), så kan andre vel også.

Det næste skridt indenfor mobil-verifikation kunne være at sende brugeren en kode per SMS, som skal indtastes. Men hvis du kan franarre folk et kodeord, som står på et fysisk stykke papir, så kan du helt sikkert også snyde dem ved mobil-verificering.

Hvad er der så at gøre? Jo, uddannelse, uddannelse, uddannelse. Folk må forstå, at deres bank aldrig sender dem en e-mail og beder dem logge ind. Aldrig.

Er du i tvivl, så lad være. Kontakt din bankrådgiver.

Og så skal du selvfølgelig, som også Nets (der står for NemID) anbefaler, have et opdateret styresystem og antivirus. Dette gælder ikke kun NemID men din generelle digitale sikkerhed.

NemID er ikke blevet hacket. Men nogle stakkels NemID-brugere er blevet snydt på god gammeldags trick-manér. Og dét kan NemID altså ikke beskytte hverken dem eller os imod. Vi har hver især selv et ansvar for vores egen it-sikkerhed.