av Mikael Winterkvist | sep 10, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 2 minuter
Analyserna och de insamlade uppgifterna pekade åt ett och samma håll och uppgifterna var både oroväckande och anmärkningsvärda. Nu hade alla data körts igenom klustret tre gånger med samma resultat.
– Han kan vara journalist, sa Sommargren när Jakobsson kommit en bit i den sammanställningen med alla slutsatser.
Jakobsson svarade inte utan fortsatte att läsa vidare. Gruppen hade utan tvekan gjort ett grannlaga arbete. Hopp, försök att dölja sina spår fanns med och även om underlaget fortfarande var tunt så hade analysera av kommandon, enkla slarvfel och annat lagts till och de pekade mot en person som arbetade som journalist och teknisk krönikör på en av landets största facktidskrifter.
Hade de nu hittat den skyldige så hade de också rent informativt vandrat rätt in i ett minfält. Medierna skulle utan tvekan ta ställning för sin kollega om det skulle bli aktuellt med ett rättsligt ingripande. Skulle åklagare och polis blandas in och om mannen skulle gripas så skulle det bli svårt att komma undan de informella mått och steg som lett fram till gripandet. De hade tagit genvägar och ur strikt rättssäkerhetssynpunkt så var det ett fett köttben som media skulle frossa på i veckor och se till att hålla kvar uppe på löpsedlarna lika länge.
Kombinationen med en journalist som grips misstänkt för dataintrång skulle inte ens en nybakad sommarvikarie missa. Medierna skulle utgå ifrån att mannen varit på jakt efter något stort och de skulle snabbt följa efter i hans spår och då fanns en uppenbar risk att Jakobsson och hans grupp skulle bli kända. Något som helt enkelt inte fick inträffa.
– Hur fan gör vi, frågade Sommargren när Jakobsson suttit tyst ett tag.
– Ja du, vad fan gör vi om det är den här killen?, svarade Jakobsson uppenbart bekymrad över den vändning ärendet nu tagit.
– Är vi säkra på att det är han?, frågade Jakobsson till slut.
– Inte säkra. Det kan vi aldrig vara och jag har satt två man på att kartlägga honom och han tekniska kunskaper. Sättet han jobbar på stämmer liksom inte överens med en snubbe som gått på en folkhögskola direkt efter gymnasiet och som kommit till datatidningen via olika jobb på lokaltidningar, svarade Sommargren.
– Du menar att sättet att jobba kan ligga på en för hög teknisk nivå?
– Utan tvekan och hans artiklar och krönikör ger liksom inte den bilden. Killen är för lite nördig för att uttrycka det enkelt, summerade Sommargren.
Jakobsson öppnade mappen med uppgifterna om den misstänkte databrottslingen.
– Sven Tage Thuresson, 47 år, journalist på landets ledande facktidskrift, kan det verkligen vara vår man, frågade sig Jakobsson och tittade på bilden av en lite luggsliten, medelålders man som såg ut att ligga så långt ifrån stereotypen av en databrottsling som du kan komma.
Ändå pekade en rad tekniska data mot Thuresson och tillsammans med insamlad information om hur han har rört sig, hans resor och var han befunnit sig geografisk vid olika tidpunkter bildade ett tydligt mönster som bara kunde leda fram till en enda rimlig slutsats. den de sökte var svensk och han var journalist. Det första var absolut inget problem. Det andra var ett problem, ett stort sådant.
av Mikael Winterkvist | sep 5, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 4 minuter
30: Jakobsson ringde snabbt ett antal telefonsamtal enligt en på förhand uppgjord lista. Listan fanns i en pärm som var inlåst i ett kassaskåp. Det fanns inga kopior på innehållet i pärmen och det mesta av informationen hade skrivits på den gröna Halda reseskrivmaskin som stod i samma kassaskåp.
Inga kopior, inte skrivet på en dator och det fanns med andra ord inga digitala kopior av pärmen och dess innehåll.
Listan innehöll nyckelpersoner inom stora svenska företag, Rikskriminalens IT-avdelning och sedan Jakobssons egen grupp av människor som bara han kände till. Det var några studenter, några med avklarad examen och som nu jobbade med säkerhetsfrågor inom svenska och internationella företag. Det var Jakobssons egen cyberbrigad av handplockade personer som han visste hade den kunskap som krävdes. Polisens folk var med bara för sakens skull liksom flera av representanterna för näringslivet. De var inte med på listan därför att de kunde tillföra särskilt mycket utan mer av politiska skäl.
Ibland kunde de vara nyttiga därför att de hade kontakter och kunde hjälpa till med att öppna dörrar men de hade inte de datakunskaper som Jakobsson nu insåg att han behövda kalla in. Däremot hade en del av dem pengar, vilket också kunde komma väl tillpass.
På listan fanns också en del nyckelpersoner inom säkerhetsföretag varav i alla fall två hade egna övervakningscentraler på mer än en plats i världen. Dygnet runt övervakades trafiken ute på nätet i vad som bara kan beskrivas som högteknologiska bunkrar.
På grund av tidsskillnaden kunde Jakobsson inte ringa alla på lista på en gång. Några fick finna sig i att bli väckta. Det var de personer som Jakobsson ville försäkra sig om att de inledde jobbet direkt.
Några av de han talade med frågade om de skulle åka in till kontoret, vilket inte var nödvändigt. Någon gång per år träffades gruppen, inte mer. Resten av mötena, de få de hade sköttes numera digitalt med video- och röstkonferenser.
Det var både praktiskt och lönsamt. Nu kunde mer av den hemliga budgeten spenderas på arbete ute på fältet istället för att läggas på hotell och resor.
Fem personer satte Jakobsson i arbete direkt. Två av dem väckte han och såg till att de per omgående tog sig in till en övervakningsbunker. En i Finland och en i USA.
Resterande tre fick order om att snabbt koppla ihop sig med Sommargren och fortsätta analyserna och sökningarna med hjälp av klustret.
När Jakobsson var klar med listan slog det honom att ingen hade ifrågasatt varför. Ingen hade protesterat eller en frågat om varför han ringde, om det var allvar.
Samtliga hade noterat den information de fick via telefon, antecknat vad de skulle göra och sedan satt igång med sin uppgift.
Jakobsson lutade sig tillbaka, drog åt sig kaffekoppen med kaffet som numera knappt var ljummet, tog en första klunk och funderade på hur många människors planer han nu slagit omkull på mindre än en timme.
31: Efter ett par timmars letande, analyserande och efter flera körningar via klustret så började spåren peka åt ett och samma håll. Sverige. Det kunde röra sig om en svensk användare som använde två av de största operatörernas nät.
Användaren hade använt både fast och mobilt bredband och även en telefon via 3G-nätet.
– Är vi säkra på det här, fråga Jakobsson när Sommargren lämnade över den första tekniska analysen.
– Hyggligt men vi måste kolla hans hopp mellan servrar ett varv till. Vi kan ha missat något där, svarade Sommargren lite defensivt.
Jakobsson visste att det skulle bli samma resultat. Sommargren och hans tekniskt drivna nördar till kamrater gjorde inga slarvfel. De kollade, kollade igen och de hade i allmänhet alltid mycket bra på fötterna innan de lämnade över en analys eller gjorde några bedömningar.
– En svensk, tänkte Jakobsson högt.
– Ja, det finns mycket som pekar på det, svarade Sommargren som inte riktigt var med på att det inte var en fråga utan mer ett konstaterande.
– Vet vi vem?, frågade Jakobsson.
– Inte ännu men snart.
– Kan jag göra något?, frågade Jakobsson som nu ville skynda på processen så mycket han bara kunde. Han ville veta vem den okände var för att bättre kunna göra en bedömning av vad nästa steg skulle bli.
– Tja, du kan ju alltid lyfta luren och ringa till Pettersson och be honom plocka fram de loggfiler vi behöver för en del av uppkopplingarna. I annat fall måste vi gå via säkerhetspolisen eller Rikskrim och det vet du vilken tid det tar, svarade Sommargren och sträckte över en lista på IP-nummer och datum.
Jakobsson log när han tog emot pappret. Alltid förbered, alltid scout och alltid ett steg före. Sommargren och hans grupp hade redan sammanställt en lista på det de behövde och längst ned fanns även telefnnummret till Persson.
– Ok, inga problem. Vi tar en genväg. Det går inte att sitta och vänta på att byråkraterna ska få ändan ur, svarade Jakobsson. sträckte sig efter luren och tryckte in en kort sifferkod.
Perssons telefonnummer fanns på “speed-dial” och det var inte första gången som Jakobsson åsidosatte krav på brottsmisstankar, polisanmälning och ett underlag för att få ut vad en av deras kunder hade haft för sig. Normal sett var det en rätt krånglig pappersexercis innan uppgifterna kunde lämnas ut. det var därför han hade Persson på snabbtangenterna. Persson ifrågasatte aldrig. Han plockade fram uppgifterna direkt och frågade inte ens vad Jakobsson skulle ha dem till. Det gjorde inte vapenbröder.
Persson och Jakobsson hade tjänstgjort i FN-tjänst i Ismaelia för snart 30 år sedan. Det skapade lite speciella band och redan på den tiden tog de båda genvägar för att lösa problem. Krånglande egyptiska gränsvakter mutades med svensk porr och deras israeliska motsvarigheter med sprit. Det var inte enligt reglementet men det fungerade. Det gjorde det med att ringa Persson också och snabbt och enkelt gå runt alla krav på det som så vackert kallades rättssäkerhet.
av Mikael Winterkvist | aug 30, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 3 minuter
– Vi får köra en analys, bakåt i tiden med klustret så att vi vet när han dök upp första gången, var det första Jakobsson sa efter en stunds funderande.
– Jag kan ta det, svarade Sommargren som aldrig tvekade att ta på sig mer jobb.
– Vi kör det tillsammans. Två hjärnor tänker förhoppningsvis bättre än en, replikerade Jakobsson med ett leende.
De plockade snabbt fram det de visste så här långt. IDS-systemet (Intrusion Detection System) hade reagerat för de senaste försöken men det var högst sannolikt att den okände hade försökt tidigare. Kanske till och med långt tidigare och det var det Jakobsson ville veta.
Vilka system hade han försökt att ta sig in på, vilka system hade han försökt komma åt och hur länge hade han försökt?
En serie frågor som skulle kunna ge en något tydligare bild av den okände som fanns därute någonstans.
Jakobsson trodde inte för en sekund att han var tysk student eller jobbade på ett åkeri i Kroatien, vilket en del loggfiler indikerade Han kunde mycket väl vara student men knappast på det tyska universitet dit IP-numret pekade.
– Jag har en magkänsla om att den här killen är vassare än de vi brukar stöta på, konstaterade Jakobsson sedan de suttit på varsin sida av skrivbordet och gått igenom det insamlade materialet.
– Jag håller med. Det här är ingen vanligt “scriptkiddie”. Han verkar mer slipad, mer försiktig och han gör aldrig mer än två försök om han misslyckas, instämde Sommargren.
De plockade ihop sex månaders loggfiler från det aktuella systemet och började att köra dem genom analysverktyget som kallades klustret internt. Klustret var ett dussin FreeBSD-baserade servrar, sammankopplade för att tillsammans ge en imponerande datorkraft. Trots att klustret kostade en bråkdel av vad en minidator kostade så var kapaciteten tiofalt bättre. Klustret klarade att analysera och köra igenom miljontals rader med loggfiler sekundsnabbt. Just nu letade de efter nålar i en höstack. Små, närmast omärkbara försök som kom från tio-talet olika IP-adresser och som kom orytmiskt och utan logiskt sammanhang.
Killen hade gjort sina försök precis som du ska göra. Oregelbundet, orytmiskt och långt mellan försöken. Han hade undgått upptäckt under ett längre tag och nu gällde det att ta reda på vad han kunde vara intresserad av.
Klustret jobbade på och fick till slut fram en lista på försök som sträckte sig sex månader bakåt i tiden. Det gick inte med säkerhet säga att det var samma person men det fanns ett visst mönster i försöken att ta sig in och kartlägga systemet som pekade åt det hållet.
– Vi får backa mer än sex månader. jag kan ge mig fan på att han har hållit på längre än så, sa Jakobsson när listan var klar.
– Instämmer, svarade Sommargren korthugget och började att mata in uppgifterna för en ny analys.
Nyckeln till att hitta den okände handlade om att hitta en minsta gemensam nämnare, npgot som de med hyggligt stor säkerhet kunde identifiera honom med. Det kunde vara ett visst beteende, en återkommande felstavning, en mjukvara som användes, en något udda version av ett operativsystem eller liknande, ett digitalt fingeravtryck i sin enkelhet även om den här typen av signatur sällan var lika urskiljande som ett fingeravtryck.
– Han kör en rätt dyr mjukvara, ett terminalprogram som kostar en slant, konstaterade Sommargren.
– Det finns inte på kartan att han betalat för programmet, utbrast Jakobsson och insåg att han tryckt lite för hårt på sina ord och att han hade haft en lite för hot ton också.
Nu var Sommargren van vid chefens små utbrott. Speciellt när han var fokuserad och det. Var han nu. Stenhårt fokuserad.
– Det måste vara en piratkopia, fyllde Sommargren i för att bekräfta chefens slutsats.
– Vi kan ha honom där. Frågan är om man kört med en nyckelgenerator eller om han snott någon annans serienummer?
– Jag betvivlar att han varit så dum så att han snott någon annans serienummer. Då skulle kretsen hans finns i vara alldeles för liten. Han har haft en nyckelgenerator men det begränsar ändå det antal vi ska leta igenom. Det är inte många vanliga användare som har behov av ett så här dyrt och avancerat terminalprogram. Jag letar vidare.
Sommargren begränsade sökningarna i hopp att få en träff.
av Mikael Winterkvist | aug 28, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 2 minuter
Han parkerade bilen nere i parkeringsgaraget efter att först ha passerat kameraövervakningen, identifierat sig med sin RFID-enhet och sedan även med sin unika kod.
Säkerheten runt övervakningscentralen var rigorös och kan kunde själv känna ibland att det borde gå att lösa lite enklare och smidigare. Medarbetare hade också klagat men nu var hela inpasseringskontrollen hans verk och säkerhet har alltid ett pris i form av användar-vänlighet.
Han fick slå en nyd kod för att kunna få ned hissen till parkeringsplanet och också använda en speciell nyckel för att kunna åka upp till sjunde våningen. På vägen upp konstaterade han att Pettersson gjort som han hade blivit tillsagd att göra – slå av den förbannade hissmusiken som kunde reta gallfeber på de flesta. I alla fall på Stig Jakobsson.
Efter att ha passerat ytterligare en kamerakontroll och en avläsare för hans RFID-enhet så var han inne i övervakningscentralen. Hans närmaste medarbetare tittade upp.
– Mitt rum, sa Jakobsson och styrde stegen mot slutet av en lång korridor.
I släptåg efter honom kom vakthavande Pettersson, ställföreträdande Augustsson och jourhavande Cedergren. Den sistnämnde var en ung man med ett ovanligt slapp, blött handslag och en lugg som han sällan eller aldrig tittade upp underifrån. Cedergren var nörden personifierad. Han tittade inte folk i ögonen när han pratade med dem. Han pratade släpigt och långsamt men han var en osedvanligt skicklig “tangentbordstarzan” och han kunde sina saker.
Samtliga i rummet var handplockade av honom och han visste att de aldrig skulle kallat på honom om det inte var allvar.
Whiteboarden i Stig Jakobssons rum fylldes snabbt med tidpunkter, angivelser och IP-adresser. Hela scenariot gicks igenom, steg för steg och alla attackförsök hade plockats fram ur åtskilliga Gigabytes med data. Det var Cedergren som hade hittat hackaren först.
– Det kändes som en avvikelse, var hans enda skäl och förklaring till varför just detta intrångsförsök hade fångat hans intresse.
Det var så han fungerade, Cedergren. Han kunde inte alltid förklara varför utan han gick ibland på känsla och intuition. Det var därför han var bättre än de flesta andra och det var därför han hade hittat just den här killen i mängden av tusentals andra.
Nu fanns det förvisso ingenting som bekräftade att den som begick försöken till intrågen verkligen var en man men all statistik talade för att det var en ung, dataintresserad ensamstående man i 20-års åldern. Möjligen student eftersom en del av attackerna kom från ett tyskt universitet.
– Vet vi något om honom?, frågade Jakobsson när hela ärendet hade dragits ett par varv.
– Inte mer än att attackerna och försöken kommer från tre ställen. Ett tyskt universitet, en finsk anonymiseringsserver och från ett krotatiskt lastbilsåkeri, svarade Cedergren på sitt typiska, släpiga sätt.
Någonstans därute satt någon som ville ta sig in och då infann sig några frågor, vem och varför?
Det var de frågorna som Stig Jakobsson och hans team nu skulle ta reda på.
av Mikael Winterkvist | aug 26, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 3 minuter
Samtidigt som Taggen var på väg ut i den vacka Stockholmska skärgården satte sig Stig Jakobsson i sin stora amerikanska Chevrolet, satte fast sin iPhone i FM-sändaren och drog igång Tim McRaw på nästan skadligt hög volym.
Han la in backen, satte fast säkerhetsbältet och backade ut det fyra ton tunga stålmonstret från parkeringen, la in Drive och rullade iväg. Musiken fick honom inte att byta tankespår.
Larmet som hade kommit in tidigt på morgonen var förbryllande. Först bara som ett enkelt försök. Ett i mängden av alla de script som kördes dygnet runt, varje dag och varje timme ute på nätet. Det såg ut som ett alltför vanligt försök och ett automatiskt sökande efter sårbara system, inledningsvis. En stund senare kom samma IP-nummer tillbaka nu med ett nytt, till synes rätt harmlöst försök att kolla om systemet hade uppdaterats och om de senaste buggfixarna fanns inlagda. Det fanns fortfarande inget alarmerande och Jakobsson hade inte ägnat larmet särskilt mycket uppmärksamhet. Han hade sorterat undan det, inte mer.
Tredje gången var allvarligare. Nu syntes det tydligt att det inte var ett script bakom försöken utan en människa av kött och blod.
Tangentnedtryckningarna kom inte med samma flyt och försöken kom orytmiskt och oregelbundet. Inte heller detta larm förorsakade någon större verksamhet i övervakningscentralen. Det hände att unga dataintresserade ungdomar försökte attackera system som en sorts lek och de såg säkerheten som en utmaning. Även om larmet nu uppgraderades så var det fortfarande lågprioriterat ända till då den okände började att mata in långa, komplicerade kommandon som bara tjänade ett enda syfte – att ta reda på mer om det system som attackerades.
Nu gick larmet direkt till Stig Jakobsson och centralen hade ringt upp honom på förmiddagen med en första rapport.
– Han ser ut att kunna sina saker men han har inte kommit någon vart, ännu, meddelade vakthavande i centralen.
– Varifrån kommer försöken, frågade Jakobsson och plockade upp incidentpärmen från golvet.
– Såvitt vi kan se från ett tyskt universitet men vi har inte spårat Ip-nummret längre än så. Det är sannolikt att han har hoppat några gånger, svarade vakthavande.
– Kan du styra om honom till honungsburken?, frågade Jakobsson och med det menades att försöka lura in den okände till ett system som såg ut att vara ett riktigt system men som bara var en fasad, en så kallad “honeypot”.
– Jag tror att det är en slipad kille på andra sidan så ska jag göra det så gör jag det när han drar vidare, ifall han skulle komma tillbaka. Annars så genomskådar han förmodligen oss, svarade vakthavande.
Det sista var illavarslande för det tydde på att det inte handlade om en vanlig “scriptkiddie” som brukade härja på nätet. Bedömde vakthavande att killen snabbt skulle se och känna igen alla försök att styra om trafiken och lura in honom i en fälla så betydde det att den som satt på andra sidan visste vad han höll på med.
Förklaringar
Hoppa – en vanlig teknik för obehöriga att undvika upptäckt – du hoppar mellan lika konton, i olika världsdelar, använder VPN-anslutningar och anonymersingstjänster, allt för att en eventuell förföljare ska tappa bort dig.
Honeypot – ett system som ser ut som ett riktigt system men som inte innehåller några kriga data eller som används på det riktigt – det bara ska ut som det. En fälla för obehöriga.
FM-sändare – på den tiden då det begav sig kunde du inte koppla din iPhone direkt till bilens stereo så det var vanligt att göra det med vad som kallades för en FM-sändare. Vanligen spm de ut som ett kasettband, sattes i kassettbandspelaren och sedan sändes signalen frpn din iPhone till FM-sändaren så att du kunde spela musik i din iPhone och skicka signalen till din bilstereo.
av Mikael Winterkvist | aug 21, 2024 | Bluesky, Mastodon, Taggen, Threads
Tid för att läsa: 2 minuter
Nu satt han på parkbänken och kunde inte skaka av sig känslan av dejavu. Allting kändes så välbekant på något sätt. Något han hade gjorde förut. Nyligen.
Hela resan in till stan kändes bekant. Inte bara för att han gjort den förut utan det var allting som kändes som en repetition. Han köpte tidningarna, kaffe och kom till Nybrokajen långt före utsatt tid. Det var varmt, strålande sol och kajen började att fyllas med folk. Lediga, glada människor som var på väg till midsommarfirande precis som han själv.
Han satt där på den gröna parkbänken och redan när han styrde stegen mot den så kändes det precis som om att han den här korta promenaden hade han gjort förut.
Han ställde den stora ryggsäcken på ena kanten, öppnade locket på kaffemuggen, slog upp tidningen och försökte flytta fokus till rubrikerna, ingresserna och bilderna men de var lönlöst. Han visste på ett ungefär från vilken håll hon skulle komma och varje minut sänkte han tidningen och kikade över kanten.
Det gällde ju att inte verka för mycket på, inte för angelägen men det misslyckades han kapitalt med. Metodiskt gick han igenom hur han skulle ta emot henne. Inte för översvallande, inte exalterat utan lagom. Svenskt lagom. Inte prata för mycket och inte för fort. Han skapade en slags lista inne i huvudet som han gick igenom.
Det däremot kändes det inte som att han hade gjort förut.
– Fy fan vilken patetisk figur du är Taggen, kom han på sig själv att utbrista.
Han var förälskad upp över öronen, han pratade med sig själv, skapade regler och han hade till och med börjat att kolla in sig själv i skyltfönstren medan har ute och gick. Det kunde knappast bli så mycket värre för en medelålders, frånskild teknikredaktör.
Han bläddrade snabbt igenom båda morgontidningarna utan att hitta något som fick honom att mer än högst tillfälligt stanna upp. Han tog sig inte genom så mycket mer än rubriken och inledningen på ingressen sedan irrade han vidare men inte förrän han kikat upp över kanten för att se om hon var på väg.
Plötsligt var hon bara där. I motljuset, på långt håll. Så långt bort att han först inte var riktigt säker på att det var hon. När hon kom lite närmare så kände Taggen igen det röda håret och den rappa, stadiga gången. Hennes sommarlätta kjol var nästan genomskinlig i
– Herrejävlar, Taggen, vilken uppenbarelse, utbrast han spontant men ändå så tyst att ingen i omgivningen kunde höra honom.
Veronica Johansson var verkligen en uppenbarelse. En frustande vild rödhårig urkraft, likt en ardenner och långt ifrån det trådsmala fotomodell-idealet. Det ideal och den kroppsform som inte har överlevt en vecka ute på savannen eller i urtidsgrottan. GirlPower hade passat om nu inte Veronica Johannesen hellre jämförde sig med general Patton än med girl power.
Nu kom hon mot honom med bestämda steg, kassar i händerna och det röda håret som en flagga på hennes kvinnoskepp – som Ulf Lundell hade skaldat en gång i tiden.
