Uppmuntrande till kryptering som förstahandsval

Umeå Hackerspace försöker uppmuntra datoranvändare så långt det går att använda sig av säker kommunikation, särskilt när man hanterar personuppgifter. Detta innebär bland annat krypterade anslutningar mot tjänster man ansluter till genom sin webbläsare. Nyligen nådde vi ut i Västerbottens Kuriren med information relaterat till SOS Alarm AB och kvarglömd, fram tills nyligen inkorrekt, information om sekretessnivån på information i forumulär på deras hemsida.

Video och bild nedan syns om man i sin webbläsare tillåter krypteringscertifikat signerade av den ideella organisationen CAcert vilka vi använder oss av till hackerspacets tjänster. Läser du detta i framtiden använder vi oss sannolikt av EFFs "Let's Encrypt"-certifikat och då är sannolikheten större att inbäddningen fungerar automagiskt i din webbläsare.

Vi upptäckte bland annat att SOS Alarm AB på sin hemsida förklarade att information man fyller i till dem är krypterad¹. Vid närmare blick så gick hemsidan inte överhuvud taget att kommas åt via HTTPS - alltså en enkelt krypterad session mot webbservern. Detta ledde oss till att maila SOS Alarm för att informera om detta, fråga varför de antyder att något skulle vara krypterat och upplysa om att hemsidan inte går att nås via krypterad anslutning ö.h.t.


Källa: Västerbottens Kuriren 2015-03-03.

I samband med att maila SOS Alarm om denna blunder så BCC:ade vi diverse nyhetsredaktioner som kanske skulle tycka att det vore intressant att en verksamhet som ändå sannolikt hanterar känsliga uppgifter dagligen. En av de som nappade var Västerbottens Kuriren vilka gjorde ett kort inslag där vi fick chans att informera kortfattat om säker kommunikation i webbläsaren. Detta är viktigt eftersom att utan kryptering är all information ens dator tar emot och skickar oerhört enkel för "maskiner i mitten"-attacker² att manipulera (eller t.ex. vid trådlös kommunikation enkelt avlyssnad).

Denna aktion från vår sida är ett bra exempel på den typ av upplysningsverksamhet Umeå Hackerspace pysslar med på ideell basis för att förbättra grundsäkerheten på internet. Dels uppmuntrar vi tjänsteleverantörer att alltid erbjuda kryptering som förstahandsval men vi informerar även slutanvändare om hur man dubbelkollar sina anslutningar.

SOS Alarm AB har besvarat detta ärende genom att aktivera HTTPS på sin webbserver och sagt att de sannolikt kommer att välja att ställa in sina webbservrar så att man alltid kommer åt sidan krypterat. Bravo! Applåder till dem! :)

Det ironiska med denna artikel är att inga länkar till VK.se är angivna med HTTPS eftersom de inte erbjuder kryptering till sin webbserver.


¹ sosalarm.se på web archive
² "machine in the middle" är en könsneutral version av det ursprungliga begreppet "man in the middle" och bättre eftersom det sällan faktiskt är en människa som behandlar informationen