Ett svenskt cannabisforum Forums Swecan Om Swecan säkerhet!? Reply To: säkerhet!?

#557483

someshta
Member

@z0rdim wrote:

Mourne: Nej, det enda som behövs är https, dvs så trafiken inte avlyssnas.

Det är inget olagligt att besöka swecan och att fåut ip på en användare på swecan är i princip omöjligt (iaf med lagliga medel).

Jag tror tvärtom att det är rätt lätt att ta reda på vem en aktiv användare som inte använder Tor eller någon annan proxy är, givet att man avlyssnar trafiken. Även om användaren använder HTTPS så att man inte kan se själva datan som skickas.

1. Farbror X avlyssnar webbtrafiken till SweCan. Han vill veta vem användaren “Tant Y” är. Han skriver ett litet program som kollar alla forum på SweCan någon gång om dagen och loggar alla tidpunkter som “Tant Y” har skrivit inlägg (det står ju i varje foruminlägg när det är skrivet).

2. Med hjälp av sin avlyssning så loggar han alla IP-adresser som ansluter sig till SweCan och den exakta tidpunkten som de ansluter sig. Under samma period som han loggar detta (säg några veckor) så kör han sitt program som han skrev i steg 1.

3. Farbror X går igenom sina loggar och kollar vilka IP-adresser som har anslutit sig till SweCan vid exakt samma tidpunkter som “Tant Y” har skrivit sina inlägg. Det kan knappast vara särskilt många, förmodligen bara ett. Nu vet Farbror X vilken IP-adress “Tant Y” har.

4. Enligt det senaste datalagringsförslaget så får Farbror X, om han är polis, begära ut personuppgifter från “Tant Y”s internetleverantör om “Tant Y” är misstänkt för ett brott (det behöver inte vara något allvarligt brott, det räcker med t.ex. fildelning eller ringa narkotikabrott, se http://www.dn.se/nyheter/politik/datalagring-blir-vapen-mot-fildelning-1.1197044 ). Om “Tant Y” har lagt ut bilder på en cannabisodling så bör det definitivt räcka. Nu vet Farbror X vem “Tant Y” är och var hon bor.

…om inte “Tant Y” har använt en säker proxy förstås. Då sitter Farbror X där med en värdelös IP-adress som inte går till “Tant Y” alls.

Notera att alla steg utom steg 4 går att automatisera, dvs Farbror X kan skriva ett program som utför steg 1 – 3, köra det kontinuerligt på en dator och bygga upp en stor databas med alla kopplingar mellan SweCan-användare och deras IP-adresser. När han sedan ser en intressant bild eller ett intressant foruminlägg som är tillräcklig för att han ska misstänka ett brott så behöver han bara ringa rätt internetleverantör och begära ut personuppgifterna.