1 Senaste redigerad av SeF:s styrelse (2009-02-17 11:45:48)

Tråd: Angående intrång i forum

Som tidigare framkommit registrerades användaren brök! på Seriefrämjandets forum 2007-04-18 av Mikke Schirén. Som brök! skrev Mikke tre stycken inlägg på forumet under 2007. Ingen annan än Mikke själv visste att han låg bakom identiteten. Själv påstår Mikke att han använde sig av e-postadressen mikke@gimmikk.se i brök!s konto (se inlägg), vilket dock motsägs av att en av administratörerna sett adressen brokmannen@gmail.com redan samma dag kontot skapades. Dessutom tillåts inte två användarkonton i forumet ha samma e-postadress och vi vet med säkerhet att Mikke Schiréns vanliga användarkonto hade just e-postadressen mikke@gimmikk.se både 2006 och sommaren 2008 (genom sparade adressuttag från forumet). Däremot kan vi förstås inte med säkerhet veta att han hade samma registrerade e-postadress 2007-04-18. Om Mikke inte använde sin vanliga e-postadress till brök!s konto, kan ingen utomstående därav sluta sig till att det var han som stod bakom kontot.

När Mikke Schirén avsade sig sitt medlemskap och samtliga uppdrag inom Seriefrämjandet 2008-10-08 togs givetvis de administratörsrättigheter han hade haft bort. En vecka senare (2008-10-15) upptäcktes det i forumet att användarkontot brök! helt plötsligt hade fått administratörsbehörighet. Denna behörighet togs då bort för användaren i fråga.

Dagen efter uppdagades det att det fanns en ny administratör – nu namnlös. Eftersom användaren saknade namn gick det inte att ta bort adminrättigheterna. Då det gick att se att den namnlöse användaren hade samma registreringsdatum som brök! förstod man att det åter var denne som försett sig med adminrättigheter. Genom att ge användaren namnet brök! åter kunde man än en gång avmarkera denne som administratör.

Strax efter midnatt 17 oktober konstaterades det att båda administratörerna Agneta Hallin och Göran Semb plötsligt inte längre var administratörer utan hade tilldelats den lägre funktionen moderator. Deras rätta funktioner återställdes. Samma datum underrättades också styrelsen om det inträffade.

Styrelsen vill betona att i detta skede kände absolut ingen förutom Mikke Schirén – vare sig någon på forumet, administratörer, moderatorer eller någon i styrelsen – till vem som låg bakom användaren brök!. Därmed anser vi också att alla teorier om att någon okänd skulle vara ute efter att svärta ner just Mikke Schirén saknar grund.

Det var först 2008-11-27 som sambandet mellan Mikke Schirén och brök! blev klarlagt. Då loggade (som tidigare informerats om) såväl Mikke som brök! in från samma IP-nummer två gånger var:
mikke schirén 08:23:55
brök! 11:12:26
brök! 19:17:40
mikke schirén 19:39:27

Både Mikke och brök! gjorde vardera två nya inlägg i samband med inloggningarna ovan. IP-adresserna för dessa stämmer med dem Mikke Schirén hade samma dag. Att Mikke Schirén – som har s.k. dynamisk IP-adress – bara av en slump råkat få samma IP-adress som brök!, två gånger dessutom, under samma dag är osannolikt.

Styrelsen diskuterade ärendet på sitt ordinarie styrelsemöte 2008-11-29. Det beslutades att en sammanställning över vad som hänt måste göras. Säkerheten skulle ses över. Bland annat plockades inaktiva moderatorer bort i forumet. Lösenord ändrades. En avstängning från forumet diskuterades som möjlig motåtgärd. Fortsatta diskussioner via e-post och undersökningar genomfördes. Arbetet låg nere under jul- och nyårshelgerna, men togs upp i mitten av januari när brevet till Mikke Schirén författades. Fredrik Strömberg undertecknade det och postade det 2008-01-19.

Mikke Schirén offentliggjorde brevet på Seriefrämjandets forum 2008-01-20 kl.18.11.52. På förmiddagen samma datum fanns fortfarande brök!s samtliga fem inlägg kvar på forumet. Senare samma dag raderades de av någon okänd. Något som normalt endast administratörer och moderatorer kan utföra. När inlägg raderas försvinner också möjligheten att se vilken IP-adress som använts. Ändå hade ännu ingen överhuvudtaget offentligt nämnt användare brök!s roll i ärendet. Styrelsen finner det osannolikt att det helt plötsligt skulle ha dykt upp någon utomstående person som har kännedom om brök!-användaren och vem som låg bakom den. Först nästa dag publicerades, på styrelsens uppdrag, uppgifterna om brök!-kontot av Ola Hammarlund.

I den diskussion som följde på forumet dök plötsligt, 2009-01-21 kl.13.52.55, upp ett hånfullt inlägg av brök!. Det gick inte att spåra detta inlägg eftersom det gjordes via en s.k. anonymiseringstjänst, så att det egna IP-numret inte syns. Inlägget i sig hade bara för avsikt att förvilla skeendet ytterligare. I nära samband med att det "falska" inlägget från brök! gjordes den 21 januari var Mikke Schirén inloggad i forumet med ett ryskt IP-nummer, vilket tyder på att en anonymiseringstjänst användes även här.

Sammanfattningsvis kan styrelsen inte finna några bevis för att någon annan än Mikke Schirén själv skulle ha haft kännedom om brök!-kontot. Att någon utomstående bara skulle råkat välja just den användaren bland alla andra närmare 900 användarkonton som finns, för att olovligen tilldela sig själv administratörsrättigheter inom samma vecka från det att Mikke Schirén själv fråntagits sina administratörsrättigheter finner vi orimligt.

Natten mellan 25 och 26 januari uppmärksammade en av forumets moderatorer att en ny användare "run3" hade administratörsrättigheter, för att i nästa ögonblick åter vara en vanlig användare. Run3:s inloggning hade förfalskats så att IP-adressen såg ut att tillhöra en annan användare på forumet. Användarkontot för run3 togs för säkerhets skull bort. Under dagen den 26 januari konstaterades ett sabotage mot forumets databas. IP-adresserna på samtliga inlägg gjorda från 2005 och framåt hade ersatts med ett och samma IP-nummer. Valet av IP-nummer för båda dessa sabotage tyder på att den som genomförde attacken hade kännedom om forumets deltagare och deras förhållande till Mikke Schirén. Till följd av dessa intrång tvingades styrelsen besluta om nedtagning av forumet. Seriewikin, som har samma databas som forumet, blev otillgänglig i samband med forumets nedtagning och togs därför ned temporärt.

Fram till början av oktober 2008 ansvarade Mikke Schirén för forumets program- och säkerhetsuppdateringar. När han avsade sig alla sina uppdrag för Seriefrämjandet informerade han inte Seriefrämjandet om att det förelåg säkerhetsbrister i forumet. Men i den forumtråd där han offentliggjorde styrelsens brev till honom påpekade han upprepade gånger forumets säkerhetsbrister, något han alltså själv bara månader innan hade uppdraget att minimera. Styrelsen finner det mycket oansvarigt och olämpligt att en tidigare betrodd person öppet informerar om eventuella säkerhetsbrister. Det är ett välkänt faktum att vissa individer på nätet tar sådana påpekanden som en utmaning att olovligen försöka ta sig in och förstöra bara för att det kanske är möjligt. Och eftersom ingenting ur säkerhetssynpunkt inträffat tidigare under alla de år som forumet funnits finns det anledning räkna med ett direkt eller indirekt samband mellan Mikke Schiréns uttalande om säkerhetsbristerna och sabotaget mot forumets databas. Forumet har nu uppdaterats, men något hundraprocentigt skydd kan man sannolikt ändå aldrig uppnå. Och att skydda sig från intrång från betrodda personer som redan har (eller har haft) höga administratörsrättigheter är alltid vanskligt.

Efter att forumet tagits ned har Mikke Schirén plockat e-postadresser för medlemmar på Seriefrämjandets e-postlista och använt till ett massutskick 2009-02-07 för sina egna syften. Detta anses allmänt inte vara förenligt med god nätetikett.

Några – däribland Mikke Schirén själv – har menat att det tagit lång tid att framföra dessa uppgifter. På detta kan styrelsen bara svara att det tar tid att sammanställa alla uppgifter, diskutera frågan ingående, vidta rätt åtgärder osv. Styrelsen ser det snarare som att den varit ytterst angelägen om att allt ska gå korrekt till väga och valt att hellre vara noggrann än att hasta igenom ärendet. Planen var ursprungligen att skicka Mikke Schirén en redogörelse en vecka efter att han fått brevet. Eftersom Mikke Schirén offentliggjorde styrelsens brev till honom, finner styrelsen det lämpligt att göra detsamma med sin redogörelse. På grund av att forumet tvingades tas ned försenades därmed också publiceringen.

Styrelsen vill också på förekommen anledning upplysa om att både Seriefrämjandets forum och Seriewikin är underställd Seriefrämjandet, dess styrelse och ytterst medlemmarna. Det innebär förstås inte att styrelsen i normala fall lägger sig i den dagliga skötseln av dessa fora eller ens önskar att göra detta.

Styrelsen har till följd av ovanstående beslutat att med omedelbar verkan avstänga Mikke Schirén både från forumet och e-postlistan.