 Det har vært stort engasjement rundt ulike meninger om smittestopp-appen. Jeg har fått både klapp på skuldra og spark i baken, om enn digitalt, siden jeg delte grunnlaget for min skepsis i går. Som mange andre er jeg svært bekymra for situasjonen vi er i og jeg er absolutt ikke imot at vi skal delta i en digital dugnad for å bli kvitt denne djevelskapen av et virus. Det jeg er derimot sterk motstander av at vi skal finne oss i arroganse fra FHI´s side. Det er altså ikke Erna jeg har en beef med, men sjølvaste FHI. Det må gå an å ha flere tanker i hodet på en gang. Jeg tviler ikke på at teknologi kan være med på å bremse smitteutvikling, men det betyr ikke at man skal være ukritisk til de avgjørelser som er tatt. Det må være lov til å stille spørsmål og man bør kunne forvente å få svar. Det hadde vært såre enkelt for FHI å legge korta på bordet uten at det ville utgjort en økt sikkerhetsrisiko. Det går fint an å liste opp hvilke bransjestandarder som ligger til grunn, hvilke testregimer som er benyttet og hvilke vurderinger som er foretatt, uten å kompromittere sikkerheten. Det er også mulig å liste hva som blir logget, hvordan det blir logget og hvordan dataene er tenkt brukt. Jeg er altså hverken motstander av bruk av app, eller desentralisert lagring av data. Det handler ikke om en motstand mot teknologi, men en motstand mot hemmelighetshold rundt avgjørelser. På den ene siden fremstår appen som livsnødvendig, et magisk verktøy som skal ta knekken på styggedommen. På den andre siden sier Camilla Stoltenberg, at de ikke kan si noe sikkert om hvor mange som må ta i bruk appen Smittestopp for at den skal fungere som et godt supplement til den smittesporingen som allerede pågår Hun drister seg til å anslå at 50-60% av befolkningen må ta appen i bruk. Det er helt uforståelig. Hvis man setter i gang et slikt prosjekt, bør man ha gjort visse mattematiske øvelser på forhånd for å finne ut hvor mange deltakere man behøver å få med seg, før noe gir resultat. Den eneste måten smittestopp-appen kommer til å fungere tilfredsstillende på er altså hvis nok mennesker laster den ned og bruker den. For at folk skal gjøre det, må de ha tillit til at nytteverdien er større enn en eventuell belastning. For å inngi denne tilliten i folk, må myndighetene nødvendigvis orke å besvare spørsmål og bekymringer, selv i en pressa tid. Jeg er for at folk skal kunne ta informerte valg. Det kan godt hende at dette er verdens mest geniale app, som kan bidra til å bremse virusspredning samtidig som folks personvern blir ivaretatt, men det vet vi altså fint lite om og det er der jeg mener myndighetene feiler grovt. For min del hadde det vært mye bedre om de hadde sagt «vi er i grunnen ikke så sikre på om vi har fått til dette med personvern, men håper flest mulig vil delta selv om det foreligger usikre elementer». Da kunne man i det minste fattet nettopp et informert valg. Argumentet «du deler allerede ting sosiale medier, du er overvåka», blir brukt hyppig. Det er mulig jeg er litt sær her, men jeg forventer mer av myndighetene i et demokratisk land, enn jeg gjør av multinasjonale konsern med profitt som formål. Jeg har heller ikke blitt anbefalt av ministere eller andre myndighetspersoner å laste ned Facebook, Instagram, Google, TikTok, Linkedin, Snapchat eller noen andre sosiale medier. Det har vært mitt eget valg basert på min egen kost-nyttevurdering. Det å mistenkeliggjøre mennesker som er opptatt av personvern er fjollete. Det er nok av historiske eksempler på hvorfor personvern er en nødvendighet, uten at vi trenger å gå nærmere inn på det. For de av dere som sier, ok, så vet jeg ikke nok, men jeg velger å stole på myndighetene så er jo saken grei. Det er kjempefint at man har tillit til myndighetene. Det finnes derimot mennesker som har en god grunn til å holde personvernet mer i hevd enn andre. Advokater, leger, journalister, og psykologer er blant de som har uttrykt sin skepsis. Politiet har tatt en avgjørelse om at ansatte ikke skal installere appen før det foreligger tilstrekkelig dokumentasjon rundt sikkerhet Leger, advokater, psykologer, redaktører og journalister regnes jo normalt sett ikke til rasen grottetroll som sitter på hver sin stubbe i bjørkeskogen og drømmer opp konspirasjonsteorier. Det må være lov til å fremsette helt legitime spørsmål knyttet til sikkerhet og de vurderinger som er tatt uten at man beskyldes for å være lavpanna konspirasjonsteoretikere som ønsker å sabotere myndighetens kamp mot viruset. Det må være lov til å forvente at FHI ikke behandler befolkningen som en gjeng med trassige 5-åringer som ikke fortjener svar utover «fordi jeg har sagt at det er sånn» For meg er det forskjell på debattinnlegg og det som er skrevet i stein. Jeg har uttrykt en viss skepsis på et prinsipielt grunnlag og det er jeg langt fra alene om. Mitt håp er at FHI kommer på banen og gir folket den informasjonen mange etterspør. Det burde være såre enkelt å få til. Hvis det av ulike grunner ikke er mulig, bør de hoste opp noen plausible og betryggende forklaringer på hvorfor det ikke lar seg gjøre. Erna, det er altså ikke deg jeg er sur på, men FHI får neppe julekort i år heller. Foto: Kai Hansen
0 Comments
 I disse dager rulles det ut en app som er en del av det som beskrives som «et system for digital og automatisert sporing av nærkontakter til personer som er smittet av koronaviruset, og til å informere de personene som har vært i nærkontakt». Tanken er i og for seg hverken dum, eller uforståelig. Jeg som flere andre som jobber med datasikkerhet, er derimot relativt skeptiske til hvordan dette kommer til å fungere i praksis. Appen er utviklet av Simula Research Laboratory som beskriver funksjonaliteten slik på sine egne sider: «Når appen er installert vil den samle data ved hjelp av GPS og Bluetooth som finnes i alle smarttelefoner. Dataene blir så kryptert og lagres i en egen, sikker skyløsning. Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel. Dersom en bruker blir konstatert smittet med viruset, vil det være mulig å spore de telefonene som har vært i nærkontakt med den smittedes de siste 14 dagene. Det sendes ut beskjed til de berørte telefonene fra helsemyndighetene, slik at eierne kan ta de nødvendige forholdsregler. Det er kun de som har valgt å laste ned appen som får varsel.» Så hvorfor er jeg skeptisk?
For at jeg skal bli mindre skeptisk til dette tiltaket, må myndighetene på banen og begynne å besvare helt legitime spørsmål. Spørsmål som stilles av mennesker som vet hva de snakker om, være seg spørsmål som gjelder datatekniske spørsmål knyttet til sikkerhet, eller personvernspørsmål. Joda, det finnes argumenter både for og imot åpen kildekode. Det er helt riktig at en åpen kildekode gir slemminger en mulighet til å få et forsprang, samtidig er har vi mange dyktige sikkerhetsfolk i Norge som mer enn gjerne blir med på en dugnad. Mitt problem er at i denne sammenhengen blir befolkningen spurt om å gå med på en overvåkning vi ikke kjenner omfanget av, med metoder man ikke ønsker å avsløre, og det uten at det gis plausible bevis for at personvern og datasikkerhet faktisk er ivaretatt. Foto: Kai Hansen  For noen dager siden kunne mediene fortelle om 2 unge damer som ble brutalt drept i Marokko. Begge elver ved USN, begge etterlater seg familie og venner i sjokk og sorg. Marokkanske myndigheter er raskt ute med å kalle drapene en terrorhandling.
Mediene belyser som vanlig så mange vinklinger av saken de bare orker, mens de balanserer på en hårfin knivsegg mellom journalistikk med faktisk nyhetsverdi og det morbide. Det tegnes et bilde av et grusomt åsted, fra sikre kilder som har befunnet seg i nærheten. Mediene har heldigvis fortsatt redaktører som innehar et visst ansvar for det som publiseres og de fleste journalister har i det minste et snev av dømmekraft. Slik er det ikke nødvendigvis på nett. På internasjonale forum og i en rekke nettsamfunn verserer det nå et knippe videoer som hevder å være knyttet til drapene. Videoene er av forskjellig lengde og har en rekke hashtags knyttet til seg, så de skal være lette å finne for dem som ønsker å se at noen blir halsgugget. I noen av disse nettsamfunnene har videoene tusenvis av visninger og i kommentarfeltet kan anonyme brukere boltre seg i fri utfoldelse. Kommentarene spenner fra latterliggjøring av drapsofrene som har valgt Marokko som feriemål, til diskusjon om videoenes autentisitet, til forslag til hvordan halshuggingen kunne vært utført bedre. Muligheten for å dele denne typen grusomheter bak en mur av anonymitet virker til å være både populært og spennende for forumdeltakerne. Dette er ikke nettsamfunn på det mørke nettet, men sider på det samme nettet du og jeg bruker til daglig. I flere normale sosiale medier, legges det ut spor til fildelingstjenester og instrukser om hvordan du kan finne og se videoen. Grusomme drap har blitt morbid og underholdning i videoformat. Dette er forum og nettsamfunn som ikke har noen aldersgrenser, ingen verifisering av brukernes identitet eller noe filter for hva som er passer for barn å se på. Noen av forumene krever innlogging, men det tar mindre enn 1 minutt å lage seg en konto og få tilgang til materiellet. Andre nettsamfunn er åpne, men vanskeligere å finne. Vi vet at mange av disse stedene har norske brukere. Mange av dem ungdom, men også barn helt ned i 9-10 års alderen. Hvis erfarne etterforskere får problemer etter å ha sett åstedet, hva skjer da med barn og unge som ser grusomhetene på nett. Som får en forståelse av at drap er en form for underholdning, som kan diskuteres, bedømmes og gis terningkast? Det var det samme ved terrorhandlingen i Stockholm, grusomme bilder og filmklipp ble delt. Den mye omtalte voldtektssaken i Hemsedal, førte til tusenvis av etterlysinger av bilder og filmklipp. Ran og blind vold filmes og legges ut. De florerer av videoer og bilder fra ulike former for overgrep og i kommentarfeltene fratas ofrene sin menneskelighet og blir til objekter. Internasjonale forum og nettsamfunn kommer ikke til å ta ansvar for å få bukt med dette. Sosiale medier kommer ikke til å ta opp kampen for å vanskeliggjøre deling av linker til slike sider. Internettleverandørene virker svært lite opptatt av annet enn å fakturere sine tjenester og politiet har ikke en sjanse til å bedrive være seg preventive eller reaktive tiltak. Ansvaret ligger hos oss som voksne, vi er de eneste som har mulighet til å gi barn og unge sunne nettvaner. Drap, tortur, voldtekt, ran eller andre former for overgrep er ikke underholdning. Det er ikke ok å dele, kommentere, eller oppfordre andre til å delta. Denne jula håper jeg at du som voksen, innimellom pepperkaker, gløgg og ribbe, tar deg tid til å sette deg ned med husets barn og ungdom og ta en skikkelig prat om hva som skjer på nett. Anstendighet, medfølelse og god gammeldags folkeskikk, trenger nemlig ikke å forgå, selv om vi lever i en digital verden.  Det er onsdag kveld 7. februar og rundt 300 mennesker har funnet plass på Riksscenen. Aftenposten arrangere og temaet er “Hva skjer når unge deler nakenbilder i sosiale medier”. Blogger Martine Halvorsen forteller ærlig om hvordan hun hadde det etter at et bilde av henne ble spredd. Martine hadde trent og en jubelidiot syns det var greit å snikfotografere henne i garderoben for å så spre det på nett. Hun forteller om det hun oppfatter som liten interesse hos politiet og manglende kunnskap. Dagen etter Martine har fortalt sin historie, henlegges saken. Aftenpostens journalister forteller også. Om jenter som har fått livet ødelagt. Om gutter og menn som har blitt dømt for å spre bilder.
Vi er flere som forteller og forklarer denne kvelden. Mia Landsem, kjent fra Nora Mørk-saken, forteller om hvordan hun og andre, kjemper for å få bukt med denne typen nettovergrep. Hun forteller om infiltrering og jakt på de som spres.. Helsesista forklarer hvordan hun snakker med barn og unge og får dem til å tenke. Tenke på hvorfor man gjør saker og hva man får ut av å gjøre noe. Som etisk hacker, er det min oppgave å fortelle hvordan en ukultur har kunnet vokse fram i digitale flater og hva konsekvensen av denne ukulturen er. Er det virkelig mulig å slette noe som er delt på nett? Nei det er det ikke. Dette er ikke et mindre problem, guttestreker, digital småmobbing eller fanteri. Dette er et stort samfunnsmessig problem som berører titusenvis av jenter i Norge. Konsekvenser av å bli utsatt for dette kan være psykiske problemer, depresjon, drop out fra skole og arbeidsliv, langvarige sykemeldinger og selvmord. Jeg har selv snakket med jenter som har flyttet ut av landet, andre som har byttet navn, jobb eller studiested. Mange som sliter psykisk og flere har prøvd å ta sitt eget liv. Jeg vet om tilfeller der de har lykkes. De jentene jeg har snakket med som har valgt å anmelde saker, er ikke særlig imponert over hvordan de blir møtt på politikammeret. Mange sitter igjen med en følelse av at det er nytteløst å anmelde. De har verken kunnskap til, eller ressurser nok til å etterforske sakene. Det er veldig beklagelig at det er følelsen de sitter igjen med. Så klart finnes det kompetanse hos politiet. Det er mange dyktige folk som ønsker å gjøre en forskjell. Spørsmålet er om det hjelper å ha 10 dritgode brannmenn og 4 bøtter vann hvis det brenner på 1 400 steder samtidig. Jeg skulle ønske at alle i politiet som kan komme til å ta imot en slik anmeldelse hadde gjennomgått et kurs for å øke sin kompetanse om nettovergrep og bildedeling. At de hadde en mal for å intervjue den som anmelder, slik at man raskt får tak i relevant informasjon. At det ikke skal spille noen rolle hvor du anmelder forholdet, men at du blir møtt med forståelse, kunnskap, profesjonalitet, respekt og omsorg uansett om du er i Oslo eller Kautokeino. Hvis vi skal få bukt med denne ukulturen må nemlig de som faktisk tør å anmelde slike saker, føle at de blir tatt seriøst. Jeg kommer til å skrive mer om dette fremover. Vise hvordan ny teknologi som er fantastisk, misbrukes for å ydmyke og fornedre andre. Forklare hvorfor dette ikke bare er guttestreker, men godt organisert overgrep, der gjerningsmenn har liten sjanse for å bli tatt. Ta opp litt rundt hvorfor dette er god business og ikke minst etterlyse hvorfor det offentlige tilsynelatende sitter på gjerdet og dingler med byråkratbeina sine. Følg med.  Det har vært mye i mediene nå om sikkerhetshull i trådløse nettverk. Det er helt klart alvorlig og på ingen måte noe som “går over av seg selv” Det er kanskje likevel et behov for å forklare hva dette egentlig dreier seg om.
WPA og WPA2 er kort fortalt krypteringsmetoder for å sikre kommunikasjonen på et trådløst nettverk. WPA2 er den mest avanserte formen som benytter seg av en nyere standard enn sin forgjenger. Hvis ikke du er langt over gjennomsnittet teknisk interessert har du neppe hørt om 4 way handshake, ANonce, SNonce, PMK, PTK, eller GMK. Men la meg prøve å forklare hva dette dreier seg om. 4 way handshake brukes av sikkerhetsprotokollene vi tidligere har nevnt som WPA og WPA2 for å generere en dynamiske og unike krypteringsnøkler for hver enhet som er koblet mot et trådløst nettverk. Det er to slike nøkler som blir generert PTK (Pairwise Transient Key) og GTK (Group Temporal key) PTK blir avledet fra kommunikasjonen mellom aksesspunktet (i de fleste tilfeller en trådløs router) og enheten du prøver å koble mot nettverket, for eksempel nettbrettet ditt. En liten porsjon lynrask kommunikasjon foregår mellom routeren og enheten for å sette opp krypteringen mellom dem i unicast (unicast er et begrep som brukes i datanettverk for å betegne trafikk som går fra en enkelt maskin til en annen) GTK dukker så opp som en ny nøkkel som routeren sender til samtlige enheter på nettverket i et BSSID (Basic Service Set IDentifier). Denne nøkkelen blir oppdatert når en eller flere enheter kobler seg fra nettverket, eller er utenfor rekkevidde. Denne nøkkelen brukes for å kryptere det vi kaller broadcast eller multicast trafikk på nettverket, der en enhet kan kommunisere med flere. Dette har fram til nylig blitt regnet som den sikreste formen for å kryptere kommunikasjonen på et trådløst nettverk, men nå har man altså funnet ut at det ikke er like trygt som antatt. En IT-student har funnet et sikkerhetshull. Kort forklart går det ut på at man kan jukse det til slik at man kloner nettverket ditt og setter opp et falskt nettverk. For å kunne opprette et slikt falskt nettverk, må man være innen signalrekkevidde for det originale nettverket. Når du prøver å logge deg på hjemmenettverket ditt, sendes informasjon fra det falske nettverket til telefonen eller nettbrettet ditt og tvinger enheten over på det falske nettverket og skaper det vi kaller man in the middle posisjon Nå kan den som kontrollerer det falske nettverket for eksempel tvinge deg inn på usikre sider der man lett kan snappe opp brukernavn/ passord og så videre. Berører det deg som privatperson? Neppe, med mindre du er er kjendis, ligger langt over gjennomsnittet på lønnsstatistikken, eller har en jobb der du behandler mye konfidensiell informasjon. Å utnytte denne svakheten er tidkrevende, krever mye kunnskap, riktig utstyr og tilgang til wifi-signalet ditt. Har du derimot en bedrift i SMB-segmentet bør du nok innføre noen strakstiltak. Så hva gjør du? Det hjelper ikke å bytte passord på routeren, eller selve routeren for den saks skyld.. Problemet ligger altså ikke i routeren din, men først og fremst i enheten du prøver å koble til nettverket. Det er i kommunikasjonen mellom router og nettbrett, pc, eller mobil at problemet oppstår. Svakeheten har fått navnet KRACK (key reinstallation attack). Her følger noen råd.
 Sist jeg stemte gikk jeg ned på den lokale barneskolen som fungerte som valglokale. Jeg ble avkrevd ID, i dette tilfellet førerkort, navn og personnummer ble sjekket mot en liste og jeg fikk så gå for å stemme. Foreløpig ikke noe digital flate å hacke. Det har vært gjort forsøk med internettbasert stemmegivning, men det er ikke tilgjengelig i år.
Skal selve valget hackes, må du bryne deg på EVA. EVA står for Elektronisk ValgAdministrasjon og er et datasystem som brukes ved valget. I dette systemet registreres alt fra partier til hvilke kandidater som stiller, valgsteder og mye mer. I dette systemet telles også stemmene, enten via maskinell telling (skanning) eller via manuell telling. Det er et begrenset antall mennesker som har tilgang til dette systemet. Les mer her. Kan EVA hackes? Ja så klart, på lik linje med alle andre datasystemer. Er det vanskelig? Ja, det får vi virkelig håpe. I følge Valgdirektoratet er det liten grunn til bekymring rundt dette. Sikkerhetsbransjen stiller seg mer tvilsomme til om sikkerheten rundt stemmetelling er tilstrekkelig. Nettverk av datamaskiner som snakker sammen utgjør alltid en risiko. Når maskinene i tillegg snakker med hverandre over internett, blir risikoen så avgjort ikke mindre. Spørsmålet er hva man ønsker å oppnå. Å hacke EVA vil først og fremst skape en mistillit til valgdirektoratet og myndighetene. Det er lite trolig at man klarer å smyge inn et gitt antall stemmer under stemmetelling, så diskret at det faktisk får en uttelling. Hvis man ønsker å påvirke valgresultatet finnes det, som vi så på i del 2, et utbud av muligheter for å gjøre det. Hvis man først skal hacke noe, er det som regel et endemål forknippet med selve hackingen. Man kan ønske å stjele data for å få innblikk i noe som er hemmelig, man kan tenkes å manipulere data for å skade noen eller man kan ønske å holde informasjon som gissel. Det siste har vi sett stadig flere eksempler på gjennom utstrakt bruk av ransomware. Så klart kan det foreligge et utall grunner for hvorfor noen ønsker å hacke en privatperson, en bedrift eller en offentlig aktør. Saken er bare den at når vi kommer opp på statsnivå, kreves det som oftest litt mer enn gutterom-talent for å trenge seg gjennom ymse lag av sikkerhetsforordninger. Den digitale trusselen er reell, men den kommer neppe i form av hacking av EVA. I del 4 skal vi se litt på hvordan en reelt angrep kunne ha sett ut, dersom man virkelig ønsket å påvirke hvem som styrer det norske folk.  I min verden er ting enten rett eller galt. Det er få gråsoner mellom ettall og nuller. Du har lite slingringsmonn i en programkode. I min bransje derimot, er det mange gråsoner og tilsynelatende uendelig med slingringsmonn. Det er ofte et stort gapende hull mellom hva som loves og hva som leveres. Dette er mulig fordi kunder og brukere sjeldent har teknisk kunnskap til å vurdere kvaliteten på arbeidet som ligger bak en applikasjon.
Det endrer forsåvidt ikke det faktum at rammer og regler er ufravikelige i et gitt programmeringsspråk, eller at applikasjoner har et gitt sett med muligheter og begrensninger. Det dreier seg om forventningsavklaring og etterrettelighet. Det er valg i Norge. Du kan ikke ha åpnet en avis, logget deg på sosiale medier, eller beveget deg ute blant mennesker, uten å få med deg det. Partiene kjemper om velgernes gunst for å få en plass ved bordet der avgjørelser blir tatt og som vanlig snakkes det med store bokstaver og utestemme i det offentlige rom. Ideologibasert retorikk med klar polarisering, det er oss mot dem, det er vi mot de. Det har aldri vært lettere enn i dag å hente inn enorme mengder data og la maskiner uten ideologisk bias, eller partipolitisk agenda hente fram uomtvistelige sannheter basert på datasett. Det har tilsynelatende heller aldri vært vanskeligere å gjøre nettopp dette. Alternative fakta, kreative vinklinger og følelsesladet polemikk trives godt i et klima der virkelige fakta har karrige kår. For meg er det ganske enkelt. Enten har arbeidsledigheten gått opp, eller så har den gått ned. Den kan umulig ha gjort begge deler med mindre det hersker full forvirring om hva arbeidsledighet er og hvem som er arbeidsledig. Med mindre man er uenige om selve begrepet arbeidsledighet og hvem som kan defineres som arbeidsledige, eller ikke, må det altså finnes en fasit på om det har vært en oppgang, eller en nedgang i arbeidsledigheten. Samme er det med sykehuskøen. Enten får man behandling raskere og det er færre mennesker i kø, eller så stemmer ikke dette. Eller hva med fraværsgrensa? Enten så fungerer den og elever har mindre fravær, eller så fungerer den ikke og elever har like høyt, eller mer fravær. Det kan da umulig være så vanskelig å finne en fasit på dette? Problemet er at i et samfunn der vi opererer med flere fasiter, alternative fakta og kreative vinklinger, mister sannheten sin kraft. I stedet for å kunne ta opplyste og informerte valg, henvises vi til å fatte beslutninger basert på følelser. Når det virker som en umulig oppgave å få fakta på bordet, får synsing og føleri ta førersetet. Politikere, mediene og offentlige instanser sliter stadig oftere med å fremstå som troverdige, nettopp fordi følelser og fakta ofte har vanskelig for å gå hånd i hånd. Det agiteres, debatteres og kveruleres på gater og torg, i pauserom på arbeidsplassen, i skolekantina, i mediene og på sosiale medier. For hver gang det presenteres alternative fakta, eller debatteres uten forankring i den virkeligheten jeg ser hver dag, blir det vanskeligere å fatte et informert valg. For hver artikkel der fakta får vike for føleri, mister jeg litt mer tro på partienes gjennomføringsevne. For stadig oftere fremstår det som om de som uttaler seg har beina solid plantet i løse lufta og et økende problem med å huske hva de sa sist. Nå finnes det lyspunkt. Det finnes politikere som fremstår som om de er opptatt av å finne sannheten, komme til bunns i saker og belyse et problem fra flere hold. Jeg har så avgjort ikke mistet troen på demokratiet til den grad at jeg kommer til å holde meg borte fra stemmeurnene i år heller og i morgen, i morgen kommer del 3 av “Å hacke et valg” og det kan jeg love at er fakta.  I del I av “ Å hacke et valg” hevder jeg at “ Å hacke et valg må bety at noen bevisst velger å angripe et datasystem, ment for å registrere, eller telle stemmer.” Alt annet enn dette er altså ikke hacking av valget, men snarere forsøk på å manipulere, eller påvirke velgerne. I utgangspunktet handler all valgkamp om å påvirke velgere. Partiene ønsker å påvirke velgerne til å stemme på dem, eller i det minste påvirke dem fra å stemme på en mektig motstander. Hva i denne påvirkningsprosessen anses for å være innenfor og utenfor? Når går påvirkning over i manipulering? Dreier det seg om etikk og moral, eller er det lommebok og innflytelse som avgjør? Grensene blir ikke mindre uklare av at valgkampen flyttes til cyberspace. Vi skal se på noen fenomener derfra. Begrepet “Like farm” beskriver en tjeneste der du kan bestille “likes” på din egen side, eller på poster. Hva er poenget med det? I bunn og grunn dreier det seg om to ting. Det ene er at mennesker er flokkdyr og ofte liker det andre har likt før. Et annet aspekt er at sider eller poster som oppnår “likes” raskt, har en tendens til å gå virale. Dette er en rimelig form for å fremstå som mer populær, bedre likt og mer relevant enn konkurrenter. Det er ikke ulovlig å benytte seg av denne typen tjenester og få muligheter til å validere ektheten av et “like”. Bedrifter, lag og organisasjoner benytter seg av dette, og det er ingen grunn til å betvile at også politiske partier kan la seg friste. En “Like farm” består ofte av mye teknologi og få mennesker. Man bruker automatiserte script, eller bot’er for å levere “likes” Man kan også bestille anmeldelser av en virksomhet med det for øyet å dra ned tilfredshetsmålinger på feks Facebook. Har konkurrenten din tatt for stor andel av markedet, kan du altså kjøpe en tjeneste der bot’er går inn og drar ned antall stjerner markant. Har du litt ekstra penger å bruke kan du også kjøpe deg ganske troverdige historier fra “virkeligheten” for å gi nedgangen i omdømme mer troverdighet. Dette kan være ulovlig, men er vanskelig å bevise og krever mye resurser for å etterforskes.  Sockpuppets i digital sammenheng, dreier seg om at en person har flere fiktive personligheter til bruk online. En og samme person kan bygge opp flere titalls troverdige karakterer som kan brukes aktivt i debatter, til deling, til kommentarer og mye mer. Sockpuppets har eksistert omtrent like lenge som internett, men er i dag satt i system på et helt annet nivå. En liten armé av sockpuppets kan fint blande seg inn i en debatt på en troverdig måte, eller spre falske nyheter, uten at dette kan spores tilbake til oppdragsgiver. Det er åpenbart hvorfor det kan være et strategisk verktøy hvis du ønsker å påvirke velgere. Lovligheten her er igjen mer et spørsmål om det som formidles er straffbart, eller ikke. Det er i og for seg ikke ulovlig å late som man er noen annen enn den man er, eller for den saks skyld ha flere meninger.
Det er relativt enkelt å sette sammen digitale svertekampanjer mot partier, eller enkeltpolitikere. Særlig med tanke på at dette gjøres og har blitt gjort og fortsatt gjøres blant annet gjennom tradisjonelle medier. Det er ofte man kan se at journalister og redaktører har en klar politisk agenda i hvordan politikere fremstilles og omtales. Forskjellen mellom tradisjonelle medier og digitale flater, er at sporbarhet er enklere og at det finnes noen som er ansvarlig for påstandene som fremsettes. Det er allikevel alt for ofte at fake news dukker opp som et resultat av dårlig kildekritikk og faktasjekking også hos de tradisjonelle mediene. Når mediene i tillegg deler dette i digitale flater, kan skaden være like stor for den som sitter i feil ende av omtalen. I del 3 skal vi se på det hacking av valg der hacking faktisk inngår i prosessen.  Det er valgår og mediene pumper på i kjent stil med valgrelatert stoff. Dette lovte de, dette har de holdt, dette har de ikke holdt. Nedganger og oppganger måles, synsing, meninger og blandes avsløringer og oppklaringer. Det er i og for seg ikke noe nytt i det, men 2017 har brakt med seg et nytt parameter, valg-hacking. Hva betyr det å hacke et valg? Begrepet brukes skjødesløst og som oftest uten grunn. Å hacke et valg må bety at noen bevisst velger å angripe et datasystem, ment for å registrere, eller telle stemmer. Hacking av e-poster, bruk av gode strategier i sosiale medier, eller massive kjøp og bruk av apper, eller digital reklame har altså ingenting med valg-hacking å gjøre. Dersom noen hacker et partis, eller en kandidats epost, med det formål å skade partiet eller kandidaten, er dette så klart ulovlig. Kan det påvirke valget? Ja til en viss grad, dersom partiet, eller kandidaten har gjort noe dumt. Er det valg-hacking? Nei, det er hacking rettet mot et parti eller en kandidat. Så hva med sosiale medier? Det skrives side opp og ned om mørke poster, poster der man benytter seg av målrettet reklame for å treffe velgere. Er dette valg-hacking? Nei, det er smart bruk av tilgjengelig teknologi og kunnskap for å nå ut til velgerne. Kan det påvirke valget? Ja så klart, akkurat som ved bruk av andre medier tidligere. Hva med apper da, eller skreddersøm av digital reklame? Nei, det er heller ikke hacking, i noen form eller farge. Det dreier seg om at man anerkjenner påvirkningskraften som denne typen kanaler gir.  Bildet er en skjermdump fra https://www.medier24.no/ Forskjellene mellom digital kommunikasjon og bruk av tradisjonelle kanaler er mange. Det er rimeligere, man kan måle effekt umiddelbart, det er enklere å finne gode målgrupper for budskap og ja, man kan velge å skjule deler av kommunikasjonen for andre enn de man kommuniserer med .
Partiet rødt mener dette er svært farlig og pressesekretær Aastebøl sier: “– Facebook er en skitten slagmark når det gjelder åpenhet. Man kan skjule hvem man retter annonser mot. Og reklame kan få virke en uke før motstanderen får med seg kritikken” Du kan lese hele artikkelen her. Det konkluderes med at alle partier bør fremlegge annonseregistrere med oversikt over alt som postes i sosiale medier, både offentlige poste og såkalt mørke poster. Skal man da også fremlegge lydlogger fra telefonsamtaler og besøk ved dørbank? Skal eposter som går til medlemmer, styringsgrupper eller mennesker med verv legges frem også? Skal all politisk kommunikasjon innad i partiet og mellom parti og potensielle velgere offentliggjøres? Hvor setter vi grensene for kontroll og ikke minst, hvem skal kontrollere? I del 2 av “Å hacke et valg” skal vi se nærmere på fenomener som digitale svertekampanjer, sock puppets og like farms. Godt Valg!  Fredag 12.5.2017 begynner det å dukke opp meldinger fra store deler av verden om et massivt angrep med ransomware i sentrum. Nå, et døgn senere, har angrepet spredt seg til rundt 100 land. Virksomheter som er rammet, spenner fra leverandører av datatjenester til fabrikker og sykehus.
Det spekuleres vilt, som det så ofte gjør på nettet. Hvem står bak? Hva er motivet? Som vanlig, er det mange som hevder å ha fasit på begge spørsmål. “Russisk hackerkollektiv, bruker software utviklet av amerikansk spionorganisasjon for å hevne USAs bombing i Syria” Uansett om det er sant eller ikke, er det en sexy overskrift på noe vi foreløpig vet ganske lite om. Jeg er mer opptatt av hvordan det er mulig og hva konsekvensen er, enn hvem som står bak og hvorfor. Mediene snakker om et angrep og på mange måter er det jo et angrep, men ikke av typen der man sparker inn dører og tar seg til rette. Dette er ikke innbrudd i datasystemer, der hackere sitter på utsiden og tar kontroll over servere, men en massiv utsendelse av e-poster med vedlegg som inneholder ransomware. Det dreier seg altså om et løsepengevirus, en særdeles slem og lei type programvare som har eksistert en stund. Det er som regel to måter å pådra seg denne typen virus. Nummer en og den mest utbredte er at du i god tro åpner et vedlegg som du har fått i en epost. Nummer to er at du besøker en side som er infisert og sleper viruset med deg tilbake til maskinen din. I dette tilfelle ser det ut som nummer en er distribusjonsmetoden. Vi snakker altså om et angrep som helt og holdent er avhengig av det finnes e-postmottakere som åpner vedlegg, eller klikker på linker. Det som så skjer er at programvaren aktiveres og at det lages nye krypterte versjoner av filene dine De filene du hadde der fra før slettes og nå dukker altså kravet om løsepenger opp. I dette tilfellet er det 300-600 US$ som skal betales for at du får filene dine tilbake. Selv om du betaler er det langt fra sikkert at du får filene tilbake i en brukbar stand. Har det først sluppet inn i nettverket ditt, vil løsepengeviruset kunne gjøre det samme med alle filer du har tilgang på. Det finnes gode tekniske løsninger som kan gjøre det veldig vanskelig for løsepengevirus å snike under radaren. Det finnes også gode tekniske løsninger som kan minimere skadene og stoppe spredning. Det er allikevel et fokus på sikkerhet og sikkerhetskultur hos sluttbrukerne som er det viktigste våpenet i kampen mot løsepengevirus og andre sikkerhetstrusler. Like viktig som å installere tekniske duppeditter og smarte programvareløsninger, er det altså å gi sluttbrukerne gode rutiner og god kunnskap om farer og trusler. Ikke minst må det være fokus på totale løsninger som fungerer i en hektisk og stressende hverdag. Man kan mene hva man vil om hvilke politiske motiv som driver dette angrepet. For meg ser dette ut som en gigantisk vinningsforbrytelse med mulige politiske undertoner. Selv om løsepengekravet er på magre 300-600 US$ pr. maskin, er det snakk om hundretusenvis av mulig infiserte datamaskiner i mer enn hundre land. Betaler 10% av disse, er det en ganske heftig lønningsdag for bakmennene. Så hva oppnår man med dette bortsett fra kontanter i kassa? Et angrep på denne størrelsen sprer såklart både frykt og ubehag. Selv om vi i datasikkerhetsbransjen har snakket om denne typen angrep i lengre tid, blir det for de fleste virkelig og nært, først nå. Et slikt angrep kan også bidra til å svekke den alminnelige borgers tillit til myndigheter og offentlige etater. Når sykehus må avvise pasienter og utsette operasjoner, har myndighetene feilet totalt med å ivareta pasientenes sikkerhet. Så er det så klart en økt kostnad for samfunnet. Det å rydde opp i dette kaoset blir så absolutt ikke en rimelig affære. Det er på tide at vi stiller krav til myndighetene og offentlige etater. Det finnes mange flinke og kompetente folk som jobber i IT-avdelinger i det ganske land, som blir ignorert når de melder fra om potensielle farer. Det finnes sluttbrukere av datasystemer, som for eksempel i helsevesenet, lever i en så hardt pressa hverdag, at datasikkerhet er det siste de tenker på. Det er på tide at politikere, direktører, sjefer, ledere og mellomledere faktisk hører på den kompetansen de har tilgjengelig, uansett om det er en IT-ansatt, NSM, NSR eller fagfolk generelt. Hvis ikke, kommer den tillit vi viser dem til å smuldre hen i takt med angrep på vår sikkerhet. Les mer om saken hos NRK |
AuthorLars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA Archives
December 2018
Categories
All
|
RSS Feed