 For noen dager siden kunne mediene fortelle om 2 unge damer som ble brutalt drept i Marokko. Begge elver ved USN, begge etterlater seg familie og venner i sjokk og sorg. Marokkanske myndigheter er raskt ute med å kalle drapene en terrorhandling.
Mediene belyser som vanlig så mange vinklinger av saken de bare orker, mens de balanserer på en hårfin knivsegg mellom journalistikk med faktisk nyhetsverdi og det morbide. Det tegnes et bilde av et grusomt åsted, fra sikre kilder som har befunnet seg i nærheten. Mediene har heldigvis fortsatt redaktører som innehar et visst ansvar for det som publiseres og de fleste journalister har i det minste et snev av dømmekraft. Slik er det ikke nødvendigvis på nett. På internasjonale forum og i en rekke nettsamfunn verserer det nå et knippe videoer som hevder å være knyttet til drapene. Videoene er av forskjellig lengde og har en rekke hashtags knyttet til seg, så de skal være lette å finne for dem som ønsker å se at noen blir halsgugget. I noen av disse nettsamfunnene har videoene tusenvis av visninger og i kommentarfeltet kan anonyme brukere boltre seg i fri utfoldelse. Kommentarene spenner fra latterliggjøring av drapsofrene som har valgt Marokko som feriemål, til diskusjon om videoenes autentisitet, til forslag til hvordan halshuggingen kunne vært utført bedre. Muligheten for å dele denne typen grusomheter bak en mur av anonymitet virker til å være både populært og spennende for forumdeltakerne. Dette er ikke nettsamfunn på det mørke nettet, men sider på det samme nettet du og jeg bruker til daglig. I flere normale sosiale medier, legges det ut spor til fildelingstjenester og instrukser om hvordan du kan finne og se videoen. Grusomme drap har blitt morbid og underholdning i videoformat. Dette er forum og nettsamfunn som ikke har noen aldersgrenser, ingen verifisering av brukernes identitet eller noe filter for hva som er passer for barn å se på. Noen av forumene krever innlogging, men det tar mindre enn 1 minutt å lage seg en konto og få tilgang til materiellet. Andre nettsamfunn er åpne, men vanskeligere å finne. Vi vet at mange av disse stedene har norske brukere. Mange av dem ungdom, men også barn helt ned i 9-10 års alderen. Hvis erfarne etterforskere får problemer etter å ha sett åstedet, hva skjer da med barn og unge som ser grusomhetene på nett. Som får en forståelse av at drap er en form for underholdning, som kan diskuteres, bedømmes og gis terningkast? Det var det samme ved terrorhandlingen i Stockholm, grusomme bilder og filmklipp ble delt. Den mye omtalte voldtektssaken i Hemsedal, førte til tusenvis av etterlysinger av bilder og filmklipp. Ran og blind vold filmes og legges ut. De florerer av videoer og bilder fra ulike former for overgrep og i kommentarfeltene fratas ofrene sin menneskelighet og blir til objekter. Internasjonale forum og nettsamfunn kommer ikke til å ta ansvar for å få bukt med dette. Sosiale medier kommer ikke til å ta opp kampen for å vanskeliggjøre deling av linker til slike sider. Internettleverandørene virker svært lite opptatt av annet enn å fakturere sine tjenester og politiet har ikke en sjanse til å bedrive være seg preventive eller reaktive tiltak. Ansvaret ligger hos oss som voksne, vi er de eneste som har mulighet til å gi barn og unge sunne nettvaner. Drap, tortur, voldtekt, ran eller andre former for overgrep er ikke underholdning. Det er ikke ok å dele, kommentere, eller oppfordre andre til å delta. Denne jula håper jeg at du som voksen, innimellom pepperkaker, gløgg og ribbe, tar deg tid til å sette deg ned med husets barn og ungdom og ta en skikkelig prat om hva som skjer på nett. Anstendighet, medfølelse og god gammeldags folkeskikk, trenger nemlig ikke å forgå, selv om vi lever i en digital verden.
0 Comments
 Det er onsdag kveld 7. februar og rundt 300 mennesker har funnet plass på Riksscenen. Aftenposten arrangere og temaet er “Hva skjer når unge deler nakenbilder i sosiale medier”. Blogger Martine Halvorsen forteller ærlig om hvordan hun hadde det etter at et bilde av henne ble spredd. Martine hadde trent og en jubelidiot syns det var greit å snikfotografere henne i garderoben for å så spre det på nett. Hun forteller om det hun oppfatter som liten interesse hos politiet og manglende kunnskap. Dagen etter Martine har fortalt sin historie, henlegges saken. Aftenpostens journalister forteller også. Om jenter som har fått livet ødelagt. Om gutter og menn som har blitt dømt for å spre bilder.
Vi er flere som forteller og forklarer denne kvelden. Mia Landsem, kjent fra Nora Mørk-saken, forteller om hvordan hun og andre, kjemper for å få bukt med denne typen nettovergrep. Hun forteller om infiltrering og jakt på de som spres.. Helsesista forklarer hvordan hun snakker med barn og unge og får dem til å tenke. Tenke på hvorfor man gjør saker og hva man får ut av å gjøre noe. Som etisk hacker, er det min oppgave å fortelle hvordan en ukultur har kunnet vokse fram i digitale flater og hva konsekvensen av denne ukulturen er. Er det virkelig mulig å slette noe som er delt på nett? Nei det er det ikke. Dette er ikke et mindre problem, guttestreker, digital småmobbing eller fanteri. Dette er et stort samfunnsmessig problem som berører titusenvis av jenter i Norge. Konsekvenser av å bli utsatt for dette kan være psykiske problemer, depresjon, drop out fra skole og arbeidsliv, langvarige sykemeldinger og selvmord. Jeg har selv snakket med jenter som har flyttet ut av landet, andre som har byttet navn, jobb eller studiested. Mange som sliter psykisk og flere har prøvd å ta sitt eget liv. Jeg vet om tilfeller der de har lykkes. De jentene jeg har snakket med som har valgt å anmelde saker, er ikke særlig imponert over hvordan de blir møtt på politikammeret. Mange sitter igjen med en følelse av at det er nytteløst å anmelde. De har verken kunnskap til, eller ressurser nok til å etterforske sakene. Det er veldig beklagelig at det er følelsen de sitter igjen med. Så klart finnes det kompetanse hos politiet. Det er mange dyktige folk som ønsker å gjøre en forskjell. Spørsmålet er om det hjelper å ha 10 dritgode brannmenn og 4 bøtter vann hvis det brenner på 1 400 steder samtidig. Jeg skulle ønske at alle i politiet som kan komme til å ta imot en slik anmeldelse hadde gjennomgått et kurs for å øke sin kompetanse om nettovergrep og bildedeling. At de hadde en mal for å intervjue den som anmelder, slik at man raskt får tak i relevant informasjon. At det ikke skal spille noen rolle hvor du anmelder forholdet, men at du blir møtt med forståelse, kunnskap, profesjonalitet, respekt og omsorg uansett om du er i Oslo eller Kautokeino. Hvis vi skal få bukt med denne ukulturen må nemlig de som faktisk tør å anmelde slike saker, føle at de blir tatt seriøst. Jeg kommer til å skrive mer om dette fremover. Vise hvordan ny teknologi som er fantastisk, misbrukes for å ydmyke og fornedre andre. Forklare hvorfor dette ikke bare er guttestreker, men godt organisert overgrep, der gjerningsmenn har liten sjanse for å bli tatt. Ta opp litt rundt hvorfor dette er god business og ikke minst etterlyse hvorfor det offentlige tilsynelatende sitter på gjerdet og dingler med byråkratbeina sine. Følg med.  Det har vært mye i mediene nå om sikkerhetshull i trådløse nettverk. Det er helt klart alvorlig og på ingen måte noe som “går over av seg selv” Det er kanskje likevel et behov for å forklare hva dette egentlig dreier seg om.
WPA og WPA2 er kort fortalt krypteringsmetoder for å sikre kommunikasjonen på et trådløst nettverk. WPA2 er den mest avanserte formen som benytter seg av en nyere standard enn sin forgjenger. Hvis ikke du er langt over gjennomsnittet teknisk interessert har du neppe hørt om 4 way handshake, ANonce, SNonce, PMK, PTK, eller GMK. Men la meg prøve å forklare hva dette dreier seg om. 4 way handshake brukes av sikkerhetsprotokollene vi tidligere har nevnt som WPA og WPA2 for å generere en dynamiske og unike krypteringsnøkler for hver enhet som er koblet mot et trådløst nettverk. Det er to slike nøkler som blir generert PTK (Pairwise Transient Key) og GTK (Group Temporal key) PTK blir avledet fra kommunikasjonen mellom aksesspunktet (i de fleste tilfeller en trådløs router) og enheten du prøver å koble mot nettverket, for eksempel nettbrettet ditt. En liten porsjon lynrask kommunikasjon foregår mellom routeren og enheten for å sette opp krypteringen mellom dem i unicast (unicast er et begrep som brukes i datanettverk for å betegne trafikk som går fra en enkelt maskin til en annen) GTK dukker så opp som en ny nøkkel som routeren sender til samtlige enheter på nettverket i et BSSID (Basic Service Set IDentifier). Denne nøkkelen blir oppdatert når en eller flere enheter kobler seg fra nettverket, eller er utenfor rekkevidde. Denne nøkkelen brukes for å kryptere det vi kaller broadcast eller multicast trafikk på nettverket, der en enhet kan kommunisere med flere. Dette har fram til nylig blitt regnet som den sikreste formen for å kryptere kommunikasjonen på et trådløst nettverk, men nå har man altså funnet ut at det ikke er like trygt som antatt. En IT-student har funnet et sikkerhetshull. Kort forklart går det ut på at man kan jukse det til slik at man kloner nettverket ditt og setter opp et falskt nettverk. For å kunne opprette et slikt falskt nettverk, må man være innen signalrekkevidde for det originale nettverket. Når du prøver å logge deg på hjemmenettverket ditt, sendes informasjon fra det falske nettverket til telefonen eller nettbrettet ditt og tvinger enheten over på det falske nettverket og skaper det vi kaller man in the middle posisjon Nå kan den som kontrollerer det falske nettverket for eksempel tvinge deg inn på usikre sider der man lett kan snappe opp brukernavn/ passord og så videre. Berører det deg som privatperson? Neppe, med mindre du er er kjendis, ligger langt over gjennomsnittet på lønnsstatistikken, eller har en jobb der du behandler mye konfidensiell informasjon. Å utnytte denne svakheten er tidkrevende, krever mye kunnskap, riktig utstyr og tilgang til wifi-signalet ditt. Har du derimot en bedrift i SMB-segmentet bør du nok innføre noen strakstiltak. Så hva gjør du? Det hjelper ikke å bytte passord på routeren, eller selve routeren for den saks skyld.. Problemet ligger altså ikke i routeren din, men først og fremst i enheten du prøver å koble til nettverket. Det er i kommunikasjonen mellom router og nettbrett, pc, eller mobil at problemet oppstår. Svakeheten har fått navnet KRACK (key reinstallation attack). Her følger noen råd.
 Sist jeg stemte gikk jeg ned på den lokale barneskolen som fungerte som valglokale. Jeg ble avkrevd ID, i dette tilfellet førerkort, navn og personnummer ble sjekket mot en liste og jeg fikk så gå for å stemme. Foreløpig ikke noe digital flate å hacke. Det har vært gjort forsøk med internettbasert stemmegivning, men det er ikke tilgjengelig i år.
Skal selve valget hackes, må du bryne deg på EVA. EVA står for Elektronisk ValgAdministrasjon og er et datasystem som brukes ved valget. I dette systemet registreres alt fra partier til hvilke kandidater som stiller, valgsteder og mye mer. I dette systemet telles også stemmene, enten via maskinell telling (skanning) eller via manuell telling. Det er et begrenset antall mennesker som har tilgang til dette systemet. Les mer her. Kan EVA hackes? Ja så klart, på lik linje med alle andre datasystemer. Er det vanskelig? Ja, det får vi virkelig håpe. I følge Valgdirektoratet er det liten grunn til bekymring rundt dette. Sikkerhetsbransjen stiller seg mer tvilsomme til om sikkerheten rundt stemmetelling er tilstrekkelig. Nettverk av datamaskiner som snakker sammen utgjør alltid en risiko. Når maskinene i tillegg snakker med hverandre over internett, blir risikoen så avgjort ikke mindre. Spørsmålet er hva man ønsker å oppnå. Å hacke EVA vil først og fremst skape en mistillit til valgdirektoratet og myndighetene. Det er lite trolig at man klarer å smyge inn et gitt antall stemmer under stemmetelling, så diskret at det faktisk får en uttelling. Hvis man ønsker å påvirke valgresultatet finnes det, som vi så på i del 2, et utbud av muligheter for å gjøre det. Hvis man først skal hacke noe, er det som regel et endemål forknippet med selve hackingen. Man kan ønske å stjele data for å få innblikk i noe som er hemmelig, man kan tenkes å manipulere data for å skade noen eller man kan ønske å holde informasjon som gissel. Det siste har vi sett stadig flere eksempler på gjennom utstrakt bruk av ransomware. Så klart kan det foreligge et utall grunner for hvorfor noen ønsker å hacke en privatperson, en bedrift eller en offentlig aktør. Saken er bare den at når vi kommer opp på statsnivå, kreves det som oftest litt mer enn gutterom-talent for å trenge seg gjennom ymse lag av sikkerhetsforordninger. Den digitale trusselen er reell, men den kommer neppe i form av hacking av EVA. I del 4 skal vi se litt på hvordan en reelt angrep kunne ha sett ut, dersom man virkelig ønsket å påvirke hvem som styrer det norske folk.  I min verden er ting enten rett eller galt. Det er få gråsoner mellom ettall og nuller. Du har lite slingringsmonn i en programkode. I min bransje derimot, er det mange gråsoner og tilsynelatende uendelig med slingringsmonn. Det er ofte et stort gapende hull mellom hva som loves og hva som leveres. Dette er mulig fordi kunder og brukere sjeldent har teknisk kunnskap til å vurdere kvaliteten på arbeidet som ligger bak en applikasjon.
Det endrer forsåvidt ikke det faktum at rammer og regler er ufravikelige i et gitt programmeringsspråk, eller at applikasjoner har et gitt sett med muligheter og begrensninger. Det dreier seg om forventningsavklaring og etterrettelighet. Det er valg i Norge. Du kan ikke ha åpnet en avis, logget deg på sosiale medier, eller beveget deg ute blant mennesker, uten å få med deg det. Partiene kjemper om velgernes gunst for å få en plass ved bordet der avgjørelser blir tatt og som vanlig snakkes det med store bokstaver og utestemme i det offentlige rom. Ideologibasert retorikk med klar polarisering, det er oss mot dem, det er vi mot de. Det har aldri vært lettere enn i dag å hente inn enorme mengder data og la maskiner uten ideologisk bias, eller partipolitisk agenda hente fram uomtvistelige sannheter basert på datasett. Det har tilsynelatende heller aldri vært vanskeligere å gjøre nettopp dette. Alternative fakta, kreative vinklinger og følelsesladet polemikk trives godt i et klima der virkelige fakta har karrige kår. For meg er det ganske enkelt. Enten har arbeidsledigheten gått opp, eller så har den gått ned. Den kan umulig ha gjort begge deler med mindre det hersker full forvirring om hva arbeidsledighet er og hvem som er arbeidsledig. Med mindre man er uenige om selve begrepet arbeidsledighet og hvem som kan defineres som arbeidsledige, eller ikke, må det altså finnes en fasit på om det har vært en oppgang, eller en nedgang i arbeidsledigheten. Samme er det med sykehuskøen. Enten får man behandling raskere og det er færre mennesker i kø, eller så stemmer ikke dette. Eller hva med fraværsgrensa? Enten så fungerer den og elever har mindre fravær, eller så fungerer den ikke og elever har like høyt, eller mer fravær. Det kan da umulig være så vanskelig å finne en fasit på dette? Problemet er at i et samfunn der vi opererer med flere fasiter, alternative fakta og kreative vinklinger, mister sannheten sin kraft. I stedet for å kunne ta opplyste og informerte valg, henvises vi til å fatte beslutninger basert på følelser. Når det virker som en umulig oppgave å få fakta på bordet, får synsing og føleri ta førersetet. Politikere, mediene og offentlige instanser sliter stadig oftere med å fremstå som troverdige, nettopp fordi følelser og fakta ofte har vanskelig for å gå hånd i hånd. Det agiteres, debatteres og kveruleres på gater og torg, i pauserom på arbeidsplassen, i skolekantina, i mediene og på sosiale medier. For hver gang det presenteres alternative fakta, eller debatteres uten forankring i den virkeligheten jeg ser hver dag, blir det vanskeligere å fatte et informert valg. For hver artikkel der fakta får vike for føleri, mister jeg litt mer tro på partienes gjennomføringsevne. For stadig oftere fremstår det som om de som uttaler seg har beina solid plantet i løse lufta og et økende problem med å huske hva de sa sist. Nå finnes det lyspunkt. Det finnes politikere som fremstår som om de er opptatt av å finne sannheten, komme til bunns i saker og belyse et problem fra flere hold. Jeg har så avgjort ikke mistet troen på demokratiet til den grad at jeg kommer til å holde meg borte fra stemmeurnene i år heller og i morgen, i morgen kommer del 3 av “Å hacke et valg” og det kan jeg love at er fakta.  I del I av “ Å hacke et valg” hevder jeg at “ Å hacke et valg må bety at noen bevisst velger å angripe et datasystem, ment for å registrere, eller telle stemmer.” Alt annet enn dette er altså ikke hacking av valget, men snarere forsøk på å manipulere, eller påvirke velgerne. I utgangspunktet handler all valgkamp om å påvirke velgere. Partiene ønsker å påvirke velgerne til å stemme på dem, eller i det minste påvirke dem fra å stemme på en mektig motstander. Hva i denne påvirkningsprosessen anses for å være innenfor og utenfor? Når går påvirkning over i manipulering? Dreier det seg om etikk og moral, eller er det lommebok og innflytelse som avgjør? Grensene blir ikke mindre uklare av at valgkampen flyttes til cyberspace. Vi skal se på noen fenomener derfra. Begrepet “Like farm” beskriver en tjeneste der du kan bestille “likes” på din egen side, eller på poster. Hva er poenget med det? I bunn og grunn dreier det seg om to ting. Det ene er at mennesker er flokkdyr og ofte liker det andre har likt før. Et annet aspekt er at sider eller poster som oppnår “likes” raskt, har en tendens til å gå virale. Dette er en rimelig form for å fremstå som mer populær, bedre likt og mer relevant enn konkurrenter. Det er ikke ulovlig å benytte seg av denne typen tjenester og få muligheter til å validere ektheten av et “like”. Bedrifter, lag og organisasjoner benytter seg av dette, og det er ingen grunn til å betvile at også politiske partier kan la seg friste. En “Like farm” består ofte av mye teknologi og få mennesker. Man bruker automatiserte script, eller bot’er for å levere “likes” Man kan også bestille anmeldelser av en virksomhet med det for øyet å dra ned tilfredshetsmålinger på feks Facebook. Har konkurrenten din tatt for stor andel av markedet, kan du altså kjøpe en tjeneste der bot’er går inn og drar ned antall stjerner markant. Har du litt ekstra penger å bruke kan du også kjøpe deg ganske troverdige historier fra “virkeligheten” for å gi nedgangen i omdømme mer troverdighet. Dette kan være ulovlig, men er vanskelig å bevise og krever mye resurser for å etterforskes.  Sockpuppets i digital sammenheng, dreier seg om at en person har flere fiktive personligheter til bruk online. En og samme person kan bygge opp flere titalls troverdige karakterer som kan brukes aktivt i debatter, til deling, til kommentarer og mye mer. Sockpuppets har eksistert omtrent like lenge som internett, men er i dag satt i system på et helt annet nivå. En liten armé av sockpuppets kan fint blande seg inn i en debatt på en troverdig måte, eller spre falske nyheter, uten at dette kan spores tilbake til oppdragsgiver. Det er åpenbart hvorfor det kan være et strategisk verktøy hvis du ønsker å påvirke velgere. Lovligheten her er igjen mer et spørsmål om det som formidles er straffbart, eller ikke. Det er i og for seg ikke ulovlig å late som man er noen annen enn den man er, eller for den saks skyld ha flere meninger.
Det er relativt enkelt å sette sammen digitale svertekampanjer mot partier, eller enkeltpolitikere. Særlig med tanke på at dette gjøres og har blitt gjort og fortsatt gjøres blant annet gjennom tradisjonelle medier. Det er ofte man kan se at journalister og redaktører har en klar politisk agenda i hvordan politikere fremstilles og omtales. Forskjellen mellom tradisjonelle medier og digitale flater, er at sporbarhet er enklere og at det finnes noen som er ansvarlig for påstandene som fremsettes. Det er allikevel alt for ofte at fake news dukker opp som et resultat av dårlig kildekritikk og faktasjekking også hos de tradisjonelle mediene. Når mediene i tillegg deler dette i digitale flater, kan skaden være like stor for den som sitter i feil ende av omtalen. I del 3 skal vi se på det hacking av valg der hacking faktisk inngår i prosessen.  Det er valgår og mediene pumper på i kjent stil med valgrelatert stoff. Dette lovte de, dette har de holdt, dette har de ikke holdt. Nedganger og oppganger måles, synsing, meninger og blandes avsløringer og oppklaringer. Det er i og for seg ikke noe nytt i det, men 2017 har brakt med seg et nytt parameter, valg-hacking. Hva betyr det å hacke et valg? Begrepet brukes skjødesløst og som oftest uten grunn. Å hacke et valg må bety at noen bevisst velger å angripe et datasystem, ment for å registrere, eller telle stemmer. Hacking av e-poster, bruk av gode strategier i sosiale medier, eller massive kjøp og bruk av apper, eller digital reklame har altså ingenting med valg-hacking å gjøre. Dersom noen hacker et partis, eller en kandidats epost, med det formål å skade partiet eller kandidaten, er dette så klart ulovlig. Kan det påvirke valget? Ja til en viss grad, dersom partiet, eller kandidaten har gjort noe dumt. Er det valg-hacking? Nei, det er hacking rettet mot et parti eller en kandidat. Så hva med sosiale medier? Det skrives side opp og ned om mørke poster, poster der man benytter seg av målrettet reklame for å treffe velgere. Er dette valg-hacking? Nei, det er smart bruk av tilgjengelig teknologi og kunnskap for å nå ut til velgerne. Kan det påvirke valget? Ja så klart, akkurat som ved bruk av andre medier tidligere. Hva med apper da, eller skreddersøm av digital reklame? Nei, det er heller ikke hacking, i noen form eller farge. Det dreier seg om at man anerkjenner påvirkningskraften som denne typen kanaler gir.  Bildet er en skjermdump fra https://www.medier24.no/ Forskjellene mellom digital kommunikasjon og bruk av tradisjonelle kanaler er mange. Det er rimeligere, man kan måle effekt umiddelbart, det er enklere å finne gode målgrupper for budskap og ja, man kan velge å skjule deler av kommunikasjonen for andre enn de man kommuniserer med .
Partiet rødt mener dette er svært farlig og pressesekretær Aastebøl sier: “– Facebook er en skitten slagmark når det gjelder åpenhet. Man kan skjule hvem man retter annonser mot. Og reklame kan få virke en uke før motstanderen får med seg kritikken” Du kan lese hele artikkelen her. Det konkluderes med at alle partier bør fremlegge annonseregistrere med oversikt over alt som postes i sosiale medier, både offentlige poste og såkalt mørke poster. Skal man da også fremlegge lydlogger fra telefonsamtaler og besøk ved dørbank? Skal eposter som går til medlemmer, styringsgrupper eller mennesker med verv legges frem også? Skal all politisk kommunikasjon innad i partiet og mellom parti og potensielle velgere offentliggjøres? Hvor setter vi grensene for kontroll og ikke minst, hvem skal kontrollere? I del 2 av “Å hacke et valg” skal vi se nærmere på fenomener som digitale svertekampanjer, sock puppets og like farms. Godt Valg!  Fredag 12.5.2017 begynner det å dukke opp meldinger fra store deler av verden om et massivt angrep med ransomware i sentrum. Nå, et døgn senere, har angrepet spredt seg til rundt 100 land. Virksomheter som er rammet, spenner fra leverandører av datatjenester til fabrikker og sykehus.
Det spekuleres vilt, som det så ofte gjør på nettet. Hvem står bak? Hva er motivet? Som vanlig, er det mange som hevder å ha fasit på begge spørsmål. “Russisk hackerkollektiv, bruker software utviklet av amerikansk spionorganisasjon for å hevne USAs bombing i Syria” Uansett om det er sant eller ikke, er det en sexy overskrift på noe vi foreløpig vet ganske lite om. Jeg er mer opptatt av hvordan det er mulig og hva konsekvensen er, enn hvem som står bak og hvorfor. Mediene snakker om et angrep og på mange måter er det jo et angrep, men ikke av typen der man sparker inn dører og tar seg til rette. Dette er ikke innbrudd i datasystemer, der hackere sitter på utsiden og tar kontroll over servere, men en massiv utsendelse av e-poster med vedlegg som inneholder ransomware. Det dreier seg altså om et løsepengevirus, en særdeles slem og lei type programvare som har eksistert en stund. Det er som regel to måter å pådra seg denne typen virus. Nummer en og den mest utbredte er at du i god tro åpner et vedlegg som du har fått i en epost. Nummer to er at du besøker en side som er infisert og sleper viruset med deg tilbake til maskinen din. I dette tilfelle ser det ut som nummer en er distribusjonsmetoden. Vi snakker altså om et angrep som helt og holdent er avhengig av det finnes e-postmottakere som åpner vedlegg, eller klikker på linker. Det som så skjer er at programvaren aktiveres og at det lages nye krypterte versjoner av filene dine De filene du hadde der fra før slettes og nå dukker altså kravet om løsepenger opp. I dette tilfellet er det 300-600 US$ som skal betales for at du får filene dine tilbake. Selv om du betaler er det langt fra sikkert at du får filene tilbake i en brukbar stand. Har det først sluppet inn i nettverket ditt, vil løsepengeviruset kunne gjøre det samme med alle filer du har tilgang på. Det finnes gode tekniske løsninger som kan gjøre det veldig vanskelig for løsepengevirus å snike under radaren. Det finnes også gode tekniske løsninger som kan minimere skadene og stoppe spredning. Det er allikevel et fokus på sikkerhet og sikkerhetskultur hos sluttbrukerne som er det viktigste våpenet i kampen mot løsepengevirus og andre sikkerhetstrusler. Like viktig som å installere tekniske duppeditter og smarte programvareløsninger, er det altså å gi sluttbrukerne gode rutiner og god kunnskap om farer og trusler. Ikke minst må det være fokus på totale løsninger som fungerer i en hektisk og stressende hverdag. Man kan mene hva man vil om hvilke politiske motiv som driver dette angrepet. For meg ser dette ut som en gigantisk vinningsforbrytelse med mulige politiske undertoner. Selv om løsepengekravet er på magre 300-600 US$ pr. maskin, er det snakk om hundretusenvis av mulig infiserte datamaskiner i mer enn hundre land. Betaler 10% av disse, er det en ganske heftig lønningsdag for bakmennene. Så hva oppnår man med dette bortsett fra kontanter i kassa? Et angrep på denne størrelsen sprer såklart både frykt og ubehag. Selv om vi i datasikkerhetsbransjen har snakket om denne typen angrep i lengre tid, blir det for de fleste virkelig og nært, først nå. Et slikt angrep kan også bidra til å svekke den alminnelige borgers tillit til myndigheter og offentlige etater. Når sykehus må avvise pasienter og utsette operasjoner, har myndighetene feilet totalt med å ivareta pasientenes sikkerhet. Så er det så klart en økt kostnad for samfunnet. Det å rydde opp i dette kaoset blir så absolutt ikke en rimelig affære. Det er på tide at vi stiller krav til myndighetene og offentlige etater. Det finnes mange flinke og kompetente folk som jobber i IT-avdelinger i det ganske land, som blir ignorert når de melder fra om potensielle farer. Det finnes sluttbrukere av datasystemer, som for eksempel i helsevesenet, lever i en så hardt pressa hverdag, at datasikkerhet er det siste de tenker på. Det er på tide at politikere, direktører, sjefer, ledere og mellomledere faktisk hører på den kompetansen de har tilgjengelig, uansett om det er en IT-ansatt, NSM, NSR eller fagfolk generelt. Hvis ikke, kommer den tillit vi viser dem til å smuldre hen i takt med angrep på vår sikkerhet. Les mer om saken hos NRK  Det første jeg tenker på når noen sier at et valg har blitt “hacket”, er at noen har lykkes å manipulere datamaskiner som brukes til å avgi, eller telle stemmer. At en fremmed makt, pengesterke industrier eller et av partiene i en valgkamp, kan de fleste se for seg. Til tross for flere påstander om at slike ting har skjedd, har svært få tilfeller, om noen, blitt bekreftet fra seriøst hold.
Når vi i dag snakker om at valg blir hacket, er de helt andre ting man refererer til. I det amerikanske presidentvalget i 2016, lakk det ut data fra kretsen rundt Hillary Clinton. I det franske presidentvalget for noen dager siden, skjedde det som nå har fått sin egen hashtag MacronLeaks. Tusenvis av e-poster med vedlegg som dokumenter og bilder, ble hentet ut i en hackerkampanje rettet mot personer i Macrons stab. Flere fikk både sine offisielle og private e-postkontoer hacket. Det dreier seg om drøyt 9GB med data som nå deles via ulike fildelingsplattformer. Det spekuleres nå rundt hvem som sto bak og hva man ville oppnå. Marcons rådgivere er skråsikre på at uansett hvem det er som står bak, ønsket de å skade demokratiet. At de som står bak hacking ønsket å skade Macron og partiet “En Marche!” er nok mer sannsynlig. Hverken Macron, “En Marche!” eller det franske demokratiet, har sett ut til å ta nevneverdig skade av lekkasjen. Det virker derimot stadig klarere at politikere bør tenke seg om både en og to ganger, før de sender saker og ting i digitale kanaler. Så hva kan man oppnå ved å hacke en haug med e-postkontoer i en valgkamp? Hva ønsker man å finne? Svaret er enkelt; man leter etter informasjon. Informasjon er makt og et hack kan avdekke informasjon man kan bruke til å påvirke velgere. Det kan dreie seg om avtaler gjort bak lukkede dører, personlige affærer som hindrer en i å utøve et politisk verv, snusk, grums, dumheter og så videre. Å bli utsatt for et hack er så klart en ubehagelig opplevelse. Man regner kommunikasjonen som trygg og man uttrykker seg kanskje annerledes innad i en gruppe, enn man gjør i full offentlighet. Et hack kan også brukes som verktøy for å vise noens sårbarhet, eller svekke deres troverdighet. Hvis de ikke klarer å passe på e-postene sine, hvordan kan de styre et land? Politisk drittkasting er absolutt ikke noe nytt fenomen, man har bare bedre verktøy få finne møkka og spre den. Det finnes så klart ting du kan gjøre for å sikre den nettrelaterte kommunikasjonen din, likevel velger vi ofte det lettvinte foran det sikre. Her følger 5 råd til vår politikere foran det forestående stortingsvalget:
 Den siste tiden har NRK og andre medieaktører avslørt store mangler i sikkerhetstenkning rundt drifting og lagring av data. Det synes som om både offentlige og private aktører lever i en rosa lykkeboble av uvitenhet rundt hva som kreves for å holde viktige og sensitive data trygge.
Å flytte data fra norske datasentre til datasentre hos utenlandske aktører er problematisk av flere grunner. Lagring av sensitive data reguleres av lover og regler. Det offentlige bør gå foran som et godt eksempel, snarere enn å være verst i klassen. Personvern bør bety mye for offentlige aktører. De siste dagene har mediene vært preget av en særdeles stygg sak. Helse Sør-Øst har inngått en avtale HPE om lagring og drifting av pasientdata. 2,8 millioner mennesker er berørt. Drøyt 100 utenlandske IT-arbeidere har i kortere og lengre perioder hatt tilgang til pasientdata. Teknologidirektør Thomas Bagley i Helse Sør-Øst benektet at dette var tilfelle. NRK sitter derimot på overveldende bevis for at dette er tilfelle og det er mye som skurrer i Helse Sør-Østs håndtering av saken. NSM (Nasjonal Sikkerhetsmyndighet) har uttrykt at det ikke er mulig å sikkerhetsklarerer personer fra landene som skal være involvert på vegne av HPE. Det dreier seg om land som Bulgaria, Malaysia og India. Bare her burde varselklokkene ringe for direktørene i helseforetaket. For en som meg, som jobber med sikkerhet, er det nesten umulig å forstå hvordan beslutningstakere i Helse Sør-Øst kan ha trodd at de hadde kontroll på denne situasjonen. Drifting av store mengder data er ofte ekstremt komplekse operasjoner. Loggene som NRK har fått ta del i, viser at mer enn 100 arbeidere har hatt nærmest ubegrenset tilgang til dataene det er snakk om. Administratorrettigheter gis ikke for å begrense en bruker, tvert om. Å tro at man har full oversikt over hva en gruppe mennesker med denne typen rettigheter foretar seg, er en ren utopi. Er det mangel på kunnskap eller ren arroganse som får ledelsen til å hevde de har kontroll? Fra et bransjeperspektiv representerer denne utflaggingen flere problemer. For det første, skulle man tro at det offentlige har behov for at vi opprettholder en viss standard på infrastruktur innen samfunnskritiske oppgaver. Helse må vel i høyeste grad anses for å være en av dem. Flagger vi ut, mister vi viktig kunnskap, kompetanse og ikke minst arbeidsplasser. For det andre sender det et uheldig signal til et fagfelt som utvikler seg raskere enn noe annet. Er det bare pris som gjelder? Hva med å være “selvforsynt” med gode stabile tjenester som holder en høy kvalitet og er i samsvar med lover og regler. Burde ikke det prioriteres? Jeg skjønner at Helse Sør-Østs egne IT-eksperter er sinte, frustrerte og skremte. Jeg fatter hvorfor de snakker med mediene og viser fram de overtrampene som har blitt begått. Jeg er ganske sikker på at HPE-kontrakten har vært oppe til diskusjon og at mange kloke hoder har påpekt farer og utfordringer uten å bli hørt. Det er respektløst både mot de som prøver å gjøre jobben sin, men også mot 2,8 millioner pasienter som ikke har fått sin rett til personvern ivaretatt. Vi snakker ofte om digital dømmekraft og digital kompetanse. I dette tilfellet har ledelsen i Helse Sør-Øst bevist at de ikke er i besittelse av noen av delene. Les mer om saken her (link til NRK) |
AuthorLars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA Archives
December 2018
Categories
All
|
RSS Feed