NA24.no

Sikkerhetsguru Mikko Hypponen mener internett har gått fra å være en Utopisk verden til å bli et totalitært overvåkningsregime. (Bildet er etterbehandlet)
Sikkerhetsguru Mikko Hypponen mener internett har gått fra å være en Utopisk verden til å bli et totalitært overvåkningsregime. (Bildet er etterbehandlet) Foto: Magnus Blaker (Mediehuset Nettavisen)

Det han vet, kan få ham drept i ny krig

Sist oppdatert:
- Blir du valgt som mål, er det umulig å beskytte seg.

FOLKETEATERET/PARANOIA (Nettavisen NA24): Hvordan har nettet kunnet gå fra å være et helt fritt og åpent sted, til å bli et sted som gjør at du er totalovervåket hele tiden?

- Det er nå 25 år siden Tim Bernard Lee skapte webben, mens det var i 1994 at internett virkelig begynte å bli brukbart for folk flest. Det betyr at internett slik vi kjenner det i praksis er 20 år gammelt.

At politikere forsto nettet endret alt

- Vi nerder skjønte det fort. Bilder, tekst, lenker: Dette kom til å bli stort. Men politikere skjønte det ikke, de ignorerte det, de hadde ikke noe grunnlag til å forstå rekkevidden.

- Men i løpet av det siste tiåret har de forstått at det virkelig betyr noe - at nettet former hvordan vi ser på verden. Så raskt de forsto hvor stort det var, så begynte en å kjempe om kontrollen. Dette handler om alt fra kontrollen over standarder til hvordan totalitære regimer blokkerer nettet for å kontrollere informasjon. Dette skjer i alt fra Kina til Egypt, til Tyrkia hvor de nå har blokkert Twitter.

- Og ikke minst bruker en internett til å skape en overvåkningsstat. Nettet var ikke bygget for å være en overvåkningsstat, men det har blitt til det nå, sier han.

NSA-lekkasjene til Snowden har dokumentert en massiv overvåkning på nett, der privatliv ikke eksisterer. Ingen mål har vært hellige, og noen av verdens største selskaper har samarbeidet for å gjøre overvåkningen mulig.

Fra ytterpunkt til ytterpunkt

- I nettets barndom trodde vi at nettet var anonymt. Det var ingen som brukte ekte navn, og det var ingen som visste hva vi gjorde. I dag har pendelen slått helt andre veien.

Mobiltelefonen din avslører hvor du befinner deg til enhver tid, samtalene dine loggføres - og mobilen kan til og med brukes som en fjernstyrt mikrofon, selv om du tror du har skrudd den av.

- Det finnes ikke anonymitet, og vi velger det også i stor grad selv ved å logge oss på Facebook og LinkedIn. Det har gått fra å være totalt anarki til under en total kontroll, og mitt håp er at vi fremover igjen kommer til å finne en bedre balanse.

- Vi levde i et Utopia tidligere, der vi ikke tenkte på at det eksisterte myndigheter og land. Vi brydde oss ikke om hvilket land en nettside var fra. Om nettsiden du besøkte var i California, Paris eller Sør-Amerika var irrelevant. Det var ingen grenser, det var Utopia.

- Men nå har vi våknet opp og forstått at det ikke er noe utopia. Grensene er der fortsatt - de er kanskje sterkere enn noen gang. Det er ikke bare brukere og nettkriminelle. Myndigheter gjennomfører tjenestenekatngrep mot nettjenester, og vi ser at land som USA, Israel og Sverige lager virus. Ikke bare lager de virus, men de setter dem ut i live.

- Tenk på det. For ti år siden ville dette bli ansett som science fiction. Om noen sa at myndigheter i demokratiske vestlige land både skrev og satt virus ut i live, så ville det være helt utenkelig.

Fra cyberagrep til cyberkrig?

Hypponen tror de færreste forstår hvilket potensiale som ligger i denne problematikken.

- Et ord som kastes mye rundt om dagen er «cyber krig». En snakker om Estland i 2007, om Georgia i 2008, om angrepet mot Washington Post i 2010. Men ingenting av dette var cyberkrig. Stuxnet som rettet seg inn mot Irans atomanlegg var ikke krig. Det var kanskje et angrep, men det var ikke krig.

Ifølge Hypponen investeres det nå enorme mengder ressurser i digital krigføring, og en må se på omfanget av pengebruken i forsvarsindustrien for å forstå hvor mye det er snakk om.

- La oss ta en titt på land som har militære baser i andre land. Det er seks land som har dette: Russland med 12, inkludert noen i Ukraina, England med 6, Frankrike med 6, Tyrkia med 1 base, india med 1 base – ja og så har vi USA som har 700 baser i andre land.

- Jeg var nylig på en base som USA har i Tyskland. Området var enormt. De hadde laget to flystriper inne på basen. De hadde et eget artilleriskytefelt som gjorde at de kunne drive med testing innenfor sin base. De hadde bygget opp et eget Autobahn-system inne på baseområdet, og det var bygget opp en egen amerikansk by – med amerikanske butikker og amerikanske priser og drivstoff som ble solgt i dollar per gallon. Og her solgte de amerikansk melk som ble flydd inn jevnlig fra USA.

- Dette var én Air Force-base i Tyskland, og dette sier litt om hvor mye penger som brukes på forsvar. USA bruker mer på forsvar enn Russland og Kina sammenlagt. Og noe drypper også ned på cyberforsvaret. Kanskje lite i den store sammenhengen, sammenhengen er ufattelig stor, sier Hypponen, med en klar indikasjon på at vi ikke har sett starten på det potensialet som ligger der.

Alt er nå koblet til nett. Alt fra biler til strømnett til vannforsyning. Våpensystemer, kommunikasjonssystemer - og stort sett alt som finnes av samfunnskritisk infrastruktur.

Sikkerhetsselskaper er legitime mål i en virkelig cyberkrig.

Han påpeker at i en virkelig cyberkrig, så vil sikkerhetsselskaper som F-secure under definisjonene i Geneve-konvesjonen kunne utgjøre helt legitime mål å bombe, fordi det per definisjon kan utgjøre en militær fordel.

Arkivbilde av Mikko Hypponen med tidenes første virus.

- Det var i alle fall ikke det jeg tenkte da jeg startet å analysere virus i 1991 laget av «happy» programmerere, men dette er realiteten nå, sier Hypponen.

Utrolig evne til målrettede angrep

Men foreløpig er det de helt målrettede angrepene som står i sentrum.

- De tradisjonelle nettkriminelle og myndighetene jobber litt på samme måte. De kriminelle har utviklersystemer som fungerer på den måten at de lager spesielle trojanere som utnytter kjente eller ukjente svakheter i for eksempel nettleseren din for å kunne infisere deg. For å spre denne, kan de for eksempel hacke en nettside eller lage en falsk nettside som de kan lure deg til å besøke, gjennom for eksempel lenker i sosiale medier.

- Myndighetene har også slike systemer, som ifølge NSA-lekkasjene har fått navnet Quantum. Også her lager de angrep basert på kjente eller ukjente svakheter – men i motsetning til de vanlige kriminelle trenger de ikke å hacke noen nettside for å infisere deg.

- Quantum kan identifisere den datamaskinen en ønsker å infisere, og så utnytter de måten internett fungerer på: Det som skjer når du for eksempel ønsker å besøke Yahoo, er at du skriver nettadressen inn i din nettleser, så sendes det en forespørsel til Yahoos server – la oss for enkelthetsskyld si at den er i USA – og så svarer serverne med å levere for eksempel forsiden til Yahoo.

NSA-dokumenter avslører hvordan amerikanske, britiske og svenske etterretningsorganisasjoner samarbeider om malware.

- Det Quantum da gjør er at den oppdager at du forsøker å besøke Yahoo. En benytter så en datamaskin som står fysisk nærmere deg enn i USA, som umiddelbart sender svaret på denne forespørselen til deg. Denne datamaskinen utgir seg fra å være Yahoos datamaskin som du nettopp har sendt en forspørsel, og nettleseren din vil akseptere svaret den får blindt. Men fremfor at du da får den ekte Yahoo i nettleseren din, får du servert en falsk nettside, og så blir du infisert på normal måte, sier Hypponen.

Han påpeker at om en først er utsatt for noe slik, vil trolig ikke målet koble datamaskinen sin til internett igjen.

- Men da har myndighetene andre eksempler. Vi har sett såkalt USB-modifisering: La oss si at du bestiller en printer på internett. Pakken blir snappet opp på vei til deg, der den vanlige USB-pluggen blir byttet ut med en som ser helt lik ut, men som er utstyrt med en radiosender. Dermed vil datamaskinen din kunne sende all informasjonen de er ute etter trådløst, selv om du tilsynelatende ikke er koblet på nett.

- Løsninger av denne typen, cotton mouth, ble brukt allerede i 2007. Ingen har hatt beskyttelse mot det - og hva som brukes i dag vet ingen, sier han.

Les Ars Technicas gjennomgang: Your USB cable, the spy: Inside the NSA’s catalog of surveillance magic

- Sikkerhetsselskaper som oss kan beskytte mot kriminelle, keyloggere, svindlere og ligende, men vi kan ikke beskytte dere mot denne typen angrep. Med målrettede angrep vil de nå målet sitt uansett – de er som James Bond. Det gode er at Bond ikke forsøker å drepe alle andre på veien dit.

Hypponen forteller til Nettavisen at de som virkelig blir satt som mål neppe har mulighet til å gjemme seg på internett, men at folk flest kan skjule seg veldig godt fra masseovervåkningen - om de tar de rette skritt.

Fakta: Tor - The Onion Router

Klikk for å åpne faktaboksen
 

Tor er et system beregnet på å muliggjøre elektronisk anonymitet. Tor-programvaren sender Internett-trafikk gjennom et verdensomspennende, frivillig nettverk av datamaskiner, med det formål å skjule brukerens plassering eller aktivitet for andre som driver nettverksovervåking eller trafikkanalyse.

Bruk av Tor gjør det vanskeligere å spore brukerens nettaktivitet, f.eks. «besøk av en nettside, elektroniske innlegg, pratemeldinger og andre kommunikasjonsformer»  og har som mål å beskytte brukernes personlige frihet, personvern og evne til å drive konfidensiell virksomhet, ved å hindre overvåking av nettaktiviteten.

Kilde: Wikipedia

- Personvern- og krypteringstjenester somVPN (Virtuelt privat nettverk) og Tor er ikke 100 prosent sikkert, og i stor grad handler det om at en må stole på den i andre enden, men for det meste gjør det deg trygg mot sekkeovervåkningen.

I dag er det mest vanlig å surfe helt åpent på nett, noe som gjør det veldig enkelt å overvåke alle. Ved å kryptere nettbruken er det nærmest i seg selv mistenkelig, og Hypponen mener derfor flere burde gjøre det for å gjøre det til normen.

- Det er det personer som deg og meg som ikke har noe å skjule som burde bruke slike tjeneste, fordi det er med på å skjule de som virkelig har behov for å være anonyme, sier Hypponen.

Ved at flere tar sitt eget privatliv på nett på alvor, håper Hypponen samtidig at det skal bli vanskeligere å bedrive masseovervåkningen som i dag foregår.


Mest sett siste uken

Lik NA24 her og få flere ferske økonominyheter!

sterke meninger

Nettavisen vil gjerne vite hva du mener om denne saken, og ønsker en frisk debatt i våre kommentarfelt. Vær saklig og respektfull. Les mer om Nettavisens debattregler her.

Gunnar Stavrum
sjefredaktør

comments powered by Disqus

Våre bloggere