11 mín. lestur

Ekkert er öruggt í hinum stafræna heimi

Ingólfur Bjarni Sigfússon
Ingólfur Bjarni Sigfússon

Paradísar-pappírarnir, sem afhjúpaðir voru í síðustu viku, eru að líkindum þekktasti afrakstur tölvuhakks undanfarin misseri. En hakkið er ekki allt af þeim toga.

Á þessu ári hafa tölvuþrjótar brotist inn hjá fjármálastofnunum, lánshæfismatsfyrirtækjum, símafélögum og meira að segja fyrirtækjum sem gefa sig út fyrir að geyma viðkvæmar upplýsingar eins og lykilorð. Barnaklámveitur hafa verið hakkaðar, meira að segja bandaríska leyniþjónustan og flugherinn. Í stafrænum heimi er ekkert öruggt.

(Mynd Arnar Þórisson/RÚV)

Engin staðalímynd til

Af stafrænum gögnum er nóg – allt um okkur öll er líklega til á stafræni formi og við erum umkringd stafrænum tækjum allan daginn. Tölvuhakk er heldur alls ekki það sem við höldum flest að það sé. Skuggaveran í hettupeysunni, óframfærni tölvunördinn, er vissulega til, en sjaldnast er það þessi hakkari sem veldur mesta óskundanum.

Theodór Gíslason er svokallaður hvíthattur, það er að segja hakkari sem gerir gott en ekki illt. Hann hefur nærri tveggja áratuga reynslu af hakki. „Þú veist ekkert hver þessi manneskja er. Það er enginn einn prófíll yfir hvað hakkari er annað en kannski einhver sem hefur einhverja þekkingu sem flestir hafa ekki,“ segir hann um hakkara.

„Bólugrafinn unglingur, svolítill nörd, fittar ekki alveg inn, og það er klárlega þannig enn þá líka. En eins og þú segir, þetta er orðið iðnaður, það eru hellings peningar í þessu, og með bitcoin þá er kominn auðveldur gjaldmiðill sem hægt er að senda hvert sem er út um allan heim á svipstundu. Svo eru leyniþjónusturnar að byggja upp herdeildir á þessu. Bæði í vörn og sókn. Þannig að þetta er ekkert djók lengur og það er alveg kominn tími til að fólk skilji þessa breyttu heimsmynd.“

Öryggistól breytast í árásartæki

Tölvuárásir eru af öllum gerðum. Stundum er ráðist á stórar stofnanir, í öðrum tilvikum er verið að nota nettengdan búnað, tæki sem við notum flest á hverjum degi, til að stela gögnum, eða hreinlega bara perrast. Til að mynda er hægt að breyta sakleysislegri vefmyndavél, sem er seld úti í næstu raftækjaverslun fyrir lítinn pening í tæki sem nota má til að fylgjast með heimilum og jafnvel gera tölvuárásir. Svona vefmyndavélar eru seldar sem öryggismyndavélar.

Hlynur Óskar Guðmundsson, sérfræðingur í tölvuöryggi hjá Syndis, hefur skannað íslenska netið til að athuga hvort mikið sé af svona vélum á íslenskum heimilum.

„Þegar þú kaupir þetta af hillunni og stingur í samband hjá þér þá er hún bara óörugg. Hver sem er getur komist inn á myndavélina á þeim tímapunkti. En það sem þú þarft að gera og margir gleyma er að breyta lykilorðinu sem kemur með myndavélinni. Og ef þú breytir ekki lykilorðinu, þá getur hver sem er, bara einhver úti í heimi, bara komist inn á myndavélina og séð hvað er að gerast,“ segir hann.

„Það er ekki mjög flókið. Það sem við getum gert fyrst er að reyna að finna myndavélina. Og það getum við gert með því að nóta tól eins og MA. Þannig getum við fundið hvaða tól og tæki eru á okkar neti. Þú þarft sérstaklega að opna fyrir vefmyndavélina ef þú vilt að hún geti verið skönnun á netinu, en það eru margir sem eru búnir að gera það. Ég hef fundið töluvert af myndavélum sem eru opnar á netið.“

Hlynur segir að nema að fólk breyti sérstaklega um aðgangsorð á myndavélarnar sé yfirleitt auðvelt að komast inn á þær. „Þetta notar aðgangsorðið „admin“ og sleppir að setja inn lykilorð. Og þá get ég bara séð þig núna. Og þú getur sagt „hæ“.“

Þegar fólk opnar vefmyndavélarnar sínar út á netið þá er það ekki vegna þess að það ætlaði að vera að sýna umheiminum hvað er um að vera heldur vegna þess að það ætlaði kannski að geta skoðað hvað er um að vera úr, til að mynda, vinnunni. En fyrir vikið getur hver sem er farið að skoða hvað er að gerast heima hjá þér. Hvenær sem er sólarhringsins. Og jafnvel hlustað líka.

„Já, það er líka míkrófónn á þessu og allt, já,“ segir Hlynur.

Ekki bara til að njósna

Þegar búið er að ná tökum á svona myndavél, fyrir utan að sjá og heyra það sem er um að vera, þá má líka nota hana til annarra verka. „Já. Þú getur brotist inn á myndavélina og fengið fullkomna stjórn á henni. Og keyrt hvaða forrit sem er, í rauninni, á henni,“ segir Hlynur. „Hugsanlega notað hana í einhverjum árásum. Fengið fullt af vefmyndavélum til að gera árás á einhverja vefsíðu til þess að taka niður. Eða eitthvað slíkt.“

Þannig að myndavél sem seld er sem öryggisbúnaður, og sambærilegur búnaður, er í senn ekki öruggur og getur hreinlega verið hættulegur. „Já, ef það er ekki sett upp rétt. Þá getur það verið hættulegra en að hafa bara ekki öryggismyndavél,“ segir hann. En þetta gildir ekki bara um vefmyndavélar. Það sem kallað er „internet of things“ eða internetið alls staðar er líka undir.

„Árásarmenn geta tekið yfir til dæmis ísskápinn heima hjá fólki og notað hann í alls konar árásir eða gert hvað sem er, í rauninni,“ segir Hlynur.

Svona dæmi eru óþægileg en ótrúlega algeng. Tækin okkar safna líka gríðarlegu magni gagna um okkur, allt frá hjartslætti og hreyfingu til staðsetningar, samskipta við aðra og þess sem við gerum á internetinu.

Theodór Gíslason, tæknistjóri Syndis. (Mynd Kveikur/RÚV)

Hægt að hakka hvað sem er

Tölvuhakkarar vilja gjarnan komast í þessi gögn, til að selja þau þeim sem kynnu að hafa á þeim áhuga eða jafnvel kúga fé af þeim sem á gögnin – einstaklingnum. Og svo er hægt að misnota viðkvæm tæki án þess að eigandinn verði þess var, til dæmi til að fela tölvuárás á einhvern annan. Það hljómar sjálfsagt eins og einhver klisja, en enginn er öruggur.

Þýðir þetta að það sé hægt að hakka nánast hvað sem er í kringum þig?

„Já! Er svarið,“ segir Theodór, tæknistjóri Syndis. „Já er svarið, en það er ekki auðvelt. Stundum er það auðvelt, stundum er það erfitt. Sumir leggja áherslu á öryggismál, aðrir ekki. Og þar er það sem við þurfum að læra. Við þurfum að læra hvar þessi eðlilegu mörk liggja á milli þess að vera ógeðslega óöruggt og að vera eins öruggt og kostur er. Það er gott öryggi, það er einhvers staðar þarna eitthvert miðbil,“ segir hann.

„En svarið er já, það er hægt að hakka allt. Það er hægt að hakka flugvélar, það er hægt að hakka bíla, það er allt hægt. En það er ekki auðvelt.“

Einstaklingar eru sjaldnast skotmark stórra, skipulagðra árása og það eru heldur ekki einstaklingar sem standa fyrir slíkum árásum, að jafnaði. Þær eru verk skipulagðra hópa eða jafnvel leyniþjónusta sem vilja annað hvort komast yfir mikilvæg gögn eða lama tiltekna starfsemi – oft gegn því að koma öllu í samt lag sé greitt lausnargjald.

Nýta þekkta veikleika

Dæmi um nýlega árás þar sem gögnum var stolið, tölvubúnaður sleginn út og skemmdum valdið í gíslatöku, þar sem greiðslu var krafist fyrir að laga skaðann, var árás á bresku heilbrigðisþjónustuna, NHS, í vor.

Þar hafði uppfærsla sem lagaði þekktan öryggisgalla ekki verið sett upp. Fyrir vikið komust hakkarar inn og gerðu óskunda, svo að hluti heilbrigðisþjónustunnar, þar á meðal sjúkrahús, varð óstarfhæfur um skeið.

Eðli máls samkvæmt vaknar sú spurning hvort svona lagað gæti gerst hér heima, til dæmis á Landspítalanum, sem er án efa með stærstu, tölvutengdum vinnustöðum landsins. Björn Jónsson, deildarstjóri upplýsingatæknideildar LSP, segir að tölvubúnaður og tölvukerfi hafa sífellt meira hlutverk í sjúkrahúsrekstri alls staðar um heim.

„Læknar verja jafnvel 60% eða jafnvel meira af sínum tíma í að skrá í tölvukerfi. Og rafræn sjúkraskrá var pappír fyrir 20 árum, er í raun og veru orðinn algjörlega rafræn í dag. Og það segir sig sjálft að það er sá þáttur sem við leggjum mesta áherslu á að vernda. Þar eru viðkvæmu gögn sjúklinganna okkar. Til viðbótar eru lækningatæki mjög veigamikill þáttur,“ segir hann.

Björn Jónsson, deildarstjóri upplýsingatæknideildar Landspítalans. (Mynd RÚV)

Allt undir í hakkinu

Á Landspítalanum eru um 6000 lækningatæki í notkun, 4000 tölvuvinnustöðvar, 100 tölvukerfi flokkast undir rafræna sjúkraskrá og yfir 2000 notendur þurfa að hafa aðgang að þeim kerfum utan Landspítalans – sem sagt til viðbótar þúsundum starfsmanna spítalans sjálfs. Tölvudeild spítalans heldur uppi vörnum, en eru þessi gögn og jafnvel enn frekar tækin berskjölduð?

Theodór segir áhættuna felast í gamalli tækni sem tengd er við netið. „Ég myndi segja að það væri jafnvel meiri áhætta vegna þess að þú ert kannski með miðlægt tölvukerfi þar sem er góður og öruggur rekstur. Og þar er lögð áhersla á öryggismál. En ef við tökum þessi tæki sem er verið að tengja við net. Þetta eru tæki sem eru kannski byggð á einhverri tækni sem á uppruna sinn fyrir 20-25 árum síðan. Og svo allt í einu tengirðu það við nútímann, internetið. Þar sem er búið að vera að blasta tölvuárásum seinustu fimmtán árin á fullu. Þau standast ekki rýni og framleiðendurnir þurfa að læra.“

Hakkarar hafa raunar hakkað ínsúlíndælur og hjartalínurita, svo dæmi séu tekin. Og ef horft er inn í nútímalæknastofu þarf ekki að skima lengi til þess að sjá að nánast öll tækin þar inni eru nettengd – í sumum tilvikum meira að segja sjúkrarúmið. Og þessi tæki eru í mörgum tilvikum ekkert öruggari eða betur varin en öryggismyndavélin sem Hlynur hakkaði fyrir okkur rétt áðan.

„Þetta hefur verið gert í svona rannsóknarverkefnum. Það eru ekki þekkt dæmi að mér vitandi um að einhver hafi notað þetta til að valda einhverjum… til að reyna að drepa einhvern eða svoleiðis. En það þarf að setja meiri kröfur. Það þarf að setja meira á þá sem kaupa inn svona vörur svo þeir geti sett meiri kröfur á framleiðendurna svo framleiðendurnir taki öryggismálin alvarlega,“ segir Theodór.

„Við gerum allt sem við getum til að koma í veg fyrir að svona gerist, að sjálfsögðu. En þetta er mögulegt, þetta er að gerast úti í heimi að fólk er að yfirtaka allskonar búnað, hvort sem það er bifreiðar eða eitthvað annað.“

WannaCry varð til vandræða víða um heima. (Mynd RÚV)

Leyniþjónustur nýta sér gallana

Árásin á bresku heilbrigðisþjónustuna byggðist á gíslatökubúnaði sem gengur undir nafninu WannaCry. WannaCry byggðist aftur á öryggisgalla í Windows, galla sem enginn vissi af – nema einn. Bandaríska leyniþjónustan NSA vissi af þessum öryggisgalla og var með hann í stafrænu vopnabúri sínu. Leyniþjónustan ætlaði þannig að notfæra sér þennan galla til að komast inn í, njósna um eða lama tölvukerfi meintra óvina. En hakkarar – jafnvel hakkarar leyniþjónusta – eru hvorki óskeikulir né búa við fullkomið tölvuöryggi sjálfir.

„En ímyndaðu þér forskotið sem leyniþjónusturnar hafa því enginn veit af öryggisveikleikunum sem þeir eru að nota. Þetta eru svokallaðir núll-dags veikleikar, eða zero-day. Það veit enginn af þessum veikleikum nema þeir,“ útskýrir Theodór.

Niðurstaða rannsóknar breskra yfirvalda leiddi í ljós að hakkarar Norður-Kóreustjórnar hefðu gert árásina. Já, hakkarar á vegum stjórnvalda í Norður-Kóreu beittu tóli sem aðrir hakkarar stálu frá hökkurum bandarísku leyniþjónustunnar. Á einhver minnsta möguleika á að verjast ef þetta eru þeir sem standa fyrir hakkinu? Er til einhvers að uppfæra stýrikerfið og vírusvörnina ef þeir sem hakka eru leyniþjónustur og herir?

„En þú ert ekkert betur settur gagnvart leyniþjónustum. Ég meina, þeir lekar sem hafa átt sér stað úr þeirra eigin vopnakistum, að þar eru vopn til þess að brjótast inn á tölvur þar sem engin öryggisvörn myndi koma auga á það. Alveg sama hversu vel uppfærður þú ert. Það er svolítið óþægileg tilhugsun. En á móti kemur, getur maður sagt „það eru bara leyniþjónustur sem gera þetta.“ Og þær eru ekki að fara að eyða sínu púðri í að ráðast á Ingólf, eða mig,“ segir Theodór.

„Þú ert með ákveðna upplýsingaöflun sem er að eiga sér stað. Kalda stríðið þá var hlerunarbúnaður úti um allt. Þetta er bara það sama en nútímavætt. Með tölvukerfum nútímans þar sem allt er nettengt. Og þegar þú ert með allt nettengt er mjög auðvelt að hlera tölvu í Hafnarfirði frá Kína. Vegna þess að þetta er bara internetið sem sér um að búa til samskiptakanalinn fyrir þig.“

Ríkishakkarar Norður-Kóreu eru sagðir hafa reynt að ræna seðlabanka New York í fyrra, en stafsetningarvilla kom upp um þá. Norðurkóreskir hakkarar réðust einnig á SONY-kvikmyndaverið, að því að talið er í hefndarskyni fyrir grínmynd þar sem Kim Jong-Un, leiðtogi Norður-Kóreu, var hafður að háði og spotti. Og þetta eru einungis tvö mýmargra dæma. New York Times greindi frá því í október að yfir 6000 hakkarar störfuðu fyrir stjórnvöld í Pjongjang.

Tvær meginforsendur fyrir tölvuárás

Þorri tölvuglæpa byggir hins vegar á mannlegum breyskleika, annað hvort forritara eða notanda.

Theodór segir að í grunninn eru flestar tölvuárásir byggðar á tveimur meginforsendum: „Það er annars vegar þú, sem manneskja. Þú getur gert mistök eins og við öll og þú getur látið plata þig. En svo er annar vinkill á þessu og það er kóðinn eins og þú segir, handritið að tölvukerfum að öllum þessum hlutum. Meðal annars að iðntölvustýringu. Þessi handrit er hægt að misnota. Og sá sem er hakkari, hann kann að misnota svona hluti, hann kann nýjar leiðir og vinkla til að misnota svona kóða því við gerum öll mistök.“

Þekktasta dæmi um hakk á Íslandi er líklega frá 2013 og einmitt af þessu tagi.

Persónuupplýsingum um tugi þúsunda viðskiptavina Vodafone var lekið á netið eftir árás tölvuþrjóts á vefsíðu fyrirtækisins í nótt. Þar á meðal voru bankaupplýsingar, lykilorð og SMS-skilaboð. Tölvuárás af þessari stærðargráðu hefur ekki verið áður gerð á íslenska vefsíðu.

Þegar árásin var rannsökuð var niðurstaðan sú, að hún hefði verið frekar einföld, notað þekktar leiðir hakkara og þekkta veikleika. Undir lok árs í fyrra komst Póst- og fjarskiptastofnun af því, í sem stystu máli, að kæruleysi og sofandahætti Vodafone væri um að kenna. Úr því hefur verið bætt, en dómstólar dæmdu fimm fórnarlömbum þessa hakks miskabætur þar sem mjög viðkvæmar upplýsingar rötuðu fyrir augu almennings.

En kunnum við að leita, rannsaka tölvuglæpi og fyrirbyggja þá?

Daði Gunnarsson rannsóknarlögreglumaður. (Mynd Kveikur/RÚV)

Höfum ekki tækin til að verjast

Í spánnýrri skýrslu Greiningardeildar Ríkislögreglustjóra er svarið mjög afgerandi „nei“: „Umfang tölvu- og netglæpa er að stórum hluta óþekkt meðal annars vegna skorts á frumkvæðislöggæslu á þessu sviði. Ljóst er að því fer fjarri að öll tölvubrot séu kærð til lögreglu. Fólk telur fé vera glatað og sér ekki tilgang með kæru auk þess sem einstaklingar kunna að upplifa skömm tengda slíkum blekkingum.

Daði Gunnarsson, rannsóknarlögreglumaður hjá lögreglunni á höfuðborgarsvæðinu, segir að sex starfsmenn starfi við tölvuhlutann af rannsóknum hjá embættinu. Hann telur það tæplega vera nóg til að sinna verkefninu. „Það myndi ná utan um réttarfræðilegar, stafrænar rannsóknir. En ekki þegar tölvuglæpir og allt er komið undir. Þá gerir það það ekki, nei,“ segir hann.

Það stendur þó til að breyta því og byggja upp þekkinguna. „Það er verið að reyna að vinna að því að byggja það upp, já. Hvenær, ég held að það velti rosalega á því hvenær peningar koma inn í þetta. En það er vinna farin af stað við að búa til eitthvert skipulag í kringum þessi mál,“ segir hann.

Á síðasta ári komu 147 atriði inn á borðinu hjá CERT.IS. Allt frá Nígeríubréfum og upp úr. Daði telur að við hvorki berum skynbragð á tölvuglæpi og að lögreglan fái almennilegt yfirlit yfir umfang þeirra á Íslandi. „Eins og ég var að segja áðan þá eru allt of fá mál að koma til okkar og við fáum allt of fáar tilkynningar um þetta. Sem gerir það að verkum að það er erfitt að búa til einhverja tölfræði og segja hve stórt vandamálið er.“

En hvaða tilfinningu hefur hann fyrir þessu? Hvað heldur hann að sé við að etja hér og hvað er það sem við ekki vitum? „Ég veit nú ekki hvað það er sem við ekki vitum en stærðargráðan er mjög stór, það held ég sé alveg ljóst.“

Deildu með öðrum: