Selv hackere går fem på

Selv hackere går fem på

Slik kan du lures til å frivillig gi fra deg datatrafikken til skurker. Vidar Sandland fra Norsis lurte hackere uten å mene det.

Nordmenn elsker alt som er gratis, og kanskje særlig hvis det er snakk om gratis internett.

Derfor er nordmenn lett å lure, vi kobler oss på mens vi gnir oss i hendene og fråtser over gratis megabytes. Nå har teknologien gjort det så lett for angriperne å flå nordmenn, at Vidar Sandland i Norsk senter for informasjonssikring (Norsis) knapt vil kalle dem angripere.

- Vi bruker tradisjonelt ordet angriper. Men det har blitt så enkelt å angripe at hvem som helst kan gjennomføre det. Det kan like gjerne være en kompis, sier han.

Norsis arrangerte tirsdag konferansen «Sikkert nok!» for å sparke i gang Nasjonal sikkerhetsmåned, hele oktober skal være viet til oppmerksomhet rundt informasjonssikkerheten.

Der stod blant annet Sandland og foredro, sammen med kollega Hans M. Tessem. Sandland hadde tatt med seg «War sucking»-utstyret sitt, en bærbar som fungerer som trådløsruter med nettilgang og informasjonstyv på likt, for å gi en live demonstrasjon.

Ukritiske hackere

Nettet heter «Gratis internett», og er for anledningen sikret med adgangskode. Det hadde seg nemlig slik at Sandland en gang for en stund siden holdt et tilsvarende foredrag for en fullsatt sal med 150 sikkerhetseksperter, hackere og den typen folk.

Med et slikt publikum ble sikkert hele «war sucking»-løsningen til Sandland hacket av alle på likt, tenker Computerworlds utsendte, det må være derfor det er adgangskode nå. Men så river Sandland disse «hack the planet»-tankene under beina på journalisten:

- Det var mange som hadde koblet seg på nettet mitt, og plutselig satt jeg på en hel haug passord fra folk i publikum som dukket opp på projektoren. At mitt nett er lukket er ikke for å beskytte meg, men for å beskytte dere, sier Sandland.

Domenehai

Akkurat dette angrepet var et klassisk nettfiske-angrep; Sandlands «gratis internett» ba om mobilnummer og passord under påstand av å være fra Telenor, via en webserver kjørt fra Sandlands pc, som så ble overført til en database.

Og ettersom svært mange bruker samme passord over alt, er det da enkelt og greit å teste ut dette passordet på offerets Facecbook-konto, for eksempel.

Men det finnes andre måter å bruke slikt utstyr på også. Sandland viser frem en Facebook-innloggingsside - eller det vil si, det er det folk skal tro det er. Egentlig er det hans egen webserver som har gått inn og tatt over domenet Facebook.com for anledningen.

Ettersom han har kontroll over trafikken, kan han også styre domenenavn-oppslagene, derfor ser dette tilsynelatende helt uskyldig ut. Men når kollega Tessem taster inn sitt brukernavn og passord, går det rett til Sandland, før Sandlands «war sucking»-utstyr lar Tessems pc koble seg på Facebook via det reelle internett.

De fleste logger egentlig aldri ut av fjesboka, så Tessem føres rett til tidslinjen sin uten at det ser mistenkelig ut. Hadde Tessem vært logget ut, hadde han blitt bedt om brukernavn og passord på nytt igjen, denne gangen fra den reelle Facebook.com.

- Er vi på et trådløst nett vi ikke kjenner til, har vi ikke kotnroll, påpeker Tessem.

Start antispam-selskap, bli rik

Et gammelt indianerordtak sier at for å få folks data, må du ha kontroll over trafikken deres. Men man trenger ikke nødvendigvis ha «war sucking»-utstyr for å lure folk til å gi fra seg data, forteller Sandland.

Han viser til de mange nystartede antispam-seskapene som har dukket opp i Kina - ok, de fjerner kanskje spam, men smarte kinesiske nettforretningsmenn har også innsett at informasjon gir penger i kassa, så mens de leter etter spam kan de like gjerne lete etter forretningshemmeligheter.

- Mange sjefer sier «ja, vi har antispam» og slikt - men hvor kjører tjenesten fra? Det har de ingen kontroll på. Her må man være mer bevisst. Nesten all epost mellom to bedrifter går ukryptert, så om jeg har tilgang til trafikken, har jeg tilgang til forretningshemmeligheter, sier Sandland.

- Epost er ikke laget med tanke på sikkerhet, det er 50 år gammelt, sier Tessem.

- En enkel fiks er å pakke hemmelig informasjon i en passordbeskyttet zip-fil, påpeker han, men minner om at passordet da for all del ikke må sendes til samme epost-adresse.

Moralen

Alt i alt ønsker Sandland og Tessem å «avdemme en myte», som de sier.

- Folk sier «jeg har brannmur, jeg har antivirus og er trygg», men sånn er det ikke. Dere er siste skanse. Sikkerhetsprodukter er ikke tilpasset dagens trusler, sier Sandland, og viser til den mye omtalte sosiale brannmuren.

Årets motto for den nasjonale sikkerhetsmåneden er "stopp, tenk, klikk". Det er andre gang kampanjen går i Norge, og i år er vi et av sju land som deltar i initiativet som først dukket opp i USA i 2004. I 2015 blir kampanjen obligatorisk for alle EU-land.

Prosjektet inkluderer her til lands også et eget opplæringsopplegg i regi av Norsis, men gjennomsponset av sikkerhetsaktører for å gi det lavest mulig pris. Ifølge prosjektleder for nasjonal sikkerhetsmåned i Norsis, Tone Hoddø Baksås, har rundt 111 bedrifter meldt seg på kursopplegget, som gir kurs til sammenlagt rundt 58.000 ansatte.

Det er også registrert 32 sikkerhetsarrangementer landet rundt i oktober på kampanjens nettside. I tillegg består kampanjen blant annet i radioreklame på P4.

- Men nasjonal sikkerhetsmåned - funker det?

- Vi håper i alle fall å kunne øke folks bevissthet noe, sier Baksås.

Les om:

Sikkerhet