underholdning

Du har en hemmelighet som kan ødelegge livet ditt

- 20 minutter er alt jeg trenger, sier teknoskribenten som opplevde marerittet.

Lars Wærstad
Publisert

Du som leser dette har kanskje benyttet deg av hemmeligheten din flere ganger bare i dag.

Det er en hemmelighet som beskytter noe av det mest private du har. E-posten din, Facebook-kontoen din, bildene av barna dine - eller deg, naken. Det er en hemmelighet du bruker når du logger deg på nettbanken din, og det er ikke en spesielt godt bevart hemmelig.

Noen er kanskje på bare seks tegn. Andre muligens 16.

Vi snakker selvsagt om passord.

Du tenker kanskje at «dette rammer ikke meg», at du skal ha skikkelig uflaks dersom du blir angrepet av hackere?

Overhodet ikke.

- At informasjonen om påloggingen din kommer på avveie, er noe vi bare må forvente. Det er ikke snakk om hvorvidt passordet ditt kommer på avveie, det er snakk om når, sier seniorrådgiver Hans Marius Tessem i Norsk senter for informasjonssikring (NorSIS) til Side3.

Eksemplene på hacking er mange:

Motivet til massen av angriperne er gjerne penger. For å sette det i perspektiv: I 2011 dro russiske hackere alene inn 25 milliarder kroner gjennom cyberkriminalitet, flere titalls millioner fra privatpersoner.

- Hvor mye vil dere anslå at nordmenn blir robbet for i året?

- Det har vi ikke tall på. Men det er veldig mye penger i dette, og at det er snakk om betydelige summer, det er det ikke tvil om, sier Tessem.

Halvannet år borte på én time

Sommeren 2012 ble «Wired»-skribent Mat Honan, en av veteranene på nett, utsatt for et hackerangrep som robbet ham for 18 måneder av hans digitale liv.

Det tok hackeren én time å få tilgang til AppleID-en hans og fjernslette hans iPhone, iPad og MacBook - og med det slette alle beskjeder, dokumenter og alle bildene han hadde tatt av sin 18 måneder gamle datter.

Honan er klinkende klar når det gjelder tryggheten i et passord.

- Siden begynnelsen av informasjonstidsalderen har vi godtatt ideen om at et passord, så lenge det er komplisert nok, er et fullgodt middel for å beskytte våre dyrebare data. I dag er det en villfarelse, en fantasi, et utdatert salgsargument. Og alle som hevder det motsatte, er en tosk - eller tar deg for en, skriver Honan i en omfattende artikkel om den ubehagelig opplevelsen.

Det er bare å se seg rundt på nettet, det ligger så mye informasjon åpent tilgjengelig at å bruke 1881s «hvem er»-tjeneste, gir et ubehagelig korrekt bilde deg i løpet av minutter.

Honan ble naturligvis nysgjerrig på hvordan hackerne hadde klart å komme seg inn på kontoene hans, og bestemte seg for å ta et dypdykk i feltet nettsikkerhet.

- Hva jeg har funnet, er ytterst skremmende. Vårt digitale liv er rett og slett for enkelt å cracke, skriver Honan.

Annonsørinnhold
Få oversikt over salgene: De beste kuppene nå
Få oversikt over salgene: De beste kuppene nå

I løpet av kort tid, lærte han seg å bryte seg inn på en nettkonto i løpet av minutter.

- Gi meg to minutter og 20 kroner å bruke på en tvilsom nettside, og jeg ville hatt kredittkort-, telefon- og personnummeret ditt samt hjemmeadressen din. Gi meg fem minutter til, og jeg ville ha vært inne på kontoene dine for Amazon, Microsoft og Netflix. Gi meg totalt 20 minutter og din paypalkonto ville vært min, hevder Honan.

Inntil vi finner en alternativ måte å beskytte våre dyrebare data på, kan det vært greit å følge å disse tipsene.

Ikke gjør dette

  • Gjenbruk passord. Hvis du gjør det, vil en som bryter seg inn i én konto, få tilgang til alle.
  • Bruke et ord fra ordboka som passord. Et passordprogram vil da mest sannsnylig ha passordet ditt i databasen. Hvis du absolutt må, sett sammen flere ord.
  • Erstatt bokstaver med typiske tall. Tror du «P4550rd» er uknekkelig? Tro om igjen.
  • Bruk et kort passord. Selv bokstavkombinasjonen «h6!r$q» lar seg raskt knekke. Så langt passord som mulig, er det beste forsvar.

Gjør dette

  • Krev dobbel godkjenning dersom du kan. Google tilbyr dette. Dersom du logger deg på fra en ukjent IP-adresse, kan et slik system sende en melding til mobilen din som du må godkjenne for å få logget deg på.
  • Skriv tullesvar på sikkerhetsspørsmål. Tenk på det som dine alternative passord. Din første bil var ikke en Toyota Avensis. Det var en «Supersinnsyk drømmedoning».
  • Vask informasjonen om deg. Det ligger mengder av informasjon om deg på nett. Fjern det du kan fra offentlig lister og oppføringer.
  • Bruk en unik, sikker epostadresse til gjenoppretting av passord. Dersom en hacker vet hvilken adresse det nye passordet blir sendt til, er det en konto som står i fare for å bli hacket. Opprett en e-postadresse som kun skal brukes i sikkerhetstilfeller, som ikke er knyttet til navnet ditt.
Kilde: Wired.com

Tabben «alle» gjør

Den store synderen er, som du helt sikkert har gjettet, passordet. Og det absolutt verste du kan gjøre, foruten å ha et håpløst enkelt passord, er å bruke det samme passordet på flere kontoer.

Er du en av mange som logger deg inn på Facebook med den samme e-postadressen og samme passordet som på Gmail, Netflix, Platekompaniet.no eller som din AppleID? Da gjør du jobben ekstremt enkel for en person som ønsker seg inn.

En sammenligning av passord som er publisert på nett, viser at nesten halvparten av oss bruker det samme passordet i forskjellige innlogginger.

- Å gjenbruke passord, er det som virkelig tar knekken på deg. Det er et effektivt marked for å utveksle slik informasjon. Folk stjeler passord og selger dem på svartebørsen. Påloggingen din kan allerede være avslørt uten at du vet det - før kontoen, eller en annen du bruker med samme pålogging, blir slettet, sier programmerer Diana Smetters i Google.

Hun får støtte fra Hans Marius Tessem i NorSIS.

- Gjenbruk av passord er den største tabben folk gjør. Og den sårbarheten er det mange som utsetter seg for. Vi får svært mange henvendelser fra folk som rapporterer at de har blitt hacket fordi noen har tatt over facebookprofilen og en e-postkonto. Da er det som oftest brukt samme innlogging begge steder, forklarer Tessem.

Hackere bruker en rekke forskjellige metoder for å få tak i informasjonen. «Gamle triks» som trojanere (du klikker vel ikke på lenker i e-poster du ikke forventer å få?), overvåkingsverktøy og kodeknekking-programvare som kjører på kraftige datamaskiner, er velkjente metoder. Men hackere går gjerne mer personlig til verks, såkalt phishing.

Hvor vanskelig er det egentlig å få Apples kundeservice til å tilbakestille et passord når så mye av din personlige informasjon ligger tilgjengelig på nett? Denne samtalen er ekte og skjedde i januar 2012. Den gir et innblikk i hvordan en hacker kan gå til verks.

Det eneste hackeren bruker, er informasjon han har funnet tilgjengelig på nett. Med det klarer han å svare på sikkerhetsspørsmålene til Apples kundebehandler, tilbakestiller passordet og får tilsendt et nytt til en ny e-postadresse.

I disse dager forbereder Facebook storlansering av et nytt type søk , som kan gjøre «phiskingen» mye enklere for nettkriminelle. Graph Search, som søkefunksjonaliteten kalles, setter sammen fragmenter til en helhet bare personer med kjenneskap til deg burde kjenne til.

- Det betyr at kriminelle kan gjøre langt mer målrettede angrep som blir mye mer kvalitative, advarer mediemann Magnus Brøyn.

Han er sjef i Coxit PR.

- De bruker opplysninger om deg som du eller dine venner har oppgitt om deg. Informasjonen blir så enormt verdifull fordi den ofte kan være mer riktig enn det du selv vil kunne klare å beskrive om deg, fordi den samler data som er sosialt generert i det virkelige liv over mange år, og de dataene lyver ikke! sier Brøyn.

Brøyn mener at de svindelforsøkene man ser på nett nå om dagen bare blir barnemat i forhold til det man kan få mulighet til, når man setter sammen store mengder informasjon om deg.

- Man kan sette samme tilgang om hvor du har vært, idrettsklubber du har vært på, restauranter du liker, hoteller du bor på, venner du henger med. Det gjør det mulig å utgi seg for å være noen av disse aktørene du stoler på, eller noen som naturlig har noe med disse å gjøre, sier han.

- Eksempelvis tillater den nye søkefunksjonaliteten at datakriminelle kan søke etter personer som liker en rekke spesielt definerte nettbutikker, som i tillegg jobber et definert sted, har noen angitte interesser, som har deltatt på definerte arrangementer og som i tillegg har trykket «liker» på én eller flere sider som den datakriminelle vet at er forbundet med svindel på Facebook. På den måten vil det være sannsynlig at forståelsen for svindel og forsiktigheten er liten, samtidig som det på en veldig enkel måte vil være mulig å målrette et angrep mot den eller de personene som dukker opp i et slikt søk, bast på sammenfatningen av informasjon. I realiteten vil den datakriminelle vite mer om deg enn det du selv tenker at du vet i forbifarten, fordi vi selv ikke gjør denne typen søk på oss selv, sier han.

Annonsørinnhold
Utstyret som gir den perfekte kopp kaffe
Utstyret som gir den perfekte kopp kaffe

Hvem som helst kan bli angriper

Tessem forteller at NorSIS ofte bruker begrepet «angriper» istedenfor «hacker». Årsaken er at det skal veldig lite kunnskap til for å angripe en hvilken som helst person.

- Det er så enkelt å bruke «hackerprogramvare» at hvem som helst kan bli en angriper. Og skulle han mot formodning få problemer, finner han lett steg-for-steg-oppskrifter på nett, sier han.

- Dette har de siste årene snudd hele trusselbildet. Det kan være så enkelt at naboen ikke liker deg, og en mobilapp kan være alt som skal til. Det som for noen år siden var det vanskelig angrep, er i dag gjort med ett trykk.

DU er problemet

Tessem er ikke i tvil om hva som er den største sikkerhetstrusselen på nett.

- Det er oss selv, slår Tessem fast.

- Veldig mye av det som skjer på nett nå, går ut på å lure oss til å klikke på noe. Det en klar økning i den type kriminalitet. Det er relativt mange som går fem på, og nettkriminelle velger minste motstands vei.

Det kalles sosial manipulering. Tessem forklarer at angriperens mål er å få mottakeren til å stole på avsenderen.

- Et eksempel kan være at vennen din som du vet er på helgetur i London, plutselig skriver på Facebook at han er frastjålet mobil og lommebok. Kan noen hjelpe til med å sette over tusen kroner på et kontonummer, så han kommer seg hjem?

- Å kjenne igjen når en blir lurt, er nøkkelen til å holde dataene sine beskyttet. Sikkerhetsprogramvare vil ikke hjelpe oss med disse tingene.

Det er likevel mulig å argumentere for at det svakeste leddet i sikkerheten tross alt er passordet.

- Hva kan erstatte passord i fremtiden?

- Dette blir bare å se i krystallkula, men vi registrerer at det er en del interesser rundt biometri, altså at en måler hvordan du skriver på tastaturet, ikke bare hva som skrives. Ellers forskes det mye på ting som fingeravtrykk og irisskanning.

- Men vil ikke fingeravtrykk være veldig uheldig dersom noen får tak i det? Det er ikke bare, bare å få seg en ny finger?

- Det er mange flere karakteristika enn bare selve fingeravtrykket, som for øvrig er svært komplekst, som kan benyttes - som for eksempel blodårene under huden, det infrarøde avtrykket og slike ting, sier Tessem.

- Hva tenker du metoder som kredittkortselskaper bruker, som varsler om unormal bruk?

- Slik atferdsbasert analyse brukes allerede i dag i forhold til angrep. En nettbank kan forvente at et menneske bruker lengre tid på sine handlinger enn et annet menneskes, for eksempel. Teknologien har mange oppsider, men vi har også noen etiske problemstillinger. Du blir mer overvåket - og det er en diskusjon om det er en pris en er villig til å ta.

- Hva kan vi gjøre mens vi venter på en erstatter for passord?

- Vi anbefaler et enkelt tiltak, og det er å krydre passordet ditt med tegn fra tjenesten du skal logge deg inn på. Har du ett passord du bruker over alt, kan du for eksempel bytte ut det tredje tegnet i passordet med det tredje tegnet i navnet på tjenesten, foreslår Tessem.

Teknologi Side3 Passord Hacking Hacker Facebook Angrep Twitter