Átak þarf gegn netþrjótum

Ævar Pálmi Pálmason, lögreglufulltrúi í miðlægri rannsóknardeild á höfuðborgarsvæðinu segir þörf á vitundarvakningu og samstilltu átaki í íslensku samfélagi um óopinberar hleranir og öryggi upplýsinga í símtækjum og tölvum.

Fá mál koma til kasta lögreglu, Ævar segir aðferðirnar orðnar það þróaðar að fólk verði ekki vart við það þegar netþrjótar brjótast inn í tæki einstaklinga.

„Það eru nokkur ár síðan ég fór á kynningu þar sem ég heyrði fyrst af þessum möguleika. Það fyrsta sem ég gerði þegar ég kom heim var að setja límmiða yfir vefmyndavélina á heimatölvunni. Í þessu sambandi ætti fólk sérstaklega að huga að öryggi snjalltækja á borð við spjaldtölva og síma. En líka hvert það tekur tækin með sér. Ég hef heyrt um dæmi erlendis frá þar sem fólk hefur verið fjárkúgað eftir að brotist var inn í nettengd tæki sem voru geymd í svefnherbergi viðkomandi og teknar af þeim myndir,“segir Ævar frá.

Öpp geta verið varasöm

Kristján Valur Jónsson, öryggissérfræðingur hjá CERT-ÍS, segir að góðar varnir séu mögulegar en að ekki sé hægt að fullyrða að öryggið verði 100%. „Besta og öflugasta vörnin sem þekkt er í dag er að uppfæra síma eins og annan búnað og passa að hlaða ekki niður öppum frá vafasömum aðilum.“

Kristján bendir á að sömuleiðis sé ekki sé hægt að útiloka neitt varðandi varnir netþjóna en að dulkóðun sé mikilvægur þáttur í því sambandi. Fólk ætti að varast að senda upplýsingar um http vefsíður og að https (e. Hyper Text Transfer Protocol Secure) sé betri kostur.

Slæmt fordæmi stofnana

Marinó G. Njálsson, öryggisráðgjafi hjá DXC Technology í Danmörku, segir að stofnanir ríkja fari á undan með slæmu fordæmi.

„Ef ég fer til Bandaríkjanna get ég ekki neitað stjórnvöldum um aðgang að símanum mínum, þótt bandarískir þegnar séu kannski varðari gegn þessu. Sem útlendingur, ef þú ert beðinn um þessar upplýsingar, þá verður þú að veita þær ef þú vilt komast inn í landið. Það þarf að veita lykilorð að dulkóðun og öllu mögulegu. Stofnanir sem þessar beita fyrir sig öryggi þegnanna að sögn Marinós. ,,Þeir nota alls konar öryggismál þegnanna sem afsökun fyrir njósnum. Um leið og þú berð fyrir þig öryggismálum getum við verið viss um að viðkomandi er með óhreint mjöl í pokahorninu.“

Marínó hefur eins og fleiri sérfræðingar sem Fréttablaðið talaði við gert ráðstafanir til að verja sig árásum. „Á tölvunni minni er ég alltaf með límband á myndavélinni. Ég er ekki með neinar fjármálafærslur í símanum, engin bankaöpp eða neitt slíkt, er ekki með stafrænt skilríki í símanum mínum og ég lít á farsíma sem gjörsamlega opið tæki, eins og hús með allar dyr og glugga opna.“

Mikil ógn í Evrópu

Helga Þórisdóttir, forstjóri Persónuverndar, segir að árlega berist þeim tæplega 2.000 kvartanir enn sem komið er þá tengist fæstar þeirra varði hleranir. Hins vegar séu slík mál í brennidepli hjá stofnuninni eins og víðar í heiminum.

„Þessi mál brenna á okkur. Allar þessar nethættur eru komnar á það alvarlegt stig að það er verið að gjörbylta persónuverndarlöggjöfinni í Evrópu, út af tæknibyltingu.“

Sú löggjöf komi til framkvæmda í Evrópu í maí 2018 og stefnt sé að sama gildistíma hérlendis.

Helga nefnir sem dæmi að þeir sem til þekki meti netglæpi sem mikla ógn í Bretlandi og Evrópu. ,,Maður gefur sér að þessar sömu ógnir eigi við okkur líka.“

Þetta gera netþrjótar



1. Nota smáforrit



Þekkt er að smáforrit (öpp) krefjast mörg aðgangs að tækisauðkenni, myndavél, hljóðnema, tengiliðum, símanúmerum, persónuupplýsingum og öðrum skrám, sem safnað er úr tækjum notenda í gagnagrunn hvers konar fyrirtækja og annara. Auðvelt er að komast inn í þessi tæki í þeim tilgangi að nálgast persónuleg gögn og viðkvæmar upplýsingar.

2. Nýta sér veikleika netþjóna

Fjölmargar árásir eru gerða árlega á netþjóna í þeim tilgangi að hamla virkni þeirra eða að stöðva aðgengi annara að þeim. Þessar árásir eru oft gerðar af ,,hugsjón“ þeirra sem að þeim standa, vegna þess að þeir eru mótfallnir starfsemi eða stefnu ákveðinna fyrirtækja eða annara aðila. Í sumum tilvikum eru ástæðurnar pólitískar og þá geta opinberir þjónustuvefir legið niðri um tíma, eins vefur stjórnarráðs Íslands í nóvember 2016.

3. Nota nýjan hugbúnað til stuldar

Í sumum tilvikum er hægt að nota nýjustu farsímana til þess að nálgast upplýsingar á greiðslukortum annara og millifæra upphæðir frá kortinu í símann, svipað og mögulegt er með snertilausum posum. Greiðslukortin þurfa að innifela RFID (e. Radio Frequency Identification) og símarnir NFC (e. Near Field Communications) samskiptamáta. Í þeim tilvikum þarf viðeigandi hugbúnað til verksins.

4. Hlera áslátt á lyklaborð

Ákveðnar tegundir farsíma, sem liggja við hlið (gamaldags QWERTY) lyklaborðs, geta numið og greint þá takka sem stutt er á. Farsíminn skynjar fjarlægð ásláttar fyrir hvernig takka og ber þá niðurstöðu saman við orðabók til þess að áætla hvert orð með um 80% vissu. Þessa aðferð mætti nota til þess að nálgast hvað sem er eins og lykilorð, spjall og ræður, hvort sem texti notandans er vistaður eða ekki.

5. Brjótast inn í stór kerfi

Orkuver, samgöngufyrirtæki, matvælaframleiðsla, fjármálafyrirtæki, fjölmiðlar, stofnanir og fleiri aðilar stóla í auknum mæli á nettengingu. Vinnsla og varðveisla gagna er sífellt að færast í miðlægar stöðvar og ský (e. Cloud) sem gerir gögnin að vissu leyti berskjölduð. Starfsemi hópa, svæða og landa gæti því gengið úr skorðum ef mikilvæg grunnþjónusta raskast vegna tölvuárása, auk þess sem landvarnir gætu veikst, starfsemi fyrirtækja laskast og dreifing nauðsynja tafist. Einföld vírusvörn dygði tæplega í því tilviki.