21.01.2019
5 min læsetid

Her er røverhistorierne fra hackerjægerens kuffert

Det ville klæde den kommende valgkamp at sætte cybersikkerhed på dagsordenen, for kineserne og alle de andre har uendeligt mange tricks i ærmet, mener it-sikkerhedsrådgiver Mogens Nørgaard.

Anne-Cathrine Jensen

afAnne-Cathrine Jensen

Der samler sig en del himstregimser og dingenoter, når en professionel it-sikkerhedsekspert skal forsøge at holde øje med alle hackernes våben.

Keld Norman, incident response manager hos Dubex, et af Danmarks største it-sikkerhedsfirmaer, har samlet en del til sig gennem årene, og han har taget et udvalg af de mere kreative hackerværktøjer med på besøg hos teknologipodcasten Techtopia.

På den populære nethandelsportal Wish har Keld Norman købt to smarture. De har kamera, OLED-mobilskærme, kan gå på 2G-netværk og har bluetooth. Og så koster de henholdsvis 79 og 160 kroner, mens de har en slående lighed med Apple Watches til flere tusinde kroner.

Billig elektronik med bagdøre

Data- og sikkerhedsrådgiver Mogens Nørgaard er enig med Keld Norman i, at selv om Kina kan producere billig elektronik, så er det svært at forestille sig, at det ikke er dyrere at fremstille disse ure end de abnormt lave priser, de bliver solgt til på Wish.

”Det tyder på, at staten har hjulpet med finansieringen, så producenterne kan sælge og sende det billigt til os,” vurderer Mogens Nørgaard.

Vi bør holde partierne op på at tage stilling til, hvordan de vil sikre landet imod angreb, men det virker stadig, som om vi er mere bange for vildsvin end for hackere

Mogens Nørgaard,
Data- og sikkerhedsrådgiver

Det indicerer, at den kinesiske stat har et højere formål med at subsidiere elektronikproducenter, så de vinder en så stor markedsandel som muligt. Keld Normans test af det ene ur tyder på, at der er noget om snakken.

”Jeg lavede mit eget 2G-netværk, som jeg tilsluttede det ene ur. På den måde kan jeg følge, hvad der sker med dataen, når uret tilgår nettet, og jeg fandt ud af, at når jeg tænder 2G-netværket i uret, så kontakter det en isp (internet service provider, red.) i Kina,” fortæller han.

Hele vejen til Kina

Hvis man bruger Google på urskærmen, ændres søgeresultaterne også fra, hvad Google.com eller -.dk viser. Søgningen går via kinesisk Google.

”Det tyder på at urene er prækompromitterede,” siger Keld Norman.

Hvis man har sådan et ur, og det er tilsluttet et dataabonnement, så kan kompromitterede ure overtages hele vejen fra Kina og bruges til at lægge hjemmesider ned med DDoS-angreb. Akkumulerer man nok kompromitterede devices på verdensplan, så kan Kina – hvis de vælger det – overtage talrige enheder på en gang og angribe fra dem, så det lægger Rusland, USA eller store virksomheder ned, på samme måde som vi så med det russiske Mærsk-angreb.

”Man kan altså meget nemt uforvarende komme til at købe noget elektronik, som der er noget galt med og som er kompromitteret og sender din data til Kina,” understreger Keld Norman.

Fly by’s og nær-hacking

Malware bliver hele tiden smartere, og det er ikke længere kun noget med et link i en mistænksom e-mail. I dag kan hackere sikre sig adgang til dine enheder gennem ledningen til opladeren, din mus eller en Chromecast der er sluttet til internettet.

Med opladerledningerne og musen gælder det, at du ikke opdager noget, når du bruger den – der er altså intet, der afslører, at din pc eller telefon er inficeret. I stedet installeres et keyboard via den kompromitterede mus eller ledning, sådan at en hacker kan stå 200 meter væk og overtage elektronikken.

”Vi fik en Raspberry Pi (ekstremt billig computer på størrelse med et kreditkort, red.) med antenne til at hacke en mus automatisk på DEF CON (tech-konference, red.), da vi lige skulle vise, hvad vi kunne,” siger Keld Norman og understreger, at det ikke nødvendigvis kræver adgang eller fysisk kontakt at bryde ind i sine ofres enheder.

”Nogle kabler skal bare inden for rækkevidde af Bluetooth, som kan sprede angrebet. Musen her kan eksempelvis nå ind i et kontor ude fra en parkeringsplads, men det kunne lige så godt være en drone, der flyver forbi vinduet med signalet,” forklarer han.

Gode råd er gratis – men kablerne er dyre

En af måderne, man kan sikre sig mod at blive kompromitteret af hardware på, er at købe originalt. Og ikke engang det, kan sikre dig 100 procent.

”Det er klart sikrest med en veldokumenteret supply chain, men der er jo intet til hinder for, at nogen laver tilføjelser eller udskiftninger på hardwaren, mens den er i transit,” vurderer Keld Norman.

Hvis hackere går trådløst til værks i stedet for at installere deres adgang i vores hardware, skal de være tættere på os.

”Men det er ikke særlig svært, fordi de fleste af os ukritisk logger på wifi, når vi sidder på en café eller lignende. Så kan en hacker bare udbyde et netværk, der hedder stort set det samme, som man kan logge på uden kodeord, og så snart du er online via deres netværk, kan de hvis du har en vejrapp, finde temmelig præcist ud af, hvor du sidder - ned til et par meters afstand,” fortæller Keld Norman.

”De kan også manipulere med de informationer, du får adgang til, når du bruger netværket: Aktiekurser, billeder på nyhedssider, og de kan lægge en ting ind i din html, så man kan se hvad du skriver på din skærm - også i de slørede felter, hvor du skriver koder.”

Politisk indblanding på vej?

Ingen af de to herrer er særligt fortrøstningsfulde, når det kommer til at forudse, om politikerne vil begynde at tage mere ansvar og forbedre sikkerheden på området.

”Det ville klæde valgkampen at få it-sikkerhed som tema. Vi bør holde partierne op på at tage stilling til, hvordan de vil sikre landet imod angreb, men det virker stadig, som om vi er mere bange for vildsvin end for hackere,” siger Mogens Nørgaard.

Keld Norman er enig:

”Det bliver værre og værre, men konsekvenspædagogik virker jo. så der vil også blive taget tilsvarende mere drastiske tiltag imod angrebene, jo værre og mere skadende, de bliver,” er hans triste forudsigelse.

I podcasten kan du høre mere om, hvordan de to eksperter vurderer muligheden for en sikkerhedscertificering à la Smileyordningen bare til it-udbydere, eller om det vil virke at flytte al data fra hardware op i skyen. Spoiler alert: Det vil det ikke.

Tilmeld dig Techtopia

I nyhedsbrevet får du bl.a. artikler og historier om de emner vi beskæftiger os med i podcasten.
  • Artikler
  • Historier
Tilmeld dig nyhedsbrevLæs det seneste nyhedsbrev