- ByteMan forteller om de virkelige metodene

Alle datasnokmetodene som er beskrevet i romanen ByteMan har forekommet i virkeligheten, sier forfatter og sikkerhetsekspert Stein A. J. Møllerhaug.

Utgangspunktet for samtalen er min påstand om at boka (se peker til bokanmeldelsen i margen til høyre, red.anm.) gjelder begivenheter fram til 1996, og at mye teknologi har gjennomgått vesentlige endringer siden da. Møllerhaugs svar er at det gjelder avlytting og andre hackerteknologier også. Samtidig er de grunnleggende metodene de samme, og ropet om å være mer forsiktig må gjalle enda kraftigere.

- Skjermavlytting spiller en viktig rolle i boka. En del nye skjermer stråler veldig lite, og det er blitt vanskeligere å fange data bare ved å analysere skjermstråling. På den andre siden motvirkes denne trenden delvis av at skjermene er blitt fysisk større og av at det er bedre tilgang på datakraft når strålingen skal analyseres.

I romanen konstrueres en privat mikrobølgekanon som ødelegger halvlederkretser ved å sende ut kraftige elektromagnetiske pulser (EMP).

- Det er dokumentert et tilfelle i USA der en privatperson konstruerte en slik i et forsøk på å diskreditere et bilmerke. Amerikansk utrykningspoliti diskuterer bruken av EMP-pistoler for å stanse biler ved å ødelegge brikkene som overvåker bensininnsprøyting og andre sentrale funksjoner. Nå er det ikke så lett å få tak i viktige komponenter som høypresisjonsantenne og mikrobølgehode i megawatt-klassen. Men skal det opereres på nært hold, er det enklere å bygge effektive strålevåpen. Allerede i dag er man redd for mobiltelefoner i fly og sjukehus. Tenk deg en terrorist med en strålepistol forkledd som mobiltelefon. En gammel Boeing 727 vil ikke trues. Men mot en ny Airbus kan det fort oppstå vesentlige systemforstyrrelser.

Et gjennomgangstema i romanen er jakten på passord. Her trekker Møllerhaug på sine egne erfaringer som sikkerhetskonsulent.

- Som oftest velges passord helt ureflektert. Jeg pleier å gå rundt omkring i bedriften og notere meg reklameplakater og annet som faller inn i folks daglige synsfelt. Det gir meg 60 til 70 prosent av passordene som brukes. Den neste rutinen er å kjøre passordsjekk mot utvidede ordlister, mot bransjelister med faguttrykk og også sjekke vilkårlige av to og to ord. Da knekker jeg 90 til 95 prosent av passordene.

- Det er blitt et stort problem at folk trenger en rekke ulike passord for å nå ulike tjenester på nettet, også Internettet. Enten bruker man én eller en håndfull passord til alle tjenestene, eller man har et system. Ingen kan gå rundt og huske 50 ulike passord. Det hjelper ikke alltid like godt å kryptere passord heller. Svært mange nett-tjenester tar passord direkte, og nettet er enklere å avlytte enn mange tror. Faste samband går over vanlige linjetraseer, og det er ingen stor sak å finne fram til ledningen og tappe noen signaler.

I boka letes det mye i avfallshauger etter disketter. Dokumenter på avfallshauger er fortsatt svært avslørende, selv om det blir færre disketter med årene.

Møllerhaug ser på biometrisk tilgangskontroll som den eneste utveien. Men systemer som sjekker iris, fingeravtrykk eller stemme koster gjerne en tusenlapp per arbeidsplass, mens passord er gratis. Dessuten er ikke biometriske systemer stabile nok ennå.

- Omfanget av avlytting på nettet er undervurdert. Folk skal være klar over at offentlige nettverk avlyttes rutinemessig av en rekke instanser. I Tyskland har Verfassungschutz ("forfatningsbeskyttelsen") innrømmet at man lytter på alt som kommer inn til Tyskland og leter etter nøkkelord. Innrømmelsen gjelder telefoni, men du kan være sikker på at de sjekker Internett-trafikken også. Opptrer du mistenkelig, kan du uten videre gå ut fra at de lagrer det du har av passord.

Noe av det som virker mest fantasifullt ved boka, er et opplegg der en diskleverandør rutinemessig sørger for serviceavtaler og jevnlig sender folk for å bytte ut disker. Men leverandøren er en kjeltring som kopierer følsomme data og sender dem oppover i mafiahierarkiet.

- Modellen er et tysk firma som det aldri ble noen offentlig oppvask rundt. Det fleste har ingen hemninger mot å la en servicetekniker få med seg en disk. Jeg hadde en gang en kunde som plutselig var i besittelse av et intakt styringssystem til et atomkraftverk. Den lå på en såkalt blank disk. Hovedregelen bør være at alle disker som forlater området som du kontrollerer må gå til en godkjent sletteinstans. I Norge betyr dette IBAS i Kongsvinger.

En av Møllerhaugs kjepphester er at en bærbar PC er som et bærbart WC. "Du bærer med deg all dritten hele tida." Dette går igjen i romanen.

- Selv om du har et ugjettbart oppstartpassord, er det fort gjort å fjerne en disk. Bruk programvare som krypterer følsomme data og som ikke lagrer sitt passord på et ubeskyttet område på disken.

Ureflektert slendrian er brukernes største svakhet. Romanen ByteMan forteller historien om hvordan dette utnyttes hensynsløst av krefter som ikke kjenner hemninger på noe område.

Til toppen