iCloud Sign InInternett er kommet for å bli, sies det i en flåsete vending. Det er også iCloud fra Apple som er en  enkel og effektiv tjeneste for å synke innhold mellom ulike enheter og nettet. Hackere er et ord stadig flere hører og frykter, og de er også kommet for å bli – stadig flere og stadig mer ondsinnede. Nakne jenter er det overalt på nettet, men her snakker vi om ufrivillig nakenhet. Og så kryptering da, dette matematiske, kompliserte og kryptiske ordet som er forbeholdt teknologer, spesialister og alle andre enn deg. For du har jo Internett og iCloud som tar vare på dine data. Eller? 

Hva er iCloud og hvorfor slipper det ut nakne jenter?

Den enkleste er å la Apple selv introdusere iCloud – slik de p.t. gjør det på sine norske nettsider:

 Internett er kommet for å bli, sies det i en flåsete vending. Det er også iCloud fra Apple som er en  enkel og effektiv tjeneste for å synke innhold mellom ulike enheter og nettet. Hackere er et ord stadig flere hører, og de er også kommet for å bli - stadig flere og stadig mer ondsinnede. Nakne jenter er det overalt på nettet, men her snakker vi om ufrivillig nakenhet. Og så kryptering da, dette matematiske, kompliserte og vanskelige ordet som er forbeholdt teknologer, spesialister og alle andre enn deg. For du har jo Internett og iCloud som tar vare på dine data. Eller?   Hva er iCloud og hvorfor slipper det ut nakne jenter?  Den enkleste er å la Apple selv introdusere iCloud - slik det gjør det på sine norske nettsider:    Det er rett og slett enkelt. Og det på på en iPhone eller iPad nær deg - helt automatisk. Her kan du synke bilder, dokumenter, epost, kontakter og annet mellom dine ulike Apple-enheter - og alt går via nettskyen og Apple sin tjeneste iCloud. Det er navet i systemet, og alle data du ønsker å synke mellom dine enheter blir altså lagret hos Apple. Trygt og godt. Som de fleste har trodd. Til nå.  VG...    Hvem er disse hackerne - som vil oss så vondt?  Kommer...  Hvorfor er manglende kryptering et problem?  Kommer...  Eksempel: Ensafer krypterer Dropbox  Kommer  Moral: Medaljen har en bakside  Kommer...

Det er rett og slett enkelt. Og iCloud finnes alltid på en iPhone eller iPad nær deg – helt automatisk. Her kan du synke bilder, dokumenter, epost, kontakter og annet mellom dine ulike Apple-enheter – og alt går via nettskyen og Apple sin tjeneste iCloud. Det er navet i systemet, og alle data du ønsker å synke mellom dine enheter blir altså lagret hos Apple. Trygt og godt. Som de fleste har trodd. Til nå.

VG om Tor Johannes 
Helleland

For nå vet folk bedre. Det norske folk leser VG. Og der fikk vi sist lørdag servert en tragisk historie på hele forsiden av avisen samt på forsiden og som hovedoppslag i helgebilaget. En historie som de fleste nå har hørt om nå: Den unge Høyre-politikeren Tor Johannes 
Helleland som hacket seg inn på jenter sine iCloud-konti, snappet ut lettkledde bilder av dem for så å legge dem ut på et forum på nettet. Sannsynligvis nakenbilder også, men det vil etterforskningen vise. En stygg historie. Kriminelt. Og uforståelig.

Media har dekket dette i metervis av spalteplass, så la meg ikke gjenta det som allerede er sagt og skrevet. La meg heller se på iCloud og denne type tjenester som er så enkle og effektive – men samtidig så skumle og usikre som vi ser nå. La meg poengtere at dette ikke er et problem særskilt for iCloud da det er en tjeneste på linje med mange andre fra de globale aktørene. Dropbox har hatt sine skandaler, f.eks. i fjor sommer når Mitt Romney sin konto ble hacket under presidentvalgkampen i USA. Andre tjenester lider også.

Aftenposten skriver om iCloud

For det første: Det er ikke første gang det lekker ut info til feil hender fra slike tjenester. Det er en global tjeneste, så dette er heller ikke spesielt for Norge. Det spesielle i saken ovenfor er at det er en politiker med sentrale verv (i Høyre), det er åpenbart kriminelt, og valgkampen forsterker trykket. La meg likevel minne om at Aftenposten fylte sin forside 2. februar i år med et lignende oppslag. Jeg har blogget om dette oppslaget, noe som kan leses her.

For det andre: Slike tjeneste er bygd for enkelhet og brukervennlighet, og det er gjort i en tid da sikkerhet ikke var så i fokus som nå. Det er likevel ikke usikre tjenester tvers gjennom, men det er mulig for nevekyndige personer (les: hackere) å få utilsiktet tilgang til data fra personer og bedrifter. I noen tilfeller ofres sikkerhet for å unngå kompleksitet, noe jeg blogget om her når Dropbox ble tatt med boksen åpen i 2011 – bokstavelig talt.

For det tredje: Det er ikke slik at iCloud og andre slipper ut nakne jenter (eller gutter) automatisk eller ved enkle klikk. Man må være kyndig og vite hvordan det skal gjøres. Men terskelen for å lære dette blir stadig lavere, og nettet er fullt av oppskrifter, systemer og hjelpere som kan bistå den som ønsker å lære denne uærlige kunsten. Så kombinasjonen av interessante data, usikre nettjenester og lavere terskel for å hacke gjør at dette skjer. Og dette er bare starten på en sterkt voksende trend. Dessverre.

Hvem er disse hackerne – og kan vi unngå dem?

Problemet er at dette skjer stadig oftere, antall hackere øker, og det har gått fra å være “uskyldig” hacking fra gutterom til å bli hardbarket kriminalitet med milliarder på spill utøvd av profesjonelle organisasjoner. Wikipedia definerer begrepet hacker slik:

“A hacker is someone who seeks and exploits weaknesses in a computer system or computer network. Hackers may be motivated by a multitude of reasons, such as profit, protest, or challenge. The subculture that has evolved around hackers is often referred to as the computer underground and is now a known community. While other uses of the word hacker exist that are not related to computer security, such as referring to someone with an advanced understanding of computers and computer networks, they are rarely used in mainstream context. They are subject to the long standing hacker definition controversy about the true meaning of the term hacker.”

Som definisjonen antyder, så brukes begrepet ulikt – fra å være en person med uærlige hensikter til den positive betydningen av en ekspert eller spesialist med avansert kunnskap innen IKT. Men i dag forbinder de fleste det med kriminelle datainnbrudd, såkalte “black hats“, mens personer som lovlydig bryter sikkerheten (f.eks. til testing av egne og andres systemer) kalles “white hats“. Sistnevnte kalles også “etisk hacker”.

Kan man beskytte seg mot hackere? Nei, dessverre – ikke fullt og helt. Men man kan gjøre veldig mye selv for å unngå å bli rammet, både som privatperson og bedrift. Det finnes mange gode tips på nettet, noe jeg overlater til den enkelte å søke frem. La meg likevel nevne Slettmeg.no som er bra for personer som føler seg krenket og ønsker informasjon slettet fra nettet – noe som dessverre er vanskeligere enn mange tror.

Slettmeg.no

La meg også nevne Nasjonal Sikkerhetsmyndighet som er – som navnet tilsier – et nasjonalt sikkerhetsorgan. De har en sikkerhetsblogg som er verdt å følge. De driver i tillegg NorCERT som er et nasjonalt senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Forsvaret har et tilsvarende senter, et slags “cyberforsvar”, noe jeg blogget om for et par år siden her. Datatilsynet og NorSIS er også gode kilder om datasikkerhet.

Tor Johannes 
Helleland skal ha brutt seg inn på jentenes iCloud-konti ved å knekke og resette passord, noe som ofte er lett fordi mange slurver med passord og har for enkle svar på sikkerhetsspørsmålene (f.eks. navnet på hunden eller mors pikenavn). Mye kan unngås bare ved å bli bedre med passord. Det er forresten mulig å kjøpe ferdighackede brukernavn og passord på nettet, så det er et marked for alt her i verden. Hvis du vil vite mer om passord og autentisering, kan du besøke bloggen Security Nirvana til Per Thorsheim.

Er det mulig å sikre seg mot iCloud-hacking? Her er en artikkel om det problemet. Man kan og må gjøre mye selv for å unngå hacking, men det er ikke enkelt (for menigmann) å beskytte seg fullt og helt. Den eneste kjente måten å beskytte seg på er såkalt “ende-til-ende kryptering”. Problemet er at de fleste ikke bruker kryptering fordi det føles vanskelig og utilgjengelig – og fordi man rett og slett ikke vet om det.

Hvorfor er kryptering en løsning?

Aftenposten om kryptering i nettskyen

Kryptering er et kryptisk ord for mange, bokstavelig talt. Men begrepet begynner å krype inn under huden på mange, både privatpersoner og bedrifter, etter det siste året med mange og massive medieoppslag om datainnbrudd, hacking, virus, trojanere og det som verre er. Men hva er egentlig kryptering og hvorfor trenger vi det?

La meg ikke gjenta meg selv, og heller vise til et blogginnlegg jeg skrev for noen uker siden etter at Aftenposten hadde et glimrende oppslag om hvordan du kan beskytte deg selv i nettskyen med kryptering. Les det, så forstår du poenget. La meg likevel gjenta definisjonen av kryptering her i tilfelle du ikke har tid til å browse innom blogginnlegget:

“Kryptografi er læren om språklige og matematiske teknikker for å sikre informasjon mot innsyn eller modifikasjon, som oftest i forbindelse med kommunikasjon. Ordet kommer fra gresk: kryptos («skjult») og graphein («skrive»). Det greske verbet kryptein betyr å skjule.”

Hvorfor løser kryptering mange problemer? Jo, fordi dine data gjøres uleselige for andre enn deg selv eller de du deler denne informasjonen med. Problemet er at mange tjenester sier at de krypterer, og det skjer da på deres servere. Dermed er det de som krypterer og som har krypteringsnøklene, noe som er det samme som å gi husnøklene til fremmede. Poenget er at du må kryptere selv og kontrollere disse nøklene.

image.pngMen hvordan gjøres det uten doktorgrad i kryptografi? Vel, du må benytte programvare som gjør det på en enkel og skjult måte slik at du slipper å tenke på det. Utfordringen er at det ikke finnes mange slike tjenester, men det begynner å poppe opp fordi behovet nå øker. Og det er nettopp det jeg og mitt selskap har jobbet med i mange år, og vi har lansert Ensafer som krypterer Dropbox. Om ikke lenge krypterer vi også Google Drive og Microsoft SkyDrive. iCloud står ikke på blokka ennå, med det burde det nok gjort ser jeg.

Kryptering løser ikke alle problemer, og er ikke noe man har behov for hvis ikke informasjonen er sensitiv eller ønskes beskyttet. Dessuten vanskeliggjør kryptering søk i mange tilfeller hvis det er viktig. Forvaltning av krypteringsnøkler er et problem i en del løsninger, men ikke i Ensafer. Det er likevel anerkjent at ende-til-ende kryptering er en god måte å sikre sine data mot hackere og andre inntrengere.

Encrypted textHvordan ser kryptering ut? Til høyre er mitt portrettbilde kryptert med Ensafer og lagret på Dropbox. Slik ser det ut hvis en hacker hadde stjålet det fra min Dropbox-konto (klikk på det for større versjon). Dette formatet ville ikke vært særlig interessant for Tor Johannes 
Helleland å stjele og legge ut på nettet. Nå er ikke bilde av meg noe å legge ut uansett, men jeg håper poenget er oppfattet.

Moral: Medaljen har en bakside

Som nevnt, Internett er kommet for å bli. Det er også hackerne. Hele verden har omfavnet Internett med alle sine tjenester det siste tiåret – nærmest på en euforisk måte. Spør bare Facebook. Nå begynner imidlertid mange å skjønne at Internett-medaljen har en bakside som man må beskytte seg mot.

Og noen tar til motverge ved å avsløre hackere, slik “super-hackeren” Einar Otto Stangvik gjorde med Tor Johannes Helleland. VG gjorde det kjent for hele Norge, Einar fikk sine 15 minutters berømmelse og Tor sitter knust og avslørt tilbake. En “white hat” har knekt en “black hat”. All ros til Einar. Her er Politiets svar når VG spør om de vil fraråde privatpersoner å gjøre som Einar: “Det er vanskelig å være bastant på det, men man må i hvert fall være forsiktig. En slik inngripen kan i verste fall skade politiets egen etterforskning. Denne personen har for eksempel lagt ut lokkemat, og det kan være problematisk. Vi vet heller ikke om det foreligger en provokasjon i arbeidet hans.” Saken har to sider, og VG har belyst den ene.

Ha ei sikker helg!