Det är 45 år sedan den första nätmasken skapades, och trettio år sedan det första viruset för PC. Dataskyddstillverkaren Panda Labs meddelade år 2014 att den hittat 75 miljoner olika sabotageprogram. Från att ha varit en lek har skadlig kod blivit en stor kriminell affärsverksamhet, som går hand i hand med att nätet växer och information blivit en enorm business.
Text: Nicklas Hägen
UNDER DEN SISTA veckan av sommarens semester började mitt Facebookflöde annonsera om psykoterapi och hjälp att sluta dricka. Även om jag inte kände något omedelbart behov av dessa tjänster där och då, kan jag se på vilket sätt reklamen var riktad till mig.
Under semestern hade jag checkat in på en restaurang, fotograferats av en kompis på en festival och skrivit att jag ”äter öl” med min far på pontonen som går skytteltrafik i Aura å här i Åbo under somrarna. Jag delade också Bo Anderssons (strålande) version av Tove Janssons dystra ”Höstvisa” och nämnde något om att semestern tar slut. Facebooks algoritmer drog sina egna slutsatser.
Data har kallats den nya oljan. Den riktade reklamen är bara ett tecken på hur allt vi berättar om oss själva och hur vi beter oss på nätet är information som någon gör pengar på – om inte direkt genom att sälja till oss, så genom att kränga informationen till någon som gör det.
– Hur är det möjligt att Facebook, Google och alla andra tjänster vi använder gratis kan skapa en omsättning på miljarder euron? Som användare är vi inte deras kunder, vi är produkten. Allt vårt beteende på nätet, till exempel de data vi söker, sidor vi läser och de appar vi använder, samlas och utnyttjas av reklambyråer som i sin tur gör pengar på det. Och det finns massor av dem, säger Ranjita Pradhan, färsk diplomingenjör i Networked Systems Security vid Åbo universitet.
Många webbsidor samlar information om sina användare. Vanligtvis görs det genom att registrera IP-adresser – den plats datorn kopplar upp till nätet ifrån – eller genom att på användarens dator spara cookies, det vill säga små filer som skickar ut information om information om användaren, till exempel hens preferenser gällande layout eller fontstorlek, mellan olika sessioner på en webbsajt. På det här sättet behöver denna information inte lagras på själva webbservern eller matas in på nytt för varje ny session. Med hjälp av informationen kan man sedan till exempel förbättra hur webbsidorna fungerar eller utveckla sin affärsverksamhet.
Men informationen kan också användas till att skapa en profil av enskilda besökare som kan bli rätt detaljerad.
– De analyserar mina data och behandlar dem så att jag får bättre service tillbaka, anpassade annonser och så vidare. De skulle säga att de gör våra liv bättre, men den här informationen är guld värd för många företag och man kunde tycka att användaren borde få betalt för den, säger Pradhan.
Gråzoner
Många webbsidor meddelar idag att de sparar cookies. Sådana kan programmeras på många sätt och exakt vilken information de skickar tillbaka till de sajter som skapat dem eller till en tredje part, förblir ofta oklart. En orsak är att de kan vara krypterade. En annan är användaren: nästan ingen läser igenom avtalen innan de godkänner dem.
– Vi läser dem aldrig för de är för långa. Men så här samlas information för dataanalys eller så kallad datautvinning, där man söker beteendemönster med hjälp av effektiva algoritmer, säger Pradhan.
I informationsinsamlingen rör sig många av de företag vi vanligen litar på i gråzonen för vad vi själva kanske tycker är vår privata sfär. Eftersom det under de senaste åren funnits en hel del rättsprocesser om informationen som samlas in, har företag och serviceproducenter för att hålla ryggen fri börjat be om vårt godkännande. Varken lag eller konsument verkar riktigt hänga med. Vi godkänner och klickar vidare utan att läsa.
– Att till exempel Googles Gmail samlar information om innehållet i e-posten dess användare skickar är kanske inte klart för alla. Ännu mindre att man samlar information också om mottagaren av e-posten, även om denna inte använder Gmail, säger Pradhan.
Och det är förstås inte bara Google. Instagram förbehåller sig rätten att använda de bilder användaren lägger upp och LinkedIn att använda informationen vi fyller i om våra karriärer, för att ta ett par vardagliga exempel.
Ett av de mera extrema exemplen är de nya, ”smarta” tv-apparaterna som kommer med både kamera och mikrofon. Åtminstone Samsung har anklagats för att använda kameran till att identifiera vem som tittar på tv och banda röster.
Vilket i sin tur för oss till att nästan var och en av oss dagligen går runt med en mobiltelefon på fickan. Där finns både kamera och mikrofon, som går att koppla av och på utan att användaren är medveten om det. George Orwells 1984-scenario, där någon sitter bakom en skärm eller högtalare och lyssnar, är för resurskrävande, men röst-, bild- och textanalysprogram har precis som processorkapaciteten utvecklats enormt. I vilken utsträckning dessa program används och vad det i så fall betyder för individens integritet och säkerhet, vill vi inte desto mera spekulera i.
Allt det här låter som en spions dröm, men det är väl bara paranoia?
– Vi behöver vara skeptiska och lite paranoida. Den som inte är paranoid i kodvärlden klarar sig inte, säger Pradhan.
Det kriminella då?
Cookies är fullt lagliga och installeras med användarens samtycke, även om man kanske inte alltid är medveten eller intresserad av vad det är man samtycker till. De innehåller endast sådana data som ändå finns på webbservern eller som användaren själv har gett vid något skede. Det som räknas som skadlig programvara är snarare sådant som gör intrång på din dator eller mobiltelefon för att sabotera dess funktion eller, också i det här fallet, samla information. Det kan vara till exempel maskar, virus, trojaner, annonsprogram eller spionprogram.
Annamari Soini, lektor i datateknik vid Åbo Akademi, handledde Pradhans magisterarbete som del av ett samarbete mellan universiteten. Hon säger att man noggrant behöver tänka över vilka appar man ger åtkomst till kamera, platsinformation eller dylikt.
Annamari Soini. Foto: Privat.
– Sakernas internet, IoT (Internet of Things), medför nya risker, eftersom systemen ingalunda ännu är lika väl skyddade som äldre system där vi känner till riskerna bättre. Vill man riskera att en hackare får tillgång till vår köksspis eller bastuugn? En insulinpump med en sensor som skulle mäta blodsockret kontinuerligt och dosera medicinen därefter är en trevlig idé, men om man kopplar den via nätet till en läkare som kunde följa läget och vid behov modifiera doseringen kan följderna bli fatala ifall en hackare bryter sig in i systemet och tar kontroll, säger Soini.
Skadlig programvara för kanske tankarna till ensamma hackers eller maffiagäng, men det är ofta en villfarelse. Till exempel gick Check Point Software Technologies i somras ut med att man spårat viruset HummingBad till det cyberkriminella gänget Yingmob, som arbetar sida vid sida med ett lagligt kinesiskt reklamanalysföretag och delar deras resurser och teknologi. HummingBad hade smittat 85 miljoner Androidtelefoner runtom i världen, och inbringade upp till 270 000 euro per månad i reklamintäkter.
Med våra data som handelsvara har sabotageprogrammen skrivna för datorer förändrats.
– Säkerhetsfrågor brukade vara att man låser ner någons dator, eller gör en så kallad denial of service-attack som hindrar normal användning av datorn. Det var ett maktspel. Hackaren visade sin styrka, svarade på en utmaning, uttryckte att hen kan komma åt användaren eller göra saker bättre än andra. Idag är pengar den stora drivkraften bakom, säger Pradhan.
Data och information används inte bara för handel och reklam. Den cyberkriminella världen är betydligt bredare och innehåller också till exempel företagsspionage, bedrägeri, utpressning samt regelrätta stölder från banker och enskilda individers bankkonton och kreditkort.
– Ett växande fenomen är ransomware, som till exempel krypterar dina filer och kräver betalning för att dekryptera dem. I dagens läge kan man följa betalningar som gjorts med ett kreditkort, men ifall den digitala valutan bitcoin vinner terräng kan det bli omöjligt att spåra betalningarna och detta fenomen kan bli mycket vanligare, säger Soini.
Branschen har skapat en egen ”svart” serviceekonomi. Till exempel blir så kallade exploit kits, färdiga verktyg för sabotageprogram som säljs av hackers, vanligare. Säkerhetsföretaget Trustwave har till exempel beskrivit hur det ryska gänget RIG genom att hyra ut sina exploit kits för kortare tider genom en enskild gren av nätverket kan tjäna upp till 90 000 dollar i månaden.
Datasäkerhetsföretaget McAfee uppskattar att cyberkriminalitetens kostnad för den globala ekonomin ligger på mellan 375 och 575 miljarder dollar per år. Siffran har sagts vara mycket överdriven, men det som gör den så stor är enligt McAfee industrispionaget – som enligt vad hackern Edward Snowden visat ibland är statsstött.
Andra verkar komma till liknande resultat som McAfee. Det brittiska försäkringsbolaget Lloyd’s uppskattade att skadorna från cyberattacker och hackningar kostar företag runt 400 miljarder årligen. Juniper Research uppskattar att kostnaderna kan stiga till 2,1 biljoner år 2019. Samtidigt växer datasäkerhetsmarknaden, som enligt Gartner i fjol låg på 77 miljarder dollar och antas växa till 170 miljarder till år 2020.
Sabotageprogram används till och med i krigsföring. Att Iran inte lyckades skydda sitt atomprogram från amerikanska och israeliska säkerhetstjänster ger en antydan om hur lätt det måste vara för någon som är riktigt skicklig att bryta sig in på en vanlig hemmadator. Något säkert skydd finns inte.
– Antivirus skrivs så att man matchar koden enligt mönster som funnits i skadlig programvara man tidigare hittat. Därför ger de många gånger falskt alarm, säger Pradhan.
– Antivirus är alltså snarast ett försvar mot vad som redan gjorts. Om man tänker att skyddet ska vara hundraprocentigt måste man tänka från hackarens perspektiv, alltså utifrån vad de kanske kommer att utveckla. Det kan man inte veta.
Soini tillägger att det här skapar utmaningar för utbildningen.
– Att hålla en kurs om hur man skriver antivirusprogram innebär alltid ett etiskt problem: vi kan inte lära ut detta utan att samtidigt visa hur man skriver virus. Det samma gäller motattacker mot alla slags sabotageprogram, säger Soini.
Program skapas idag oftast av att kombinera moduler som finns lagrade i databaser, färdigt skrivna för olika funktioner man vill att programmet ska ha. Säkerhetsarbetet består därför i hög grad i att identifiera svagheter i koden.
– Säkerhet har blivit en viktig del i utvecklingen av mjukvara. Eftersom man idag kan googla kod och kopiera den, är mängden tillgänglig kod miljontals på miljontals med rader. Och ju mera kod det finns, desto mera sårbarheter, felaktigt skriven kod och kryphål finns det. Att lära sig skriva säker kod är därför mycket svårt. Du behöver på riktigt veta vad som händer, säger Pradhan.
Så hur får en vanlig användare normalt in skadlig programvara på datorn?
– Ofta tillåter man att mjukvaran installeras utan att man är medveten om det. I installationsfönstret för ett program man vill ha, kan det i det finstilta stå att man samtidigt också installerar en annan mjukvara. Den finns inbakad i paketet, installeras med det och utför aktivitet på datorn som man inte är medveten om. Programmet kanske läser ens filer, och har tillgång till ens hårdvara och nätverksinformation. På det här sättet kan man få in en trojan eller ett virus, säger Pradhan.
– Bittorrent är kanske det bästa exemplet. Folk är så ivriga på att få tillgång till det de laddar ner att de bara klickar vidare. De tror att de laddar ner en sak men det kommer ofta mycket annat med samtidigt.
Människor kanske upplever att de inte har något de behöver hålla så privat. Varför ska de bekymra sig över dataskydd?
– Cyberkriminella av olika slag kan behöva mängder av apparater som resurs. Genom att kapa datorer kan de använda dem, datorerna blir tillsammans deras så kallade botnet. De kan då använda datorernas resurser tillsammans för att till exempel skapa en server, göra en denial of service-attack, eller utvinna bitcoins.
– Kriminella på nätet vill inte att deras verksamhet ska gå att spåra tillbaka till dem. Därför hittar de sårbara datorer och leder spårningen tillbaka till deras IP-adresser. Även om du är oskyldig kommer det tillbaka till dig. Därför är det din plikt att hålla dig skyddad.
Ranjita Pradhan skrev sitt diplomarbete inom ett samarbetsprojekt mellan ämnena vårdvetenskap vid Åbo universitet (TY) och inbyggda datorsystem vid Åbo Akademi. En del av det praktiska arbetet skedde vid Åbo universitetscentralsjukhus där man för tillfället håller på och digitaliserar processerna för medicinering och administration. Pappret ska bort, eller åtminstone kraftigt minskas.
I och med att datorerna är uppkopplade i nätverk och till internet uppstår säkerhetsfrågor om hur man skyddar patientinformationen.
– Om nätverket störs eller applikationsutvecklingen i sig är osäker kan det leda till dåliga konsekvenser. Jag gjorde en analys av säkerhetsbehovet, vilka säkerhetsåtgärder som behöver tas före och medan man gör applikationen, säger Pradhan, som för tillfället söker arbete.
– Inom hälsobranschen finns många ställen där det behövs dataskydd och jag skulle gärna rikta in mig på det. Men eftersom jag inte är härifrån är det svårt, vissa företag kräver finländsk nationalitet för att man ens ska kunna söka arbetet.
Pradhans skrev sitt diplomarbete under ledning av professor Sanna Salanterä (TY), professor Johan Lilius (ÅA) och lektor Annamari Soini (ÅA). Lektor Seppo Virtanen (TY) fungerade som handledare och granskare.