- Folk trenger mer personvern

Professor i datasikkerhet er svært kritisk til Datalagringsdirektivet, men har sans for at WikiLeaks kikker makthaverne i kortene.

Publisert

Professor og sikkerhetsekspert ved NTNU, Svein Knapskog, vil ikke på Facebook, skyr Gmail, og mener at folk er altfor naive med tanke på hvilken informasjon vi strør om oss med på nett.

Og noen økt lagring av trafikkdata vil han ikke ha.

– Datalagringsdirektivet er ikke med på å gjøre verden til et sikrere sted, sier professoren.

– Det som lagres av trafikkdata, er sårbart. Både hackere og utro tjenere kan utnytte denne informasjonen.

Bekymringsfullt

Knapskog og fagmiljøet ved Centre for Quantifiable Quality of Service in Communication Systems (Q2S) forsker på datasikkerhet. Særlig i nettverk. Knapskog er bekymret.

– Folk flest tenker ikke over at all den informasjonen vi sender over nettet, går ukryptert. Enhver med litt spesialisert kunnskap kan avlytte omtrent hva som helst.

– Når du snakker i mobiltelefonen, er det rutine at samtalen er kryptert fra telefonen til nærmeste node, det vil si mobilmast. Etter det er hele samtalen din åpen i nettverket.

I høringsnotatet fra NTNUs Fakultet for informasjonsteknologi, matematikk og elektroteknikk viser fakultetet til at det ikke finnes en god nok plan for sikring av lagrede data.

Professoren er ikke glad for forslaget om ett års lagring av datatrafikk.

– Vi trenger mer personvern i dette landet, ikke mindre, sier han.

Sans for WikiLeaks

(Illustrasjonsfoto: www.colourbox.no)
(Illustrasjonsfoto: www.colourbox.no)

Maktapparatet, derimot, bør etter Knapskogs oppfatning kunne kikkes mer i kortene:

– Det blir helt feil hvis de som sitter med makten, ikke skal kunne gås etter i sømmene for de prioriteringene de gjør, og hvordan de håndterer de ulike politiske sakene.

Knapskog mener at informasjon fra innsiden av de politiske prosessene gir os et mer balansert bilde av politikken.

– Politikerne er de som skal tenke at de ikke har noe å frykte hvis de har rent mel i posen.

– Jeg skjønner godt at bedrifter i en konkurransesituasjon har behov for å beskytte sine data, og til dels innefor forsvaret, men politikerne og beslutningstakerne bør lyssettes.

– Sånn sett har jeg sans for lekkasjene fra WikiLeaks. De gir oss et mindre svart-hvitt bilde av sidene i konflikter, og viser oss at det finnes svin i alle skoger.

Svein Knapskog, professor og sikkerhetsekspert ved NTNU. (Foto: NTNU)
Svein Knapskog, professor og sikkerhetsekspert ved NTNU. (Foto: NTNU)

Enkle angrep

Professoren har fulgt med på hackerkrigen i etterkant av lekkasjene.

– Det er ikke så rart at det kommer slike angrep, og de er jo også nokså enkle, forklarer han.

– Det finnes en del personer rundt om med sterke ideologiske oppfatninger omkring personvern. Og så er det en del som bare venter på muligheten til å vise fram sine ferdigheter.

– Koordinerte angrep som stikker kjeppene i hjulene for Visa og Mastercard, er ikke en trussel mot informasjonssikkerheten i utgangspunktet. Det handler bare om å skape trafikkork i nettverkene.

Visa, Mastercard, PayPal og andre ble satt ut av spill ved bruk av såkalte distribuerte ’denial of service’-angrep (DDOS-angrep).

Da setter hackere i verk et virus eller en orm som spyr ut trafikk fra mange datamaskiner mot bestemte rutere i nettverket.

Disse datamaskinene sender som oftest bare ute meldinger som skaper en overbelastning av konkrete servere, slik at de ikke klarer å jobbe – uten at de egentlig ødelegger noe.

Som regel fikses dette av driftspersonalet manuelt innen kort tid.

Oppdater!

– Slike angrep krever ikke at du kan lage et virus engang.

– Det finnes alltid en smarting som allerede har gjort det, og så kan nærmest enhver fjortenåring med litt evner kopiere oppskriften og sende ut slike ormer og virus som lager et nettverk av slave-datamaskiner.

– Men for vanlige folk er det tre ting som gjelder for å unngå problemer, og det er: oppdatering, oppdatering og oppdatering.

–  For alle seriøse programvareleverandører oppgraderer og tetter sikkerhetshull straks de er funnet. Det viktige er å kunne ligge i forkant og gjøre gode gjetninger om hvilke angrep som kan komme.

– Det er her vi konsentrerer vår innsats nå: på å skape dynamiske forsvarsløsninger i nettverkene.

Hackerparadisene

Professoren sammenligner hackervirksomheten med bruken av skatteparadis.

– Det er mange som har glede av hackerparadis, sier Knapskog.

– Hvis du har et ønske om å være fullstendig anonym på nett, så er det fullt mulig å benytte seg av nettverk som Tor og andre som spesialiserer seg på å skape fullstendig anonymitet på nett.

Disse nettverkene og andre som ikke ønsker å la sin aktivitet spore, bruker operatører som har sine servere i land der lovene beskytter den anonymiteten som kundene ønsker.

– Det er akkurat som skatteparadisene, forteller Knapskog.

– Og det er gjerne de samme landene også, som velger å si at det er opp til operatørene å bestemme hvilken informasjon de vil gi til myndigheter som ønsker å få innsyn i datatrafikken.

– Og operatørene har jo nettopp som forretningsidé å beskytte sine kunders informasjon. De smarteste, rikeste og mest velorganisert kriminelle benytter seg av slikt.

Svake sjeler er det svake punkt

Professoren forteller om hvordan jakten på hackere eller andre i internett-trafikken er en katt-og-mus-lek som mest av alt handler om hvem som har mest ressurser.

– Hvis du spør en sikkerhetsperson, vil han si at alt er mulig, med tanke på både sikring og innbrudd i datatrafikk. Det er bare et spørsmål om tid og tilgang til ressurser. Og lojalitet.

– Se bare på operasjonen i Afghanistan. Det er et eksempel på hvor informasjon sikres med tung kryptering, men bare teknisk.

– Vi har jo også mennesker med i dette sikkerhetspuslespillet. Og alle er vi jo svake sjeler som kan falle for fristelser. Det gjelder også de som eventuelt skal sikre våre trafikkdata her hjemme.

Knapskog avslutter med et sukk:

– Men nå lagres jo alt allikevel. For så lenge all vår datatrafikk går via Sverige, er det jo i praksis deres lovgivning som teller på dette området.