„Það er hægt að hakka hakkara“

Mynd: RÚV / RÚV
Theódór R. Gíslason, sérfræðingur í tölvuöryggi man ekki til þess að aðgerð þar sem glæpamenn eru plataðir til að nota app sem lögregluyfirvöld bjuggu til hafi gerst áður. Aðgerðin sýni að hægt sé að snúa á glæpamenn með tölvutækninni, hægt að hakka hakkara. Brotist er inn í tölvur fyrirtækja í auknum mæli bæði hér á landi og erlendis.

Lögreglan plataði glæpagengin

Lögregluyfirvöld í Bandaríkjunum og Ástralíu fengu þá hugmynd fyrir nokkru að búa til  dulkóðaðan samskiptavef, ANOM og lokka skipulagða glæpahópa til þess að nota hann. Um  300 glæpasamtök í yfir eitt hundrað löndum nýttu sér vefinn og létu lögregluyfirvöld til  skarar skríða í vikunni og handtóku um 800 glæpamenn víða um heim. 

Lögreglan gerði upptæk yfir átta tonn af kókaíni, tvö tonn af amfetamíni og metamfetamíni, 22 tonn af kannabis, 250 skotvopn og yfir 48 milljónir Bandaríkjadala í um sjö hundruð húsleitum síðustu daga svo nokkuð sé nefnt.  

Theodór R. Gíslason, tæknistjóri hjá tölvuöryggisfyrirtækinu Syndis segir að ANOM samskiptavefurinn sé app og hann viti ekki til þess að áður hafi glæpagengi verið plötuð til að nota app sem lögreglan hafi látið búa til.

„Ég man ekki til þess að svona hafi nokkurn tíma áður verið búið til að öllu leyti og dreift. Ég man ekki nákvæmlega eftir svona dæmi og þetta ætti að hræða líftóruna úr fólki sem er að reyna að eiga örugg dulkóðuð samskipti. Þú veist aldrei hvaðan þetta kemur.“

Þetta sýni að að hægt sé að snúa á glæpamennina með aðstoð tölvutækninnar, það er hægt að hakka glæpamennina líka. „Það eru skilaboðin sem ég fæ út úr þessu. Fyrir utan það að þetta er bara eins og bíómynd þetta atvik. Það er hægt að hakka hakkara.“   

Fyrirtæki ættu að vera með neyðaráætlanir 

Reglulega berast fréttir af tölvuglæpum og líklega er nýjasta dæmið árás tölvuglæpahópsins Darkside á dreifikerfi eldsneytisflutningsfyrirtækisins Colonial Pipeline í byrjun maí. Hópurinn tók gögn fyrirtækisins í gíslingu og kröfðust lausnargjalds. Leiðslur fyrirtækisins liggja frá ströndum Texas og til austurstrandar Bandaríkjanna og hafði árásinu veruleg áhrif á dreifikerfið. Colonial Pipeline greiddi lausnargjaldið en bandaríska dómsmálaráðuneytinu tókst að endurheimta helming þess aftur. Tölvuglæpum af þessu tagi hefur fjölgað verulega og hér á landi líka.   

Theódór segir að fyrirtæki ættu því að vera með neyðaráætlanir og fara yfir þær reglulega á sama hátt og þeir gera sem reka varaaflsstöðvar. Þær eru prófaðar með ákveðnu millibili.  Líta þurfi á þetta á sama hátt og brunaæfingar eða æfingar Almannavarna. 

Oft er tæknimönnum kennt um

Mjög mikil þörf sé fyrir fræðslu um þessi mál því oft vilji bregða við að fólk kunni ekki að æfa árás hakkara vegna þess að það veit ekki hvernig hakkararnir starfa.  Til dæmis reyni hakkarar að ná stjórn á staðalneti og dreifa síðan óværu í tölvurnar allar í einu. Þeir eyðileggja yfirleitt líka afrit af kerfunum hvort sem þau eru geymd í fyrirtækinu á staðalnetinu eða einhverstaðar í skýinu.

Oft er tæknimönnum fyrirtækjanna kennt um þegar tekst að brjótast inn í fyrirtæki en þetta sé miklu stærra og flóknara mál. 

Nokkur innbrot í íslensk fyrirtæki á þessu ári

Theódór og félagar hans hjá Syndis tölvuöryggisfyrirtækinu eru oft kallaðir út þegar brotist hefur verið inn í fyrirtæki hér á landi. „Ég skal fúslega viðurkenna það að ég hef ráðlagt fyrirtækjum að greiða. Það er bara af því það var ekkert til staðar til að bjarga. Við höfum ansi oft komið að svona málum, allt of oft

Öll fyrirtæki ættu að vera með afrit af kerfum sínum sem ekki er tengt netinu t.d. í skýi eða á bandi og einnig ætti að vera varnarkerfi á tölvunum. Þetta vanti oft og einnig vilji bregða við að þegar þeir komi í fyrirtækið sé búið að taka tölvurnar úr sambandi eða endurræsa þær. Þá er erfiðara að ná dulkóðunarlyklum.  „Það er þessi værukærð sem er aðal vandamálið.“  „Ég myndi segja að yfirleitt þegar maður kemur inn [ í fyrirtæki] að þá er það orðið of seint og oftar en ekki eru þetta fyrirtæki sem voru ekki búin að æfa sig.“  

Hvað er oft haft samband við ykkur út af svona?  Ég get ekki sagt það nákvæmlega en ég get sagt þó nokkrum sinnum og nokkrum sinnum á þessu ári.  Og ég veit að einhverjir hafa borgað.