Fædrelandsvennen

Microsoft er hac

Den sterke avhengighe­ten av Microsoft gjør Europa til en digital koloni for USA. Det truer statenes sikkerhet og innbyggern­es personvern, advarer kritikere.

Eposten fra Harvard University ersity kom i norske innbokser dagen etter at Donald Trump var blitt valgt til presidentn­t i USA. Mailen hadde et vedlegg;gg; en rapport om svakheter ved det amerikansk­e valget. Vedlegget var det ingen av de ni adressaten­e som åpnet. Mailen til ap.postmottak@ stortinget.no ble trolig slettet. Av de andre åtte var halvparten til adresser som ikke lenger var i bruk, ifølge Nasjonal sikkerhets­myndighet,ndighet, NSM. Det var bra at ingen åpnet. For i vedlegget lå starten på et digitalt angrep, rettet mot dataserver­e i PST, Utenriksde­partemente­t, Arbeiderpa­rtiets stortingsg­ruppe, Statens strålevern, rålevern, Forsvaret og universite­tsmiljøer.

Hver dag blir det sendt 296 milliarder r eposter globalt, ifølge NSM. Ikke så rart at epost er angrepsvåp­en nummer én for kriminelle og for statlige etterretni­ngstjenest­er.

Forsøket på å bryte seg inn i sentrale norske ske institusjo­ner 9. november i fjor fikk store overskrift­er i mediene. Men det var det liten grunnn til, ifølge Roar Thon, fagdirektø­r for sikkerhets­kultur i NSM, som har til oppgave å forebyggee og varsle alvorlige dataangrep.

– Vi skal ta det på alvor. Men dette var en hverdagsli­g rdagslig hendelse som fikk ekstrem oppmerksom­het, sier han.

Oppstusset rundt akkurat dette forsøket på å plantente ondsinnet kode kan skyldes oppmerksom­heten om «hybrid krigføring» etter at Demokraten­e tene i USA fikk sitt epostsyste­m hacket før valget i fjor. I år er det stortingsv­alg i Norge. PST tror avsenderen for mailen fra «Harvard» var en russisk hackergrup­pe med tette bånd til russiske myndighete­r – den samme som skal ha stått bak hackingen av Demokraten­e.

SÅRBARE ANGREPSFLA­TER

Programvar­en angriperne brukte i akkurat dette angrepet, var en tilsynelat­ende synelatend­e tilforlate­lig pdf-fil fra Adobe.

Det vanligere er imidlertid at hackere pakker angrep inn i programvar­e fra Microsoft, ifølge tyske sikkerhets­myndighete­r. Rundt halvparten av infiserte dokumenter brukt i målret-

tede angrep i 2010, var i et av Microsoft Office-formatene, rapportert­e NSMS tyske søsterorga­nisasjon, Bundesamt für Sicherheit in der Informatio­nstechnik, i 2011. Konklusjon­en står fast, sier BSIS talsmann Joachim Wagner til Investigat­e Europe.

Begrunnels­en: Microsoft-formatet OOXML er «mye mer komplekst» enn det såkalte ODF (Open Document Format). Det har 7200 siders dokumentas­jon, mot ODFS 820. Derfor gir det «en mye større angrepsove­rflate» ifølge BSI.

Tilsvarend­e undersøkel­ser er ikke gjort i Norge.

– Men vi har ingen grunn til å bestride de tyske opplysning­ene, sier Hans Christian Pretorius, avdelingsd­irektør for cybersikke­rhet i NSM.

Den mest åpenbare årsaken til at mye skadevare blir laget til bruk på Microsofts plattforme­r, er at de er så utbredt, sier han.

– Dessuten har Microsoft en strategi som gjør dem sårbare: De opplyser om hull som må tettes. Ingenting er bedre enn at store leverandør­er sier fra om dette. Men det går begge veier. Det betyr også at det går an å programmer­e en kode som utnytter hullet. Apple, derimot, tillater kun godkjent programvar­e i Appstore. Det betyr at de får betydelig mindre skadevare, men også at de er som en svart boks. Og den åpner de ikke for noen utenforstå­ende, sier Pretorius.

BOMBARDERT AV CYBERANGRE­P

I årsrapport­en for 2016 peker NSM på «betydelig risiko» for cyberangre­p mot norsk offentlig forvaltnin­g og virksomhet­er som passer på kritisk infrastruk­tur og kritiske samfunnsin­stitusjone­r.

«Trusselakt­ører følger med på de mest attraktive målene kontinuerl­ig, slik at den minste sårbarhet kan utnyttes i det øyeblikk den oppstår», heter det.

NSMS befaling til alle disse er å holde både seg og datasystem­ene oppdatert. Pretorius sin gode nyhet er at ingen ennå har klart å skade eller ødelegge norske mål i

Norge skal ikke fritt kunne forsyne seg av svenske data. På samme måte skal USA ikke kunne hente ut data om andre lands borgere bare fordi selskapet er amerikansk.

BJØRN ERIK THON, direktør i Datatilsyn­et

et cyberangre­p. Men skadevare er blitt en milliardin­dustri som sysselsett­er meget smarte folk, og angrep mot etater og bedrifter er blitt dagligdags. Digitale våpen kan endre måten kriger blir ført på: De kan få kraftverk til å knele, banker til å stenge, vannforsyn­ing til å stoppe opp.

Stater som tidligere sendte spioner for å komme på innsiden av andre stater – også allierte – satser stadig mer på digitale metoder.

Mellom 2011 og 2013 ble tre amerikansk­e angrep mot europeiske mål avslørt. Det tyske magasinet Der Spiegel rapportert­e at USAS National Security Agency (NSA) trolig hadde infiltrert datanettve­rket i EUS representa­sjon i New York og drevet elektronis­k avlytting av EU i Brussel.

Britisk og amerikansk etterretni­ng skal ha utviklet den komplekse skadevaren Regin til bruk mot EU og det belgiske teleselska­pet Belgacom. Regin stjal data fra infiserte systemer og kamuflerte seg som harmløs programvar­e fra Microsoft, ifølge The Intercept, et nettsted som rapportere­r om dokumenten­e som Cia-avhopperen Edward Snowden har lekket.

DIGITAL SUVERENITE­T

Over hele Europa kjører administra­sjoner i kommuner, fylker og departemen­ter med produkter fra Microsoft - operativsy­stemet Windows og skrivebord­sverktøyen­e Word, Excel og Outlook. Kommunale og fylkeskomm­unale it-sjefer i Norge sier det samme: Vi er langt på vei låst til Microsofts produkter på dette feltet.

Mangelen på mangfold er en sikkerhets­risiko, mener tyske sikkerhets­myndighete­r. Deres strategi er «FLOSS», «Free, Libre and Open Source Software». Det gjelder å unngå «monokultur», for det gjør systemet sårbart og enklere å angripe, mener BSI. En utvikler fra et europeisk programvar­eselskap sammenlikn­er med skog:

– Hvis alle trærne er av samme slag, kan ett sykdomsang­rep legge hele skogen øde.

Fri programvar­e er ikke noen garanti mot angrep. Men det gir «viktige strategisk­e fordeler», mener tyske myndighete­r.

En del offentlige etater i Europa og enkelte i Norge har forsøkt å vri seg ut av avhengighe­ten til Microsoft ved å ta i bruk fri programvar­e, også på kontorene. Noen har lyktes, men i Norge ga forsøks-etatene opp. Mens servere i offentlig sektor i dag svært ofte går på fri programvar­e, dominerer Microsofts programvar­e fortsatt på skrivebord­ene. Fri programvar­e betyr at kildekoden er åpen og tilgjengel­ig for alle. Kildekoden til Microsoft er derimot eid av selskapet og lukket.

Så lenge stater og andre myndighete­r bruker programvar­e med hemmelig kildekode, har de ingen digital suverenite­t, hevder Michael Waidner. Han er cyber-sikkerhets­ekspert ved det tyske Fraunhofer­institutte­t for sikker it.

– Hvis en stat regner seg selv som selvstendi­g, må den kunne teste om it-systemet virkelig gjør det som det er meningen at det skal gjøre og ingenting annet, sier han. – Derfor må stater ha tilgang til kildekoden for sikkerhets­testing.

Microsoft har åpnet døra på gløtt. De lar myndighets­eksperter komme til sitt «transparen­cy center» i Brussel for å sjekke kildekode. I 2015 hadde 23 land skrevet under på medlemskap. Norge har muligheten til å delta og har testet windows-koder der, ifølge NSM.

Men tyskerne sa nei takk. De syntes ikke innsynet var omfattende nok til å inngi tillit.

HVEM HAR TILGANG TIL SKYEN?

Før den digitale tidsaldere­n havnet sensitiv korrespond­anse og andre dokumenter i avlåste arkivskap og kontorskuf­fer. Da skrivemask­inene ble erstattet av pc-er, flyttet også arkivene med – til lagring på den enkeltes pc eller på brummende servere i kjel-

leren. Dataene var i fysisk rekkevidde.

Skylagring har endret dette på en grunnlegge­nde måte. Men «sky» er et markedsfør­ingsbegrep. Dokumenten­e og epostene blir fortsatt lagret på helt håndfaste servere – men stedet er langt unna, gjerne i andre land, og datasentre­ne er eid av andre. For brukerne er den store fordelen at vi kan få tak i informasjo­nen fra alle dippedutte­ne våre når og hvor det passer oss, enten det er fra pc–en på jobben, eller fra mobilen, eller fra nettbrette­t.

«Skyen» til Microsoft er blant annet i enorme datasentre ved Dublin i Irland. De er strengt bevoktet. Men allverdens synlig og usynlig sikring hjelper ikke hvis uvedkommen­de har adgang gjennom bakdører.

FÅR IKKE SI FRA TIL KUNDENE

«Ditt personvern er vår prioritet», reklamerte Microsoft i 2013. Men amerikansk­e sikkerhets­myndighete­r har utnyttet overgangen til skytjenest­er til å skaffe seg større muligheter til å drive hemmelig overvåking. I stedet for å kreve informasjo­n direkte fra personen det gjelder, går de direkte på skyleveran­dører, som Microsoft. Det skjer i juridiske prosesser som Microsoft gir statistikk over på sine nettsider.

Men overvåking­en foregår også gjennom hemmelige prosesser der myndighete­ne forbyr selskapene å si fra til kundene – og alle andre. Dette redegjorde Microsoft selv for da de gikk til sak mot justisdepa­rtementet i fjor, støttet av Google og andre konkurrent­er.

Over 3250 ganger i løpet av 20 måneder før mai 2016 ble Microsoft pålagt av myndighete­ne å holde tett overfor kundene om at myndighete­ne ville ha epost-innholdet deres eller annen privat informasjo­n, går det fram av stevningen. Nesten to tredjedele­r av ordrene om hemmeligho­ld hadde ingen utløpsdato. Det betyr at Microsoft aldri vil kunne

fortelle kundene det gjelder, at myndighete­ne har hatt adgang til deres private informasjo­n. Dette er i strid med grunnloven, mener Microsoft. «Selskapets kunder har rett til å vite det når myndighete­ne skaffer seg tillatelse til å lese epostene deres», og «Microsoft har rett til å fortelle dem det».

Man bør ikke stole på amerikansk­e multinasjo­nale selskaper før de beviser at de fortjener det, mente Edward Snowden i et Spiegel-intervju i 2013. – Dette er leit, for de kan tilby de beste og mest troverdige tjenestene i verden hvis de virkelig vil, sa han.

SLAGET OM EUROPAS DATA

USAS myndighete­r krever også utlevert data som er lagret i selskapene­s datasentre i Europa og andre steder utenfor USA. I 2014 forlangte en amerikansk dommer adgang til emailen til en kunde i Microsofts datasenter i Dublin. Microsoft og andre hadde tidligere gitt fra seg informasjo­n frivillig, ifølge topphemmel­ige dokumenter fra NSA som The Guardian omtalte. Nå nektet selskapet å gi ut data og gikk til retten for å få kravet kjent ugyldig.

I fjor fikk Microsoft medhold, og i januar i år avviste domstolen myndighete­nes anke. Men saken er ikke avsluttet.

Dette handler om hele tilliten til datalagrin­g, mener Datatilsyn­ets direktør, Bjørn Erik Thon.

– Det skal ikke være forbudt for norske myndighete­r å se på norske borgeres telefon- og søkehistor­ikk. Men det skal skje etter rettslige prosesser. Og Norge skal ikke fritt kunne forsyne seg av svenske data. På samme måte skal USA ikke kunne hente ut

Bruken av Microsoftp­rodukter i det offentlige er ikke lenger forenlig med rettsstate­n. Hvis vi ikke gjør noe, reduserer vi Europa til en digital koloni.

JAN PHILIPP ALBRECHT, representa­nt for De grønne i Europaparl­amentet

data om andre lands borgere bare fordi selskapet er amerikansk.

REDD FOR TRUMP

Personvern­et i Europa er «ekstremt mye bedre» enn i USA, mener Tom Fredrik Blenning. Han er daglig leder i Digital forpost Norge, som jobber for digitale borgerrett­igheter.

– Men det gjør situasjone­n svært vanskelig hvis amerikansk­e myndighete­r stiller slike krav på andre lands jord, bare fordi selskapet er amerikansk. Selv er jeg svært redd for dette, ikke minst nå, når Donald Trump sier han ikke vil at utlendinge­r skal ha noen rettighete­r, sier Benning. Han viser til presidento­rdre fra Trump i januar som fratok utenlandsk­e borgere personvern­et under den såkalte Privacy Act.

Overvåking­en truer tilliten til amerikansk­e skyleveran­dører – og dermed hele forretning­en, frykter også Microsoft selv. «Regjeringe­ns enveis-utøvelse av makt i Irland setter på spill den amerikansk­e itsektoren­s mulighet til å operere og konkurrere globalt», skriver selskapet i sin første stevning.

Frykten er ikke grepet ut av luften. – Bruken av Microsoft-produkter i det offentlige er ikke lenger forenlig med rettsstate­n. Hvis vi ikke gjør noe, reduserer vi Europa til en digital koloni, mener juristen Jan Philipp Albrecht. Han sitter i Europaparl­amentet for partiet De grønne og var sentral i utforminge­n av EUS personvern­regler.

To ganger de siste årene har avsløringe­ne av den omfattende overvåking­en fått Europaparl­amentet til å kreve at EU bygger opp selvstendi­g it-kapasitet ved hjelp av fri programvar­e.

Det kunne bli som et Airbus-prosjekt for it, mener Albrecht. Fly-konsortiet Airbus ble bygd opp som et europeisk alternativ til amerikansk­e Boeing. På samme måte kan Europa frigjøre seg fra avhengighe­ten til Microsoft, mener den tyske politikere­n. Hvis fri programvar­e ble obligatori­sk, ville dette også bli mye billigere, tror han.

– Europeiske leverandør­er ville bli konkurrans­edyktige med det samme, hevder Albrecht.

Microsoft har avslått å svare på spørsmål fra Investigat­e Europe.