Microsoft er hac
Den sterke avhengigheten av Microsoft gjør Europa til en digital koloni for USA. Det truer statenes sikkerhet og innbyggernes personvern, advarer kritikere.
Eposten fra Harvard University ersity kom i norske innbokser dagen etter at Donald Trump var blitt valgt til presidentnt i USA. Mailen hadde et vedlegg;gg; en rapport om svakheter ved det amerikanske valget. Vedlegget var det ingen av de ni adressatene som åpnet. Mailen til ap.postmottak@ stortinget.no ble trolig slettet. Av de andre åtte var halvparten til adresser som ikke lenger var i bruk, ifølge Nasjonal sikkerhetsmyndighet,ndighet, NSM. Det var bra at ingen åpnet. For i vedlegget lå starten på et digitalt angrep, rettet mot dataservere i PST, Utenriksdepartementet, Arbeiderpartiets stortingsgruppe, Statens strålevern, rålevern, Forsvaret og universitetsmiljøer.
Hver dag blir det sendt 296 milliarder r eposter globalt, ifølge NSM. Ikke så rart at epost er angrepsvåpen nummer én for kriminelle og for statlige etterretningstjenester.
Forsøket på å bryte seg inn i sentrale norske ske institusjoner 9. november i fjor fikk store overskrifter i mediene. Men det var det liten grunnn til, ifølge Roar Thon, fagdirektør for sikkerhetskultur i NSM, som har til oppgave å forebyggee og varsle alvorlige dataangrep.
– Vi skal ta det på alvor. Men dette var en hverdagslig rdagslig hendelse som fikk ekstrem oppmerksomhet, sier han.
Oppstusset rundt akkurat dette forsøket på å plantente ondsinnet kode kan skyldes oppmerksomheten om «hybrid krigføring» etter at Demokratene tene i USA fikk sitt epostsystem hacket før valget i fjor. I år er det stortingsvalg i Norge. PST tror avsenderen for mailen fra «Harvard» var en russisk hackergruppe med tette bånd til russiske myndigheter – den samme som skal ha stått bak hackingen av Demokratene.
SÅRBARE ANGREPSFLATER
Programvaren angriperne brukte i akkurat dette angrepet, var en tilsynelatende synelatende tilforlatelig pdf-fil fra Adobe.
Det vanligere er imidlertid at hackere pakker angrep inn i programvare fra Microsoft, ifølge tyske sikkerhetsmyndigheter. Rundt halvparten av infiserte dokumenter brukt i målret-
tede angrep i 2010, var i et av Microsoft Office-formatene, rapporterte NSMS tyske søsterorganisasjon, Bundesamt für Sicherheit in der Informationstechnik, i 2011. Konklusjonen står fast, sier BSIS talsmann Joachim Wagner til Investigate Europe.
Begrunnelsen: Microsoft-formatet OOXML er «mye mer komplekst» enn det såkalte ODF (Open Document Format). Det har 7200 siders dokumentasjon, mot ODFS 820. Derfor gir det «en mye større angrepsoverflate» ifølge BSI.
Tilsvarende undersøkelser er ikke gjort i Norge.
– Men vi har ingen grunn til å bestride de tyske opplysningene, sier Hans Christian Pretorius, avdelingsdirektør for cybersikkerhet i NSM.
Den mest åpenbare årsaken til at mye skadevare blir laget til bruk på Microsofts plattformer, er at de er så utbredt, sier han.
– Dessuten har Microsoft en strategi som gjør dem sårbare: De opplyser om hull som må tettes. Ingenting er bedre enn at store leverandører sier fra om dette. Men det går begge veier. Det betyr også at det går an å programmere en kode som utnytter hullet. Apple, derimot, tillater kun godkjent programvare i Appstore. Det betyr at de får betydelig mindre skadevare, men også at de er som en svart boks. Og den åpner de ikke for noen utenforstående, sier Pretorius.
BOMBARDERT AV CYBERANGREP
I årsrapporten for 2016 peker NSM på «betydelig risiko» for cyberangrep mot norsk offentlig forvaltning og virksomheter som passer på kritisk infrastruktur og kritiske samfunnsinstitusjoner.
«Trusselaktører følger med på de mest attraktive målene kontinuerlig, slik at den minste sårbarhet kan utnyttes i det øyeblikk den oppstår», heter det.
NSMS befaling til alle disse er å holde både seg og datasystemene oppdatert. Pretorius sin gode nyhet er at ingen ennå har klart å skade eller ødelegge norske mål i
Norge skal ikke fritt kunne forsyne seg av svenske data. På samme måte skal USA ikke kunne hente ut data om andre lands borgere bare fordi selskapet er amerikansk.
BJØRN ERIK THON, direktør i Datatilsynet
et cyberangrep. Men skadevare er blitt en milliardindustri som sysselsetter meget smarte folk, og angrep mot etater og bedrifter er blitt dagligdags. Digitale våpen kan endre måten kriger blir ført på: De kan få kraftverk til å knele, banker til å stenge, vannforsyning til å stoppe opp.
Stater som tidligere sendte spioner for å komme på innsiden av andre stater – også allierte – satser stadig mer på digitale metoder.
Mellom 2011 og 2013 ble tre amerikanske angrep mot europeiske mål avslørt. Det tyske magasinet Der Spiegel rapporterte at USAS National Security Agency (NSA) trolig hadde infiltrert datanettverket i EUS representasjon i New York og drevet elektronisk avlytting av EU i Brussel.
Britisk og amerikansk etterretning skal ha utviklet den komplekse skadevaren Regin til bruk mot EU og det belgiske teleselskapet Belgacom. Regin stjal data fra infiserte systemer og kamuflerte seg som harmløs programvare fra Microsoft, ifølge The Intercept, et nettsted som rapporterer om dokumentene som Cia-avhopperen Edward Snowden har lekket.
DIGITAL SUVERENITET
Over hele Europa kjører administrasjoner i kommuner, fylker og departementer med produkter fra Microsoft - operativsystemet Windows og skrivebordsverktøyene Word, Excel og Outlook. Kommunale og fylkeskommunale it-sjefer i Norge sier det samme: Vi er langt på vei låst til Microsofts produkter på dette feltet.
Mangelen på mangfold er en sikkerhetsrisiko, mener tyske sikkerhetsmyndigheter. Deres strategi er «FLOSS», «Free, Libre and Open Source Software». Det gjelder å unngå «monokultur», for det gjør systemet sårbart og enklere å angripe, mener BSI. En utvikler fra et europeisk programvareselskap sammenlikner med skog:
– Hvis alle trærne er av samme slag, kan ett sykdomsangrep legge hele skogen øde.
Fri programvare er ikke noen garanti mot angrep. Men det gir «viktige strategiske fordeler», mener tyske myndigheter.
En del offentlige etater i Europa og enkelte i Norge har forsøkt å vri seg ut av avhengigheten til Microsoft ved å ta i bruk fri programvare, også på kontorene. Noen har lyktes, men i Norge ga forsøks-etatene opp. Mens servere i offentlig sektor i dag svært ofte går på fri programvare, dominerer Microsofts programvare fortsatt på skrivebordene. Fri programvare betyr at kildekoden er åpen og tilgjengelig for alle. Kildekoden til Microsoft er derimot eid av selskapet og lukket.
Så lenge stater og andre myndigheter bruker programvare med hemmelig kildekode, har de ingen digital suverenitet, hevder Michael Waidner. Han er cyber-sikkerhetsekspert ved det tyske Fraunhoferinstituttet for sikker it.
– Hvis en stat regner seg selv som selvstendig, må den kunne teste om it-systemet virkelig gjør det som det er meningen at det skal gjøre og ingenting annet, sier han. – Derfor må stater ha tilgang til kildekoden for sikkerhetstesting.
Microsoft har åpnet døra på gløtt. De lar myndighetseksperter komme til sitt «transparency center» i Brussel for å sjekke kildekode. I 2015 hadde 23 land skrevet under på medlemskap. Norge har muligheten til å delta og har testet windows-koder der, ifølge NSM.
Men tyskerne sa nei takk. De syntes ikke innsynet var omfattende nok til å inngi tillit.
HVEM HAR TILGANG TIL SKYEN?
Før den digitale tidsalderen havnet sensitiv korrespondanse og andre dokumenter i avlåste arkivskap og kontorskuffer. Da skrivemaskinene ble erstattet av pc-er, flyttet også arkivene med – til lagring på den enkeltes pc eller på brummende servere i kjel-
leren. Dataene var i fysisk rekkevidde.
Skylagring har endret dette på en grunnleggende måte. Men «sky» er et markedsføringsbegrep. Dokumentene og epostene blir fortsatt lagret på helt håndfaste servere – men stedet er langt unna, gjerne i andre land, og datasentrene er eid av andre. For brukerne er den store fordelen at vi kan få tak i informasjonen fra alle dippeduttene våre når og hvor det passer oss, enten det er fra pc–en på jobben, eller fra mobilen, eller fra nettbrettet.
«Skyen» til Microsoft er blant annet i enorme datasentre ved Dublin i Irland. De er strengt bevoktet. Men allverdens synlig og usynlig sikring hjelper ikke hvis uvedkommende har adgang gjennom bakdører.
FÅR IKKE SI FRA TIL KUNDENE
«Ditt personvern er vår prioritet», reklamerte Microsoft i 2013. Men amerikanske sikkerhetsmyndigheter har utnyttet overgangen til skytjenester til å skaffe seg større muligheter til å drive hemmelig overvåking. I stedet for å kreve informasjon direkte fra personen det gjelder, går de direkte på skyleverandører, som Microsoft. Det skjer i juridiske prosesser som Microsoft gir statistikk over på sine nettsider.
Men overvåkingen foregår også gjennom hemmelige prosesser der myndighetene forbyr selskapene å si fra til kundene – og alle andre. Dette redegjorde Microsoft selv for da de gikk til sak mot justisdepartementet i fjor, støttet av Google og andre konkurrenter.
Over 3250 ganger i løpet av 20 måneder før mai 2016 ble Microsoft pålagt av myndighetene å holde tett overfor kundene om at myndighetene ville ha epost-innholdet deres eller annen privat informasjon, går det fram av stevningen. Nesten to tredjedeler av ordrene om hemmelighold hadde ingen utløpsdato. Det betyr at Microsoft aldri vil kunne
fortelle kundene det gjelder, at myndighetene har hatt adgang til deres private informasjon. Dette er i strid med grunnloven, mener Microsoft. «Selskapets kunder har rett til å vite det når myndighetene skaffer seg tillatelse til å lese epostene deres», og «Microsoft har rett til å fortelle dem det».
Man bør ikke stole på amerikanske multinasjonale selskaper før de beviser at de fortjener det, mente Edward Snowden i et Spiegel-intervju i 2013. – Dette er leit, for de kan tilby de beste og mest troverdige tjenestene i verden hvis de virkelig vil, sa han.
SLAGET OM EUROPAS DATA
USAS myndigheter krever også utlevert data som er lagret i selskapenes datasentre i Europa og andre steder utenfor USA. I 2014 forlangte en amerikansk dommer adgang til emailen til en kunde i Microsofts datasenter i Dublin. Microsoft og andre hadde tidligere gitt fra seg informasjon frivillig, ifølge topphemmelige dokumenter fra NSA som The Guardian omtalte. Nå nektet selskapet å gi ut data og gikk til retten for å få kravet kjent ugyldig.
I fjor fikk Microsoft medhold, og i januar i år avviste domstolen myndighetenes anke. Men saken er ikke avsluttet.
Dette handler om hele tilliten til datalagring, mener Datatilsynets direktør, Bjørn Erik Thon.
– Det skal ikke være forbudt for norske myndigheter å se på norske borgeres telefon- og søkehistorikk. Men det skal skje etter rettslige prosesser. Og Norge skal ikke fritt kunne forsyne seg av svenske data. På samme måte skal USA ikke kunne hente ut
Bruken av Microsoftprodukter i det offentlige er ikke lenger forenlig med rettsstaten. Hvis vi ikke gjør noe, reduserer vi Europa til en digital koloni.
JAN PHILIPP ALBRECHT, representant for De grønne i Europaparlamentet
data om andre lands borgere bare fordi selskapet er amerikansk.
REDD FOR TRUMP
Personvernet i Europa er «ekstremt mye bedre» enn i USA, mener Tom Fredrik Blenning. Han er daglig leder i Digital forpost Norge, som jobber for digitale borgerrettigheter.
– Men det gjør situasjonen svært vanskelig hvis amerikanske myndigheter stiller slike krav på andre lands jord, bare fordi selskapet er amerikansk. Selv er jeg svært redd for dette, ikke minst nå, når Donald Trump sier han ikke vil at utlendinger skal ha noen rettigheter, sier Benning. Han viser til presidentordre fra Trump i januar som fratok utenlandske borgere personvernet under den såkalte Privacy Act.
Overvåkingen truer tilliten til amerikanske skyleverandører – og dermed hele forretningen, frykter også Microsoft selv. «Regjeringens enveis-utøvelse av makt i Irland setter på spill den amerikanske itsektorens mulighet til å operere og konkurrere globalt», skriver selskapet i sin første stevning.
Frykten er ikke grepet ut av luften. – Bruken av Microsoft-produkter i det offentlige er ikke lenger forenlig med rettsstaten. Hvis vi ikke gjør noe, reduserer vi Europa til en digital koloni, mener juristen Jan Philipp Albrecht. Han sitter i Europaparlamentet for partiet De grønne og var sentral i utformingen av EUS personvernregler.
To ganger de siste årene har avsløringene av den omfattende overvåkingen fått Europaparlamentet til å kreve at EU bygger opp selvstendig it-kapasitet ved hjelp av fri programvare.
Det kunne bli som et Airbus-prosjekt for it, mener Albrecht. Fly-konsortiet Airbus ble bygd opp som et europeisk alternativ til amerikanske Boeing. På samme måte kan Europa frigjøre seg fra avhengigheten til Microsoft, mener den tyske politikeren. Hvis fri programvare ble obligatorisk, ville dette også bli mye billigere, tror han.
– Europeiske leverandører ville bli konkurransedyktige med det samme, hevder Albrecht.
Microsoft har avslått å svare på spørsmål fra Investigate Europe.