Micro­soft er hac

Den ster­ke av­hen­gig­he­ten av Micro­soft gjør Euro­pa til en di­gi­tal ko­lo­ni for USA. Det tru­er sta­te­nes sik­ker­het og inn­byg­ger­nes per­son­vern, ad­va­rer kri­ti­ke­re.

Faedrelandsvennen - - NYHETER - TEKST: INGEBORG ELIASSEN Dis­se re­por­ter­ne gjor­de også rese­arch til re­por­ta­sjen: Cri­na Boros, Wo­jciech Cie­s­la, Ni­ko­las Le­ontopou­los, Ma­ria Mag­giore, Lei­la Mi­nano, Pau­lo Pe­na, Ha­rald Schu­mann og Eli­sa Si­mant­ke.

Epos­ten fra Har­vard Uni­ver­sity er­sity kom i nors­ke inn­bok­ser da­gen etter at Do­nald Trump var blitt valgt til pre­si­dentnt i USA. Mai­len had­de et ved­legg;gg; en rap­port om svak­he­ter ved det ame­ri­kans­ke val­get. Ved­leg­get var det in­gen av de ni adres­sa­te­ne som åp­net. Mai­len til ap.post­mot­tak@ stor­tin­get.no ble tro­lig slet­tet. Av de and­re åtte var halv­par­ten til adres­ser som ikke len­ger var i bruk, iføl­ge Na­sjo­nal sik­ker­hets­myn­dig­het,ndig­het, NSM. Det var bra at in­gen åp­net. For i ved­leg­get lå star­ten på et di­gi­talt an­grep, ret­tet mot data­ser­ve­re i PST, Uten­riks­de­par­te­men­tet, Ar­bei­der­par­ti­ets stor­tings­grup­pe, Sta­tens stråle­vern, råle­vern, For­sva­ret og uni­ver­si­tets­mil­jø­er.

Hver dag blir det sendt 296 mil­li­ar­der r epos­ter glo­balt, iføl­ge NSM. Ikke så rart at epost er an­greps­vå­pen num­mer én for kri­mi­nel­le og for stat­li­ge etter­ret­nings­tje­nes­ter.

For­sø­ket på å bry­te seg inn i sen­tra­le nors­ke ske in­sti­tu­sjo­ner 9. no­vem­ber i fjor fikk sto­re over­skrif­ter i medie­ne. Men det var det li­ten grunnn til, iføl­ge Roar Thon, fag­di­rek­tør for sik­ker­hets­kul­tur i NSM, som har til opp­ga­ve å fore­byggee og vars­le al­vor­li­ge data­an­grep.

– Vi skal ta det på al­vor. Men det­te var en hver­dags­lig rdags­lig hen­del­se som fikk eks­trem opp­merk­som­het, sier han.

Opp­stus­set rundt ak­ku­rat det­te for­sø­ket på å plan­ten­te ond­sin­net kode kan skyl­des opp­merk­som­he­ten om «hy­brid krig­fø­ring» etter at De­mo­kra­te­ne tene i USA fikk sitt epost­sys­tem hack­et før val­get i fjor. I år er det stor­tings­valg i Nor­ge. PST tror av­sen­de­ren for mai­len fra «Har­vard» var en rus­sisk hack­er­grup­pe med tet­te bånd til rus­sis­ke myn­dig­he­ter – den sam­me som skal ha stått bak hack­in­gen av De­mo­kra­te­ne.

SÅRBARE ANGREPSFLATER

Pro­gram­va­ren an­gri­per­ne bruk­te i ak­ku­rat det­te an­gre­pet, var en til­syne­la­ten­de syne­la­ten­de til­for­la­te­lig pdf-fil fra Ado­be.

Det van­li­ge­re er imid­ler­tid at hacke­re pak­ker an­grep inn i pro­gram­vare fra Micro­soft, iføl­ge tys­ke sik­ker­hets­myn­dig­he­ter. Rundt halv­par­ten av in­fi­ser­te do­ku­men­ter brukt i mål­ret-

te­de an­grep i 2010, var i et av Micro­soft Office-for­ma­te­ne, rap­por­ter­te NSMS tys­ke søs­ter­or­ga­ni­sa­sjon, Bunde­samt für Sicher­heit in der In­for­ma­tion­stech­nik, i 2011. Kon­klu­sjo­nen står fast, sier BSIS tals­mann Joa­chim Wag­ner til In­vesti­ga­te Euro­pe.

Be­grun­nel­sen: Micro­soft-for­ma­tet OOXML er «mye mer kom­plekst» enn det så­kal­te ODF (Open Do­cu­ment For­mat). Det har 7200 si­ders do­ku­men­ta­sjon, mot ODFS 820. Der­for gir det «en mye stør­re an­greps­over­fla­te» iføl­ge BSI.

Til­sva­ren­de un­der­sø­kel­ser er ikke gjort i Nor­ge.

– Men vi har in­gen grunn til å be­stri­de de tys­ke opp­lys­nin­ge­ne, sier Hans Chris­ti­an Pre­to­ri­us, av­de­lings­di­rek­tør for cy­ber­sik­ker­het i NSM.

Den mest åpen­ba­re år­sa­ken til at mye skade­vare blir la­get til bruk på Micro­softs platt­for­mer, er at de er så ut­bredt, sier han.

– Dess­uten har Micro­soft en stra­te­gi som gjør dem sårbare: De opp­ly­ser om hull som må tet­tes. In­gen­ting er bed­re enn at sto­re le­ve­ran­dø­rer sier fra om det­te. Men det går beg­ge vei­er. Det be­tyr også at det går an å pro­gram­me­re en kode som ut­nyt­ter hul­let. App­le, der­imot, til­la­ter kun god­kjent pro­gram­vare i App­sto­re. Det be­tyr at de får be­ty­de­lig mind­re skade­vare, men også at de er som en svart boks. Og den åp­ner de ikke for noen uten­for­stå­en­de, sier Pre­to­ri­us.

BOMBARDERT AV CYBERANGREP

I års­rap­por­ten for 2016 pe­ker NSM på «be­ty­de­lig ri­si­ko» for cyberangrep mot norsk of­fent­lig for­valt­ning og virk­som­he­ter som pas­ser på kri­tisk in­fra­struk­tur og kri­tis­ke sam­funns­in­sti­tu­sjo­ner.

«Trus­sel­ak­tø­rer føl­ger med på de mest at­trak­ti­ve må­le­ne kon­ti­nu­er­lig, slik at den mins­te sår­bar­het kan ut­nyt­tes i det øye­blikk den opp­står», he­ter det.

NSMS be­fa­ling til alle dis­se er å hol­de både seg og data­sys­te­me­ne opp­da­tert. Pre­to­ri­us sin go­de ny­het er at in­gen ennå har klart å ska­de el­ler øde­leg­ge nors­ke mål i

Nor­ge skal ikke fritt kun­ne for­sy­ne seg av svens­ke data. På sam­me måte skal USA ikke kun­ne hen­te ut data om and­re lands bor­ge­re bare for­di sel­ska­pet er ame­ri­kansk.

BJØRN ERIK THON, di­rek­tør i Data­til­sy­net

et cyberangrep. Men skade­vare er blitt en mil­li­ard­in­du­stri som sys­sel­set­ter me­get smar­te folk, og an­grep mot eta­ter og be­drif­ter er blitt dag­lig­dags. Di­gi­ta­le vå­pen kan end­re må­ten kri­ger blir ført på: De kan få kraft­verk til å kne­le, ban­ker til å sten­ge, vann­for­sy­ning til å stop­pe opp.

Sta­ter som tid­li­ge­re send­te spio­ner for å kom­me på inn­si­den av and­re sta­ter – også al­li­er­te – sat­ser sta­dig mer på di­gi­ta­le me­to­der.

Mel­lom 2011 og 2013 ble tre ame­ri­kans­ke an­grep mot euro­pe­is­ke mål av­slørt. Det tys­ke ma­ga­si­net Der Spie­gel rap­por­ter­te at USAS Na­tio­nal Security Agency (NSA) tro­lig had­de in­fil­trert data­nett­ver­ket i EUS re­pre­sen­ta­sjon i New York og dre­vet elek­tro­nisk av­lyt­ting av EU i Brus­sel.

Bri­tisk og ame­ri­kansk etter­ret­ning skal ha ut­vik­let den kom­plek­se skade­va­ren Re­gin til bruk mot EU og det bel­gis­ke tele­sel­ska­pet Bel­ga­com. Re­gin stjal data fra in­fi­ser­te sys­te­mer og ka­mu­fler­te seg som harm­løs pro­gram­vare fra Micro­soft, iføl­ge The In­ter­cept, et nett­sted som rap­por­te­rer om do­ku­men­te­ne som Cia-av­hop­pe­ren Ed­ward Snow­den har lek­ket.

DI­GI­TAL SUVERENITET

Over hele Euro­pa kjø­rer ad­mi­ni­stra­sjo­ner i kom­mu­ner, fyl­ker og de­par­te­men­ter med pro­duk­ter fra Micro­soft - ope­ra­tiv­sys­te­met Win­dows og skrive­bords­verk­tøy­ene Word, Ex­cel og Out­look. Kom­mu­na­le og fyl­kes­kom­mu­na­le it-sje­fer i Nor­ge sier det sam­me: Vi er langt på vei låst til Micro­softs pro­duk­ter på det­te feltet.

Man­ge­len på mang­fold er en sik­ker­hets­ri­si­ko, me­ner tys­ke sik­ker­hets­myn­dig­he­ter. De­res stra­te­gi er «FLOSS», «Free, Li­bre and Open Source Soft­ware». Det gjel­der å unn­gå «mono­kul­tur», for det gjør syste­met sår­bart og enk­le­re å an­gri­pe, me­ner BSI. En ut­vik­ler fra et euro­pe­isk pro­gram­vare­sel­skap sam­men­lik­ner med skog:

– Hvis alle trær­ne er av sam­me slag, kan ett syk­doms­an­grep leg­ge hele sko­gen øde.

Fri pro­gram­vare er ikke noen ga­ran­ti mot an­grep. Men det gir «vik­ti­ge stra­te­gis­ke for­de­ler», me­ner tys­ke myn­dig­he­ter.

En del of­fent­li­ge eta­ter i Euro­pa og en­kel­te i Nor­ge har for­søkt å vri seg ut av av­hen­gig­he­ten til Micro­soft ved å ta i bruk fri pro­gram­vare, også på kon­to­re­ne. Noen har lyk­tes, men i Nor­ge ga for­søks-eta­te­ne opp. Mens ser­ve­re i of­fent­lig sek­tor i dag svært ofte går på fri pro­gram­vare, do­mi­ne­rer Micro­softs pro­gram­vare fort­satt på skrive­bor­de­ne. Fri pro­gram­vare be­tyr at kilde­ko­den er åpen og til­gjen­ge­lig for alle. Kilde­ko­den til Micro­soft er der­imot eid av sel­ska­pet og luk­ket.

Så len­ge sta­ter og and­re myn­dig­he­ter bru­ker pro­gram­vare med hem­me­lig kilde­kode, har de in­gen di­gi­tal suverenitet, hev­der Michael Waid­ner. Han er cy­ber-sik­ker­hets­eks­pert ved det tys­ke Fraun­ho­fer­in­sti­tut­tet for sik­ker it.

– Hvis en stat reg­ner seg selv som selv­sten­dig, må den kun­ne tes­te om it-syste­met vir­ke­lig gjør det som det er me­nin­gen at det skal gjø­re og in­gen­ting an­net, sier han. – Der­for må sta­ter ha til­gang til kilde­ko­den for sik­ker­hets­tes­ting.

Micro­soft har åp­net dø­ra på gløtt. De lar myn­dig­hets­eks­per­ter kom­me til sitt «trans­pa­rency cen­ter» i Brus­sel for å sjek­ke kilde­kode. I 2015 had­de 23 land skre­vet un­der på med­lem­skap. Nor­ge har mu­lig­he­ten til å del­ta og har tes­tet win­dows-ko­der der, iføl­ge NSM.

Men tys­ker­ne sa nei takk. De syn­tes ikke inn­sy­net var om­fat­ten­de nok til å inn­gi til­lit.

HVEM HAR TIL­GANG TIL SKY­EN?

Før den di­gi­ta­le tids­al­de­ren hav­net sen­si­tiv kor­re­spon­dan­se og and­re do­ku­men­ter i av­lås­te ar­kiv­skap og kon­tor­skuf­fer. Da skrive­ma­ski­ne­ne ble er­stat­tet av pc-er, flyt­tet også ar­ki­ve­ne med – til lag­ring på den en­kel­tes pc el­ler på brum­men­de ser­ve­re i kjel-

le­ren. Da­ta­ene var i fy­sisk rekke­vid­de.

Sky­lag­ring har end­ret det­te på en grunn­leg­gen­de måte. Men «sky» er et mar­keds­fø­rings­be­grep. Do­ku­men­te­ne og epos­te­ne blir fort­satt lag­ret på helt hånd­fas­te ser­ve­re – men ste­det er langt unna, gjer­ne i and­re land, og data­sent­re­ne er eid av and­re. For bru­ker­ne er den sto­re for­de­len at vi kan få tak i in­for­ma­sjo­nen fra alle dipped­ut­te­ne våre når og hvor det pas­ser oss, en­ten det er fra pc–en på job­ben, el­ler fra mo­bi­len, el­ler fra nett­bret­tet.

«Sky­en» til Micro­soft er blant an­net i enor­me data­sent­re ved Dub­lin i Ir­land. De er strengt be­vok­tet. Men all­ver­dens syn­lig og usyn­lig sik­ring hjel­per ikke hvis uved­kom­men­de har ad­gang gjen­nom bak­dø­rer.

FÅR IKKE SI FRA TIL KUN­DE­NE

«Ditt per­son­vern er vår prio­ri­tet», re­kla­mer­te Micro­soft i 2013. Men ame­ri­kans­ke sik­ker­hets­myn­dig­he­ter har ut­nyt­tet over­gan­gen til skyt­je­nes­ter til å skaf­fe seg stør­re mu­lig­he­ter til å dri­ve hem­me­lig over­vå­king. I ste­det for å kre­ve in­for­ma­sjon di­rek­te fra per­sonen det gjel­der, går de di­rek­te på skyle­ve­ran­dø­rer, som Micro­soft. Det skjer i ju­ri­dis­ke pro­ses­ser som Micro­soft gir sta­ti­stikk over på sine nett­si­der.

Men over­vå­kin­gen fore­går også gjen­nom hem­me­li­ge pro­ses­ser der myn­dig­he­te­ne for­byr sel­ska­pe­ne å si fra til kun­de­ne – og alle and­re. Det­te rede­gjor­de Micro­soft selv for da de gikk til sak mot jus­tis­de­par­te­men­tet i fjor, støt­tet av Goog­le og and­re kon­kur­ren­ter.

Over 3250 gan­ger i lø­pet av 20 må­ne­der før mai 2016 ble Micro­soft på­lagt av myn­dig­he­te­ne å hol­de tett over­for kun­de­ne om at myn­dig­he­te­ne vil­le ha epost-inn­hol­det de­res el­ler an­nen pri­vat in­for­ma­sjon, går det fram av stev­nin­gen. Nes­ten to tredje­de­ler av ord­re­ne om hem­me­lig­hold had­de in­gen ut­løps­dato. Det be­tyr at Micro­soft ald­ri vil kun­ne

for­tel­le kun­de­ne det gjel­der, at myn­dig­he­te­ne har hatt ad­gang til de­res pri­va­te in­for­ma­sjon. Det­te er i strid med grunn­lo­ven, me­ner Micro­soft. «Sel­ska­pets kun­der har rett til å vite det når myn­dig­he­te­ne skaf­fer seg til­la­tel­se til å lese epos­te­ne de­res», og «Micro­soft har rett til å for­tel­le dem det».

Man bør ikke sto­le på ame­ri­kans­ke multi­na­sjo­na­le sel­ska­per før de be­vi­ser at de for­tje­ner det, men­te Ed­ward Snow­den i et Spie­gel-in­ter­vju i 2013. – Det­te er leit, for de kan til­by de bes­te og mest tro­ver­di­ge tje­nes­te­ne i ver­den hvis de vir­ke­lig vil, sa han.

SLA­GET OM EURO­PAS DATA

USAS myn­dig­he­ter kre­ver også ut­le­vert data som er lag­ret i sel­ska­pe­nes data­sent­re i Euro­pa og and­re ste­der uten­for USA. I 2014 for­lang­te en ame­ri­kansk dom­mer ad­gang til emai­len til en kun­de i Micro­softs data­sen­ter i Dub­lin. Micro­soft og and­re had­de tid­li­ge­re gitt fra seg in­for­ma­sjon fri­vil­lig, iføl­ge topp­hem­me­li­ge do­ku­men­ter fra NSA som The Guar­di­an om­tal­te. Nå nek­tet sel­ska­pet å gi ut data og gikk til ret­ten for å få kra­vet kjent ugyl­dig.

I fjor fikk Micro­soft med­hold, og i ja­nu­ar i år av­vis­te dom­sto­len myn­dig­he­te­nes anke. Men sa­ken er ikke av­slut­tet.

Det­te hand­ler om hele til­li­ten til data­lag­ring, me­ner Data­til­sy­nets di­rek­tør, Bjørn Erik Thon.

– Det skal ikke være for­budt for nors­ke myn­dig­he­ter å se på nors­ke bor­ge­res te­le­fon- og søke­his­to­rikk. Men det skal skje etter retts­li­ge pro­ses­ser. Og Nor­ge skal ikke fritt kun­ne for­sy­ne seg av svens­ke data. På sam­me måte skal USA ikke kun­ne hen­te ut

Bru­ken av Micro­soft­pro­duk­ter i det of­fent­li­ge er ikke len­ger for­en­lig med retts­sta­ten. Hvis vi ikke gjør noe, re­du­se­rer vi Euro­pa til en di­gi­tal ko­lo­ni.

JAN PHILIPP ALBRECHT, re­pre­sen­tant for De grøn­ne i Europa­par­la­men­tet

data om and­re lands bor­ge­re bare for­di sel­ska­pet er ame­ri­kansk.

REDD FOR TRUMP

Per­son­ver­net i Euro­pa er «eks­tremt mye bed­re» enn i USA, me­ner Tom Fred­rik Blen­ning. Han er dag­lig le­der i Di­gi­tal for­post Nor­ge, som job­ber for di­gi­ta­le bor­ger­ret­tig­he­ter.

– Men det gjør si­tua­sjo­nen svært vans­ke­lig hvis ame­ri­kans­ke myn­dig­he­ter stil­ler sli­ke krav på and­re lands jord, bare for­di sel­ska­pet er ame­ri­kansk. Selv er jeg svært redd for det­te, ikke minst nå, når Do­nald Trump sier han ikke vil at ut­len­din­ger skal ha noen ret­tig­he­ter, sier Ben­ning. Han vi­ser til pre­si­dent­ord­re fra Trump i ja­nu­ar som fra­tok uten­lands­ke bor­ge­re per­son­ver­net un­der den så­kal­te Pri­vacy Act.

Over­vå­kin­gen tru­er til­li­ten til ame­ri­kans­ke skyle­ve­ran­dø­rer – og der­med hele for­ret­nin­gen, fryk­ter også Micro­soft selv. «Re­gje­rin­gens en­veis-ut­øvel­se av makt i Ir­land set­ter på spill den ame­ri­kans­ke it­sek­to­rens mu­lig­het til å ope­re­re og kon­kur­re­re glo­balt», skri­ver sel­ska­pet i sin førs­te stev­ning.

Fryk­ten er ikke gre­pet ut av luf­ten. – Bru­ken av Micro­soft-pro­duk­ter i det of­fent­li­ge er ikke len­ger for­en­lig med retts­sta­ten. Hvis vi ikke gjør noe, re­du­se­rer vi Euro­pa til en di­gi­tal ko­lo­ni, me­ner ju­ris­ten Jan Philipp Albrecht. Han sit­ter i Europa­par­la­men­tet for par­ti­et De grøn­ne og var sen­tral i ut­for­min­gen av EUS per­son­vern­reg­ler.

To gan­ger de sis­te åre­ne har av­slø­rin­ge­ne av den om­fat­ten­de over­vå­kin­gen fått Europa­par­la­men­tet til å kre­ve at EU byg­ger opp selv­sten­dig it-ka­pa­si­tet ved hjelp av fri pro­gram­vare.

Det kun­ne bli som et Air­bus-pro­sjekt for it, me­ner Albrecht. Fly-kon­sor­ti­et Air­bus ble bygd opp som et euro­pe­isk al­ter­na­tiv til ame­ri­kans­ke Boeing. På sam­me måte kan Euro­pa fri­gjø­re seg fra av­hen­gig­he­ten til Micro­soft, me­ner den tys­ke po­li­ti­ke­ren. Hvis fri pro­gram­vare ble ob­li­ga­to­risk, vil­le det­te også bli mye bil­li­ge­re, tror han.

– Euro­pe­is­ke le­ve­ran­dø­rer vil­le bli kon­kur­ranse­dyk­ti­ge med det sam­me, hev­der Albrecht.

Micro­soft har av­slått å sva­re på spørs­mål fra In­vesti­ga­te Euro­pe.

MONTASJE: COLOURBOX / TOR PEDERSEN

Det er van­lig at hacke­re pak­ker an­grep inn i pro­gram­vare fra Micro­soft, iføl­ge tys­ke sik­ker­hets­myn­dig­he­ter. Rundt halv­par­ten av in­fi­ser­te do­ku­men­ter brukt i mål­ret­te­de an­grep i 2010, var i et av Micro­soft Office-for­ma­te­ne, rap­por­ter­te tys­ke Bunde­samt für Sicher­heit in der In­for­ma­tion­stech­nik. Eks­per­ter reg­ner ikke med at det­te har end­ret seg.

FOTO: GORM K. GAARE, EUP-BERLIN.COM

– Det er be­ty­de­lig ri­si­ko for cyberangrep mot norsk of­fent­lig for­valt­ning, ad­va­rer kom­mu­ni­ka­sjons­di­rek­tør Mo­na Strøm Arn­øy ved Na­sjo­nal sik­ker­hets­myn­dig­het.

FOTO: NTB SCAN­PIX

– Hvis nors­ke myn­dig­he­ter skal se på bor­ge­res te­le­fon- og søke­his­to­rikk, må det skje etter retts­li­ge pro­ses­ser, sier Bjørn Erik Thon, di­rek­tør i Data­til­sy­net.

FOTO: CARLOS BARRIA, REUTERS

Den for­ri­ge av­ta­len mel­lom USA og EU om data­ut­veks­ling kol­lap­set i kjøl­van­net av Ed­ward Snow­dens av­slø­rin­ger av USAS masse­over­vå­king. Do­nald Trump har ut­løst krav om at den av­ta­len også må kjen­nes ugyl­dig etter at han til­syne­la­ten­de opp­he­vet per­son­ver­net for uten­lands­ke stats­bor­ge­re i en av sine pre­si­dent­ord­rer.

FOTO: NA­SJO­NAL SIK­KER­HETS­MYN­DIG­HET

Mai­len som ble sendt til Ar­bei­der­par­ti­ets stor­tings­grup­pe og en rek­ke and­re, så ut som den kom fra Har­vard-uni­ver­si­te­tet. Pdf-ved­leg­get så ut som en rap­port om det ame­ri­kans­ke pre­si­dent­val­get da­gen før. Men det inne­holdt et data­an­grep.

FOTO: JULIET LINDERMAN, AP

Man bør ikke sto­le på ame­ri­kans­ke multi­na­sjo­na­le sel­ska­per før de be­vi­ser at de for­tje­ner det, men­te Ed­ward Snow­den, som av­slør­te USAS enor­me over­vå­king, også av euro­pe­is­ke bor­ge­re, gjen­nom ame­ri­kans­ke sel­ska­per. – Det­te er leit, for de kan til­by de bes­te og mest tro­ver­di­ge tje­nes­te­ne i ver­den hvis de vir­ke­lig vil, sa han.

Newspapers in Norwegian

Newspapers from Norway

© PressReader. All rights reserved.