Hva vil det si å “bli hacket”? Vil jeg kunne bli det?
De siste ukene har vi sett en rekke medieoppslag om at Nora Mørk sine private bilder er kommet på avveie. Så godt som alle sakene forteller at Nora Mørk sin mobiltelefon er blitt “hacket” og at hackeren har spredd bildene. VG forteller oss for eksempel at “private bilder ble hacket fra telefonen hennes” og Dagbladet sier ” Nora Mørk har gått til anmeldelse etter at private bilder av henne er dukket opp på nettet som følge av at mobiltelefonen hennes ble hacket.”
Men hva er det egentlig som har skjedd? Hva innebærer det egentlig “å bli hacket” på denne måten?
Dessverre forteller få (eller ingen) medier hva som faktisk har skjedd. De aller fleste har en svært lite presis beskrivelse, og får det til å virke som om dette er noe svært avanserte hackere står bak, og som man ikke har noen mulighet til å beskytte seg mot.
Det er langt mer sannsynlig at det er personer uten spesiell stor teknisk kunnskap som står bak. Kanskje er det noen som kjenner eller står offeret nært, eller noen som har et spesielt ønske om å få tak i nettopp denne typen bilder. Alt som trengs av teknisk kunnskap og verktøy ligger svært enkelt tilgjengelig på nett, så det er motivasjonen og etiske begrensinger som avgjør hvem som kan være angriperen.
Vi har heller ikke fått tilgang til hva som eksakt har skjedd, men det finnes en rekke svært sannsynlige fremgangsmåter. Få av disse innebærer at hun er “hacket” slik de fleste tolker dette begrepet.
Før vi fortsetter må vi også si at vi virkelig føler med Nora i denne saken, og ikke på noen måte forsøker gi hende skylden. Det er bakmennene som har gjort noe de ikke skulle, og som er ulovlig. Allikevel må vi påpeke at vi alle er langt mer utsatt for dette enn vi selv tror, og det er kun små feilgrep vi skal gjøre før det blir mye enklere for de som ønsker å få tilgang til vår informasjon.
Årsaken til at vi tar opp denne konkrete saken her, er at den alt har fått mye og upresis mediedekning. Samtidig kan vi alle lære en del om datasikkerhet gjennom den.
Online sikerhetskopiering
Det mest sannsynlige er at de private bildene på telefonen automatisk har vært sikkerhetskopiert inn i en nettskylagring slik som Google Drive, Dropbox eller Apple iCloud. Alle bilder som tas med telefonen blir det da lagret en kopi av i tjenesten. Dette er en fantastisk tjeneste dersom det skulle oppstå problemer med telefonen. Blir den mistet eller ødelagt har vi allikevel tilgang til verdiene alle våre bilder utgjør.
En av de største truslene mot disse sikkerhetslagringene er imidlertid at de er tilgjengelige via en hvilken som helst nettleser fra hvor som helst i verden. Så lenge man kjenner brukernavnet og passordet til tjenesten vil hvem som helst ha tilgang. Brukernavnet er ofte lett å finne, da det er e-postadressen eller en forkortning av personens navn.
Passordet er imidlertid det som skal hindre at uvedkommende faktisk får tilgang. Dessverre er det få som behandler passord med så mye forsiktighet som de burde. Det er en rekke muligheter bakmennene kan ha benyttet for å få tilgang til offerets passord:
- Passordet kan ha vært “for enkelt”. Alt for mange lager passord som er basert på personlig informasjon slik som navn, adresse, fødselsår, barn, kjeledyr osv. I tillegg er mønstre på tastatur eller tall og bokstavrekker vanlige. Vi har skrevet mer om passord i en egen bloggpost. Bakmennene kan altså ha forsøkt seg frem, og fått tilgang til bruker etter tilfeldige forsøk
- Det samme passordet kan også ha vært benyttet i flere andre tjenester. Dessverre er det da slik at man ikke er like forsiktig med passordet i alle sammenhenger. Kanskje “låner man bort” passordet til sitt trådløse nettverk hjemme, uten å tenke på at dette er samme passord som benyttes i sikkerhetskopieringen. Det kan også være slik at man blir lurt av bakmennene til å registrere seg i en falsk ny tjeneste der bakmennene får ut registreringsinformasjonen. Benytter man sitt “standardpassord” i denne registreringen får bakmennene tilgang til passordet som passer over alt.
- Bakmennene kan også ha sendt en e-post eller SMS som utgir seg for å være fra sikkerhetskopieringstjenesten. Meldingen inneholder informasjon om at det er oppdaget et problem, og at man må følge en link og logge inn for å fikse problemet. Dessverre leder linken til en falsk nettside, der bakmennene fanger opp passordet under innloggingsforsøket. Dette omtales som phishing-forsøk.
Utveksling via sosiale medier og kommunikasjonstjenester
En annen mulig fremgangsmåte er at bildene har blitt delt med noen utvalgte gjennom en kommunnikasjonstjeneste eller sosiale medier. Typisk som en privat melding gjennom Facebook Messenger eller Snapchat.
Utfordringen er at dette medfører flere steder der bildene eksisterer i tillegg til bildegalleriet på telefonen. Har noen fått tilgang til passordet til avsenders eller mottakers brukerkonto vil de også ha tilgang til bildene. Vi kan selv være svært forsiktig og oppmerksom på farene med passord som er nevnt tidligere, men hvordan vet vi at mottaker også er det?
Alt for få tenker også over hva mottaker faktisk gjør med bilder og informasjon de mottar. Hvordan vet vi med 100 % sikekrhet at de ikke sprer materialet videre, selv om vi tror vi stoler på de?
Mange stoler også for mye på mekanismer i tjenestene. Slik som Snapchat, som kun skal vise bildet i en bestemt tidsperiode, og varsle oss om noen tar skjermbilder. Dette er imidlertid enkelt å omgå ved å benytte et annet kamera til å ta bilde av skjermen, eller benytte modifiserte versjoner av programvaren.
Fysisk utplukk
Sist er det også en mulighet at bildene har blitt hentet ut direkte fra telefonen. Det å låne bort eller på andre måter ikke ha oppsyn med sin egen telefon kan ofte utgjøre en fare.
Få har gode PIN-koder eller sikkerhetsmønstre som “lås” på telefonen. På samme måte som passord velger mange det samme som andre, og er dårlige på å holde det skjult. Får noen tilgang til en åpnet telefon, vil det være raskt å sende ut bildene fra telefonen.
Selv en låst telefon kan bli missbrukt, da bilder som oftest befinner seg på telefonens minekort. Man kan enkelt ta ut minnekortet av telefonen, sette det inn i en maskin og plukke ut bildene som om det var en USB-minnepenn. Sikkerhetsmekansimer som PIN-koder og sikkerhetsmønstre hindrer kun bruk av selve telefonen.
Hva kan man gjøre?
For å hindre at privat informasjon kommer på avveie bør vi først og fremst sikre brukerkontoer godt. Det innebærer å sette gode passord, samt aktivere to-faktor-autentisering på tjenester som støtter dette.
Vi bør også nøye tenke oss nøye om før vi deler personlig informasjon med andre. Selv om vi stoler på at tjenester er “en-til-en” så har vi aldri noen garanti. Vi kjenner sjelden mottakers forståelse for datasikkerhet. I tillegg kan noen vi stoler på i dag, missbruke ting de har mottatt for å skade oss i morgen.
I tillegg bør vi være svært forsiktig med å generere og oppbevare informasjon som er helt kritisk om kommer på avveie. Det å ta og oppbevare helt private bilder på telefonen innebærer alltid en risiko. Vi bør alltid nøye avveie hva konsekvensene vil være om det skulle bli offentliggjort. Kommer man frem til at det er for skadelig for oss og vårt image, må man la være å ha disse bildene eller informasjonen.
Ønsker du å lære mer om dette? Boka “Datasikkerhet – ikke bli svindlerens neste offer” inneholder mye mer slik informasjon om oppbevaring og spredning av informasjon. I tillegg til to kapitler om farer med sosiale medier.