Afmagt. Hacket eller ej?

Af Dorte Toft 6

En SMS tikkede ind en aftentime og udløste en frygt, der er svær at beskrive, et problem, der var for svært at håndtere.

Afsenderen af SMSen måtte være i besiddelse af en mail, jeg år tilbage havde skrevet til et menneske, jeg aldrig har mødt, hverken før eller siden.

SMS-afsenderen syntes overbevist om, at mailen kunne få mig elimineret fra det gode selskab, hvis den blev offentligt kendt. SMSen blev indledt med ”Vis mig dine venner”, havde navnet på personen, jeg havde sendt mailen til, suppleret med nogle hånlige ord om mig.

En ny SMS med samme insinuation dumpede senere ind fra samme afsender. I et kommentarfelt på et nyhedssite var han desuden ude med en opfordring til, at jeg selv lagde den mail, som han mente ville udstille mig, frem.

Stempler sig selv

Jeg kendte afsenderen. En journalist kan få fjender, også nogle der aldrig helmer, og man vænner sig til det meste, men dette…

Hvad der skræmte mig var ikke, om manden lagde mailen frem offentligt. I couldn’t care less på egne vegne, modtageren af min mail ville heller ikke blive skadet, og SMS-afsenderen ville i den grad stemple sig selv med sin metode.

Det, der udløste frygten, var, om han havde fået nogen til at hacke min mail – at han var i besiddelse af alt. Alt. At han måske stadig havde snablen inde og kunne overvåge alt. En søvnløs nat fulgte.

Sandsynligheden for, at manden ville misbruge mails til at skade mig, opfattede jeg som værende høj. Værre var tanken om, at han måske ikke kerede sig om, at andre mennesker kunne ryge med i købet.

Modtageren hacket

Episoden fandt sted i sommeren 2013. Efter nogen tid blev jeg overbevist om, at MIN mail ikke var hacket. Det var faktisk modtageren af min mail, som tidligere havde fået sin mail hacket. Det var sket i forbindelse med en større, offentligt kendt sag.

Ophavsmanden/mændene bag det indbrud havde tilsyneladende ikke ladet sig nøje med mails af relevans for den pågældende sag. I det opsugede var også min mail, sendt i 2010 til ham, hvis mail de brød ind i.

Motivet, som bagmændene havde for at overdrage netop min mail, en journalists mail, til tredjeperson, kender jeg ikke. Måske en vennetjeneste. Måske har jeg en fjende, jeg ikke kendte til.

Svært og dyrt

Men situationen, jeg stod i den sommer, ville jeg ikke ønske for noget menneske.

Som tech-journalist kendte jeg til mennesker, der måske kunne hjælpe mig, selv om jeg som freelancer ikke råder over de midler, som it-sikkerhedskonsulenter sikkert normalt fakturerer. Og der var gode gutter i it-branchen, der hjalp mig igennem de dage. Tak til jer.

Det travle sikkerhedsfirma, som jeg efter jeres anbefaling kontaktede, tilbød – fornuftigt nok – ingen særbehandling, så jeg måtte om i køen, hvis jeg vitterligt ønskede selskabets hjælp.

Dagene gik, og ingen andre mails dukkede frem som pression fra SMS-afsenderen. Derfor drog jeg konklusionen, at det udelukkende var den andens computer, der var hacket.

Hvorfor jeg ikke straks gik til politiet med min computer og SMSen? Jeg overvejede, men udefra kan det synes som en for lille sag.

Tvangsdigitaliseringen

Men man står på herrens mark i den situation.

Jeg har før skrevet på denne blog, at i et samfund, hvor der er sket en tvangsdigitalisering, bør der være ét sted, hvor borgere får hjælp, når de rammes af digital kriminalitet. Ét sted, hvor ansvaret for at informere om trusler også er forankret.

Flere tvinges i risikozonen

Tvangsdigitalisering uden særlig opmærksomhed overfor, at flere mennesker dermed tvinges på nettet og dermed også i risikozonen, er i mine øjne en uforsvarlig handling fra politikernes side. Uigennemtænkt, måske.

Borgerne har behov for sted med en helvedes masse erfaring også i at få opklaret og ryddet op efter digital kriminalitet, så folk, der f.eks. er røget i registre for dårlige betalere efter deres ID på nettet er stjålet, ikke selv sidder med et arbejde, der kan være helt uoverkommeligt. Har vi ikke set nok tv-udsendelser om, hvilket Sisyfos-arbejde det er?

Den ramte person kan få mange budskaber. Gå til politiet. Gå til banken. Gå til ”RKI”. Gå til kommunen. Gå til forsikringselskabet. Gå til sikkerhedseksperten. Gå til firmaerne, der rykker for betaling. Måske mødes den udsatte også med ”Det er ikke mit bord ” og ”Du må bare selv klare det”.

Jeg vil gerne se den folketingspolitiker/departementchef, der vælger selv at rense op efter tyveri af egen ID.

Møde om sikkerhed

Årsagen til, at jeg nu skriver om hændelsen hin sommeraften i 2013, er, at minderne sparker ind, fordi jeg skal til et møde om informationssikkerhed på mandag (d. 16. februar).

Digitaliseringsstyrelsen står bag invitationen, og jeg er taknemmelig for at få mulighed for at diskutere borgernes situation i digital verden, hvor det bliver stadig vanskeligere at beskytte sig.

Har du et budskab, jeg skal tage med?

PS: Hvem SMS-afsenderen er er ligegyldig i denne sammenhæng, ligeså hvem der fandt det betimeligt at overdrage ham min mail. Hvad jeg vil skildre er afmagten og utrygheden, der for mig langt oversteg, hvad et indbrud i min lejlighed en gang udløste.

6 kommentarer RSS

  1. Af Morten Bo Johansen

    -

    Hvis du bruger IMAP i stedet for POP3 på f.eks. Gmail, så skal crackeren enten omgå Googles sikkerhed (nok ret svært) eller gætte dit password, som du bare kan gøre tilpas stærkt. Og så burde du kunne sove roligt om natten, i hvert fald f.s.v. angår din mail. ;)

  2. Af Erik Trolle

    -

    Hvis der er noget du skal tage med, er det at det er de offentlige og efterretningstjenesterne som er skyld i, at ikke alle køre sikkert. Vi kunne sagtens alle sammen have kunnet kommunikere sikkert, for metoderne findes, men de offentlige luskekikkere forlanger at kunne kigge borgerne over skuldrene. Vi kunne have sikre filer, mails, telefoni og mobiler og Pc’er.

    Hvis vil sikre noget, må vi gøre det selv og så er det bliver besværligt for der er altid nogen som siger at de ikke har noget at skjule. En verden uden enighed, får vi aldrig fodslag.

    Lad det offentlige få at vide ,det de godt ved, at det er dem, der er skyld i, at de fleste af os er som en åben bog og sårbare for folk med ondt i sinde!

  3. Af Ano Nym

    -

    Så konklusionen er at:
    Du blev ikke hacket, og der faktisk slet ikke var noget sikkerhedsproblem.

    Du skriver, at du er Teknologi Jounalist, men jeg synes dit blogindlæg har en utroligt arrogant og ignorant tone i forhold til teknologi generelt.

    Du skriver at det er “svært og dyrt” at få hjælp, men du gider ikke at sætte dig ind i hvad det reelt koster, og brokker dig over, at en virksomhed ikke har tid til dig når du står og banker på deres dør. Hvis du har prøvet det offentliges hospitalsservice eller stort set alle andre services, bliver du virkelig forstrækket over hvor meget man kommer til at stå i kø fordi der er travlt. Så at gøre det til det offentliges problem, ja det…

    Og så findes der nok mere end én gruppe personer i én virksomhed der kan hjælpe dig med spørgsmål angående IT-sikkerhed.

    Jeg er dog enig i din pointe: At langt størstedelen af folk der kommer på nettet af den ældre generation ikke har nogen idé om konceptet internettet – hvordan det reelt fungere, hvad passwords er, hvordan information flytter sig – og ikke har viden eller erfaring omkring “Best Practices” ved internetbrug.

    Men at sige, at folk bliver tvunget til at oprette mailkonti’s og sende tivlsomme mails til andre mennesker med upopulære holdninger eller nøgne baller, det er nok at tage den lidt langt. Alt i forhold til det offentlige er beskyttet med NemID: Skat.dk / E-boks.dk osv., så større chance er der heller ikke for at blive hacket den vej igennem.

  4. Af anonym nonym

    -

    Svært at sige hvad du skal tage med…
    For ikke så længe siden var jeg tilknyttet et projekt med ca. 15 andre “IT nørder”…
    Det viste sig som så mange andre steder på “IT arbejdspladser”, at jeg var den eneste nørd til stede.
    De fleste benyttede uaftoriserede mobiler til persondata, økonomidata oma. De benyttede uopdaterede maskiner med wifi tilslutninger hos en kunde med meget høj sikkerhed hvor vi alle havde underskrevet kontrakt på at overholde visse sikkerheds regler, og selv de simple processor kunne mange ikke finde rundt i.
    Jeg pointerede det overfor ledelsen, og da jeg var i 1 ental/undertal i “holdningen”(nej det er fakta ikke holdning), blev jeg nød til at google “how to” hack en kollegaes latterlige brug af mobil… Så næste dag viste jeg de 14 nye kollegaer hvor let det var at se en kollegas brug af mobil betaling fra en sikker telefon. Jeg fremlagde nogle af de sikkerhedshuller vi ville påføre kundens infrastruktur hvis ikke vi ville få orden på egen og virksomhedens brug af løsningen vi skulle give kunden. Dagen efter blev jeg så fyret og kunden har nu en fuldstændig åben infrastruktur hvis man kan finde ud af at google den slags(det kan selv 12 årige teknik/elektronik/it nørder viser almen videnskab).
    Det samme er enormt gældende i DK politik og beslutninger som der tages på danskernes vejne i henhold til at kunne begå sig sikkert uden at tænke med elektronik, gadgets osv. i lille dk hvor de fleste af os alligevel lever et så kedeligt liv at det egentlig er komplet ligegyldigt med sikkerhed.

    en anden historie; jeg var sikkerhedsansvarlig i et af de største IT centre herhjemme og skrev op til flere rapporter til en af landets største politiske kredse om hvor latterlig sikkerhedsniveauet er for stort set alle danskere og deres cpr numre og person data mm.
    ALene måden der arbejdes på af disse politikere i disse ministerier og kontorer er så dårlig, ineffektiv at alene i processorne er der store sikkerhedshuller og med ca. 20 IT nørder ud af langt over 400 IT ansatte kunne 1 scanning påvise flere tusinde sikkerhedshuller bl.a direkte ned i vores CPR registre/tilknyttede persondata. Dette er udleveret til IT ledelse, teknikere med ansvar for diverse “apps” osv osv. I sommers ser jeg 3-5 af sikkerhedslederne der bl.a udtaler sig flot om hvor dygtige danskere er til det her med IT blive hacket personligt med store besværligheder og enorme beløb trukket fra deres konti til følge(sjovt nok poster de den slags på facebook selvom det står i deres kontrakt flere steder at den slags må de ikke)… Og de er chefer indenfor kommunale arbejdspladser. Jeg tør slet ikke tænke på de driftsusikkerheder andre scanninger påviste grundet noget så basalt som windows ikke var korrekt konfigureret, og deraf var tilgængeligheden enormt usikker. Et af beviserne for at der ALDRIG har været IT nørder indeover beviste en lille smule vand på et hospital for få år siden hvor store mængder data forsvandt grundet vandet… :/ øvbøv.

    3. eksempel: jeg læser op til flere jobopslag fra kommunale arbejdspladser der søger enormt mange IT folk. Fint nok. Fedt egentlig… men når man så læser lønsummen holdt op imod ansvar bliver man flov over vidensniveauet på disse arbejdspladser i henhold til hvad en IT nørd bør kunne. E.g i nogle jobs for du ansvar for mange hundrede systemer til et par nørder eller 2par… Nogle steder ansætter de 1 til 1 system… ?? what`? Der er 0 sammenhæng og det beviser at viden om at drive it systemer ligger på et sted der for mars til at se beboelig ud inden det er fundet. Det er pinligt at se og bevidne. Der er mange grunde til dette, som kan findes i mange retninger.

    4. Nu tvinges vi så ud i digitaliseringsverdenen med STORE bogstaver… Tju hej hvor det går. Fint nok, men der er så mange fejl og mangler og alt for mange systemer osv osv hvor man kunne skrive alt muligt, men hold da op 1 omgang dumhed vi tvinges ud i. Lige fra ikke virkende klippekort til busserne til ikke holdbare eboks, digitalpost løsninger og dårligt programmerede hjemmesider man skal udfylde som kræver mere uddannelse end at lære samtlige officepakker at kende siden “wordperfekt” LO. Hold kæft vi bruger vores ressourcer elendigt i denne “digitale” tidsalder…

    5. der er så mange punkter at man nok bliver træt inden man bliver færdig.. hehe

  5. Af Jonny Myren

    -

    Ordet “tvangsdigitalisering” er et korrekt og presist ord. IT-folk, politikere og andre får snakke om kryptering så mye de vil. Kryptering gjør det vanskeligere for uvedkommende å få tilgang. NSA og våre egne E-tjenester har flere ganger bidratt til å svekke krypterings-løsninger. På den måten har de samtidig lagt til rette for ondsinnede hackere, selv om det selvsagt aldri var hensikten. Gang på gang ser vi at systemer vi trodde var sikker har lagt “åpen” for andre. Det er vel rimelig å anta at systemer som i dag selges inn som “bombesikre” om noen år avsløres som noe annet. I Skandinavia har vi tradisjon for å ha tillit til egne myndigheter. I Skandinavia liker vi å se på oss selv som innovativ. Og så blir vi litt stolt over det. Norge og Sverige kjemper nå om å bli “verdens første kontantfrie samfunn”. (selv om det sikkert er langt frem) Da kan vi enda en gang presentere oss selv som hypermoderne. Alt blir selvsagt solgt inn som “bekjempelse av økonomisk kriminalitet”. Bør vi ha tillit til myndighetene? Hva om vi om noen tiår får en helt annen type ledere, endog en helt annen type samfunn? Infrastrukturen vil da ligge klar. Hvordan gikk det egentlig til at vi alle massivt fordømmer Hitler, Stalin, Stasi osv., samtidig som vi i dag møter dagens totalovervåkning med et gjesp? Hadde vi akseptert at våre egne myndigheter kunne låse seg inn i våre leiligheter og gjennomgå alle papirer, skuffer og skap? Det er i realiteten det vi godtar med tvangsdigitaliseringen. I kampen mot terror, kriminalitet osv. ser mange ut til å godta det meste. I Norge er dette et kjent uttrykk: “Veien til helvete er brolagt med gode intensjoner”. Er det noen jeg IKKE lytter til i denne debatten så er det politikere. De har virkelig ikke peiling de fleste av dem. Honnør til Dorte Toft som gjør dette til et tema. Men jeg er dessverre redd for at hun taler for døve ører. Folk har blitt for sløv, for neddopet av jobb og underholdning og for opptatt av å være “positiv og tidsriktig”.

  6. Af Christian Nobel

    -

    @Ano Nym

    Det er lidt svært at tage nogen seriøst, når vi taler sikkerhed, som er for fej til at stå frem med eget navn (at vedkende sig sit eget navn er på ingen måde carte blanche til at andre kan snage i ens privatliv, men befordrende for en seriøs debat).

    Men når du postulerer:
    “Alt i forhold til det offentlige er beskyttet med NemID: Skat.dk / E-boks.dk osv., så større chance er der heller ikke for at blive hacket den vej igennem.”

    taler det med al tydelighed om at du INTET FATTER omkring sikkerhed.

    At lade en privat kapitalfond stå med ansvaret for et centralistisk NSA overvåget system, hvor individet ikke har kontrol over egen nøgle, er det værste man kan gøre, og er kun en ulykke af episke dimensioner der VIL ske, før eller senere.

    Det korte af det lange i denne her sammenhæng er, at Dorte Toft er nok næppe selv blevet hacket, men en mail, som åbenbart ikke burde komme en tvivlsom trediepart i hænde, er kommet denne tvivlsomme trediepart i hænde.

    Moralen er nok i høj grad, at selv om man har styr på egen sikkerhed, så har modparten det måske ikke, hvorfor man kan risikere at blive kompromitteret – værd at tænke på FØR man trykker send.

Kommentarer er lukket.