Han har dedikeret hele sit liv til at beskytte folks privatliv online og hos F-Secure-firmaet fortsætter han med det arbejde. ”Det kan siges på mange måder … at vi har mistet kampen for privatlivets fred. Mange mennesker kan ikke huske, hvordan verden var før Internettet. For mange mennesker har Google eller Wikipedia altid været der. Og det er naturligt for dem at bruge en lang række tjenester på Internettet og introducere alle slags data og indhold. Sådan betaler du virkelig på Internettet. At lave en video koster penge, men vi betaler for det med vores data og fortrolighed ”, forklarer ikke F-Secure-eksperten, Miko Hypponen, på RootedCON 2017.
”Vi har muligvis mistet en krig mod privatlivets fred. Vi er den generation af mennesker, hvis liv kan spores fra start til slut. Vi har alle sporingsenheder. Det er meget let at overvåge, hvor vi er, hvem vi kommunikerer med. Det er let at vide, hvilken slags mennesker vi er. Hvad interesserer os. Og alle data indsamles. Data er den nye olie. Dette er sådan, og det er derfor, vi taler om efterretningsbureauer, men også om virksomheder, der indsamler data fra os. Google tjente 80.000 millioner i 2016 … tilbyder gratis tjenester ”.
Asymmetrisk krig mod cyberkriminalitet
”Vi har mistet kampen om privatlivets fred og kampen om sikkerhed. Jeg nægter dog at indrømme, at vi har mistet sidstnævnte. Alt, hvad jeg har gjort, siden jeg begyndte at studere malware og reverse engineering var til det formål: at bekæmpe de onde. Mod dem, der sender malware, benægtelse af tjenesteangreb. Men vi er dem med den hvide hat sammenlignet med dem med den sorte hat. Jeg benægter ikke, at vores arbejde er kompliceret, fordi angribere har adgang til vores forsvar.
”Det første, de lærer, er, hvilken form for sikkerhed de har for at bryde. Det er udgangspunktet for en angriber. Og når de først ved det, beslutter de, hvordan de skal komme ind. De har meget tid til at forberede sig… og vi er lidt til at svare. Vi hører altid dårlige nyheder om computersikkerhed, angreb, lækager eller om brugere, der gør dumme ting, ved at bruge den samme adgangskode til alt, åbne ondsindede links. Men hvor var vi for 10 år siden? Der har været store fremskridt inden for sikkerhed. For et årti siden brugte mange brugere Windows xp, som som standard ikke engang havde en firewall.
”Med hensyn til sikkerhed er vi kommet langt. Vi gør store fremskridt, men desværre udvikler fjenden sig også med tiden. Måske er tiden inde til at møde fjenden, forstå ham. Men som det ofte er tilfældet, er det lettere sagt end gjort. Slutbrugeren har ingen forestilling om, hvem der står bag angrebene. Der er hacktivister, kriminelle, hvide kasketter, regeringer, ekstremister … der er alle slags hackere. Vi har mennesker som Charlie Miller og Chris Vallasek. De hacker, fordi de vil forbedre sikkerheden. Anonymus har en grund til politisk protest. Kriminelle vil tjene penge ved at skrive vira. Og regeringer er også interesserede i dette, fordi cyberangreb tilføjer dem. De er effektive, de er ikke dyre, og de kan ikke benægtes. Det er et perfekt match, når du tænker fra et militært synspunkt. Når du har et våben, der er billigt, effektivt og ubestrideligt, har du den perfekte blanding. Derfor begynder ændringsøjeblikket nu ».
Et nyt cybervåbenkapløb starter
Vi er ved begyndelsen af det næste væbnede slag. Vi har set atomvåbenvåbenkappet. Vi er nu inde i cybervåben. Det er startet og vil blive der i årevis. Det vil tage årtier at tale om cybernedrustning. Og fra regeringernes synspunkt er der ikke kun militæret, men også sikkerhedsstyrkerne. Hvis nogen havde fortalt mig, at politiet ville have vira, der kunne inficere borgerne, ville jeg ikke have troet det, men det er sådan. Jeg har ikke noget problem med regeringer, der bruger stødende teknologier til at undersøge forbrydelser og jage terrorister. Du er nødt til at gå efter dem i den fysiske verden og i onlineverdenen. Men hvis vi som borgere giver denne ret til sikkerhedsstyrkerne, skal vi bede om gennemsigtighed. Denne stødende cyberkraft skal betyde, at sikkerhedsstyrkerne offentliggør statistik. Vi inficerede 200 computere med malware, og 150 var fra mennesker, der var dårlige og blev dømt. Men det kan også være det modsatte. Der er ingen gennemsigtighed, og derfor kan vi ikke træffe beslutninger om dette. Men den største gruppe, der tjener penge på angreb, er kriminelle. De er mennesker, der tjener meget og bliver forfulgt.
De seneste tendenser til cyberkriminalitet til at tjene penge på din bekostning
”En af de nyeste tendenser inden for internetkriminalitet har været trojanske heste til at stjæle bitcoins og digitale valutaer. Vi ved, at opfindelser er åbenlyse … når de er opfundet. Det er de bedste. Takket være blockchain-teknologi kan transaktioner udføres automatisk uden indblanding fra nogen anden. Bitcoin og blockchain er ikke dårlige. De er gode som penge. Problemet er, at kriminelle også vil have pengene, hvad enten de er fysiske eller virtuelle. Det er svært at købe kokain med et kreditkort. Men med bitcoin er det lettere. For kriminelle er bitcoin som en gave fra himlen. Dette er grunden til, at der er så meget trojansk boom. Vi følger i øjeblikket 110 forskellige grupper, der konkurrerer om de samme ofre. Og ikke alle grupper er fra Rusland, der er også nogle fra Ukraine.
Hvordan søger de efter deres ofre? Først gennem udnyttelser, der inficerede en computer ved at åbne et link. I dag er den mest almindelige måde gennem et Word-dokument og en vedhæftet fil til e-mail. Dette begyndte at blive gjort i 2008 gennem makroen. Og nu er det tilbage. Så de, der kan modtage flere angreb, er de menneskelige ressourcer, der modtager inficerede CV'er, der har links til at udvide deres information. Microsoft er nødt til at ændre navnet på knappen i stedet for at aktivere indhold, den skal sige 'inficér mit system' "-slagt fra offentligheden-.
Computervirussen, der 'tilgiver dig', hvis den inficerer to venner
«Der har endda været en ransomware - den software, der kaprer en computer ved at kryptere dens oplysninger - der beder om $ 1.300, men du kan redde dig selv ved at inficere to andre maskiner. Du er nødt til at inficere to personer, der ender med at betale ransomware-bounty. Det er popcornet. Hvert offer har en unik url, så hvis du sender det til Facebook, er mange mennesker inficeret. Han er meget kreativ og min kloge. Lad os vende tilbage til disse fyre efter ransomware. "
Cyberangrebet mod LinkedIN gjorde cyberkriminellen, der gjorde det til millionær
«Der var et LinkedIN-hack i 2012, og hvis du var i det …. de stjal dine nøgler. Så hvis du havde en konto på dette sociale netværk, blev den stjålet af en cyberkriminel, som nu alle ved - han har vist sit foto. Jeg var et af hans ofre. Han har endnu ikke modtaget en dom, selvom han tilbageholdes, mens han er på ferie i Prag sammen med sin kæreste og håber, at han vil blive udleveret til USA. Hvad har det at gøre med tyveri af 130 millioner adgangskoder? Nå ville andre cyberkriminelle komme til dem. Hvor meget kan du tjene sælgende adgangskoder? Jeg ved ikke. Men ved at se nogle videoer på YouTube kan vi få en idé. Tal om din ferie med supersportsbiler som Audi R8 og Lamborghini Hurracane. Derudover ses det, at han har en Mercedes, en Aston Martin, en Porsche, en Rolex og en Rolls Royce. Så hvor meget tjente han? Nå, jeg ved det ikke, men nok ».
«Hvis du får disse nøgler, kan du få adgang til 1,3 millioner Gmail-konti. Fordi de alle har den samme adgangskode som i linkedIN. Vi har spurgt, og 50% af brugerne bruger den samme adgangskode på alle websteder. Det er ret dumt. Så når de kommer ind i Gmail, ser de efter gamle e-mails. Gmail sletter dem aldrig, og de søger efter en bestemt type. Dem, du modtager, når du tilmelder dig i en internetbutik, såsom Amazon. Så de ved, at du har en konto med denne e-mail-adresse, for eksempel Amazon. Og hvis dit kodeord ikke fungerer på det, betyder det ikke noget. Fordi alle login-siderne har en magisk knap "Jeg har glemt min adgangskode" og hvordan de har adgang til Gmail … ja, de får adgang til den. Når de først har adgang til Gmail, har de adgang til alt. De kan købe Xbox, Palystation, og du skal betale for det ».
Det frygtede tingenes internet
«En anden stor udfordring i vores hænder er den lyse fremtid for Internet of Things og ICS, det industrielle kontrolsystem. Således har han vist en nuklear reaktion, der finder sted i en swimmingpool. Hvorfor viser jeg denne video? Nå, fordi det er et eksempel på industriel kontrol. Denne reaktor styres af en PLC, en programmerbar robot. Al infrastruktur styres af computere og software. Du skal være klar over det. Vi er fra computersikkerhed, og i årevis troede jeg, at jeg var nødt til at sikre computere. Men nu ved jeg det ikke. Vores job er ikke at sikre computere…. Det består i at give hele samfundet sikkerhed. Det er tid til at ændre den måde, du ser verden på. Og der er så mange ting, og der er tale om så mange ting om IOT- og ICS-risici, og den første er, at disse ting opretter forbindelse til internettet, selvom de ikke behøver at oprette forbindelse. Disse ting giver adgang til det, der ligger bag. Der er mange fabrikssystemer, der ved en fejltagelse opretter forbindelse til internettet.
Sådan har han vist et online krematorium, soveværelser set gennem sikkerhedskameraer … «En af mine venner finder ting som en båd forbundet uden adgangskode. Også gardiner og persienner. Og min ven siger, at når man kan åbne og lukke gardiner på Internettet, betyder det, at tingens internet ikke er i fremtiden. Er her. Og de er vektorer. Du kan få adgang til en pære, der giver dig mulighed for at nå andre systemer. Du sætter en kaffemaskine med Wi-Fi, og det bliver det svageste led i kæden, og en dag vågner du op, og du har alle dine computere krypteret. At gøre? "Brug aldrig en enhed uden at sætte stærke adgangskoder."
”Mirai-malware inficerede 120 millioner IOT-enheder, men deres ejere var ligeglade. Vi taler med dem. Dit sikkerhedskamera er blevet hacket … og de svarede ja, hvad sejt? Men det fungerer fint. Hvis det virker, er folk ligeglad med, om det bruges til et angreb. Og det tristeste er, at det brugte få adgangskoder, som alle enheder brugte. Og de brugte også Telnet - et system fra 80'erne - fordi det ikke var krypteret ».
Elektroniske enheder skal reguleres: hvis de ikke er sikre, skal du være i stand til at gøre krav
”Du skal investere i sikkerhed. Vi regulerer fysisk sikkerhed, og onlinesikkerhed skal reguleres. Jeg taler ikke om en, der fastsætter apparateregler. Men det er nødvendigt at regulere, at producenten sagsøges for de problemer, den skaber. Hvis du har en vaskemaskine med kortslutning, skal du rette den. Og hvis du ikke kan sagsøge hende, og det skal opnås i cyberverdenen. At du kan sagsøge for et sikkerhedsbrud.
Tiden er kommet for cybervåben og cybernedrustning
«Jeg har talt om regeringer og deres hacking. Vi har et forreste sæde i udrulningen af angreb mod USA ved præsidentvalget. Rusland forsøgte at påvirke resultatet af valget til verdens største magt. Der er et interview i Bloomber med Putin flere måneder før, men det var allerede kendt. Så de spurgte ham, hvem hackede demokraterne? Betyder det virkelig noget? Det vigtige er indholdet af e-mails. Distraher ikke offentligheden om, hvem der gjorde det. Er dette cyberkrig? Ikke".
Ukrainske soldater dræbt efter deres mobil blev inficeret … og blev geopositioneret
Men for to måneder siden så ukrainske soldater deres telefon inficeret med malware, de var placeret og artilleriet smadrede dem. Jeg taler om tågen i cyberkrigsførelse. Dette våbenkapløb i et bestemt land, du kan vide, hvor mange kampvogne et land har…. Men i cybercapacides ingen idé. Vi ved, at USA er godt, at der er investeret flere penge i længere tid til at montere cyberforsvarskapaciteter, at Israel, Rusland, Kina er meget gode. Men så er alt meget tåget, hvad er Sveriges cyberoffensive kapacitet? Spanien? Vietnam? Ingen ide. Det er cyberkrigstågen. Derfor er det meget forskelligt fra atomvåbenkapløbet. Hans magt var ikke i hans brug, men i hans evne til at skabe frygt. Hiroshima og Nagasaki var klare eksempler. Det handler ikke om at bruge det, men om at vise, at du har dem. Alle ved, at når et land har det våben, er der ingen, der har rod i det.
Med cyberkrigstågen ved ingen noget. Kraften i cybervåben er ikke uenig. Derfor ser vi dem. Stuxnet og hacking af elnettet i Ukraine i 2015 eller de ukrainske soldater, der døde på slagmarken i 2016.
Styrken ved cybervåben er i deres brug. Cybervåben er let tilgængelige og har meget magt. Stuxnet kunne ikke opnås med ren militær kapacitet. Hvis det var et spørgsmål om forsinkelse af det iranske nukleare program, kunne landet blive invaderet til en høj pris, også i liv, eller anlægget kunne blive bombet. Eller du kan skrive stuxnet, der koster en million. Og det kostede det samme som en B52-output. Men i modsætning til denne er den ikke synlig.
Hackere forsvarer ikke længere computere … nu forsvarer de verden
«Dette er den verden, vi lever i i dag. Vi er alle sikkerhedsfolk. Vi troede, at vores job er at give computere sikkerhed. Men ikke længere. Nu er dette arbejde fra nu af at give samfundet sikkerhed, og vi er nødt til at tage det meget alvorligt, fordi vi har et stort ansvar, mere end vi tænker meget, fordi vi er dem, der forsvarer vores samfund ».
Du kan se flere artikler som denne i OneMagazine.