Om russiske hackere og cyberkrig

2024 Forfatter: Seth Attwood | [email protected]. Sidst ændret: 2023-12-16 16:01

En velkendt russisk iværksætter og ekspert inden for informationsteknologi Igor Ashmanov talte i et interview med TV-kanalen MIR 24 om russiske hackere, cyberkrige og Shaltai-Boltai-sagen.

Internettet i dag gemmer vores pasdata, oplysninger om kreditkort, konti, gigabyte af personlig korrespondance. Hvor godt er det hele beskyttet?

Slet ikke, selvfølgelig. Generelt er kreditkortbeskyttelse en anden historie. Der lagres meget vigtigere ting, nemlig meninger, sociale multipler af mennesker med hinanden, såkaldte big user-data om alt, hvad en person gør. Dette er meget mere følsomme oplysninger end blot kreditkortnumre. De fleste mennesker har intet at tage. Hvis de stjæler halvdelen af din løn fra et kreditkort, er det bestemt ubehageligt, men en person kan nås på tusind andre måder og forårsage meget mere skade, vel vidende hvad han tænker, med hvem han kommunikerer osv.

I filmene er hackernes arbejde afbildet meget betinget - han sidder foran en bærbar computer, laver nogle manipulationer og bryder straks ind i Pentagon. Hvordan foregår det egentlig? Hvor vanskelig er denne proces?

I Hollywood viser de generelt, hvordan en hacker bryder ind på skærmen og derefter navigerer gennem de glødende tunneler. Hacking er speciel programmering. Folk sidder om natten og forsøger at bruge et stort antal værktøjer til at knække adgangskoder eller servere. Nogle gange virker det, nogle gange gør det ikke. De har også røde øjne osv. Det vil sige, at dette er almindelig programmering, kun med en kriminel bias. Derfor er der selvfølgelig ikke sådan noget for nogen at løbe ind i et sekund og åbne serverne til Pentagon eller FSB. Derudover kan de fleste af disse ting generelt ikke gøres uden en insider. Det vil sige, du har brug for en insider eller nogle oplysninger om, hvad systemadministratoren elsker, hvis adgangskode du vil bryde, eller hvad han bruger, hvilke huller der er i softwaren, han bruger. Man skal hele tiden holde øje, læse om sårbarheder, der bliver annonceret en million steder mv. Dette er et meget højt kvalificeret hårdt arbejde, der udføres af mennesker med mere eller mindre kriminel bevidsthed.

Takket være hackere dukkede det berømte meme "Russerne gjorde det" op på internettet. Det vil sige, lad os sige, et foto af en hund på baggrund af et rum med afstand fra hinanden og under signaturen "Russerne gjorde det". Bag disse komiske anklager ligger udtalelser fra amerikanske politikere om, at vores hackere på en eller anden måde påvirkede præsidentkampagnen. Hvor underbyggede er disse beskyldninger?

Emnet om russiske hackere er et rent mediefænomen. Om der er nogen hackere der er generelt uvist. Hele denne historie med obduktionen om Det Demokratiske Parti, hvordan de fordrejede og erstattede Clinton med Sanders indeni, dukkede slet ikke op som et resultat af en obduktion. Hvis du husker, at både folk fra hackerkredse og Julian Assange direkte sagde, at dette var resultatet af et læk, kom en insider og bragte disse data. Der var ingen grund til at åbne noget der. Det vil sige, at det er klart, at hele denne historie om Clinton var meningsløs.

Hvilke hackere kan og må ikke? Disse mennesker bliver trods alt ofte talt om som almægtige …

Der er kommercielle hackere, der tjener penge online – det er en kæmpe industri med en meget detaljeret arbejdsdeling. Hun er omkring 25 år gammel. Nogen henter adresser, nogen skriver programmer til at kapre computere, nogen bygger botnet fra en million indfangede computere og leaser dem, nogen lejer disse servere og arrangerer angreb eller krakning af adgangskoder eller distribution af falske bankapplikationer og stjæler derefter penge, nogen stjæler kredit hver for sig. kortnumre og bytter dem også for dem, der udbetaler. Disse er alle forskellige grupperinger. Der er en meget kompliceret verden, det er mennesker, der driver kriminel forretning og tjener penge. Der er ingen almægtige blandt dem. Når de taler om russiske eller amerikanske hackere, der hackede noget, greb ind i valg osv., taler vi om cybertropper – hackere, der er i statens tjeneste. Det mest berømte eksempel på krigsvira er Stuxnet, som brændte omkring en tredjedel af Irans uranberigelsescentrifuger. Det var en lang historie, det er altid en operation for at injicere en virus. Selve virussen blev introduceret i controllere på en fabrik i Tyskland og ramte først derefter centrifugerne. Der var et forsøg på at dække historien med et slør af en kompleks legende om, at virussen kom fra en computer, der ved et uheld var forbundet til internettet. Det var faktisk ikke sådan, det blev gjort af specialtjenesterne. Så indrømmede efterretningstjenesterne i USA og Israel, at det faktisk var deres operation. Det var så højt, at de ønskede at tilegne sig en form for berømmelse. Det var en militærstatsvirus. Det er en helt anden historie. Regeringshackere har sandsynligvis meget lidt overlap med kommercielle cyberkriminelle.

Det vil sige, cyberkrig er ikke fiktion, men allerede virkelighed, og sådanne kampe, usynlige for lægmanden, foregår med magt og hoved?

Sikkert. Selvom vi ikke talte om internettet, så stoppede dekryptering for eksempel aldrig overhovedet. Dette er også en cyberkrig - et forsøg på at bryde cifre, opsnappe beskeder. De samme specialister i dekryptering arbejder der, professionelle matematikere, ved hjælp af computere. Det vil sige, at disse krige aldrig stopper. Det skal forstås, at en direkte operation for at ødelægge den kritiske informationsinfrastruktur, for at angribe den, vil blive opfattet som en krigshandling. Ingen gør dette mellem lande som Rusland og USA. Hvis du gør dette, vil det være tydeligt, hvem der står bag dette, og en form for reaktion vil følge. Desuden meddelte amerikanerne som bekendt i sommer, at de ønsker at sidestille et cyberangreb med en krigshandling for straks at kunne reagere på et cyberangreb med konventionelle våben.

Nu er historien med Humpty Dumpty-gruppen hørt. Det lykkedes dem at få korrespondancen fra de første personer i staten. Er dette ikke en bekræftelse af tesen om, at virksomheder og offentlige myndigheder nogle gange ikke indtager en særlig ansvarlig holdning til cybersikkerhed?

Det er sandt, men jeg tror ikke, at Humpty Dumpty-medlemmerne har demonstreret personlige kvalifikationer. Det er noget vrøvl, det kan ikke være sådan. Jeg tror absolut ikke på historien om, at nogen sidder på en café og hacker sig ind i en forbipasserende vicepremierministers eller præsidentassistents smartphone, det er noget sludder. Den slags gøres altid med insidere. Faktisk er "Humpty Dumpty" i sådan en situation ikke en hackergruppe, men en cisterne, et sted for publikationer. Da selve legenden om de allestedsnærværende hackere - og WikiLeaks refererer til denne legende - allerede er blevet promoveret, forhindrer intet oprettelsen af virtuelle hackergrupper og at smide (information) ind gennem dem, selvom der måske slet ikke ligger noget bag dem. En bestemt facade - Anonymous, Humpty Dumpty - de bliver simpelthen "lækket" af dem, der har dem.

Er det en rigtig historie, at en virksomhed er skødesløs omkring cybersikkerhed og mister alt som følge af et angreb?

Selvfølgelig er det ægte. De fleste er meget skødesløse. Der er eksempler - det er banker, hvorfra der nu stjæles enorme mængder penge. Banker skjuler meget ofte disse omstændigheder, fordi det eneste, de sælger, er tillid. Derfor kan bankerne ikke tale om, at hans penge blev stjålet. Kreditkortdata bliver stjålet, lækager opstår indefra … 80-90% af alle informationssikkerhedsproblemer er ansatte, ikke eksterne hackere. Dette skal forstås. Det enkleste eksempel: hvis du bygger en sikkerhedsperimeter, men samtidig kan enhver medarbejder tage en smartphone med sig til kontoret og lække. Kopier enten dataene til enheden, eller optag et vigtigt dokument. Omkostningerne ved lækkede bankdata i verden er titusinder af milliarder dollars årligt. For ikke at nævne hacks.

Hvor går grænsen mellem frihed på internettet og statens ønske om at regulere det for at forhindre cyberkriminalitet?

Jeg kan ikke give et præcist svar på dette spørgsmål, for vi er ikke i en situation, hvor der er nogle normer, endda internationale, eller der er nogen at udspionere. Vi bevæger os ret energisk fra en situation, hvor der var absolut frihed på internettet, som kaldes lovløshed, og det så ud til, at det altid ville være sådan, når de love, der fungerer i hverdagen, ikke fungerede på internettet, til en tilstand når alt dette ville blive reguleret. I sidste ende burde internettet have love, der fungerer i hverdagen. Relativt set er trusler, især overfor vidner, strafferetligt strafbare, trusler og fornærmelser på internettet kan være fuldstændig ustraffede. Alt vil være mere eller mindre afstemt. Men hvor denne grænse bliver, ved vi ikke. Vi har eksempler på et fuldstændig "reguleret" internet - i Vietnam, Kina, men samtidig vokser det stadig der, der er et stormfuldt liv. Som vi ved, er internettet så kogende i Kina, at Gud forbyde det alle.