Hvordan hacke Åmli ut av spill?

Industrispionasje blir fortsatt regnet som en av de større truslene i E-tjenestens trusselvurdering for 2018. Staten jobber på spreng for å ruste Norge mot cyberangrep. En ny sikkerhetslov er vedtatt på Stortinget og en nasjonal cyberstrategi er underveis. Oddvar Håland Moe fra Åmli lever av å finne hemmeligstemplet informasjon og sårbarheter som kan utnyttes.

 

-Vi opplever en kraftig økning av digitale sikkerhetsutfordringer og sårbarheter. Et velfungerende globalt internett og en robust digital infrastruktur er helt avgjørende for Norges økonomi og sikkerhet, sa utenriksminister Børge Brende da Norges første internasjonale cyberstrategi ble lansert under det årlige dialogmøtet om internasjonale cyberspørsmål i Oslo i september i fjor hvor USA og de nordisk-baltiske landene deltok.

Til Svalbard
Påsken 2018, opp trappa på biblioteket i Arendal kommer han gående med et stort gutteaktig smil og klare øyne. Bak Åmli-mannen sitter de intetanende menneskene, på de offentlige datamaskinene og taster uanfektet. Oddvar kunne plukket filene deres i fillebiter, om han ville. Sett dine, og mine hemmeligheter. Skapt seg tilgang til våre liv. Han snoker i fremmede systemer og finner hemmeligstemplet informasjon og sårbarheter som kan utnyttes. Men han er heldigvis, av den gode sorten.

SPEKTRUM:  Oddvar under NICCONF i Oslo Spektrum i fjor. Kort fortalt er dette en konferanse med fokus på praktiseringen av teknisk IT. Konferansen skal favne på tvers av fagfolk og beslutningstakere der de beste foredragsholderne i verden skal inspirere IT-folk fra nær og fjern.
SPEKTRUM: Oddvar under NICCONF i Oslo Spektrum i fjor. Kort fortalt er dette en konferanse med fokus på praktiseringen av teknisk IT. Konferansen skal favne på tvers av fagfolk og beslutningstakere der de beste foredragsholderne i verden skal inspirere IT-folk fra nær og fjern.

Oddvar H. Moe kom til verden 3.februar 1982 på Selåsvatn, og gikk på Nelaug skole frem til 6.klasse. Da søkte lennsmannspappa Geir H. Moe nye utforinger og ble sysselmannens førstebetjent. Oddvar befant seg plutselig på Svalbard sammen med familien, her skulle gutten erverve seg et vidsyn og forståelse for andre mennesker og kulturer – en verdi han har tatt med seg videre i livet. Han er 16 år da de flytter heim og inn på en gård i Gjøvdal, et realt oppussingsprosjekt på Homdrom. Det var tidendes kjipeste sommer, han delte rom med sin søster og foreldrene, og alt var på halv 12. Men samme høst begynte han på privat studie, han visste allerede da at IT var noe for ham og hoppet galant fra første år videre til idrettslinja i Åmli for å komme inn på IKT driftsfag på Arendal maritime og tekniske skole. Etter endt eksamen ble han første IKT lærling i Åmli kommune.

”Når han endelig bryter seg inn, flommer adrenalinet i dataårene på Oddvar Moe fra Åmli og da roper han; YES!”

Manipulere
Vi skal 15 år frem i tid. Oddvar tusler inn med sekken sin på ryggen, har på seg en mørkeblå baseballcaps. Vandrer rett inn døra i en kommune og videre inn i gangen. En dame kommer gående. Oddvar smiler trygt med hele ansiktet. Jeg skal bare rette opp en IT-feil jeg, kan du vise meg til et kontor? Selvfølgelig kan damen det, han er jo her for å hjelpe. Døra lukkes og i det Oddvar stikker kabelen inn kan han manipulere, plante og kryptere. Han går inn på hjemmesiden og leter etter eposter, brukerne er alltid et svakt punkt. Han sender en epost fra rådmannen til sentralbordet, legger ved et Excel-ark og skriver; Dette funker ikke på min maskin, kan dere sjekke om det fungerer på deres?
I det Excel- arket åpnes er Oddvar inne, han kommuniserer med PC `n og sprer seg videre inn i nettet deres til han finner en administrator. Nå er det «Game Over» for kommunen. Det kunne vært Åmli, det kunne vært alle kommuner i Norge…

IMG_0831

Bryter seg inn
Vi skal tilbake til start. Oddvar slentrer inn døra på det gamle kommunehuset i Åmli, han er 20 år.
-Jeg var ung, naiv og med store ambisjoner. Jeg ville fornye alt, modernisere, men det ble mye brannslukking, mimrer Moe.
Han fiksa herpa PCer, skolenettet, drev med krisehjelp til eldre personer hvor epost fremsto som en uoverkommelig mur. Læretiden besto han med glans. Kort tid etter lyste Vegårshei kommune ut stillingen som IKT ansvarlig, «datajyplingen» fikk den og her var det verre tak som måtte tas enn i fødebygda.
-Jeg husker de hadde to
PCer med Internett og vi brukte disketter for å hente epost fra disse pcene og sende det videre internt til de som skulle ha det.
Første dag måtte jeg strekke opp kabel til kontoret selv.
Moe fikk på plass internett til alle, det ble lagt føringer på sikkerhet og automatisering, ikke minst tidsbesparende tiltak og etterhvert nytt saks og arkivsystem. Så bar det videre for den sultne IKT-mannen. Det skulle bli mange selskaper og høy læringskurve før han til slutt endte opp i selskapet han nå jobber; Advania. Et rådgivnings og teknologiselskap som leverer
forretningssystemer, sikkerhet, skytjenester og kommunikasjonsløsninger.
Selskapet tilbyr derfor penetrasjonstesting for det private og det offentlige.
– Jeg får bryte meg inn og får betalt for det. Men jeg kommer aldri til å bytte side, sier Oddvar og ser på meg.
Men når han endelig bryter seg inn, når han endelig finner hullet i sikkerheten og tar kontroll så flommer adrenalinet i dataårene på Oddvar Moe fra Åmli og
da roper han YES!
-Det er mye bedre at det er jeg som sier yes, enn noen andre, smiler han.

IMG_0853

Kunne slettet alt
Oddvar oppdaget kjapt at han hadde anlegg for penetrasjonstesting. Kompetansen han hadde ervervet seg på veien var bred, nå måtte han bare øve. Det handlet bare om å komme i mål, hvordan han løste det var opp til ham. Oddvar graver seg inn i verdenen, det går i blodet på ham. Han leser, trener, plukker ting fra hverandre, finner hull. Bryter seg inn. Åra går.
Han evner å bygge opp raske, snedige løsninger som fungerer der og da. Ved bruk av ulike maskin- og programvarer går han til verks med kreative metoder og strategier for å oppnå det han vil. Går ikke den ene, finner han på noe annet. I denne prosessen der både lovlige og ulovlige hackere befinner seg, kan man erverve seg verdifull innsikt. Ikke minst bidra til utvikling av ny teknologi. Det fungerer altså å tenke kreativt i noe som fremstår som firkanta, det er nettopp når du evner å tenke annerledes – du blir best. En intellektuell utfordring.
Hvis han var betalt av russerne kunne han lastet ned alle helseopplysningene til brukerne i Åmli, for all data har nytteverdi.
-Det kan være snakk om forhistorie til ulike familier, der man kan presse dem i forhold til en kjønnssykdom for eksempel. Det er kjekk informasjon å ha for en spion. Jeg kunne også tatt kommunen til gissel, kryptert alle filer og forlangt penger. Jeg kunne låst alle ute av kommunen eller hvis jeg bare ville gjøre faenskap; slettet alle filer. Back-up hjelper ikke det heller, for hvis jeg ville så kunne jeg begynt med dette god tid i forveien, rett og slett infisert back-upen over tid. De, som mange andre – hadde ikke hatt sjans dersom noen med nok midler hadde ønsket å utføre et slikt angrep.

Reseptblokker og filer
Oddvar har på seg baseballcapsen igjen, han går rett inn på et legekontor. Simulerer IT-hjelper og får tilgang til et kontor og alle personalfilene lastes ned på en ekstern harddisk. Så går han ut, banker han på ruta ut til resepsjonen og sier; Jeg tror du må vise meg inn til et annet kontor også, det er mer som må rettes. Og smilende hvite piker lukker ham villig inn. På kontoret er skrivebordet ulåst, og Oddvar plukker med seg et par reseptblokker i sekken og spankulerer smilende ut, idet han sier; hade bra nå er alt fikset! Kunden som har bestilt testen får filene og reseptblokkene tilbake og de ansatte en real vekker. Men tenk om Oddvar ikke var Oddvar…

OSLO: Oddvar H. Moe snakker om Windows sikkerhet under MVP dagen hos Microsoft på Lysaker i Oslo 2017.
OSLO: Oddvar H. Moe snakker om Windows sikkerhet under MVP dagen hos Microsoft på Lysaker i Oslo 2017.

-Kineserne ser deg
Nå er det ikke slik at de største truslene kommer fra enkeltpersoner som personlig går inn i bedrifter eller kommuner. De kommer utenifra, de er store, og de merkes sjelden.
-Det er veldig vanskelig å sikre seg, man er aldri helt trygg.
Oddvar tror ikke trusselvurderingen vil mildne, derfor vet han også hva han ønsker å drive med i fremtiden. Red Teaming. Kort fortalt er dette en prosess som skal oppdage nettverks- og systemproblemer, ikke minst teste sikkerheten ved å leke angriper, prosessen kalles også «etisk hacking”. Man må rett og slett besitte ferdigheter og kunnskaper om en potensiell angriper for å etterligne et angrep.
-La oss si jeg skal simulere kinesiske myndigheter, maks 1-2 personer i selskapet vet at angrepet kommer, men ikke når. Når du ser patent tegninger fly ut av «døra» og det ikke er noe du kan gjøre med det, hvordan reagerer du da? Det blir en beredskapsøvelse som tester rutiner og adferd på en helt ny måte, sier Oddvar som utfra sine kollegaer i bransjen fra USA mener dette vil brukes som verktøy av selskaper i større grad, også her hjemme.
For de reelle angriperne blir smartere, får mer finesse, og blir mer og mer usynlige.

 

FAKTA OG KJAPPE
FORBRUKERTIPS:
Oddvar er gift med Julia Moe som han møtte på byen i Arendal i 2001, paret har to døtre: Caroline (13) og Emilie (10). Bli mer kjent med Oddvar og hva han forsker på i bloggen: https://Oddvar.moe

Kjappe tips for bedret sikkerhet: Hold PC`n din oppdatert. Ha ulike passord på ulike tjenester. Sjekk siden haveibeenpwned.com for å finne ut om din epostkonto har blitt komprimittert, råder Oddvar. (Jeg tok en rask sjekk på noen eposter lokalt, og fant brudd. Dere finner fremgangsmåte for bedre sikkerhet på samme nettside. Red.anm.)
Ellers er det et godt tips fra Oddvar å aldri trykke på lenker eller bilder i eposter du ikke kjenner, det samme gjelder på telefonen og på sosiale medier slik som messenger.
-Ikke vær så norsk og blåøyd, er avslutningsadvarselen fra IT-mannen.

Les også leder om emnet

 

76-åring debuterer på Facebook

Gunnar Felle skulle bare ned i kjelleren en tur, da han kom opp sa barnebarnet; Bestefar, nå er du på Facebook!

De er raske de barnebarna, ler Gunnar felle.
For ikke hadde han tenkt å komme på Facebook sånn uten videre, men det hadde Erik Andreas (Gunnars barnebarn) som er ansvarlig for at bestefar fikk profil på nett med bilde og det hele.  Selv mener han at han er blitt for gammel til å styre med slike datagreier. Men han har fått mild påtrykk, ja noe som kan minne om tvang fra barnebarna, humrer felle selv.
Og det er jammen litt gjildt også, særlig er det artig å sjekke ut Finn.no. Der er det mye gøy, sier Gunnar og gliser.
Hva er mest gøy der da?
-Biler og alle slags maskiner, det er moro.

Venneforespørsler venter
I dag er han, som de andre på Frivilligsentralen her for å lære hvordan det hele brukes, og han har et Duka-nettbrett foran seg.
-Det er enkelt og greit å finne ut av, sier han og trykker på ikonet Facebook med «pc-pennen»,
Og der kommer jammen ansiktet til Gunnar Ragnar Felle opp på Facebook.
Du har fått en melding, sju venneforespørsler og to varsler. Mange vil bli venner med deg, smiler jeg.
-Næmmen har du sett, sier Gunnar.

Samarbeid for eldre
Foranledningen til at seks godt voksne folk nå sitter rundt bordet med ansiktet vendt mot en egen PC på Frivilligsentralen i Åmli, er at selskapet «DuKan som er selskapet som selger DukaPC . Kort fortalt er dette en PC som er spesielt tilrettelagt for de som ikke har tidligere teknisk interesse eller forkunnskaper. Eller som rett og slett er «barn av sin tid», altså dagens eldre som ikke hadde PC da de vokste opp. På dette møtet som tidligere ble avholdt på Eldresenteret/ÅPOS i februar, møtte 14 personer opp og 10 annskaffet seg en sånn PC, som skulle gjøre livet lettere. Ikke minst skulle de lære å komme seg på nett. Prosjekt er et samarbeid mellom Sparebanken Sør og Duka.
I 2014 viste det seg at 370.000 mennesker i Norge er uten tilgang til PC og Internett, mens om lag 940.000 ikke er «digitale nok» til å kunne håndtere nettbank, selvangivelse, digiPost på en selvstendig måte. Det er en samfunnsutfordring.
-Myndighetene adresserer dette gjennom sitt prosjekt: ”Digital deltakelse 2017” som skal få flest mulig seniorer på nett innen november 2017, sier lokalbanksjef i Sparebanken Sør, Hans Fredrik Tangen.
Og i dag sitter de her igjen, for det er duket for et såkaldt oppfølgingskurs hvor man skal komme videre i gang,

PC som støvsamler
Jeg setter meg ved siden av nett-elev Anna Børufsen mens gründerne Alf S. Aanonsen og Heidi Haugebo fra Duka går fra PC til PC og hjelper til med oppstart.
Har du hatt PC før Anna, spør jeg?
-Jada, jeg har hatt en i 5 år jeg. Den fikk jeg til bursdagen min, men den har bare lagt der å samla støv, sier hun ærlig.
-Men har du brukt den da?
-Tja, jeg har spilt litt av de spillene som var på den. Resten av tiden har den vært støvsamler.
-Men har du vært på nett?
– Aldri.
Men Børufsen har kommet i gang siden hun fikk ny PC.
-Nå har jeg til og med fått meg E-post, blunker hun. Og hun har med seg nettbankbrikken, for det var noe som gikk feil da hun skulle prøve den der nettbankbetalingen, og nå søker hun råd for å få det på stell.

Helt blank
På stolen bortenfor Anna sitter Bjørg Kleivene.
-Hvordan er det Bjørg, er du en racer på nett?
-Jeg er helt blank på dette jeg! Ikke har jeg lyst heller, men lysten kommer vel etter hvert, sier hun kontant og med en humoristisk snert.
-Så du føler du må lære det?
-Ja, jeg har jo tenkt til å leve i noen år til da, og da tror jeg at jeg må lære meg det. Alt foregår jo på nett nå. Og det hadde jo vært olreit å kunne ta imot en epost da og ha kontakt med folk jeg kjenner i denne verdenen, sier hun.
-Har du vurdert Facebook?
Er ikke det bare noe vas da? Jeg må tenke på det, sier Bjørg.
-Jeg synes det er greit det der med nettbank. Se på forsikringspapirer for eksempel, skyter Anna inn. -Hvis jeg skal ha de i papirutskrift hjem i posten må jeg betale mye for dem. Hvis jeg har nettbank kan jeg gå inn og lese dem der. Men jeg synes det er noe tøys det der at vi skal bli tvunget av samfunnet til å lære det.
-Ja, jeg synes det var greit å gå inn på banken og levere regningene og si; dere skal jo også gjøre litt, sier Bjørg.
-Men det er jo greit å slippe de gebyrene da, er de enige om. Så nå blir det nettbank etter hvert på dem begge.
-Men julekort på epost?
-Nei, fysj. Å få sånne oppsummeringer med bilder og historier om hele året som er gått. Nei takke meg til et enkelt julekort med god jul og godt nytt år på, sier Bjørg og jeg ler.
-Men det har jo blitt så tiltak å sende brev også, før var jo det helt naturlig, reflekterer Anna. Så kanskje er det noe med denne tiden, den går i hvert fall fremover. Og jo, hvis de plutselig har behov for å sende et bilde – så er det greit å bare gjøre det på et svisj.

Vaskemaskin på nett
-Jeg har begynt å sjekke vaskemaskiner på nett jeg nå, sier plutselig Anna.
Ok?
Jeg må ha ny, den jeg har er fra 1977, hvisker hun. Den har gått som ei kule helt til nå, men nå har den begynt å lekke litt så nå må den skiftes. Men nå sjekker jeg ulike priser, høyde og bredde- jada, det går så fint. Og det er kjekt, sier hun. Også henter Halvorsen (Halvorsen Elektriske AS. Red.anm. ) den gratis for meg – for det er ikke bare, bare – å bli kvitt en gammal vaskemaskin for meg heller, sier hun.
Jeg ser på Anna, det er nok mye tak i henne, men jeg forstår godt at det kan bli litt ugreit å slepe ut en vaskemaskin fra 1977 sånn alene.
Synes dere det er litt skummelt, dette med nett?
Ikke skummelt nei, men moro, svarer Bjørg og Anna. For disse damene, de tar en utfordring.
I dag skal de lære mer om epost, nettbank og hvordan de kan søke på internet, forteller Heidi Haugebo fra Duka. Duka-PC er eneste initiativ i sitt slag i Norge, med konkret løsning for å få «alle på nett», også seniorer, uansett alder. -Nettet har uante muligheter. Dere kan foreksempel lese Åmliavisa sin E-utgave. (kan lese og «bla» i avisens elektroniske utgave lik papiravisen, som er tilgjengelig uansett hvor man befinner seg) Dere kan sende epost og ta imot. Og i nettbanken kan du sjekke hvor hardt du har dratt kortet ditt, smiler Haugebo.
-Eller hvor mye du har shoppa på Finn, sier jeg til Gunnar som ler.
Jeg sniker meg ut og tenker at de seks der inne, de har våget å ta fremtiden i hånden.