2014 - Det är nattsvart

Bläcket hann knappt torka på min text om hur avslöjandet om NSA:s bakdörrar i system hotar hela it-branschen innan det var dags för ytterligare några käftsmällar. Inte nog med att NSA uppmanat tillverkare att hålla dörren på glänt åt myndigheten. De senaste avslöjandena från Edward Snowden visar att NSA dessutom betalat tio miljoner dollar till RSA, ett av de viktigaste och mest inflytelserika företagen inom it-säkerhet och en central aktör vid framtagandet av nya säkerhetstandarder.

Edward Snowdens dokument visar att NSA skapade och utfärdade en felaktig formel för att generera slumptal för att skapa en bakdörr i krypteringsprodukter. RSA distribuerade därefter ut denna formel genom verktyget BSAFE som används för att förbättra säkerheten i datorer och många andra produkter. RSA visste med andra ord om att de skickade ut något som var långt ifrån så säkert som det hade kunnat vara. Det är enligt mig en av de enskilt största skandalerna i hela den här härvan.

Kort därefter avslöjade den tyska tidningen Spiegel, som varit först med flera av Snowdens dokument, att NSA:s tekniker dessutom haft vad som närmast kan kallas en "shoppingkatalog" på 50 sidor där de kunnat "beställa" tekniska lösningar och program från en avdelning på NSA som kallas ANT. Dokumenten visar att det funnits färdiga verktyg för att ta sig in i massor av enheter och system från de flesta stora leverantörer, bland andra Apple, Cisco, Juniper, Dell samt hårddisktillverkare som Seagate, Maxtor och Western Digital. Hur många av dessa som gett, eller fått betalt för att ge, NSA åtkomst är oklart. När det avslöjades att NSA med hjälp av ett ANT-verktyg kallat Droopoutjeep kunnat lägga in mjukvara på Iphones var Apple snabba att dementera att de hade haft någon som helst vetskap om detta, och att de skulle vidta alla möjliga säkerhetsåtgärder oavsett "vem eller vilka som vill ta sig in i deras system".

Jag vet nästan inte vad jag ska skriva längre. Eller säga, eller tycka. Det är nattsvart. Snowden säger att han är färdig nu. Om det stämmer återstår att se. Många hoppas att hans arbete kommer att skapa en bättre värld på sikt. Att han ska bli ihågkommen som den hjälte han faktiskt är. Att vi nu äntligen går in i en era av öppenhet och medvetenhet. Jag är inte så säker på det. Det känns inte som något långskott att istället satsa på att myndigheter och organisationer snarare kommer hitta nya och mer sofistikerade sätt att övervaka och spionera på.

Myndigheterna är bara en del av problemet

När man läser kommentarstrådar här på IDG är det lätt att få uppfattningen att privatpersoner i Sverige har ett oerhört myndighetshat och att de är livrädda att allt de gör på nätet ska övervakas och registreras av någon ondskefull myndighet. Jag tror att det är lite mer nyanserat än så. Jag tror att det vi egentligen är rädda för är att känna oss rädda. Det är minst sagt läskigt att leva i en värld där du inte törs, eller bör, lita på någon. Att så fort du kopplar upp din dator eller telefon och kommunicerar eller letar information behöva fundera på om någon ser vad du gör. Eller mer korrekt - veta att någon ser.

Egentligen tror jag inte att det alltid är specifikt myndigheter folk oroar sig för, det är den där diffusa "någon" som gnager i ditt bakhuvud. FRA eller NSA är något konkret att lägga skulden på, men det kan lika gärna vara grannes tonåriga son och hans kompisar som hackat sig in i ditt hemmanätverk och sitter och skrattar åt bilder på dig och din sambo på semester på den där nudiststranden i Spanien. Eller varför inte de gigantiska annonsnätverken som samlar in vilka sidor du besöker, vad du letar information om och vad du handlar på nätet.

Och vem behöver egentligen oroa sig för myndigheters bakdörrar i program när tillverkare inte ens kan låta bli att själva öppna pärleporten på vid gavel och bjuda hela världen på kalas? Jag hoppas att ni läste vårt avslöjande häromdagen om hur Asus routrar hade som default-inställning att dela inkopplade hårddiskar med alla som vill. I inställningarna kallas det för "limitless access". På riktigt? Hur i alla svordomar som finns ska en "vanlig användare" ha någon som helst chans att direkt förstå vad "limitless access" innebär? Det är inte bara oansvarigt och riskabelt, det är rent ut sagt pinsamt att man kan sätta en sådan inställning som standard.

Eller som säkerhetsexperten Anders Nilsson från ESET sa när jag pratade med honom tidigare idag: "Behöver en sådan inställning överhuvudtaget finnas på en konsumentprodukt? Hur många vill, eller behöver. helt öppet kunna dela sin hårddisk med alla på internet?". Asus, som lovat att omgående fixa detta, är inte heller ensamma om dylika säkerhetsrisker. Flera stora tillverkare har det senaste året uppmärksammats för olika typer av brister och potentiella intrångsvägar.

Det visar också ännu en gång hur bristfällig insikt tillverkare och leverantörer har i hur människor, ja deras kunder är människor, fungerar. Det går inte att skapa ett system eller program utifrån hur man tycker att människor borde fungera och agera. Det måste byggas utifrån hur människor är och utifrån vad de faktiskt gör. Det bör vara grundbulten i allt säkerhetsarbete och vid framtagande av varenda produkt i världen. Tyvärr är det inte så och det kan få fatala konsekvenser. Hur många människor har redan hunnit få privata filer stulna innan det här uppmärksammades? Hur många liknande säkerhetsbrister har inte upptäckts ännu?

Allt för mycket är helt oskyddat

Det är enklare än de flesta tror att söka efter "öppna" system, hårdvara och till och med maskiner på nätet. Ni skulle bli förvånade om ni visste hur mycket som står helt öppet och bara väntar på en rolig instruktion. Det pratas väldigt mycket om sakernas internet där vi ska koppla upp "allting". Kanske borde vi börja med att titta på vad som redan är uppkopplat utan att ens behöva vara det? Runt om i världen finns saker av större eller mindre vikt för infrastruktur som kopplats upp för att underlätta service. Är det inte helt oskyddat så körs något uråldrigt protokoll som gör att det är en walkover-match för den kunnige att ta sig in och leka loss. 

Så, 2014 är alltså igång och för oss som hoppas på ett säkrare it-samhälle kunde tomten haft roliga klappar i säcken. Jag har ju tidigare propagerat för ökad öppenhet som en väg vi måste gå, men det är inte någon universallösning. Minst lika viktigt är det med utbildning och medvetenhet. Vi måste höja kompetensen och medvetenheten där den behövs, med andra ord inte hos experterna eller hos de som redan är intresserade. It ska och får inte vara något för en initierad skara.

Och det är här den oberoende och granskande it-journalistiken kommer in i bilden. Vi vill inte klappa oss för bröstet, men det visar i alla fall hur viktigt det är med en it-journalistik befriad från marknadsintressen och sponsring. En it-journalistik som är snabbt på plats eller snabbt reder ut viktiga saker. Genom att lyfta fram säkerhetsrisker och genom att belysa integritetsfrågor skapar vi mer förståelse för en ständigt föränderlig värld. Skulle vi enbart lyssna på leverantörerna (i många fall också våra annonsörer) så är alla produkter helt säkra och pålitliga, säkerhetsprogram tar bort allt skadligt och det finns ingen anledning att oroa sig för det där med molnet. Skulle vi bara lyssna på myndigheter så är allting de gör bara för vårt eget bästa, ingen anledning att bli upprörd över någonting någonsin.

Nu ska jag stretcha de här värkande fingrarna. Under tiden kan du väl fundera över hur du kan hjälpa dig själv, och människorna runt om dig, att vara lite mindre rädd i framtiden...