*

Dette er et international debatindlæg: Jyllands-Posten har sammensat et korps af kommentatorer, der debatterer og analyserer verden omkring os.

International debat

Hacking er den digitale verdens ældste profession

Aktivitet i cyberspace er et veletableret felt med mange udøvere.

Tilhængere af WikiLeaks grundlæggeren Julian Assange har bl.a. demonstreret foran den svenske ambassade i London. Arkivfoto: Lefteris Pitarakis/AP

WikiLeaks-stifter Julian Assanges afsløring af den amerikanske efterretningstjeneste CIA’s hackingredskaber havde en malplaceret undertone af overraskelse, der mindede lidt om Claude Rains’ berømte replik i ”Casablanca”, hvor han spillede kaptajn Renault: »Jeg er dybt chokeret over at erfare, at der bliver spillet hasard her!«.

Alle var på jagt efter de bedste hackingredskaber og de dygtigste folk til at skrive kode.

Hackerverdenen, som WikiLeaks og CIA’s cyberkrigere er kompromisløse udløbere af, har forsøgt at trænge ind i og udnytte teknologisk udstyr lige siden de digitale tiders morgen. Det kunne være rart, dersom stater, kriminelle og selvudnævnte velmenende, men blåøjede idealister ikke invaderede folks privatsfære og huggede ting fra internettet, men sådan er verden ikke indrettet.

Aktivitet i cyberspace er et veletableret felt med mange udøvere. Hackerkongressen Def Con holder 25-års jubilæum i juli i år i Las Vegas: »Vi fejrer 25 års aktivitet inden for teknologisk undergravende virksomhed, der er resulteret i tilsidesættelse af erstatningsansvar og har været grænseudvidende,« hedder det på kongressens hjemmeside. Disse mennesker har eksisteret så længe, at deres sorte T-shirts er falmet.

I fjor dannede Def Con ramme om debat om at hacke førerløse biler, hotelnøgler og kasseterminaler og om at snige ransomware ind via ens computerstyrede varmeanlæg, så man blev stegt eller frosset til is, indtil man betalte løsepenge – for nu at nævne et par emner. Et af punkterne på kongressens dagsorden lød: »Sådan vælter man en regering.« Det lyder sandelig betryggende!

Jeg deltog i Def Con i 2012 i forbindelse med research til en roman om hacking og spionage. Jeg husker stadig ”skammens mur” ved indgangen. Det var en elektronisk tavle, der i realtid viste, når deltageres elektroniske udstyr blev hacket. Blandt emnerne var at hacke cloudservere, mobiltelefoner, routere, gps-udstyr, ja selv fly.

Det år havde den amerikanske sikkerhedstjeneste National Security Agency (NSA) en stand i nærheden af ”Lockpick Village” (lockpick ? pick a lock ? dirke en lås op, red.). Og det er ikke engang løgn. Det forlød, at rekrutteringsfolk fra det amerikanske efterretningsvæsen var til stede i lighed med mange af efterretningsvæsenets underleverandører. Til stede var formentlig også iagttagere fra udenlandske efterretningsvæsener, eftersom kongressen er ganske åben. Alle var på jagt efter de bedste hackingredskaber og de dygtigste folk til at skrive kode.

Bagsiden af denne verden fik vi et indblik i, da WikiLeaks offentliggjorde CIA’s værktøjskasse. I nogle af de første foruroligende artikler hed det, at CIA kunne hacke krypteringsappen Signal og sms- og chat-appen WhatsApp for slet ikke at nævne ens brødrister og tv-apparat. Men sikkerhedseksperterne Nicholas Weaver og Zeynep Tufekci har afvist disse påstande på hhv. bloggen Lawfare og i The New York Times.

Det store spørgsmål er, hvorvidt CIA og andre offentlige instanser over for softwareleverandører skal afsløre de huller, som de opdager i computerkode, så de hurtigst muligt kan blive lukket. Det kan lyde som en selvfølge. De amerikanske myndigheder opererer endog med et lidet kendt koncept, ifølge hvilket amerikanske instanser skal dele den slags sårbarheder, når hensynet til offentligheden vejer tungere end de omkostninger, det måtte have for staten.

Men en sådan nytteværdiberegning er det sværere end som så med, hævder mange it-sikkerhedseksperter. Problemet er, at der findes et verdensomspændende marked for såkaldte nuldagssårbarheder – dvs. sårbarheder, der er ukendte den dag, da de bliver benyttet. Amerikanske efterretningstjenester køber nogle af disse sårbarheder; det samme gør andre landes efterretningsvæsener, kriminelle og softwareleverandørerne selv. USA skal have et lager af den slags redskaber til både offensiv og defensiv brug i en fjendtlig verden, lyder påstanden. Og det er måske ikke til så stor gavn for offentligheden at dele disse detaljer, som det er til skade for myndighederne.

En nylig rapport fra den amerikanske tænketank Rand Corp. giver et indblik i dette fremmedartede og skræmmende marked. Ifølge Rands undersøgelser er der godt og vel en snes virksomheder, der sælger eller forpagter sårbarheder til USA og USA’s allierede. Mange af disse leverandører tjener mellem 1 og 2,5 mio. dollars om året. (Et andet, mørkere net sælger til modstandere og kriminelle.)

Det overraskende var, at de sårbarheder, der blev handlet, først blev opdaget efter lang tid, og at det var lidet sandsynligt, at konkurrenter opdagede dem. De mere end 200 nuldagssårbarheder, som indgik i Rands undersøgelse, holdt sig under radaren i gennemsnitligt 6,9 år. Kun 5,8 pct. blev opdaget af konkurrenter et bestemt år. På den baggrund anfører Rand, at »en og anden måske ville konkludere, at opbygning af lagre af nuldagssårbarheder kunne være en fornuftig løsning« på at bekæmpe potentielle modstandere.

Men lad os være ærlige: Det virkeligt chokerende ved WikiLeaks’ scoop er afsløringen af, endnu en gang, at de amerikanske myndigheder ikke kan holde på en hemmelighed. Det hænger ikke sammen, at CIA argumenterer imod at delagtiggøre computervirksomheder i sine cyberaktiviteter, hvis disse værdifulde oplysninger alligevel bliver lækket til modstandere eller hackerunderverdenen.

Ensidig nedrustning lyder som en tosset tanke. Det samme gør formodningen om, at der bliver passet godt på disse oplysninger.

David Ignatius er kommentator ved The Washington Post

Vil du have meninger direkte i din indbakke? Tilmeld dig gratis og få de seneste indlæg fra Jyllands-Postens debatsektion én gang i døgnet - klik her, sæt flueben og indtast din mailadresse. Følg også JP Debat på Twitter

Følg
Jyllands-Posten
Velkommen til debatten
  • Jyllands-Posten ønsker en konstruktiv og god debattone blandt vores læsere uanset uenigheder. Overtrædelse af vores debatregler kan føre til udelukkelse.
  • Anmeldelser af grove kommentarer kan ske til blog@jp.dk eller ved at ”markere som spam”.
Nyhedsbreve
Forsiden lige nu
Annonce
Annonce
Annonce

Blog: Europa efter Europa

Mikael Jalving
Merkels problem er også vores problem. Migranterne kan ikke fortsætte med at komme herop, uden at vores samfund forvandles til uigenkendelighed.

Blog: Et pudseløjerligt valg

Morten Uhrskov Jensen
Der er plads til en ret stor religiøs sekt hertillands.

Blog: Tillykke til Danmark med nederlaget

Anders Vistisen
Danske skatteydere kan glæde sig over, at det europæiske lægemiddelagentur ikke endte i Danmark.
Annonce
Annonce

Jyllands-Posten anvender cookies til at huske dine indstillinger, statistik og målrette annoncer. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies. Læs mere om vores brug her