Dette er et internationalt debatindlæg: Jyllands-Posten har sammensat et korps af kommentatorer, der debatterer og analyserer verden omkring os.

International debat

Hacking er den digitale verdens ældste profession

Aktivitet i cyberspace er et veletableret felt med mange udøvere.

Tilhængere af WikiLeaks grundlæggeren Julian Assange har bl.a. demonstreret foran den svenske ambassade i London. Arkivfoto: Lefteris Pitarakis/AP

WikiLeaks-stifter Julian Assanges afsløring af den amerikanske efterretningstjeneste CIA’s hackingredskaber havde en malplaceret undertone af overraskelse, der mindede lidt om Claude Rains’ berømte replik i ”Casablanca”, hvor han spillede kaptajn Renault: »Jeg er dybt chokeret over at erfare, at der bliver spillet hasard her!«.

Alle var på jagt efter de bedste hackingredskaber og de dygtigste folk til at skrive kode.

Hackerverdenen, som WikiLeaks og CIA’s cyberkrigere er kompromisløse udløbere af, har forsøgt at trænge ind i og udnytte teknologisk udstyr lige siden de digitale tiders morgen. Det kunne være rart, dersom stater, kriminelle og selvudnævnte velmenende, men blåøjede idealister ikke invaderede folks privatsfære og huggede ting fra internettet, men sådan er verden ikke indrettet.

Aktivitet i cyberspace er et veletableret felt med mange udøvere. Hackerkongressen Def Con holder 25-års jubilæum i juli i år i Las Vegas: »Vi fejrer 25 års aktivitet inden for teknologisk undergravende virksomhed, der er resulteret i tilsidesættelse af erstatningsansvar og har været grænseudvidende,« hedder det på kongressens hjemmeside. Disse mennesker har eksisteret så længe, at deres sorte T-shirts er falmet.

I fjor dannede Def Con ramme om debat om at hacke førerløse biler, hotelnøgler og kasseterminaler og om at snige ransomware ind via ens computerstyrede varmeanlæg, så man blev stegt eller frosset til is, indtil man betalte løsepenge – for nu at nævne et par emner. Et af punkterne på kongressens dagsorden lød: »Sådan vælter man en regering.« Det lyder sandelig betryggende!

Jeg deltog i Def Con i 2012 i forbindelse med research til en roman om hacking og spionage. Jeg husker stadig ”skammens mur” ved indgangen. Det var en elektronisk tavle, der i realtid viste, når deltageres elektroniske udstyr blev hacket. Blandt emnerne var at hacke cloudservere, mobiltelefoner, routere, gps-udstyr, ja selv fly.

Det år havde den amerikanske sikkerhedstjeneste National Security Agency (NSA) en stand i nærheden af ”Lockpick Village” (lockpick ? pick a lock ? dirke en lås op, red.). Og det er ikke engang løgn. Det forlød, at rekrutteringsfolk fra det amerikanske efterretningsvæsen var til stede i lighed med mange af efterretningsvæsenets underleverandører. Til stede var formentlig også iagttagere fra udenlandske efterretningsvæsener, eftersom kongressen er ganske åben. Alle var på jagt efter de bedste hackingredskaber og de dygtigste folk til at skrive kode.

Bagsiden af denne verden fik vi et indblik i, da WikiLeaks offentliggjorde CIA’s værktøjskasse. I nogle af de første foruroligende artikler hed det, at CIA kunne hacke krypteringsappen Signal og sms- og chat-appen WhatsApp for slet ikke at nævne ens brødrister og tv-apparat. Men sikkerhedseksperterne Nicholas Weaver og Zeynep Tufekci har afvist disse påstande på hhv. bloggen Lawfare og i The New York Times.

Det store spørgsmål er, hvorvidt CIA og andre offentlige instanser over for softwareleverandører skal afsløre de huller, som de opdager i computerkode, så de hurtigst muligt kan blive lukket. Det kan lyde som en selvfølge. De amerikanske myndigheder opererer endog med et lidet kendt koncept, ifølge hvilket amerikanske instanser skal dele den slags sårbarheder, når hensynet til offentligheden vejer tungere end de omkostninger, det måtte have for staten.

Men en sådan nytteværdiberegning er det sværere end som så med, hævder mange it-sikkerhedseksperter. Problemet er, at der findes et verdensomspændende marked for såkaldte nuldagssårbarheder – dvs. sårbarheder, der er ukendte den dag, da de bliver benyttet. Amerikanske efterretningstjenester køber nogle af disse sårbarheder; det samme gør andre landes efterretningsvæsener, kriminelle og softwareleverandørerne selv. USA skal have et lager af den slags redskaber til både offensiv og defensiv brug i en fjendtlig verden, lyder påstanden. Og det er måske ikke til så stor gavn for offentligheden at dele disse detaljer, som det er til skade for myndighederne.

En nylig rapport fra den amerikanske tænketank Rand Corp. giver et indblik i dette fremmedartede og skræmmende marked. Ifølge Rands undersøgelser er der godt og vel en snes virksomheder, der sælger eller forpagter sårbarheder til USA og USA’s allierede. Mange af disse leverandører tjener mellem 1 og 2,5 mio. dollars om året. (Et andet, mørkere net sælger til modstandere og kriminelle.)

Det overraskende var, at de sårbarheder, der blev handlet, først blev opdaget efter lang tid, og at det var lidet sandsynligt, at konkurrenter opdagede dem. De mere end 200 nuldagssårbarheder, som indgik i Rands undersøgelse, holdt sig under radaren i gennemsnitligt 6,9 år. Kun 5,8 pct. blev opdaget af konkurrenter et bestemt år. På den baggrund anfører Rand, at »en og anden måske ville konkludere, at opbygning af lagre af nuldagssårbarheder kunne være en fornuftig løsning« på at bekæmpe potentielle modstandere.

Men lad os være ærlige: Det virkeligt chokerende ved WikiLeaks’ scoop er afsløringen af, endnu en gang, at de amerikanske myndigheder ikke kan holde på en hemmelighed. Det hænger ikke sammen, at CIA argumenterer imod at delagtiggøre computervirksomheder i sine cyberaktiviteter, hvis disse værdifulde oplysninger alligevel bliver lækket til modstandere eller hackerunderverdenen.

Ensidig nedrustning lyder som en tosset tanke. Det samme gør formodningen om, at der bliver passet godt på disse oplysninger.

David Ignatius er kommentator ved The Washington Post

Vil du have meninger direkte i din indbakke? Tilmeld dig gratis og få de seneste indlæg fra Jyllands-Postens debatsektion én gang i døgnet - klik her, sæt flueben og indtast din mailadresse. Følg også JP Debat på Twitter

Følg
Jyllands-Posten
SE OGSÅ
Velkommen til debatten
  • Jyllands-Posten ønsker en konstruktiv og god debattone blandt vores læsere uanset uenigheder. Overtrædelse af vores debatregler kan føre til udelukkelse.
  • Anmeldelser af grove kommentarer kan ske til blog@jp.dk eller ved at ”markere som spam”.
Annonce
Annonce
Nyhedsbreve
Forsiden lige nu
Annonce
Annonce
Annonce

Blog: Pluralismen i mediebilledet er ikke truet af DR

Holger K Nielsen
Partierne i blå blok er ikke enige om ret meget, men én ting synes at kunne samle dem: Danmarks Radio skal rundbarberes.

Blog: Odense og andre kommuner må oppe sig

Eva Kjer Hansen
Når man vælger at bosætte sig i Danmark, har man en pligt til at lære sproget og stå til rådighed for arbejdsmarkedet. De, der ikke gør, svigter dem selv, deres børn og samfundet.

Blog: Asien begynder i Rosengård i Malmø

Jens-Kristian Lütken
Åbne grænser, tolerance og frihed er privilegier, som vi skal passe på.
Annonce
Annonce
Camping 2018: Fire spørgsmål om campingtendenser
Eksperten Anne-Vibeke Isaksen fortæller om aktuelle campingtendenser og viser vej til nogle af de mest specielle og spændende campingpladser, det er værd at besøge i Danmark og Europa i 2018. 
Se flere
Biler
Tænk dig godt om, før du køber en brugt dieselbil
Udbuddet af nyere brugte dieselbiler er pænt. Du skal helst gå efter en model med de nye Euro 6-motorer og dagligt køre motoren driftsvarm, for at det er en god idé, siger eksperter. 
Se flere

Jyllands-Posten anvender cookies til at huske dine indstillinger, statistik og målrette annoncer. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies. Læs mere om vores brug her