Tekst: Gyda Elisa Sæter
Når man hører ordet hacking, ser de fleste for seg tusenvis av linjer av kode lysende på en skjerm. Hamrende fingre på et tastatur, tilhørende en mann i hettegenser plassert i et mørkt rom. Det tok meg 4 år på informatikkstudiet før jeg skjønte at dette var feil.
Første semesteret på master møter jeg opp i faget etisk hacking. Her avslører foreleser at blant de mange stegene for å hacke noe, er første steget alltid å finne ut så mye som mulig om det. “Jaha, 10 studiepoeng i stalking?” tenkte jeg.
Hva betyr hacking?
Se på “hack”-delen av ordet. Lifehacks handler om å finne smarte, nye og måter å bruke det vi allerede har. Det samme gjelder hacking. Vi ønsker å finne snarveier. Det går ut på å bruke digitale verktøy, kunnskap og teknologi for å knekke informasjonssikkerhetens hellige treenighet: konfidensialitet, integritet og tilgjengelighet. Konfidensialitet handler om å holde noe hemmelig. For eksempel kan en hacker ønske seg tilgang til mailen din for å stjele hemmelig informasjon. Integritet handler om at du skal kunne stole på informasjonen du har. Hvis du husker storhetstiden til Facebook, husker du kanskje konseptet facerape. Man skaffet seg tilgang til noen andres bruker, og sendte kjærlighetserklæringer til hans største forelskelse. Lars fikk 7. klasse ryktet sitt ødelagt, vi brøt integriteten til Facebooken hans. Tilgjengelighet er så enkelt som det høres ut – systemet du bruker skal være tilgjengelig. Du vet hvordan chatGPT av og til er utilgjengelig fordi for mange bruker systemet samtidig? Det er fordi alle systemer har begrenset kapasitet på hvor mange brukere det kan håndtere samtidig. Dette kan man utnytte ved at blæste et system med tusenvis av brukere som kobler seg opp samtidig. Systemet blir overbelastet og dermed utilgjengelig.
Hva har hacking med stalking å gjøre?
Målet er å bryte denne hellige treenigheten. Da må man komme seg inn i systemet. For å komme seg inn i et system, må man finne sikkerhetshull som kan utnyttes. For å finne sikkerhetshull, må man finne ut av hvilke systemer, tjenester, porter, IP-adresser og informasjon målet har. For i det hele tatt å starte med å bryte treenigheten, må hackeren vite mye om det han eller hun forsøker å hacke.
Hacking er litt som når en tyv skal bryte seg inn i et hus. Han må finne sikkerhetshull på huset; det kan være så avansert som feil i grunnmuren, eller så enkelt som et åpent vindu eller en ulåst dør. Men for å kunne lete etter sikkerhetshull på huset, må tyven finne adressen til huset, vite hvem som bor der, når de er på jobb, og om de oppbevarer en ekstra nøkkel under dørmatta. Med andre ord må hackeren stalke deg. Dette kan høres vanskelig ut, så du puster kanskje lettet ut. Det kan ikke være mange som har kunnskapen som kreves for å hacke? Tvert imot, det er så lett at 9. klassinger, uten tidligere erfaring, får det til på 15 minutter. Jeg har som jobb å reise til ungdomsskoler og holde foredrag om informasjonssikkerhet og hacking. Her lærer jeg dem hvordan de kan bruke informasjonen de finner om meg, åpent og tilgjengelig for alle på nett, til å hacke meg. Slik gjøres det:
For sikkerhets skyld, vil jeg her bruke et fiktivt eksempel; På et sosialt medium finner vi en bruker som heter Selma. Selma har skrevet at alle hennes slektninger er fra Telemark, hele 400 år tilbake i historien, faktisk. Vi ønsker å logge inn på brukeren til Selma. Brukernavnet hennes er offentlig, men vi mangler passordet. Heldigvis tar det sosiale mediet i bruk passordhint. Altså får vi passordet hennes hvis vi klarer å svare på spørsmålet hintet stiller. Selmas hint er “hvor er bestemoren min født?» Vi er inne på Selmas bruker, og 9. klassingene seirer, nok en gang.
Men det er jo bare et sosialt medium. Kan vi komme oss inn i noe viktigere, som Selmas e-post? Jada! Har vi e-postadressen hennes, kommer vi langt. Systemer som håndterer innloggingsinformasjon lagrer dette i databaser – men hvor sikkert dette lagres varierer. Sannsynligheten for at du har e-posten og passordet ditt i en lekket passord-database er stor. Bruker du da samme passord og e-postadresse flere steder er det enkelt å komme seg inn på alle brukerne dine. “Skjer ikke med meg vel”, tenker du kanskje?
Alt du legger ut på nettet kan bidra til å gjøre deg til et offer for hackere. Så hva bør du gjøre? Kommer jeg til å stoppe å publisere hauger av informasjon om meg selv på nettet? Nja. Men jeg kommer aldri til å ta i bruk passordhint, eller la min private e-postadresse ligge offentlig ute.
Gyda Elisa Sæter er Masterstudent i informatikk ved UiO.
