Gjesteblogg av Thomas Tømmernes, Head of IT-Security i Atea Norway
Undertegnede overleverer et webkamera-deksel til en bekymret mamma
Når du sitter foran PC-en er det faktisk slik at webkameraet ditt kan være hacket og følgelig filme & høre alt i rommet. Én ting er at dette kan skje mens du helt intetanende sitter og jobber. Hva med den dagen barnets PC blir hacket? Når skjermen er på 24/7 og den gjerne står på soverommet?
Dette høres kanskje ut som en dårlig B-skrekkfilm fra 90-tallet, men er faktisk helt reelt.
Nei, nå får han jammen gi seg, tenker du sikkert. Du – som mange andre – tror nok det er skremselspropaganda og science fiction på HØYT NIVÅ. Hver gang dette temaet har blitt brakt på banen, var dét den typiske tilbakemeldingen og derfor tenkte vi at det var på tide å gjøre noe med dette.
Hvor lett kan det egentlig gjøres?
For å vise folk hvor lett det er å få tilgang til PC-ens webkamera, deltok undertegnede sammen med en gruppe IT eksperter fra Atea på et eksperiment for en tid tilbake. Målet var å se reaksjonen til en gruppe foreldre når de plutselig så sitt barn gjennom webkameraet på den enheten barnet brukte på nettet.
Eksperimentet ble meget proft gjennomført i kontrollerte former med følgende scenario:
Det ble rigget opp et tenåringsrom – med et vanlig videokamera som filmet tenåringen.
Her sendte vi inn ett og ett barn, mens undertegnede satt sammen med mor eller far på naborommet, hvor vi så på barnet på en monitor mens jeg intervjuet de forskjellige foreldrene om familiens holdninger og tanker rundt IT sikkerhet.
Alle intervjuobjektene mente selv at de hadde en relativt opplyst familie og at de hadde tatt sine forhåndsregler. Noen hadde i høyeste grad gjort akkurat det, men dessverre langt fra alle.
Gjengangeren blant den sistnevnte gruppen, var at mange faktisk ikke visste hvor de skulle finne info om nettsikkerhet.
Eksperimentet ble gjennomført ved at vi hadde spesialdesignet et «virus» som vi lurte inn på ungdommenes PC-er/MAC-er. Nå var det foreldrene vi ønsket å sjekke reaksjonen til og vi så ikke noen verdi i å lure tenåringene. Vi informerte følgelig ”kidsa” om at vi skulle gjøre et hyss med foreldrene deres. Vi hadde imidlertid ikke fortalt ”kidsa” hva de skulle klikke på, men en god kombinasjon av settingen de var i og en stor lokkebiff førte til at alle sammen faktisk ukritisk trykket på åtet vi hadde lagt ut.
Når de klikket fikk et panel med fire IT-sikkerhetseksperter tilgang til deres enhet, og jeg som satt sammen med foreldrene fikk opp et bilde på monitoren ved siden av meg.
Da spurte jeg om de hadde sett dette bildet før og de fleste så at dette var skrivebordet til barnet sitt med en gang.
Jeg stilte litt spørsmål omkring hva de følte med at uvedkommende nå hadde full tilgang til bilder, dokumenter og mail. Dette var noe de selvfølgelig ikke satte særlig pris på. Det typiske svaret var at bilder og mail er private dokumenter.
Men i det nærbildet av barnet deres som satt og kikket på skjermen sin og tastet dukket opp istedenfor skrivebordet på monitoren, ble samtlige svært lange i maska. Ikke nok med at man så bildet; vi hadde også full tilgang til mikrofonen og kunne lytte til alt som skjedde i rommet.
Da jeg begynte å spørre om de var klar over at dette så enkelt kunne la seg gjøre, svarte samtlige nei og var skikkelig rystet. ”Dette kan jo brukes til spionasje”, var en av kommentarene.
Da jeg videre spurte hvor barna hadde PC-en/MAC-en en sin hjemme, endret kommentarene seg fra spionasje til «nå ble jeg skikkelig kvalm», for det er faktisk slik at de fleste tenåringer har enhetene sine på soverommet sitt hvor de både lærer, leker, skifter & sover.
MERK: Dette eksperimentet ble, som beskrevet, gjennomført under kontrollerte former og ALT vi hadde installert på de ulike enhetene ble slettet etter gjennomført eksperiment.
Vi kom inn på nesten samtlige enheter, uavhengig om det var PC eller Mac, men jo nyere enhet med oppdatert software, jo vanskeligere var det å komme seg inn. Et par enheter som bare var et par måneder gamle måtte vi gi opp.
Utfordringen er kanskje at barna ofte er i enden av arverekka når det kommer til både mobiler og datautstyr, og de sitter derfor ofte igjen med relativt gammelt utsyr. Med den hastigheten ting utvikler seg på dag blir en PC raskt steingammel. Poenget er at nyere utstyr som er oppdatert og patchet er bedre både teknisk og med tanke på robusthet i dagens trusselbilde.
Noen tips til dere som foreldre (og barn) etter eksperimentet
- Pass på at barna har oppdaterte PC-er. Mange trykker ’nei’ når PC-ene ber om oppdatering fordi dette tar tid. Ikke gjør det. La maskinene få lov til å oppdatere og patche seg. Da er de mye bedre rustet mot angrep.
- Sørg for å ha en god antivirus-løsning på PC-en. Dette koster noen hundrelapper i året, men inneholder mange gode funksjoner, som i tillegg til å stoppe virus også stopper slike forsøk som vi gjorde for å komme inn og ta kontroll over webkameraet. De nye enhetene vi ikke kom inn på hadde eksempelvis og tilfeldigvis Trend Micro’s løsning installert.
- Tenk deg om og vær kritisk til både nye mennesker og lokkebiffer på nettet. Still deg selv spørsmålet om hvorfor akkurat DU skulle få dette tilbudet. Legg også merke til om sidene du bruker er http eller https. En side med https betyr at all informasjonen mellom deg og siden er kryptert og følgelig umulig for uvedkommende å lese. Oppgi aldri persondata og betalingsinformasjon på en usikker side. Noen moderne nettlesere vil vise sikre og usikre sider som rød (usikker) og grønn (sikker) eller ved at det dukker opp en liten hengelås på sikre sider i det feltet man skriver inn web- adressen.
- Uansett – billig og smart: Få tak i slike luker/deksel til å montere foran webkameraet. Det finnes ingen god grunn til å ha dette kameraet rettet inn mot så vel private -som felles oppholdsrom når det finnes en så enkel løsning som en klistrelapp.
Oppsummering
Det var lettere enn forventet både å lage et «virus» og å få tenåringer til å klikke på lokkebiff, og ikke minst – å ta kontroll over deres enheter, uansett operativsystem. Alle foreldrene hadde et relativt bevisst forhold til IT-sikkerhet og nettvett, men ingen var klar over hvor enkelt eksperter kunne ta over en enhet.
Still deg selv spørsmålet: Hvor bevisst er jeg? Min påstand er at det ikke bare er ungdom som lar seg lure av lokkebiff på nettet og som er ukritiske til hva de klikker på eller hva de legger igjen av data på hvilke steder.
Min hensikt her er ikke å male fanden på veggen, men nå har vi faktisk gjennomført dette eksperimentet og kan bekrefte at historien over ikke er oppspinn. Med dette friskt i minnet er mitt stalltips at det kan være lurt å ta en samtale innad i familien, på arbeidsplassen, med fotballaget eller lignende omkring nettvett. Hva er det man egentlig klikker på? Hvordan er det man oppfører seg online? Husk: Ser tilbudet for godt ut til å være sant, så er det gjerne det. Og du: Ikke la PC-en stå på uten et deksel foran webkameraet på soverommet, badet eller andre steder man burde kunne tillate seg å tro man er privat.
Mot slutten av intervjuet viste jeg frem min egen PC, hvor har jeg har liten luke/et deksel foran webkameraet som jeg har fått av Trend Micro som reklame. Jeg hadde med meg flere slike og alle familiene som deltok fikk slike til hele sin familie. Om du ønsker slike til DIN familie: send en mail til Karianne i Trend og spør pent.
Følg meg gjerne på Twitter for daglige IT-sikkerhetsoppdateringer
@TTmmernes
Karianne Myrvold
Okan Kalak