»Stol ikke på en fyr med hestehale. Særligt ikke en it-sikkerhedsfyr,« lød åbningsreplikken fra den i flere kredse kendte it-sikkerhedstaler Mikko Hypponen fra den finske it-sikkerhedsvirksomhed F-Secure.
Han var den tredje it-sikkerhedsfyr med en hestehale i træk, der betrådte scenen hos DI i forbindelse med it-sikkerhedskonferencen ‘Digital Threats and Solutions’, som InfinIT har arrangeret sammen med WAYF, DI ITEK og IDA-IT. Den foregående værende sikkerhedseksperten Bruce Schneier og før ham, chefkonsulent ved DI ITEK Henning Mortensen, der præsenterede arrangementet.
Men Mikko Hypponen havde dog også andet på hjertet end hestehale-relaterede vittigheder. Han var kommet for at tale om statsproduceret malware. Og han kunne i den forbindelse vise flere jobopslag fra forskellige virksomheder, der aktivt søgte efter folk, der eksempelvis var duelige i malware-kodning til Android, Blackberry etc.
Og han nævnte i den forbindelse også flere kendte stykker malware, som eksempler på noget, en stat står bag. Herunder Flame og Stuxnet – sidstnævnte var målrettet centrifuger til uran-berigelse i Iran. Centrifugerne blev overbelastede, da malwaren overtog kontrollen med industristyringscomputerne, de såkaldte PLC’er.
Det er i sig selv bemærkelsesværdigt. Men Stuxnet havde også en anden nævneværdig kvalitet, set fra en malware-afsenders synspunkt. Der gik år, før den blev opdaget af antivirussoftware. Hvilket var lidt pinligt, medgav Hypponen der selv er fra et antivirusfirma.
Men han var heller ikke sen til at opliste de forskellige staters evne inden til at producere ‘god’ malware på den målestok. Og her var Kina, relativt set, blandt de dårligste, fortalte han.
»De producerer mere malware end nogen anden regering, og det er ikke særligt godt. Det er rimeligt nemt at finde sammenlignet med det, vi finder fra Rusland eller USA,« sagde han.
Mikko Hypponen havde dog ikke bare statsproduceret malware på sinde, men også den amerikanske stats forhold til internet-virksomheder.
For når folk går på Google og søger, så er de i udgangspunktet ærlige, hvilket Mikko Hypponen illustrerede med et søge eksempel, hvor der bare er indtastet:
‘Rash on my ge…’ (udslæt ved mine kø …)
Blandt de højst rangerede forslag, som Google automatisk kommer op med før yderligere information er indtastet, i Hypponens eksempel er:
‘rash on my son’s genital area’ (udslæt ved min søns kønsdele)
Forslag som Google kommer med, fordi nogen har søgt på det.
»Uanset hvem, der har disse informationer, så kan de vride armen rundt på os i dag, og de kan gøre det om 10 år fra nu,« sagde Hypponen.
Og i den forbindelse gav han udtryk for, at hverken Google eller andre af de store virksomheder er fjender, men gerne vil tjene penge. Men hvis amerikanske myndigheder og NSA på den ene eller den anden måde forsøger at få adgang til disse data, hvad gør virksomhederne så? Som eksempel nævnte Hypponen Microsoft, der ifølge ham, har den amerikanske regering, som sin største kunde.
»Det er dejligt at have jer som kunde, men vil I ikke godt lade være med at hacke vores systemer,« sagde Hypponen for at illustrere det paradoksale i situationen.
I forlængelse oplistede han en række it-mastodonter, Microsoft, Google, Apple, Facebook, som alle har det til fælles, at de er amerikanske, har amerikanske datacentre, og er underlagt amerikansk lovgivning.
Svære gik det, da han forsøgte at opliste europæiske it-giganter i samme boldgade som førnævnte, hvor det kun var tyske SAP, Hypponen kunne komme på.
Ifølge Mikko Hypponen kunne en vej til at få mere europæisk end amerikansk kontrol over data og it-løsninger være at opdyrke et Sillicon Valley i Europa.
Leave a Reply