Mulig å overvåke deg via TV’en?

«CIA kan bruke TV-en din til å spionere på deg». Påstanden høres ut som en paranoid fantasi, men finner støtte i tirsdagens WikiLeaks-avsløring.

I det som later til å være den hittil største CIA-lekkasjen, offentliggjorde WikiLeaks tirsdag flere tusen dokumenter som beskriver verktøy den amerikanske etterretningsorganisasjonen har til å bryte seg inn i smarttelefoner, datamaskiner og andre nett-koblede husholdningsapparater.

– Opplysningene virker troverdige, sier seniorrådgiver Bjarte Malmedal i Norsk senter for informasjonssikring (NorSIS), til ABC Nyheter. NorSIS er en uavhengig organisasjon som arbeider for økt kunnskap om og forståelse for informasjonssikkerhet.

Les også: CIA kan hacke TV-er og mobiler

8.761 filer og dokumenter beskriver metoder for angrep mot en rekke vanlige dataverktøy; nettelefonen Skype, trådløse nettverk og kommersielle antivirusprogram, skriver New YorkTimes.

– Det later ikke til at WikiLeaks har publisert anvendbar kode. Så det må andre fortsatt lage selv dersom de ønsker å utnytte sårbarhetene som er beskrevet. Men når noen først har laget slike verktøy, er det alltid en fare for at koden skal komme på avveie, sier Malmedal.

Sårbare husholdningsapparater

Nyheten er en påminnelse om sårbarhetene ved forbrukerelektronikk med nett-tilkobling. Ifølge WikiLeaks' opplysninger har CIAs hackere kunnet ta seg inn i iPhone fra Apple, Android-telefoner fra Google og andre elektroniske apparater.

– Det er å forvente at en organisasjon som CIA holder på med dette, og skaffer seg tilgang til informasjon på de måter som er mulige, sier Malmedal i NorSIS.

Les også: Apple: Mange sikkerhetshull rettet før WikiLeaks-dokumentene ble lagt frem

WikiLeaks omtaler blant annet «Weeping Angel», et påstått CIA-program som skal ta kontroll over smart-TVer fra Samsung og bruke disse som «avlyttingsutstyr». En moderne smart-TV har sensorer, mikrofoner og kamera.

– Hvis man ønsker å overvåke noen, er én mulighet å gjøre det via TV-en. Da må man nesten forvente at en etterretningsorganisasjon ser på disse mulighetene, sier Malmedal.

De siste årene er det blitt vanlig å snakke om «Tingenes internett», eller «Internet of Things». Bredbånds-internett er lett tilgjengelig, og stadig flere produkter med sensorer kobles på nett. Dette inkluderer alt fra mobiltelefoner til kaffetraktere, vaskemaskiner og lamper.

– Begrepet «Internet of Things» (IOT) berører absolutt alle. Det går ut på å dytte datamaskinfunksjonalitet inn i apparater som ikke tidligere hadde det. Som et eksempel: En parkeringsplass i Oslo sentrum kan få en bitteliten datamaskin og en sensor som forteller om det står biler der. Det kan hjelpe oss å få et mer effektiv parkeringssystem i en travel by, sier Malmedal.

– På samme måte settes datakraft inn i røykvarslere, dørlåsen hjemme og ikke minst leker.

Les også: Forbrukerrådet advarer mot leker til barn

Lav bevissthet om sikkerhet

– Slike produkter blir ofte ikke laget med særlig tanke på sikkerhet, og det er alt for lav bevissthet om sikkerhet i «Internet of Things». Produktene blir avløst av nye produkter uten sikkerhetsoppdateringer, leverandører forsvinner mens produktene fortsatt virker, brukere glemmer å bytte passord, forklarer seniorrådgiveren i NorSIS.

21. oktober i fjor ble et av tidenes største tjenestenekt-angrep gjennomført. Angrepet slo ut nettjenester i store deler av Europa og Nord-Amerika. Tjenestenekt går typisk ut på å overbelaste datasystemer med henvendelser, og kan gjennomføres med «botnett» av kaprede maskiner.

Det nye med angrepet i oktober, var at det stort sett var nettilkoblede husholdningsprodukter som printere, babycall og web-kameraer som ble utnyttet av angriperne.

– På grunn av den svake sikkerheten ved slike produkter, får vi enorme botnett-angrep lik det vi så i fjor, der våpnene som brukes er videospillere og web-kameraer. Angriperne brukte passord stjålet fra leverandøren som ikke var blitt endret av brukerne, fortsetter seniorrådgiveren.

– Vi har ennå ikke et godt svar på hvordan dette problemet skal håndteres. Utfordringen med IOT-sårbarhet vil bare vokse de nærmeste årene før vi finner en løsning, sier Malmedal.

Les også: McCain: Det hvite hus må på banen etter WikiLeaks-avsløringer

Når brødristeren angriper

– Som forbrukere ønsker vi smarte produkter, men det er et problem dersom kjøleskapet og brødristerne våre begynner å angripe den nasjonale infrastrukturen. EU har foreslått merking av slike produkter med et varsel om hvor sikre de er, sier Malmedal.

– Ut fra det vi har lest i WikiLeaks-saken, tror jeg ikke den jevne privatperson trenger å være så bekymret. Det er først hvis disse verktøyene havner i hendene på kriminelle og anvendes i stor skala, at det vil bli et problem for folk flest.

– CIA er ikke så opptatt av hva de fleste av oss holder på med i stua, mener Malmedal.

WikiLeaks hevder det nye slippet kun er første i en serie om det hemmelige CIA-materialet. Deler av innholdet er sensurert av WikiLeaks’ redaktører for ikke å avsløre koden andre grupper kan bruke til å lage slike datavåpen. Ifølge gruppen inneholder hele arkivet flere hundre millioner linjer datakode.

Malmedal har bakgrunn fra det norske Cyberforsvaret, og ledet avdelingen som skulle beskytte Forsvaret mot nettopp denne typen angrep.

– Avsløringer som dette kan helt klart inspirere andre. Andre lands etterretningsorganisasjoner har nok tenkt på mye av det samme. Det kan også tenkes at kriminelle kan bli inspirert til å utnytte denne typen verktøy, sier han.

– Hva slags angrep så du mot Norge da du var i Cyberforsvaret?

– Hvis man ser bort fra ren kriminalitet, så vi flere eksempler på det vi antok var etterretningsoperasjoner mot Forsvaret og Forsvarets IT-infrastrukturer.

– Har norsk etterretning den typen verktøy som er beskrevet av WikiLeaks?

– Det kan jeg ikke uttale meg om.

Hold hodet kaldt

Sikkerhetseksperter oppfordrer den alminnelige forbruker til å ha is i magen, men samtidig ta forhåndsregler. Mange av sårbarhetene har vært kjent en årrekke. Men offentliggjøringen kan være en nyttig påminnelse; Ethvert apparat knyttet til internett - det være seg telefon, brødrister eller TV - er sårbart for hacking, skriver CNN i en kommentarartikkel.

En metode for å beskytte seg, er at apparatene har de seneste versjonene av operativsystemer og programvare. Og selvsagt: Sikre passord.

Les også: Passord-lekkasjene: hva kan du gjøre?

Ifølge WikiLeaks var for eksempel eldre Android 4-telefoner særlig sårbare for slike angrep. Apple uttalte tirsdag at den senest oppdaterte programvaren fjerner «mange» av sårbarhetene for iPhone som WikiLeaks nevner.

– Hva er de mest overraskende funnene i WikiLeaks' offentliggjøring?

– På en måte er dette bare en bekreftelse av at CIA har en systematisk og svært bred tilnærming til å finne informasjon. Det som er litt oppsiktsvekkende, er hvor bredt de går ut. For eksempel ved å vurdere muligheten for å ramme fjernsyn og andre enheter som normalt ikke betraktes som sårbare, sier Malmedal.

CIA har ikke villet kommentere avsløringene direkte. Informasjonen i dokumentene skal stamme fra CIAs senter for dataetterretning, og er i hovedsak datert 2013-2016. En tjenestemann i den amerikanske regjeringen bekrefter overfor New York Times at dokumentene er ekte, og en tidligere etterretningsoffiser sier enkelte av kodenavnene, organisasjonskart og beskrivelsen av en database i WikiLeaks’ dokumenter fremstår som ekte.

WikiLeaks har ikke identifisert kilden til dokumentene, men sier de har «sirkulert blant tidligere regjeringshackere og konsulenter på uautorisert vis. En av disse har gitt WikiLeaks tilgang til deler av arkivet».

Varsleren som jobbet som konsulent for CIAs amerikanske søsterorganisasjon NSA, Edward Snowden, gjorde flere tusen dokumenter om hysjtjenestens programmer tilgjengelige for journalister i 2013. Han hadde følgende betraktning om de nye lekkasjene: