Framtidsteknologin "internet of things" (IOT) internetansluter allt från vardagsföremål till människor – och nötkreatur. Men IOT kan också användas för omfattande belastningsattacker mot banker och företag. Det berättar IT-experten Bogdan Botezatu som varnar för tekniken. "Inget är längre omöjligt när det kommer till cyberangrepp", säger han till Realtid.se.
"Säkraste IT-systemet är en avstängd och trasig mobil"
Bogdan Botezatu arbetar för rumänska IT-säkerhetsbolaget Bitdefender som utvecklar så kallade anti-sabotageprogram eller anti-malware. Han har skrivit två böcker om cybersäkerhet och medverkat i flera stora medier såsom BBC, The Verge och Zdnet. Realtid.se fick en exklusiv intervju med honom.
– Att skydda privatlivet är den största utmaningen under detta århundrande. Det säkraste systemet är en avstängd mobil som du kastar in i en tegelvägg eller i en sjö. Men det är ingen som vill ha en trasig mobil, säger han till Realtid.se när vi träffar honom i centrala Stockholm.
Sakernas internet – ett hot
Bogdan Botezatu konstaterar att "Internet of things" (IOT) eller "sakernas internet" medför enorma IT-utmaningar. "Sakernas internet" innebär att föremål – exempelvis möbler vitvaror, smycken, leksaker och kläder – kopplas upp mot webbmoln för att kunna skicka dela data och bli interaktiva. Enligt Bogdan Botezatu är att IOT mycket sårbart för hackerattacker.
– Om du har någon form av internetuppkopplad övervakningskamera i till exempel ditt hem så kan den enkelt hackas så att andra kan titta på dig. Vi har de senaste åren sett många angrepp av det slaget, säger han.
FDA kräver ny lagstiftning
Det kan också röra sig om inopererade chip för identifiering eller för invärtes övervakning av olika kroppfunktioner, till exempel hjärtfrekvens och kroppstemperatur.
– FDA menar att det krävs ny särskild lagstiftning för internetansluten medtech-utrustning. En liten felprogrammering kan leda till att någon dör samtidigt som implantaten kan hackas, säger Bogdan Botezatu.
20 miljoner uppkopplade kor
En annan stor IOT-trend är "internet of cattle" som är på stark frammarsch i jordbruksländer som Australien, Nya Zeeland och Holland. Genom att förse kor med chip som kopplas upp dem mot webbmoln kan jordbrukare övervaka deras hälsa och exempelvis hålla koll på om de blir gravida eller sjuka.
– Det finns ungefär 20 miljoner internetanslutna kor just nu som riskerar att bli hackade. Du kan inte ta bort chipen från kossorna. De lever och dör med dem, säger Bogdan Botezatu.
Största ddos-attacken i USA:s historia
Det går även att genomföra så kallade belastnings- eller ddos-attacker genom att "infektera" IOT-apparatur.
I september förra året fick skadeprogrammet Mirai en enorm spridning när det fortplantade sig i tio miljoner IOT-uppkopplade webbkameror. Det resultade i den största ddos-attacken i USA:s historia. Flera banksajter kraschade och tjänster som Netflix, Pandora och Itunes gick ned.
– Dataanvändare vet att de ska installera antivirusprogram. Men alla är inte medvetna om att IOT-apparater såsom övervakningskameror, smarta termostater och glödlampor också är datorer, säger Bogdan Botezatu.
Ett annat bekymmer är så kallade "IOT scanners" som går igenom alla IOT-apparater de hittar och tar reda på om de är öppna och kan infekteras.
– När scannern får träff säger den ungefär "hej, nu har jag hittat sårbart IOT som du kan kontrollera", säger Bogdan Botezatu.
Banker sårbara
Teknologin innebär därmed enorma risker för många branscher – inte minst banker.
– Om en bank utsetts för en ddos-attack och inte kan processa någonting åt sina kunder under en dag så förlorar den kunder. Så den största faran är inte att pengar stjäls eller försvinner, utan att kunder blir arga, säger Bogdan Botezatu.
Förra året lyckades en "elakartad" internetrobot eller "bot" krascha en rumänsk banks samtliga servrar – med följden att banken inte kunde genomföra några transaktioner alls under en hel dag.
Även flera livebetting-sajter har slutat fungera efter bot-genererade ddos-attacker i samband med stora fotbollsturneringar och hästkapplöpningar. De som satsat pengar har avkrävts flera tusen dollar för att få åtkomst till bettingssajten igen under matchen eller tävlingen, berättar Bogdan Botezatu.
Finns det något positivt med "botar"?
– Den största fördelen är att Google använder botar för att indexera alla webbsajt-information i nära realtid. Det gör att den sökbara informationen på Google alltid är "up to date".
Fintech-startups saknar complicance
Bogdan Botezatu pekar också ut startups som särskilt sårbara för ddos-attacker och sabotageprogram.
– En startup har ofta en snäv budget och investerar merparten av sitt kapital i infrastruktur. Sedan finns det nästan inga pengar kvar till säkerhet och compliance, säger han.
Otaliga startups tillhandahåller dessutom sina tjänster via appar. Men många appar som säkerhetsbolaget Bitdefender testat är relativt lätta att hacka.
– En utomstående part kan sno din information och se till att den skickas till en annan server utan att din app protesterar. Det var bland annat fallet med en rumänsk bankapp. Och om pengatransaktioner som görs med finansappar försvinner är de ofta svåra att spåra och få tillbaka.
Stora risker med öppen identifiering
Bogdan Botezatu avråder också från så kallad öppen identifiering genom att exempelvis logga in med Facebook på externa appar.
– Det är en dålig idé, för det är väldigt lätt att hacka ditt facebookkonto om du väljer öppen identifiering som inloggningsalternativ, säger Bogdan Botezatu.
Han ser därför gärna att säkerhetskraven för appar och IOT-produkter skärps.
– Många tillverkare bryr sig inte om cybersäkerhet, utan de ruschar till marknaden för att kunna lansera sin produkt lagom till jul eller "black friday". Att implementera nödvändig säkerhet blir också dyrare och förkortar battertiden på till exempel en mobil.
Bogdan Botezatu vill också se fler utbildningsinsatser inom IOT- och IT-säkerhet.
– Man får lära sig köra bil. Men varför inte också lära ut onlinesäkerhet och hur malware fungerar när hela världen bygger på datorer?, säger Bogdan Botezatu.
"Struntprat"
Under nästa år implementeras dock en rad nya EU-lagar som ska stärka konsument- och identitetsskyddet. Ett uppmärksammat direktiv är EU:s nya personskyddslag GDPR som innebär att banker och företag måste radera all information om dig om du begär det.
Men Bogdan Botezatu tror inte att det kommer att fungera i praktiken.
– Det är orimligt att tro att man kan försvinna från internet eller bankssystem. Det är bara struntprat. Kanske raderas man från aktuella register, men vad händer med äldre data? Och hur många banker kommer verkligen gå igenom hela din historik och ta bort den? Även om de säger att "ja nu har vi raderat all information om dig", så finns det ingen myndighet som har resurser att kolla om det verkligen stämmer.
Kan hamna i fel händer
En annan omtalad kommande EU-lag är det nya betaltjänstdirektivet PSD2 som innebär att banker måste dela med sig av kontodata till exempelvis fintech-starups om kunden samtycker till det.
Men Bogdan Botezatu ser flera problem med det. Orsak: När transaktioner blir publika blir de också relativt lätta att hacka. Det medför också ökad profilmatchning och mer riktad reklam.
– Om jag bygger ett startupbolag och får tillgång till din transaktionsdata så kan jag skapa en maskinlärande algoritm som profilerar dig och ditt köpbeteende. Jag tycker att det är integritetskränkande och lite extremt. Och hur ska startups kunna säkra att min information inte hamnar i fel händer?, frågar sig Bogdan Botezatu retoriskt.
Livsstil avgör kreditvärdighet
Just profilmatchning kan få ganska obehagliga konsekvenser har det visat sig. Domare i USA fattar till exempel beslut om huruvida en person ska beviljas borgen med hjälp av algoritmer som beräknar risken för återfall i brott. Forskning har dock visat att det finns mycket bias i datan som ofta blir alltför generaliserande.
Ett annat exempel är kinesiska statliga banker som kartlägger kunders beteende i sociala medier för att avgöra deras kreditvärdighet.
– Har du enligt banken dubiösa vänner, radikala politiska åsikter eller om du gillar att dricka dig full på helgen så får du kanske röd flagg. Är inte det läskigt? Du kanske bara postar en oskylidg drink på en klubb på en fredag för att därefter inte få något lån. Kreditstatus och livsstil kopplas ihop på ett obehagligt sätt, säger Bogdan Botezatu.
Problem med kryptering
I en intervju med Realtid.se i mars sade tech-forskaren Nell Watson att kryptering kan förhindra att personuppgifter används på ett olämpligt sätt. Men Bogdan Botezatu är inte lika optimistisk.
Staten motverkar total anonymitet för att kunna förebygga terrordåd och andra brott. Dessutom ligger det i reklamindustrins intresse att se till att persondata är så öppen och tillgänglig som möjligt så att den kan skräddarsy reklam.
Staten snokar
De som däremot efterfrågar ökat persondataskydd ser dock stor potential i blochain som är tekniken bakom den virtuella valutan bitcoin. Blockchain medger bland annat effektiv kryptering.
Men Bogdan Botezatu menar att allt för få behärskar teknologin för att den ska få något större genomslag. Vi är dessutom vanedjur och tycks hellre fortsätta blotta våra privatliv på Facebook istället för att anamma krypteringsmetoder, säger han. Att det ännu inte finns något enkelt verktyg som en app för avancerad kryptering är också talande.
– Ny teknologi implementeras bara när den kontrolleras av någon. Den kryptering som inte kan hackas är olaglig eftersom alla, inte minst stater, vill kunna snoka i människors data. Det blev tydligt efter Snowden-läckan. När den uppdagades började dock många kryptera sina mobilkonversationer med hjälp av olika tjänster. Men även dessa system måste vara designade på ett sätt som gör det möjligt för staten att ta del av informationen vid behov.
"Allas krig mot alla i cyberrymden"
Ändå lyckas många cyberkriminella förbli anonyma. För 10-15 år sedan var cyberattacker en komplicerad uppgift med källkod som ibland var värd uppåt en miljon dollar. I dag är det lättare än någonsin och mycket källkod distribueras kostnadsfritt genom open source-nätverk. Och sabotagemetoderna blir allt enklare. Skadeprogram kan till exempel spridas genom att någon klickar på en länk eller öppnar ett mejl.
I stort sett samtliga länder har nu också förmågan att försvara sig och utöva cyberkrigföring.
– Tidigare var det bara USA, Kina Ryssland och Israel som kunde avancerad källkod för sådana ändamål. Men nu kan de flesta det. Och alla slåss mot alla i cybersrymden. Inget är längre omöjligt när det kommer till cyberattacker, säger Bogdan Botezatu.
Han tillägger att utvecklade länder är särskilt sårbara eftersom de i så hög grad förlitar sig på IT och elektricitet.
– Det är att lätt att skicka tillbaka ett land till medeltiden genom en massiv cyberattack, säger han.
Fejkade nyheter får större betydelse
En annan typ av digital krigföring är fejkade nyheter som exempelvis kan bidra till att påverka utgången i demokratiska val. Det är vanligt att en handfull fejkade artiklar publiceras av en "bot" på flera hundra sajter eller inom ett bloggnätverk som enbart skapas för bilda opinion och som sedan försvinner.
– Ändå delar många vidare dessa nyheter utan att bedöma deras sanningshalt.