Han har ägnat hela sitt liv åt att skydda personers integritet online och på F-Secure-företaget fortsätter han med det arbetet. ”Det kan sägas på många sätt … att vi har förlorat kampen för integritet. Många kommer inte ihåg hur världen var före Internet. För många har Google eller Wikipedia alltid varit där. Och det är naturligt för dem att använda en mängd tjänster på Internet och introducera alla typer av data och innehåll. Så här betalar du på Internet. Att göra en video kostar pengar men vi betalar för det med vår data och integritet ”, förklarar inte F-Secure-experten, Miko Hypponen, på RootedCON 2017.
”Vi kan ha förlorat ett krig mot integriteten. Vi är den generationen människor vars liv kan spåras från början till slut. Vi har alla spårningsenheter. Det är väldigt enkelt att övervaka var vi är, vem vi kommunicerar med. Det är lätt att veta vilken typ av människor vi är. Vad intresserar oss. Och all information samlas in. Data är den nya oljan. Det är så och det är därför vi talar om underrättelsetjänster, men också om företag som samlar in data från oss. Google tjänade 80 000 miljoner 2016 … erbjuder gratis tjänster ”.
Asymmetriskt krig mot it-brottslighet
”Vi har förlorat striden om integritet och striden om säkerhet. Jag vägrar dock att erkänna att vi har förlorat det senare. Allt jag har gjort sedan jag började studera skadlig kod och reverse engineering var för det ändamålet: att bekämpa skurkarna. Mot de som skickar skadlig kod, förnekelse av tjänstattacker. Men vi är de med den vita hatten jämfört med de med den svarta hatten. Jag förnekar inte att vårt arbete är komplicerat, för angripare har tillgång till vårt försvar.
”Det första de lär sig är vilken typ av säkerhet de har att bryta. Det är utgångspunkten för en angripare. Och när de väl vet det bestämmer de sig för hur de ska komma in. De har mycket tid att förbereda … och vi lite att svara. Vi hör alltid dåliga nyheter om datasäkerhet, om attacker, läckor eller om användare som gör dumma saker, använder samma lösenord för allt, öppnar skadliga länkar. Men var var vi för 10 år sedan? Det har gjorts stora framsteg inom säkerheten. För ett decennium sedan använde många användare Windows XP, som som standard inte ens hade en brandvägg.
”När det gäller säkerhet har vi kommit långt. Vi gör stora framsteg men tyvärr utvecklas fienden också med tiden. Kanske är det dags att möta fienden, förstå honom. Men som ofta är fallet är det lättare sagt än gjort. Slutanvändaren har ingen uppfattning om vem som står bakom attackerna. Det finns hacktivister, brottslingar, vita mössor, regeringar, extremister … det finns alla slags hackare. Vi har människor som Charlie Miller och Chris Vallasek. De hackar för att de vill förbättra säkerheten. Anonymus har en anledning till politisk protest. Brottslingar vill tjäna pengar genom att skriva virus. Och regeringar är också intresserade av detta eftersom cyberattacker kompletterar dem. De är effektiva, de är inte dyra och de är obestridliga. Det är en perfekt matchning när du tänker ur militär synvinkel. När du har ett billigt, effektivt och obestridligt vapen har du den perfekta blandningen. Det är därför förändringsmomentet börjar nu ».
Ett nytt cybervapenlopp startar
Vi är i början av nästa väpnade strid. Vi har sett kärnvapenvapnet. Vi befinner oss nu i cybervapen. Det har börjat och kommer att stanna där i flera år. Det kommer att ta årtionden att prata om cybernedrustning. Och ur regeringens synvinkel finns det inte bara militären utan också säkerhetsstyrkorna. Om någon hade sagt till mig att polisen skulle ha virus för att smitta medborgarna, skulle jag inte ha trott det, men det är så. Jag har inga problem med att regeringar använder kränkande teknik för att utreda brott och jaga terrorister. Du måste gå efter dem i den fysiska världen och i online-världen. Men om vi som medborgare ger säkerhetsstyrkorna denna rätt, måste vi be om öppenhet. Denna stötande cybermakt måste innebära att säkerhetsstyrkorna publicerar statistik. Vi smittade 200 datorer med skadlig kod och 150 var från personer som var dåliga och dömdes. Men det kan också vara motsatsen. Det finns ingen öppenhet och därför kan vi inte fatta beslut om detta. Men den största gruppen som tjänar pengar på attacker är brottslingar. De är människor som tjänar mycket och förföljs.
De senaste trenderna för it-brottslighet för att tjäna pengar på din bekostnad
”En av de senaste trenderna inom it-brottslighet har varit trojaner för att stjäla bitcoins och digitala valutor. Vi vet att uppfinningar är uppenbara … när de uppfinns. De är bäst. Tack vare blockchain-teknik kan transaktioner utföras automatiskt utan ingripande från någon annan. Bitcoin och blockchain är inte dåliga. De är bra som pengar. Problemet är att brottslingar också vill ha pengarna, vare sig fysiska eller virtuella. Det är svårt att köpa kokain med kreditkort. Men med bitcoin är det lättare. För brottslingar är bitcoin som en gåva från himlen. Det är därför det finns så mycket Trojanboom. Vi följer för närvarande 110 olika grupper som tävlar om samma offer. Och inte alla grupper är från Ryssland, det finns också några från Ukraina.
Hur söker de efter sina offer? Först genom exploateringar som infekterade en dator genom att öppna en länk. Idag är det vanligaste sättet genom ett Word-dokument och en e-postbilaga. Detta började göras 2008 genom makrot. Och nu är det tillbaka. Så de som kan få fler attacker är personalavdelningarna som tar emot infekterade CV som har länkar för att utöka sin information. Microsoft måste ändra namnet på knappen istället för att aktivera innehåll, det måste säga "infektera mitt system" "-slakt från allmänheten-.
Dataviruset som ”förlåter dig” om det smittar två vänner
«Det har till och med varit en ransomware - programvaran som kapar en dator genom att kryptera dess information - som ber om $ 1 300, men du kan spara dig själv genom att infektera två andra maskiner. Du måste infektera två personer som slutar betala ransomware-belöningen. Det är popcorn. Varje offer har en unik webbadress, så om du skickar den till Facebook är många människor smittade. Han är väldigt kreativ och min smart. Låt oss komma tillbaka till dessa killar efter ransomware. "
Cyberattacken mot LinkedIN gjorde cyberbrottslingen som gjorde det till miljonär
«Det fanns ett LinkedIN-hack 2012 och om du var i det …. de stal dina nycklar. Så om du hade ett konto på detta sociala nätverk, stals det av en cyberkriminell som nu alla vet - han har visat sitt foto. Jag var ett av hans offer. Han har ännu inte fått någon straff, även om han hålls kvar på semester i Prag med sin flickvän och hoppas att han kommer att utlämnas till USA. Vad har det att göra med stöld av 130 miljoner lösenord? Tja, andra cyberbrottslingar skulle komma till dem. Hur mycket kan du tjäna försäljningslösenord? Jag vet inte. Men genom att titta på en video på YouTube kan vi få en idé. Prata om din semester med supersportbilar som Audi R8 och Lamborghini Hurracane. Dessutom ser man att han har en Mercedes, en Aston Martin, en Porsche, en Rolex och en Rolls Royce. Så hur mycket tjänade han? Tja, jag vet inte, men tillräckligt ».
«Om du får dessa nycklar kan du komma åt 1,3 miljoner Gmail-konton. Eftersom de alla har samma lösenord som i linkedIN. Vi har frågat och 50% av användarna använder samma lösenord på alla webbplatser. Det är ganska dumt. Så när de kommer in i Gmail letar de efter gamla e-postmeddelanden. Gmail tar aldrig bort dem och de söker efter en viss typ. De du får när du registrerar dig i en internetbutik, till exempel Amazon. Så de vet att du har ett konto med den här e-postadressen, till exempel Amazon. Och om ditt lösenord inte fungerar på det spelar det ingen roll. Eftersom alla inloggningssidor har en magisk knapp "Jag har glömt mitt lösenord" och hur de har tillgång till Gmail … ja, de får åtkomst till det. När de väl har tillgång till Gmail har de tillgång till allt. De kan köpa Xbox, Palystation och du kommer att betala för det ».
Det fruktade sakernas internet
«En annan stor utmaning i våra händer är den ljusa framtiden för Internet of Things och ICS, det industriella styrsystemet. Således har han visat en kärnreaktion som äger rum i en pool. Varför visar jag den här videon? För det är ett exempel på industriell kontroll. Denna reaktor styrs av en PLC, en programmerbar robot. All infrastruktur hanteras av datorer och programvara. Du måste vara tydlig om det. Vi är från datasäkerhet och i åratal trodde jag att jag var tvungen att säkra datorer. Men nu vet jag inte. Vårt jobb är inte att säkra datorer …. Den består av att ge hela samhället trygghet. Det är dags att förändra hur du ser världen. Och det finns så många saker och det talas om så många saker om IOT- och ICS-risker och det första är att dessa saker ansluter till internet trots att de inte behöver ansluta. Dessa saker ger tillgång till vad som ligger bakom. Det finns många fabrikssystem som av misstag ansluter till Internet.
Så här har han visat ett online-krematorium, sovrum sett genom säkerhetskameror … «En vän till mig hittar saker som en båt ansluten utan lösenord. Även gardiner och persienner. Och min vän säger att när man kan öppna och stänga gardiner på internet betyder det att sakernas internet inte finns i framtiden. Är här. Och de är vektorer. Du kan komma åt en glödlampa som låter dig nå andra system. Du sätter en kaffebryggare med Wi-Fi och det blir den svagaste länken i kedjan och en dag vaknar du upp och du har alla dina datorer krypterade. Att göra? "Använd aldrig en enhet utan att ange starka lösenord."
”Mirai-skadlig programvara infekterade 120 miljoner IOT-enheter, men deras ägare brydde sig inte. Vi pratar med dem. Din säkerhetskamera har hackats … och de svarade ja, vad coolt? Men det fungerar bra. Om det fungerar bryr folk sig inte om det används för en attack. Och det sorgligaste är att det använde få lösenord som alla enheter använde. Och de använde också Telnet - ett system från 80-talet - för att det inte var krypterat ».
Elektroniska enheter måste regleras: om de inte är säkra måste du kunna göra anspråk
”Du måste investera i säkerhet. Vi reglerar fysisk säkerhet och onlinesäkerhet måste regleras. Jag pratar inte om en som fastställer regler för apparater. Men det är nödvändigt att reglera att tillverkaren stäms för de problem den skapar. Om du har en tvättmaskin med kortslutning måste du fixa den. Och om du inte kan stämma henne och det måste uppnås i cybervärlden. Att du kan stämma för ett säkerhetsbrott.
Tiden har kommit för cybervapen och cybernedrustning
«Jag har talat om regeringar och deras hacking. Vi har en främre plats i utplaceringen av attacker mot USA i presidentvalet. Ryssland försökte påverka resultatet av valet till världens största makt. Det finns en intervju i Bloomber med Putin flera månader tidigare men det var redan känt. Så de frågade honom, vem hackade demokraterna? Spelar det verkligen någon roll? Det viktiga är innehållet i e-postmeddelandena. Distrahera inte allmänheten om vem som gjorde det. Är detta cyberkrig? Inte".
Ukrainska soldater dödade efter att deras mobil smittades … och geopositionerades
Men för två månader sedan såg ukrainska soldater sin telefon infekterad med skadlig kod, de var placerade och artilleriet krossade dem. Jag talar om dimman av cyberkrig. Detta vapenlopp i ett visst land, du kan veta hur många stridsvagnar ett land har … Men i cybercapacides ingen aning. Vi vet att USA är bra, att mer pengar har investerats under en längre tid för att öka kapaciteten för cyberförsvar, att Israel, Ryssland, Kina är mycket bra. Men då är allt väldigt dimmigt, vad är Sveriges cyberoffensiva kapacitet? Spanien? Vietnam? Ingen aning. Det är cyberkrigsnebulosan. Det är därför det skiljer sig mycket från kärnvapenloppet. Hans kraft var inte i hans användning utan i hans förmåga att skapa rädsla. Hiroshima och Nagasaki var tydliga exempel. Det handlar inte om att använda det utan om att visa att du har dem. Alla vet att när ett land har det vapnet, trasslar ingen med det.
Med cyberkrigsnebulosan vet ingen någonting. Kraften hos cybervapen är inte i strid. Det är därför vi ser dem. Stuxnet och hackningen av elnätet i Ukraina 2015 eller de ukrainska soldaterna som dog på slagfältet 2016.
Kraften hos cybervapen är i deras användning. Cybervapen är lätt tillgängliga och har mycket kraft. Stuxnet kunde inte uppnås med ren militär förmåga. Om det handlade om att försena det iranska kärnkraftsprogrammet skulle landet kunna invaderas till en hög kostnad, även i liv, eller så skulle anläggningen bombas. Eller så kan du skriva stuxnet som kostar en miljon. Och det kostade samma som en B52-utgång. Men till skillnad från den här är den inte synlig.
Hackare försvarar inte längre datorer … nu försvarar de världen
«Detta är den värld vi lever i idag. Vi är alla säkerhetsfolk. Vi trodde att vårt jobb är att ge datorer säkerhet. Men inte längre. Nu är detta arbete från och med nu att ge samhället trygghet och vi måste ta det väldigt seriöst eftersom vi har ett stort ansvar, mer än vi tror mycket eftersom vi är de som försvarar vårt samhälle ».
Du kan se fler artiklar som detta i OneMagazine.