"Man vill bara gömma sig under täcket"

En digital värld är avsevärt mycket mera sårbar än många tror. Borgåbördiga Benjamin Särkkä vill att man börjar lyssna på hackarna.

Det är tidigt 1990-tal, och åttaåriga Benjamin Särkkä sitter vid familjens dator på Prästgårdsbacken i Borgå. Datorn, en Macintosh SE/30 är kraftfull med sin processor på hela 16 megahertz och 16 färgers monitor. Den har fascinerat honom redan i ett par år; han förundrar sig över hur maskinen lyder hans minsta kommando.

Hans pappa uppskattar däremot inte sonens intresse och förmåga att göra saker på maskinen som man inte ska. Således installerar pappan ett barnlås.

Det är nu Särkkä blir verkligt intresserad. Hur ska han nu kunna göra allt det som han tidigare kunnat göra? Så han försöker ta sig in, och genom att försöka ett antal olika lösenord accepterar datorn till sist hans försök. Han är inne. Känslan av att ha lyckats klå systemet känns berusande. Han har vunnit, och intresset för att bryta system är ett faktum.

Först drygt tjugo år senare får pappan veta om att barnlåset var meningslöst, men då har Särkkä redan gjort sitt intresse till ett yrke.

Organiserade hackerevenemang

Nu är Benjamin Särkkä trettiotre år gammal och jobbar i Helsingfors som datasäkerhetsexpert på ett av Nordens största företag. På sidan om är han aktiv inom hackerkretsar, och organiserade nyligen hackerevenemanget Disobey i Helsingfors. Han skrattar när han tänker tillbaka på skoltiden i Borgå.

– Jag vet inte om jag borde säga vad jag gjorde i Strömborgska högstadiets datorklass, men vi upplevde nog att det var våra datorer. Och tyvärr är det så att många hackers, också lagliga som jag, börjar genom att pröva saker man inte ska göra.

Särkkä är nu vad man kunde kalla en aktivist som är ute efter att vända hackandet till något gott. Han är bekymrad över hur sårbart samhället är, och hur lätt det är att ställa till stor skada. Om man får tro honom är läget bra mycket värre än många vågar föreställa sig.

Jag vet inte om jag borde säga vad jag gjorde i Strömborgska högstadiets datorklass, men vi upplevde nog att det var våra datorer.

Lockelsen att göra något olagligt med sina datorkunskaper är nämligen stor. Det hör inte ens till ovanligheterna att unga hackers gör stor skada, såsom i fallet med sjuttonåringen som satte i Villmanstrand och orkestrerade en attack mot Andelsbankens, Nordeas, Aktias och Danske banks nätverk med en överbelastningsattack (ddos-attack) 2014. Han hade lyckligtvis inte tillräckligt stora kunskaper för att dölja sina spår och blev fort hittad. Dessvärre hann han göra en hel del skada på vägen. 2013 lyckades en annan grupp hackers komma åt Nordeas kunders konton i Sverige.

Det är också här Särkkäs intresse för hackervärlden kommer in: hans uttryckliga mål är att göra något gott med de kunskaper som många besitter. Ett led i det jobbet är Disobey som ägde rum i Helsingfors i mitten av januari. Omkring 500 personer deltog i evenemanget där pressen inte var välkommen (förutom som betalande gäster och utan att citera källor) och där försiktighet uppmuntrades. Var och en som deltog i evenemanget kunde bli utsatt för en attack om de använde det öppna nätet. Sådana var spelets regler.

HACKER. Datasäkerhet är en av vår tids viktigaste frågor, anser Benjamin Särkkä. Bild: Max Nyberg

– Vi har medvetet skapat ett evenemang med aningen provocerande förtecken. Min arbetsgivare förstår och uppskattar mitt engagemang. Det ger kontakter, och det ger kunskaper som jag behöver i mitt jobb, säger Särkkä.

Särkkä vill inte avslöja vem han jobbar för, men det får räcka med att han får en god utsikt över riskerna i samhället.

Hackade bil

Det var på Disobey som en av de större nyheterna bubblade upp i Finland när Helsingin Sanomat skrev hur man lyckades hacka den svarta spårningsapparat som skulle ha kunnat bli en viktig komponent i minister Berners föreslagna trafikreform.

Trots fyndets innebörd kom uppståndelsen som en överraskning för Särkkä.

– Ur vår synvinkel var det bara en av många olika projekt under veckoslutet. Men för resten av landet verkar det ha varit en stor grej.

Det finns en massa produkter med bakdörrar som gör livet sämre för en massa människor.

Uppståndelsen är ingen dålig sak, eller ens särskilt överraskande. Att lådan hackades var ytterligare ett bevis på att en allt högre digitaliseringsgrad också är en oerhörd säkerhetsrisk. Eller som Särkkä uttrycker det: en stor del av samhälleligt viktig infrastruktur är otroligt dåligt skyddad. Det gäller allt från elnätet till fordon och folks egna datorer. Samhället är sårbart. Mycket sårbart.

– Ingen tillverkar ordentliga saker som är säkra. Det ska vara billigt och komma snabbt ut på marknaden. Det finns en massa produkter med bakdörrar som gör livet sämre för en massa människor.

Stora störningar

Här kan det vara bra att komma med en definition. En hacker är någon som bryter sig in i system och webbsidor. En blackhat gör det som kriminell, en whitehat är "god" och försöker hitta problem och lösa dem innan någon kan utnyttja dem. Således är Benjamin Särkkä en hacker med vit hatt på huvudet.

Själva hackandet kan ta sig mycket olika former. Den vanligaste typen är så kallad ddos-attack, eller överbelastningsattack, där någon slår ut webbsidor. Det är också den överlägset lättaste formen av attack och kostar bara några tior att genomföra. En sådan slog ut banksystemet i Estland 2007 och ledde till omfattande samhälleliga störningar.

Benjamin Särkkä rabblar upp en webbadress ur minnet. På webbläsaren laddar en förhållandevis professionell sajt fram. Det ser ut som vilken sajt som helst, men här kan man köpa sig ett så kallat botnet - en armé av maskiner och apparater som riktar trafik för att överbelasta någon viss sida. Just den här använder sig sannolikt av något hål i lagen och är således ännu uppe.

– Det är hur lätt som helst att köpa en attack, och det är billigt. Det svåra är sedan att dölja sina spår. I regel blir man fast. Men det kan leda till allvarliga följder för företag och hela samhället. Att Finlands internet faller är ingen omöjlighet. Eller att hela världens internet faller.

Slog ut elnätet

Attacker av det mera ovanliga slaget är när någon lyckas ta över maskiner, endera via virus eller genom en bakdörr. En dylik attack ägde rum i Ukraina julen 2015 och ledde till omfattande elavbrott i stora delar av landet. Då använde de skyldiga sabotageprogram (malware) för att störa systemet.

Det behöver ändå inte handla om samhällsomfattande problem. För ett år sedan tog sig forskare in i systemet på en bil av märket Jeep, och kunde bevisa hur de kunde kontrollera den på distans. Charlie Miller och Chris Valasek visade då bland annat för tidskriften Wired hur de kunde styra bilen på flera kilometers avstånd. De kunde kontrollera allt från luftkonditioneringen till bromsarna och styrningen.

Särkkä påpekar att det är här som problemet ligger. Vi har grundläggande sårbarheter i kritisk infrastruktur. Man kan ta över en bils styrsystem, eller följa med en gps-tracker som Berner planerade sätta i alla bilar. Eller möjligheter att lyssna på vilket samtal som helst som äger rum i världen (det kostar för övrigt omkring 100 dollar och är uppenbarligen en lätt process). Eller slå ut elnätet.

– Ingen verkar vilja göra något åt de här problemen och det är superskrämmande. Man vill bara ge upp och gömma sig under täcket och gråta. Man tycker väl at det är för svårt. Men själv tycker jag att det är problem som man kan lösa. Det är bara fråga om att göra det rätt.

Illvillig verksamhet

På privata sidan - hemma hos vanligt folk - är verksamheten i många fall verkligt illvillig. En handelsvara är trojaner för tillgång till folks datorer. Det är ingen stor verksamhet, men kan lätt beskrivas som en sorts underkultur där folk byter övertagna datorer där de bland annat fått tillgång till webbkameran - ofta hos en kvinna.

– Någon kanske vill ha en blondin, någon annan rödhårig. Så byts de. Dessa personer har tillgång till allt på datorn. Bilder, dokument. Allt. I värsta fall kan det leda till utpressning.

DISOBEY. På evenemanget sysslade man med såväl fysiskt hackande av prylar som programmering. Bild: Mikael Peltomaa

Datorer riktade till den Europeiska marknaden har ändå en hårdvarukopplad varningslampa som gör att risken här är mindre. De större ligorna riktar också allt mera in sig på utpressningsmjukvara (ransomware) som också börjat skymta i artiklar och nyhetsinslag på sistone.

– Det är en helt egen genre, och håller på att bli vanligare än tidigare metoder. Det är också förhållandevis lätt att installera den här typens mjukvara på någons dator. Och som offer behöver man inte ens vara dum. Metoderna är planerade så att man lätt installerar fel program.

Bättre produkter

Här kommer också evenemanget Disobey in. Trots det lite provokativa namnet (Disobey betyder olydnad) är tanken positiv. Meningen är att hitta sårbarheter i olika system och att uppmuntra folk med kunskaperna att använda dem till något gott. Meningen är också att lyfta fram datasäkerhetsfrågor.

Utgå ifrån att ingenting är säkert och att allt kan bli bättre. Man måste testa saker på riktigt.

– Vi fick till exempel tillstånd av bolaget som tillverkar den föreslagna gps-trackern i Berners förslag. Nu föll förslaget, men vi visade ändå att teknologin är sårbar. Fynden kommer till bolaget som kan förbättra sin produkt.

Särkkä hoppas att beslutsfattare, företag och konsumenter skulle börja lyssna på hackers mer än man gör. I nuläget fungerar det inte, även om det finns goda undantag.

– Det finns företag som låter hackers testa deras system. På det viset blir de säkrare. Det lönar sig att lyssna på oss och se oss som en resurs, i stället för att vara rädd för oss. Utgå ifrån att ingenting är säkert och att allt kan bli bättre. Man måste testa saker på riktigt.

Meningen är därför att göra potentiella blackhats att bli whitehats och att göra hackerverksamheten mera tillgänglig. Det finns en hel del mystik kring verksamheten, och det är i praktiken mycket annorlunda än man ser i filmerna. Verkligheten är bra mycket tråkigare.

– Någon ungdom som börjar inser att det är tråkigare än i Hollywood. De märker att det krävs mycket jobb och mycket tålamod. Man måste ha metodik och vara systematisk.