OSLO/FOLKETEATRET (digi.no): Mikko Hyppönen i F-Secure er en av verdens mest anerkjente eksperter på IT-sikkerhet.
NSA-avsløringene basert på lekkasjer av den nå spionsiktede amerikaneren Edward Snowden, som etter et kort besøk i Kina har tatt dekning på ukjent sted i Russland, er noe som har engasjert en samlet sikkerhetsbransje det siste året.
Dette var også bakgrunn for det dystopiske 1984-foredraget som Hyppönen holdt på Paranoia-konferansen i Oslo forrige uke. Her følger deler av et intervju digi.no fikk med den finske sikkerhetsguruen etterpå.
Forræder eller helt
Hvorvidt Snowden er en helt eller en landsforræder er for enkelte et politisk spørsmål. Hyppönen er usikker på fasiten, men synes det er noen urovekkende forhold man bør ta i betraktning.
– Det høres ut som et enkelt spørsmål, men jeg har ikke et enkelt svar til deg. Det jeg kan si er at jeg håper det viser seg at han er helt. Akkurat nå er det vanskelig å vite.
Det er nemlig noen problematiske detaljer i historien til Edward Snowden, som 29 år gammel i fjor avslørte hemmelige dokumenter om USAs etterretningsorgan National Security Agency (NSA) sin massive overvåking av internett og telesamband.
– Det plager meg såpass at jeg ikke er i stand til å se på ham som en helt, selv om jeg håper han er det. Jeg håper sannheten er at han er en mann som ofret seg for å redde oss.
Snowden har nylig opptrådt på TED-konferansen og South by South West-konferansen. Disse opptrinnene viste en side av mannen, som ifølge Mikko Hyppönen virker mistenkelig.
– Han er opplagt en veldig intelligent kar, svært veltalende, god med ord og metaforer. Samtidig har han ingen utdannelse, selv ikke videregående skole. Det er litt pussig. Han prater også kinesisk flytende. Uten å ha fullført noen utdanning. Det er også rart.
Edward Snowden valgte den 6. juni i fjor, en torsdag, som tidspunktet for å avsløre det til da hemmelige PRISM-systemet, som har gitt e-tjenesten direkte adgang til data fra IT-gigantenes datasentraler.
Tidspunktet for disse første lekkasjene var antakelig nøye planlagt.
– Påfølgende lørdag var det kjent at USAs president Barack Obama skulle møte den kinesiske presidenten X Jinping, der temaet for møtet skulle være kritikk av Kinas overvåking. Det var litt av en timing av Snowden, mener Hypponen.
Alt dette kan være tilfeldigheter, og har således ingen bevisverdi. – Men det plager meg litt, sier den finske sikkerhetseksperten.
Ville lekke, så tok han hyre
Han er minst like plaget av at Snowden skal ha tatt kontakt med journalisten Glenn Greenwald allerede i januar 2013, da han skal ha avtalt at de skulle begynne å lekke informasjon om amerikanernes operasjoner.
– Det var i januar. Snowden fikk jobben i Booz Allen Hamilton som ga ham tilgang til informasjonen i mars. Det betyr at han først avtalte å lekke, to måneder før han får jobben som gjorde det mulig å få tak i informasjonen ulovlig.
Dermed er han ingen klassisk varsler, som betegner en person som avdekker og varsler om kritikkverdige forhold eller ulovligheter i organisasjoner der vedkommende har vært eller er ansatt.
– Varsling er når du er del av en organisasjon og ser noe kritikkverdig og bestemmer deg for å varsle om dette. Det Snowden gjorde var planlagt i forkant. Det er uetisk, slik jeg ser det. Det er uetisk å skaffe seg en jobb med den hensikt å stjele informasjon.
Mikko Hyppönen som i over 20 år har bekjempet virus, ondsinnet programvare og kriminell virksomhet på internett, stiller selv spørsmål ved motivasjonen bak Snowdens handlinger, men har ingen klare svar.
– Er han en helt eller en forræder? Jeg håper han er helt. Jeg håper mine bekymringer er ubegrunnede og at det finnes gode forklaringer på disse tingene, men jeg vet ikke.
– At amerikanerne avlytter internett har mange kunnet forestille seg. Hva har overrasket deg aller mest av NSA-lekkasjene som har kommet ut til nå?
– Den angivelige infiltreringen av standardisering-organer for å kunne sabotere krypteringsalgoritmer er definitivt en av dem. Jeg ville aldri trodd at noen hadde arrogansen til å gjøre det.
Hyppönen viser til rapportene i media om hvordan NSA i 2006 skal ha gått frem for å ta over skrivingen av krypteringsstandarden Dual_EC_DRBG.
Standarden ble publisert av USAs standardiseringsmyndighet NIST, og siden erkjent av den internasjonale standardiseringsorganisasjonen ISO. I lekkede dokumenter skryter NSA-folkene av at de til slutt fikk full kontroll over standarden. Standarden skal inneholde en eller flere sårbarheter som har fungert som bakdør for NSA.
– Vel, vi vet ikke faktisk hvilke krypteringsalgoritmer det gjelder. Lekkasjene fra Snowden snakker bare om infiltreringen av standardiseringsorganer, som alle antar er NIST.
Hyppönen lar seg også imponere av NSAs evne til utvikling av James Bond-lignende utstyr som Cottonmouth, en liten USB-pinne med innebygget radiosender og skadevare, laget av NSA for å infiltrere og kontrollere også utstyr uten nettverkstilkobling.
– It really boggles the mind (ganske uvirkelig). Jeg har aldri tenkt på det å plante trojaner i maskinvare eller å erstatte deler av kabler med en radiosender og ondsinnet programvare. Jeg ble overrasket.
Leave a Reply