Sosiale medier og informasjonssikkerhet – Del 3

Denne blogg-serien startet med å vise til et oppslag i VG om en sikkerhetshendelse hvor forsvarspersonell fikk oppmerksomhet via sosiale medier fra en kvinne som «ikke eksisterer». Hvorfor blir personell som enten har og eller fortsatt tjenestegjør i Afghanistan kontaktet? Hva er hensikten og hva kan en slik kontakt føre til?  Det er disse spørsmålene jeg skal forsøke å forklare litt nærmere i den siste og tredje delen. Hvordan kan sosiale medier og informasjonen som høstes derfra benyttes til det vi kan kalle uønskede handlinger. Nå skal jeg forsøke å gjøre dette så relevant som mulig, så du trenger ikke ha tjenestegjort i Forsvaret for at dette skal være aktuelt.

Tilbake i 2007 var NSM i media og advarte mot at enkelte eksponerte seg i for stor grad via sosiale medier eller nettsamfunn som vi kalte den gang. En av grunnene til det, var at vi så sikkerhetsgradert informasjon på nivå HEMMELIG publisert på Facebook. Nå trenger ikke vi mennesker Facebook eller internett til å gjøre dumme ting. Det greier vi bra på egenhånd. Men nettet har den egenskapen at det dumme vi gjør eller sier, får et mye større spredningspotensiale.

Mengden med verdifull informasjon fra sosiale medier kan være stor! (Illustrasjon: colourbox.com)

Mengden med verdifull informasjon fra sosiale medier kan være stor! (Illustrasjon: colourbox.com)

Helt fra starten av var den største bekymringen at informasjonen og detaljene som mange valgte å eksponere via sosiale medier, ville bli samlet, analysert og brukt til ulike formål som ikke var ønskelige. Vi ser at denne type informasjon nå blir samlet inn, bearbeidet og brukt til blant annet sosial manipulasjon i ulike former.

Det er en utfordring å holde seg unna ord som farlig når vi skal forklare risiko. Farlig er et ord vi som sikkerhetsfolk alt for ofte bruker uten at det vi beskriver oppleves som farlig eller at vi bruker så vanskelig språk at ingen forstår trussel eller risiko. Det er få ting med Facebook, Twitter og LinkedIn som er fysisk farlig for deg eller meg.

Høyere er risikoen for at noen gjør noe vi ikke ønsker med informasjonen. Det kan ramme deg som enkeltindivid, men det kan også gå utover arbeidsgiveren din. Den risikoen kan være høyere hos noen enn andre, men det er trusselaktørene og deres skjulte hensikter og mål som til syvende og sist påvirker interessen for deg og din informasjon.

Du er ikke nødvendigvis målet, men du representerer veien til målet!

Så da er jeg ved et viktig punkt. Trusselaktørene. Er det så nøye da? Samme hvem som gjør dette mot deg/oss? Ja,  det er viktig og nei det er ikke det samme hvem som gjør hva mot oss. Det er veldig mange grunner til at vi bedre bør forstå hvem det er som forsøker å gjøre hva. Muligheten til å forebygge hendelser, detektere, håndtere og forfølge hendelser juridisk øker med forståelsen av hvem det er som forsøker å gjøre hva. Dette er ikke lett i seg selv, men ikke gå i den fellen at du tror det er noen tilfeldige elektroniske impulser som bestemmer seg for å angripe datamaskinen og informasjonen din. Det er mennesker, bedrifter, organisasjoner og stater som forsettlig angriper deg.

Hacker 1Hacker 2Når jeg skal over på hvordan informasjonen kan benyttes av trusselaktørene kommer jeg til å begrense meg til utnyttelse av den informasjonen som har sin motivasjon i kriminalitet, industrispionasje og etterretningsvirksomhet. Jeg tar ikke for meg utnyttelse av informasjon fra sosiale medier som kan være av en mer kommersiell eller forskningsmessig art. Jeg vil heller ikke ta for meg det vi kan kalle mellommenneskelige relasjoner hvor informasjonen kan ha negativ betydning for ditt omdømme, brukes til mobbing m.m.

I første del listet jeg opp noe av det informasjon fra sosiale medier kan fortelle en trusselaktør. Del 2 tok for seg hvordan den informasjonen kan bli synlig for en trusselaktør.

La oss lage et scenario. Jeg tar nå på meg rollen som en trusselaktør. Tenk at jeg som trusselaktør ønsker å finne ut mer om hva skjer av forskning og utvikling i den norske teknologibedriften «Temmelig Hemmelig AS». La oss for eksemplet sin del, si at Temmelig Hemmelig AS er din arbeidsgiver. Forstå at jeg som profesjonell trusselaktør ikke gjør dette fordi det er moro. Det er jobben min. Jeg er god i jobben min og jeg har 5 andre kollegaer ved siden av meg som er like gode. I tillegg er det noen over meg som har bestemt at vårt mål er å frembringe verdifull informasjon om Temmelig Hemmelig AS. Vi er målbevisste, dedikerte og vi har en plan A, B og C. La meg vise deg plan A.

Jeg søker på Temmelig Hemmelig sine web sider og avhengig av hvor mye som lå der med informasjon om ansatte, ville jeg ha beveget meg over til å søke etter ansatte i sosiale medier. La oss si at jeg bare finner 40% av bedriftens ansatte ved et grunnleggende søk på sosiale medier. Men det utgjør 20 personer inkludert deg, og jeg trenger egentlig bare en ansatt!

Tidligere måtte jeg som trusselaktør ha benyttet en rekke andre kilder for å «finne deg» Nå dukker du fort opp i radaren og du gir meg det gratis! Nå kan jeg ta i bruk en rekke metoder for å skaffe meg mer informasjon bak de beskyttelsesmekanismer du eller andre har satt opp for å beskytte din personlig informasjon, dersom du i det hele tatt beskytter deg.

I del 2 beskrives noen av mulighetene, men for å komme tilbake til saken fra VG hvor soldatene fikk venneforespørsler. Hvorfor ikke sende deg og 6 andre kollegaer i Temmelig Hemmelig en venneforespørsel. Igjen trenger jeg bare en til å akseptere meg som venn. Husk nå at dette bare en mulighet jeg har til å skaffe meg tilgang. Jeg kan skaffe meg tilgang uten å spørre deg om vi skal bli venner! (Se del 2)

Hvem du er og hva du er

Nå finner jeg informasjon om din identitet, sosiale status, hvor du bor, hva du arbeider med, hvem du arbeider for, hva slags bakgrunn og utdannelse du har, hvem dine venner, familie, kollegaer er osv. Banal informasjon? Kanskje, men tenk litt på hvor enkelt tilgjengelig den informasjonen nå er gjennom sosiale medier.  Dersom jeg utvider dette søket til å gjelde andre åpne kilder kan jeg utvide bildet av deg ytterligere.

Det du skriver, det du liker/ikke liker, det du mener, hva du bryr deg om, kan gjennom analyser fortelle meg hvordan du er som person og jeg kan nå skaffe meg en god oversikt over hva som skal til for å vekke din interesse nok til at du ikke forstår at det som kommer fra meg senere har en helt annen hensikt enn det ser ut til. Den tilgangen jeg har skaffet meg kan gi meg informasjon av direkte verdi.

I Forsvarssaken fra VG kunne det bety at dersom noen av soldatene skriver eller publisere bilder m.m. som kan være av etterretningsmessig verdi har det selvsagt en direkte verdi for den rette trusselaktør.

Hvor er du nå og hva gjør du?

Hva du gjør, hvor du gjør det og hvem du gjør det med, kan gi meg enda bedre oversikt. Mange av oss har koblet posisjoneringstjenester sammen med våre profiler på sosiale medier. En statusoppdatering på Facebook kan gi meg mer enn bare det du skriver. De fleste av oss burde kanskje tenke bedre på dette. Skal jeg igjen bruke forsvarssaken som et eksempel er det ikke nødvendigvis god operasjonssikkerhet å offentlig publisere sin posisjon når man er i felten. Dette er i gitte situasjoner en av de scenarioene hvor vi kan snakke om fysiske skade og bruke begrepet farlig.

Hvordan du blir min vei inn i Temmelig Hemmelig AS

Jeg har nå kartlagt deg og kanskje noen av dine kollegaer. Jeg vet nok om deg til å skreddersy en hyggelig e-post som du kommer til å være interessert i. Jeg er i stand til å forfalske avsenderen og jeg kommer til å spille på dine personlige interesser, lidenskaper eller hva som akkurat opptar deg i disse dager. Du kommer til å lese e-posten og du kommer til å ønske å åpne vedlegget jeg har sendt deg.  Fordi vedlegget viser akkurat det jeg skrev at det kom til å vise, kommer ikke du til å forstå at det vedlegget du nettopp åpnet er starten på det teknologiske angrepet rettet mot din PC/nettverk. Du vil til og med kunne være følelsesmessig fornøyd med det vedlegget jeg sendte deg.

Fra det tidspunkt du åpner vedlegget starter også den teknologiske kampen mellom meg som angriper og de som skal beskytte PC/nettverket ditt. Hvor gode er deres forsvarsmekanismer og hvor avansert er mine angrepsmetoder?

Vinner jeg kampen er jeg inne i systemet og jeg er god på å holde meg skjult. Jeg legger meg godt teknologisk til rette. Hensikten er med å angripe Temmelig Hemmelig AS er jo ikke å ødelegge. Det er å snuse, lete, finne og overføre den informasjonen som er av verdi til de som har beordret meg og mine kollegaer til å gjøre dette. For meg er dette en jobb. Du vet ikke en gang at det har skjedd!

Taper jeg kampen, forsøker jeg bare noe annet. Jeg har jo en plan B og C også!

Dette er bare et av scenarioene som kan være aktuelt. Hensikten med en slik fremgangsmåte kunne like gjerne være å skaffe «meg» tilgang til (hacke) dine personlige enheter som PC, nettbrett eller mobil for å gå etter dine personlige verdier som penger, kredittkort, bankkontoinformasjon m.m.

Nå har jeg forsøkt å utdype litt nærmere om hvorfor det kan være viktig å være bevisst på hvordan du bruker sosiale medier. Dette handler ikke om at du ikke skal bruke de ulike tjenestene, men det er viktig å forstå at det er flere enn det du opprinnelig trodde som kan se din informasjon og det er mennesker og organisasjoner som er villig til å bruke den informasjonen mot deg og din arbeidsgiver i gitte situasjoner. Jeg håper at du etter å ha lest litt av dette ikke lenger blir overrasket over at det er teknisk mulig å skaffe seg informasjon fra og at mange nettopp gjør det. Du trenger ikke å like det eller å akseptere det. Men ta hensyn til det. Ikke minst for din egen del.

TENK – SKRIV – VURDER – SKRIV – ENDRE – TENK – PUBLISER!

Kos deg med sosiale medier i sommer, men husk.

You have been warned!

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Internettsikkerhet, Sosial manipulasjon, Sosiale medier, Uncategorized. Bookmark the permalink.