I den aktuelle saken mot Laila Anita Bertheussen brukes innholdet i en chat mellom henne og noen venninner i det politiske miljøet som bevis av påtalemyndigheten. Mye av denne chatloggen er gjengitt i pressen, og de andre deltagernes bidrag til samtalen blir dermed også eksponert. Ingen av deltagerne kan på forhånd ha sett for seg at den skulle bli gjengitt i mediene slik at hvem som helst kunne lese den. Derfor er sannsynligvis tone og innhold annerledes enn dersom man hadde visst at den skulle bli offentlig. Antagelig hadde chatten da aldri funnet sted.
De fleste har sannsynligvis opp til mange slike chatter eller samtaler gående, enten i sosiale medier eller i meldingstjenestene som tilbys av Apple, Android eller Microsoft. Disse loggene lagres oftest i en sky, og flyttes derfor gjerne med fra gamle telefoner, laptoper eller nettbrett når man anskaffer nye. Derfor kan man ha slike samtaler liggende som er mange år gamle, med deltagere og innhold man for lengst har glemt. Chattene kan ha hatt mange deltagere, og innholdet kan derfor være spredt ut over mange enheter, utenfor brukernes kontroll. Dette utgjør mange angrepspunkter for en målrettet angriper med litt fantasi.
Du er bare så trygg som vennene dine
For dermed er det ikke tilstrekkelig at du selv har kontroll på dine egne enheter og at du holder ditt eget passord hemmelig. Alt du har sendt til andre er prisgitt også disse mottagernes sikkerhet. Det holder at en av dem blir hacket for at det du har sendt til vedkommende i SMS, mail, chat, Facebook messenger, Instagram osv. kommer på avveie. Meldinger som ikke er ment å sees av andre enn mottagerne, i likhet med chatten til Bertheussen og venninnene hennes. Karakteristikker av andre. Meldinger sendt lørdags natt, i frustrasjon eller i fylla (eller alle samtidig). Private bilder og videoer. Andres hemmeligheter som er betrodd deg. Mail og meldinger som inneholder passord, PIN-koder, telefonnumre, passnummer og mailadresser. Det behøver ikke engang være innholdet, men måten kommunikasjonen foregår på som kan mistenkeliggjøres eller latterliggjøres. Ting som i utgangspunktet er helt uskyldig kan tas ut av kontekst og plutselig se helt anderledes ut.
Din sikkerhet, ditt renommé og kanskje din privatøkonomi ligger altså i hendene på dine venner og kontakter, som kanskje er mindre flinke til å passe på enhetene og passordene sine enn det du er. Mindre flinke til å skjule PIN-koden de taster inn på telefonen sin, eller passordet på laptopen. En kikk over en skulder kan være nok til å oppfatte en fire- eller sekssifret PIN-kode på en telefon som ikke har aktivert ansiktsgjenkjenning eller fingeravtrykk som innlogging. Og selv om den har dette aktivert, vil telefonen falle tilbake på en PIN-kode hvis den er i tvil, eller har vært skrudd av. Deretter er det bare å få tak i telefonen fra en lomme, en bag i garderoben, i klasserommet, eller på jobben. Eller kanskje den ligger på bordet hjemme. Dette er ikke veldig vanskelig for en målrettet angriper.
Alle har noe å skjule
Eller du er kanskje ikke så flink som du selv tror på dette med sikkerhet, og at det derfor er din telefon som blir hacket og stjålet. Og da er det du som bidrar til å spre dine venners hemmeligheter og betroelser. Som vennene kanskje forlengst har slettet fra sin telefon, og derfor ikke tror eksisterer lenger. Men de kan ikke slette den hos deg.
Når man har kommet seg inn på telefonen er det fritt frem. Man kan kopiere interessante samtaler, bilder eller videoer over på sin egen enhet og slette sporene etterpå. Sende noen mailer eller meldinger i eierens navn. Slå opp med kjæresten. Si opp jobben, eller skjelle ut kolleger eller sjefer. Spre fortrolig informasjon. Bytte passord på nettjenester - passordene til disse ligger ofte i nettleseren og er ikke nødvendigvis beskyttet av fingeravtrykk eller PIN-kode. Man kan gjøre ubotelig skade dersom man finner riktig type informasjon, bare spør Nora Mørk. Er man diskret og sletter sporene etter seg vil eieren av telefonen aldri skjønne hva som skjedde.
Målet ved å ta seg inn på andres utstyr behøver ikke være veldig utspekulert eller ondsinnet. Det kan være et resultat av at noen tilfeldigvis så en PIN-kode bli tastet inn på en mobil i friminuttet på skolen. Og så skulle man “bare kødde med kompisen”. Eller det kan være en tidligere venninne som var ute etter litt payback for et forhold som har gått surt. En slik venninne kan forresten allerede ha meldingene liggende på sin egen telefon, og derfor slippe å bryte seg inn noe sted. Eller kanskje lillebror bare plukket opp storesøsters mobil på bordet hjemme før tastelåsen ble aktivert?
Alle har smarttelefon
Smarttelefoner ligger i lommene på omtrent alle unger ned i iallfall tiårsalderen, som ikke tenker sikkerhet. Men det er ingen grunn til å mistenke at alle foreldrene deres heller har et gjennomtenkt forhold til informasjonssikkerhet og konsekvensene av å spre sensitiv informasjon. Tilbake til Bertheussen-saken: Hvor mange av Bertheussens chattevenninner kunne se for seg at hun skulle stå i den situasjonen hun står i nå? Innholdet i loggen er publisert, uansett utfall av saken. Hvor mange potensielle, fremtidige lovbrytere har du i chatloggene dine? Dersom du uforskyldt dras inn i en sak kan det få store konsekvenser for deg.
Det finnes ingen enkel løsning på dette, fordi det er mange problemer på en gang. Angriperne beskrevet her er ikke veldig avanserte, men de kan allikevel med liten innsats få tilgang til andres enheter og informasjon. Og problemstillingene ligger stort sett innenfor den private sfæren. Dersom det kompromitterte utstyret brukes i jobbsammenheng, og angriperne er mer avanserte blir listen veldig mye lenger, og skadepotensialet tilsvarende mye større.
Men alle har noe å skjule, selv om de påstår det motsatte. Alle har iallfall noe å beskytte.
IT-ekspert: Skremmende hva et teknisk bilde kan røpe av sårbarheter