Var försiktig och känn till dina rättigheter – vi pratar med vår rådgivare Adrianus Warmenhoven

I den här intervjun går Adrianus genom många aktuella frågor och ger praktiska tips om hur du säkrar din integritet och skyddar den online och i den fysiska världen. Han talar också om framtiden för lösenord, IoT-hot och risken för att dela med sig för mycket. Det här är bara några av de ämnen som tas upp. Fortsätt läsa för att få reda på mer.

Hur tror du att VPN:ens roll kommer att förändras i framtiden? Och hur ser du på utvecklingen av VPN-tjänster i allmänhet? VPN:er har en tendens att bli allt mer multifunktionella.

När det gäller rollen som en VPN fyller tror jag att de kommer att bli en viktigare del av den personliga konfigurationen. Människor är vana vid att konfigurera sina appar med teman, inställningar och liknande saker. Den del som ännu inte har anpassats specifikt till en person är nätverksdelen. De flesta nätverksenheter går genom vad användaren än är ansluten till – oavsett om det är 4G, en internetleverantör eller ett offentligt Wi-Fi. Användare har därmed föga kontroll över sina anslutningar.

En VPN kan ge dem kontroll, åtminstone till viss del. Detta bidrar inte bara till ökad integritet – VPN-tjänster kommer bli en del av användarnas personliga nätverksupplevelse. Med NordVPN finns redan Meshnet, där jag kan ansluta till mina vänner, andra människor eller platser. Därmed kommer VPN:er bli ett äkta privat nätverk – jag kommer ha mitt nätverk och mina anslutningar med mig. Internetleverantörens roll kommer att gå tillbaka till transportleverantörer snarare än anslutningsleverantörer, vilket de är nu.

Den andra saken är den kommande integritetsstriden. Brottsbekämpande lagar implementeras redan nu i USA och Europa. Därmed kommer integritet att krocka med brottsbekämpning.

Jag stötte på en artikel som du skrev för några år sedan om komplexitet och letargi. Jag gillade dess huvudidé. Ämnet är fortfarande aktuellt idag. Vilken typ av hot introducerar denna konsumtionsstrategi för användare som ständigt köper nya enheter?

Problemet är att vi har denna “time to market“-aspekt. Denna aspekt minskar kvaliteten på designen av de produkter vi använder. Om du tittar runt lite kommer du snabbt inse att du har många billiga enheter som är av dålig kvalité, och som du endast behöver vid ett fåtal tillfällen.

Men vi vill också ha nya funktioner i enheterna. Vi använder dem inte ens efter att ha köpt dem för ett par euro. Vi bryr oss heller inte om konsekvenserna. Vi bryr oss inte om att de behöver underhållas. Hammaren behöver inte mycket underhåll – det är ett verktyg som fungerar. En mobil är också ett verktyg, men kräver mycket underhåll för att hålla dig säker. Och de flesta bryr sig helt enkelt inte.

Ja, jag håller med. Jag tror att vi har en liknande situation med IoT-enheter.

Jag har många IoT-enheter hemma och ett separat nätverk för dem. Det tar oss tillbaka till detta “time to market”-koncept. Många IoT-enheter använder numera molnet eftersom molnet är lätt att utveckla och uppdatera. Dessa enheter säljer massvis med data om mitt hus. Till exempel säljer min Roomba mina detaljerade planritningar till företag i Kina. De vet nog mer än mig om mitt hus. Anledningen till detta är att dammsugaren rör sig över större ytor än mig.

Men sedan har vi även kameror. Jag gjorde ett experiment där jag visade att jag kunde se om någon var hemma eller vad de gjorde bara genom att titta på trafikvolymen på deras Wi-Fi. Du kan se om någon tänder de smarta lamporna, om en tv är på och om den är synkroniserad med deras Spotify. Om inbrottstjuvar samlar in sådan data behöver de inte ens kontrollera om du är hemma fysiskt – de kan kontrollera ditt hems WiFi och se om du är hemma eller om du har besök.

De kan till och med se, och det har jag också visat i mitt experiment, om grannarna vaknar av att du gör oljud eftersom mobiltelefoner har ett annat trafikmönster när de är i viloläge, när de används eller när du inte använder dem. En av patentansökningarna vi hade på NordSec handlade om att använda VPN:er för att ingen skulle kunna se dessa trafikmönster. Om du använder en VPN sänder en skyddad enhet samma typ av trafik hela tiden, vilket gör att denna data inte går att utvinna.

Men med IoT-enheter är det ett större problem eftersom de flesta köper dem så billigt som möjligt och inte uppdaterar dem. De ger vanligtvis inga varningar när du behöver en uppdatering. Jag vet endast när jag ska uppdatera min Roomba när jag använder en speciell mobiltelefon som jag bara använder för IoT-grejer. De flesta människor gör inte det. Detsamma gäller smarta dörrklockor och fönsterluckor, samt alla andra IoT-enheter som du har i ditt hem. Uppdateringarna är riktigt dåliga, och det är även deras mjukvara.

Jag har även andra problem med IoT. Jag har en smart-TV. Här länkar jag min Netflix, Spotify, Hulu eller Amazon. Men sedan gick TV-skärmen sönder.

Inga problem. Jag kan köpa en ny. Men lyckligtvis kom jag ihåg att det inte är säkert att slänga den trasiga TV:n på återvinningsstationen. Alla mina inloggningar finns ju kvar. Och det finns inget sätt för mig att ta bort dem nu. Om brottslingar börjar förstå detta kan de börja betala 50 euro för alla de inloggningar som de kan sno från tv-apparater på återvinningsstationer. En person kan enkelt ta isär en tv-apparat och stjäla inloggningsuppgifter från den. Jag gjorde samma sak med min TV för att visa hur enkelt det kan göras. Det enda du behöver göra är att ta bort SD-kortet för att få tillgång till alla inloggningsuppgifter.

Dessutom borde det finnas (jag frågade den europeiska regeringen och mina statliga representanter om det) en fysisk återställningsknapp på IoT-enheter. Många IoT-enheter har inte fabriksåterställningsknappar som går att nås utanför mjukvaran. Det betyder att många inloggningsuppgifter slängs på soptippar runt om i världen, och de kommer att vara en guldgruva om ett par år.

Finns det några möjligheter att tillverkarna tar ansvar eller att medvetenheten kommer att öka hos användarna?

Vad gäller tillverkare blir det helt enkelt värre. De gör det absolut minsta som krävs enligt lag för att spara kostnader nuförtiden.

Den yngre generationen som är digitala infödingar förstår att alla dessa inloggningsuppgifter är en del av deras digitala identitet. Min generation växte upp utan internet, så de flesta i min ålder ser dessa saker som externa verktyg. De identifierar sig inte med sina autentiseringsuppgifter. För dem är de som en nyckel eller ett kort.

Problemet är att de flesta beslutsfattare fortfarande är av den generation som blev vuxna och började arbeta när det inte fanns något internet tillgängligt. Bra saker kommer att hända vid nästa paradigmskifte när den yngre generationen får makten. För tillfället ser vi att de flesta i min generation istället skapar lagar och avtal som är motsatsen och fortfarande vinstdrivna.

Vad skulle du föreslå för en genomsnittlig användare som har många smarta enheter? Finns det några andra åtgärder för att göra sin smarta miljö säkrare?

Du bör använda en lösenordshanterare tillsammans med en VPN. Du bör heller inte använda samma autentiseringsuppgifter för olika tjänster. Använd endast en uppsättning autentiseringsuppgifter som huvudreferens för din lösenordshanterare. Och för allt annat kan du skapa fler kontaktspecifika konton – skapa fler e-postadresser och användarnamn som kan kasseras precis som själva enheten. Detta är ingen idealisk lösning, men det fungerar. Jag använder samma metod. Jag använder olika uppgifter för alla mina enheter. De flesta IoT-enheter har inte verktyg för att upptäcka eller förebygga skadlig programvara, därmed behövs den mångsidiga funktionaliteten hos en VPN-tjänst.

Du har redan nämnt några av de saker som cyberbrottslingar kan komma att göra i framtiden. Med tanke på dessa aspekter och cybersäkerhetsläget idag, hur tror du att cyberbrottsligheten kommer att utvecklas?

Cyberbrottslighet är en avkastning på en investering. Jag säger alltid att dessa människor på andra sidan har andra livsmål och avsikter än oss. Men de är ändå smarta människor. De begår inte brott för att de vill ge oss en gratis dos av skadlig kod. De vill bara få ut något av det. Så när vi skyddar oss kommer de att hitta ett annat effektivt sätt att bryta mot vår säkerhet och ändå tjäna pengar på det. För närvarande är det enklaste sättet att göra detta genom att använda ransomware – man låser ute någon från allt, de måste betala och när betalningen är gjord får de tillbaka allt.

Men vi kommer att se fler och fler hybridbrott med fysiska implikationer. Min Roomba kan säkert berätta mycket om mig tack vare dess kamera och andra funktioner. Den kan berätta om jag har saker som är värda att stjäla. Så när ransomware inte längre är lika lönsamt kan nästa steg vara fysiska inbrott.

Jag tror också att vi kommer att ha mycket utpressning. Googla bara på “hur man köper en begagnad bärbar dator”, så får du reda på vad du inte bör ha på din bärbara dator eller den krypterade hårddisken. Allt som går att använda för utpressning kommer att användas. Det är inte svårt att föreställa sig att du kommer få ett e-postmeddelande med en bild på dina barn som går till skolan med text som “Betala mig nu för skydd”. Jag gillar inte alla de där hemska sakerna, men det är enkelt för mig att föreställa mig vad jag skulle kunna göra om jag vore kriminell.

Jag hade en tuff diskussion med en journalist från Wired för 10 år sedan. Vi pratade om transatlantiska internetkablar. Jag sa till honom att jag föreställde mig att cyberkriminella skulle attackera dessa kablar i framtiden. Han var övertygad om det var lika mycket fantasi som James Bond. Nu ser vi dock nyhetsartiklar där folk är rädda för att ryska ubåtar ska skära av internetkablarna. Allt fruktansvärt du kan föreställa dig kommer att hända någon gång eftersom någon kommer att tjäna pengar på det.

Grejen med cyberbrott är att i Europa tänker folk alltid i termer av etik. Men i andra länder är etiken annorlunda. Vi kan inte säga att den etiken är fel – det är bara en annan kultur. Och vi måste tänka på att vi har det ganska bra, medan människor inte har mat och pengar i många länder. Men de har fortfarande tillgång till internet, så de kommer att göra vad som helst för att få tag i pengar. I många spel finns det farms i Kina där folk spelar nästan dygnet runt för att få tag i grejer i spelet som de sedan säljer för riktiga pengar. Folk skulle göra vad som helst för att få pengar och mat. Det är något vi måste förstå.

Tror du det är troligt att fler välbärgade västländer kommer att bli måltavlor för cyberbrottslingar?

Ja, för det finns mer att hämta därifrån. I Indien vet jag att jag kan få en utsökt måltid för 16 rupier, vilket är ungefär 1 euro. Så jag kan äta i tio dagar om jag kan stjäla 10 euro från någon, vilket kanske inte är mycket för dig och mig.

Vilka är de vanligaste misstagen som användare gör för att sedan bli offer för cyberbrottslighet?

Att man delar med sig för mycket på sociala medier. Man kan exempelvis researcha svaren på alla säkerhetsfrågor som “Vad är din mammas flicknamn?”. Så om jag vill hacka dig kan jag göra lite research och ta reda på vem din mamma är, vad hennes flicknamn är och var hon föddes. Allt finns online. Vi delar så mycket att det nästan är svårt att hitta saker som folk inte vill dela med sig av om du använder ett av de mer kraftfulla intelligensverktygen med öppen källkod.

Jag startade ett initiativ som heter Digital Hygiene för ett tag sedan. Jag ville berätta för människor att de borde behandla sin online-identitet och beteende som sin fysiska identitet. Men de flesta bor i dessa stora smutsiga hem på nätet. Deras fysiska hus må vara skinande rent, men de använder inte samma renlighet online. Du borstar tänderna varje dag för att du inte vill att tänderna ska ramla ut. Du har gjort det till en vana, och du gör det varje dag. Människor har inte samma rutiner för att uppdatera eller minimera saker som de delar online. Att dela för mycket är precis som att kasta din mat på backen och lämna den där tills den börjar ruttna. Jag hoppas att den nya generationen kommer att lära sina barn att träna på den digitala hygienen.

Det sista jag vill nämna är människor som delar kopior av sin identitet, vilket är svårare att förhindra. Detta händer om du bor på ett hotell och de ber dig om en kopia av ditt pass. Problemet är att du inte ska behöva ge hela passkopian (de flesta vet det inte). Du behöver bara uppge dokumentnumret – det är det enda som krävs enligt lag. Men eftersom vi inte vill krångla till det eller bråka med en hotelltjänsteman klockan 21.00 låter vi dem gå iväg och göra en kopia av vårt pass, som nu är scannat och finns på någon CD-skiva som vi inte har kontroll över. Den skivan kan bli stulen, eller så kan expediten kopiera den till ett USB-minne och sälja den på den mörka webben. Vi undviker att stå upp för våra rättigheter.

Samma sak gäller med cookies, ditt körkort och ditt kreditkort. Vi vill inte ha krångel. Vi försöker undvika olägenheter. För att förhindra detta använder jag färdiga kopior av mitt pass med en skriftlig kommentar för syftet och datumen. Så när jag är på hotellet, och de säger att de behöver en kopia av mitt pass, drar jag fram en kopia ur min ryggsäck och visar för dem, men jag ger aldrig ut mitt pass. Istället får de en modifierad kopia av passet, som har stora röda och genomskinliga bokstäver över hela kopian där det står “Hotel XYZ” eller något liknande. Så om den någonsin blir stulen kommer alla att veta var den är stulen från. Människor bör också förstå att identitet är den primära källan till allt deras värde online. Om jag har din identitet kan jag gå till din bank eller kryptobörs eller vad som helst, och om jag kan övertyga dem om att jag är du kommer de att ge mig alla inloggningsuppgifter.

Det är ett riktigt bra tips, även jag lämnar ut mitt pass utan att tänka på de potentiella konsekvenserna när jag checkar in på ett hotell.

Enligt europeisk lag får de inte gå iväg med ditt pass och göra en kopia. Om du tillåter dem att göra detta bör du kontrollera att de trycker på återställningsknappen på kopieringsminnet. De bör också tillåta dig att skriva en textsignatur över kopian. Enligt europeisk lag behöver de bara kontrollera dokumentnumret på ditt körkort eller pass. De flesta hotelltjänstemän vet inte detta, därmed kan det hända att du måste diskutera lite med dem. Det är därför jag har ett par utskrifter med den europeiska lagen, med de specifika avsnitten så att jag kan förklara det för dem.

Vissa hotell kan vara irriterande och säga: “Du får inte bo här”. Beroende på dina energinivåer kan du argumentera ytterligare och säga: “Då går vi och hämtar polisen”, och det är något som är kul kan jag lova. Så om du är sugen på ett spektakel kan du gå den vägen. Jag är alltid med i spelet, men de flesta är det inte. Det är därför dessa lagar är svåra att genomföra. Ingen regering säger uttryckligen till dig: “Ok, om du åker på semester, gör det här, känn till dina rättigheter”. Det finns inget sådant.

Endast polis, militär och banker får se dina fullständiga pass eller identitetsuppgifter enligt europeisk lag. Alla andra får bara se ditt dokumentnummer.

Troy Hunt uttryckte också denna idé i en intervju. Han gav exemplet med att köpa alkohol – du behöver inte uppge din fullständiga identitet. Allt de behöver är ett födelsedatum för att veta att du är vuxen.

Många cigarettautomater, åtminstone i Tyskland, använder ditt betalkort för att verifiera din ålder. Den kontrollerar din ålder med banken. De behöver inte ens kontrollera din identitet eller något liknande. Så Troy har en poäng med det. De behöver inte veta vem du är – de behöver bara veta att du lagligen har rätt att göra detta.

Detta är den typen av datainsamling som vi ser väldigt ofta. Till en början vet inte utvecklare vad de behöver samla in, inte heller produktägarna eller deras överordnade. Så de samlar på allt. Vi hade det här fina fallet med det holländska postkontoret, som samlade in allt om alla. De fick till slut rejäla böter för att de hade blivit en guldgruva för datainsamling. De behövde bara veta från vem paketet kom och vart och till vem det behövde skickas.

När vi använder en online-tjänst eller webbplats behöver vi vanligtvis lämna ut mycket information. Om du till exempel vill registrera dig hos en webbutik måste du uppge ditt fullständiga namn, födelsedatum och adress. Hur kan vi undvika att göra det? Ska vi fejka våra autentiseringsuppgifter? Finns det några andra sätt för en användare att kringgå dessa krav?

Vissa användare förfalskar sina uppgifter. Men det är inte rätt sätt att göra det på. Vi borde fixa systemet, inte bara försöka hitta kryphål. Det har varit många diskussioner om ett decentraliserat ID-kort och ett europeiskt ID-kort. Jag är skeptisk till genomförandet av det. Idén är trevlig och liknar fullständig autentisering. Sajten kollar bara med det europeiska centrala ID-kortet och får bara den information de får ha, och de måste ange syftet. Men det finns ett kryphål i GDPR som säger att man kan samla in data om människor om man har ett berättigat skäl. Och detta berättigade skäl beskrivs bara med två meningar.

Problemet med att fejka din identitet är att det inte kommer att vara du. Men på vissa webbplatser spelar det ingen roll. På exempelvis Twitter har jag ingen aning om varför de skulle behöva min identitet förutom att permanent blockera mig eller för brottsbekämpande syften. Allt annat saknar betydelse eftersom de flesta människor inte är sina fullständiga jag när de är på sociala medier. De är bara en aspekt av deras personlighet. Så de behöver bara data för denna verifieringsdel. De behöver bara veta om det fortfarande är samma person som länkar till det här kontot. Jag tror inte att fejkade konton är en bra idé, men det är okej för tilfället. Men det är bättre att prata med dina politiker, skicka mejl till dem och säga att du vill att det här ska vara annorlunda.

Vad tycker du om lösenordslösa inloggningssystem som biometrisk identifiering? Tror du att de kommer att förbättra vår säkerhet eller skapa ytterligare hot?

De kommer att förbättra säkerheten ett tag eftersom lösenord har mjölkats så mycket och för att de överlåter valet till användarna.

Alla dessa metoder – det spelar ingen roll om det är biometri eller ett tidsbestämt engångslösenord – bygger på att jag och den andra parten delar en hemlighet, och jag bevisar för den andra parten att vi har samma hemlighet. Det är i princip hur all autentisering fungerar.

Lösenord fungerar på samma sätt – jag känner till mitt lösenord, och den andra parten känner till hemligheten, vilket är samma lösenord. Jag skickar det via internet och kan bevisa att jag kan det här lösenordet. Lösenordslösa och biometriska system är bara olika sätt att lagra en hemlighet. Problemet med biometri är att det alltid är kopplat till dig som fysisk person, inte din identitet online. Så jag gillar inte riktigt biometri eftersom det inte ger dig friheten att skapa en onlinebaserad identitet. Du kan bara vara ditt verkliga fysiska jag online.

Säkerhetsdelen är densamma eftersom det är samma kryptografi oavsett om du matar in din hemlighet via biometri eller din IR-skanner. Den enda vinsten med att avskaffa lösenord är att vi har tagit bort möjligheten för användare att göra dumma val.

Finns det några andra sätt förutom biometri som kan ersätta lösenord?

Det gör det svårare för brottslingar att få tillgång till dessa autentiseringsuppgifter om man har privata nycklar eller, som jag, har ett litet kort som går in i en enhet som hanterar många identiteter. Förutom lösenord finns det många saker, men de flesta av dessa saker, utom biometri, är beroende av att du behöver något fysiskt att ha med dig. Om du tappar bort detta har du problem. Om jag kan få tillgång till det kan jag vara du. Detta är faran med att inte ha verifieringsmetoder som bygger på att du kommer ihåg något unikt. Det är därför jag skulle gnälla över lösenordets död.

Jag hittade en artikel om din arbetslivserfarenhet i Afrika på 90-talet. Jag undrar, fanns det några åtgärder för cybersäkerhet då? Och i så fall, hur skilde de sig från de som användes i väst?

Det fanns inga åtgärder för cybersäkerhet. Jag hjälpte till att skapa det hela. Jag skickades dit med en router och en drös med pengar för att köpa en parabol. Jag var tvungen att göra en internetanslutning via satellit. Endast rika handelsföretag som fortfarande tog emot ordrar via fax hade råd med det. Internationella telefonsamtal var kostsamma, ungefär 10 dollar per minut. Att faxa en beställning kunde lätt kosta 20 dollar. Eftersom de hade många beställningar utomlands blev priset högt. Därför ville de ha internet.

Det fanns nästan ingen cybersäkerhet, bara internet. Ett lösenord till din server var det bästa du hade. Folk var fortfarande tvungna att hitta sårbarheter genom att läsa källkoden och sedan räkna ut hur de skulle utnyttja dem. Det var inte i närheten av den bransch den är nu. Men folk var bara upptagna med att bygga saker.

Jag drev även ett par internetleverantörer. En av dem var en av de största internetleverantörerna i Nederländerna. Vi såg att kulturen förändrades i takt med att det kom fler användare. I början av 90-talet var det bara vetenskapsmän.

Jag startade mitt första företag. Jag grundade ett av de första webbhotellen i Europa, bara ett par månader efter att Tim Berners-Lee släppte World Wide Web, som var HTML 0.9 vid det tillfället. På den tiden var det framför allt människor som ville dela med sig av kunskap. På archive.org kan du se att det tidiga internet handlade om att dela kunskap och “hur man gör”-saker. Senare fick vi fler och fler kunder. Och kulturen förändrades från Usenet-grupperna till framväxande piratkopiering och andra saker. Och sedan började cybersäkerheten slå igenom så småningom.

Det finns en riktigt bra bok jag kan rekommendera. Den heter “The Cuckoo’s Egg”. Den är skriven av Clifford Stoll och beskriver de första verkliga hackarna och KGB:s första cyberkrigföring. Det som är bra med den boken är att det är ett [historiskt] dokument, och du kommer att se att cybersäkerhet på den tiden var något som folk hittade på längs vägen. Den existerade inte som en disciplin eller koncept.

Om du gillar den kan du även läsa en annan bok av Chaos Computer Club. Den beskriver samma händelser men ur deras synvinkel.