Informasjonssamfunnets aktivister

05 oppdaget to sjokkerte franske dataingeniører at sensitiv informasjon på det landsdekkende elektroniske sykeforsikringskortet Vitale ikke var beskyttet. Ikke bare kunne man lese informasjonen som var lagret på kortet, man kunne også endre den. Av uklare grunner var ikke sikkerhetsmekanismen aktivert. Affæren kunne fint ha blitt en skandale, men den førte bare til et par presseoppslag og ble raskt glemt etter at de som hadde ansvaret for kortet hadde innrømmet problemet og erklært at det ville blitt fikset.

Noen måneder seinere bemerket en av de to dataingeniørene at ingenting var blitt gjort. Ingen journalist, ingen fagforening, ingen pasientorganisasjon viste noen bekymring. Verken den franske Nasjonalkommisjonen for informatikk og borgerfriheter (CNIL) som skal verne om privatlivet, eller Sentralledelsen for informasjonssystemenes sikkerhet (DCSSI), den franske reguleringsinstansen for datasikkerhet, grep tak i problemet.

Følsomheten overfor spørsmål om privatliv, informatikk og borgerfriheter, er tydeligvis større i andre land. I januar i år avslørte amerikanske forsker med tilknytning til tyske hackere, et sikkerhetshull i ett av verdens mest solgte kontaktløse betalingskort, Mifare Classic-systemet, som selskapet NPX har solgt mer enn to milliarder av eksemplarer. Det brukes blant annet i kortene for offentlig transport i London, i betalingskort i Hongkong og Nederland, og i adgangskortene til enkelte regjeringsbygg. Midt i alt oppstyret publiserte noen nederlandske universitetsansatte en metode for å klone denne typen kort. NXP har forsøkt å forby denne publikasjonen, men det nederlandske rettsvesenet skar gjennom: «De potensielle skadene NXP kan bli påført, skyldes ikke utgivelsen av denne artikkelen, men produksjon og salg av defekte mikrochiper.»

DENNE BESLUTNINGEN fra rettsvesenet, i likhet med denne internasjonale mediedekningen saken fikk, vitner nokså tydelig om den politiske innflytelsen hackerne har fått i disse landene. Termen «hacker» (eller «datasnok») har blitt en æresbetengelse ved det berømte Massachussets Institute of Technology (MIT). Til å begynne med ble disse «fikserne» som på briljant og oppfinnsomt vis imponerte sitt eget miljø gjennom å gjøre noe som verken var forutsigbart eller tillatt. På 70-tallet var informatikken sentralisert og databruken var svært begrenset. De som klarte å omgå sikkerhetsmekanismene for eksempelvis å reparere skriveren, korrigere en «bug» i programvaren eller forbedre den ved å gi den nye funksjoner, uten å ty til erfarne teknikere, kunne gjøre krav på hacker-tittelen, som ga dem en viss prestisje.

I dag er det disse som oppsporer og reparerer sikkerhetshullene og beskytter datasystemene mot «pirater». Hackerne har blitt profesjonaliserte, de har opprettet egne bedrifter, samtidig som de i stor grad har bevart den anarkistiske undergrunnsinnstillingen fra 70-tallet. Og kompetansen deres er svært ettertraktet: De amerikanske etterretningstjenestene nøler ikke med å møte opp på datatreffene deres (de såkalte hackmeetings, mer eller mindre løsslupne fester) i rekrutteringsøyemed. Og det hender også at visse blir hentet til høringer i den amerikanske kongressen. For etter hvert som internett er blitt en stor industri, er datasikkerhet blitt en nødvendighet.

I Tyskland har hacker-kulturen blitt enda mer politisert takket være Chaos Computer Club (CCC), som ble opprettet på 80-tallet, og i dag har mer enn 4000 medlemmer. Disse griper regelmessig inn i den offentlige debatten for å fordømme angrep på privatlivet eller påvise problemer med visse datasystemer, slik de gjorde denne sommeren da de påpekte at det nye sykeforsikringskortet ikke var tilstrekkelig sikret. Et tegn på deres geopolitiske tyngde: Da Internet Corporation for Assigned Names and Numbers (ICANN), den internasjonale organisasjonen som regulerer internett, lot internettbrukerne velge sine egne representanter i 2000, valgte europeerne CCCs kandidat, Andy Müller-Maguhn (28).

I USA, Tyskland, Østerrike og Nederland vet man å skille mellom hackere, som «fikser» fordi de liker det og setter pris handlingens skjønnhet, eller fordi de ser på programmering som en kunstart, og «datapirater» som bruker kunnskapen sin til å begå klanderverdige handlinger. Hackerne står dessuten bak en god del innovasjoner som har gjort det mulig å videreutvikle informatikken og internett: Steve Wozniak og Steve Jovs ble kjent med hverandre som hackere før de opprettet selskapet Apple; og suksessen til fri programvare, som blir stadig mer utbredt, lar seg delvis forklare av denne datakulturen der informatikere hele tiden forsøker å flytte fagdisiplinens grenser.

OM ALLE PIRATENE er hackere, er ikke alle hackere pirater. Denne sammenblandingen fikk likevel fotfeste i Frankrike på 90-tallet, noe som gjør at ingen profesjonell informatikere offisielt våger å bruke tittelen. En grunn til dette er at den ledende franske hackerklubben, Chaos Computer Club de France (CCCF), som hadde sin mediemessige storhetstid på begynnelsen av 90-tallet, faktisk i all hemmelighet var blitt dannet av den franske overvåkningstjenesten (DST, Direktorat for Overvåking av Territoriet) for å identifisere hackere som kunne være en trussel mot landet eller/og tjene det.

DST mistenkes for å ha overvåket, og til og med benyttet seg av, en rekke tenåringer og unge voksne, som sant nok til tider flørtet med lovens grenser. «Tjenestene» var så godt innplantet i den franske hackerkulturen at det viktigste treffet for datasikkerhet (som ikke sto tilbake kvalitativt og kvantitativt for datatreffene i andre land) ble arrangert i samarbeid med hæren. Dette treffet ble i lang tid arrangert på kasernen til militærskolen ESAT (Ecole supérieure et d'application des transmission), som utdanner militære eksperter innen telekommunikasjon, elektronisk krigføring og informatikk.

Denne franske sammenblandingen av en grunnleggende anarkistisk ånd med en sikkerhetsmessig og militær tenkning har på ingen måte vært problemfri. Fordi etter hvert som kontroll- og overvåkningsteknologier utvikler seg, vier enkelte hackere seg til å bevise hvor ubrukelige disse kontrollsystemene er for å forsvare borgerfrihetene. I det siste nummeret av tidsskriftet deres, har det tyske CCC trykket det digitale fingeravtrykket til den tyske innenriksministeren, for slik å vise at teknologien med biometrisk identifisering ikke er så sikker som forkjemperne påstår. Flere forskere har faktisk bevist at man kan stjele identiteten til hvem som helst ved å kopiere fingeravtrykk modelleringsleire eller andre formbare materialer.

I samme tankegang har hackerne fra CCC fikset et engangsfotoapparat slik at blitzen kan brukes til å «grille» de kontaktløse RFID-chipene¹ vi stadig oftere finner i våre klær, og i såkalte «sikre» elektroniske id-kort. Andre har bevist at disse chipene, som kan leses på avstand, gjør det mulig for selskaper å skaffe seg informasjon om konkurrentenes lagerbeholdninger, eller for ranere å identifisere innholdet i lastebiler og slik at de dermed kan velge hvilken det lønner seg å rane. Andre har fikset andre bærbare ting og gjort det mulig å snappe opp bildene til de trådløse overvåkingskameraene som blir stadig vanligere i butikker, lagre og leiligheter.

Det sirkulerer også bruksanvisninger for hvordan man kan lage kulepenner eller skyggeluer som anvender laser for å blende overvåkningskameraer. Hackernes hensikt er ikke å oppfordre til landeveisrøveri eller identitetstyveri, men simpelthen å advare om at de ny sikkerhetsteknologi som man setter så stor lit til, ikke virker og/eller at de åpner for uforutsigbare (men der noen allerede har blitt gjennomført) angrep på privatlivet og individets friheter.

La oss også i forbifarten og nevne GPS²- og pacemaker-hackene, eller innretninger som gjør det mulig å spionere på dataene som finnes i biometriske pass eller stemmemaskiner. Flesteparten av disse apparatene eksisterer bare i form av prototyper og er kun ment for å vise mulighetene. Men noen av dem har fått en fenomenal suksess hos det store publikummet, for eksempel programvaren som «låser opp» Apples iPhone slik at du kan bruke hvilken som helst teleoperatør. Man mener at ble 25 prosent av iPhonene som ble solgt i USA i 2007 ble «låst opp».

HACKINGEN KAN OGSÅ legge grunnlag for næringsvirksomhet. Eksempelvis er TV-B-Gone, en liten universalfjernkontroll på størrelse med en nøkkelring som kun har én knapp: off. Den heldige innehaveren kan dermed i skjul skru av alle tv-apparatene i nærheten. Opphavsmannen som lagde opprinnelige en prototyp bare for å spøke med vennene sine, men besluttet å legge den ut for salg. Og nå selges den over hele verden.

I kinesiske nettbutikker kan man finne hackede mobiltelefoner som koster mindre enn 50 dollar, inkludert porto. Foebud, et tysk kollektiv for vern om digitale borgerrettigheter, selger skilt som lyser opp i nærheten av RFID-lesere, så vel som lommebøker som beskytter RFID-chipene fra uønsket lesning. De rutinerte finner bruksanvisninger for alle disse dingsene på nettsteder, ofte amerikanske, som fremmer denne typen kreativ – eller rekreativ bruk – av ny teknologi.

I tillegg til den økende suksessen til de forskjellige magasinene og forumene for denne nye typen mekking, ser man også klubber oppstå som tilbyr medlemmene verktøy eller teknologi som de hver for seg ikke har mulighet til å skaffe seg. Ni «TechShops» har blitt opprettet i USA for å gjøre tilgjengelig for alle maskiner som vanligvis kun industrien og forskere har tilgang på. Andre arbeider prosjekter med 3D-skrivere som på sikt vil gjøre det mulig å produsere objekter hjemme som man for øyeblikket bare finner i butikken. En ny industriell revolusjon er under oppseiling. Den økonomiske og politiske innvirkningen vil avhenge av evnen brukerne har til å tilegne seg og å lære å beherske alle disse teknologiene, i stedet for å nøye seg med å kjøpe dem – og underkaste seg dem.

Oversatt av R.N.

Fotnoter:
1 Fra engelsk Radio Frequency IDentification. Denne teknologien gjør det mulig å identifisere et objekt, følge dets bevegelser og gjenkjenne karakteristikker på avstand ved hjelp av et merke som sender ut radiobølger. Chipen kan feste til objektet eller bygges inn i det.

2 Global Positioning System, satellittlokalisering. (…)