Gagnastuldurinn mikli – ertu næstur?

Gagnastuldurinn hjá lögfræðiskrifstofunni Mossack Fonseca hefur ekki farið fram hjá neinum og eðlilega hefur verið gríðarleg umræða um efni gagnanna, en minna hefur farið fyrir því að ræða hvernig gögnin fengust. Í flestum innlendum fjölmiðlum hefur þetta verið kallaður gagnaleki – þótt það geti varla talist leki – ekki frekar en ef þú er rændur með valdi að það sé hægt að kalla það lán. Þetta var að öllum líkindum innbrot – þar sem gögnum var stolið og eingöngu ákveðnir aðilar þar með talinn skattrannsóknarstjóri (gegn greiðslu) hafa þessi gögn eða hluta þeirra til úrvinnslu.

Magnið sem var stolið var gríðarlegt, 2.7 TB, sem gerir þetta með stærstu gagna innbrotum í sögunni. Samtals innihéldu þessi gögn um 11,5 milljón skjöl. Óháð magninu þá er þetta án efa áhrifamesta gagnainnbrot í sögunni. Svona til samanburðar þá var leki Ashley Madison 30 GB.

Við fyrstu sýn virtist augljóst að það hlyti að hafa verið innanbúðarmaður sem hafi stolið þessum gögnum. Að stela slíku magni af gögnum ætti að vera nánast óhugsandi í gegnum netið án þess að upp komist nema þá á löngum tíma – dagar eða vikur. Hins vegar eftir athuganir sérfræðinga virðist vera mjög líklegt að um innbrot hafi verið að ræða. Þetta fyrirtæki sem átti allt sitt (og skjólstæðinga sinna) undir því að gögn fyrirtækisins kæmu ekki fyrir sjónir almennings virðist hafa sýnt fullkomið kæruleysi og í raun algjöra heimsku þegar kom að uppsetningu og viðhaldi á vefkerfum sínum.

Sérfræðingar hafa fundið tugi eða hundruða leiða eða kenninga um hvernig var hægt að ná þessum gögnum. Allt frá því að þeir voru með vefsíðuna sína hýsta á sama vefþjón og tölvupóstinn, þeir voru ekki með eðlilega eldveggi uppsetta, þeir notuðust við úrelta útgáfur af viðbætum við vefkerfið sitt – sem fyrir nokkrum árum var sagt frá að væri stórhættuleg. Þar fyrir utan virðast þeir hafa verið með úrelta útgáfu á póstþjónum og ekki dulkóðað samskiptin. Sú kenning sem hefur fengið mesta athygli er skyggnukerfið (slider – sjá t.d.hér), kerfið virðist nógu saklaust. Kerfi sem rennir texta og myndum, en eldri útgáfur eru beinlínis stórhættulegar og mjög auðvelt að misnota. Auðvelt er að finna íslenska vefi með eldri útgáfu af þessari viðbót. Með öðrum orðum þurfti sá sem braust þarna inni ekki að hafa mjög mikla þekkingu, hann hefði getað rambað á einhverja af þessum leiðum og um leið ásamt því að kunna að leita sér upplýsinga á netinu. Hann þurfti því að hafa álíka þekkingu og góður símavinur í Útsvarinu.

Óháð því hvort menn fagna því að þessar upplýsingar hafi komið fram og þeim afleiðingum sem þetta hefur, þá er þetta jafnframt áminning fyrir þá aðila sem varðveita mikilvægar upplýsingar. Það er ekki hægt að sýna af sér vítavert gáleysi þegar kemur að því hvernig vefkerfi eru sett upp og hvernig þeim er viðhaldið. Það er enginn óhultur fyrir mögulegum innbrotum hvort sem um er að ræða innlendan eða erlendan aðila. Innbrot hjá Vodafone fyrir tveimur árum er gott dæmi um slíkt. Án þess að hafa gert sérstaka könnun á því, þá er augljóst að þetta er ekki í lagi hjá fjölda íslenskra fyrirtækja. Hvernig er haldið á mikilvægum gögnum sem tengjast þér?

Tómas Hafliðason skrifar (Sjá alla)

Tómas Hafliðason skrifar

Höfundur hefur skrifað á Deigluna frá árinu 2002. Höfundur er verkfræðingur frá Háskóla Íslands og rekur eigið fyrirtæki.