Teip over webkamera… Et glimrende sikkerhetsråd eller medienes clickbait?

Fra tid til annen nærmest “eksploderer” et eller annet sikkerhetsråd i mediene.

De siste dagene har det å dekke til sitt webkamera med teip igjen blusset opp. Bl.a. i denne saken fra P4:

(Skjermdump fra P4.no)

Ingenting er mer gledelig enn når medier skriver om datasikkerhet – det er svært viktig at flest mulig både blir engasjer i dette, og får kunnskap om dette.

Det er derimot flere problemer med mediedekningen, som denne saken illustrerer godt:

• Medier skriver kun om de alle enkleste problemene og tilhørende løsningene. Dette er i utgangspunktet bra, for det er ikke alle leserne er like IT-kyndige. Det som ikke er bra er at de ikke gir noe som helst inntrykk av at det finnes “noe mer”. Leserne får i stedet oppfattelsen av at dersom de følger medienes råd er de sikret.
• Medier blåser opp saker og råd de faktisk beskriver til å være noe langt større og viktigere enn det de er.
• Medier skriver om disse sakene fordi de vet det skaper trafikk og annonseinntekter.
• Mediene har liten kunnskap om hva de beskriver, selv om de gir inntrykk av noe annet.

Så la oss se litt nærmere på saken om å dekke til webkameraet. Først bør vi spørre oss – er slik spionasje faktisk noe som kan skje?

Ja, det er absolutt et faktisk problem. Det er fult tenkelig at du kan få skadevare (virus) som åpner opp strømming av bilder fra webkamera til bakmenn. Faktisk kan det i enkelte tilfeller være nok å besøke en nettside for at overføringen skal starte. Og ja, rådet mediene gir om å dekke til kameraet med teip er et svært enkelt og “sikkert” råd for å hindre bildeoverføringen.

Det mediene ikke beskriver er  hvor sannsynlig er det at noen skal være interessert i å få bilder fra de tusen hjem. Hvorfor skal noen være interessert i bilder av akkurat deg? En ting er om en jente/gutt sitter lettkledd foran maskinen (som jo ofte kan skje). Disse bildene kan benyttes til både egen og andres “forlystelse” og utpressing, eller også for å monitorere når man er til stede. Sitter du lettkledd foran maskinen eller har et usedvanlig vakkert utseende som gjør at det er stor sannsynlighet for at bilder deles bør du helt klart sette på en teip! Men hva med alle de andre tusenvis av “ikke så spennende” personene? Hvorfor skal noen “hackere” være interessert i å titte på en middelaldrende person i en gjennomsnittlig norsk stue som drikker en kaffekopp mens han/hun leser vg.no? Det er de nok ikke….

Utfordringen med video-strømmer er jo at de stort sett må bli manuelt filtrert for å finne den ene interessante strømmen i alle de totalt uinteressante…Og det gidder ikke svindlerne. Tenk også på de enorme datamengdene som ville måtte blitt overført til mottakeren som skulle bedrive filtreringen fra alle de som var “hacket”. Med flere hundre slike “livestrømmer” gående er det mer enn de fleste har av båndbredde…Og hva med lyden fra mikrofonen…Den burde jo i så fall også være like lurt å dekke til…

Klarer de derimot å plante denne typen overvåking på kjente personers maskiner eller på sensitive bedrifters nett, så er det helt klart en gevinst. Derfor dekker f.eks. Mark Zuckerberg og FBI-sjefen til sine webkameraer. Men å tro at vi som privatpersoner er like interessante mål er mildt sagt optimistisk. Selvsagt skader det ikke å dekke til kameraet med en teipbit, men det hjelper nok heller ikke stort mot det nyhetsbyråene beskriver som “hackere”.  Husk imidlertid på at vi kan være interessante mål for våre nære og kjente, så det kan være aktuelt at noen vi kjenner overvåker oss på denne måten… Det nevner imidlertid ikke mediene som kun snakker om “hackere”, da dette gjør saken langt mer spennende.

La meg i stedet fortelle noe annet. Med eksakt samme teknikk som benyttes for å “overvåke” webkameraet, kan svindlerne overvåke alle dine tastetrykk uten at du vet det. En enkelt skadevare (virus) kan altså fange opp alt du skriver og sende til bakmennene. Dette er langt mer interessant. For det første vil tastetrykkene inneholde brukernavn, passord, kredittkortnummer osv. Og for det andre kan tastetrykk automatisk prosesseres ved å lete etter mønstre, slik at man kan overvåke millioner av brukere og automatisk få samlet sammen alle passord eller kredittkortinformasjon som disse brukerne skriver på tastaturene sine. De kan også endre innstillinger på maskinen eller hente ut alle filer og dokumenter gjennom slik skadevare.

Men dette skriver aldri mediene om… Hvorfor ikke? I all hovedsak fordi det er litt mer teknisk å forklare, og fordi det ikke finnes noen like enkle råd som en teipbit som er raske for journalisten å snekre sammen. Å hindre overvåking av tastetrykk krever en opplæring hos brukeren som hindrer brukeren i å få skadevare (og nei, antivirus er ikke alltid nok….)… Dette ville kreve langt mer forståelse hos journalisten, og en lengre (og kjedeligere) sak. Slike artikler vil færre dele videre (fordi de ikke forstod de selv), og det er dermed mindre lønnsomt å skrive om de. Her tenker ikke mediene et dugg på sitt “selverklærte” oppdrag om opplysning, selv om overvåking av tastatur og filer er den reelle trusselen for folk flest. Faktisk ville mange lesere vært svært takknemlig om informasjon om såkalte keyloggers, og mange ville vært i stand til å både oppdage og fjerne de… Men de får aldri vite fordi de ikke er mange nok…

Dette gjelder i grunn all mediedekning av datasikkerhet. Kun de sakene som kan skape stort engasjement fordi de er enkle nok omtales….Uavhengig av om de er et faktisk problem eller ikke…Mediene er lite interessert i at folk skal lære noe om datasikkerhet. De er interessert i å få lesere… Og leserne deler gladelig alt som mediene kommer opp med av slike “clickbait”-lignende saker.

Dette innlegget er selvsagt satt litt på spissen, men det er viktig å være klar over at ikke mediene dekker temaet datasikkerhet på en veldig balansert og nøyaktig måte, slik man forventer at medier gjør.

Og til de som lurte… Vi skal snart komme med en sak om keyloggers på bloggen, og gjør det som egentlig burde vært medienes jobb…Nemlig å informere om de viktigste farene.:-)