Hvem har skylda for Wannacry?

https://cdn.securelist.com/files/2017/05/wannacry_05.png

Den 12. mai 2017 startet det som til nå er det alvorligste cyber-angrepet verden noensinne har opplevd. Et såkalt løsepengevirus kjent som Wannacry (WannaCrypt, WanaCrypt0r 2.0) spredte seg i løpet av dagen til mer enn 230 000 datamaskiner over hele verden. Når en datamaskin blir angrepet av Wannacry blir harddisken kryptert, og for at brukeren skal få tilgang til datafilene igjen må det betales løsepenger. Noe av det mest oppsiktsvekkende og skremmende ved denne hendelsen er at den amerikanske etteretningsorganisasjonen NSA må ta en god del av ansvaret.

Etteretningsorganisasjoner over hele verden har stor fokus på masseovervåkning av sitt eget lands innbyggere, uansett om de er kriminelle eller helt vanlige lovlydige borgere. Sånn er det også i Norge, hvor et såkalt Digitalt grenseforsvar (DGF) er foreslått innført. Amerikanske etteretningsorganisasjoner har drevet med omfattende masseovervåkning av både egne og andre lands borgere i lang tid, slik det blant annet har blitt avslørt av Edward Snowden.

Dataprogrammer er aldri feilfrie, og når noen finner feil er det vanlig praksis å gjøre produsenten oppmerksom på dette. Dersom det er en alvorlig sikkerhetsfeil, er det såklart ekstra viktig å melde ifra. Når kriminelle blir kjent med slike feil, vil de utnytte dette til kriminelle handlinger rettet mot deg og meg. Feil i dataprogrammer som produsenten ikke har blitt kjent med, og som utnyttes av kriminelle, kalles gjerne for zero-day-svakheter.

I sin iver etter å finne måter å overvåke oss på, har de amerikanske etteretningsorganisasjonene blant annet funnet feil og svakheter i dataprogrammer som du og jeg bruker hver dag. Dessverre har det vist seg at de slett ikke melder fra om disse feilene, men heller velger å hemmeligholde disse for å utnytte dem til overvåkning. Denne praksisen ble blant annet avslørt av Wikileaks i mars 2017.

Nå viser det seg dessverre altså at svakheten som Wannacry utnytter har vært godt kjent av NSA i lang tid. Den offentlige organisasjonen som skal sørge for at amerikanske borgere er trygge, har altså bevisst utsatt dem for fare ved å unnlate å melde fra om svakheter i programvare. Motivasjonen for å ikke melde fra, har vært å overvåke de borgerne de er satt til å beskytte.

Microsoft har også gått ut og kritisert denne praksisen ganske kraftig. I en offisiell blogg-post fra selskapet sier de at:

«The governments of the world should treat this attack as a wake-up call. They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits.»

Det er på tide at alle lands etteretningsorganisasjoner (inkludert de norske) vender fokuset vekk fra overvåkning av lovlydige mennesker, og heller har fokus på hvordan de kan gjøre hverdagen tryggere for de borgerne de er satt til å beskytte.