Tíminn - 04.09.1983, Blaðsíða 12
12 Uimm SUNNUDAGUR 4. SEPTEMBER 1983 SUNNUDAGUR 4. SEPTEMBER 1983 13
■ „SAN FRANCISCO: Þegar tölva þeirra fór
að nota sóðalegt orðbragð vissi starfslið U.S.
Leasing International að það hafði vandamál á
höndum sér.
Tölvan, sem yfirleitt hegðaði sér skikkan-
lega, sagði þetta við einn starfsmanninn:
„Skuggi, kerfisbrjóturinn, lætur til skarar
skríða á ný... brátt mun ég þurrka út diskett-
urnar og varaöryggið á Kerfi A. Ég hef þegar
brotið niður Kerfi B. Skemmtið ykkur við að
byggja það upp á ný... (sóðalegt orðbragð).
Nokkrar aðrar óprenthæfar tillögur fylgdu um
hvað starfsmaðurinn mætti gera við önnur
tölvutæki.
Sakborningurinn í þessu máli reyndist vera
gáfaður 20 ára strákur sem hafði átt við
tölvuna, leynilega í gegnum síma, frá Los
Angeles til að sýna hæfileika sína á þessu
sviði.“
Þannig hcfst grcin í Wall Street Journ-
al í apríl s.l. um tölvumisferli en með
síaukinni notkun tölva hefur misferli á
þessu sviði aukist hröðum skrefum og er
nú orðið stórt vandamál víða um heim.
Greinin í Wall Street Journal ber
yfirskriftina; „Til góðseða ills tölvuhark-
arar (Computer Hackers) geta brotið
niður alla lykla" og í þessu liggur
aðalvandinn, ekkert kerfi er öruggt auk
þess þarftu aðeins tölvu með skjá sem
hægt er að tengja við síma og svokallað
Modem en það er tæki sem breytir
tölvuboðum í símboð og öfugt. Tölvuna
geturðu keypt á almennum markaði ytra
auk modemsins og raunar er, að sögn
kunnugra hérlendis, tækjakosturinn
minnsta málið í þessu sambandi. Það
sem þú þarft er góð kunnátta á tölvuna
og stýrikerfi hennar (og helst þekkingu
á þeim kerfum sem þú ætlar að brjótast
inn í en það er samt ekkert aðalatriði ef
hin tvö eru í góðu lagi).
Til að gefa betur hugmynd um stað-
hæfinguna „ekkert kerfi er öruggt" má
nefna tilraun sem Bandaríski flugherinn
stóð að og getið er um í nýlegu hefti
Computers tímaritsins. Tilraunin var
framkvæmd af tveimur mönnum, upp-
lýsingakerfasérfræðingnum, Steven B.
Lipner og tölvuöryggissérfræðingnum
Roger Schell höfuðsmanni. Það tók þá
aðeins tvo tíma að búa til prógramm sem
„braust inn í“ það sem talið er vera
, öruggasta tölvukerfi í hcimi.
í þessari grein er ætlunin að fjalla um
tölvumisferli/glæpi sem algengastir eru
erlendis og í framhaldi af því fjalla
aðeins um þessi mál hérlendis en að sögn
kunnugra sitjum við íslendingar nokkuð
við sama borð og aðrir hvað þennan
málaflokk varðar.
„Köku-skrímslið“
Léttari hliðin á tölvuglæpum eru þeir
„tölvugrínistar" sem nota álíka brögð og
„Köku-skrímslið" („Cookie-Monster"
prógrammið) en það telst nú vera klass-
ískt á þessu sviði.
San Francjsco útgáfan af því er eitt-
hvað á þessa leið; Með stuttu millibili
var verk tölvusamstarfsmannsins truflað
með því að orðið „Cookie" blossaði upp
á skerminn. Tölvan varð svo brátt brjál-
aðri og heilu línurnar af þessu orði komu
í röðum á skcrminn og enduðu með því
að tölvan sló út „Gimmie Cookie"
(gefðu mér köku). Ef notandinn reyndi
að stöðva prógrammið sagði tölvan:
„Ekki gera þetta. Skrímslinu (The
Monster) líkar það ekki.“ Eina leiðin til
að stöðva „Skrímslið" var að gefa því
„Köku“, þ.e. slá inn orðin „Cookie".
Eitt afbrigðið af þessu prógrammi var
sett inn í tölvusamstæðu MIT skólans og
þá var orðið Nixon notað í stað kökunn-
ar.
í Wall Street Journal greininni segir:
„Mörgum „hörkurum" finnst ekkert
skemmtilegra en að smjúga inn og út um
elektróníska þjóðvegi landsins í gegnum
tölvuskerm sinn tengdum síma, einkum
inn í prógrömm sem þeir eiga ekki að
hafa aðgang að. Þannig handtók lögregl-
an í Ann Arbor nýlega elektrónískan
„gluggagægi" sem hafði um ársskeið
flett upp í tölvugögnum eins háskólans
þar af forvitni. Hann var fyrrum nem-
andi skólans.“
Þeir sem teljast til „tölvuharkara" í
Bandaríkjunum hafa með sér ákveðið
samstarf. Þannig gefa þeir út neðanjarð-
arrit þar sem þeir skiptast á upplýsingum
um símanúmer og „lykilorð" þeirra
tölvusamstæða sem þeim hefur tekist að
brjótast inn í, auk þess að þeir skilja slík
boð eftir í kerfunum sjálfum.
Tölvuglæpagengi
Ef við komum aftur að fyrsta dæminu
sem greint er frá hér þá reyndist þar vera
að verki Lewis De Payne sem gekk undir
dulnefninu „Roscoe". Hann var höfuð-
paurinn í nokkurs konar tölvuglæpa-
gengi sem samanstóð af honum, kven-
manni og tveimur yngri strákum. Til að
fá símanúmerið hjá tölvusamstæðu U.S.
Leasing og aðallykilorðið notaði Payne
nokkuð einfalda aðferð. Hann bað um
þau. Hann hringdi í fyrirtækið og sagði
að hann þyrfti að framkvæma viðhald á
prógrömmum í gegnum símann. Við-
gcrð hans átti að vera fólgin í því að
leiðrétta galla sem tölvan haðfi í raun og
veru. Grunlaus tölvustarfsmaður lét
hann fá það sem hann þurfti.
Lögreglan hafði uppi á honum með
hjálp símafyrirtækis og þótt hann neiti
að tjá sig um þetta mál yfirleitt sagði
hann: „Þú getur í raun fengið hvaða
upplýsingar sem er frá fólki ef það veit
ekki hvað þú getur gert með þeim. Illa
þjálfað starfsfólk" segir hann „er veikasti
hlekkurinn."
U.S. Leasing þurfti að eyða miklum
tíma og fjármunum í að bæta þær
skemmdir sem hann hafði unnið á
tölvusamstæðu þeirra því sóðalegum
orðum hafði verið dreift um öll pró-
grömmin sem til staðar voru í samstæð-
unni.
Gífurlegir f jármunir
í spilinu
Þótt dæmi á borð við ofangreint séu
að sjálfsögðu alvarleg er annað sem
spilar hér inn í og það er þjófnaður, og
svik sem hægt er að stunda með „tölvu-
harki“. Samkvæmt AHI Mini/micro
Advisor fréttaritinu nemur upphæð sú
sem árlega tapast á tölvum í Bandaríkj-
unum af þessum sökum um 3 billjónum
dollara á ársgrundvelli, eða um 84 billj-
ónum ísl. kr.
Einfalt dæmi um fjársvik með hjálp
tölvu má finna í grein Tryggva Jónssonar
í tímaritinu Hagmál en greinin ber
yfirskriftina „Tölvuendurskoðun (Út-
dráttur úr kandidatsritgerð)"
„Herra X: En ekki er nauðsynlegt að
kunna inn á tölvu til að fá aðstoð hennar
við þjófnað. Sem dæmi má nefna söguna
um herra X. Enginn veit hver þessi X er,
því hann náðist aldrei. hann fór inn í
banka í Wasington D.C. og opnaði þar
ávísanareikning undir fölsku nafni. Eftir
nokkra daga fékk hann sendan pakka
frá bankanum með sérprentuðum ávís-
unum fyrir hann eins og tíðkast víða í
Bandaríkjunum. Jafnframt fékk hann
send sérprentuð innleggsblöð en í neðra
vinstra horni innleggsblaðanna og ávís-
anna var prentað í tölvule.tri númer
ávísanareikningsins. Þetta er gert til að
flýta fyrir afgreiðslu í bönkunum en
tölvan les þá sjálf númer reikningsins og
gerir viðkomandi færslu. Því næst fór X
í bankann og tók þaðan ónúmeruð
innleggsblöð sem geymd voru þar á
borði fyrir viðskiptavini sem gleymt
höfðu sérprentuðu innleggsblöðunum
heima. Þessi blöð fór hann með í
prentsmiðju og lét prenta á þau reikn-
ingsnúmer sitt í tölvuletri, fór síðan með
blöðin til baka í bankann og setti á sinn
stað. Á næstu tveimur dögum voru
lagðir inn á reikning hans 250.000 dollar-
ar. Upp komst um málið þegar viðskipta-
vinirnir fóru að kvarta yfir því að þeir
fengu tilkynningu um innistæðulausar
ávísanir þrátt fyrir að þeir hefðu lagt inn
á reikning sinn hærri upphæð en ávísun-
um nam. En þá var X búinn að taka út
100.000 dollara af reikningi sínum og
stunginn af.“
„Tölvuglæpir eru
framtíðin“
„Tölvuglæpir eru starfsvettvangur
framtíðarinnar. Uppskeran er mikil og
möguleikarnir á að nást litlir og líkurnar
á að verða sóttur til saka jafnvel enn
minni.“ Þetta eru sjónarmið sem Jay
Becker aðstoðarsýslumaður í Banda-
ríkjunum setti fram í Computers tímarit-
inu í júlí 1979 en þá hafði hann kynnt sér
þessi mál náið. Þá taldi tímaritið í grein
um þessi mál að fjárhagslegt tjón vegna
þessara glæpa næmi á milli hálfrar til
einnar billjóna dollara en samkvæmt
Becker voru/eru möguleikar tölvuglæpa-
manns á að nást um 1 á móti hundrað,
og ef hann næst eru möguleikar á
lögsókn gegn honum 1 á móti 8 og af
þeim sem sóttir eru til saka fer aðeins 1
af hverjum 33 í fangelsi.
Til að gefa frekari hugmynd um hve
létt menn sieppa við refsingar á þessu
sviði má taka mál sem kom upp hjá
bresku fyrirtæki. Ungur framkvæmda-
stjóri þar beitti einni af hinni kiassísku
aðferðum á þessu sviði við að svíkja út
fé úr fyrirtækinu í gegnum tölvu þess.
Hann kom á fót í henni röð pappírsfyrir-
tækja og prógrammaði svo tölvuna til að
skrifa út til þeirra straum af ávísunum.
Svikin komu fyrst í Ijós er einn starfs-
mannanna við tölvuna kvartaði undan
mikilli yfirvinnu vegna gjörða fram-
kvæmdastjórans.
Yfirmenn fyrirtækisins ákváð að lög-
sækja manninn ekki því þeir óttuðust að
umfjöllun um málið kynni að skaða
fyrirtækið út á við. í stað þess að fallast
þakkiátur á þá málsmeðferð krafðist
framkvæmdastjórinn þess að yfirmenn
hans veittu honum meðmæli til að hjálpa
sér við leit að öðru starfi, ög þar sem
yfirmenn hann óttuðust umfjöllun þá er
kynni að fylgja í kjölfar neitunar þeirra
við slíkri bón fékk maðurinn meðmælin.
Hann notaði þau svo til að fá annað starf
á þessu sviði og tókst á þremur árum að
svíkja út úr því fyrirtæki 350.000 dollara.
Aftur fékk hann meðmæli gegn því að
þegja yfir glæpnum.
Hann var þá orðinn svo fullur sjálfs-
trausts að hann krafðist bóta að upphæð
6000 dollara fyrir starfsmissirinn. Þá
þótti fyrirtækinu nóg um og hóf almennt
mál gegn honum fyrir samningsbrot en
hann slapp aftur á móti við ákæru vegna
þjófnaðarins.
ÍSLAND
Eins og áður kom fram sitjum við
íslendingar nokkuð við sama borð og
aðrir hvað varðar möguleikana á tölvu-
misferli/glæpum. Hér hafa að vísu enn
ekki komið upp glæpamál vegna tölvu-
misferlis en prakkarastrik eru kunn eins
og það sem kom upp fyrir einum þremur
árum síðan. Þá fékk gjaldheimtustjórinn
sendan heim álagningarseðil sinn eins og
gengur og gerist nema hvað átt hafði
verið við seðilinn og námu gjöld gjald-
heimtustjórans stjarnfræðilegri upphæð.
Þar hafði verið að verki fyrrum starfs-
maður SKYRR (Skýrsluvélar ríkisins og
Reykjavíkurborgar) sem hafði aðgang
að einni jaðarstöð SKYRR hjá einum
eignaraðilanum. Eins og fram kemur í
viðtali við forstjóra SKYRR hér á eftir
er tölvusamstæða þeirra ekki í síma-
- EKKERT KERFI
ER ÖRUGGT
sambandi við þær 300 jaðarstöðvar sem
tengjast henni, heldur er sambandið
eftir föstum línum en nokkur hundruð
manns hafa aðgang að þessum jaðar-
stöðvum og verður að telja það veikan
hlekk í öryggiskerfi þeirra.
Annars munu prakkarastrik nær ein-
göngu hafa verið stunduð hérlendis í
tölvusamstæðu Háskólans af nemendum
þar, nokkuð saklaus miðað við það sem
gengur og gerist erlendis en óstaðfest
dæmi eru um að nemendur í HÍ hafi
brotist inn í prógrömm hvers annars til
að stela þaðan verkefnum.
SKYRR
SKYRR eða Skýrsluvélar ríkisins og
Reykjavíkurborgar er annað af tveimur
stærstu tölvufyrirtækjum hérlendis, hitt
er Reiknistofnun bankanna og við rædd-
um við Jón Þór Þórhallsson forstjóra
SKYRR um öryggismál á þessu sviði
hérlendis.
Til að gefa hugmynd um stærð og
umfang starfsemi SKYRR má nefna að
um 1 milljón sendinga fara um tölvunet
þeirra í hverjum mánuði og þær prenta
30-40 milljónir lína á mánuði. Á sinni
könnu hefur SKYRR, auk annars, allt
launaávísanakerfi ríkis og borgar, allt
gjaldheimtukerfi landsins og fyrir ára-
mót eiga allir innheimtumenn ríkisins að
vera komnir í beint samband þar inn,
þ.e. sýslumenn, fógetar og tollstjórar.
„Hluti af öryggi er að ræða ekki um
það opinberlega, en hvað varðar almenn
öryggisatriði þá rakst þú á það fyrsta er
þú komst hingað, þér var ekki hleypt
strax inn í húsið" segir Jón Þór og brosir.
„Fyrsta öryggisatriðið er sem sagt heftur
aðgangur að húsinu og er þar um að
ræða nokkur öryggissvæði en þú fórst í
gegnum hið minnstá þeirra. Þegar þetta
var sett upp á sínum tfma voru viðskipta-
menn og starfsmenn hræddir um að við
værum að setja upp kastala hér eða virki
en nú eru allir almennt ánægðir með
þetta kerfi. Þetta er hið almenna í
sambandi við húsnæðið.
Hvað varðar tölvurnar sjálfar þá eru
þær bara tæki sem geta skemmst eða
eyðilagst og því geymum við afrit af
viðkvæmum skrám og forritum á öðrum
stöðum en hér, það er annars staðar en
í þessu húsi þannig að þær tapast ekki ef
eitthvað fer úrskeiðis hér,“ sagði Jón
Þór.
Eins og fram kemur í þessari grein þá
er tölvumisferli oft ekki stundað á þeim
stað sem tölvusamstæðan er heldur í
gegnum síma, kannski úr annarri borg
eða öðru landi. Hvað þetta atriði varðar
þá sagði Jón Þór að þeir hefðu um 300
jaðarstöðvar í Reykjavík og úti á landi.
Þær væru hins vegar ekki í venjulegu
símasambandi við aðaltölvuna heldur
væri sambandið eftir föstum línum...
„Þú getur ekki hringt í tölvurnar okkar
og við höfum ekki viljað taka upp slíkt
samband fyrr en tryggt væri að öll
öryggismál í sambandi við það væru
orðin tryggari en nú er“ sagði hann, cn
bætti því við að vissulega væru möguleik-
ar til staðar að komast inn á þessar föstu
línur... „ef einhverjir vilja gera slíkt og
búa yfir nægilegri tækniþekkingu er nær
ómögulegt að stöðva þá en þá erum við
komnir með virkilega alvarlegan ásetn-
ingarglæp."
„Hvað varðaði varnir gegn utanað-
komandi „innbrotum" sagði Jón Þ.ór að
þar værum við komnir yfir á seinna
öryggissviðið.
„Það má segja að við séum að búa til
peningaskáp og þá gilda fyrir okkur
sömu reglur og gilda um vörn gegn
innbrotsþjófi, ef hann hefur næga þekk-
ingu, aðstöðu og tíma tekst honum að
lokum að brjótast inn í skápinn. Okkar
er að sjá að til þess að hann hafi ekki
tímann eða aðstöðuna.
Við reynum fyrst og fremst að hafa
eftirlit með þeim tölvutækjum sem tengd
eru við tölvunetið og því hverjir nota
þau. Auk þess er svo vélrænt eftirlit, það
er að láta tölvurnar sjálfar fylgjast með
hverjir hafa aðgang að þeim, hvaða
forrit þeir eru að keyra í gegn á hverjum
tíma og hvaða skrár forritin eru að nota"
sagði hann.
Er við minntumst á „prakkarastrikið"
með gjaldheimtustjórann sagði Jón Þór
að þar hefði verið um að ræða starfs-
mann cins eignaraðila sem hefði kunnað
á viðkomandi tölvukerfi starfs síns
vegna, haft og aðstöðu hjá eignaraðilan-
um... „okkur var hins vegar strax Ijóst
hvaðan þessi færsla kom og klukkan
hvað, vélræna eftirlitið sá um það“..
Hvað öryggisatriði varðaði almennt
sagði Jón Þór að þeir hefðu mjög gott
starfslið sem væri sér meðvitað um
öryggismál og mikilvægi þess að fyllsta
öryggis væri gætt á þessum vinnustað og
væri þetta mikilvægasta atriðið í öllum
þessum málum.
Eins og fram hefur komið hafa engin
glæpamál komið upp hérlendis af þeim
toga sem hér er fjallað um. Jón Þór sagði
hins vegar að ef svo færi að slíkt mál
kæmi upp þá værum við væntanlega
undir sama hatt settir og fjölmörg ríki
önnur, ekki væru til nein sérlög fyrir
þessa glæpi og væri það atriði sem
löggjafinn þyrfti að taka til athugunar á
næstu árum.
Námskeið í
rekstraröryggi
Það eru þó ckki fyrirtæki á borð við
SKYRR scm hættast er við tölvumisferli
heldur er slíkt cinkum stundað hjá
miðlungs- og smærri fyrirtækjum þar
sem einn maður hefur umsjón með
ntörgum verkefnum. Hjá fyrirtækjum
eins og SKYRR eru störf meira hlutuð
niður þannig að hver starfsmaður sér
yfirleitt um cinn þátt ákveðins verkefnis
cn mjög fáir hafa heildarsýn yfir allt það
-scm er að gerast.
Stjórncndur miðlungs- og smærri
fyrirtækja eiga um nokkrar lciðir að
vclja til að auka öryggi sitt. Upp á eina
slíka býður Stjórnunarfélag íslands en
það stendur nú fyrir námskciðum um
tölvur og tölvunotkun og þar á meðal cr
námskeið um rekstraröryggi tölvukerfa.
í samtali við blaðið sagði Friðrik
Sigurðsson forstöðumaður tölvudeildar
SFI að þetta námskeið væri einkum
ætlað stjórnendum sem ábyrgð bera á
rekstri tölvukerfa, kerfisfræðingum sem
starfa við tölvukerfi ásamt endurskoð-
cnduni og öðrum sem hagsmuna eiga að
gæta við meðferð gagna og útskrift.
„Martröðin“
En þrátt fyrir allar varnir sem til eru
gegn tölvumisferli stendur eftir sem áður
sú regla á þessu sviði að engin kerfi eru
örugg og í því sambandi má notast við
svokallað Jackson-lögmál: „Með nógu
stórum hamri má brjóta allt", ef einhver
hefur kunnáttuna, tímann og nógu sterk-
an ásetning tekst honum að lokum að
brjótast inn í það tölvukerfi sem hann
ætlar sér og þá erum við komnir að því
sem gengur undir nafninu „Martröðin"
á þessu sviði.
í tilraun þeirri sem greint var frá í
upphafi og Bandaríski flugherinn stóð
að var um að ræða tölvukerfi það sem
stjórnar kjarnorkuvígbúnaði Bandaríkj-
anna og í niðurlagi greinarinnar í Wall
Street Journal er dæmið sett upp á
eftirfarandi hátt.
„War Games" tölvuleikurinn var sett-
ur á markaðinn af MGM/UA fyrirtækj-
unum í júní s.l. Einhvern strák langar til
að komast inn í aðaltölvu framleiðenda
á sviði tölvuleikja til að geta leikið
leikinn áður en hann kemur á almennan
markað. Dag einn kemst hann óafvitandi
í samband við „Dómsdagstölvu" varn-
armálaráðuneytisins og kemur af stað
þriðju heimsstyrjöldinni meðan hann
heldur að hann sé að leika einhvern
nýjan og skemmtilegan tölvuleik. Við
segjum ekki hvernig sá leikur endar.
Friðrik lndriðason