12 Uimm SUNNUDAGUR 4. SEPTEMBER 1983 SUNNUDAGUR 4. SEPTEMBER 1983 13 ■ „SAN FRANCISCO: Þegar tölva þeirra fór að nota sóðalegt orðbragð vissi starfslið U.S. Leasing International að það hafði vandamál á höndum sér. Tölvan, sem yfirleitt hegðaði sér skikkan- lega, sagði þetta við einn starfsmanninn: „Skuggi, kerfisbrjóturinn, lætur til skarar skríða á ný... brátt mun ég þurrka út diskett- urnar og varaöryggið á Kerfi A. Ég hef þegar brotið niður Kerfi B. Skemmtið ykkur við að byggja það upp á ný... (sóðalegt orðbragð). Nokkrar aðrar óprenthæfar tillögur fylgdu um hvað starfsmaðurinn mætti gera við önnur tölvutæki. Sakborningurinn í þessu máli reyndist vera gáfaður 20 ára strákur sem hafði átt við tölvuna, leynilega í gegnum síma, frá Los Angeles til að sýna hæfileika sína á þessu sviði.“ Þannig hcfst grcin í Wall Street Journ- al í apríl s.l. um tölvumisferli en með síaukinni notkun tölva hefur misferli á þessu sviði aukist hröðum skrefum og er nú orðið stórt vandamál víða um heim. Greinin í Wall Street Journal ber yfirskriftina; „Til góðseða ills tölvuhark- arar (Computer Hackers) geta brotið niður alla lykla" og í þessu liggur aðalvandinn, ekkert kerfi er öruggt auk þess þarftu aðeins tölvu með skjá sem hægt er að tengja við síma og svokallað Modem en það er tæki sem breytir tölvuboðum í símboð og öfugt. Tölvuna geturðu keypt á almennum markaði ytra auk modemsins og raunar er, að sögn kunnugra hérlendis, tækjakosturinn minnsta málið í þessu sambandi. Það sem þú þarft er góð kunnátta á tölvuna og stýrikerfi hennar (og helst þekkingu á þeim kerfum sem þú ætlar að brjótast inn í en það er samt ekkert aðalatriði ef hin tvö eru í góðu lagi). Til að gefa betur hugmynd um stað- hæfinguna „ekkert kerfi er öruggt" má nefna tilraun sem Bandaríski flugherinn stóð að og getið er um í nýlegu hefti Computers tímaritsins. Tilraunin var framkvæmd af tveimur mönnum, upp- lýsingakerfasérfræðingnum, Steven B. Lipner og tölvuöryggissérfræðingnum Roger Schell höfuðsmanni. Það tók þá aðeins tvo tíma að búa til prógramm sem „braust inn í“ það sem talið er vera , öruggasta tölvukerfi í hcimi. í þessari grein er ætlunin að fjalla um tölvumisferli/glæpi sem algengastir eru erlendis og í framhaldi af því fjalla aðeins um þessi mál hérlendis en að sögn kunnugra sitjum við íslendingar nokkuð við sama borð og aðrir hvað þennan málaflokk varðar. „Köku-skrímslið“ Léttari hliðin á tölvuglæpum eru þeir „tölvugrínistar" sem nota álíka brögð og „Köku-skrímslið" („Cookie-Monster" prógrammið) en það telst nú vera klass- ískt á þessu sviði. San Francjsco útgáfan af því er eitt- hvað á þessa leið; Með stuttu millibili var verk tölvusamstarfsmannsins truflað með því að orðið „Cookie" blossaði upp á skerminn. Tölvan varð svo brátt brjál- aðri og heilu línurnar af þessu orði komu í röðum á skcrminn og enduðu með því að tölvan sló út „Gimmie Cookie" (gefðu mér köku). Ef notandinn reyndi að stöðva prógrammið sagði tölvan: „Ekki gera þetta. Skrímslinu (The Monster) líkar það ekki.“ Eina leiðin til að stöðva „Skrímslið" var að gefa því „Köku“, þ.e. slá inn orðin „Cookie". Eitt afbrigðið af þessu prógrammi var sett inn í tölvusamstæðu MIT skólans og þá var orðið Nixon notað í stað kökunn- ar. í Wall Street Journal greininni segir: „Mörgum „hörkurum" finnst ekkert skemmtilegra en að smjúga inn og út um elektróníska þjóðvegi landsins í gegnum tölvuskerm sinn tengdum síma, einkum inn í prógrömm sem þeir eiga ekki að hafa aðgang að. Þannig handtók lögregl- an í Ann Arbor nýlega elektrónískan „gluggagægi" sem hafði um ársskeið flett upp í tölvugögnum eins háskólans þar af forvitni. Hann var fyrrum nem- andi skólans.“ Þeir sem teljast til „tölvuharkara" í Bandaríkjunum hafa með sér ákveðið samstarf. Þannig gefa þeir út neðanjarð- arrit þar sem þeir skiptast á upplýsingum um símanúmer og „lykilorð" þeirra tölvusamstæða sem þeim hefur tekist að brjótast inn í, auk þess að þeir skilja slík boð eftir í kerfunum sjálfum. Tölvuglæpagengi Ef við komum aftur að fyrsta dæminu sem greint er frá hér þá reyndist þar vera að verki Lewis De Payne sem gekk undir dulnefninu „Roscoe". Hann var höfuð- paurinn í nokkurs konar tölvuglæpa- gengi sem samanstóð af honum, kven- manni og tveimur yngri strákum. Til að fá símanúmerið hjá tölvusamstæðu U.S. Leasing og aðallykilorðið notaði Payne nokkuð einfalda aðferð. Hann bað um þau. Hann hringdi í fyrirtækið og sagði að hann þyrfti að framkvæma viðhald á prógrömmum í gegnum símann. Við- gcrð hans átti að vera fólgin í því að leiðrétta galla sem tölvan haðfi í raun og veru. Grunlaus tölvustarfsmaður lét hann fá það sem hann þurfti. Lögreglan hafði uppi á honum með hjálp símafyrirtækis og þótt hann neiti að tjá sig um þetta mál yfirleitt sagði hann: „Þú getur í raun fengið hvaða upplýsingar sem er frá fólki ef það veit ekki hvað þú getur gert með þeim. Illa þjálfað starfsfólk" segir hann „er veikasti hlekkurinn." U.S. Leasing þurfti að eyða miklum tíma og fjármunum í að bæta þær skemmdir sem hann hafði unnið á tölvusamstæðu þeirra því sóðalegum orðum hafði verið dreift um öll pró- grömmin sem til staðar voru í samstæð- unni. Gífurlegir f jármunir í spilinu Þótt dæmi á borð við ofangreint séu að sjálfsögðu alvarleg er annað sem spilar hér inn í og það er þjófnaður, og svik sem hægt er að stunda með „tölvu- harki“. Samkvæmt AHI Mini/micro Advisor fréttaritinu nemur upphæð sú sem árlega tapast á tölvum í Bandaríkj- unum af þessum sökum um 3 billjónum dollara á ársgrundvelli, eða um 84 billj- ónum ísl. kr. Einfalt dæmi um fjársvik með hjálp tölvu má finna í grein Tryggva Jónssonar í tímaritinu Hagmál en greinin ber yfirskriftina „Tölvuendurskoðun (Út- dráttur úr kandidatsritgerð)" „Herra X: En ekki er nauðsynlegt að kunna inn á tölvu til að fá aðstoð hennar við þjófnað. Sem dæmi má nefna söguna um herra X. Enginn veit hver þessi X er, því hann náðist aldrei. hann fór inn í banka í Wasington D.C. og opnaði þar ávísanareikning undir fölsku nafni. Eftir nokkra daga fékk hann sendan pakka frá bankanum með sérprentuðum ávís- unum fyrir hann eins og tíðkast víða í Bandaríkjunum. Jafnframt fékk hann send sérprentuð innleggsblöð en í neðra vinstra horni innleggsblaðanna og ávís- anna var prentað í tölvule.tri númer ávísanareikningsins. Þetta er gert til að flýta fyrir afgreiðslu í bönkunum en tölvan les þá sjálf númer reikningsins og gerir viðkomandi færslu. Því næst fór X í bankann og tók þaðan ónúmeruð innleggsblöð sem geymd voru þar á borði fyrir viðskiptavini sem gleymt höfðu sérprentuðu innleggsblöðunum heima. Þessi blöð fór hann með í prentsmiðju og lét prenta á þau reikn- ingsnúmer sitt í tölvuletri, fór síðan með blöðin til baka í bankann og setti á sinn stað. Á næstu tveimur dögum voru lagðir inn á reikning hans 250.000 dollar- ar. Upp komst um málið þegar viðskipta- vinirnir fóru að kvarta yfir því að þeir fengu tilkynningu um innistæðulausar ávísanir þrátt fyrir að þeir hefðu lagt inn á reikning sinn hærri upphæð en ávísun- um nam. En þá var X búinn að taka út 100.000 dollara af reikningi sínum og stunginn af.“ „Tölvuglæpir eru framtíðin“ „Tölvuglæpir eru starfsvettvangur framtíðarinnar. Uppskeran er mikil og möguleikarnir á að nást litlir og líkurnar á að verða sóttur til saka jafnvel enn minni.“ Þetta eru sjónarmið sem Jay Becker aðstoðarsýslumaður í Banda- ríkjunum setti fram í Computers tímarit- inu í júlí 1979 en þá hafði hann kynnt sér þessi mál náið. Þá taldi tímaritið í grein um þessi mál að fjárhagslegt tjón vegna þessara glæpa næmi á milli hálfrar til einnar billjóna dollara en samkvæmt Becker voru/eru möguleikar tölvuglæpa- manns á að nást um 1 á móti hundrað, og ef hann næst eru möguleikar á lögsókn gegn honum 1 á móti 8 og af þeim sem sóttir eru til saka fer aðeins 1 af hverjum 33 í fangelsi. Til að gefa frekari hugmynd um hve létt menn sieppa við refsingar á þessu sviði má taka mál sem kom upp hjá bresku fyrirtæki. Ungur framkvæmda- stjóri þar beitti einni af hinni kiassísku aðferðum á þessu sviði við að svíkja út fé úr fyrirtækinu í gegnum tölvu þess. Hann kom á fót í henni röð pappírsfyrir- tækja og prógrammaði svo tölvuna til að skrifa út til þeirra straum af ávísunum. Svikin komu fyrst í Ijós er einn starfs- mannanna við tölvuna kvartaði undan mikilli yfirvinnu vegna gjörða fram- kvæmdastjórans. Yfirmenn fyrirtækisins ákváð að lög- sækja manninn ekki því þeir óttuðust að umfjöllun um málið kynni að skaða fyrirtækið út á við. í stað þess að fallast þakkiátur á þá málsmeðferð krafðist framkvæmdastjórinn þess að yfirmenn hans veittu honum meðmæli til að hjálpa sér við leit að öðru starfi, ög þar sem yfirmenn hann óttuðust umfjöllun þá er kynni að fylgja í kjölfar neitunar þeirra við slíkri bón fékk maðurinn meðmælin. Hann notaði þau svo til að fá annað starf á þessu sviði og tókst á þremur árum að svíkja út úr því fyrirtæki 350.000 dollara. Aftur fékk hann meðmæli gegn því að þegja yfir glæpnum. Hann var þá orðinn svo fullur sjálfs- trausts að hann krafðist bóta að upphæð 6000 dollara fyrir starfsmissirinn. Þá þótti fyrirtækinu nóg um og hóf almennt mál gegn honum fyrir samningsbrot en hann slapp aftur á móti við ákæru vegna þjófnaðarins. ÍSLAND Eins og áður kom fram sitjum við íslendingar nokkuð við sama borð og aðrir hvað varðar möguleikana á tölvu- misferli/glæpum. Hér hafa að vísu enn ekki komið upp glæpamál vegna tölvu- misferlis en prakkarastrik eru kunn eins og það sem kom upp fyrir einum þremur árum síðan. Þá fékk gjaldheimtustjórinn sendan heim álagningarseðil sinn eins og gengur og gerist nema hvað átt hafði verið við seðilinn og námu gjöld gjald- heimtustjórans stjarnfræðilegri upphæð. Þar hafði verið að verki fyrrum starfs- maður SKYRR (Skýrsluvélar ríkisins og Reykjavíkurborgar) sem hafði aðgang að einni jaðarstöð SKYRR hjá einum eignaraðilanum. Eins og fram kemur í viðtali við forstjóra SKYRR hér á eftir er tölvusamstæða þeirra ekki í síma- - EKKERT KERFI ER ÖRUGGT sambandi við þær 300 jaðarstöðvar sem tengjast henni, heldur er sambandið eftir föstum línum en nokkur hundruð manns hafa aðgang að þessum jaðar- stöðvum og verður að telja það veikan hlekk í öryggiskerfi þeirra. Annars munu prakkarastrik nær ein- göngu hafa verið stunduð hérlendis í tölvusamstæðu Háskólans af nemendum þar, nokkuð saklaus miðað við það sem gengur og gerist erlendis en óstaðfest dæmi eru um að nemendur í HÍ hafi brotist inn í prógrömm hvers annars til að stela þaðan verkefnum. SKYRR SKYRR eða Skýrsluvélar ríkisins og Reykjavíkurborgar er annað af tveimur stærstu tölvufyrirtækjum hérlendis, hitt er Reiknistofnun bankanna og við rædd- um við Jón Þór Þórhallsson forstjóra SKYRR um öryggismál á þessu sviði hérlendis. Til að gefa hugmynd um stærð og umfang starfsemi SKYRR má nefna að um 1 milljón sendinga fara um tölvunet þeirra í hverjum mánuði og þær prenta 30-40 milljónir lína á mánuði. Á sinni könnu hefur SKYRR, auk annars, allt launaávísanakerfi ríkis og borgar, allt gjaldheimtukerfi landsins og fyrir ára- mót eiga allir innheimtumenn ríkisins að vera komnir í beint samband þar inn, þ.e. sýslumenn, fógetar og tollstjórar. „Hluti af öryggi er að ræða ekki um það opinberlega, en hvað varðar almenn öryggisatriði þá rakst þú á það fyrsta er þú komst hingað, þér var ekki hleypt strax inn í húsið" segir Jón Þór og brosir. „Fyrsta öryggisatriðið er sem sagt heftur aðgangur að húsinu og er þar um að ræða nokkur öryggissvæði en þú fórst í gegnum hið minnstá þeirra. Þegar þetta var sett upp á sínum tfma voru viðskipta- menn og starfsmenn hræddir um að við værum að setja upp kastala hér eða virki en nú eru allir almennt ánægðir með þetta kerfi. Þetta er hið almenna í sambandi við húsnæðið. Hvað varðar tölvurnar sjálfar þá eru þær bara tæki sem geta skemmst eða eyðilagst og því geymum við afrit af viðkvæmum skrám og forritum á öðrum stöðum en hér, það er annars staðar en í þessu húsi þannig að þær tapast ekki ef eitthvað fer úrskeiðis hér,“ sagði Jón Þór. Eins og fram kemur í þessari grein þá er tölvumisferli oft ekki stundað á þeim stað sem tölvusamstæðan er heldur í gegnum síma, kannski úr annarri borg eða öðru landi. Hvað þetta atriði varðar þá sagði Jón Þór að þeir hefðu um 300 jaðarstöðvar í Reykjavík og úti á landi. Þær væru hins vegar ekki í venjulegu símasambandi við aðaltölvuna heldur væri sambandið eftir föstum línum... „Þú getur ekki hringt í tölvurnar okkar og við höfum ekki viljað taka upp slíkt samband fyrr en tryggt væri að öll öryggismál í sambandi við það væru orðin tryggari en nú er“ sagði hann, cn bætti því við að vissulega væru möguleik- ar til staðar að komast inn á þessar föstu línur... „ef einhverjir vilja gera slíkt og búa yfir nægilegri tækniþekkingu er nær ómögulegt að stöðva þá en þá erum við komnir með virkilega alvarlegan ásetn- ingarglæp." „Hvað varðaði varnir gegn utanað- komandi „innbrotum" sagði Jón Þ.ór að þar værum við komnir yfir á seinna öryggissviðið. „Það má segja að við séum að búa til peningaskáp og þá gilda fyrir okkur sömu reglur og gilda um vörn gegn innbrotsþjófi, ef hann hefur næga þekk- ingu, aðstöðu og tíma tekst honum að lokum að brjótast inn í skápinn. Okkar er að sjá að til þess að hann hafi ekki tímann eða aðstöðuna. Við reynum fyrst og fremst að hafa eftirlit með þeim tölvutækjum sem tengd eru við tölvunetið og því hverjir nota þau. Auk þess er svo vélrænt eftirlit, það er að láta tölvurnar sjálfar fylgjast með hverjir hafa aðgang að þeim, hvaða forrit þeir eru að keyra í gegn á hverjum tíma og hvaða skrár forritin eru að nota" sagði hann. Er við minntumst á „prakkarastrikið" með gjaldheimtustjórann sagði Jón Þór að þar hefði verið um að ræða starfs- mann cins eignaraðila sem hefði kunnað á viðkomandi tölvukerfi starfs síns vegna, haft og aðstöðu hjá eignaraðilan- um... „okkur var hins vegar strax Ijóst hvaðan þessi færsla kom og klukkan hvað, vélræna eftirlitið sá um það“.. Hvað öryggisatriði varðaði almennt sagði Jón Þór að þeir hefðu mjög gott starfslið sem væri sér meðvitað um öryggismál og mikilvægi þess að fyllsta öryggis væri gætt á þessum vinnustað og væri þetta mikilvægasta atriðið í öllum þessum málum. Eins og fram hefur komið hafa engin glæpamál komið upp hérlendis af þeim toga sem hér er fjallað um. Jón Þór sagði hins vegar að ef svo færi að slíkt mál kæmi upp þá værum við væntanlega undir sama hatt settir og fjölmörg ríki önnur, ekki væru til nein sérlög fyrir þessa glæpi og væri það atriði sem löggjafinn þyrfti að taka til athugunar á næstu árum. Námskeið í rekstraröryggi Það eru þó ckki fyrirtæki á borð við SKYRR scm hættast er við tölvumisferli heldur er slíkt cinkum stundað hjá miðlungs- og smærri fyrirtækjum þar sem einn maður hefur umsjón með ntörgum verkefnum. Hjá fyrirtækjum eins og SKYRR eru störf meira hlutuð niður þannig að hver starfsmaður sér yfirleitt um cinn þátt ákveðins verkefnis cn mjög fáir hafa heildarsýn yfir allt það -scm er að gerast. Stjórncndur miðlungs- og smærri fyrirtækja eiga um nokkrar lciðir að vclja til að auka öryggi sitt. Upp á eina slíka býður Stjórnunarfélag íslands en það stendur nú fyrir námskciðum um tölvur og tölvunotkun og þar á meðal cr námskeið um rekstraröryggi tölvukerfa. í samtali við blaðið sagði Friðrik Sigurðsson forstöðumaður tölvudeildar SFI að þetta námskeið væri einkum ætlað stjórnendum sem ábyrgð bera á rekstri tölvukerfa, kerfisfræðingum sem starfa við tölvukerfi ásamt endurskoð- cnduni og öðrum sem hagsmuna eiga að gæta við meðferð gagna og útskrift. „Martröðin“ En þrátt fyrir allar varnir sem til eru gegn tölvumisferli stendur eftir sem áður sú regla á þessu sviði að engin kerfi eru örugg og í því sambandi má notast við svokallað Jackson-lögmál: „Með nógu stórum hamri má brjóta allt", ef einhver hefur kunnáttuna, tímann og nógu sterk- an ásetning tekst honum að lokum að brjótast inn í það tölvukerfi sem hann ætlar sér og þá erum við komnir að því sem gengur undir nafninu „Martröðin" á þessu sviði. í tilraun þeirri sem greint var frá í upphafi og Bandaríski flugherinn stóð að var um að ræða tölvukerfi það sem stjórnar kjarnorkuvígbúnaði Bandaríkj- anna og í niðurlagi greinarinnar í Wall Street Journal er dæmið sett upp á eftirfarandi hátt. „War Games" tölvuleikurinn var sett- ur á markaðinn af MGM/UA fyrirtækj- unum í júní s.l. Einhvern strák langar til að komast inn í aðaltölvu framleiðenda á sviði tölvuleikja til að geta leikið leikinn áður en hann kemur á almennan markað. Dag einn kemst hann óafvitandi í samband við „Dómsdagstölvu" varn- armálaráðuneytisins og kemur af stað þriðju heimsstyrjöldinni meðan hann heldur að hann sé að leika einhvern nýjan og skemmtilegan tölvuleik. Við segjum ekki hvernig sá leikur endar. Friðrik lndriðason

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24