hacking

hvad er hacking?

Ordet ‘hacking’ refererer til en teknisk kompromittering af digitale enheder som fx computere, telefoner eller tablets. Selvom hacking i sig selv ikke nødvendigvis er ulovligt, bliver det ofte brugt til at beskrive den ulovlige aktivitet, der finder sted når en ”hacker” får uberettiget adgang til et datasystem (‘datasystem’ er et juridisk begreb og fremgår af straffelovens § 263 – ordet dækker bl.a. computere og telefoner, men også digitale tjenester som Facebook, Snapchat og Netflix).

Der kan være forskellige motiver bag et hackerangreb. Det kan fx være for at få adgang til private intime billeder og videoer. Der har de senere år været flere eksempler på sager, hvor personer har fået stjålet billedmateriale af intim karakter, og hvor gerningspersoner efterfølgende har videredelt billederne uden samtykke. Altså ulovlig billeddeling. Det ses desværre ofte, at stjålet billede- og videomateriale bliver solgt eller byttet på sociale medier, fildelingssider og diverse internetfora.

Hacking og digitale krænkelser

Hos Digitalt Ansvar er vi af flere omgange blevet bekendt med grupper på nogle af de mest populære sociale medier, der har fungeret som deciderede byttebørser for krænkende materiale. Der har også været sager om danskere, der har oprettet kataloger med nøgenbilleder og -videoer, med henblik på uberettiget videregivelse af nøgenbilleder og overgrebsmateriale.

Når privat intimt billedmateriale videredeles uden samtykke, er der tale om en digital krænkelse eller digital sexkrænkelse, der kan straffes efter Straffelovens § 232 og § 264d. Hvis den person, der er afbilledet, var under 18 på tidspunktet for optagelse/fotografering, kan der også blive tale om en overtrædelse af bestemmelsen om digitalt overgrebsmateriale med børn (”børneporno”), § 235 i Straffeloven.

Et andet motiv bag hacking kan være for at opnå økonomisk vinding, hvor en eller flere gerningspersoner fx forsøger at få uberettiget adgang til en bankkonto, PayPal-konto eller en kryptovaluta wallet. Det kan også være at nogen forsøger at få uberettiget adgang til en Steam-konto (populær spilletjeneste) med henblik på at stjæle og videresælge værdifulde skins.

Eksempel på sag om hacking og ulovlig billeddeling

Sasha på 19 år har, som 17-årig, taget en række nøgenbilleder.

Private billeder som hun ville have for sig selv. Sasha har en iPhone, som er forbundet med hendes iCloud – en cloud-tjeneste, hvor hun får lavet backup af indholdet på sin telefon.

En lørdag aften modtager hun pludselig en række e-mails, som notificerer hende om uautoriserede log-in forsøg på flere af hendes online konti. En af disse konti er hendes iCloud. Sasha forsøger at ændre sin kode og få genopsat sin 2-trins-bekræftelse – men uden held.

En ukendt gerningsperson har taget kontrollen over hendes iCloud. Hendes konto er blevet hacket.

Om søndagen modtager hun en beskedanmodning på Facebook, hvor en falsk profil gør hende opmærksom på, at hendes private intime billeder er sat til salg på et site dedikeret til stjålne billeder. Nu er Sashas private materiale i hænderne på kriminelle, og det videre omfang af delingen er ukendt.

Hvis Sasha havde fået hjælp i tide, kunne den ulovlige videregivelse af det hendes billeder være undgået.

Både sagen og navnet er fiktivt.

whitehat og blackhat hacking

Når begreberne ‘hacking’ eller ‘hacker’ bliver brugt i populær tale, er det typisk indforstået, at der er tale om ulovlig hacking – såkaldt ”blackhat” hacking. Men selvom hacking ofte bliver brugt til at betegne kriminel aktivitet, er der ikke altid tale om noget ulovligt. Der findes ”whitehat” hackers, som har til formål at afdække potentielle sårbarheder i IT-sikkerhed, eller som hjælper organisationer med at sikre sig mod blackhat hackers. Whitehat hacking spiller en stor rolle i udviklingen og sikringen af programmer, og er blevet en nødvendighed i kampen mod blackhats.

Der findes uendelig mange forskellige typer af hacker-angreb. Derfor kan det være hjælpsomt at inddele dem i nogle overordnede kategorier. Nedenfor har vi samlet en liste over nogle af de mest udbredte slags angreb. Listen er ikke udtømmende, og afdækker primært den såkaldte ”blackhat” hacking:

 

Brute force-angreb

Bruteforce hacking
Et af de mest udbredte brute force-værktøjer er ‘hashcat’

Et brute force-angreb går ud på at få en eller flere computere til at “gætte sig frem” til et kodeord. Mange tjenester er beskyttet mod simple brute force-angreb. Det er den beskyttelse man støder på, når man forsøger at logge ind på en digital tjeneste og skriver sin kode forkert et bestemt antal gange, hvorefter adgangen til ens konto bliver midlertidigt spærret.

Det, der adskiller brute force-angreb fra andre typer af angreb er, at det udelukkende gør brug af ”brute force” – direkte oversat til “råstyrke”. Et brute force-angreb går nemlig ud på, at angriberen forsøger sig med forskellige kombinationer af bogstaver, tal og tegn indtil et kodeord bliver gættet.

En af styrkerne ved brute force-angreb er, at de er relativt lette at udføre, og at de – i teorien – på et eller andet tidspunkt vil lykkes. Hvor lang tid det tager, afhænger af:

  1. styrken på det kodeord, der skal gættes, og
  2. hvor meget computerkraft, der ligger bag angrebet.

Fx vil et kodeord bestående af 7 små bogstaver, kunne blive gættet på 8 minutter, mens det ville tage 80 årtusinder at gætte et kodeord på 10 tegn, der også indeholder store bogstaver, tal og tegn.

I praksis vil man kunne forhindre de fleste brute force-angreb ved at have en lang adgangskode (+10 tegn) bestående af store og små bogstaver, tal og tegn.

Derfor er det vigtigt at sikre, at man har en stærk adgangskode.

Phishingangreb

‘Phishing’ referer til et forsøg på at stjæle følsomme data – typisk brugernavne, kodeord, CPR-numre eller betalingskortoplysninger. Et phishingangreb udføres ofte med henblik på at få uberettiget adgang til og/eller videresalg af følsomme data.

Et phishingangreb fungerer eksempelvis ved, at en angriber laver en identisk kopi af en hjemmeside og lokker offeret til at indtaste sine oplysninger på den falske hjemmeside. Typisk starter det med at man modtager en e-mail, der ser ud til at komme fra ens bank, Facebook, Amazon eller lignende, og som beder en om at indtaste betalingsoplysninger eller kodeord.

Når oplysningerne indtastes på phishing-siden, falder de i hænderne på angriberen.

 

Keylogger angreb

En ‘keylogger’ er typisk et stykke software, som har til formål at ”logge” tastaturindtastninger (keyinputs). Man kan komme til at downloade en keylogger ved en fejl, eller den kan blive installeret fysisk på ens computer via et USB-stik.

Keyloggeren ligger typisk ubemærket som et baggrundprogram, og samler løbende de indtastninger, der foretages på tastaturet. Keyloggers er bl.a. blevet brugt til at opsnappe CPR-numre og fortrolige koder til NemID, og tømme uskyldiges bankkonti.

 

Ransomware angreb

Ransomware-angreb er typisk rettet mod virksomheder, men kan også være rettet mod enkeltpersoner.

Ransomware fungerer ved, at en gerningsperson krypterer (gør data ulæselig uden et bestemt kodeord) en anden person eller virksomheds data, for efterfølgende at opkræve en “løsesum”, der skal dekryptere (låse op for) den krypterede data. Med andre ord kan man sige, at et ransomware-angreb er en digital gidseltagning.

 

hvad er ulovligt?

Som det kan læses ovenfor, så er ‘hacking’ et meget bredt begreb. Hacking uden samtykke er ulovligt. Det gælder også i situationer, hvor en person kender en andens kodeord, men bruger det uden at have fået lov. Som udgangspunkt straffes uberettiget adgang til andres datasystemer efter Straffelovens § 263. Derudover vil der i mange tilfælde også kunne dømmes efter flere bestemmelser, herunder Straffelovens § 171 (dokumentfalsk), § 276 (tyveri), § 279 (bedrageri) og § 279a (databedrageri).

Hackerangreb kan anmeldes til politiet her.

Du er også velkommen til at kontakte Digitalt Ansvar med henblik på at få rådgivning om eller støtte, hvis du har været udsat for digital vold eller en digital krænkelse.