17-årige hackaren från Umeå krävs på halv miljon

I Umeå utspelar sig just nu en dataintrångshistoria som väcker debatt i it-säkerhetskretsar. Vissa av mina kontakter förfasas, andra har viss förståelse för kommunen.

17-årige Erik dömdes i januari för dataintrång mot Umeå kommuns it-system. Straffet blev ungdomstjänst i 35 timmar. Så långt är allt en ordinär hackarhistoria i den lilla skalan.

Men i veckan gick kommunen vidare och krävde Erik på nästan en halv miljon kronor i skadestånd.

Det är hårt, inte minst med tanke på killens ålder, men samtidigt inte helt unikt. Att kalla in it-säkerhetsexperter för att detaljgranska ett system efter ett intrång är tidskrävande. Konsulttimmarna drar snabbt iväg. (782,5 arbetstimmar ska städarbetet ha tagit.) Skadestånd bygger på den skada offret har lidit, inte hur ”fel” handlingen var.

Det finns dock en annan sida av myntet: Erik försökte berätta för kommunen om säkerhetshålen före intrånget. De ville inte lyssna. Lokaltidningen Västerbottens-kuriren skriver (bakom betalvägg, bakgrund här):

– Jag fick träffa tekniska nämndens ordförande och jag förklarade att jag bland annat hade hittat användarnamn och lösenord oavsiktligt sparat på skolans alla datorer. Vem som helst hade kunnat ta sig in, säger Erik Sundqvist.

När ingen hörde av sig tog han det ödesdigra beslutet att hacka sig in i systemet. Där installerade han ett program som överbelastade servrarna. Han ville få kommunens IT-ansvariga att reagera på säkerhetsbristerna.

– Det handlade om tio minuter då systemet gick lite trögt. Inga datorer eller program tog någon skada. Det fanns ingen tanke på att förstöra något, säger Erik Sundqvist.

Naturligtvis rättfärdigar inte detta dataintrånget. Ett brott är ett brott. Orsaken till att kommunen inte ville lyssna var att Erik var dömd för intrång mot kommunen sedan tidigare. Jag känner inte till detaljerna, men VK förklarar vad det ledde till:

Han är sedan tidigare dömd för dataintrång mot kommunens datasystem. Innan det senaste intrånget påtalade han säkerhetsbristerna i systemet till kommunen, men fick inte gehör för sina förslag. En anställd vid it-kontoret har tidigare sagt att de inte ville ta hjälp av Erik Sundqvist, eftersom han tidigare är dömd för dataintrång och att de redan har den kompetens som behövs.

Kan man i dag säga att de hade den kompetens som behövdes?

Så här är det: Många, otroligt många, av de som i dag bär titeln it-säkerhetsexpert, it-forensiker eller har något annat välbetalt jobb inom säkerhetsbranschen var en gång vilda tonårshackare.

Varför? Jo, it-säkerhet är så oerhört komplicerat att nästan ingen lär sig det bara på högskolan. Man lär sig det under otaliga tonårsnätter vid datorn, och nej, inte allt som händer under dessa nätter kommer vara helt lagligt. Däremot behöver det inte orsaka någon skada, vilket det inte heller tycks ha gjort i Umeå. Det är uppenbart att Erik inte var någon hårdnackad it-brottsling som var ute efter pengar eller att utföra spionage åt en främmande makt.

Frågan är inte om dataintrånget var olagligt – så var det tveklöst. Frågan är snarare hur man bäst utnyttjar en tonårings febriga utforskande av it-system. Genom feta skadestånd, eller genom att lära sig av säkerhetshålen som han har upptäckt.

Märkligt nog tycks inte ens kommunen vilja ha det skadestånd man kräver:

– Det är för att visa lite grann hur mycket tid vi har lagt ner på det hela. Det är väl ingen som tror att det ska bli så stort skadestånd. Det är väl inte meningen att knäcka någon. Det tror jag inte, säger [informationssäkerhetssamordnare] Tommy Rampling.

Jag hör vissa föreslå att anställa Erik istället för att kräva honom på pengar. Som DN rapporterade nyligen är it-säkerhetsbranschen en av de som har störst behov av arbetskraft just nu.

Här finns en videointervju med Erik.

Dela med dina vänner

  • 0
  • 0
  • 0
  • 0

Kommentarer (3)

Logga in för att kommentera.
Alla kommentarer publiceras med för- och efternamn.

Inloggad som ()

Kommentarerna ska hålla respektfull ton. Vi förbehåller oss rätten att ta bort inlägg med exempelvis rasistiskt och sexistiskt innehåll (läs vårt regelverk för artikelkommentarer). Vänligen håll dig till ämnet och skriv inte längre än 500 tecken.

Visar 1-3 av 3

En annan syn på saken presenteras i http://techworld.idg.se/2.2524/1.618205/sluta-gulla-med-hackaren - och helt plötsligt är jag inte på Eriks sida.

Victor Boivie, 18:23, 27 mars 2015. Anmäl

Är det inte rimligt att någon stannar upp och funderar över om Eriks beskrivning av det som skedde vid intrånget är helt rätt? Jag skulle gärna se en ordentlig granskning, inte bara en återberättelse av ena parten.

Ulrika Eson, 08:06, 26 mars 2015. Anmäl

Skrämmande då det finns skyldigheter för kommuner om man tittar på de riktlinjer som datainspektionen givit ut på och i de dokument däri . tydligt är ju att de slarvat med säkerheten och vill statuera exempel med Erik , en motanmälan vore på sin plats så de får sig en riktig halsbränna för de ansvariga. ytterst ansvarig är kommunledning även om it-avdelningen är inkompetent, det svåra är ju att det inte finns någon instans som står för kontroll av reglernas uppföljning. Mackan

Håkan “Mackan” Marcus (Webbsida), 22:02, 23 mars 2015. Anmäl

När presidenten spelar indiespel

monument-valley-cropped

Spoilervarning: Detta inlägg avhandlar detaljer ur avsnitt 5, säsong 3 av tv-serien ”House of cards” som kan ses på Netflix. Ganska perifera detaljer som inte påverkar handlingen i någon större utsträckning, men spoilerkänsliga varnas: Gå genast till startsidan utan att passera Gå.

Ok? Ok.

President Frank Underwood vandrar runt i sitt sovrum. Rastslöst ser han sig omkring när han tycks få en idé. Några raska kliv mot soffan, upp med Ipaden och så … Ping. Ping. Ping. Ljudeffekterna från spelet Monument Valley, ett sockersött och i min mening helt strålande pusselspel till plattor och mobiler.

Grejen är att detta spel är utvecklat av den lilla studion Ustwo i London, som också har kontor i Malmö. Visserligen blev Monument Valley en stor framgång när det släpptes i fjol, men att lilla Ustwo skulle ha råd att betala för produktplacering på denna världsnivå? Det kändes otroligt, men jag var övertygad om att det rörde sig om köpt produktplacering.

”House of cards” har många inslag som rimligtvis är köpta. I tidigare säsonger spelar Frank förstapersonsskjutare på en tv-spelskonsol. Sedan talar han onaturligt högt om att det är en Sony Playstation och lyckas vid ett annat tillfälle helt omotiverat föra in diskussionen på Sonys bärbara spelmaskin. Detsamma gäller påtagliga inzoomningar på mobiltelefoner med ett visst operativsystem som utanför detta fiktiva Washington DC är mycket ovanligt. (Ursäkta, vänner av Windows Phone. Båda två.)

Senare i avsnittet högläser Frank ur en poetiskt översvallande recension av Monument Valley:

”Whoever you are, whoever you think you are, believe that you’re also a silent princess. Your name is Ida. Your journey is one through a forgotten landscape of twisting staircases and morphing castles, atop floating stones defiantly crossing an angry sea, within dimly-lit caverns cobwebbed with ruins M.C. Escher would only grasp at in a dream state.”

Men hör på detta: Ustwo förnekar bestämt att de har betalat en enda krona för att synas i serien.

Tidigare i dag frågade jag Måns Adler, teknikchef på Ustwo, om hur det hade gått till. Allt skedde på Netflixs initiativ, intygar han.

– De spelade in det i höstas, så vi fick en förfrågan om vi tyckte det var ok. Vilket vi så klart gjorde, säger han och fortsätter:

– Sen visste vi inte säkert om det skulle finnas med i slutklippningen.

Det verkar helt enkelt som att någon på Netflix har sällsynt god smak.

Monument Valley finns till IOS och Android.

Dela med dina vänner

  • 0
  • 0
  • 0
  • 0

Kommentarer (0)

Logga in för att kommentera.
Alla kommentarer publiceras med för- och efternamn.

Inloggad som ()

Kommentarerna ska hålla respektfull ton. Vi förbehåller oss rätten att ta bort inlägg med exempelvis rasistiskt och sexistiskt innehåll (läs vårt regelverk för artikelkommentarer). Vänligen håll dig till ämnet och skriv inte längre än 500 tecken.

Visar 0 av 0
Bli den första att kommentera!