Hvis du havde været på Musée d’Art de la Ville Paris i morgentimerne den 20. maj 2010, ville du se, at de store bronzedøre til Palais du Tokyo, var lukkede, og at der hang en seddel med, at museet var lukket af ”grundet tekniske vanskeligheder”. Årsagen? Blot få timer forinden havde museet været udsat for en af historiens frækkeste kunst-tyverier.

Fem malerier var blevet stjålet, alle mesterværker, deriblandt en Picasso, Matisse og Modigliani. Det franske kulturministerium kaldte det ”en alvorlig forbrydelse mod menneskets arv”. Den første vurdering, satte tabet på op til 3.892 millioner kroner, men senere blev det nedjustereret til mere beskedne 778 millioner kroner, et beløb som stadig regnes som et af de største kunsttyverier nogensinde.
Selve tyveriet synes at have været latterligt enkelt: En enkelt gerningsmand skulle efter sigende have slået et vindue ind i stueetagen og derefter skåret en hængelås op for at komme ind til malerierne og derpå ganske forsigtigt taget malerierne ud af deres rammer og båret dem ud samme vej, han kom ind. Han blev fanget en enkelt gang på et overvågningskamera, men billedet var for dårligt til at kunne bruges til noget. Malerierne er endnu ikke blevet fundet igen.

De helt eksakte sikkerhedsforanstaltninger på museet er ikke offentliggjorte, for, som nationalsikkerhedsrådgiveren til museer, biblioteker og arkiver i Frankrig, William Brown, siger: ”Det er umuligt at komme ind på de eksakte detaljer af tyveriet i Paris, før myndighederne har offentliggjort en rapport, og det er ikke sket endnu.” Det ville dog være logisk, at ethvert moderne museum vil have dyre og topmoderne sikkerhedssystemer, der virker, og på den måde kan modstå tyverier i dette her omfang.

Avancerede kameranetværk med nattesyn og termiske billedgengivelser, bevægelsessensorer, laser-snubletråde, sikkerhedsophæng til billederne og et følsomt alarmsystem – for slet ikke at tale om et hold af veltrænede sikkerhedsvagter må da have været forhindringer for tyven, der brød ind om natten den 19. maj?

Steve Keller, der er en de førende eksperter inden for museumssikkerhed, og hvis firma, Architects Security Group, har leveret sikkerhedssystemer til Library of Congress, Smithsonian Institute og frihedsgudinden, udtaler, ”for 20 år siden handlede ”sikkerhed” om alarmpaneler og bygningens låsemekanismer. I dag skal der ekspertise i computersikkerhed, computernetværks-struktur, bæredygtigt design, standardiseringer for terrorbekæmpelse og et evigt stigende antal af øvrige standarder til for at kunne rådgive inden for sikkerhed”.
Mængden af forskellige teknologier til rådighed er enorm, og størrelsen på sikkerhedsindustrien vokser tilsvarende med virksomheder, der er ivrige efter at rådgive og hjælpe. Der findes små, meget erfarne firmaer, såsom Architects Security Group, der er specialister i at fremstille, hvad der kaldes Advanced Perimeter løsninger, hvor Flexiguard Voidtech-teknologi bruges til at sikre bygninger, der ligger op af mindre sikre lokationer – såsom banker, der har kontorer over eller under sig – og større løsninger i en sikkerhedspakke.
Der er et stort marked af det nyeste nye sikkerhedsteknologi, der kunne have sikret for eksempel Musée d’Art Moderne den 19. maj. Hvad med en sonisk sensor designet til specifikt at genkende frekvensen af glas, der smadrer? Eller accelerometre under montrer og i billedrammer, der registrerer selv den mindste bevægelse? Stormsikkert glas i vinduerne?

Frankrig har et dårligt ry, når det kommer til sikring af deres kunstgallerier, og Paris i særdeleshed har et ry som centrum for lyssky handler inden for stjålen kunst.

I England har et nationalt eller lokalt galleri endnu ikke været udsat for et ”smadr-og-løb”-røveri i de seneste fire år, efter sikkerhedsretningslinjerne blev opdateret, da en forsikringsordning med regeringen der forsikrede værdifuld kunst på gallerierne og i museerne, blev sat i værk . Som William Brown udtaler: ”Ved at følge regulativerne, bruge intelligente kameraer og de rigtige materialer burde sandsynligheden for at kunne gennemføre et ”smadr-og-løb”-røveri være kraftigt reduceret.”

Et af de største fremskridt inden for de seneste år har været overgangen fra de traditionelle CCTV-kamerasystemer til IP-systemer – netværk med intelligente overvågningskameraer der ikke kræver ekstra, specifik kabelføring, men som helt enkelt bare sættes til de standard ethernetforbindelser, der er.
Lee Abraham fra IndigoVision, der er en førende producent og installatør af IP-overvågning, forklarer, at fordelene er enkle.

”Traditionelle kameraer er ret tunge enheder, der skal kobles direkte ind med lange kabler. IP-kameraer kan flyttes nemt, fjernstyres og har mere indbygget intelligens. De er ikke afhængige af en central kontrol-hub, så hvis du for eksempel skal evakuere kontrolrummet i en nødssituation, kan du stadig holde øje med, hvad der sker indenfor.”

Videoanalyseringssoftware kan gøre de her kameraer til alt-i-ét-alarmsystemer. ”Vi har kameraer, der kan indstilles til at se på billederne på en væg og registrere, hvis et af dem mangler,” siger Lee. ”Så sætter det en alarm i gang og kobler sig til centralkontrolsystemet i dit netværk og sætter dørene til at lukke og låse automatisk”.

Videoanalyseringssoftwaren kan også indstilles til at sætte et IP-kamera til at fungere som en slags virtuel snubletråd. Kameraet registrerer enhver bevægelse inden for et fastsat område og sætter en alarm i gang eller bruger en to-vejs radio til at udsende en advarsel til mulige tyveknægte.

Det er meget avanceret software, der kan skelne mellem dyr og mennesker, holde øje med mistænkelige tasker der er blevet efterladt i et galleri, det kan genkende nummerplader, og retningsbestemte alarmer lyder, når en eller anden går i den modsatte retning end alle andre – for eksempel i et museum ved lukketid.

Defence Advanced Research Projects Agency (DARPA), der er den centrale research- og udviklingsgren i det amerikanske forsvar, arbejder på et IP-kamerasystem, der kan indlæse en hel iris-scanning baseret på et kort, delvist glimt af øjet. IARPA, DARPAs efterretningsafdeling, arbejder på et løgnedetektorsystem, der kan registrere neurale, psykiske, fysiske og adfærdsindikatorer på uærlighed.

En form for iPhone-agtig håndholdt skærm der kan logge sig ind på IP-kameraets feeds, er også tilgængeligt, hvilket giver vagterne mulighed for at se om hjørner og gennem vægge, når de går deres runder. Den eneste begrænsning er båndbredde og lagring.

Der er dog stadig nogle ting, som kameraerne ikke kan klare. Decideret ansigtsgenkendelse er stadig ikke helt mulig. De ansigtsgenkendelses-algoritmer, der findes, er stadig meget spæde og kræver, at det er et tydeligt billede forfra af hele ansigtet, før det kan komme med en identifikation. De lader sig også narre af proteser og masker. Tyvene, der brød ind i Graff Diamonds-butikken i Bond Street i London, havde professionel make-up og latex-proteser på, der gjorde identifikation nærmest umulig.

IP-systemernes intelligente beskyttelse gør det nemt at se, hvorfor de bliver fremhævet som fremtidens overvågning, men ethvert sikkerhedssystem er kun så stærkt, som det svageste led i kæden. IP-kamerasystemerne er forbundet med internettet, og derfor kræver det de allerbedste internetsikkerhedssystemer at holde det kørende, ligesom med andre internetnetværk. Ben Feinstein, der er researcher hos SecureWorks, siger, at uanset hvor smart kamerasystemet er, så er det lige meget, hvis hackerne kan komme ind og hacke det.

”Jeg har set en demonstration af, hvad der kaldes et ”Ocean’s 11”-angreb, hvor et meget dyrt IP-kamera holder øje med et glas vand på et bord – øjensynligt ganske velovervåget. Halvvejs gennem optagelsen begynder et ”manden-i-midten”-angreb. Det vil sige, tyvene optager en del af den video, som IP-kameraet optager, overtager derpå kameraet og erstatter det, den optager, med optagelsen de optog – afspillet i loop. Intet ændrer sig på overvågningsskærmen, og glasset forsvinder, uden nogen ser det. Ved at trykke på en knap kan tyven nu sætte kameraet til at se, hvad der virkelig sker, og man ser nu, at glasset er væk. Det er først her, at man ville opdage, at der var noget galt.”

Alle netværk kan hackes. Det vigtigste er, at sikkerhedsafdelingen benytter sig af de bedste metoder, såsom ”end-to-end”-kryptering som øjeblikkeligt vil registrere, hvis nogen prøver at manipulere netværket udefra. De fleste gode IP-systemer er i stand til dette, men det kræver lange, omstændelige omveje under installationen og opsætningen af systemet, før det kan lade sig gøre. Det er typisk her, at den glipper.

En anden trussel er det, der kaldes ”warkitting”. Det er, hvor hackeren udskifter routerens firmware. Warkitting kan give hackeren fuld kontrol over et sikkerhedsnetværk og endda slå den sikrede kryptering helt fra. Når først tyven har kontrollen over al intern og ekstern trafik, er CCTV, alarmer og andre sensorer, der er tilkoblet netværket, også under tyvens kontrol.
Warkitting blev første gang opdaget af forskere på Indiana University, som kaldte det ”en ”hit-and-run”-omvæltning af private, trådløse routere”. Det kan bruges til at få kontrollen over nogle private computere som optakt til et massivt online angreb eller som led i at hacke endnu mere avancerede netværk. Rapporten fra Indiana University konstaterede, at ”det tager mindre end 10 sekunder at ændre det administrative kodeord, skifte den oprindelige DNS (Domain Name System) til en ondsindet server og få kontrollen over internetadministrationen.”

Konklusionen i rapporten blev, at det ville tage fire måneder at hacke omkring 8.500 udsatte routere bare i Manhattan.

Det viste sig, at sikkerhedssystemerne til omkring 137 millioner kroner, der havde været sat til at beskytte Musée d’Art Modernes indhold, havde opført sig mærkeligt i ugerne op til røveriet den 19. maj, og det var ustabilt og satte falske alarmer i gang. Den nat, hvor røveriet fandt sted, havde overvågningskameraerne været vendt mod taget.

Er det muligt, at Musée d’Art Moderne var blevet udsat for et next-gen cyber-angreb? Blev museets sikkerhedssystem stille og roligt gennemtjekket inden røveriet, hvor de nødvendige komponenter blev installeret, så de kunne tage kontrollen over museets sikkerhed, inden de lukkede det ned på selve aftenen, hvor røveriet fandt sted? Teknologien og softwaren for at kunne gøre det findes, men det ville være første gang, det er blevet brugt i forbindelse med et røveri. Indtil videre har disse former for cyber-angreb været forbundet med online-tyverier, men der er naturligvis en stor sandsynlighed for, at sådanne angreb kunne bruges i optakten til et røveri som det på museet.

”Man tror, at røveriet i Paris kunne være et sådant tyveri, i og med den konventionelle sikkerhed synes at være blevet taget ned via router/netværk-indtrængning – i bund og grund warkitting,” forklarer Jart Armin fra CyberDefCon.com. ”Hvis vi skal være 100 procent sikre, vil jeg selvfølgelig ikke kunne udtale mig, men lad mig sige det på denne her måde: Tror du museets avancerede og dyre sikkerhedssystem, der var blevet testet kort forinden, ville gå ned på et så katastrofalt, belejligt og tilfældigt tidspunkt, netop som røveriet fandt sted?”

I sidste ende er sofistikerede, integrerede sikkerhedssystemer ret ligegyldige, hvis tyvene tyer til almindelig vold. Det er ikke ret meget, der kan gøres for at undgå, at forbryderne tager gidsler, der med pistol for panden bliver tvunget til at udlevere 483 millioner kroner, som det var tilfældet ved et røveri ved et Securitas-depot i England i 2006. Her havde en bande forklædt sig som politimænd og truet den depotansvarlige og hans kone og børn med AK-47 maskingeværer og pistoler. At indstille sig på den slags angreb ville kræve en stabil, veltrænet sikkerhedsstab.

På den anden side kan et stærkt forsvarsnetværk af traditionelle overvågningskameraer med den dygtigste stab være ret lige meget, når det kommer til avancerede, teknologiske angreb. I dag er det denne type hightech-angreb, der udgør den største trussel over for banker og virksomheder. Traditionelle røverier, som det med Securitas og tyveriet i Paris, hører til sjældenhederne. Nutidens kriminelle foretrækker at gemme sig i den beskyttelse og anonymitet, internettet giver.

I 2007 oplevede den estiske regering og andre politiske partier sammen med en del banker, medievirksomheder og andre virksomheder, at alle deres hjemmesider gik ned, da de blev kollektivt angrebet af en masse cyber-angreb. Netbanker gik ned, indenrigs- og udenrigskommunikation blev afbrudt, og hundredvis af virksomheder stod pludselig stille. Estland er et af de lande, hvor netbanker bliver brugt mest, og hele 75 procent af befolkningen er online. Angrebene skete samtidigt med nogle diplomatiske uoverensstemmelser mellem Estland og Rusland, der handlede om en opgørelse over antallet af krigsgrave.
Halvandet år senere, da Rusland påbegyndte sine militære aktioner i det omstridte Syd-Ossetienske område, blev en del Ossetienske, Georgiske og Azerbaijanske medievirksomheder udsat for en række cyber-angreb, der begrænsede adgangen til information om konflikten, og i mindst et tilfælde blev seerne sendt videre til Moskva-venlige nyhedsformidlere.

Informationssikkerhedsfirmaet Greylogic offentliggjorde i 2009 en rapport, der fastlagde, at ”det tilgængelige bevismateriale tydede kraftigt på, at GRU/FSB (russiske efterretningstjenester) havde planlagt og styret det på et højt plan med hjælp fra Nashi (en anti-fascistisk ungdomsgruppe) som mellemmænd, og de havde benyttet sig af ”crowdsourcing”, for at skjule deres involvering og sætte deres strategi i værk.”

De estiske og georgiske cyber-angreb er blevet milepæle inden for internetbaserede konflikter. De brugte det, der hedder ”direct denial of service” (DDos)-angreb, hvor man oversvømmer et site eller et netværk med anmodninger om ekstern kommunikation, der overvælder systemet og gør det ude af stand til at fungere ordentlig. Det blev gjort ved hjælp af en trojansk hest ved navn BlackEnergy, som nu bliver brugt af kriminelle. Jart Armin tilføjer, at ” vi [CyberDefCon.com] var de første til at opdage cyber-krigen mod Georgien, og her på det seneste har vi bemærket den samme signatur i forbindelse med adskillige bankrøverier.”

”Den trojanske hest, BlackEnergy, udfører i bund og grund et DDos-angreb på bankens informationssystemer, mens bankens konti bliver tømt.
Tidligere på året rapporterede SecureWorks’ anti-trussel afdeling, at BlackEnergy-toolkittet var blevet identificeret ved adskillige online bankrøverier i Rusland og Ukraine. Mellem februar og juni i 2010 blev over et dusin banker angrebet, hver med tab mellem 100.000 dollars og 400.000 dollars. Armin mener, at tabene kunne have været meget værre. ”Samtlige af de registrerede online-indbrud har været en succes for forbryderne. Den eneste begrænsning har været, hvor lang tid det tog bankerne at opdage, at indbruddet var i gang og sætte deres systemer offline.”

Nu er en ny, opgraderet version af BlackEnergy blevet opdaget. Den er ændret til at være mere tilpasningsvenlig, mere alsidig og farligere. Joe Stewart fra SecureWatch forklarer, at forbryderne kombinerer DDos-funktionen med en Java plug-in, der hacker sig ind gennem bankens autentificeringssoftware og kanaliserer beløb ud, mens de gemmer sig under den blackout, ”denial of service” giver. ”Det er en god strategi at holde de bankansatte beskæftigede, mens man tager pengene. Det afholder også pengenes ejermænd fra at logge på og opdage, hvad der foregår.”

Indtil videre har det primært været mindre banker i Rusland og det tidligere Sovjet, hvor det rygtes, at de forbrydersyndikater, der står bag, holder til. Der er dog ingen grund til, at store, vestlige banker ikke også skulle stå for skud.
”Den generelle modstandsdygtighed i en bank eller større virksomhed over for sådan nogle angreb afhænger af deres evne til at modstå DDoS-angreb. Et stærkt zombie-botnet på 100.000 (et netværk af almindelige, private pc’ere, der uden brugernes viden, er blevet rekrutteret til at lystre den cyber-kriminelle) ville overvælde ethvert eksisterende forsvar,” siger Armin.

Det lyder måske umiddelbart som et urealistisk højt antal kaprede computere, men cyber-kriminelle kan hverve hundredetusinder af uforvarende medskyldige relativt nemt, så truslen er reel nok.

Hele idéen med penge der forsvinder i den blå luft – eller bare ind på en kriminels udenlandske konto – uden så meget som at strejfe kraven på en sikkerhedsvagt, lyder måske alarmerende, men disse tyverier er online-verdenens svar på at smadre en gaffeltruck gennem hoveddøren på en bank.

En række banksvindelsager i USA de seneste måneder tyder på en mere lumsk tilgangsmåde. Adskillige virksomheder har tabt mellem 50.000 dollars til 1,2 millioner dollars til ondsindede angreb, der udnytter det svageste led i kæden mellem kunden og netbanken – nemlig privat- eller kontorpc’en.
Ben Feinstein beskriver denne type malware-baserede angreb som ”masse-tyveri fra virksomheder som har penge nok til at være interessante, men som ikke har samme sikkerhedsforanstaltninger som de større selskaber.”

Normalt vil en svinder-in-spe stile efter en bestemt målgruppe, som for eksempel engrosfødevareforhandlere. Ved hjælp af enkle bots filtrerer de Google for e-mailadresser inden for den sektor. Derpå sender de en spammail, der overbeviser modtageren om at åbne den vedhæftede fil, der indeholder en trojansk hest, der er en software, der indsamler kodeord. Her er hackerne stadig afhængige af at udnytte folks tillid og uvidenhed for at kunne få adgang til deres sikkerhedsoplysninger.

Når det er sagt, skal det lige tilføjes, at det ikke altid er helt let at se, om du har med en e-mail-trussel at gøre. Cyber-kriminelle bruger mere og mere omfattende og troværdige metoder, såsom at gemme den trojanske hest bag noget, der ligner en pdf-fil, såsom en faktura, en pakkemeddelelse eller en brochure fra virksomheden.

Når først den cyber-kriminelle har fået adgang til dine bankoplysninger, kan de bruge deres nye kontrol til at hacke sig forbi din banks sikkerhedsforanstaltninger og sætte gang i en masse, falske udbetalinger i dit navn. På den måde omgås den sikkerheden med dobbelt brugerautorisation ved betalinger og e-mailnotifikationer om uautoriserede udbetalinger. En cyber-hacker, der kaldes ”indkassereren”, videresender herefter de stjålne penge til uforvarende stråmænd, der, enten velvidende eller ganske uskyldigt, videreformidler pengene, enten bevidst eller via scams der opfordrer dem til at videresende pengene, via Western Union eller Moneygram.

Når først pengene er blevet delt op og sendt rundt internationalt, bliver de derpå sendt rundt via indenrigsoverførselsservices eller bare hævet. Så kan man godt glemme alt om at finde pengene igen.

Så hvilken teknologi findes der, der kan beskytte forbrugerne og virksomhederne mod cyber-angreb? En mulig løsning kunne ligge i det pionerarbejde Invisible Things Lab, et firma i Warszawa, der forsker i sikkerhed, udfører i øjeblikket. Grundlægger og direktør, Joanna Rutkowska, arbejder på et operativsystem, der vil kunne beskytte brugerne mod denne type ondsindede angreb.

Systemet, der kaldes Qubes, skal erstatte dit nuværende standard styresystem, som Rutkowska forklarer: ”Nuværende systemer, såsom Windows, Mac OS X eller selv Linux-baserede systemer, leverer ikke et tilfredsstillende niveau af sikkerhed. Vi ser dette hver eneste uge, hvor vi læser om nye angreb på browsere eller pdf-læser-programmer, der ofte medfører, at hele maskinen med al data bliver kompromitteret. Er det ikke sygt, at hvis bare en af dine applikationer bliver kompromitteret, bliver hele dit system også kompromitteret?”
Qubes-systemet giver brugeren mulighed for at opdele sine aktiviteter på forskellige virtuelle maskiner (VM), som hver især har fået tildelt forskellige sikkerhedsniveauer. Du kan have en VM, du bruger til almindelig surfing på nettet, en anden til e-mails og en til din netbank. De kan bruges samtidigt, men hvis du støder ind i en virus eller noget malware, mens du surfer eller tjekker mails på den ene VM, så sker det helt isoleret fra alle andre programmer og funktioner. Det laver en slags virtuelt pengeskab på din computer, hvor alle dine følsomme, personlige data er gemt i.

Den israelske forsker, dr. Jacob Scheuer, mener imidlertid at have opfundet et krypteringssystem, der kan modstå alle eksisterende hacking-metoder. Ved at bruge binære lysimpulser, der styres gennem fiberoptik og ikke elektroniske signaler, kan man sende en kode, der kun kan tydes af afsenderen og modtageren. Han hævder, at det vil kunne fungere på globalt plan, og at ”selv med en fremtidig kvantecomputer vil hackeren stadig ikke kunne hacke koden.”

”Fremtidige tyverier fra museer kommer ikke til at ske med våben, eller ved at en tyv lister gennem tomme gallerier,” siger Steve Keller. Som sikkerhedsteknologien har udviklet sig, bliver de kriminelle endnu mere snu til at omgå foranstaltningerne ved hjælp af internettets mørke kroge. Sikkerheds-systemerne er nu så intelligente, at når de bliver brugt rigtigt, er de næsten umulige at omgå – men dét var der nogen, der havde glemt at fortælle tyven i Musée d’Art Moderne åbenbart…