tirsdag den 29. januar 2019

151.000 personer bestilte 4 millioner DDoS-angreb

20 landes politi har beslaglagt nettets største websted for bestilling af DDoS-angreb og retsforfølger nu brugerne.

I april 2018 nedtog politimyndigheder verdens største ulovlige markedsplads webstresser.org for DDoS-angreb som en del af Operation Power OFF. Det har givet politimyndigheder i og udenfor Europa et skatkammer af oplysninger om webstedets 151.000 registrerede brugere. Der er også danskere iblandt.


Europol og Joint Cybercrime Action Taskforce (J-CAT) koordinerer med støtte fra det hollandske politi og British National Crime Agency i januar 2019 aktioner over hele verden for at opspore brugerne af disse DDoS-angreb (Distributed Denial of Service – overbelastningsangreb). Webstedet Webstresser.org anses for at have været verdens største markedsplads for bestilling af DDoS-tjenester og har hjulpet med til at igangsætte mere end 4 millioner angreb for så lidt som 115 kr. om måneden. Ejere af botnet udbød deres service mod betaling til kunder, der ønskede bestemte websteder gjort uarbejdsdygtige via denne markedsplads.

Hvad er et DDoS-angreb?
DDoS-angreb er rettet mod tjenester på Internettet med det formål at overbelaste dem, så de ikke kan betjene deres egentlige brugere eller kunder. Det sker ved, at et såkaldt botnet, der består af pc’er, mobiltelefoner og andre internetforbundne apparater, samtidigt via installeret malware på dem samlet retter millioner af anmodninger per sekund via Internettet mod disse webtjenester. Det kan benyttes til afpresningsformål, hvor angrebet ophører mod betaling af en sum penge, eller til chikane eller hævn.
Historisk har DDoS-angreb været forbundet med hacker- og hacktivist-grupper og anses ofte for at være professionelle IT-kriminelles værk. Men i de senere år med DDoS-bestillingstjenester er barrieren sænket betydeligt. Disse tjenester tilbyder muligheden for anonymt at angribe ethvert mål på Internettet for få hundrede kroner.
Fordi denne form for aktivitet er ulovlig, vælger flere DDoS-bestillingsleverandører at kalde deres tjenester for en stresser, idet de kan benyttes til legalt at teste et serversystems robusthed mod angreb. Men disse tjenester tjekker ikke kundernes identitet for at afgøre, om tjenesten dermed er lovlig. Andre botnet-ejere kalder på den anden side en spade for en spade og benævner direkte deres tjeneste som booter eller ddoser. Stressere, bootere og ddosere gør nøjagtigt det samme - der er ingen forskel på deres tjenester.
Det er IT-kriminalitet-som-service.

Retsforfølgelse af brugerne

I Storbritannien har et antal af webstresser.org’s brugere for nyligt haft besøg af politiet, som har beslaglagt mere end 60 personlige elektroniske apparater fra dem til analyse som en del af Operation Power OFF. Det britiske politi har også gennemført et antal operationer mod andre DDoS-kriminelle; over 250 brugere af webstresser.org og andre DDoS-tjenester vil snart skulle stå til regnskab for den skade, de har forårsaget.

Virkningen af succesrige DDoS-angreb verden over blev for nyligt tydeligt ved domfældelsen for en 30-årig hacker, der fik næsten 3 års fængsel i Storbritannien efter at være blevet fundet skyldig i at udføre DDoS-angreb mod Liberias førende mobiltelefoni- og internetselskab. Han havde benyttet lejede botnet og stressere, før han udviklede sit eget botnet.  På sit højeste i november 2016 lagde det hele det vestafrikanske lands internetadgang ned med et angreb, der havde skader til mange millioner kroner til følge.

Landene, der er gået sammen om at bekæmpe DDoS-angreb, er Belgien, Kroatien, Danmark, Estland, Frankrig, Grækenland, Irland, Litauen, Portugal, Rumænien, Slovenien, Sverige, Tyskland, Australien, Colombia, Serbien, Schweitz, Norge og USA.

I Holland har politiet og anklagemyndigheden udviklet et særligt projekt kendt som Hack_Right til at tage hånd om unge førstegangslovbrydere for at forhindre dem i at forsætte med mere alvorlige forbrydelser. En hollandsk bruger af webstresser.org har allerede fået denne alternative sanktion.

Dansk politi har fundet 12-15 danske IP-adresser af interesse blandt brugerne af webstedet. Det har hidtil ført til seks anholdelser. Man har bl.a. fundet frem til flere mindreårige, hvoraf den yngste er blot 13 år. De enkelte politikredse tager sig af sagerne. De danske brugere har angiveligt bestilt angrebene for et lille beløb. Politiet opfordrer de unge mennesker, der har evner inden for IT, til at bruge dem mere konstruktivt. I Danmark går strafferammen for et DDoS-angreb op til to års fængsel, hvis det gøres flere gange, men mange sager ender dog med en bøde.

Følger af nedtagningen

Ifølge Europol har nedtagningen af webstresser.org en måned efter medført en nedgang i antallet af DDoS-angreb på 60 procent på verdensplan. 

Mens nogle har fokuseret deres aktioner mod især brugere af webstresser.org, har andre politimyndigheder verden over intensiveret deres aktiviteter mod brugere af DDoS booter- og stresser-tjenester i almindelighed. Det amerikanske FBI beslaglagde i december 2018 15 andre DDoS-bestillingswebtjenester, bl.a. de relativt kendte Downthem og Quantum Stresser. Det rumænske politi har ligeledes taget forholdsregler mod administratorerne af to småskala DDoS-platforme og har beslaglagt digitale beviser, bl.a. oplysninger om brugerne. Størrelsen betyder ikke noget – brugere på alle niveauer er på politiets radar, uanset om angrebene er rettet mod at sætte computerspillere i e-sportskonkurrencer ud af spillet eller en højniveau-hacker, der udfører DDoS-angreb rettet mod kommercielle mål med økonomisk vinding for øje.

Et DDoS-angreb på DSB

I maj 2018 oplevede DSB at blive ramt af et DDoS-angreb. Det betød, at billetsystemerne blev lammet i flere timer, således at passagerer ikke kunne købe billetter i appen, stationen eller i DSB's kiosker.

Den gode nyhed er, at tendensen er, at omfanget og varigheden af DDoS-angreb på danske virksomheder er faldende. Den dårlige nyhed er, at virksomhederne bliver ramt hyppigere og den samme virksomhed flere gange efter hinanden. Mere end halvdelen af alle angreb varer mindre end 15 minutter, men der følger flere angreb efter hinanden. Det kunne tyde på, at det er bestillingsarbejde, hvor der betales for en vis angrebsmængde, som det kan ske via disse DDoS-bestillingstjenester.

Center for Cybersikkerhed har flere gange advaret om, at flere kritiske sektorer er i meget høj risiko for at blive ramt af DDoS-angreb.

Letheden at udføre DDoS

DDoS-bestillingstendensen er et presserende problem, hovedsageligt pga. hvor let tilgængelig det er blevet. Stresser- og booter-tjenester har effektivt sænket indgangsbarrieren til IT-kriminalitet: for en lille betaling kan enhver med ringe IT-færdigheder starte et DDoS-angreb ved klik på en knap og derved bringe hele websteder og netværk i knæ ved at overdynge dem med trafik. Den skade, der kan udøves, kan være betragtelig og bringe virksomheder økonomisk i knæ og berøve folk for adgang til vigtige tjenester ydet af banker, offentlige institutioner og politiet.

Følger af anonymitet for brugerne

De, der bestiller sådanne DDoS-tjenester kan være anonyme, idet det er andres botnet, der udfører angrebene. Men er et bestillingswebsted blevet beslaglagt, kan politiet se IP-adresserne på kunderne. Dvs. det er kun muligt, hvis kunderne ikke har benyttet en anonymiseringstjeneste som TOR-netværket eller et virtuelt privat netværk (VPN), der begge skjuler den oprindelige IP-adresse. Men selv her har politiet muligheder. Hvis politiet holder webstedet i drift i nogen tid, kan de udnytte sikkerhedsbrister i softwaren på kundernes pc’er til at installere malware, der sender den oprindelige IP-adresse tilbage til politiet. Har politiet denne, er det sædvanligvis en smal sag at finde ud af navn og adresse på kunden.

Mange unge IT-entusiaster, der har fået blod på tanden af at kunne være anonyme på nettet, bliver involveret i denne tilsyneladende lavniveaukriminalitet uden at være klar over, hvilke konsekvenserne sådanne online-aktiviteter kan medføre. Cyberkriminalitet er ikke uden ofre, og den tages ekstremt alvorligt af politiet. De følgevirkninger en politiefterforskning kan have på disse teenageres liv, kan være alvorlig og gå så langt som til en fængselsdom i visse lande.

Uddannelse i programmering, færdigheder i spil, IT-sikkerhed eller ethvert andet IT-relateret fag, er særdeles efterspurgt, og der er mange karrierer og muligheder tilgængelige, hvor disse evner kan udnyttes viist. 

Hvis du vil vide mere

Du kan læse mere om DDoS-angreb i min bog ”Bliv sikker på nettet”:

Side 40-44: Zombier i botnet
Side 245-248: DoS og DDoS-angreb - Overbelastningsangreb
Side 247-248: Alle kan bestille et hacker-angreb på nettet

Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”. Bogen kan bl.a. købes her.

Kilder: Europols pressemeddelelse (engelsk) og Jyllands-Posten (dansk).

torsdag den 17. januar 2019

Højesteretsdom: Hæftelse for lån optaget ved misbrug af NemID


Du kan optage et lån, som underskrives med dit NemID. Det er smart. Men hæfter du for et lån, som en anden har optaget i dit navn med brug af dine tvangsudleverede NemID-oplysninger?

Den 8. januar 2019 afgjorde Højesteret to sager om hæftelse for lån optaget ved misbrug af to personers NemID’er, hvor begge følte sig tvunget til at udlevere deres NemID-oplysninger - uden at vide, at der skulle optages lån.

Tilfældet A

I det ene tilfælde om den unge mand kaldt A er oplyst dette sagsforløb ved Fogedretten i Horsens:

Ved lånedokument af 3. oktober 2016 blev der optaget et lån hos Basisbank A/S på 49.680 kr. Lånedokumentet blev underskrevet ved brug af As NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med As navn, CPR-nr. og adresse. Basisbank havde med ansøgningen tillige modtaget lønsedler og en årsopgørelse, som senere viste sig at være forfalskede, samt oplysning om en mailadresse, hvortil lånedokumentet kunne sendes.
Provenuet blev udbetalt til As konto i en anden bank.
A har selv afgivet følgende forklaring om hændelsesforløbet ved Fogedretten:

A oplyste, at han har haft en narkogæld på 15.000 kr. Af sælgeren, hvis navn han ikke kender, blev han presset til at udlevere kreditkortoplysninger. Skyldneren skulle udlevere kopi af sit pas, MasterCard til Sparekassen Kronjylland, en kopi af nøglekortet med NemID og koden. A tænkte ikke nærmere over, hvad der ville ske. Han var bare glad for, at gælden på den måde kunne komme ud af verden. Han blev senere klar over, at disse oplysninger er blevet misbrugt bl.a. til at optage et lån i Basisbank A/S. Ved at misbruge hans kreditkortoplysninger er der opstået en gæld på i alt ca. 400.000 kr.
Sagen er under efterforskning hos Sydøstjyllands Politi. Han har supplerende oplyst, at låneprovenuet fra Basisbank blev sat ind på den konto, der var oplyst i låneansøgningen.
Da han udleverede en kopi af sit MasterCard i Sparekassen Kronjylland, var der ingen penge på kontoen. Han har ikke brugt nogen af pengene fra lånet i Basisbank. Pengene må være hævet af sælgeren eller narkobagmændene. Skyldneren bor på et værelse hos sin mor. Han har ikke haft arbejde i 2016 og er på kontanthjælp.
A sørgede ikke for at spærre sit NemID før længe efter. A, der har diagnosen ADD (Attention Deficit Disorder - ADHD uden H for hyperaktivitet - den stille ADHD), har ikke over for Fogedretten afgivet en sammenhængende forklaring, men svaret på spørgsmål med korte sætninger – i flere tilfælde enstavelsesord.

Basisbank havde via Fogedretten og Landsretten krævet lånet indfriet hos A pga. misbrug af hans NemID-oplysninger, der var givet til en anden, hvilke udtrykkeligt skal holdes fortrolige sådan som betingelserne for NemID foreskriver. Basisbank mente sig i god tro, selvom der tidligere havde været eksempler på tvungen misbrug af NemID ved lånoptagelse, og at banken ikke ved optagelsen undersøgte, om det kunne være tilfældet her.

Højesterets dom for A og Basisbank

Højesteret lagde til grund for afgørelsen, at loven sidestiller underskrift med NemID med en fysisk underskrift. Selvom det har vist sig, at en NemID-underskrift kan misbruges til dokumentfalsk - endda uden at skyldneren har givet fuldmagt til det og uden dennes viden om formålet - på en let måde sammenlignet med en skrevet underskrift, har lovgiverne ikke fundet, at der skal skelnes mellem de to former for underskrift. En digital NemID-underskrift er gyldig på lige fod med en skriftlig. Derfor har Højesteret ikke kunnet gøre andet end at give Basisbank medhold i, at lånet skal indfries hos A som følge af grov uagtsomhed. Og det selvom den unge mand har vanskeligt ved at tage initiativ pga. ADD til f.eks. at spærre sit NemID og kontakte banken om sagen - og havde følt sig truet i nogen tid efter.

Tilfældet B

I det andet tilfælde foreligger denne sag fra Fogedretten i Holbæk mod den unge mand kaldt B:

Ved lånedokument af 7. februar 2017 blev der optaget et lån hos Basisbank A/S på 43.200 kr. Lånedokumentet blev underskrevet ved brug af Bs NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med Bs navn, CPR-nr. og adresse og oplysning om en mailadresse, hvortil lånedokumentet kunne fremsendes. Provenuet blev udbetalt til Bs konto i en anden bank.
Basisbank søgte efterfølgende det digitale lånedokument tvangsfuldbyrdet hos B ved Fogedretten i Holbæk.
B afgav denne forklaring til Fogedretten:

Han forklarede …, at han d. 7. februar 2017 blev kontaktet af sine venner på Facebook, C og D (ikke kendt efternavn). De kender en person ved navn ”E”, og denne havde brug for hjælp til at få hævet 40.000 kr. B blev hentet i Kalundborg fra skole og kørt til Holbæk, hvor han mødte ”E” på havnen.
C og D sagde, at han skulle udlevere sit CPR, sit NemID og kontooplysninger. Han fik at vide, at det skulle bruges for, at pengene kunne hæves til E, der skal have dem i kontanter.
Han fik flere gange at vide, at han skulle gøre, som de (D og C) sagde, ”fordi hvis E ikke fik det, som han ville have det, kunne han godt finde på at gøre noget, der ikke er så godt”, eller noget i den retning.
B følte sig truet/presset til at udlevere sine personlige oplysninger, herunder brugernavn og password til NemID. Han hævede 40.000 kr. fra sin konto i Sparekassen Sjælland senere samme dag og gav de 40.000 kr. i kontanter til E. Han fik 3.000 kr. i kontanter for at gøre det, men blev først om aftenen klar over, at det var penge, der var udbetalt via et gældsbrev, der var oprettet i hans navn via internettet. Dette var han ikke klar over, da han gav oplysningerne til D og C. Men om aftenen undrede han sig over, hvor pengene var kommet fra. Det er ikke hans mobil nr., der er anført på gældsbrevet. Han ved ikke, hvem der har det anførte nr. ….
Han havde fået at vide, at det handlede om at ”at få penge ud fra en konto”, og at de skulle bruge hans NemID, for at det kunne lade sig gøre.
Han anmeldte forholdet til politiet næste dag og fremlagde under fogedmødet diverse dokumenter til dokumentation herfor. Han har først modtaget kvittering for anmeldelsen den 6. september 2017, efter at han har rykket politiet for den.
Han har fået oplyst, at sagen er overgivet til efterforskning i Roskilde politis afdeling for økonomisk kriminalitet. Men han har ikke kunnet få kontakt til denne afdeling den seneste uge, hvor han har forsøgt at få at vide, hvor langt sagen er nået.
B kender andre, der har været udsat for samme hændelsesforløb. Det er ….
Fogedretten i Holbæk traf afgørelse den 22. september 2017. Fogedretten nægtede at fremme begæringen om udlæg, og i afgørelsen anføres det bl.a.:

B har i fogedretten under strafansvar afgivet en detaljeret forklaring om forløbet d. 7. februar 2017, og at han ikke var vidende om, at hans personlige oplysninger i relation til NemID blev anvendt til at oprette et gældsbrev i hans navn. Hans forklaring i retten støttes af de oplysninger, han har givet over for politiet, da han anmeldte forholdet dagen efter hændelsen, dvs. d. 8. februar 2017, hvilket er dokumenteret ved fremlæggelse af mail.
På baggrund heraf finder fogedretten det betænkeligt at fremme sagen på baggrund af det fremlagte digitale gældsbrev, jf. Rpl. § 501, stk. 1.
Basisbank kærede fogedrettens afgørelse til Østre Landsret, som den 14. december 2017 ophævede afgørelsen og hjemviste sagen med henblik på fremme af udlægsforretningen. I landsrettens afgørelse anføres det bl.a.:

B har i fogedretten forklaret, at han udleverede sit CPR-nr. og NemID, herunder brugernavn og password, til to venner fra Facebook, og at han fik at vide, at oplysningerne skulle bruges til at hæve 40.000 kr., som en ham ukendt person ved navn E havde brug for hjælp til at få hævet. Han har endvidere forklaret, at han følte sig truet til at udlevere de nævnte oplysninger, og at han senere samme dag fra sin konto hævede 40.000 kr., som han gav til E i kontanter, hvorefter han fik 3.000 kr. Landsretten finder, at B ved at udlevere de nævnte oplysninger og ved – uanset at han efter sin forklaring havde følt sig truet til at udlevere oplysningerne – senere samme dag at hæve 40.000 kr. og udlevere til E uden forinden at foranstalte nærmere undersøgelse af, hvorfra dette beløb, der stod på hans konto, stammede, har udvist en sådan grad af uagtsomhed, at han i forhold til Basisbank A/S hæfter for låneoptagelsen.
B anførte især, at han ikke selv optog lånet eller gav samtykke til det, hvorfor han ikke er skyldner for lånet. Da han hævede pengene, var han ikke klar at det var penge fra et lån, men troede at de var trukket ud af et konkursramt firma. Han tænkte ikke på, at de udleverede NemID-oplysninger kunne benyttes til låntagning i den størrelsesorden. Da han stadig i de første timer efter udleveringen var omgivet af gerningsmanden og dennes tilhængere, følte han sig stadig truet af vold.

Han tilhører en gruppe af ressourcesvage borgere i samfundet, som ikke er i stand til at varetage egne interesser i forbindelse med brugen af digital signatur. Denne gruppes retssikkerhed er truet af NemID-systemet, som har vist sig at være langt lettere at misbruge end det tidligere system med personlig underskrift.

Basisbank var bekendt med, at den form for bedrageri, som han blev udsat for, fandt sted igen og igen. Til trods for, at Basisbank sad inde med denne viden, gjorde banken intet forsøg på at verificere identiteten på låntagerne. Basisbank udviste herved et vist mål af egen skyld. Ved den lemfældige forretningsgang holdt Basisbank sig desuden for egen vindings skyld i bevidst uvidenhed om svig. Da Basisbank burde have indset, at den erklæring, som blev afgivet over for Basisbank i forbindelse med låntagningen, kunne være fremkaldt ved svig fra tredjemands side, og da Basisbank intet gjorde for at afkræfte dette, er erklæringen ikke bindende for afgiveren.

Højesterets dom for B og Basisbank

Ligesom i tilfældet A argumenterede Højesteret for, at Basisbank kan gøre udlæg, idet der er tale om grov uagtsomhed ved udleveringen af NemID-oplysningerne, og at B endda selv havde hævet pengene.

Konsekvenser

Lovgivningen tager ikke hensyn til, at ressourcesvage personer ikke kan modstå tvangsudlevering af NemID-oplysninger og heller ikke sørge for spærring af NemID’et og hurtig underretning af bank og politi.

Som digitaliseringen af samfundet er i dag, skal flest mulige mennesker have en digital signatur for at gennemføre økonomiske og juridiske transaktioner. Ikke alle kan honorere dette til fulde. Det er disse to mennesker kommet til at lide under. De skal betale pengene tilbage. Havde lovgiverne været opmærksom på, at nye former for kriminalitet kan begås ved tvang, som det vil kunne ske ved den omsiggribende digitalisering, kunne de have taget højde for denne situation. Om det vil kunne lade sig gøre uden at svække gyldigheden af NemID er spørgsmålet. Måske handler det for bankerne om at indføre en procedure for bekræftelse af låntagning hos ansøgeren.


Hvordan kan du sikre dig?

Er der nogen måde at sikre sig mod optagelse af lån i ens navn, hvis du bliver tvunget til at give sine NemID-oplysninger fra dig?

Der findes faktisk en sikring mod dette, som du selv skal tilmelde dig. Den kaldes kreditadvarsel

Man kan blive markeret i CPR-registret med en kreditadvarsel. Alle finansielle institutioner og firmaer, der udbyder lån og kreditter, kan trække på denne oplysning i CPR-registret. Det betyder, at hvis nogen vil købe en mobiltelefon på afbetaling, kan vedkommende blive afvist, hvis CPR-nummeret, kørekortnummeret eller pasnummeret er mærket dér med kreditadvarsel. 


Sådan gør du

Det er ret let at blive markeret med kreditadvarsel i CPR-registret. Du kan selv gøre det enten via www.borger.dk eller ved at møde op i borgerservice hos kommunen. 

På www.borger.dk kan du søge efter kreditadvarsel i søgefeltet i øverste, højre hjørne og vælge det første punkt blandt de fire søgeresultater. Eller du kan klikke på linket herunder, som fører dig direkte dertil: 

https://www.borger.dk/internet-og-sikkerhed/identitetstyveri/kreditadvarsel

Her kan læse mere om, hvad kreditadvarsel medfører, og du kan markere kreditadvarsel for dig selv dér. Du skal være klar over, at er du markeret med kreditadvarsel i CPR-registret, kan du få meget svært ved at optage lån selv. Men du vil altid forud for låntagning selv kunne fjerne markeringen kreditadvarsel igen. Det er lige så let at fjerne den igen som at oprette den. 

Og så må du håbe, at en kriminel, der har dine NemID-oplysninger, ikke kender til denne sikring, så han ikke ophæver den. 


Benyt NemID-nøgleappen

Digitaliseringsstyrelsen gav i 2018 mulighed for at benytte tofaktorautentificering med NemID ved, at der kan logges på websteder, der benytter NemID, med en app på mobiltelefonen eller tabletten. Hvis nogen anden optager et lån i dit navn, og du benytter appen, vil du få det at vide og kun kunne godkende det via appen. Du får endda at vide, på hvilket websted det sker. Læs mere om nøglekort-appen her.

Følger af den omsiggribende digitalisering i samfundet for kriminaliteten

Hvis samfundet inden for nogle få år går helt ind for digitale penge og dermed helt bort fra kontanter, hvilke former for berigelseskriminalitet vil der da kunne finde sted?

Bankerne argumenterer for det kontantløse samfund med, at berigelseskriminalitet vil blive meget vanskelig, at man altid kan følge pengene, hvis der ikke kan finde anonyme pengeoverførsler sted.

Men forsvinder de kriminelle elementer så fra samfundet?

Bliver de tvunget til at benytte lovlige måder at skaffe sig penge på - f.eks. ved traditionelt arbejde, kontanthjælp eller arbejdsløshedsunderstøttelse? Eller vil vi opleve desperate kriminelle, der begår kriminalitet á la hjemmerøverier mod formuende mennesker med trusler om vold og det, der er værre, overfor deres familie til følge?

Dette kan de gøre for at tvinge dem til at købe fysiske ting til dem, f.eks. en bil, dyre ting i butikker, narkotiske stoffer eller anonym kryptovaluta. Ting købt på denne måde vil kunne sælges som hælervarer via eBay, Den Blå Avis og personligt via MobilePay, hvorved den kriminelle alligevel får penge ud af det. Men pengene vil kunne følges. Alle aftagere af hælervarer vil kunne findes. Vi ser allerede i dag udbredt svindel med lækkede kreditkortoplysninger, så der kan købes varer og tjenesteydelser via nettet overalt i verden.

Selv køb af anonym kryptovaluta vil fremover kunne følges, for SKAT ser ud til at få mulighed for at få oplyst navn, adresse og CPR-nr. på dem, der har købt og solgt kryptovalutaer via de danske kryptovalutabørser. Og kan SKAT det, så kan politiet vel også få fat på disse oplysninger. Dermed vil kryptovalutategnebøger ikke længere være anonyme, og den kriminelle aktivitet via disse vil kunne følges af myndighederne. Myndighederne vil sikkert gøre, hvad de kan for at gøre alle pengetransaktioner sporbare og personerne bag kendte.


Hvis du vil vide mere

Hvis du vil vide mere om IT-sikkerhed for den almindelige borgere, kan jeg henvise til bogen "Bliv sikker på nettet", der udkom i november 2018. Den kommer ind på mange aspekter af sikkerhed vedrørende NemID:
  • Side 161-163: NemID-phishing
  • Side 163-164: Phishing efter NemID-koder via netbank
  • Side 164-165: Netbanksangreb via man-in-the-browser-teknikker
  • Side 231-239: Kapitel 17 - NemID og hacking
  • Side 233: Er NemID sikker?
  • Side 234-239: Gode råd til hvordan du undgår at dit NemID bliver hacket
Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet". 

Kilder: Højesteret: A's sag og Højesteret: B's sag.

mandag den 14. januar 2019

Er du blevet ramt af phishing via mail?

Mange af os modtager jævnligt uopfordret tilsendte e-mails. Nogle af dem handler om, at vi har købt noget, vi ikke erindrer at have købt, eller advarsler om, at din brugerkonto hos et websted, du af og til benytter, har oplevet en eller anden unævnt uregelmæssighed og derved er blevet spærret. Vi opfordres til at klikke på en knap i mailen for indtaste sit bruger-id og adgangskode.

Se f.eks. denne e-mail, der angiveligt er fra betalingsformidlingsfirmaet PayPal:
PayPal er en tjeneste, der formidler betalinger uden, at modtagerne af betalingerne får oplyst plastikkortets numre. Hvis man er skeptisk over for, at netbutikker får ens kreditkortoplysninger, kan det altså undgås ved at benytte PayPal som mellemmand. 

Meget af denne e-mail ser tilforladeligt ud. Men der er en række detaljer, der springer i øjnene :
  • Afsenderen er ikke en navn@paypal.com-adresse, men derimod service@domain.com. Det lyder ikke som PayPal. 
  • Der står "Dear Client" og ikke "Dear Lars". Åbenbart ved de ikke, hvem jeg er. 
  • Angiveligt kan PayPal ikke verificere aktiviteten på kontoen - altså de transaktioner, der har fundet sted og har derved spærret kontoen. Det kunne tyde på, at en anden har haft adgang til kontoen. 
  • Der er nogle grammatiske fejl: "to read . please login" i stedet for "to read. Please login", og "desactivate" i stedet for "deactivate". Et firma som PayPal skulle da ellers nok have styr på grammatik og retskrivning! 
  • Hvis man peger på den blå knap Check This Now (uden at klikke), vises ofte den webadresse til websiden, som man føres til ved klik. Du kan her se webadressen i den røde firkant nederst i billedet herover. Som det ses er det umiddelbart et sikkert websted pga. "https" (sikker og krypteret webtrafik), men domænenavnet, eatfeatrepeat.com lyder bestemt ikke som PayPal! Peger man på de andre links i mailen, henviser de alle til www.paypal.com-adresser, så de synes okay. 
  • Mange phishing-mails har en copyright-meddelelse i sig - som om mailen er et stykke kunst eller et intellektuelt værk, der skal ophavsretbeskyttes. Man ser det aldrig i ægte e-mails. Der står endvidere, at beskyttelsen gælder fra 1999 til 2017 - og det selvom mailen er sendt i 2019! Der er åbenbart nogen, der har glemt at opdatere teksten. Selve copyright-teksten er heller ikke skrevet korrekt. I stedet for "Copyright c 1999 2018 PayPal inc. All rights reserved." burde der have stået "Copyright © 1999-2019 PayPal, Inc. All rights reserved."
Alle disse ting burde være advarsler nok til at sky denne mail og opfatte den som phishing. Hvis man alligevel klikker på den blå knap, hvad sker der så?

Da der blev anvendt Microsoft Edge under Windows 10 som webbrowser til at tilgå hjemmesiden, blev webadressen tjekket af Microsofts Windows Defender SmartScreen - altså en screening af webadresser. Så får man denne webside:
Her oplyser SmartScreen, at domænenavnet eatfeatrepeat.com er et usikkert websted, som er kendt for at opsnappe personlige eller økonomiske oplysninger. Benytter man således Microsofts browsere, får man en advarsel og får ikke umiddelbart lov til at gå ind på websiden. 

Klikker man på Flere oplysninger, får man mulighed for at gå til websiden. Gør man det, fås denne besked fra antivirusprogrammet:
Antivirusprogrammet fortæller her, at det er en phishing-webside og har afbrudt forbindelsen til den. Dermed kan man slet ikke komme ind på siden. 

Denne mail er tjekket én dag efter modtagelsen og bliver allerede fanget af sikkerhedssoftware. Men du kan ikke være sikker på, at det sker. Det tager nogen tid, før antivirusleverandørerne bliver opmærksom på nye phishing-hjemmesider, hvilket gør, at du ikke kan være helt sikker på, at de bliver fanget. 

Din antivirussoftware vil også efter et stykke tid finde ud af, at en e-mail er phishing, og vil mærke den som sådan i e-mailprogrammet. Har du webmail såsom Gmail, Outlook, Hotmail, Yahoo eller Jubii, vil du måske finde mailen i postmappen over uønsket post. Også her kan den være mærket som enten SPAM eller phishing, men det behøver ikke være tilfældet. 

På mobiltelefoner og tablets kan mail-appen sammen med eventuel antivirussoftware fange sådanne mails. 

Du kan læse mere i min bog "Bliv sikker på nettet" om disse ting:

Side 115-141: Antivirusprogrammer
Side 153-203: E-mail-svindel og phishing
Side 195-198: Sådan kan du se, om et link i en e-mail er ægte
Side 205-209: E-mail-scanning

Lars Laursen, forfatter til bogen "Bliv sikker på nettet".

søndag den 6. januar 2019

Hacker offentliggør data om toppolitikere og myndigheder i Tyskland

Toppolitikere fra bl.a. Bundestag i Berlin er blevet ramt af en hacker.
En hacker har i december 2018 offentliggjort personlige fotos, mobiltelefonnumre, adresser, kontonumre og dokumenter på EU-, forbunds- og delstatspolitikere i Tyskland. Det meddeler den tyske avis Frankfurter Algemeine Zeitung.

Under hackerangrebet er der ifølge forbundsregeringen ikke offentliggjort følsomme data fra kanslerkontoret. Det meddelte vicetalskvinden for regeringen, Martina Fietz. Det gælder også for kansleren. Ukendte personer har offentliggjort persondata og dokumenter fra hundredvis af tyske politikere, kendte personer og journalister på Internettet.

Forbundsregeringen taget hændelsen ”meget, meget alvorligt,” sagde talskvinden. Myndighederne arbejder på højtryk med at opklare sagen. Dette tager dog nogen tid endnu. Talskvinden advarede om, at de offentliggjorte data skal ”behandles med stor forsigtighed”. Selv i autentiske dokumenter kan der være lusket forfalskede oplysninger ind.

Herover: Tysk video om sagen. Hacker veröffentlichen Daten von Spitzenpolitikern und Bundesbehörden, © REUTERS, DPA.

Fra den 1. december har ukendte personer offentliggjort masser af berømtheder og politikeres persondata via Twitter. Dette kom først til offentligheden kendskab efter en rapport fra tv-kanalen RBB. Den tyske avis SPIEGEL har gennemgået dataene og tilfældigt efterprøvet dem. Her er de centrale spørgsmål og svar, som avisen har fundet:

Hvem blev hacket?
Den 1. december begyndte gerningsmanden bag hacket dagligt at offentliggøre nye data om berømtheder som tv-satirikeren Jan Böhmermann (ham, der på tv sagde smædevers om Tyrkiets præsident Erdogan og fik en sag på halsen for ærekrænkelse), Til Schweiger (Tysklands mest kendte skuespiller, instruktør og filmproducent), youtuberen LeFloid og rapperen Sido på Twitter efter julekalenderprincippet: en afsløring/afsnit om dagen. Den 20. december fulgte data fra EU-, forbunds- og delstatspolitikere fra partierne FDP, Die Linke, Die Grüne, SPD og CDU/CSU - i varierende grad. AfDs  (Alternative für Deutschland) politikere er ikke blevet ramt.

Efter den 28. december er der ikke offentliggjort yderligere data via Twitter-kontoen. Fredag den 4. januar blev Twitter-kontoen suspenderet af Twitter.

Hvem offentliggjorde dataene og hvorfor?
Seneste nyt: En 20-årig mandlig studerende fra Hessen er blevet pågrebet af politiet, har tilstået og været politiet behjælpelig med opklaringen, har forbundskriminalpolitiet i Wiesbaden erklæret. Han har sagt, at han var alene om gerningerne. Han er siden blevet løsladt. Han bor hjemme hos forældrene og er ikke computerekspert. Som motiv for datalækken har han oplyst irritation over udtalelser fra politikere, journalister og andre offentlige personer. 
Herover: Videoen er fra Wiesbadens forbundskriminalpolitis pressemøde om pågribelsen af den 20-årige mand. 

Twitter-kontoen fulgte et par andre Twitter-konti, bl.a. det for hadefuldhed berygtede websted anonymousnews.ru. Gerningsmanden "kan lide" forskellige tweets fra andre brugere, der er rettet mod satirikeren Jan Böhmermann eller mod flygtninge. På grund af, at hackingen mod politikere netop ikke ramte AfD, kan man få det indtryk, at gerningsmanden er højreorientet eller tilhører det højreekstremistiske miljø eller identificerer sig med det. Men gennem selve Twitter-kontoen såvel som nogle Twitter-konti, der er forbundet med dem, spredtes første data om YouTube-berømtheder og tv-stjerner. Et politisk budskab kan næppe fortolkes derudfra. Det kan være, at gerningsmændene kun har søgt opmærksomhed og beundring for deres hacker-evner.

Ifølge Heise Onlines efterforskning blev den konto, der blev brugt til datalækjulekalenderen, ifølge Twitter oprettet i 2015. Kontoen siges oprindeligt at have tilhørt en youtuber, men denne kan have mistet kontrollen med kontoen i 2016. Denne eller de nye folk bag anvendte lejlighedsvis kontoen i 2017 til at henvise til data om youtubere - den berørte konto havde været kendt blandt enkelte personer i længere tid.

Hvordan blev internetbrugere opmærksomme på datatyveriet?
Torsdag den 3. januar om aftenen blev der via Twitter-kontoen for webstjernen Simon Unge henvist til de offentliggjorte data - det skabte lidt opmærksom om de tidligere stort set ubemærkede data. Simon Unge har omkring to millioner tilhængere på Twitter. Bidragene fra hackeren er siden blevet fjernet. 
Twitter-berømtheden Simon Unge fortæller i ovenstående video, at han er blevet hacket.

Ifølge Simon Unges egne oplysninger havde nogen hacket hans Twitter-konto @unge.

Hvor kommer dataene fra?
De offentliggjorte data er ikke "udbytte" af et enkelt hack. De kommer snarere fra mange forskellige kilder: en del af dataene - herunder adresser og kontaktoplysninger - findes i offentlige dokumenter, som f.eks. i regnskabsdata. Andre såsom toppolitikeres mobiltelefonnumre er kendt blandt kolleger og journalister, men ofte ikke offentligt kendte. Hvor de stammer fra, er uklart.

I nogle tilfælde synes e-mail-, cloud- eller sociale mediekonti at være blevet hacket i hændelser, der går flere måneder tilbage. Disse konti kan bl.a. have indeholdt telefonnumre samt personlige dokumenter. Selv phishing ved hjælp af forholdsvis dygtigt forfalskede mails kan have været en metode til adgang til ikke-offentlig tilgængelige oplysninger og login-oplysninger. Der blev bemærket en tilsvarende spamkampagne rettet mod parlamentsmedlemmer i november 2018.

Forbundsdagens administration går også ud fra, at dataene "ikke kommer fra parlamentets IT-systemer og ikke er resultatet af et hacker-angreb på Forbundsdagen". Det kan læses på forbundsdagens intranet.

Er dataene up-to-date og ægte?
Stikprøver foretaget af avisen SPIEGEL viser, at i det mindste en del af politikernes data er ægte og opdaterede. Andre er forældede.

Mange af de lækkede dokumenter har også været på internettet før, for eksempel i forbindelse med de journalister fra radioen, der er ramte, ungdomsmedietilbud fra tv-kanalerne ARD og ZDF: "De offentliggjorte data er i deres aktuelle tilstand for det meste forældede oplysninger, der allerede tidligere er offentliggjort og nu er blevet samlet," siger en talskvinde for radioen til SPIEGEL. Radiomedarbejdere er tidligere mere end én gang blevet ramt af doxing (læk af dokumenter) - det gælder især medarbejdere på udsendelser, der beskæftiger sig med politiske eller samfundsmæssige spørgsmål.

Forbundsdagsmedlem for SPD, Florian Post, fortalte nyhedsbureauet DPA, at blandt de data, der er blevet offentliggjort over for ham, var der "mindst en falsk fil. De tilhører ikke mig, de blev aldrig sendt til mig, og jeg har ikke lagret dem"

Hvad kan man gøre med dataene?
Gerningsmanden har muligvis fundet adskillige af de ramtes adgangskoder og logget ind på forskellige brugerkonti. For eksempel kan de bruge dette til at bestille varer på internettet eller offentliggøre falske budskaber. Men de kan også afpresse de ramte, fordi de i det mindste hævder sommetider at have fundet meget følsomme private data. Om disse data er ægte, er uklart.

Derudover kan enhver, der har adgang til de kopierede og offentliggjorte data, udgive sig for at være en af de ramte over for forskellige internetudbydere. For eksempel for at få adgang til en brugerkonto hos en e-mail-udbyder uden at kende adgangskoden. Det kan det være tilstrækkeligt at besvare sikkerhedsspørgsmål. De fundne data kan indeholde spor til de korrekte svar.

Særligt sårbare er dem, der bruger den samme adgangskode til forskellige tjenester og ikke benytter tofaktorgodkendelse.

Hvad sker der nu?
Ifølge forbundsindenrigsministeren Horst Seehofer vil sikkerhedsmyndighederne "såvidt det er muligt" henvende sig til de ramte personer for at informere dem og rådgive dem om mulige beskyttelsesforanstaltninger. Seehofer sagde, at "der arbejdes på højtryk for at finde udgiveren bag offentliggørelsen og forhindre adgang til dataene".

Også statsadvokaten har været involveret i efterforskningen af hændelsen. Til dette formål blev der oprettet en såkaldt observationsproces i myndigheden i Karlsruhe, udtalte en talskvinde fra forbundsjustitsministeriet fredag den 4. januar 2019 i Berlin. Derved undersøger justitsministeren sagens betydning og den kriminelle relevans og undersøger, om han vil foretage sig noget i sagen.

Konsekvenser
Hackeren kan også have fået sine oplysninger via lækkede e-mailadresser og deres adgangskoder. Der er i tidens løb sket en række store datalæk af brugerkontooplysninger fra store og små hjemmesider. En del mennesker benytter de samme adgangskoder flere steder, og det udsætter dem for risici for at få hacket oplysninger fra andre websteder. Du kan selv tjekke, om du er blevet ramt ved at gå ind på amerikanske HaveIBeenPwned, tyske Identity Leak Checker eller hollandske Gotcha (alle tre er engelsksprogede websteder).

Hvad kan man gøre for at holde hackere ude, hvis ens e-mailadresse er i et eller flere af disse datalækker? Hvis du er en af dem, der benytter den samme adgangskode til flere tjenester på Internettet, er du i en risikabel situation, for en hacker vil kunne logge på en eller flere af de andre internettjenester. Der er ikke andet at gøre end at ændre adgangskode(r) for alle de tjenester, hvor den benyttes. 

Hvis du vil vide mere
Du kan læse mere i min bog ”Bliv sikker på nettet” om lignende ting:

Side 166-167: En tastefejl låste 60.000 mails hos Hillary Clintons kampagnechef op for
hackere
Side 167-169: Rystet Claus Hjort afslører: Rusland har hacket det danske forsvar
over to år
Side 359-373: Hackeres tyveri af log-ind-oplysninger fra hjemmesider
Side 364-365: Tjek om dit bruger-id og adgangskode er blevet hacket
Side 366-371: Folketingspolitikere og efterretningstjenesterne i lækagesag

Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”.


fredag den 4. januar 2019

Bitcoin har 10-års jubilæum

Den 3. januar 2019 var det 10 år siden den første blok i kryptovalutaen bitcoins blokkæde blev skabt: 3. januar 2009. Bitcoin var tiltænkt at skulle være en digital valuta, der er uafhængig af nationalbanker og i det hele taget banker – for ejeren af bitcoin skulle selv være en bank i lille format. Grunden til dette skal søges i, at stifterne af digitale valutaer mener, at det traditionelle bankvæsen er korrupt.

Korrupte banker?

Du kan selv bedømme det ud fra de seneste sager i Danmark med hvidvask af penge, ulovlig refusion af udbytteskat fra skatteborgere i EU, og den tidligere finanskrise, hvor banker solgte f.eks. scandinotes-værdipapirer til almindelige bankkunder, selvom det er noget, som kun avancerede investorer har mulighed for at overskue – med tab af deres investering til følge, fordi ”bankrådgiverne” først og fremmest var blevet til sælgere – uden at gøre opmærksom på dette forhold

I USA blev de såkaldte subprime-lån solgt til investorer med fuldstændigt overvurderede ratings, som kreditvurderingsbureauerne mod passende betaling foretog, hvilket gjorde, at finanskrisen ramte USA hårdt, da det endeligt blev klart, hvad de faktisk var værd. Det amerikanske finansforsikringsselskab Lehmann Brothers gik ned på det og de amerikanske skatteydere måtte punge ud for at finanssektoren kunne overleve - uden at få deres hårdt tjente penge tilbage i samfundets kasse. Kort sagt, i bankverdenen råder grådigheden på bekostning af samfundssind og et ærligt og troværdigt forhold til kunderne.

Kursudviklingen for bitcoin siden sin indførelse 3. januar 2009 til 3. januar 2019.
Kilde: www.blockchain.com.
Kuren mod dette skulle være bitcoin, som opbygger et tillidssystem matematisk mellem alle uafhængige udvindere af bitcoin – for de udvindes efter en matematisk algoritme. Det minder meget om guldgraveri. Hovedbogen, hvor alle transaktioner i bitcoin står noteret i en såkaldt blokkæde, er opbygget således, at hvis nogen i systemet snyder, så virker bitcoin-systemet slet ikke mere. Derfor kan forsøg på snyd afvises. Det første halvandet år af bitcoins levetid var 1 bitcoin $0 værd. Men ligeså stille begyndte den at få værdi i andre valutaer. Den 22. august 2010 var 1 bitcoin $0,066 værd; den 31. december 2011 var den steget til $4,995, og den 2. december 2013 nåede den et foreløbigt højdepunkt på $992. Efter et længere tilløb blev der stor hype omkring bitcoin, og den blev anvendt som investeringsobjekt – lidt ligesom guld. Den kulminerede med sin hidtil højeste kurs den 17. december 2017 på $19.290. Herefter crashede valutaen. Den 3. januar 2019 var den faldet til $3.866 – en femtedel af dens højeste kurs.

Accepten af kryptovalutaer

I bankverdenen har bitcoin og andre kryptovalutaer været ildesete bl.a. pga. de store fluktuationer i kursen, at der ikke synes at være nogen ægte værdi, der bakkede bitcoin op, men måske også fordi de kan være en trussel mod bankvæsenet i det hele taget – for hvis privatpersoner og firmaer selv kan være banker, hvem behøver så traditionelle banker?

Flere lande – bl.a. Venezuela og Sverige – arbejder på at skabe elektroniske valutaer efter blokkædeprincippet. Blokkædeprincippet har i øvrigt vist sig at kunne benyttes som et tillidsskabende element i mange andre former for transaktioner, hvor man ikke ellers helt har kunnet stole på de involverede parter.   

Bitcoin og kriminalitet

En grund til, at bitcoin ofte associeres med kriminalitet, er, at brugerne af valutaen kan være anonyme i modsætning til det traditionelle banksystem. Bitcoin benyttes ofte som betalingsmiddel i ransomware (pengeafpresningssoftware), som har raseret verden i større stil de seneste år. Det benyttes også som betalingsmiddel i netbutikker på det mørke net, der sælger narko eller våben til levering med postvæsenet.

Da bitcoin har oplevet en så voldsom kursudvikling, er kriminelle også blevet opsat på at stjæle bitcoin. Bitcoin-børser, som er virksomheder, hvor købere og sælgere af bitcoin mødes for at veksle dem til og fra traditionelle valutaer, har flere gange oplevet at få stjålet bitcoin for mange millioner kroner. Og pga. den måde bitcoin-systemet fungerer med anonymitet, kan det være svært at følge disse bitcoins videre fordeling ud til bitcoin-tegnebøger, som er de konti, der opbevarer bitcoin. Der har været eksempler på bitcoin-børser, der er gået bankerot pga. faldende kurser på bitcoin. Dermed har de, der havde bitcoin-konti hos dem, mistet deres penge i bitcoin.  

Endvidere findes der malware i mange varianter, som når de er installeret på den intetanende brugers pc, benytter denne til at udvinde bitcoin. Så der skabes et stort decentralt netværk at computere, der bruger masser af strøm på at skaffe penge via udvundne bitcoin til bagmændene. Disse netværk kaldes for botnet og den enkelte bot i netværket kan kaldes en "zombie", som en udenforstående har taget kontrollen over. 

Hvorfor bruges så store ressourcer på udvindingen?

Pga. den voldsomme stigning i bitcoins valutakurs har stadigt flere privatpersoner såvel som firmaer startet udvinding af bitcoin med store haller fyldt med computere og specialudviklet hardware til udvinding af bitcoin. Dette skyldes, at udvinderne skal forsøge at lukke en blok i blokkæden ved at finde en bestemt beregnet såkaldt hash-værdi (hash har her ikke noget med det euforiserende stof af samme navn at gøre) med en bestemt egenskab. Gør udvinderen det, får denne et antal bitcoin til den aktuelle kurs – f.eks. 12,5 bitcoin. Dette finansierer, sammen med gebyrer på bitcoin-transaktioner, driften og dermed elektricitetsforbruget for udvinderne.  

Bitcoin kan ikke længere i så stort et omfang benyttes som almindeligt betalingsmiddel, bl.a. pga. den faldende bitcoin-kurs og dermed det større gebyr på en bitcoin-transaktion. Flere netbutikker er pga. de store gebyrer ved veksling af bitcoin holdt op med at tage imod valutaen. En følge af dette er at valutaen ikke længere i samme omfang kan benyttes som gængs betalingsmiddel. Dermed bevæger bitcoin sig henimod en guldlignende status, hvor den hovedsageligt fungerer som et investeringsobjekt.
Udviklingen i det anslåede energiforbrug til udvinding af bitcoin på verdensplan – målt i terawatttimer. Den fuldt optrukne kurve viser det vurderede forbrug, mens den prikkede kurve viser det mindst anslåede energiforbrug. Kilde: digiconomist.net.

Elektricitetsforbruget for bitcoin

Apropos elektricitetsforbruget for verdens samlede udvindere af bitcoin – i en årrække har den været stadigt stigende. I 2018 steg det med 11 % om måneden. På sit højeste var det på 0,34 % af verdens samlede elektricitetsforbrug – svarende til Filippinernes 104 millioner indbyggeres samlede elektricitetsforbrug – det 12. største land i verden målt på indbyggertal. Det er faldet nu, idet det er blevet mindre attraktivt at udvinde bitcoin, så det nu svarer til et mindre land som Irak og 0,20 % af verdens samlede elektricitetsforbrug. Det er fortsat mindre end det samlede energiforbrug for flytrafikken i verden, der er på 2-3 % af verdens samlede energiforbrug. Bitcoin-udvindingen er søgt mod lande, hvor energi er billig. Det er f.eks. Kina.

Der har været en stigende bekymring over bitcoin-sektorens store CO2-aftryk på verden. Hvis kursudviklingen for bitcoin havde fortsat sin himmelflugt, ville endnu flere virksomheder have satset på at udvinde bitcoin med et stadigt stigende månedligt energiforbrug til følge – f.eks. med en stigning på 5 % om måneden. Det er en stigning på 80 % på et år. På fem år vil det give en stigningsfaktor på 18,7 og dermed ville energiforbruget til udvinding gå fra 0,34 % til 6,4 % af verdens samlede energiforbrug.

Du kan også sammenligne bitcoins energiforbrug med vores alle sammens strømforbrug til hjemmets internetforbundne apparater: I en fagfællevurderet undersøgelse fra 2016 fandt Andrae, der er ansat hos den kinesiske mobiltelefonproducent Huawei, at uden dramatiske forbedringer i effektiviteten, kommer informations- og kommunikationsteknologiindustrien til at bruge hele 20 % af al elektricitet i verden og udsende op mod 5,5 % af verdens CO2 i 2025. Det vil være mere end noget land bortset fra USA, Kina og Indien. 

Hvis du vil vide mere

Du kan læse mere om bitcoin, hvordan blokkædeprincippet fungerer, og kriminalitet, der involverer bitcoin, i min bog ”Bliv sikker på nettet”:

Side 90-100: Formål: Udvinding eller tyveri af bitcoin
Side 91-92: Hvordan bitcoin udvindes
Side 92-94: Stigende energiforbrug ved bitcoin-transaktioner
Side 94-95: Bitcoin er blevet til to valutaer i 2017
Side 96-97: Andre digitale valutaer med blockchain
Side 98: Digitale valutaer som investering
Side 98: ICO – Initial Coin Offering
Side 99-100: Dansk gennembrud: Narkohandlere kan ikke længere gemme sig bag bitcoin

Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet”.