Leder

For nemt at hacke

1. august 2015

»Installer det i hele dit land. Op til hundrede tusinder af mål. Alt sammen styret fra et enkelt sted.«

Teksten går over skærmen i en reklame for det italienske firma Hacking Teams overvågningssoftware Remote Control System Galileo, og sammen med de andre løfter i salgsmaterialet, var det åbenbart så lovende, at dansk politi måtte slå til.

Som Information for nogle uger siden kunne afsløre, købte dansk politi softwaren fra det kontroversielle firma via en leverandør, kort inden Hacking Team selv blev hacket, og firmaets interne dokumenter og mails spredte sig på internettet. I de lækkede data findes også kildekoden til overvågningssoftwaren, og det har gjort det muligt for Information – som beskrevet i gårsdagens avis – at se nærmere på selve overvågningsprogrammets funktionaliteter.

Det første, der slår en, når man går overvågningsprogrammet igennem, er, hvor nemt og simpelt det nu er for myndighederne at indsamle stort set alle detaljer om en borgers liv og netværk. Adgang til at overvåge opkald og sms’er har myndighederne længe haft, men med softwaren får man via inficeringen af sit mål adgang til en række nye ting:

Vil du tænde for mikrofonen i dit måls telefon, så den kan optage samtaler i rummet: klik her. Vil du have kameraet i telefonen eller computeren til løbende at tage billeder, så klik her, vil du registrere alle koder og login til mail og sociale netværk, klik her. Vil du downloade alt, hvad dit mål har på sin computer eller telefon – så klik her.

Alt sammen foregår det så tilstrækkeligt godt skjult for den, der er mål for angrebet, at der skal eksperthjælp til for at finde ud af, at man er ramt.

Når man tænker på, hvad folk bruger deres mobiltelefoner og computere til, er det potentielt set ekstremt indgribende værktøjer at give myndighederne. For det første er det ikke bare data frem i tiden, der kan indsamles, men også al data flere år tilbage i tiden.

Det er hele personens netværk, der berøres, når adressebøger hentes, ligesom det er alle mennesker, der er i rum med personen, der udsættes for overvågning, hvis myndighederne vælger i det skjulte at tænde for mikrofonen. Hvor lang tid kan man opbevare de her data? Hvad er kontrolmekanismerne over for efterforskerne? Hvad skal der til for at få en dommerkendelse? Politiet mangler stadig at besvare mange spørgsmål.

Som med al anden overvågning er det centralt, hvilken retsbeskyttelse der træder til, før indgrebet iværksættes. Rigspolitiet har over for Information understreget, at brugen af den slags værktøjer kun kommer til at ske med retskendelser – og mange tak for det.

Men dommerkendelsesargumentet er kun en meget lille del af problematikken, som berører de af Hacking Teams kunder, der har fungerende retsstater og respekt for menneskerettighederne. Den amerikanske it-ekspert Bruce Schneier blev i den italienske avis L’Espresso stillet det svære spørgsmål; hvordan man kan sikre, at de kraftfulde hackingværktøjer kun bliver brugt i kampen mod de rigtige kriminelle og ikke ender hos problematiske regimer:

»Det kan man ikke,« svarede han. »Der bliver nødt til at være ét svar for os alle sammen. Enten har vi en verden, hvor alle kan spionere – inklusive NSA, det italienske politi og den sudanesiske regering, eller også har vi en verden, hvor ingen kan spionere.«

Og det er i virkeligheden dèr, vi er. Øget kontrol med spredningen af cybervåben ville helt sikkert være en positiv ting, men selv i det tilfælde, at vi engang fik en mere effektiv regulering internationalt, så er det tvivlsomt, om det for alvor vil kunne forhindre problematiske regimer i at skaffe sig den her slags våben.

Derfor er der kun tilbage at øge udbredelsen og brugen af stærk kryptering og kritisere de firmaer, der sløser med sikkerheden og ikke lukker huller i sårbare produkter. Det er rigtigt, at det i nogen tilfælde vil hjælpe kriminelle og gøre det sværere for myndighederne at udføre deres arbejde, men det er en pris, der er værd at betale.

For selv om Hacking Teams værktøjer kan gøre det sværere at være kriminel i Danmark, gør det det mindst lige så svært at være menneskeretsaktivist eller regimekritisk i Sudan eller Egypten. Sagen om Hacking Team viser grundlæggende, at det er blevet alt for nemt at hacke. Det bliver nødt til at blive sværere i fremtiden.

Læs også: ’Vores mission var ikke at forstå fjenden, men at bekæmpe den’

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

  • Henrik Klausen
  • Nic Pedersen
  • Stig Bøg
  • Charlotte Harder
Henrik Klausen, Nic Pedersen, Stig Bøg og Charlotte Harder anbefalede denne artikel

Kommentarer

Anders Nygaard

Tilbage før mobiltelefonerne, tabletterne og internettet fandtes der også menneskeretsaktivister og systemkritikere. Vi formåede at arrangere meget store demonstrationer, uden brug af Twitter, Facebook og lignende. Hvis man virkelig vil operere i skyggen i dag, kan man jo vende tilbage til skrivemaskinen, spritduplikatoren, og limspanden. Heldigvis har alle tre ting udviklet sig, så det er en del nemmere i dag end dengang.

Anne-Marie Krogsbøll, Gry W. Nielsen, Morten Jespersen og Lise Lotte Rahbek anbefalede denne kommentar

ifølge artiklen her, så er det vist ligefør at MS windows 10 indeholder de samme betingelser. Noget tyder ihvertfald på at Microsoft har tænkt sig at at være lige så aggressive på udlevering af personlig oplysninger og færden til "deres partnere" - ifm. med målrettet markedsføring.
Det kan godt være man snart skal til at downloade en unix ubuntu igen.
http://www.rt.com/usa/311304-new-windows-privacy-issues/

Morten Lind, Anne-Marie Krogsbøll og Lise Lotte Rahbek anbefalede denne kommentar
Børge Rahbech Jensen

Hvad skal jeg bruge de informationer til? For mig ligner det mest en kampagne mod ny teknologi, uden det står klart, hvad formålet er med en sådan kampagne.

"Vil du tænde for mikrofonen i dit måls telefon, så den kan optage samtaler i rummet "

Det glemmes så bare, at der jo nok skal være en grund til at træffe det valg, og chancen el. risikoen nok er markant større for, at en af de, der tager i samtalerne, eller bare er inden for hørevidde, refererer samtalerne for udenforstående. Det tages indirekte for givet, at menneskers handlinger kan forudsiges bare ved at se på dem, og mennesker, der tilfædigvis er inden for hørevidde af samtaler, ikke hører endsige refererer samtalerne. Begge forudsætninger er naive.

Det fører så til, at mikrofoner og kameraer ikke kan optage noget, som ikke er sket. Modsat er der intet til hinder for, at vidner kan drage forkerte konklusioner og gå videre med dem, så udenforstående herunder politi og retsvæsen kan få en forkert opfattelse af et hændelsesforløb. Det ignoreres, hvilket passer godt med, at sådanne forkerte konklusioner og henvisninger til hændelser, der aldrig har fundet sted, er meget brugt i totalitære staters og politiske foreningers politiske opdragelse.

""

Nej, personer berøres ikke direkte af, at deres navne læses i adressebøger, ligesom fx. børn ikke berøres direkte af, at nogle kigger på billeder af dem. Ja, mennesker, der er i rum med en overvåget person, udsættes for overvågning, men det gør det jo også, hvis nogle vælger at overvåge stedet, de besøger, eller der er andre til stede. Det ignoreres også.

"Politiet mangler stadig at besvare mange spørgsmål."

Sjovt nok stilles ingen spørgsmål om denne mistillid til politiet og om, hvorfor anden overvågning ignoreres. Politiet mangler kun "at besvare mange spørgsmål" ud fra en ganske bestemt tankegang, som (også) var fremherskende i 70erne.

Børge Rahbech Jensen

Anders Nygaard:

" Vi formåede at arrangere meget store demonstrationer, uden brug af Twitter, Facebook og lignende. "

Ja, men det er jo ikke dér, de sociale medier gør den største forskel. Tværtimod kan sociale medier øge kravene til dokumentation for de fremførte påstande, så fx. menneskeretsaktivisters påstande ikke så nemt står uimodsagt. Det var nemmere at arrangere store demonstrationer, da arrangørerne nærmest havde monopol på sin agitation og kunne give deltagerne en følelse af at være særligt indviede.

"Hvis man virkelig vil operere i skyggen i dag, kan man jo vende tilbage til skrivemaskinen, spritduplikatoren, og limspanden. "

Enig. Det rejser bare et ubehageligt spørgsmål i forhold til artikler som denne samt artikler, der er kritiske mod sociale medier: Hvem ønsker at "operere i skyggen" i dag i en grad, hvor befolkningens adgang til informationer helst skal begrænses?

Nu er de sociale mediers vigtigste funktion ikke indkaldelse til demonstrationer el.lign. Det er formidling af bl.a. nyheder og billeder, som ikke spredes af officielle nyhedsmedier. Selv føler jeg mig som borger i en totalitær stat, når sociale medier som Twitter er min vigtigste kilde selv til, hvad der sker i Europa-Kommissionen og Europa-Parlamentet, og jeg er nødt til at se Folketingets egen tv-kanal for at vide, hvad der sker i Folketingssalen og Folketingets udvalg. Til gengæld formidler de store medier gerne historier, som enten er ulovlige for andre at opsøge, eller kræver aktindsigt i nogle dokumenter, som kun medierne selv har adgang til.

Når nu mindst seks store, danske nyhedsmedier gerne formidler de samme historier, og omkring 80% af historierne støtter den samme nationalsocialistiske ideologi, er det ubehageligt, når netop disse medier også advarer mod moderne informationsteknologi og sociale medier. Det er nemmere at kontrollere udbredelsen af nyheder, der formidles med "skrivemaskine, spritduplikator og limspand" og til dels "mund-til-øre metoden", end de, der spredes elektronisk.

Børge Rahbech Jensen

"Desværre ser det ud til, at demokratiet er i fare."

I Rusland ved jeg, Tass er statsejet, mens The Moscow Times er uafhængigt. Rusland påstås ikke ligefrem at være demokratisk.

I Danmark kan konstateres, at DR og TV 2 er statsejede, og bl.a. Berlingske, Politiken, Information og alle andre medier i de fem koncerner ikke alene støttes af staten, men også har nem adgang til den lovgivende magt og synes mest kritiske mod forhold, der potentielt el. reelt belaster de offentlige finanser. Det kan også konstateres, at DR og TV 2 selv faciliterer politiske debatter i stedet for at formidle Folketingets debatter, som USAs medier gør. Endelig kan konstateres, at danske journalister og redaktører ikke er folkevalgte, men tværtimod har ret til beskyttelse af egne kilder og selv at bestemme, hvad de formidler - og dermed også, hvad de ikke formidler. Danmark påstås at være demokratisk.
For mig ligner det nærmest den omvendte verden, hvor lande med uafhængige medier kaldes udemokratiske, mens lande med et nært forhold mellem medier og stat kaldes demokratiske. Det svarer til at kalde fortidens DDR og nutidens Demokratiske Republik Congo demokratiske...

Det er godt, NSA er en hemmelig organisation, så de kan beskyldes for hvad som helst, uden påstandenes rigtighed kan kontrolleres.

Noget andet er, at Euro-politikeres og embedsmænds opslag på fx. Twitter og Facebook næppe kan kaldes hemmelige, selvom nogle af dem formidles som 'snark'. Hvis kommissærers opslag på Twitter står til troende, kan konstateres, at de snakker med interesseorganisationer i det lovforberedende arbejde, og som noget nyt er begyndt på noget, de kalder offentlige konsultationer, som offentliggøres på Twitter og ofte er spørgeskemaer i nogle tilfælde med almindelige borgere som en af målgrupperne. Selv nøjes jeg med retweet af sådanne opslag i erkendelse af, at min viden om emnet for den offentlige konsultation er begrænset el. ikke eksisterende. Jeg føler mig til tider så priviligeret, at det er skræmmende, når jeg får sådanne el. andre nyheder fra EUs institutioner, som potentielt kan påvirke dansk lovgivning og hele Europas fremtid, tilsyneladende uden det opfylder danske mediers kriterier for, hvad den danske befolkning - eller Folketinget - bør vide. (Hvem er danske mediers målgruppe egentlig nu om dage?)

Hans K Hansen

For hvad angår computer systemer og sikkerhed, så er intet mere ramt af kompromitterede maliciøs software end Windows. Når det handler om SmartPhones og Tablets er Android, sammen med Windows, ved at være godt med i konkurrencen om de meste usikre.

Selve Windows systemet opbygning, brugernes vaner med administrative konti, og dårlig/forældet software, inklusiv og især internet relaterede logons, udgør med Microsoft's installerede standard sikkerhedsprogrammel (dvs Windows Firewall og Windows Defender), at brugere uden indgående kendskab til sikkerhed, er nødt til at købe sig til sikkerhed.

Det medfører at uvelkomment software nemt lader sig installere.

Et system er et system. Systemer er andet en computer systemer. Det er også politik. Når system politik varetages af talentløse, så indtager uvelkomne elementer systemet. Om de er software maliciøse eller politisk maliciøse, f.eks. forbrydere og antidemokrater, så er det talentløst at tillade det/dem adgang.

Heldigvis behøver man ikke at installere Windows, og man behøver ikke stemme på partier der ikke forstår præventiv sikkerhed, eller nægter at indrømme de overvældende beviser. Det handler om sikkerheds forsvarlige protokoller i begge tilfælde.

For Microsoft's vedkommende er 99,9% af al malware skrevet til Windows. Derfor, installer Windows og få dermed tidernes største sikkerhedsrisiko. En kommentator nævner Linux Ubuntu som erstatning. En anden er Linux Zorin og en tredje Linux Lite

Der er mange andre særdeles funktionelle og sikre operative systemer. Langt bedre end Radikale Venstre, Enhedslisten og Socialdemokraterne for nu at blive allegorisk. Det kan ikke nytte noget man implementere protokoller der er ligeså fejlramte som FN's. Det er fortsætte med at bestille problemerne med hovedet under armen.

Vil du have et sikkert system på din computer, så installer en Linux. Vil du have FN konventionerne reformeret, så stem på noget andet end de nævnte.

Hans K Hansen

Børge Rabech Jensen

"Hvad skal jeg bruge de informationer til? "

Naturligvis til bedre at forstå hvad præventiv sikkerhed er, hvor dyrt det er ikke at håndtere sikkerhed korrekt, og hvilken indflydelse disse manglende hensyn får for overvågningspolitik.

Ny teknologi medfører løsninger og nye måder at tænke på, når gamle viser sig utilstrækkelige. Derfor er nye teknikker afgørende for fremtiden. De får overvældende betydning både sikkerhedsmæssigt og dermed økonomien.

Forudsætningen er dog, at systemansvarlige, inklusiv politikerne, har den nødvendige pragmatiske erfaring. Det er bestemt ikke tilfældet for størstedelen af beslutningshavende procesansvarlige. Flere er mere eller mindre teoretikere uden den nødvendige erfaring. De er ikke pragmatikere, men ideologer, hvilket aldrig kan erstatte erfaring.

Med tiden har jeg haft mange teoretisk uddannede "føl". De har ofte det hele i munden, kender alle de "frække ord", men giv dem en opgave på egen hånd, og de falder fuldstændig fra hinanden. De dygtige uerfarne teknikere lærer dog hurtigt. Det samme er noget svært at mene om temmeligt mange politikere.

Hans K Hansen

Naturligvis er der nogle der vil mene jeg blander tingene sammen. Derfor tillad mig at citere artiklens forfatter, der har absolut ret i bemærkningen:

"For selv om Hacking Teams værktøjer kan gøre det sværere at være kriminel i Danmark, gør det det mindst lige så svært at være menneskeretsaktivist eller regimekritisk i Sudan eller Egypten. Sagen om Hacking Team viser grundlæggende, at det er blevet alt for nemt at hacke. Det bliver nødt til at blive sværere i fremtiden."

Det er alt for nemt for eksempelvis islamister at få ophold og indfødselsret i Danmark, ganske som det er alt for nemt at inficere Windows operative system. Det første skyldes fortolkningen af FN, der forsvares af især venstrefløjen.

Fælles for problematikkerne er system sikkerhed, forståelse og håndtering.