Læsetid 7 min.

Glem tv’et, hackerne i Frankfurt og WhatsApp. Her er det vigtigste perspektiv i CIA-lækagen

I anstrengelserne på at maksimere deres spionagemuligheder, gør efterretningstjenester os alle sammen sårbare over for cyberkriminalitet. Det viser en ny læk af CIA-dokumenter, som Wikileaks har offentliggjort
I anstrengelserne på at maksimere deres spionagemuligheder, gør efterretningstjenester os alle sammen sårbare over for cyberkriminalitet. Det viser en ny læk af CIA-dokumenter, som Wikileaks har offentliggjort

Carolyn Kaster

9. marts 2017

Forestil dig, at politiet opdagede en hidtil ukendt fejl i alle døre, som gjorde det muligt at dirke dem op ved hjælp af en simpel nål.

Bør de i den situation gøre dørproducenten og offentligheden opmærksom på det, så problemet kan blive løst og indbrudstyve forhindres i at udnytte den? Eller bør de holde den viden for sig selv for let at kunne få adgang til mistænkte kriminelles lejligheder?

Det dilemma står myndigheder og efterretningstjenester i dag i stigende grad over for – i digital form.

En ny læk fra den amerikanske efterretningstjeneste CIA, som whistleblowerplatformen Wikileaks offentliggjorde tirsdag, viser, at CIA og NSA samt den britiske efterretningstjeneste GCHQ ofte vælger det sidste. Det gavner deres egne spionagemuligheder, men det gør også borgere, virksomheder og andre myndigheder sårbare over for it-kriminelle.

Læs også

Konkret viser lækken, at CIA har opbygget et arsenal af såkaldte zero days. Zero days er en betegnelse for sikkerhedshuller i software, som ikke er kendt i hverken offentligheden eller af de virksomheder, som producerer softwaren – og som man derfor har haft nul dage til at beskytte sig mod.

De sikkerhedshuller kan CIA udnytte til at inficere smartphones, tablets, computere og endda tv-apparater med spionprogrammer. Og det vel at mærke uden at blive opdaget af antivirussoftware. Blandt de mere kulørte eksempler er et sikkerhedshul i Samsungs Smart-tv’er, som gør det muligt for CIA at aktivere fjernsynets mikrofon til brug for aflytning.

Digitale våben

Nogle af sikkerhedshullerne har CIA’s teknikere selv opdaget. Andre har de ifølge dokumenterne fået stillet til rådighed af NSA og britiske GCHQ. Og atter andre har de købt af private leverandører på det globale grå marked for cybervåben – formentlig for store summer: Ifølge teknologimediet Vice Motherboard betalte Dubai-virksomheden Zerodium – der tidligere er blevet afsløret som leverandør til den amerikanske efterretningstjeneste NSA – i 2015 en hackergruppe én million dollar for viden om sikkerhedshuller i styresystemet til iPhones og iPads.

Til sammenligning betaler Apple kun op til 200.000 dollar i dusør for sådan et hul.

It-eksperter har altså et stærkt økonomisk incitament til at dele deres viden om sikkerhedshuller med dem, der vil udnytte dem, i stedet for dem, der vil lappe dem. En mekanisme, som efterretningstjenester er med til at forstærke ved at efterspørge sikkerhedshullerne på markedet, så priserne stiger, og det bliver endnu mindre attraktivt at sælge til producenterne.

Som borgere i et lille, homogent samfund er vi vant til, at vi kan have tillid til hinanden, til myndighederne og til virksomhederne. Det gør os ekstra sårbare over for hackerangreb
Læs også

Det er, når CIA og andre efterretningstjenester ad den ene eller den anden vej får kendskab til sådan et hul, at dilemmaet opstår. Myndighedernes opgave er at beskytte os allesammen mod kriminelle. Det indebærer både at overvåge og fange dem, der formodes at have begået en alvorlig forbrydelse – men også at forebygge, at forbrydelser kan ske.

Som eksemplet med døren viser er de to hensyn i modstrid med hinanden, når det kommer til zero-days. Holder efterretningstjenesten deres kendskab til hullet for sig selv, får de et kraftfuldt værktøj til at overvåge formodede terrorister, pædofile og drabsmænd. Men det betyder også, at hullet ikke bliver lappet.

Kriminelle, der også har kendskab til hullet, vil derfor kunne udnytte det til at bryde ind i eksempelvis en banks it-systemer. Og andre landes efterretningstjenester kan udnytte det til spionage eller cyberangreb mod de selvsamme borgere, virksomheder og myndigheder, som det er CIA’s opgave at beskytte. Vælger CIA at gøre opmærksom på hullet, så det kan blive lappet, går de til gengæld glip af en unik mulighed.

Demokratisk debat

I erkendelse af, at der er behov for at balancere de to hensyn, indførte Obama-regeringen ifølge en New York Times-artikel fra 2014 en ny politik på området. Som udgangspunkt ville man nu hælde til at gøre virksomheder opmærksomme på sikkerhedshuller, så de kan lappe dem, sagde Caitlin Hayden, talskvinden for Obama-regeringens Nationale Sikkerhedsråd.

Bestemmelserne indeholder dog ifølge avisen et »smuthul«, der tillader efterretningstjenesterne at holde viden om nye sikkerhedsbrister for sig selv, hvis der er »klart« behov for det i forhold til national sikkerhed og håndhævelse af loven. CIA-lækagen sår nu tvivl om, hvor effektiv denne politik i realiteten har været.

Diskussionen er langtfra kun relevant i forhold til de amerikanske efterretningstjenester. Handlen med digitale våben er global og trækker også tråde til Danmark. I 2015 kunne Information afsløre, at Rigspolitiet har købt overvågningssoftware fra det kontroversielle italienske firma Hacking Team, der også er leverandør til en lang række diktaturstater.

Menneskerettighedsaktivist Ahmed Mansoor lever i De Forenede Arabiske Emirater. Overvågningssoftware udviklet for danske skattekroner kan være taget i brug i overvågning af ham og ligesindede i diktaturstaten.
Læs også

Hacking Teams software kan – ligesom flere af de værktøjer, der er omtalt i CIA-lækken – give politiet fuld adgang til en computer, smartphone eller tablet og al dens indhold. Den er blandt andet i stand til at aktivere apparatets mikrofon og webcam, så hvert et ord ejeren siger, bliver opsnappet.

Og den kan også, på linje med CIA’s værktøjer, bruges til at læse beskeder på telefonen, der ellers er sendt via særligt sikre apps som Signal og Whatsapp. En læk fra Hacking Team viste, at firmaet havde et arsenal af zero-days-sikkerhedshuller, som kunne bruges til at inficere apparater med spionsoftwaren.

Ud fra de dokumenter, som lå til grund for Informations afsløring, stod det ikke klart, om Rigspolitiet havde købt disse sikkerhedshuller – men det virker sandsynligt, for uden dem er softwaren ikke nær så effektiv. I så fald har også det danske politi valgt at prioritere egne efterforskningsmuligheder over borgeres, virksomheders og myndigheders it-sikkerhed.

En lignende problematik knytter sig til Danmarks nye cyberangrebshær, den såkaldte CNO-enhed under Forsvarets Efterretningstjenestes. Hvis den opdager sikkerhedshuller, skal den så sørge for, at de bliver lukket, eller skal den holde på hemmeligheden for at kunne anvende den til angreb?

Dét er en demokratisk debat værd. Hvis danske politikere manglede en anledning, er den her nu i form af lækagen fra CIA.

Hvad er nyt, og hvad er misinformation?

Når lækager på flere tusinde sider pludselig rammer internettet, ender de hurtigt med at blive udlagt forkert af medier, som gerne vil være først med historien. Her er et overblik over nogle af de ting, lækagen viser – og ikke viser.

Smart-tv som aflytningsenhed

En af de nyheder, der tirsdag spredte sig som følge af CIA-lækagen, var, at Samsung smart-tv’er bliver brugt af CIA til at aflytte. CIA skulle ifølge dokumentet fra 2014 kunne aktivere tv’ets mikrofon, selvom tv’et er i off-mode. Selve angrebet gælder særligt for versioner af tv’ets software, som nok ikke er så meget i brug længere, og derfor viser historien ikke så meget en konkret trussel som en tendens: At efterretningstjenester – og dermed sikkert også kriminelle hackere – ser mod alle former for internetforbundne enheder som potentielle steder, de kan angribe. Det er en fare ved, at flere og flere apparater lige fra køleskabe til fjernsyn bliver koblet på internettet.

CIA bruger konsulat i Frankfurt som hackerbase

Ifølge Wikileaks bruger CIA det amerikanske konsulat i Frankfurt som base for ’Center for Cyber Intelligence Europe’. Et af de lækkede dokumenter er en guide til CIA-agenter, der skal til Tyskland for at arbejde. De bliver instrueret i praktiske forhold omkring Tyskland, at de aldrig må have deres elektroniske apparater ude af syne, og at de skal bruge en ansættelse i Udenrigsministeriet som cover. Ifølge mediet Deutsche Welle har konsulatets spionaktiviteter allerede været i fokus for offentlighedens opmærksomhed tilbage i 2013 efter NSA-lækagen. Her skrev flere medier om, hvordan konsulatet var base for NSA og CIA samt at tjenesterne havde flere dækfirmaer rundt omkring i byen.

Kan CIA give andre skylden for deres operationer?

En spekulation, der har bredt sig efter lækagen, har været, at CIA kan få det til at se ud som om, at andre stater står bag deres hackerangreb. Udfordringen er, at et hackerangreb kan indeholde spor, der kan være unikke, og dermed efterfølgende kan føres tilbage til angriberen.

Derfor er der en gruppe i CIA ved navn Umbrage, som samler hackingteknikker opsnappet fra andre kilder – ifølge Wikileaks også russiske tjenester – som CIA efterfølgende selv kan bruge. Et andet program kaldet Marble Framework handler også om, hvordan man kan sløre, hvem der står bag et angreb. Her er der blandt andet eksempler på, hvordan man kan sætte russisk, farsi, arabisk, kinesiske eller koreanske elementer i koden, som kan få det til at se ud som om, at andre landes tjenester står bag et angreb.

Det er ikke nogen overraskelse, at CIA forsøger at sløre, at de selv står bag et angreb, og der er endnu ingen konkrete eksempler på angreb, hvor det er gjort. Men alene lækagen af teknikkerne har fået en omfattende spekulation til at gå i gang. Blandt andet på Fox News, hvor der i Sean Hannitys program blev antydet, om det så i virkeligheden kunne være CIA, der stod bag angrebet på det Demokratiske Parti under valgkampen, for så efterfølgende at få det til at se ud som om, at det var russerne. Det er der foreløbig intet belæg for.

Nej, Signal og Whatsapp er ikke kompromitteret

Kort efter offentliggørelsen af dokumenterne tweetede Wikileaks, at lækagen »bekræfter, at CIA i praksis kan omgå Signal + Telegram + WhatsApp + Confide kryptering«. Særligt Signal og Whatsapp er beskedtjenester, som mange aktivister og menneskeretsorganisationer over hele verden bruger for at sikre deres kommunikation mod overvågning. Tweetet fik straks spekulationerne til at brede sig, om hvorvidt der var fundet sikkerhedshuller i programmerne. Men det har der foreløbigt vist sig ikke at være.

Lækagen viser dog, at CIA – ligesom NSA og det danske politi og efterretningstjenester – går efter at hacke folks mobiltelefoner. Og i det tilfælde, hvor en mobiltelefon er blevet hacket, så kan selv ikke den stærkeste kryptering hjælpe. Det har altså intet med sikkerheden i Signal eller Whatsapp at gøre, men kan snarere ses som en logisk konsekvens af, at krypteringen rent faktisk virker.

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritiske, seriøse og troværdige.

Se om du er enig - første måned er gratis

Klik her

Er du abonnent? Log ind her

Anbefalinger

  • Brugerbillede for Peter Jensen
    Peter Jensen
  • Brugerbillede for Sup Aya  Laya
    Sup Aya Laya
  • Brugerbillede for Olaf Tehrani
    Olaf Tehrani
  • Brugerbillede for Kurt Nielsen
    Kurt Nielsen
  • Brugerbillede for Espen Bøgh
    Espen Bøgh
  • Brugerbillede for Jan Pedersen
    Jan Pedersen
  • Brugerbillede for Kristen Carsten Munk
    Kristen Carsten Munk
  • Brugerbillede for Robert  Kroll
    Robert Kroll
  • Brugerbillede for Jakob Trägårdh
    Jakob Trägårdh
  • Brugerbillede for johnny lang
    johnny lang
  • Brugerbillede for Steen Sohn
    Steen Sohn
  • Brugerbillede for Niels Nielsen
    Niels Nielsen
Peter Jensen, Sup Aya Laya, Olaf Tehrani, Kurt Nielsen, Espen Bøgh, Jan Pedersen, Kristen Carsten Munk, Robert Kroll, Jakob Trägårdh, johnny lang, Steen Sohn og Niels Nielsen anbefalede denne artikel

Kommentarer

Brugerbillede for Robert  Kroll

Det ser ud som om, at private virksomheder og organisationer meget let (mod betaling af diverse omkostninger) kan anskaffe sig disse "spionage-værktøjer" ( - Ubers greyball er vel et godt eksempel på software i spion-genren ?)

Man kan have særdeles effektive forbud mod besiddelse af f eks skydevåben og farlige kemikalier o. l. , men et effektivt forbud mod besiddelse af "spionage-egnet" software er vist en umulighed ?

Så konsekvensen er vel. at staten må etablere en myndighed, som specialiserer sig i at bekæmpe misbrug af spionage-egnet software og er "på forkant" af udviklingen på området.

Private virksomheder og udenlandske statsorganer må ikke være "bedre udrustede" på dette område end vores egne demokratisk kontrollerede myndigheder.

Brugerbillede for Søren Nielsen-Man
Søren Nielsen-Man

Artiklens forfattere skriver om det opridsede dilemma, at ”myndighedernes opgave er at beskytte os allesammen mod kriminelle. Det indebærer både at overvåge og fange dem, der formodes at have begået en alvorlig forbrydelse – men også at forebygge, at forbrydelser kan ske.” Og ”holder efterretningstjenesten deres kendskab til hullet for sig selv, får de et kraftfuldt værktøj til at overvåge formodede terrorister, pædofile og drabsmænd.”
Det er nu en meget velfriseret og selektiv beskrivelse af, hvad de nordamerikanske efterretningstjenester bruger deres værktøjer til.
Som om det ene og alene drejer sig om at beskytte os alle mod ”terrorister, pædofile og drabsmænd”. Som om historien ikke viser, at efterretningstjenesterne også går efter virkelige eller mulige politiske og økonomiske modstandere og udfordrere af supermagten USA’s politiske, militære og økonomiske interesser, af supermagten USA’s tilstræbte globale hegemoni.

Peter Jensen, Sup Aya Laya, Egon Stich, Jacob Jensen, Pascal Horanyi, Kenneth Hansen, Kurt Nielsen, Espen Bøgh, Ib Christensen, Flemming Berger, Niels Nielsen og Torben Arendal anbefalede denne kommentar
Brugerbillede for Søren Jensen
Søren Jensen

Jo, men det er jo bare ikke anderledes end at efterretningstjenester kan lirke dørlåse op i gadedøre og få adgang til folkshjem, som de kan gøre det til folks itsystemer Det kan andre jo også gøre.

Brugerbillede for Morten Balling
Morten Balling

Det hele ville være et "mindre" problem, hvis man kunne melde fra ift. den digitale virkelighed. Hive stikket ud af væggen. Det er bare nærmest umuligt i dag, hvor staten insisterer på digital kommunikation.

Lidt ligesom statens krav til borgerne om en lønkonto burde forpligte bankerne til et vist serviceniveau (giv mig gerne min løn i en papirspose), må statens krav til om alt skal digitaliseres også medføre et ansvar. I praksis kan vi glemme den slags. Spørg ikke hvad staten (eller din bank) kan gøre for dig (?!?), spørg...

Peter Jensen, Niels Nielsen, Sup Aya Laya, Randi Christiansen, Troels Brøgger og Henrik Klausen anbefalede denne kommentar
Brugerbillede for mike twardale
mike twardale

Problemet med computere og dørlås analogi er, at hele verden kan banke på din dør. En pc i afrika kan stjæle dine data, lukke vandforsyningen osv. Ligeledes kan tusindevis af IoT enheder, som fx billige web kameraer pga. sikkerhedshuller overtages af en hacker og benyttes til angreb. Dette kan ikke forhindres med hacking fra efterretningstjenester. Det er kun ordenlig sikkerhed der kan forhindre dette :)
Som jeg husker, har alle terrorister været kendt af efterretningstjenesten i forvejen. Så det virker ikke til, at de mangler "hacking værktøjer", men nærmere, at de mangler mandskab til målrettet efterforskning.
Jeg mener derfor, at svaret på den omtalte balance er klart: mere sikkerhed, færre huller og flere hænder til efterforskning.

Brugerbillede for Espen Bøgh

Det helt store problem er vel borgernes retsbeskyttelse mod egen stat og demokratiske værdier som retten til eget privatliv, og som først skal for en dommer med rimelige beviser for et grundlag til at bryde borgernes privatlivs ret og fred!

Alt for mange politikere har uld i munden i den sag.

Udenomretslig kontrol med borgerne af myndighederne i eget land via IT er lig med diktaturstat.

Brugerbillede for Sup Aya  Laya

Den politiske scene kan skifte hurtigt - som i USA og Tyrkiet. Kan dét vi nu læser og skriver digitalt, om få år blive anset for at være radikalt?
Reklamere lige endnu engang for oplæg med Jesper Lund fra IT-Politisk Forening på søndag:

Retro Talk: Bliver DU gjort kriminel af predictive policing?
https://itpol.dk/predictiv-foredrag

Brugerbillede for Peter Jensen

"Bestemmelserne indeholder dog ifølge avisen et »smuthul«, der tillader efterretningstjenesterne at holde viden om nye sikkerhedsbrister for sig selv, hvis der er »klart« behov for det i forhold til national sikkerhed og håndhævelse af loven. CIA-lækagen sår nu tvivl om, hvor effektiv denne politik i realiteten har været."

Politikken har muligvis haft en vis effekt i forhold til at signalere humanistisk handlekraft og heltemod hos det amerikanske, politiske magtapparat - og Obama havde som bekendt et vist efterslæb, som løbende trængte til fernisering. Men givet er det at hensynet til huller har vejet tungest, efter grundig afvejning af den politiske ord-akrobatik.

Brugerbillede for Peter Jensen

Sigende er det vel også at én af de våbenhandlere, som medvirker i Shadow World, betegner politkere som prostituerede - blot dyrere end sædvanligt. Salgsagenter med en magt svarende til mellemledere i Lockheed Martin.