Christian Engström, Pirat

6 januari 2014

Den stora storyn: NSA’s bakdörrar som underminerar säkerheten på internet

Filed under: FRA,NSA — Christian Engström @ 6:27

NSA har en katalog med färdiga verktyg för att ta sig in genom bakdörrar i nästan alla de kommersiella produkter som säkerheten på internet bygger på. Det avslöjar Der Spiegel. Katalogen finns läckt här.

Katalogen som läckt är från 2008, alltså samma år som vi i Sverige protesterade mot FRA-lagen. Sedan dess har NSA naturligtvis knäckt ytterligare system. Men redan för fem år sedan hade de färdiga sätt att ta sig in i bakdörrar i de allra flesta routrar, datorer och säkerhetssystem som finns på internet.

Det som NSA hade färdigt och i drift 2008 överträffar med god marginal vad vi som stod utanför riksdagshuset och protesterade mot FRA-lagen kunde föreställa oss som worst case.

Redan då hade NSA skaffat sig bakdörrar till i princip hela internet, och redan då samarbetade svenska FRA intimt med NSA. Vi som demonstrerade mot FRA-lagen kände till det intima samarbetet, men vi hade ingen aning om bakdörrarna. Trots att vi då blev beskyllda för att vara konspirationsteoretiker och foliehattar, visar det sig att det fel vi gjorde var att vi underskattade hur långt det redan hade gått i fel riktning.

När vi talade på demonstrationerna om våra farhågor att övervakningen skulle utvecklas till ett mardrömssystem där storebror ser allt, då fnissade säkert FRA och NSA åt oss i hemlighet när ingen såg. De visste ju att de via bakdörrarna på internet redan hade installerat de övervakningssystem som vi utmålade som framtida möjliga skräckscenarier.

Det här är den stora storyn — bakdörrarna på internet.

Man kan säga att det är två saker som vi har lärt oss genom de läckta Snowden-dokumenten som publicerats hittills.

Att NSA har förmågan att övervaka allt på internet, och att de använder den förmågan till att spionera på allt från Tysklands förbundskansler Angela Merkel till ekonomiskt spionage i Brasilien, det är den första halvan av Snowdens avslöjanden.

Den delen är lätt att åtgärda, så fort den politiska viljan finns. Om president Obama och USA’s kongress drar in de årliga miljardanslagen till NSA och lägger ner verksamheten, då upphör USA’s regim att vara ett ”avancerat uthålligt hot” mot internet. I väntan på det bör vi i Sverige omedelbart dra in anslaget för FRA och lägga ner verksamheten.

Det här är den lätta delen i att återuppbygga säkerheten på internet efter NSA-avslöjandena.

Men NSA’s bakdörrar på internet är ett betydligt allvarligare problem, som det kommer att kräva resurser för att städa upp efter.

I princip hela den fysiska infrastrukturen av routrar och datorer som utgör internet, måste betraktas som komprometterad och omöjlig att lita på, i vart fall tills tekniker har gjort en inventering av vilka bakdörrar som finns och hur man kan stänga dem. Det är ett gigantiskt jobb.

Antagligen behöver vi någon form av sanningskommission, där före detta NSA-anställda kan vittna under löfte om amnesti eller liknande. Om USA inte själva sätter upp en sådan sanningskommission bör EU’s medlemsstater garantera politisk asyl åt före detta anställda hos säkerhetstjänsterna som är beredda att komma till Europa och hjälpa oss genom att berätta vad de vet.

Det kommer bli ett fullständigt gigantiskt jobb att göra internet säkert för företag, myndigheter och privatpersoner igen efter NSA. Men det måste göras.

Vi måste återuppbygga säkerheten på internet, och förtroendet för den. Vårt samhälle har redan passerat den punkt där det inte kan fungera utan ett fungerande internet. Så länge NSA’s bakdörrar finns kvar och vi inte vet var de finns, har vi en stor samhällsfarlig svaghet inbyggd i vår infrastruktur.

Nu måste vi inleda arbetet med att ta reda på hur stor skadan är, så vi kan börja reparera den och göra internet säkert igen.

Läs mer hos Der Spiegel (på engelska)

…………

Ytterligare matnyttiga länkar:

14 kommentarer

  1. Jag utgår från att det nu sitter folk runt om i världen som söker efter dessa bakdörrar. Finns de så kommer de att hittas, man får bara hoppas att ärligt folk hinner före bovarna, och gör allmänt veterligt vilka bakdörrar man hittar. Det är en besk medicin att inse att vi kanske måste byta utrustning, programvara och certifikat, men det kan nog inte hjälpas nu när anden är ur flaskan. Därför vore det bra om bakdörrarna avslöjades så snart som möjligt så att det arbetet kan ta sin början.

    Kommentar av Johan Tjäder — 6 januari 2014 @ 13:26

  2. ”Nu måste vi inleda arbetet med att ta reda på hur stor skadan är, så vi kan börja reparera den och göra internet säkert igen.”

    Vad som är säkert på internet råder det delade meningar om. För min del ser jag det som säkert om det finns möjlighet för polisen att ta reda på vilka det är som ligger bakom olika typer av lagbrott såsom olika typer av dataintrång (inklusive DDOS-attacker), bedrägerier, identitetskapningar, hot, trakasserier osv.

    Ett säkert internet ska alltid göra det möjligt för polisen att utreda den typen av brott i samband med anmälan, liksom att man givetvis ska kunna ta reda på vem som är ansvarig för godtycklig brottslighet där internet används som verktyg. Jag känner inte trygghet i detta avseende idag och en trend mot en högre grad av ansvarslöshet via anonymisering är oroväckande. Man kan inte vara fullt anonym utanför internet heller så en grundläggande möjlighet att utreda brott måste alltid säkerställas vad gäller det som sker via internet. Exakt hur detta ska gå till kan alltid diskuteras men någon form av krav på loggning med möjlighet för polisen att få tillgång till dessa loggar är ett minimikrav, inklusive krav på loggning av uppkopplingar via VPN-tjänster och liknande verktyg för anonymisering, för att sådana verktyg ska anses vara lagliga och få användas.

    Kommentar av nejtillpirater — 6 januari 2014 @ 17:44

  3. @ Nejtillpirater

    ”Nu måste vi inleda arbetet med att ta reda på hur stor skadan är, så vi kan börja reparera den och göra internet säkert igen.”

    Vad som är säkert på internet råder det delade meningar om. För min del ser jag det som säkert om det finns möjlighet för polisen att ta reda på vilka det är som ligger bakom olika typer av lagbrott såsom olika typer av dataintrång (inklusive DDOS-attacker), bedrägerier, identitetskapningar, hot, trakasserier osv.

    Möjligheten för polisen att utreda brott skall inte ske genom att göra Internet sårbart för alla de saker som du precis ansåg att polisen skall utreda. Inser du inte implikationerna av det du nyss skrev? Eller vill du verkligen bekämpa brott genom att göra det lättare att begå brott?

    Ett säkert internet ska alltid göra det möjligt för polisen att utreda den typen av brott i samband med anmälan, liksom att man givetvis ska kunna ta reda på vem som är ansvarig för godtycklig brottslighet där internet används som verktyg.

    Likväl som i den ”fysiska verkligheten” så är detta inget som går att garantera. Totalitär övervakning är en önskvärd väg att gå för ett demokratiskt samhälle.

    Jag känner inte trygghet i detta avseende idag och en trend mot en högre grad av ansvarslöshet via anonymisering är oroväckande. Man kan inte vara fullt anonym utanför internet heller så en grundläggande möjlighet att utreda brott måste alltid säkerställas vad gäller det som sker via internet. Exakt hur detta ska gå till kan alltid diskuteras men någon form av krav på loggning med möjlighet för polisen att få tillgång till dessa loggar är ett minimikrav, inklusive krav på loggning av uppkopplingar via VPN-tjänster och liknande verktyg för anonymisering, för att sådana verktyg ska anses vara lagliga och få användas.

    Minimumkravet som man borde ställa är att de mänskliga rättigheterna upprätthålls, vilket det inte görs ifall man berövar människor rätten till privat kommunikation utan godtycklig inblandning av staten. Sedan kanske du även bör fundera lite över de implikationer som ditt resonemang ger på samhällsviktiga saker som källskydd etc.

    Kommentar av Professor — 6 januari 2014 @ 19:25

  4. Rättning.

    Totalitär övervakning är inte en önskvärd väg att gå för ett demokratiskt samhälle.

    Kommentar av Professor — 6 januari 2014 @ 19:26

  5. Källskydd kan ordnas på många olika sätt, som exempel är det bara att stoppa sitt material i ett kuvert och posta till en tidningsredaktion. Det är ett obalanserat krav att hävda att möjligheten till källskydd försvåras av att polisen har möjlighet att följa spår på internet i samband med en polisutredning. Vi accepterar övervakningskameror i butiker och på gator och torg och liknande utsatta platser.

    En kontrollerad loggning av förehavanden på nätet, via ISP:er, VPN-leverantörer osv. är en nödvändighet i och med att Internet idag erbjuder alldeles för många undanskymda hörn där man kan begå brott mot andra till en försumbart liten risk att åka dit för det, brott som man svårligen skulle kunna komma undan med om de gjordes utan Internet som hjälpmedel utan på traditionellt sätt. Tänk dig själv hur en skivaffär (i den mån dessa ens finns kvar) skulle agera på om en kund öppnar ett CD-fodral, stoppar skivan i sin bärbara dator och sätter igång med att rippa skivan. Exakt samma sak anser ni pirater att man ska kunna göra dold under anonymitet på nätet.

    Kommentar av nejtillpirater — 6 januari 2014 @ 19:50

  6. @ Nejtillpirater

    Källskydd kan ordnas på många olika sätt, som exempel är det bara att stoppa sitt material i ett kuvert och posta till en tidningsredaktion.

    Nu var det aldrig på tal om att källskyddet skulle försvinna helt. Däremot försämras det märkbart. Dagens journalister använder sig nämligen av krypterade email för att upprätta säker kommunikation med sina kontakter. Det är heller inte säkert att fysiska brev är ett alternativ för alla som söker sig till en journalist.

    Jag noterar även att du fullkomligt duckade kring frågeställningen kring de mänskliga rättigheterna. Det är väl inte så att du har något emot våra mänskliga rättigheter?

    Det är ett obalanserat krav att hävda att möjligheten till källskydd försvåras av att polisen har möjlighet att följa spår på internet i samband med en polisutredning. i>

    Att hävda något kan väl aldrig vara ett krav?

    Sedan existerar inte det svart-vit-förhållande som du försöker måla upp, att polisens möjlighet att följa spår på Internet skulle försvinna ifall man väljer att upprätthålla de mänskliga rättigheterna.

    Vi accepterar övervakningskameror i butiker och på gator och torg och liknande utsatta platser.</

    Godtycklig massövervakning av ett lands befolkning kan på inget sätt jämföras med övervakning i privat lokal, eller de fåtal offentliga ställen som möjligen kan vara övervakade.

    En kontrollerad loggning av förehavanden på nätet, via ISP:er, VPN-leverantörer osv. är en nödvändighet i och med att Internet idag erbjuder alldeles för många undanskymda hörn där man kan begå brott mot andra till en försumbart liten risk att åka dit för det, brott som man svårligen skulle kunna komma undan med om de gjordes utan Internet som hjälpmedel utan på traditionellt sätt.

    Det är en ofantlig stor skillnad mellan att förespråka loggning av viss data och att förespråka bakdörrar i alla våra viktiga system som du förefaller att göra i och med det resonemang som du för.

    Kontentan av vad du skriver är att du vill göra Internet trasigt och osäkert så att polisen och andra organisationer lättare ska kunna bekämpa alla nya brott som dessa bakdörrar slutligen leder till. Ditt resonemang är oerhört förvirrat.

    Tänk dig själv hur en skivaffär (i den mån dessa ens finns kvar) skulle agera på om en kund öppnar ett CD-fodral, stoppar skivan i sin bärbara dator och sätter igång med att rippa skivan. Exakt samma sak anser ni pirater att man ska kunna göra dold under anonymitet på nätet.

    Absolut inte. Att sno ett fysiskt objekt av någon annan kan på inget sätt likställas med att i fullt samförstånd och med fullt medgivande kopiera information från annan part. Vi har förklarat denna skillnad för dig rysligt många gånger nu. Kopiering går inte att likställa med stöld. Att du inte vill ta dig till detta simpla faktum är inte mitt problem.

    Kommentar av Professor — 6 januari 2014 @ 20:46

  7. […] vi nu kan få stopp på (vissa) bloggare och journalister (se listan nedan) genom att erkänna sanningen, dvs att de i själva verket – […]

    Pingback av Säkerheten ökar | Dicktofon — 7 januari 2014 @ 0:08

  8. nejtillpirater skriver att alla som använder internet måste misstänkliggöras och därmed loggas och registreras för att i nästa inlägg skriva: ”Källskydd kan ordnas på många olika sätt, som exempel är det bara att stoppa sitt material i ett kuvert och posta till en tidningsredaktion.”
    nejtillpirater anser alltså att allas elekronisk kommunikation måste övervakas men inte den fysiska och inser förmodligen inte det motsägelsefulla i detta resonemang. Man uppenbarligen lita på människor när de använder fysiska kuvert och paket men inte när de använder en digital dataöverföring.

    Kommentar av Patrik E. — 7 januari 2014 @ 8:14

  9. @Patrik E. #8

    ”nejtillpirater anser alltså att allas elekronisk kommunikation måste övervakas men inte den fysiska och inser förmodligen inte det motsägelsefulla i detta resonemang. Man uppenbarligen lita på människor när de använder fysiska kuvert och paket men inte när de använder en digital dataöverföring.”

    Det är inte motsägelsefullt. Det finns både likheter och skillnader när det gäller vad som kan göras på internet och utanför.

    Det som skickas via posten är faktiskt underförstått att det ska vara lagligt enligt postens användaravtal. Polisen/tullen öppnar dock en hel del försändelser för att kontrollera om de innehåller något olagligt som illegala droger. Man röntgar brev, man klämmer på dem, man öppnar dem om man misstänker olagligt innehåll. Brevhemligheten är alltså inte absolut. Brevhemligheten gäller inte på internet.

    Man kan ställa till skada via internet på annorlunda sätt än via brev. Via brev kan man visserligen skicka brevbomber, man kan skicka hotelsebrev, utpressningssbrev osv. Dock finns det en begränsning i systemet i och med att man måste betala porto, brevet ska bäras ut fysiskt. Det blir alltså opraktiskt och dyrt att göra större kampanjer liknande spam.

    Via internet kan man också ställa till med mycket skada för många via ganska små medel, via dataintrång och DDOS-attacker. Du kan inte göra datantrång via brev (hypotetiska exempel med mänsklig inblandning går säkert att hitta på men de kan man bortse ifrån). Du kan inte göra DDOS-attacker via brev. Visst, du kan ”sänka” posten men det är inte realistiskt och ingen skulle komma på tanken att frankera och skicka en million brev för att jävlas med någon, sådant som kriminella element som ansluter sig till Anonymous gör i digitala världen utan att blinka.

    Det finns fler skillnader (och likheter) men det finns faktiskt skäl till att internet kräver mer övervakning just för att man med ganska små medel kan åstadkomma en mycket stor skada, på ett helt annat sätt än för motsvarande brott utanför internet.

    Kommentar av nejtillpirater — 7 januari 2014 @ 18:07

  10. Reblogga detta på Urbansundstrom’s Weblog.

    Kommentar av urbansundstrom — 7 januari 2014 @ 21:31

  11. […] Den stora storyn: NSA’s bakdörrar som underminerar säkerheten på internet. […]

    Pingback av Den stora storyn: NSA’s bakdörrar som underminerar säkerheten på internet | Urbansundstrom's Weblog — 7 januari 2014 @ 21:37

  12. @nejtillpirater #9

    ”Det som skickas via posten är faktiskt underförstått att det ska vara lagligt enligt postens användaravtal.”

    Vilket användaravtal? Jag letade faktiskt men kunde inte hitta något. Under årens lopp har jag skickat och tagit emot mängder av brev, vykort och paket via posten utan att tagit del av, accepterat eller skrivit under något användaravtal.

    ”Polisen/tullen öppnar dock en hel del försändelser för att kontrollera om de innehåller något olagligt som illegala droger. Man röntgar brev, man klämmer på dem, man öppnar dem om man misstänker olagligt innehåll.”

    Det är riktigt att tullen och polisen får öppna paket vid misstanke om brott. Men de får inte öppna och söka igenom alla paket bara för att se om de kan hitta något som är brottsligt. De får inte heller registrera alla sändare och mottagare bara för att det kanske eventuellt kan underlätta en brottsutredning vid ett senare tillfälle.

    ”Brevhemligheten gäller inte på internet.”

    Om det är sant så bör vi ju snarast ändra på det så att brevhemligheten blir teknikneutral och gäller all kommunikation.

    ”Man kan ställa till skada via internet på annorlunda sätt än via brev. …”

    Annorlunda ja. Och i ena fallet(brev/paket) tycker du att myndigheterna bara ska ta del av vår kommunikation vid misstanke om brott, och i det andra fallet(digital kommunikation) tycker du att allt vi gör ska registreras och att brevhemligheten kan avskaffas.

    Jo, nejtillpirater, jag tycker fortfarande att det är motsägelsefullt.

    Kommentar av Patrik E. — 7 januari 2014 @ 21:59

  13. nejtillpirater säger att lagen ska vara teknikneutral så man exempelvis lättare kan jaga fildelare på internet.

    Förutom grundlagar som brevhemligheten, då helt plötsligt är det inte lika noga med teknikneutralitet…

    Kommentar av gurrfield — 8 januari 2014 @ 10:11

  14. […] I vart fall hoppas jag att Tyskland fortsätter pressa USA på besked i avlyssningsskandalen. Det har ju visat sig att USA inte bara betraktar allierade länder som lovliga mål för politiskt och ekonomiskt spionage, utan dessutom har underminerat säkerheten på hela internet genom att installera bakdörrar. […]

    Pingback av USA tänker fortsätta spionera på Tyskland | Christian Engström, Pirate MEP — 14 januari 2014 @ 14:25


RSS feed for comments on this post.

Blogga med WordPress.com.

%d bloggare gillar detta: