19 nye spion-bokse overvåger dine mails til det offentlige
Inden længe får alle 19 ministerier et tilbud, de har svært ved at sige nej til:
Den nye, statslige it-varslingstjeneste Govcert kan hjælpe med give et samlet it-trusselsbillede, hvis blot ministeriet indvilliger i at få installeret en såkaldt IDS-boks (Intrusion Detection System) lige uden for firewall'en.
IDS-boksen indsamler og gemmer al datatrafik for de seneste seks døgn, samtidig med at den i realtid sender en alarm til Govcert, hvis den opdager en mistænkelig signatur i trafikken.
»Sådan gør vi, fordi udgangspunktet er, at perimetersikkerheden vil blive brudt. Antivirus fanger ikke alle trusler. Og det eneste, vi i de tilfælde kan være 100 procent sikre på, er, at den skadelige kode ringer hjem,« forklarer lederen af Govcert, Thomas Kristmar.
Opsnapper private data
Når sensor-boksen opdager en mistænkelig signatur, sender boksen den omkringliggende IP-trafik til Govcerts analytikere, der herefter vurderer, om alarmen er reel eller falsk positiv.
Ifølge Thomas Kristmar bør alle personhenførbare oplysninger i den ideelle verden være krypteret, når de transmitteres over internettet. Men Govcert har selv påpeget i en analyse af konsekvenserne for danskernes privatliv, at analytikerne risikerer at se personfølsomme oplysninger om både ministeriets ansatte og de borgere, de kommunikerer med ? hvorfor instruksen går på om muligt at slette disse oplysninger, før alarmen analyseres.
Af analysen fremgår det også, at alle medarbejdere i ministerierne skal underrettes om, at Govcert indsamler oplysninger, der er personrelaterede. Samtidig erkender man, at det ikke vil være muligt at informere alle de borgere, der kommunikerer med ministerierne, om det samme.
Forening: Borgerne er ilde stedt
Denne fremgangsmåde møder kritik af It-Politisk Forening:
»Jeg hæfter mig ved, at de vil *prøve *at fjerne personoplysninger, og at der nærmest er garanti for, at der vil opstå tilfælde, hvor det ikke kan lade sig gøre. De informerer i det mindste de ansatte om problemet, men borgerne er værre stedt,« siger Niels Elgaard Larsen.
Samtidig ser han et problem i, at IDS-boksen gemmer på data i seks dage.
»Det interessante i den sammenhæng er jo, hvem der har eller skaffer sig adgang til de data. Kunne man forstille sig, at for eksempel PET havde adgang uden Govcerts vidende?,« funderer formanden Niels Elgaard Larsen.
Spekulationerne får ekstra næring af, at Govcert i forvejen har etableret et samarbejde med både forsvarets og politiets efterretningstjenester. På den måde får Govcert nemlig adgang til sikkerhedsinformation, der 'ikke er kommercielt tilgængelig.'
»Vores samarbejde med efterretningstjenesterne går på, at vi for eksempel kan få oplysninger om bestemte IP-adresser eller hjemmesider, der angriber staten. Omvendt kan vi med myndighedens accept videregive oplysninger om de trusler, vi registrerer,« siger Thomas Kristmar.
Han tvivler dog på, at de 19 sensorbokse vil dublere eller erstatte politiets eller PET's egne it-efterforskningsværktøjer.
»Det tror jeg ikke. Hvis de kommer med en dommerkendelse, så vil jeg mene, at de godt kan få adgang til data, men typisk vil de i den situation iværksætte deres egen aflytning. Så nej, jeg kan ikke forestille mig en situation, hvor det er relevant,« siger Thomas Kristmar.
Let adgang til historiske data med IDS
Men det kan Niels Elgaard Larsen sagtens.
Han påpeger, at man med en dommerkendelse i dag typisk kun kan aflytte fremadrettet, mens de nye IDS-bokse nu altså giver let adgang til historiske data.
»Hvis der kom en ny jægerbogsag, ville seks døgns data formentlig være voldsomt interessante i forhold til kunne opklare, hvem der gjorde hvad hvornår,« lyder det fra It-Politisk Forenings formand.
Kommentarer (19)
Idéen er rigtig god men det vil gøre at medarbejdere samt hackere ændrer adfærdsmønster i sidste ende.
GovCERT vil formentlig inden længe foreslå video-overvågning af kritiske områder indenfor infrastruktur og dertilhørende medarbejdere?
Eventuel aflytning af disse privat for at sikre sig de ikke bliver angrebet imens de ikke er på arbejde da dette sagtens kan ske hvis de kriminelle hackere er målrettede nok.
Hvor er grænsen, hvis der overhovedet er nogen?
Danmark begynder at ligne USA mere og mere. Vi mangler kun en lov om at en statslig instans må aflytte alt trafik uden dommerkendelse, ligesom der er i USA men f.eks. også i Sverige (FRA).
-
0 -
0
Det var da et glimrende værktøj for hackere: Kan de få adgang til IDS-boksen eller dens trafik, så har de adgang til alt mulig spændende lagret trafik fra andre brugere, evt. fremprovokreret af et fingeret angreb.
-
0
-
0
Er det ikke det samme som hvis hackeren får adgang til firewallen?
IDS-boksen er ikke nødvendigvis specielt nem at hacke. Hvad nu hvis den bare dumper alt trafik fra netværket? Evt. med et kabel der er receive only.
-
0
-
0
PÅ GovCERT's gruppe på digitaliser.dk http://digitaliser.dk/group/453891
er der et debatforum, hvor jeg har kommenteret artiklen.
-
0
-
0
"Danmark begynder at ligne USA mere og mere. Vi mangler kun en lov om at en statslig instans må aflytte alt trafik uden dommerkendelse, ligesom der er i USA men f.eks. også i Sverige (FRA)."
Som jeg forstår det, har vi da allerede det, i det politiet må overvåge hvad de vil, bare de lover at indhendte en dommerkendelse senere, og indtil videre kommer dommerkendelsen automatisk, og øjensynligt ukritisk.
-
0
-
0
Hvis de har gjort det ordentligt - så klipper de tx lederen på det kabel den sniffer på - så den KUN kan lytte og ikke sende trafik ud på det net og dens "bagindgang" skal selvf. sikres forsvarligt, så den ikke kan snakke med hvem som helst osv.
-
0
-
0
Hvordan skal IDS-boksen så kunne sende data til GovCERT's systemer via VPN forbindelsen hvis TX-lederen på kablet er klippet over / fjernet?
-
0
-
0
Maskinen skal selv have mere end et netkort (det kan du vist ikke få en maskine der ikke har idag :) - og det den skal bruge til at sende info til GovCERT - skal så sikres forsvarligt som jeg skrev og behøver ikke at kunne modtage trafik fra andre end GovCERT (som det netkort der sniffes på jo skal).
Det er faktisk set flere gange at det er lykkedes at hacke IDS bokse - fordi de jo netop skal kigge på al trafikken.
-
0
-
0
Det er faktisk set flere gange at det er lykkedes at hacke IDS bokse - fordi de jo netop skal kigge på al trafikken.
Ja, men det burde vel være muligt at sikre at det ikke sker via den port som den overvåger?
-
0
-
0
Jon Bendtsen, 19. marts 2010 12:23
Ja, men det burde vel være muligt at sikre at det ikke sker via den port som den overvåger?
Hvordan sikre du der ikke er fejl i softwaren?
Kik på de fejl der er i tcpdump, wireshark, ethereal.
-
0
-
0
@Christian:
Ved at gennemgå den med en tætte kam mange gange. MANGE. Det koster dyrt, men jeg tror godt det kan lade sig gøre at lave opsamlingen så den ikke har fejl.
-
0
-
0
Jeg synes ikke jeg har set det ske endnu - og er det så ikke en hel del billigere, bare at sikre det fysisk, ved at klippe tx ledere?
Det er ihvertfald den sikreste metode efter min mening - og da det andet "backend" netkort så KUN skal bruges til trafik til og fra GovCERT - kan man på rimelig simpel vis (og dermed mindre sandsynlighed for fejl) sikre at maskinen kun får lov til at sende trafik til og fra GovCERT med en firewall foran IDS'ens "backend" netkort.
-
0
-
0
@Klavs:
Det giver god mening at have flere forhindringer, fx. klipning af TX ledere. Nogle switche kan måske også mirror en port så der kun sendes data den ene vej?
-
0
-
0
Gang på gang, er der fundet sikkerhedshuller i software. Hvorfor skulle det stoppe fordi GovCERT er kommet?
Det stopper skam heller ikke fordi GovCERT er kommet. Men hvis vi VIRKELIG vil have det til at stoppe, så mener jeg godt vi kan.
-
0
-
0
@Jon:
@Christian: Ved at gennemgå den med en tætte kam mange gange. MANGE. Det koster dyrt, men jeg tror godt det kan lade sig gøre at lave opsamlingen så den ikke har fejl.
Gang på gang, er der fundet sikkerhedshuller i software. Hvorfor skulle det stoppe fordi GovCERT er kommet?
@Klavs Klavsen:
Muligvis - bare man har flere led af sikkerhed, så en software fejl i IDS softwaren ikke kompromiterer sikkerheden (men sandsynligvis afbryder sniffer funktionaliteten som minimum :)
Hvis der er en fejl i IDS-boksen som bliver udløst af den trafik som den læser (såsom en mail til en statslig instans), som så udløser en Denial of Service hændelse.
Så kan alt trafik lige pludselig smutte forbi IDS-boksen fordi IDS- eller sniffer-servicen er gået ned.
Det kunne jo være at hackeren vidste TX-lederen sandsynligvis var klippet over og derfor valgte at nedlægge IDS-boksen for at kunne sende f.eks. et helt normalt PDF-angreb som er lettere at opdage.
Det kunne også være hackerens intention bare at slette logs'ne.
-
0
-
0
@Hans-Michael
Hvis der er en fejl i IDS-boksen som bliver udløst af den trafik som den læser ... Så kan alt trafik lige pludselig smutte forbi IDS-boksen fordi IDS- eller sniffer-servicen er gået ned.
en IDS blokerer normalt ikke for trafik - den sniffer ("lugter") bare på det - så trafikken ville normalt være kommet igennem uanset.
Trafikken går altså normalt ikke igennem IDS'en - da det er meningen at den IKKE må forstyrre trafikken - hvis den går ned.
Der findes også traffic scrubbers - se f.ex. hogwash http://hogwash.sourceforge.net/docs/overview.html, men nu sagde de IDS.
-
0
-
0
@Klavs Klavsen:
en IDS blokerer normalt ikke for trafik - den sniffer ("lugter") bare på det - så trafikken ville normalt være kommet igennem uanset. Trafikken går altså normalt ikke igennem IDS'en - da det er meningen at den IKKE må forstyrre trafikken - hvis den går ned.
Du har ret, men jeg har aldrig påstået andet.
IDS'en læser / sniffer trafikken og selv hvis IDS'en går ned så vil der ikke opstå komplikationer da den ikke har aktiv indflydelse på dette. Det har IPS, Firewall og Spam-filter systemer til gengæld.
Det som jeg nævnte var, at hvis en ondsindet hacker ved at der er en DoS (Denial of Service) fejl i nævnte IDS-boks som kan udløses ved at sende en bestemt form for trafik, som IDS'en jo læser / sniffer. Så går IDS'en ned og det åbner op for at den ondsindede hacker kan omgå IDS'en i det stykke tid servicen er nede.
Dvs. at hackeren kan undgå at blive opdaget af GovCERT fordi IDS-servicen er nede.
Sandsynligheden for at det sker på lige præcis den måde, er dog forholdsvist lille men det er ikke umuligt ej heller usandsynligt at det kan ske.
Det vil dog højst sandsynligt forekomme ved tilfældigheder og ikke direkte angreb.
-
0
-
0
