19 nye spion-bokse overvåger dine mails til det offentlige

Statens it-varslingstjeneste Govcert vil inden længe installere særlige sensorbokse, der logger al datatrafik, i alle ministerier. Interesseorganisation kalder overvågningen problematisk.

Inden længe får alle 19 ministerier et tilbud, de har svært ved at sige nej til:

Den nye, statslige it-varslingstjeneste Govcert kan hjælpe med give et samlet it-trusselsbillede, hvis blot ministeriet indvilliger i at få installeret en såkaldt IDS-boks (Intrusion Detection System) lige uden for firewall'en.

IDS-boksen indsamler og gemmer al datatrafik for de seneste seks døgn, samtidig med at den i realtid sender en alarm til Govcert, hvis den opdager en mistænkelig signatur i trafikken.

»Sådan gør vi, fordi udgangspunktet er, at perimetersikkerheden vil blive brudt. Antivirus fanger ikke alle trusler. Og det eneste, vi i de tilfælde kan være 100 procent sikre på, er, at den skadelige kode ringer hjem,« forklarer lederen af Govcert, Thomas Kristmar.

Opsnapper private data

Når sensor-boksen opdager en mistænkelig signatur, sender boksen den omkringliggende IP-trafik til Govcerts analytikere, der herefter vurderer, om alarmen er reel eller falsk positiv.

Ifølge Thomas Kristmar bør alle personhenførbare oplysninger i den ideelle verden være krypteret, når de transmitteres over internettet.
Men Govcert har selv påpeget i en analyse af konsekvenserne for danskernes privatliv, at analytikerne risikerer at se personfølsomme oplysninger om både ministeriets ansatte og de borgere, de kommunikerer med ? hvorfor instruksen går på om muligt at slette disse oplysninger, før alarmen analyseres.

Af analysen fremgår det også, at alle medarbejdere i ministerierne skal underrettes om, at Govcert indsamler oplysninger, der er personrelaterede. Samtidig erkender man, at det ikke vil være muligt at informere alle de borgere, der kommunikerer med ministerierne, om det samme.

Forening: Borgerne er ilde stedt

Denne fremgangsmåde møder kritik af It-Politisk Forening:

»Jeg hæfter mig ved, at de vil *prøve *at fjerne personoplysninger, og at der nærmest er garanti for, at der vil opstå tilfælde, hvor det ikke kan lade sig gøre. De informerer i det mindste de ansatte om problemet, men borgerne er værre stedt,« siger Niels Elgaard Larsen.

Samtidig ser han et problem i, at IDS-boksen gemmer på data i seks dage.

»Det interessante i den sammenhæng er jo, hvem der har eller skaffer sig adgang til de data. Kunne man forstille sig, at for eksempel PET havde adgang uden Govcerts vidende?,« funderer formanden Niels Elgaard Larsen.

Spekulationerne får ekstra næring af, at Govcert i forvejen har etableret et samarbejde med både forsvarets og politiets efterretningstjenester. På den måde får Govcert nemlig adgang til sikkerhedsinformation, der 'ikke er kommercielt tilgængelig.'

»Vores samarbejde med efterretningstjenesterne går på, at vi for eksempel kan få oplysninger om bestemte IP-adresser eller hjemmesider, der angriber staten. Omvendt kan vi med myndighedens accept videregive oplysninger om de trusler, vi registrerer,« siger Thomas Kristmar.

Han tvivler dog på, at de 19 sensorbokse vil dublere eller erstatte politiets eller PET's egne it-efterforskningsværktøjer.

»Det tror jeg ikke. Hvis de kommer med en dommerkendelse, så vil jeg mene, at de godt kan få adgang til data, men typisk vil de i den situation iværksætte deres egen aflytning. Så nej, jeg kan ikke forestille mig en situation, hvor det er relevant,« siger Thomas Kristmar.

Let adgang til historiske data med IDS

Men det kan Niels Elgaard Larsen sagtens.

Han påpeger, at man med en dommerkendelse i dag typisk kun kan aflytte fremadrettet, mens de nye IDS-bokse nu altså giver let adgang til historiske data.

»Hvis der kom en ny jægerbogsag, ville seks døgns data formentlig være voldsomt interessante i forhold til kunne opklare, hvem der gjorde hvad hvornår,« lyder det fra It-Politisk Forenings formand.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans-Michael Varbæk

Idéen er rigtig god men det vil gøre at medarbejdere samt hackere ændrer adfærdsmønster i sidste ende.

GovCERT vil formentlig inden længe foreslå video-overvågning af kritiske områder indenfor infrastruktur og dertilhørende medarbejdere?

Eventuel aflytning af disse privat for at sikre sig de ikke bliver angrebet imens de ikke er på arbejde da dette sagtens kan ske hvis de kriminelle hackere er målrettede nok.

Hvor er grænsen, hvis der overhovedet er nogen?

Danmark begynder at ligne USA mere og mere. Vi mangler kun en lov om at en statslig instans må aflytte alt trafik uden dommerkendelse, ligesom der er i USA men f.eks. også i Sverige (FRA).

  • 0
  • 0
#5 Michael Nielsen

"Danmark begynder at ligne USA mere og mere. Vi mangler kun en lov om at en statslig instans må aflytte alt trafik uden dommerkendelse, ligesom der er i USA men f.eks. også i Sverige (FRA)."

Som jeg forstår det, har vi da allerede det, i det politiet må overvåge hvad de vil, bare de lover at indhendte en dommerkendelse senere, og indtil videre kommer dommerkendelsen automatisk, og øjensynligt ukritisk.

  • 0
  • 0
#9 Klavs Klavsen

Maskinen skal selv have mere end et netkort (det kan du vist ikke få en maskine der ikke har idag :) - og det den skal bruge til at sende info til GovCERT - skal så sikres forsvarligt som jeg skrev og behøver ikke at kunne modtage trafik fra andre end GovCERT (som det netkort der sniffes på jo skal).

Det er faktisk set flere gange at det er lykkedes at hacke IDS bokse - fordi de jo netop skal kigge på al trafikken.

  • 0
  • 0
#13 Klavs Klavsen

Jeg synes ikke jeg har set det ske endnu - og er det så ikke en hel del billigere, bare at sikre det fysisk, ved at klippe tx ledere?

Det er ihvertfald den sikreste metode efter min mening - og da det andet "backend" netkort så KUN skal bruges til trafik til og fra GovCERT - kan man på rimelig simpel vis (og dermed mindre sandsynlighed for fejl) sikre at maskinen kun får lov til at sende trafik til og fra GovCERT med en firewall foran IDS'ens "backend" netkort.

  • 0
  • 0
#15 Klavs Klavsen

Muligvis - bare man har flere led af sikkerhed, så en software fejl i IDS softwaren ikke kompromiterer sikkerheden (men sandsynligvis afbryder sniffer funktionaliteten som minimum :)

  • 0
  • 0
#16 Deleted User

Gang på gang, er der fundet sikkerhedshuller i software. Hvorfor skulle det stoppe fordi GovCERT er kommet?

Det stopper skam heller ikke fordi GovCERT er kommet. Men hvis vi VIRKELIG vil have det til at stoppe, så mener jeg godt vi kan.

  • 0
  • 0
#17 Hans-Michael Varbæk

@Jon:

@Christian: Ved at gennemgå den med en tætte kam mange gange. MANGE. Det koster dyrt, men jeg tror godt det kan lade sig gøre at lave opsamlingen så den ikke har fejl.

Gang på gang, er der fundet sikkerhedshuller i software. Hvorfor skulle det stoppe fordi GovCERT er kommet?

@Klavs Klavsen:

Muligvis - bare man har flere led af sikkerhed, så en software fejl i IDS softwaren ikke kompromiterer sikkerheden (men sandsynligvis afbryder sniffer funktionaliteten som minimum :)

Hvis der er en fejl i IDS-boksen som bliver udløst af den trafik som den læser (såsom en mail til en statslig instans), som så udløser en Denial of Service hændelse. Så kan alt trafik lige pludselig smutte forbi IDS-boksen fordi IDS- eller sniffer-servicen er gået ned.

Det kunne jo være at hackeren vidste TX-lederen sandsynligvis var klippet over og derfor valgte at nedlægge IDS-boksen for at kunne sende f.eks. et helt normalt PDF-angreb som er lettere at opdage.

Det kunne også være hackerens intention bare at slette logs'ne.

  • 0
  • 0
#18 Klavs Klavsen

@Hans-Michael

Hvis der er en fejl i IDS-boksen som bliver udløst af den trafik som den læser ... Så kan alt trafik lige pludselig smutte forbi IDS-boksen fordi IDS- eller sniffer-servicen er gået ned.

en IDS blokerer normalt ikke for trafik - den sniffer ("lugter") bare på det - så trafikken ville normalt være kommet igennem uanset.

Trafikken går altså normalt ikke igennem IDS'en - da det er meningen at den IKKE må forstyrre trafikken - hvis den går ned.

Der findes også traffic scrubbers - se f.ex. hogwash http://hogwash.sourceforge.net/docs/overview.html, men nu sagde de IDS.

  • 0
  • 0
#19 Hans-Michael Varbæk

@Klavs Klavsen:

en IDS blokerer normalt ikke for trafik - den sniffer ("lugter") bare på det - så trafikken ville normalt være kommet igennem uanset.

Trafikken går altså normalt ikke igennem IDS'en - da det er meningen at den IKKE må forstyrre trafikken - hvis den går ned.

Du har ret, men jeg har aldrig påstået andet.

IDS'en læser / sniffer trafikken og selv hvis IDS'en går ned så vil der ikke opstå komplikationer da den ikke har aktiv indflydelse på dette. Det har IPS, Firewall og Spam-filter systemer til gengæld.

Det som jeg nævnte var, at hvis en ondsindet hacker ved at der er en DoS (Denial of Service) fejl i nævnte IDS-boks som kan udløses ved at sende en bestemt form for trafik, som IDS'en jo læser / sniffer. Så går IDS'en ned og det åbner op for at den ondsindede hacker kan omgå IDS'en i det stykke tid servicen er nede.

Dvs. at hackeren kan undgå at blive opdaget af GovCERT fordi IDS-servicen er nede.

Sandsynligheden for at det sker på lige præcis den måde, er dog forholdsvist lille men det er ikke umuligt ej heller usandsynligt at det kan ske.

Det vil dog højst sandsynligt forekomme ved tilfældigheder og ikke direkte angreb.

  • 0
  • 0
Log ind eller Opret konto for at kommentere