Ekspert: Rigspolitiets kontroversielle software-køb undergraver vores alles it-sikkerhed

14. juli 2015 kl. 06:2916
Ved at købe overvågningssoftware fra Hacking Team, bruger Rigspolitiet millioner på at støtte industri, der tjener penge på at holde alvorlige sikkerhedshuller skjult for offentligheden, advarer formanden for IT-Politisk Forening.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Rigspolitiet har ikke kun anskaffet sig et værktøj, der kan hacke sig ind på mistænktes computere og smartphones. Det har også købt et system, der er med til at undergrave vores allesammens it-sikkerhed.

Sådan lyder advarslen fra formanden for IT-Politisk Forening, Jesper Lund.

»Rigspolitiets køb er med til at undergrave it-sikkerheden for alle borgere og ikke kun de få mistænkte kriminelle, hvor man er interesseret i at få adgang,« siger han.

Det kom for nyligt frem, at Rigspolitiet havde brugt 4,2 mio. kr. på at købe overvågningssoftwaren Remote Control System med kodenavnet Galileo fra det italienske sikkerhedsfirma Hacking Team. Afsløringen kom på baggrund af interne dokumenter fra Hacking Team, der blev lækket via whistleblower-tjenesten Wikileaks.

Artiklen fortsætter efter annoncen

Politiet har under normale omstændigheder skullet have haft fysisk fat i en computer på en mistænkt for at kunne installere software, der kan overvåge vedkommendes system. Men det ændrer Galileo ved, da der er tale om offensiv software, hvor politiet på samme måde som kriminelle hackere kan inficere computere med malware, der overvåger systemet uden at komme i fysisk kontakt med computeren.

Alvorlige sårbarheder holdes skjult

Et af de centrale elementer er de sårbarheder - såkaldte 0-day exploits - som Galileo benytter sig af for at få adgang til de mistænktes computere og smartphones. Disse sårbarheder kendetegnes ved, at de endnu ikke er blevet opdaget af producenterne, som derfor ikke har haft mulighed for at lukke hullerne med en software-opdatering.

Flere softwareproducenter har såkaldte bug bounty-programmer, hvor de udlover en mindre dusør til hackere, der opdager sikkerhedshullerne og indrapporterer dem. Men Hacking Team har også en interesse i at få kendskab til sårbarheder, der er udviklet uden softwareproducenternes kendskab. Således betalte det italienske it-sikkerhedsfirma i slutningen af 2013 over 300.000 kr. til en russisk hacker for en Flash-exploit, som han selv havde udviklet.

Som en del af aftalen stod det, at russeren ikke måtte afsløre sårbarheden til Adobe, før den blev rettet med en patch.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Obviously it is not [in] our interest,« skrev medarbejderen for Hacking Team i korrespondancen.

Og netop dette forhold er problematisk, når Rigspolitiet i Danmark vælger at benytte sig af Hacking Teams software ifølge Jesper Lund:

»Det er en uheldig praksis, for så driver de prisen for viden om sikkerhedshuller op. Hacking Team kan tilbyde langt mere end de bug bounty-programmer, som tilbydes ansvarlige hackere,« siger han og påpeger, at alvorlige sårbarheder dermed kan forblive under producenternes radar og gøre it-systemer verden over usikre.

Når Hacking Teams kunder som Rigspolitiet køber overvågningssoftwaren Galileo, bliver de også tilbudt muligheden for at abonnere på virksomhedens fortrolige liste over sårbarheder. Og med en pris på over 1,1 mio. kr. om året, er der langt fra tale om noget avis-abonnement. Hvorvidt Rigspolitiet har valgt at abonnere på denne tjeneste er dog uvist.

»Det er med til at understøtte og legitimere en praksis, som er dårlig for alles it-sikkerhed,« siger Jesper Lund og uddyber:

»Rigspolitiet kommer til at modarbejde at få repareret softwarehuller, fordi de er kunde i en industri, der er afhængig af sikkerhedshuller og samtidig bidrager til, at viden om sikkerhedshuller kommer de forkerte steder hen og ikke de steder, hvor hullerne bliver fikset.«

Risiko for bagdøre

Derudover er der også en række andre problematiske forhold med Rigspolitiets softwarekøb ifølge Jesper Lund.

Når politiet benytter sig af softwaren til at overvåge mistænktes computere, vil de samtidig risikere at afsløre efterforskningen til tredjeparter. Den anerkendte it-sikkerhedsblogger Bruce Schneier har blandt andet gjort opmærksom på, at Hacking Teams værktøj har et såkaldt vandmærke installeret, der gør det muligt for uvedkommende at finde ud af hvem - i dette tilfælde Rigspolitiet - der benytter sig af værktøjet, samt hvem - i dette tilfælde en mistænkt - som er målet for overvågningen.

Artiklen fortsætter efter annoncen

Samtidig er der også en risiko for, at de mennesker, der bliver overvåget, selv bliver ramt af ondsindede hackerangreb, når først en sårbarhed er lagt ind på computeren eller mobilen.

»Det er risici, som politiet ikke kan overskue. Hvis man først hacker en computer, så får andre måske også adgang til computeren,« siger Jesper Lund.

Hacker Team leverer værktøjerne og sårbarhederne til en lang række statslige myndigheder verden over, heriblandt til lande som USA. Men også en række stater, der er kendt for at bryde menneskerettighederne, såsom Bahrain er på kundelisten ifølge lækket fra Wikileaks.

Det italienske it-sikkerhedsfirma blev selv udsat for et hackerangreb den 6. juli 2015, hvor firmaets fortrolige software blev lækket og delt blandt tusindvis af mennesker verden over. Dermed har ikke kun Hacking Team, men også alle disse personer potentielt adgang til at følge med, hvem der bruger værktøjerne, og hvem der bliver overvåget ifølge Bruce Schneier.

I Danmark er det nødvendigt at tage en diskussion af, hvor høj grad politiet skal efterligne hackere i forsøget på at efterforske kriminalitet ifølge Jesper Lund, der gerne ser en revision af retsplejeloven.

»Der er i loven ikke nogle overvejelser over, hvilke risici man løber, og hvilke forpligtelser politiet har for at forhindre andres misbrug. Der er behov for en revurdering af, hvilke beføjelser politiet skal have, hvis de går i gang med at hacke folks computere,« siger Jesper Lund.

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
Slettet bruger
15. juli 2015 kl. 22:51

sig nu det rigtigt, ikke "overvågningssoftware" det er og forbliver malware som politiet har købt og derved er med til at støtte malware producenter, som hemmeligholder fejl(bugs) som ellers skulle fixes, så alle er MERE Sikker, men i stedet vil autoriteterne hellere være med til at gøre os alles systemer mere usikker, så de kan blive ved med at kontrollere folket.

  • more_vert
    • insert_linkKopier link
11
Peter Kruse
14. juli 2015 kl. 13:52

Med en traditionel dommerkendelse gives der fysisk adgang til en person som kan have politiets interesse ud fra en række dokumenterede beviser. Med fysisk adgang menes, at man med loven i hånden, bl.a. kan tilgå pågældendes bopæl uden dennes viden og accept, som når man installerer andet overvågningsudstyr.

Hvorfor man i det perspektiv har behov for 0-dags svagheder, og de mange forskelligartede komplikationer som det indlysende fører med sig, er et stort spørgsmålstegn. Med fysisk adgang til digitalt udstyr, uanset OS, kan der let installeres overvågningssoftware - uden at skulle gøre brug af 0-dags svagheder. Og den anvendelse har en højere grad af retfærdighedsfølelse for det enkelte individ end at beskyde maskiner ved brug af exploits, som har en høj risiko for usikkerhed om hvorvidt den rette person bliver målet.

  • more_vert
    • insert_linkKopier link
12
Jesper Lund
14. juli 2015 kl. 14:33

Hvorfor man i det perspektiv har behov for 0-dags svagheder, og de mange forskelligartede komplikationer som det indlysende fører med sig, er et stort spørgsmålstegn. Med fysisk adgang til digitalt udstyr, uanset OS, kan der let installeres overvågningssoftware - uden at skulle gøre brug af 0-dags svagheder.

Helt enig i den vurdering. Hvis vi taler om smartphones, kan politiets muligheder for at få fysisk adgang, uden at mistænkte bliver opmærksom på det, dog være relativt begrænsede. Hvem sover ikke med telefonen under hovedpuden i disse tider :)

  • more_vert
    • insert_linkKopier link
13
Peter Kruse
14. juli 2015 kl. 15:28

@jesper, jeg forstår din pointe. Men netop der, er det mindre indlysende hvad man overhovedet skal med en malware og tvangsinstallationer, da mobiltelefoner kan aflyttes og GPS data indsamles via udbyderen. Hvorfor er der behov for mobil malware, hvis man har en dommerkendelse, som knytter en mobiltelefon til en mistænkt?

  • more_vert
    • insert_linkKopier link
14
Jesper Lund
14. juli 2015 kl. 17:07

@jesper, jeg forstår din pointe. Men netop der, er det mindre indlysende hvad man overhovedet skal med en malware og tvangsinstallationer, da mobiltelefoner kan aflyttes og GPS data indsamles via udbyderen. Hvorfor er der behov for mobil malware, hvis man har en dommerkendelse, som knytter en mobiltelefon til en mistænkt?

Du har apps som Signal og Redphone, som tilbyder end-to-end kryptering af telefonsamtaler via VoIP over datadelen (forudsat at begge ender bruger denne app). Her vil et snifferprogram på telefonen være nødvendigt for at kunne aflytte samtalen ("nødvendig" i teknisk forstand, ikke Cameron-forstand).

  • more_vert
    • insert_linkKopier link
10
Lars Bjerregaard
14. juli 2015 kl. 12:09

Det er en trist tilstand for et samfund, når dets borgere skal beskytte sig mod dets politi, på samme måde som de skal beskytte sig mod kriminelle, da de nu bruger samme metoder. Når dem som burde beskytte dig viser sig i stedet at angribe dig, hvem skal du så vende dig til for beskyttelse?

"When the president does it it's not illegal"

  • Richard Nixon
  • more_vert
    • insert_linkKopier link
8
Christian Bruun
14. juli 2015 kl. 10:47

Gad vide hvordan dommeren vil stille sig hvis tiltalte mener at hans computer har været fjernstyret - det er forhåbentlig svært for dommeren at afvise det med at tiltalte burde have opdaget det, hvis dommeren samtidig bruger politiets "fjernstyring/indbrud" som bevismateriale...

  • more_vert
    • insert_linkKopier link
9
Lars Skovlund
14. juli 2015 kl. 11:19

Vi så i Anakata-sagen, at man behøver ikke kunne afvise fjernstyring 100% for at dømme (uanset hvad man i øvrigt mener om manden).

  • more_vert
    • insert_linkKopier link
6
René Nielsen
14. juli 2015 kl. 10:15

Den synsvikel som Jesper Lund fremfoerer er rigtig, men det findes afledte og mere skadelige sideeffekter.

Hvis den rigtige viden bliver stjået fra danske virksomheder, vil det samfundsmæssige tab hvert år langt overstige omkostningen ved en skydegal ung mand render rundt i København .

Tag et eksempel. En ung forsker opdager en metode til opbevaring af eletrisk energi således at man nu kan opbevare energi fra vedvarende kilder, til en 1/500 -> 1/1000 af prisen at de nuværende Litiumbatterier.

Forskeren er ikke en del af en stor virksomhed som har ressourcerne til ”aktivt digitalt selvforsvar”, men markedsværdien i de første 10 år af en sådan opfindelse er vel lavt sat i omegnen af 50-100 Storebæltsbroer, plus selvfølgelig de afledte positive effekter på f.eks. vindmølleindustrien.

Hvis forskeren fik lov til at bygge sin virksomhed op i Danmark, taler vi vel om at han i løbet af 10 år fik opbygget en virksomhed med 8.000 til 25.000 i arbejdspladser i Danmark når vi medregner arbejdspladser ved underleverandørene samt tilhørende milliardklasse licensindtægter.

I stedet for at politiet beskytter forskeren – gør de gud hjælpe mig det modsatte - når de køber produkter som det fra Hacking Team. De installerer en bagdør som er pivåben for alle.

Det letteste sted at gemme et træ – er altså i skoven! Hvis alt i Danmark var krypteret ville det hjælpe. Allerhelst skulle myndighederne aktivt bistå borgere og virksomheder ved at kræve et internationalt højt niveau af sikkerhed fra alle - også selvom det betyder at politiets elektroniske indhentningskilder tørre ud.

Jeg vil være så direkte at, at det først når indhentningskilder som Hacking Teams produkter er tørret helt ud, at vi er ved at have et acceptabelt folkeligt sikkerhedsniveau i Danmark. Indtil da vil det være klogest at afinstallerer Adobe Flash player fra en enhver computer som indeholder følsom information – det er i praksis Adobe Flash player som er problemet.

Og bemærk venligst, det er den unge forskers grundlovsikrede ret at krypterer sin information og kommunikerer i hemmelighed - dommerkendelse eller ej.

Jeg bryder mig ikke om terrorisme, men vi skal ikke miste mange af ovenstående opfindelser til udlandet vores velfærdssamfunds økonomi er truet. For vor unge forskers opfindelse vil blive stjålet ... hvis NSA ”kommer forbi”.

Dertil kommer at politiet i praksis udfører ulovlig (data-) hælervirksomhed når man køber et produkt som baseres på andres ulovlige hacking. Det er bare ikke tilladt at foretage nogen form for reverse enginering jf. Ophavsretten – heller ikke selv om det foregår i udlandet og man via sindrige underleverandøraftaler og Non-Disclosure Agreements forsøger at udliciterer ansvaret.

Det kunne lige passe at en sælger af stjåene data nede i byretten kunne sige, at han ikke skal straffes selvom han vidste eller burde vide at dataene var stjålne – fordi tyveriet skete i udlandet!

Politiet skal i alle tilfælde ikke snakke om faldende tillid til ordensmagten, når politiet selv lægger sig i overhalingsbanen for uetisk adfærd med sømmet i bund og fast rettet imod klare ulovligheder.

Og dermed er vi ved kernen for, der er ingen som kender den samlede samfundsøkonomiske skadevirkning ved produkter som dem fra Hacking Team.

At skaden er betydelig, er der ikke tvivl om, men at det danske politi aktivt støtter med ulovligheder til at undergrave samfundsøkonomien er sgu for langt ude.

  • more_vert
    • insert_linkKopier link
5
Kenneth Schack Banner
14. juli 2015 kl. 10:10

Er bare glad for jeg kører open source :)

Men diskussionen er jo vanskelig, da det er til politiets fordel.. Tænk hvis dit barn forsvinder og måden politiet finder barnet på er ved brug at 0-dags huller...

Et eller andet sted så burde de samarbejde, men det ønsker befolkningen jo heller ikke..

  • more_vert
    • insert_linkKopier link
2
Lars Skovlund
14. juli 2015 kl. 08:55

Jeg blev for nogle dage siden gjort opmærksom på nogle suspekte filnavne i den nu lækkede HT-kode. Filen ligger på github her:

https://github.com/hackedteam/rcs-common/blob/master/lib/rcs-common/evidence/file.rb

og indeholder kode som:

path = hash[:path] || ["C:\Utenti\pippo\pedoporno.mpg", "C:\Utenti\pluto\Documenti\childporn.avi", "C:\secrets\bomb_blueprints.pdf"].sample

Kan Version2 evt. gå ind i hvordan dansk politi sikrer, at disse og andre dummy-filnavne ikke pludselig optræder i bevismateriale mod en borger? Har man på nogen måde auditeret/valideret produktet?

  • more_vert
    • insert_linkKopier link
4
Henrik Pedersen
14. juli 2015 kl. 09:21

Jeg læste også den diskussion. Det menes at det nok er udviklerne som har lavet test af koden, og de tror altså de bekæmper "de onde" åbenbart..

I øvrigt - Hvilken pædofil ville nogensinde kalde sine billeder for "pedoporn.jpg"? xD

  • more_vert
    • insert_linkKopier link
4
Lars Skovlund
14. juli 2015 kl. 09:37

Man kan ikke konkludere ud fra en enkelt linje kode, at der er tale om test eller at højresiden ikke kan nås. Man er nødt til at kigge på kontekst for at se om koden kan nås i et produktionsmiljø. Altså en rigtig auditering.

  • more_vert
    • insert_linkKopier link
3
Henrik Pedersen
14. juli 2015 kl. 09:21

Jeg læste også den diskussion. Det menes at det nok er udviklerne som har lavet test af koden, og de tror altså de bekæmper "de onde" åbenbart..

I øvrigt - Hvilken pædofil ville nogensinde kalde sine billeder for "pedoporn.jpg"? xD

  • more_vert
    • insert_linkKopier link
1
Anders Kvist
14. juli 2015 kl. 08:47

Det er lidt som om at politiets troværdighed helt forsvinder og når de og Nets sagde ingen kunne finde på at bruge NemID, dengang det kørte Java, som adgang til andres computere - det her er jo endnu værre og hvis de kan finde på det, så kan de finde på hvad som helst...

  • more_vert
    • insert_linkKopier link