Ekspert: Rigspolitiets kontroversielle software-køb undergraver vores alles it-sikkerhed

Illustration: leowolfert/Bigstock
Ved at købe overvågningssoftware fra Hacking Team, bruger Rigspolitiet millioner på at støtte industri, der tjener penge på at holde alvorlige sikkerhedshuller skjult for offentligheden, advarer formanden for IT-Politisk Forening.

Rigspolitiet har ikke kun anskaffet sig et værktøj, der kan hacke sig ind på mistænktes computere og smartphones. Det har også købt et system, der er med til at undergrave vores allesammens it-sikkerhed.

Sådan lyder advarslen fra formanden for IT-Politisk Forening, Jesper Lund.

»Rigspolitiets køb er med til at undergrave it-sikkerheden for alle borgere og ikke kun de få mistænkte kriminelle, hvor man er interesseret i at få adgang,« siger han.

Læs også: Dansk politi køber overvågningssystem fra kontroversielt firma

Det kom for nyligt frem, at Rigspolitiet havde brugt 4,2 mio. kr. på at købe overvågningssoftwaren Remote Control System med kodenavnet Galileo fra det italienske sikkerhedsfirma Hacking Team. Afsløringen kom på baggrund af interne dokumenter fra Hacking Team, der blev lækket via whistleblower-tjenesten Wikileaks.

Politiet har under normale omstændigheder skullet have haft fysisk fat i en computer på en mistænkt for at kunne installere software, der kan overvåge vedkommendes system. Men det ændrer Galileo ved, da der er tale om offensiv software, hvor politiet på samme måde som kriminelle hackere kan inficere computere med malware, der overvåger systemet uden at komme i fysisk kontakt med computeren.

Alvorlige sårbarheder holdes skjult

Et af de centrale elementer er de sårbarheder - såkaldte 0-day exploits - som Galileo benytter sig af for at få adgang til de mistænktes computere og smartphones. Disse sårbarheder kendetegnes ved, at de endnu ikke er blevet opdaget af producenterne, som derfor ikke har haft mulighed for at lukke hullerne med en software-opdatering.

Flere softwareproducenter har såkaldte bug bounty-programmer, hvor de udlover en mindre dusør til hackere, der opdager sikkerhedshullerne og indrapporterer dem. Men Hacking Team har også en interesse i at få kendskab til sårbarheder, der er udviklet uden softwareproducenternes kendskab. Således betalte det italienske it-sikkerhedsfirma i slutningen af 2013 over 300.000 kr. til en russisk hacker for en Flash-exploit, som han selv havde udviklet.

Læs også: Danskere står bag verdensomspændende hackernetværk

Som en del af aftalen stod det, at russeren ikke måtte afsløre sårbarheden til Adobe, før den blev rettet med en patch.

»Obviously it is not [in] our interest,« skrev medarbejderen for Hacking Team i korrespondancen.

Og netop dette forhold er problematisk, når Rigspolitiet i Danmark vælger at benytte sig af Hacking Teams software ifølge Jesper Lund:

»Det er en uheldig praksis, for så driver de prisen for viden om sikkerhedshuller op. Hacking Team kan tilbyde langt mere end de bug bounty-programmer, som tilbydes ansvarlige hackere,« siger han og påpeger, at alvorlige sårbarheder dermed kan forblive under producenternes radar og gøre it-systemer verden over usikre.

Når Hacking Teams kunder som Rigspolitiet køber overvågningssoftwaren Galileo, bliver de også tilbudt muligheden for at abonnere på virksomhedens fortrolige liste over sårbarheder. Og med en pris på over 1,1 mio. kr. om året, er der langt fra tale om noget avis-abonnement. Hvorvidt Rigspolitiet har valgt at abonnere på denne tjeneste er dog uvist.

»Det er med til at understøtte og legitimere en praksis, som er dårlig for alles it-sikkerhed,« siger Jesper Lund og uddyber:

»Rigspolitiet kommer til at modarbejde at få repareret softwarehuller, fordi de er kunde i en industri, der er afhængig af sikkerhedshuller og samtidig bidrager til, at viden om sikkerhedshuller kommer de forkerte steder hen og ikke de steder, hvor hullerne bliver fikset.«

Læs også: Politiet efter Hacking Team-sag: »Vi kan ikke bare efterforske hr. og fru. Jensen«

Risiko for bagdøre

Derudover er der også en række andre problematiske forhold med Rigspolitiets softwarekøb ifølge Jesper Lund.

Når politiet benytter sig af softwaren til at overvåge mistænktes computere, vil de samtidig risikere at afsløre efterforskningen til tredjeparter. Den anerkendte it-sikkerhedsblogger Bruce Schneier har blandt andet gjort opmærksom på, at Hacking Teams værktøj har et såkaldt vandmærke installeret, der gør det muligt for uvedkommende at finde ud af hvem - i dette tilfælde Rigspolitiet - der benytter sig af værktøjet, samt hvem - i dette tilfælde en mistænkt - som er målet for overvågningen.

Samtidig er der også en risiko for, at de mennesker, der bliver overvåget, selv bliver ramt af ondsindede hackerangreb, når først en sårbarhed er lagt ind på computeren eller mobilen.

»Det er risici, som politiet ikke kan overskue. Hvis man først hacker en computer, så får andre måske også adgang til computeren,« siger Jesper Lund.

Hacker Team leverer værktøjerne og sårbarhederne til en lang række statslige myndigheder verden over, heriblandt til lande som USA. Men også en række stater, der er kendt for at bryde menneskerettighederne, såsom Bahrain er på kundelisten ifølge lækket fra Wikileaks.

Det italienske it-sikkerhedsfirma blev selv udsat for et hackerangreb den 6. juli 2015, hvor firmaets fortrolige software blev lækket og delt blandt tusindvis af mennesker verden over. Dermed har ikke kun Hacking Team, men også alle disse personer potentielt adgang til at følge med, hvem der bruger værktøjerne, og hvem der bliver overvåget ifølge Bruce Schneier.

I Danmark er det nødvendigt at tage en diskussion af, hvor høj grad politiet skal efterligne hackere i forsøget på at efterforske kriminalitet ifølge Jesper Lund, der gerne ser en revision af retsplejeloven.

»Der er i loven ikke nogle overvejelser over, hvilke risici man løber, og hvilke forpligtelser politiet har for at forhindre andres misbrug. Der er behov for en revurdering af, hvilke beføjelser politiet skal have, hvis de går i gang med at hacke folks computere,« siger Jesper Lund.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Anders Kvist

Det er lidt som om at politiets troværdighed helt forsvinder og når de og Nets sagde ingen kunne finde på at bruge NemID, dengang det kørte Java, som adgang til andres computere - det her er jo endnu værre og hvis de kan finde på det, så kan de finde på hvad som helst...

Lars Skovlund

Jeg blev for nogle dage siden gjort opmærksom på nogle suspekte filnavne i den nu lækkede HT-kode. Filen ligger på github her:

https://github.com/hackedteam/rcs-common/blob/master/lib/rcs-common/evid...

og indeholder kode som:

path = hash[:path] || ["C:\Utenti\pippo\pedoporno.mpg", "C:\Utenti\pluto\Documenti\childporn.avi", "C:\secrets\bomb_blueprints.pdf"].sample

Kan Version2 evt. gå ind i hvordan dansk politi sikrer, at disse og andre dummy-filnavne ikke pludselig optræder i bevismateriale mod en borger? Har man på nogen måde auditeret/valideret produktet?

René Nielsen

Den synsvikel som Jesper Lund fremfoerer er rigtig, men det findes afledte og mere skadelige sideeffekter.

Hvis den rigtige viden bliver stjået fra danske virksomheder, vil det samfundsmæssige tab hvert år langt overstige omkostningen ved en skydegal ung mand render rundt i København .

Tag et eksempel. En ung forsker opdager en metode til opbevaring af eletrisk energi således at man nu kan opbevare energi fra vedvarende kilder, til en 1/500 -> 1/1000 af prisen at de nuværende Litiumbatterier.

Forskeren er ikke en del af en stor virksomhed som har ressourcerne til ”aktivt digitalt selvforsvar”, men markedsværdien i de første 10 år af en sådan opfindelse er vel lavt sat i omegnen af 50-100 Storebæltsbroer, plus selvfølgelig de afledte positive effekter på f.eks. vindmølleindustrien.

Hvis forskeren fik lov til at bygge sin virksomhed op i Danmark, taler vi vel om at han i løbet af 10 år fik opbygget en virksomhed med 8.000 til 25.000 i arbejdspladser i Danmark når vi medregner arbejdspladser ved underleverandørene samt tilhørende milliardklasse licensindtægter.

I stedet for at politiet beskytter forskeren – gør de gud hjælpe mig det modsatte - når de køber produkter som det fra Hacking Team. De installerer en bagdør som er pivåben for alle.

Det letteste sted at gemme et træ – er altså i skoven! Hvis alt i Danmark var krypteret ville det hjælpe. Allerhelst skulle myndighederne aktivt bistå borgere og virksomheder ved at kræve et internationalt højt niveau af sikkerhed fra alle - også selvom det betyder at politiets elektroniske indhentningskilder tørre ud.

Jeg vil være så direkte at, at det først når indhentningskilder som Hacking Teams produkter er tørret helt ud, at vi er ved at have et acceptabelt folkeligt sikkerhedsniveau i Danmark. Indtil da vil det være klogest at afinstallerer Adobe Flash player fra en enhver computer som indeholder følsom information – det er i praksis Adobe Flash player som er problemet.

Og bemærk venligst, det er den unge forskers grundlovsikrede ret at krypterer sin information og kommunikerer i hemmelighed - dommerkendelse eller ej.

Jeg bryder mig ikke om terrorisme, men vi skal ikke miste mange af ovenstående opfindelser til udlandet vores velfærdssamfunds økonomi er truet. For vor unge forskers opfindelse vil blive stjålet ... hvis NSA ”kommer forbi”.

Dertil kommer at politiet i praksis udfører ulovlig (data-) hælervirksomhed når man køber et produkt som baseres på andres ulovlige hacking. Det er bare ikke tilladt at foretage nogen form for reverse enginering jf. Ophavsretten – heller ikke selv om det foregår i udlandet og man via sindrige underleverandøraftaler og Non-Disclosure Agreements forsøger at udliciterer ansvaret.

Det kunne lige passe at en sælger af stjåene data nede i byretten kunne sige, at han ikke skal straffes selvom han vidste eller burde vide at dataene var stjålne – fordi tyveriet skete i udlandet!

Politiet skal i alle tilfælde ikke snakke om faldende tillid til ordensmagten, når politiet selv lægger sig i overhalingsbanen for uetisk adfærd med sømmet i bund og fast rettet imod klare ulovligheder.

Og dermed er vi ved kernen for, der er ingen som kender den samlede samfundsøkonomiske skadevirkning ved produkter som dem fra Hacking Team.

At skaden er betydelig, er der ikke tvivl om, men at det danske politi aktivt støtter med ulovligheder til at undergrave samfundsøkonomien er sgu for langt ude.

Christian Bruun

Gad vide hvordan dommeren vil stille sig hvis tiltalte mener at hans computer har været fjernstyret - det er forhåbentlig svært for dommeren at afvise det med at tiltalte burde have opdaget det, hvis dommeren samtidig bruger politiets "fjernstyring/indbrud" som bevismateriale...

Lars Bjerregaard

Det er en trist tilstand for et samfund, når dets borgere skal beskytte sig mod dets politi, på samme måde som de skal beskytte sig mod kriminelle, da de nu bruger samme metoder. Når dem som burde beskytte dig viser sig i stedet at angribe dig, hvem skal du så vende dig til for beskyttelse?

"When the president does it it's not illegal"
- Richard Nixon

Peter Kruse

Med en traditionel dommerkendelse gives der fysisk adgang til en person som kan have politiets interesse ud fra en række dokumenterede beviser. Med fysisk adgang menes, at man med loven i hånden, bl.a. kan tilgå pågældendes bopæl uden dennes viden og accept, som når man installerer andet overvågningsudstyr.

Hvorfor man i det perspektiv har behov for 0-dags svagheder, og de mange forskelligartede komplikationer som det indlysende fører med sig, er et stort spørgsmålstegn. Med fysisk adgang til digitalt udstyr, uanset OS, kan der let installeres overvågningssoftware - uden at skulle gøre brug af 0-dags svagheder. Og den anvendelse har en højere grad af retfærdighedsfølelse for det enkelte individ end at beskyde maskiner ved brug af exploits, som har en høj risiko for usikkerhed om hvorvidt den rette person bliver målet.

Jesper Lund

Hvorfor man i det perspektiv har behov for 0-dags svagheder, og de mange forskelligartede komplikationer som det indlysende fører med sig, er et stort spørgsmålstegn. Med fysisk adgang til digitalt udstyr, uanset OS, kan der let installeres overvågningssoftware - uden at skulle gøre brug af 0-dags svagheder.

Helt enig i den vurdering. Hvis vi taler om smartphones, kan politiets muligheder for at få fysisk adgang, uden at mistænkte bliver opmærksom på det, dog være relativt begrænsede. Hvem sover ikke med telefonen under hovedpuden i disse tider :)

Peter Kruse

@jesper, jeg forstår din pointe. Men netop der, er det mindre indlysende hvad man overhovedet skal med en malware og tvangsinstallationer, da mobiltelefoner kan aflyttes og GPS data indsamles via udbyderen. Hvorfor er der behov for mobil malware, hvis man har en dommerkendelse, som knytter en mobiltelefon til en mistænkt?

Jesper Lund

@jesper, jeg forstår din pointe. Men netop der, er det mindre indlysende hvad man overhovedet skal med en malware og tvangsinstallationer, da mobiltelefoner kan aflyttes og GPS data indsamles via udbyderen. Hvorfor er der behov for mobil malware, hvis man har en dommerkendelse, som knytter en mobiltelefon til en mistænkt?

Du har apps som Signal og Redphone, som tilbyder end-to-end kryptering af telefonsamtaler via VoIP over datadelen (forudsat at begge ender bruger denne app). Her vil et snifferprogram på telefonen være nødvendigt for at kunne aflytte samtalen ("nødvendig" i teknisk forstand, ikke Cameron-forstand).

Magnus S. Krogh

sig nu det rigtigt, ikke "overvågningssoftware" det er og forbliver malware som politiet har købt og derved er med til at støtte malware producenter, som hemmeligholder fejl(bugs) som ellers skulle fixes, så alle er MERE Sikker, men i stedet vil autoriteterne hellere være med til at gøre os alles systemer mere usikker, så de kan blive ved med at kontrollere folket.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017