Ekspertvurdering: NSA har bagdøre i Danmarks it-infrastruktur

Kan NSA aflytte Helle Thorning-Schmidts iPhone? It-sikkerhedsekspert finder det sandsynligt, at NSA har bagdøre i Danmarks centrale it-infrastruktur.

Hverken hos Folketingets it-administration eller hos det danske cyberforsvar Center for Cybersikkerhed ønsker man at oplyse, hvorvidt NSA har eller har haft bagdøre ind i den centrale danske it-infrastruktur. Og dermed er det ikke umiddelbart muligt at få svar på, hvorvidt den amerikanske efterretningstjeneste har kunnet lytte på eksempelvis folketingsmedlemmernes smartphones.

En ekspert på området vurderer dog, der med al sandsynlighed er blevet installeret bagdøre ind i den slags systemer. Og det har svækket den generelle sikkerhed i systemerne.

Den britiske avis The Guardian har for nyligt dokumenteret, hvordan den amerikanske efterretningstjeneste NSA dels har arbejdet på at svække krypteringsstandarder, dels på at få bagdøre indbygget it-sikkerhedsløsninger. Blandt andet fortalte The Guardian på baggrund af dokumenter lækket af tidligere it-analytiker Edward Snowden, hvordan NSA på overfladen har haft et program, der godkendte it-sikkerhedsudstyr til brug for den amerikanske regering, mens NSA via samme program har taget kontakt til leverandørerne af sikkerhedsløsninger for at få indbygget bagdøre i udstyret.

Læs også: Avis: 'Projekt Bullrun' gav NSA bagdøre til alle krypteringsmetoder

Version2 har i den forbindelse spurgt Folketingets it-administration og Center for Cybersikkerhed, hvorvidt NSA har eller har haft bagdøre ind i deres systemer. Ingen af organisationerne har imidlertid ønsket at udtale sig om spørgsmålet.

Det vil professor ved DTU Compute og it-sikkerhedsekspert Joe Kiniry imidlertid godt. Han vurderer, at der med al sandsynlighed bliver anvendt udstyr med NSA-bagdøre i centrale organisationer i Danmark, som Folketinget og Center for Cybersikkerhed.

»Det ville undre mig meget, hvis vi (i Danmark, red.), havde gjort noget ekstraordinært og købt noget, som de (NSA, red.) ikke på den ene eller den anden måde har adgang til,« siger han.

Med den udmelding lægger han sig op ad den internationalt anerkendte sikkerhedsguru Bruce Schneier, der i sidste uge i et indlæg om at beskytte sig mod NSA, blandt andet skrev på The Guardians hjemmeside:
'Mit gæt er, at de fleste krypteringsprodukter fra store amerikanske virksomheder har NSA-venlige bagdøre, og mange udenlandske har det formentlig også.'

Joe Kiniry tvivler dog på, at den amerikanske efterretningstjeneste har gjort et særligt stort nummer ud af at installere bagdøre i den danske digitale infrastruktur, da Danmark ikke er blandt USA's fjender. Han finder det i stedet mere sandsynligt, at eventuelle NSA-bagdøre hos eksempelvis Folketinget eller Center for Cybersikkerhed er blevet installeret ved et tilfælde, når gængs serverudstyr, router-udstyr eller andet er blevet installeret, og som i forvejen har haft en NSA-bagdør.

»De fleste servere, vi køber i dag, har disse tilfældige bagdøre i sig. Det opdager vi i stadig større grad. Det samme gælder routere,« siger Joe Kiniry.

Men kan det ikke lade sig gøre at købe bagdørsfrit udstyr?

»Uden enorme ressourcer og en vis portion held, så tror jeg ikke, du kan garantere, at dit system er ukompromitteret af de her modstandere,« siger han.

Læs også: Flere afsløringer: NSA har adgang til alle smartphones

Joe Kiniry finder det altså sandsynligt, at der kan være NSA-bagdøre i eksempelvis centrale routere og servere, der håndterer følsom information i Danmark. Men som udgangspunkt finder han det også mere sandsynligt, at bagdørene er blevet placeret ved et tilfælde, som en del af standardudstyr, end at NSA aktivt har plantet bagdøre i følsomme dele af den danske it-infrastruktur.

Men selvom bagdørene skulle være endt op i Danmark ved et tilfælde, og selvom NSA ikke aktivt lytter med på linjen. Så er situationen slem nok, vurderer Joe Kiniry. For bagdørene er nemlig i sig selv med til at svække it-sikkerheden, fordi de i princippet også kan misbruges af andre end lige NSA. Eksempelvis kinesiske eller russiske efterretningstjenester, eller it-kriminelle organisationer.

Den udmelding bliver bakket op af it-sikkerhedsekspert Mikko Hypponen fra finske F-Secure:

»Hvis man bygger bagdøre ind i sikkerhedssystemer, så skal man ikke blive overrasket, hvis ens fjende bruger dem,« skriver han i en mail til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Astrup

At a combined cost of $250 million per year, they include:

  1. Tampering with national standards (NIST is specifically mentioned) to promote weak, or otherwise vulnerable cryptography.
  2. Influencing standards committees to weaken protocols.
  3. Working with hardware and software vendors to weaken encryption and random number generators.
  4. Attacking the encryption used by 'the next generation of 4G phones'.
  5. Obtaining cleartext access to 'a major internet peer-to-peer voice and text communications system' (Skype?)
  6. Identifying and cracking vulnerable keys.
  7. Establishing a Human Intelligence division to infiltrate the global telecommunications industry.
  8. And somehow decrypting SSL connections.
  • 5
  • 0
Bjarne Astrup

§ 10. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal uden udgift for staten sikre,
1) at det tekniske udstyr og de tekniske systemer, som udbyderen anvender, er indrettet således, at politiet kan få adgang til oplysninger om teletrafik og til at foretage indgreb i meddelelseshemmeligheden i form af historisk teleoplysning og historisk udvidet teleoplysning, fremadrettet teleoplysning og fremadrettet udvidet teleoplysning, aflytning og teleobservation, jf. retsplejelovens kapitel 71 og 74, herunder, for så vidt angår fremadrettet teleoplysning og udvidet teleoplysning, at politiet kan få adgang, umiddelbart efter at disse oplysninger registreres,
2) at det tekniske udstyr og de tekniske systemer, som udbyderen anvender, er indrettet således, at det efter anmodning fra politiet er muligt at foretage aflytning og øjeblikkelig overførsel af telekommunikation til en anden medlemsstat efter artikel 18, stk. 5, litra a, sammenholdt med stk. 2, litra a og c, i konvention af 29. maj 2000 om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater,
3) at de gatewaystationer, udbyderen anvender, er indrettet således, at udbydere af elektroniske kommunikationstjenester i andre medlemsstater, der benytter gatewaystationerne, har direkte adgang til disse, så det gennem sådanne udbydere er muligt at foretage direkte aflytning af telekommunikation på gatewaystationerne vedrørende personer, der befinder sig i den pågældende medlemsstat, jf. artikel 19 i konvention af 29. maj 2000 om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater, og
4) at udbyderen har direkte adgang til gatewaystationer, der befinder sig i andre medlemsstater, og som udbyderen benytter, således at politiet gennem udbyderen har mulighed for at foretage direkte aflytning af telekommunikation på gatewaystationen vedrørende personer, der befinder sig her i landet, jf. retsplejelovens kapitel 71 og konvention af 29. maj 2000 om gensidig retshjælp i straffesager mellem Den Europæiske Unions medlemsstater.
Stk. 2. Ministeren for videnskab, teknologi og udvikling kan efter forhandling med justitsministeren fastsætte nærmere regler om de tekniske krav til udstyr, systemer og gatewaystationer som nævnt i stk. 1.
Stk. 3. Det påhviler udbyderen at bistå politiet ved gennemførelse af indgreb i meddelelseshemmeligheden i de i stk. 1, nr. 2, nævnte tilfælde.
Stk. 4. Det påhviler udbyderen at sikre, at politiets anmodninger om fremskaffelse af oplysninger om teletrafik samt historisk teleoplysning og historisk udvidet teleoplysning behandles straks og på en sådan måde, at hensigten med indgrebet ikke forspildes.
Stk. 5. Ministeren for videnskab, teknologi og udvikling kan efter forhandling med justitsministeren fastsætte regler, hvorefter de i stk. 1, nr. 1 og 2, nævnte krav til indretning af udstyr og systemer kan fraviges i særlige tilfælde, hvor tekniske eller praktiske hensyn nødvendiggør dette.

link kilde

  • 4
  • 0
Christoffer Kjeldgaard

Enig. Danmark følger USA når det gælder udenrigspolitik, så vi er ret uinteressante og holde øje med - men hvis vi skulle tage en radikal drejning og f. eks. ikke investere i amerikansk teknologi når vi køber våben, føre en mere protektionistisk udenrigspolitik er det da ganske bekymrende at vi (befolkningen) kan blive udsat for kraftig stemmepåvirkning fra udenlandske efterretningstjenester.

Tænkt eksempel: Danmark vil ikke deltage i en koalitionskrig i Syrien - de vil hellere bruge penge på at forsvare sig fra en potentiel invasion fra Rusland. Beslutningstagelsen foregår bag lukkede døre.

NSA opfanger beslutningen og lækker den med det samme til den danske presse, som i sin interesse om at få solgt aviser, sikkert vil spinne det over i at Danmark forventer invasion fra Rusland - Hvilket medfører udenrigspolitiske konsekvenser. Og hos befolkningen har de fleste opfattelsen af at Rusland ikke er en fjende - og det miskrediterer regeringen.

Industrihemmeligheder er bare en ekstra gode - de politiske konsekvenser kan være altødelæggende.

  • 4
  • 0
Claus Wøbbe

»De fleste servere, vi køber i dag, har disse tilfældige bagdøre i sig. Det opdager vi i stadig større grad. Det samme gælder routere,« siger Joe Kiniry."

Hvis DtU opdager dette i stadigt større grad, ville det da være interessant at offentliggøre det. Kan man finde en liste med kompromitterede routere?

  • 5
  • 0
Kristian Sørensen

Hvis nu man opdager en bagdør i en router, switch, laserprinter etc. som ens virksomhed har købt, kan man så kræve handelen ophævet, pengene tilbage og dertil en erstatningssum der overstiger købesummen mange gange?

Producenten har jo fabrikeret og solgt udstyr der bragte ens netværk, data og hele virksomhed i fare, og gjort det bevidst, men holdt det skjult for kunderne?

Det må da være en klar og tydelig erstatningssag?

  • 8
  • 0
Christian Nobel

Det er mere bekymrende at NSA kan lave industrispionage på vores største virksomheder, der alle bruger software der er udviklet i USA, og som man må regne med at NSA har fri adgang til.

Problemet er jo at bla. politikere og embedsmænd på det nærmeste latterliggør eller direkte dæmoniserer skeptikere, så den uvidende menighed tror det hele drejer sig om skæg og blå briller.

Hvis man læser følgende statement fra NIST:
http://www.nist.gov/director/cybersecuritystatement-091013.cfm

så er der især en passus der er springer i øjnene:

"We will continue in our mission to work with the cryptographic community to create the strongest possible encryption standards for the U.S. government and industry at large.""

Dvs. NIST lægger på ingen måde skjul på det skal være til den amerikanske regerings, og amerikanske virksomheders fordel.

Så spørgsmålet er, hvis vi ellers tilsidesætter den nok så alvorlige snak om almindelig spionage, kan vi som land, eller EU for den sags skyld, acceptere statssanktioneret industrispionage?

  • 8
  • 0
Frithiof Andreas Jensen

Enig. Danmark følger USA når det gælder udenrigspolitik, så vi er ret uinteressante og holde øje med


Eller - Danmark fölger USA fordi NSA holder öje med interessante personer i Danmark og NSA har en omfattende, grundig og nöjagtig "dirt-file" på de fleste beslutningstagere samt naturligvis kender de personer i deres netvärk som de lytter til.

Det er ganske påfaldende at ikke engang enhedslisten käfter op. Det burde ellers väre en rig åre for dem.

  • 4
  • 1
Svend Eriksen

Ja, alle større europæiske virksomheder, der konkurrerer mod amerikanske virksomheder bør virkelig være bekymrede og se på, hvilken software de bruger, og hvordan de behandler deres forretningshemmeligheder. Det er godt nok ikke en behandling man ville forvente fra et land, der burde være vores allierede.

  • 4
  • 0
Michael Andersen

...i den forbindelse spurgt Folketingets it-administration og Center for Cybersikkerhed, hvorvidt NSA har eller har haft bagdøre ind i deres systemer. Ingen af organisationerne har imidlertid ønsket at udtale sig om spørgsmålet.
Læs: A) Enten er de fulde af løgn, B) eller ved ikke, hvad de laver.

Under alle omstændigheder er kommentaren 'ønsker ikke at udtale sig' et eksempel på, at Folketinget og Centeret for Cybersikkerhed har mere interesse i at holde sin kæft og skjule enten sin inkompetence eller sit samarbejde med storebror end i at delagtiggøre sine borgere i deres arbejde.

Og de kan jo altid ty til den klassiske: 'Det er for landets sikkerhed', hvis der faktisk er nogle, som presser dem i deres almægtighed!

  • 3
  • 0
Jesper Lund

Under alle omstændigheder er kommentaren 'ønsker ikke at udtale sig' et eksempel på, at Folketinget og Centeret for Cybersikkerhed har mere interesse i at holde sin kæft og skjule enten sin inkompetence eller sit samarbejde med storebror end i at delagtiggøre sine borgere i deres arbejde.

Jeg kan se mindst to mulige årsager til dette

1) Regeringen holder dybest set med NSA og mener at borgernes privatliv skal overvåges i enhver detalje. Regeringen mener eksempelvis at danskernes internettrafik skal totalregistreres (sessionslogningen), uanset at oplysningerne har vist sig at være totalt værdiløse for politiets arbejde. Senest har statsministeren ligefrem udtalt at vi skal være glade for at NSA overvåger os
http://piopio.dk/valget-skal-vindes-pa-at-vise-forskellen/

(det fremgår ikke helt klart om vi også skal være glade for at NSA saboterer sikkerheden på internettet, så vi bliver lette ofre for kriminelle foruden NSAs overvågning der jo kun er til vores bedste).

2) Regeringen er blevet klar over at der er et "problem", men da konsekvenserne er totalt uoverskuelige og problemerne nærmest umulige at løse, sætter man klapper for begge øjne og kører videre som om intet er hændt.

Den offentlige IT administration er fedtet ind i amerikansk-ejede selskaber (CSC og KMD). Den offentlige (tvangs)digitalisering som Digital Post hviler på SSL som eneste sikkerhed, og så er det meget selvfølgelig uheldigt hvis sikkerheden i SSL pludselig er væk. Vi er også godt fedtet ind i Microsoft etc etc.

  • 2
  • 0
Bjarne Astrup

Den danske efterretningstjeneste nyder godt af det private / offentlige / transatlantiske partnerskab:

Imagine the government passed a law requiring all citizens to carry a tracking device. Such a law would immediately be found unconstitutional. Yet we all carry mobile phones.
If the National Security Agency required us to notify it whenever we made a new friend, the nation would rebel. Yet we notify Facebook Inc. (FB) If the Federal Bureau of Investigation demanded copies of all our conversations and correspondence, it would be laughed at. ...

Link kilde

Der er formodentlig også en balance, som de store multinationale selskaber er interesserede i, ikke bliver forrykket alt for meget i regeringernes / efterretningstjenesternes favør.

  • 0
  • 0
Peter Jespersen

Ja, alle større europæiske virksomheder, der konkurrerer mod amerikanske virksomheder bør virkelig være bekymrede og se på, hvilken software de bruger, og hvordan de behandler deres forretningshemmeligheder. Det er godt nok ikke en behandling man ville forvente fra et land, der burde være vores allierede.

Dette her må så være grunden til at man har brugt så meget tid og så mange kræfter på at jage kommunistiske agenter og muldvarpe, mens man fuldstændigt har afvist at jage dem der arbejder for vestlige fremmede magter.

I min verden er en fremmed magt en fremmed magt - men hvis den fremmede magt kan sikre en et fedt fremtidigt job kunne man måske være fristet til at nedtone begreber som national sikkerhed, eller direkte modarbejde det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere