FBI-analyse kobler V2-bloggers IP-adresser til russiske cyberangreb mod USA

Henrik Kramshøjs Twitter-avatar, der også angiver den IP-adresse, der nævnes i Homeland Securitys analyse. Illustration: Virrage Images/Bigstock
Den danske sikkerhedskonsulent Henrik Kramshøjs mail, telefonnummer og Tor-IP-adresse er koblet direkte til hackerangrebet mod det demokratiske parti i USA. Aktivisme er vigtigt, lyder det ufortrødent fra sikkerhedskonsulenten.
17
Henrik Kramshøjs Twitter-avatar, der også angiver den IP-adresse, der nævnes i Homeland Securitys analyse. Illustration: Twitter

To IP-adresser, som indgår i den verdensberømte hackersag mod det demokratiske parti i USA, tilhører sikkerhedskonsulent og Version2-blogger Henrik Kramshøj.

Det afslører et opslag af Version2 på et udvalg af de mistænkeliggjorte IP-adresser, som optræder i analysen fra de amerikanske myndigheder Homeland Security og FBI. Analysen blev offentliggjort efter det enorme læk af mails fra Clinton-administrationen i USA.

Ifølge de amerikanske myndigheder kan Henrik Kramshøjs Tor-exitnode, og dermed hans firmas IP-adresser, altså sættes i direkte forbindelse med indbruddet i demokraternes mailbokse - og dermed med et af verdenshistoriens mest spektakulære hackersager.

Læs også: Tastefejl låste 60.000 mails hos Hillary Clintons kampagnechef op for hackere

Henrik Kramshøj fortæller, at der er tale om en Tor-exitnode, og at det derfor ikke er hans egen internettrafik, der har bidraget til hacket.

I stedet må der være tale om en anonym Tor-bruger, der har brugt hans Tor-exitnode som spydspids i sit angreb mod demokraterne.

»Det er naturligt, at der sker ulovlige ting fra en Tor-node, der bruges så meget, som min gør, og som er koblet op på en gigabitforbindelse på et professionelt datacenter,« siger Henrik Kramshøj med rolig stemme.

Samtidig medgiver han, at der ikke er noget teknisk i vejen for, at han kan sende sin egen trafik gennem Tor-exitnoden og på den måde camouflere sin personlige trafik som Tor-trafik.

Når det er Henrik Kramshøjs exit-noder, der fremgår af analysen, er det, fordi det vil være den sidste af tre IP-adresser, trafik går gennem i et Tor-netværk, der figurerer hos modtagerne af trafikken - i dette tilfælde er modtageren af trafikken sandsynligvis en af Clinton-kampagnens IP-adresser.

Læs også: Danske IP-adresser forbundet med USA's valg-hack har muligvis intet med Danmark at gøre

Det er en noget kølig udmelding fra en sikkerhedskonsulent, hvis Tor-exitnode øjensynligt har hjulpet de(n) hacker(e), der brød ind i demokratiske mail-indbakker. Lige op til det amerikanske valg.

Flere amerikanske medier og kommentatorer vurderer, at netop e-mailskandalen havde betydning for valgets udfald.

Af de 876 IP-adresser verden over, der nævnes i analysen, er mindst to af dem Henrik Kramshøjs.

»Jeg har det fint med, at mine kontaktoplysninger sættes i forbindelse med en IP-adresse i analysen. Jeg kan med oprejst pande fortælle, at det er en Tor-node, samt hvorfor jeg holder den åben trods misbrug,« siger Henrik Kramshøj, der fortæller, at han i 2016 modtog godt 300 henvendelser omkring misbrug.

Læs også: Trods analyse: Det Hvide Hus formår ikke at bevise russernes indblanding i valg

IP-adresserne figurerer ikke som danske, og derfor var Henrik Kramshøj ifølge eget udsagn ikke klar over, at hans IP-adresser var impliceret, da han for få dage siden stillede op til interview på Version2 om selv samme liste over IP-adresser.

Et af flere whois-opslag, der viser Henrik Kramshøjs kontaktoplysninger, serverbeskrivelse og lokation. Illustration: Version 2

Vil gerne støtte aktivist-hacking

Der er ikke meget fortrydelse at spore hos Henrik Kramshøj trods offentliggørelsen af hans IP-adresser.

»Jeg vil gerne støtte aktivister i deres kamp mod regimer, også hvis det betyder, at aktivisterne hacker myndighederne,« siger Henrik Kramshøj, der ifølge ham selv er begyndt at støtte aktivister mere de seneste år.

Læs også: Myndigheder kæmper forgæves mod Tors tveæggede sværd

Og Tor-noder er ikke gratis. Henrik Kramshøj betaler 12.000 kroner om året for IP-adresser nok til at drive en Tor-exitnode.

Ifølge Henrik Kramshøj selv er det ikke muligt for ham at se, hvilken trafik der er gået gennem hans Tor-node.

»Tor er et godt våben for en aktivist, blandt andet fordi man ikke opgiver, hvem man er, når man scanner,« siger Henrik Kramshøj, der selv bruger Tor, når han scanner porte på nettet.

Henrik Kramshøj fortæller desuden, at hverken NSA eller Homeland Security har kontaktet ham angående misbruget.

Ingen overraskelse

»Jeg er overhovedet ikke overrasket, men ked af det,« siger Henrik Kramshøj, der dog mener, at de negative muligheder i Tor klart opvejes af de positive. Også selvom hans kontaktoplysninger figurerer sammen med en IP-adresse, som NSA og Homeland Security associerer med hacking.

Læs også: Kommentar: Netflix vil tabe kampen mod VPN med vilje

Hacking, som amerikanerne er meget ivrige efter at give russerne skylden for. Senest blev 35 russiske diplomater udvist fra USA - netop på grund af de mange lækkede e-mails.

Hvordan har du det med måske at have hjulpet Trump til magten?

»Jeg ville aldrig nogensinde hjælpe hverken Trump eller Hillary med vilje,« siger sikkerhedskonsulenten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Tag lige at kig på indholdet af de forskellige hacks,
I stedet for gang på gang at beskylde nogen for at
svinge valget til den ene eller anden retning.

Demokraterne tabte valget pga. deres slagtning af
Bernie og deres ejerskab over mainstream medierne.
Alt dette og mere kom frem takket være aktivisterne
der hackede DNC og Podesta.

Tak til Kramse for at stille forbindelser til rådighed,
stor respekt her fra! /salute.
Ikke mindst for den administrative byrde det medfører
at drive en exitnode.

  • 35
  • 8
Peter Jensen

Også et tak herfra til Kramse for at stille infrastruktur til rådighed som blev brugt til at afsløre Clinton og DNCs omfattende korruption og bedrageri.

Politikernes korruption og bedrageri må aldrig kunne holdes hemmeligt for vælgerne. Havde vælgerne ikke i tide fået kendskab til den dybe korruption, så risikerede man at vælgerne havde truffet deres valg på et bedragerisk grundlag.

  • 26
  • 12
Finn Christensen

..mistænkeliggøre Henrik Kramshøj - det er da mærkværdigt.

Journalister(99,9%), embedsmænd (99,5%), politiker (100%), befolkning (99%) fatter nul af det hændte (teknikken), men medier pusher i nødens stund så gerne fabrikeret måske snavs, som kan afsættes overalt :(

Mads Lorentzen er ikke en ringe journalist, men her har tømmermændene selvstændigt fabrikeret hvert eneste bogstav, medens Mads var afkoblet..

  • 4
  • 9
Christian Sørensen

Vinklingen på denne historie er at forsøge at mistænkeliggøre Henrik Kramshøj

Helt uenig. Vinklingen er kritisk som den bør være og der er ingen direkte anklagende passage i artiklen. Henrik Kramshøj svarer for sig, at han ingen intentioner har om at hjælpe den ene eller den anden.

Jeg er til gengæld helt uenig i, at vi kun skal kigge på indholdet, ikke hacker-angrebet: GOP stemmer i morgen om, ud af den blå luft, at nedlægge den uafhængige, etiske oversight komitée i USA. Ja, DNC skævvred deres primary totalt for at fremme en svag kandidat (hvilket ærgrer mig meget som Bernie-tilhænger), men begge partier stinker langt væk af korruption. At en state-sponsored actor valgte at lufte det ene partis beskidte vasketøj, og ikke det andet, er dog langt mere skræmmende.

Den eneste løsning er langt mere transparens i hele valgprocessen, så vælgere ikke pludselig distraheres af den slags læk. Problemet med IT sikkerhed og hacking vil kun eksemplificere det udødelige citat:

“Three things cannot be long hidden: the sun, the moon, and the truth”

  • 10
  • 1
Sidsel Jensen Blogger

Hold nu op en plat artikel - der kan summes op til " BREAKING: Tor-exit node ejet af dansker brugt til DNC hack"

Tak til Kramshøj for at betale og stå for driften af en Tor exit-node :-)
Surt at den er blevet misbrugt af russiske hackere

Zetland har en væsentligt bedre artikel om selve hacket og hvordan der blev brugt spear-phishing direkte mod specifikke personer: https://www.zetland.dk/historie/s8aPxklR-aOZj67pz-6ff90

FBI Rapporten ligger her hvis man vil læse den: https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_G...
eller Crowdstrikes blog-post om angrebet: https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-nation...

  • 7
  • 8
Martin Rasmussen

Jeg vil sige det kommer an på øjnene der læser artiklen. Det jeg fik ud af artiklen, før jeg kom til kommentarene, var at der blev stillet spørgsmål til udfordringerne ved at køre en tor exit node. En ting som øjensynligt mange herinde gerne ville, men ikke tør pga. sager som denne.
Henrik giver det svar, som han allerede havde stillet sig selv, inden han satte noden op.

For overstående er vel grunden til artiklen; at stille fokus på TOR, og hvilke afledte omkostninger det kan have at ville hjælpe det community, som TOR brugere må antages at være.

At TOR kan bruges til skidt og kanel, ændre denne artikel ikke noget på - det har Henrik tydeligvis også gjort sig tanker om.

Dog undres jeg ved denne sætning; 'Ifølge Henrik Kramshøj selv er det ikke muligt for ham at se, hvilken trafik, der er gået gennem hans Tor-node.'
Dette er stik modsat hvad man kan læse sig til.
TOR trafikken ankommer godt nok krypteret til ham fra en af de utalige mange andre TOR noder. Men, i at han er exit node bør han kunne se det data der afleveres på hvilke adresser.
Dette skulle også være grunden til at efterretningstjenesterne kører rigtig mange exit nodes selv.

  • 6
  • 0
Mark Klitgaard

"Russiske"

Hvis det skal forstille at være korrektur, er det forfejlet. Det hedder russiske med lille begyndelsesbogstav, ganske som det hedder dansk, onsdag og januar. Sådan har det været siden retskrivningsreformen af 1948.

Umiddelbart tror jeg nærmere der bliver sat spørgsmålstegn ved hvorvidt det rent faktisk var russiske hackere.

  • 10
  • 2
Rob Joyce

Hvis man ser på config-filerne til nogle af de NSA tools, der blev lækket, var Vejle Havn brugt som C&C.

Så vore "fjender" bruger angiveligt Kramshøjs exitnode, og vore "allierede" bruger angiveligt Vejle havns mail server til deres proxy cyberwar.

I kan ringe til Center For Cybershit og få det bekræftet. De lavede en offentlig rapport/statement omkring NSA tools - så det burde ikke være klassificeret.

Ellers kan I kontakte de sikkerhedsansvarlige hos SE/Stofa, de ved det helt sikkert. Landets mest kompetente indenfor IT sikkerhed - født til det.

  • 7
  • 1
Henning Mølsted Journalist

Flere her sætter spørgsmålstegn ved vores vinkel.

Sagen er i sin kerne, at IP-adresser på en Tor exit-node, der drives i Danmark, sættes i forbindelse med hacking rettet mod den amerikanske stat og valgsystem.

Dette er et væsentligt aspekt i en hackersag, som vi har dækket intenst hele efteråret, og derfor en naturlig historie for os at bringe. Og vi mener ikke, at historien på nogen måde udstiller eller anklager Henrik Kramshøj.

Historien er også en god anledning til at diskutere den svære balance mellem at yde støtte til politisk forfulgte og risikoen for at hjælpe cyberkriminelle, når man driver en Tor exit-node.

Det rejser nogle svære spørgsmål, som vi skal stille, og som Kramshøj heldigvis heller ikke er bleg for at svare på.

Henning Mølsted, redaktør

  • 14
  • 1
Mads Lorenzen Journalist

Hej Rob.

Det lyder interessant med den C&C - send gerne lidt flere detaljer til mlo@ing.dk, gerne med links. Jeg har lidt svært ved at finde frem til de konkrete filer, du hentyder til.

På forhånd tak, og tak for opmærksomheden.

Mads Lorenzen

  • 3
  • 0
Henrik Kramshøj Blogger

Dette er et væsentligt aspekt i en hackersag, som vi har dækket intenst hele efteråret, og derfor en naturlig historie for os at bringe. Og vi mener ikke, at historien på nogen måde udstiller eller anklager Henrik Kramshøj.

og just for the record, jeg føler mig ikke udstillet eller anklaget. Jeg har et godt samarbejde med Version2, Mads og resten af slænget :-D

Jeg ved ikke rigtigt om jeg synes der er så meget kød på historien, men sådan er der jo historier som er mere eller mindre interessante.

  • 6
  • 0
Nicolai Larsen

Surt at den er blevet misbrugt af russiske hackere

Hvordan kan man kalde det "surt" når det er et yderst bevidst valg fra Kramshøj af? Ligesom at Kramshøj "bliver ked af" at den er blevet brugt til det, er noget sludder.

Henrik Kramshøj har, meget bevidst, valgt at stille udstyr til rådighed der bliver anvendt af kriminelle til ulovlige og kriminelle handlinger. For at dulme samvittigheden skynder Kramshøj sig dog at forherlige aktivisme, men det ændrer ikke på at Henrik Kramshøj er helt bevidst om at udstyret bliver anvendt af kriminelle og til kriminelle forhold. Meningsfæller med Henrik Kramshøj, herunder IT politisk forening, mener at retten til at udføre aktivisme står over alt andet, uanset hvor mange ofre det kræver.

Man lever i selvbedrag, hvis man tror Tor exitnoder gavner mere end de skader.

  • 0
  • 4
Log ind eller Opret konto for at kommentere

Alibaba udsættes for 300 millioner hackerangreb om dagen

3

Flere og flere malware-angreb på hæveautomater

10

Pladask: Yousee falder i og udleverer aktivt simkort uden at se ID

20
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Whitepaper
Whitepaper
Tjekliste: De 10 vigtigste overvejelser om colocation
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
IT Company Rank
maximize minimize