Rigspolitiet har bekræftet, at der er bestilt software hos den kontroversielle virksomhed Hacking Team, der blandt andet er beskyldt for at levere overvågningssoftware til diverse regimer, for at disse kan bekæmpe menneskerettighedsforkæmpere.
Hacking Team, som tidligere på ugen blev hacket, mistede 400 GB data, der siden har blotlagt flere forhold. Blandt andet i forhold til nationale politistyrkers brug af virksomhedens ydelser.
Hacking Teams software minder til forveksling om de teknikker, cyberkriminelle bruger til at hacke computere og sprede malware med. Hvilken type værktøjer, det danske Rigspoliti konkret måtte være interesseret i fra Hacking Team, ønsker chef for Rigspolitiets National Cyber Crime Centre, NC3, Kim Aarenstrup ikke at tale om.
»Jeg kan ikke komme ind på noget som helst omkring den slags teknologier. Hvis vi siger noget, er det det samme som at advare pædofile og andre kriminelle,« siger han.
Ifølge datalækket fra hacket mod Hacking Team, så bør virksomhedens produktportefølje vække en vis misundelse/respekt hos selv garvede cyberkriminelle. Blandt andet kan det britiske teknologimedie The Register fortælle, at Hacking Team ifølge lækket ligger inde med nul-dages-sårbarheder til Microsofts Windows og Adobes Flash.
Nul-dages vil sige, at softwareleverandørerne endnu ikke har en patch klar mod sårbarhederne, der kan bruges til at kompromittere og overtage kontrollen med folks computere.
Rigspolitiet har ifølge Information bestilt softwaren Remote Control System fra Hacking Team via en amerikansk-israelske leverandør ved navn NICE Systems. Softwaren skulle endnu ikke være leveret. Claudio Guarnieri, der er it-sikkerhedsforsker og tilknyttet Centre for Human & Internet Rights i Tyskland, har fortalt til Information, at der er tale om software, som er en ‘meget effektiv måde at spionere mod hvem som helst, når som helst og hvor som helst.’
Kræver dommerkendelse
Der er dog i udgangspunktet en forskel på, hvordan den slags software kan anvendes af cyberkriminelle og diverse regimer - og så af det danske politi. Politiet skal stadig bruge en dommerkendelse, og for at den overhovedet kan komme på tale, skal en række betingelser være opfyldt.
»Der skal være tale om en bestemt strafferamme. Og vi skal vide en hel del om den pågældende i forvejen. Vi kan ikke bare efterforske hr. og fru. Jensen. Der skal være et helt konkret spor, der leder hen til en person eller en gruppering,« fortæller Kim Aarenstrup og tilføjer:
»Og hvis vi så får dommerens godkendelse, kan vi gå i gang med at anvende værktøjerne. Og det er det samme princip, uanset om vi taler om en mikrofon, der bliver installeret som i gamle dage, eller om det er et eller andet, der foregår digitalt.«
Hacking Team har fået kritik for, at virksomheden også skulle have leveret overvågningsværktøjer til regimer rundt om i verden, som så har kunnet bruges mod modstandere af regimerne.
Non-disclosure
Alligevel har Rigspolitiet altså valgt at lægge penge hos Hacking Team via en tredjepart. I den forbindelse påpeger Kim Aarenstrup, at det danske politi i udgangspunktet ikke har kendskab til, hvilke andre lande en virksomhed som Hacking Team måtte have forretning med.
»Når vi indgår handler med virksomheder på dette område, så er alt jo underlagt en non-disclosure-aftale begge veje. Det vil sige, vi ikke har nogen viden om, hvem en virksomhed ellers handler med,« siger han og fortsætter:
»Vi kan jo ikke begynde at efterforske en virksomhed uden videre. Der gælder de samme retskrav, jeg nævnte før. Der skal være klare indikationer på, der er foregået noget strafbart.«
Og desuden hæfter Kim Aarenstrup sig ved, at Rigspolitiets kommende leverance fra Hacking Team sker via en underleverandør.
»Noget tyder på, at de har handlet med denne type lande, men det er jo ikke noget, vi har været vidende om, når vi indgår sådan en type aftale. Vi handler med en anden virksomhed, som så har denne virksomhed som underleverandør,« slutter cybercenter-chefen.
