Tysklands efterretningstjeneste vil købe softwaresårbarheder for millioner

11. november 2014 kl. 15:457
Den tyske efterretningstjeneste planlægger at bruge milliarder på at bryde og monitorere krypteret trafik. En del af beløbet skal bruges til at købe viden om softwaresårbarheder på det sorte marked.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den tyske efteretningstjeneste BND vil bruge omkring 2,2 milliarder kroner over fem år på teknologi, der skal lade dem spionere på internettrafik uden for landets grænser. Det skriver PCWorld.

Ifølge Spiegel Online vil omkring 33 millioner blive brugt til at købe viden om softwaresårbarheder indtil 2020. Efterretningstjenesten vil købe sig til denne viden på det sorte marked, lyder planen, der er blevet heftigt kritiseret af den tyske opposition.

Sårbarhederne skal bruges til at bryde HTTPS-krypteret internettrafik, lyder det fra oplysninger, som kommer fra en fortrolig rapport, hvori BND ansøger om midlerne til at føre planen ud i livet.

Overvågningsprogrammet skal angiveligt overvåge sociale netværk real time.

Artiklen fortsætter efter annoncen

En talsmand for den tyske regering har bekræftet, at programmet, der kaldes Strategiche Initiative Technik, eksisterer. Men der er ikke givet andre oplysninger end, at programmets primære formål er at advare tidligt mod cyberangreb.

I Tyskland har oppositionen kritiseret BND's vidtgående plan. Formanden for partiet Grünen, Anton Hofreiter, har bedt regeringen om at sætte grænser over for efterretningstjenesten, mens lederen af Linkspartei, Bernd Riexinger, kræver et forbud mod, at BND køber viden om sårbarheder på det sorte marked.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
12. november 2014 kl. 20:12

A. Beskyttelse af borgere, legale virksomheder og dertil hørende systemer imod forbrydelser, om nødvendigt ved at financiere ulovlig virksomhed med det formål at standse det, reverse-engeneering eller whatever B. Malke borgere for midler til at overvåge deres færden, så magthaverne kan imødegå enhver tendens til magthaverfjendtlig virksomhed og cementere deres magtbastion, og hvis andre kriminelle har noget der er bedre køber man naturligvis det C. Erklære A men eksekvere B

Og du tror det mest rigtige svar er?

4
11. november 2014 kl. 19:44

Kunne det tænkes, at det skulle bruges i sammenhæng med storstilede MiTM angreb, i stil med hvad der før er sket ved kabler eller internetudbyderne selv. Kunne forestille mig et angreb i stil med BREACH kunne blive svært at opdage hvis det bliver implementeret ordentligt. Er dog ikke noget jeg vil tillade mig at sige med sikkerhed.

3
11. november 2014 kl. 18:14

Jeg gad vide hvordan de har tænkt sig at udnytte HTTPS sårbarheder, det er stærkt usandsynligt at der skulle være sårbarheder tilgængelige som tillader ren aflytning. De sårbarheder der har været at finde har helt gennemgående krævet at man på den ene eller den anden måde manipulerer trafikken eller de involverede computere. Det er ikke realistisk at gøre i større omfang, og det er svært at holde hemmeligt.

2
11. november 2014 kl. 17:34

Hvordan kan en stat forsvare (moralskt, lov/forfatningsmæssigt, etc) at indkøbe cracks på det sorte marked -- medmindre det er en sting operation? Det lyder som noget, der burde føre direkte til højesteret for {indsæt-officielt-klingende-søgsmåls-type-her}!

1
11. november 2014 kl. 16:07

Sårbarheder bliver i reglen lukket ret hurtigt, efter at de er observeret udnyttet, så det lyder som en dårlig forretning at købe viden om sårbarheder, med mindre de er til øjeblikkelig brug. De kan som sådan ikke bruges til kontinuert overvågning, hvilket ellers er det angivne formål. Er planen så, at de forventer at købe nye sårbarheder lige så hurtigt, som de gamle bliver lukket? I givet fald bliver det meget dyrt.

5
11. november 2014 kl. 21:04

Sårbarheder bliver i reglen lukket ret hurtigt, efter at de er observeret udnyttet Det kommer vel an på hvor stille med døren man går, og om man har eksklusivitet. Var det 4 zero-day sårbarheder Stuxnet udnyttede? Og de blev først kendt da malwaren blev opdaget år senere.