tisdag 17 december 2013

Bakdörrar skapar it-kris - TechWorld

Bakdörrar skapar it-kris - TechWorld

Myndigheters hemliga övervakning har varit ett hett samtalsämne för alla som arbetar med it under 2013. Experterna är inte förvånade, men ser allvarligt på framtiden.  

Även innan Snowden-skandalen briserade fanns anklagelser och misstankar om att NSA använt sig av bakdörrar för att övervaka. Men det var först när Edward Snowden tidigare i år började läcka dokument från sin tidigare arbetsgivare som det bekräftades.

Efter det första Snowden-avslöjandet att NSA begärt att flera stora leverantörer av tjänster och system ska tillåta myndigheten att i hemlighet ta sig in i deras databaser, kom nästa bomb: NSA har fått NIST, institutionen som tar fram standarder för kryptering som används av såväl myndigheter som företag och privatpersoner, att försvaga krypteringstekniker.
 

Orkan av kritik

Det här satte igång en fullkomlig orkan av kritik och oro från stora it-aktörer. Analytiker menade att tilliten på internet tagit allvarlig skada. Vissa gick så långt som att slå fast att nätet nu skulle vara tvunget att byggas om från grunden.

Tatu Ylonen, SSH Communications Security


”NIST:s standarder granskas i förväg av NSA”, säger Tatu Ylonen, vd för Finlandsbaserade SSH Communications Security till Networkworld.

Han menar att det här leder till en ökande förtroendekris och minskad trovärdighet kring amerikanska produkter och tjänster.

”Amerikanska molntjänster har ifrågasatts av ytterst goda skäl”, säger Tatu Ylonen.

 

Ingen överraskning

Tomas Djurling är säkerhetsexpert med ett långt förflutet inom FRA, men som i dag arbetar som säkerhetskonsult. Han menar att den senaste tidens avslöjanden knappast kan ses som någon överraskning.

– För att förstå vad som händer måste man förstå hur dessa organisationer tänker och arbetar. NSA och andra underrättelsetjänster vill göra ett bra jobb. Med detta menas att ta de möjligheter som erbjuds eller står till förfogande.

Hur menar du?

– I underrättelsetjänstens värld skulle det närmast vara tjänstefel att inte göra det som beskrivits i medierna. Så detta är inget konstigt. Det har alltid varit så, men internet och den snabba teknikutvecklingen har möjliggjort att det sker i mycket större skala nu än någonsin tidigare, säger Tomas Djurling.

Thomas Djurling, säkerhetsexpert


Han menar att en stor del av säkerhetsarbetet måste göras av organisationerna själva.

– Organisationer som vill skydda sin information från avlyssning måste själva ta det ansvaret. Det innebär att om det till exempel ska köpas in utrustning eller program för kryptering, så ska man endast köpa sådan utrustning och program där organisationen kan lägga in de algoritmer för kryptering som de själva valt.

Konstigt att vika sig

Johan Sigholm, officer och doktorand i militärteknik vid Försvarshögskolan, tycker att det är konstigt att så många stora leverantörer gått med på NSA:s krav.

– Min spontana reflektion är att de leverantörer som medvetet tillåter bakdörrar tar förvånansvärt stora risker. Jag undrar om de har gjort en korrekt bedömning av de möjliga vinster som bristerna förväntas ge i förhållande till den skada som uppstår för såväl kunder som dem själva då bristerna blir kända för allmänheten, säger han.

– Förutom risken att oskyldiga användare av produkterna riskerar att drabbas av övervakning finns även en ej försumbar risk att bristerna kan komma att användas av en tredje part i kriminella eller andra oönskade syften. En annan risk är givetvis det skadade förtroende som detta kan innebära för leverantörerna.

Säkerhetsexperten Robert Malmgren är inne på samma spår.

– Det här skadar tilltron till nätet, det skadar tilltron till informationssamhället, det skadar tilltron till de leverantörer som antingen beredvilligt bistod eller som ytterst omedvetande var medverkande i det hela. Det skadar också tilltron till demokrati och myndigheters agerande. Globalt likväl som för amerikanska myndigheter.

Förutom Snowdenavslöjandena och avlyssningen så finns det enligt honom även andra aspekter som gör att det inte går att "lita på sin leverantör".

Robert Malmgren, säkerhetsexpert


– Alla läckta lösenordsdatabasdumpar, nu senast från Adobe, är klockrena exempel på att de inte håller tätt på andra sätt, även om de inte spelar under täcket med underrättelsetjänster. Detta visar väl om något att man inte direkt kan eller bör lita på någon.

Vilka andra konsekvenser kan det få?

– Det finns en risk att anställda på de myndigheter som haft bakdörrarna missbrukat sin position och sin tillgång. Det finns risk att andra kommer åt bakdörrarna, så att obehöriga använder sig av dessa ingångar. Det finns risk att den information som tas ut den vägen kommer på avvägar. Till exempel att en anställd läcker den. Eller i tysthet säljer den till annan underrättelsetjänst eller konkurrent eller liknande.
 

En ny arena för militären

Johan Sigholm tycker ändå att man måste ha förståelse för att den här
verksamheten existerar.

Johan Sigholm, officer och doktorand i militärteknik vid Försvarshögskolan


– Cybermiljön är en ny arena inte bara för individer och företag, men även för kriminella grupperingar och i ökande grad stater och militära organisationer. Vi såg i och med Stuxnet-fallet ett konkret exempel på att man faktiskt kan använda cybermiljön för att åstadkomma reella operationella effekter och denna trend kommer sannolikt fortsätta vara aktuell.

Är det en naturlig utveckling att myndigheter och stater i allt högre utsträckning använder it i sitt säkerhetsarbete?

– Mot avancerade hot krävs sofistikerade skyddsmetoder. Där tekniken är en komponent som måste kombineras med ett aktivt underrättelsearbete och samarbeten mellan olika aktörer och länder. Att stater även ser möjlighet att kunna nyttja cybermiljön för att främja egna intressen är förståeligt.
 

Vem kan du lita på?

Men den viktigaste frågan för framtiden kvarstår. Hur ska man rimligen kunna lita på att den leverantör eller tillverkare man använder verkligen är säker och inte tvingast göra eftergifter för NSA eller någon annan myndighet?

Frågetecken kvarstår för hur stor skada den kommersiella it-branschen, som arbetat stenhårt för att stärka säkerheten de senaste åren, egentligen har tagit av NSA-kraven på bakdörrar. Denna fråga ska utredas av en sammanslutning av nästan 50 tekniska experter från universitet och forskningsgrupper från bland annat Harvard, Johns Hopkins, och Carnegie Mellon, och offentliga intresseorganisationer som Electronic Frontier Foundation och Center for Democracy & Technology. Några av säkerhetsexperterna är kommer från öppen källkod-industrin som Mozilla , och Silent Circle.

Tillsammans lämnade de den 4 oktober in ett dokumenet med åsikter om NSA utifrån sina egna åsikter. Deras synpunkter har lämnats in till en så kallad granskningsgrupp som inrättades av president Barack Obama i augusti för att se över hur underrättelsetjänsten använder it och teknik.

Granskningsgruppen som kallas "National Review Group on Intelligence and communication technologies" har i uppdrag att "se över intelligens och kommunikationsteknik " med målet att leverera sina "fynd" direkt till presidenten.

Den viktigaste frågan för granskningsgruppen att besvara hur "USA kan använda sin tekniska insamlingskapacitet på ett sätt som optimalt skyddar den nationella säkerheten och stärker utrikespolitiken, men med respekt för vårt engagemang för integritet och medborgerliga rättigheter, erkänna vårt behov av att upprätthålla allmänhetens förtroende, och minska risken för obehörigt röjande av information."

Djup oro för övervakningens effekter

Sammanslutningen av tekniska experter uttrycker en djup oro över vad som blivit känt om NSA:s övervakning.

"Vad vi har lärt oss om denna övervakningsapparat visar att det är komplext, systematiskt och ytterst avancerat", skriver gruppen i promemorian som överlämnast till Obamas granskningsgrupp. "Det omfattar stora insamlingsåtgärder, riktad bearbetning av system samt kraftfulla tekniker som höghastighetsfiltrering av internettrafik och nätverksutrustning och intrångstekniker som man-in-the-middle-attacker med falska X.509-certifikat och plantering av bakdörrsmekanismer i mjukvara och hårdvara ."

Bruce Schneier, säkerhetsguru


Man skriver också att man hoppas att granskningsruppen kommer att ta reda på exakt hur NSA och Storbritanniens GCHQ samlat in information, även om en fullständig redovisning troligtvis inte är möjligt med tanke på den hemlighetsfulla natur underrättelseverksamhet ändå är.

En av experterna är Bruce Schneier, teknisk chef på BT Managed Security Solutions och känd som en “säkerhetsguru”. Han är författare av flera böcker och artiklar, bland annat om NSA utifrån sin egen läsning av Snowden-dokumenten.

Han har tillsammans med resten av sammanslutningen ställt flera allvarliga frågor till gruppen som ska granska NSA. Bland annat vill man ha klarhet i om NSA hackar avlägsna servrar och om de kommer åt krypterad information utan tillstånd av, eller utan att meddela innehavaren av krypteringsnyckeln? En annan fråga är man kräver svar på är om NSA placerat analytiker eller agenter inom amerikanska företag för att underlätta att i smyg eller få tillgång till känslig säkerhetsinformation? Gör man samma sak utanför USA och sker det i samarbete med Storbritanniens GCHQ?
 

Mycket måste förändras

Tills vi har svar på dessa frågor handlar mycket om att själv sätta sig in i hur övervakningen fungerar. I ett senare skede menar Tomas Djurling att vi förmodligen kommer att få se förändringar i hur produkterna och tjänsterna byggs och granskas.

– Därefter måste produkter och program genomgå någon form av certifiering, som visar att de är säkra i sig. Certifieringsorganet bör vara en fristående organisation i förhållande till stater och myndigheter. I dagsläget är det få krypto-produkter och program som tillåter att kunden själv väljer eller gör en egen kryptoalgoritm. Det finns dock kunskap om detta på marknaden.Det gälleer bara att välja någon som faktiskt kan. För att valet ska bli rätt kommer många att behöva hjälp med upphandlingen.

Johan Sigholm håller med om att tilliten är en mycket viktig faktor.

– Tilliten till de produkter och tjänster som vi använder i våra dagliga liv är givetvis viktig, såväl på individnivå men även i ett större perspektiv avseende ekonomisk, social och politisk samhällsutveckling. Enligt min uppfattning bör Sverige i detta avseende dra nytta av vårt tekniska kunnande och vår vilja att främja internationellt freds- och säkerhetsbyggande och ta ledartröjan genom aktivt verka för en intensifierad debatt om normer och folkrättsliga regler kring staters agerande i cybermiljön.

På vilka sätt?

– Ett konkret exempel skulle kunna var att arbeta för en gemensam standard för redovisning av metoder och omfattning av den övervakning och inhämtningsverksamhet som stater bedriver, i syfte att öka transparensen kring denna så att oberoende parter kan bedöma proportionalitet och rättssäkerhet. Det skulle åtminstone kunna vara ett steg i rätt riktning för att öka förtroendet.

Robert Malmgren menar att oron finns hos både leverantörer och kunder.

– Leverantörerna är givetvis oroliga att det påverkar försäljningen och deras varumärken. För att citera Microsofts jurist: Folk kommer inte att använda teknik som de inte litar på. Myndigheterna har allvarligt skadat tilliten och myndigheterna måste nu hjälpa till att reparera den skadan.

Inga kommentarer:

Skicka en kommentar