Vi kan i dag vara rätt säkra på att NSA och liknande organisationer kan avlyssna så gott som all digital kommunikation i världen. De vanligaste metoderna är massiv avlyssning av data- och teletrafik, rotande i företags och privatpersoners molnlagrade data och kapning av leveranser av it-utrustning för inplantering av hårdvarubuggar som även kan kommunicera trådlöst.
Det förekommer även att organisationerna försvagar kommersiella krypteringsprodukter, sprider skadlig programvara, hackar laserskrivare, skjuter in ethernet-paket för att styra om nätverkstrafik, manipulerar mobil-telefoner för att avlyssna användare och avlyssnar strålningen från bild-skärmar. Flera av metoderna har tidigare bara ansetts vara teoretiskt möjliga.
Måste det beröra dig?
Det finns minst tre sätt att intala sig att det här inte berör en själv eller ens organisation:
Det första är att ens egen organisation har rent mjöl i påsen och inget att dölja. NSA och dess samarbetspartners är vänner till oss i väst och de har inget att vinna på att spionera mot svenskar eller mot Sverige.
Motargumentet här är den verkliga lärdomen av de senaste decenniernas alla informationsläckor: Känslig information är extremt svår att hålla hemlig under längre tid. Alla it-system läcker, både våra egna och spionernas. Om inte annat har Manning och Snowden demonstrerat detta högst handgripligt.
Även brittiska och israeliska underrättelsetjänster har drabbats av läckor de senaste åren. Ett tag trodde till och med CIA-chefen David Petraeus att han skulle kunna hemlighålla sin otrohetsaffär med journalisten Paula Broadwell. Han hade fel.
Fienden är inte underlägsen
Den andra bortförklaringen är att våra fiender är tekniskt underlägsna, så de utgör ett litet hot.
Motargumentet här är att även om vi räknar västerländska underrättelsetjänster som vänner så finns det fler. När vi talade med FRA:s talesperson Fredrik Wallin var han mycket tydlig med att inte peka ut just NSA som unikt hot. Han får medhåll av Tomas Djurling, chef för strategisk säkerhet på Truesec.
– Det är inte bara amerikanska NSA och brittiska GCHQ som arbetar på detta sätt. Mellan 170 och 200 länder sysslar med den typ av informations-operationer som Snowden avslöjat, säger Tomas Djurling.
Den tredje bortförklaringen är att det är en sak att samla in och lagra data i yottabyte-omfattning. Det är en annan sak att hitta en nål i en höstack.
Motargumentet här är rent tekniskt. När webben var ung fanns en liknelse om att informationssökning på internet var som att vräka ner alla böcker i Kungliga biblioteket i ett djupt, mörkt schakt och ge en besökare en ficklampa. Sedan kom Google och ingen använde den liknelsen igen.
Det är inte heller bara information som läcker. Även kunskaper och teknik för mer eller mindre lömsk informationsinhämtning sprids genom personal-omsättning, spioneri och öppen försäljning av nya produkter. Bland köparna finns både diktaturer och industrispioner.
Tomas Djurling, chef för strategisk säkerhet på Truesec, framhåller att det inte bara är USA och Storbritannien som ägnar sig åt högteknologiskt spioneri – hundratals nationer gör det.
Så länge kan man gömma sig
Alla som vi intervjuade för den här artikeln var överens om att det inte går att skaffa sig ett heltäckande skydd. Hur länge kan vi då hoppas att hålla något utanför en bättre underrättelsetjänsts räckvidd?
Låt oss jämföra så olika storheter som Usama Bin Ladin, Irans kärnvapen-program, Edward Snowden och romanfiguren Bob Knuth. Om du kan få ledningen att förstå att du i bästa fall kan ge ett rimligt skydd för specifika uppgifter en viss tid så kanske de kan ge dig mer realistiska uppgifter.
1:a Usama Bin Ladin – tio år:
Vi kan anta att Usama Bin Ladin den elfte september 2001 fick stor uppmärksamhet från västerlandets samlade underrättelse- och spion-organisationer. Han lyckades hålla sig undan till första maj 2011. USA hade utfäst en belöning på 25 miljoner dollar och vi vet inte om det var någon person som valde pengarna eller om det var signalspaning som avgjorde i slutändan.
2:a Irans kärnvapenprogram – två år, minst: Världens hittills mest avancerade kända skadliga kod, Stuxnet, upptäcktes i juni 2010 när det angrep Irans kärnvapenprogram i Natanz. Stuxnet byggde på fyra nolldagarssårbarheter. Utvecklingen av koden ska enligt tidningen New York Times ha startat under tiden George W Bush var president i USA, det vill säga mellan januari 2001 och januari 2009. I dag anses den skadliga koden Flame vara en tidigare version av samma kodbas som Stuxnet. Flame har funnits åtminstone sedan sommaren 2008.
3:a Edward Snowden – ett och ett halvt år:
När detta skrivs har Edward Snowden lyckats hålla sig undan USA:s underrättelsetjänster sedan försommaren 2013. De har varken kommit åt hans fysiska person eller hittat något tillräckligt pinsamt om hans person för att misskreditera honom.
4:a Romanfiguren Bob Knuth – 100 dagar:
Den tekniktunga romanen ”Stealing the network: How to own a continent” beskriver hur huvudpersonen, den tidigare CIA-agenten och it-experten Bob Knuth kliver utanför lagen. Han gör sedan allt han kan för att bli så rik som möjligt på den tid han bedömer att han kan undgå upptäckt, 100 dagar. Han existerar så vitt vi vet inte, men romanen bjuder på en matig provkarta över olika metoder och motmetoder inom seriös informationssäkerhet.
9 SÄTT ATT SKYDDA DATA
Först lite nyttiga fakta i målet:
- Google står för 65 procent av världens webbsökningar. Yahoo står för fem procent.
- Googles Android och Apples Iphone har tillsammans runt 90 procent av marknaden för smarta telefoner.
- Microsoft står bakom operativsystemet i de flesta persondatorer och många webbservrar.
- Cisco-produkter finns i nästan alla nätverk.
- Facebook och Skype dominerar sociala nätverk.
- Alla sju bolagen samarbetar med NSA. Så vill du vara på den säkra sidan får du bygga ett system från grunden utan dem. Du måste också undvika leverantörer som du vet eller misstänker har ihop det med andra statliga aktörer.
Så, vi förutsätter att du har all vanlig it-säkerhet på plats. Låt oss titta lite på olika skyddstekniker i ljuset av en riktigt resursstark motståndare.
1. Säkerhetsklassa data
FRA:s talesperson Fredrik Wallin menar att det är en bra början att säkerhetsklassa sin information.
– Identifiera den information som är mest skyddsvärd och förvara den på betryggande sätt. Uppdatera operativsystem och applikationer. Se över antalet användare som har stora rättigheter i systemen, säger han.
Att identifiera vilken information en angripare kan tänkas behöva och sedan vara noga med att inte ens sprida små mängder sådan information är en del av det som i säkerhetsbranschen kallas opsec, operational security. Det finns mycket att läsa på webben om det ämnet. Edward Snowden är känd för att ta opsec på allvar.
2. Fuzzing
Codenomicon, företaget som hittade Heartbleed-buggen i open ssl, rekommenderar testning genom så kallad fuzzing. Det är en metod att testa säkerheten i ett datorprogram genom att mer eller mindre automatiserat mata in slumpvisa data. Programmet övervakas för att se om det kraschar, ger konstiga utdata eller läcker minne.
– Angripare med statligt stöd har ofta mer resurser än vanliga hackare. Det är vanligt att de använder nolldagarssårbarheter, säger Ari Takanen, grundare och teknikchef på Codenomicon.
3. Kryptering
Både Edward Snowden och säkerhetsexperten Bruce Schneier är varma anhängare av kryptering.
Å ena sidan vet vi att minst ett företag medvetet har försvagat en krypteringsprodukt. Det var RSA som använde en slumptalsgenerator med kända brister i sin produkt Bsafe, förmodligen på uppdrag av NSA.
Å andra sidan finns många tecken på att kryptering i händerna på en kunnig person faktiskt fungerar. Ett tecken på det är att brittisk polis 2013 grep Glenn Greenwalds partner David Miranda under en mellanlandning i London och beslagtog den hårddisk med krypterade filer han bar med sig. Såvitt känt hade polisen ett par månader senare bara dekrypterat 75 stycken av de 58 000 dokumenten på disken. Den lilla framgången beror åtminstone delvis på att Miranda hade lösenordet till en del av innehållet på disken nedskrivet på ett papper.
Al-Qaida ändrar kryptering
Enligt en rapport från Recorded Future har al-Qaida börjat använda nya typer av krypteringsprogram efter Snowdens avslöjanden. Stewart Baker, tidigare högt uppsatt chef på NSA, menar att det bevisar att Snowden har skadat USA:s intressen.
I september-utgåvan av sitt nyhetsbrev Cryptogram skriver Bruce Schneier att al-Qaida utvecklade egen mjukvara för kryptering redan innan Snowdens avslöjanden.
Han tror också att det är en dålig idé. Dels för att det är svårt att själv utveckla själva krypteringsalgoritmerna. Dels för att den som använder egenutvecklad kryptering i en tid av automatiserad övervakning kommer att lysa som en fyrbåk i natten.
Enligt Bruce Schneier har NSA haft mycket större framgångar med att knäcka implementeringen av kryptot snarare än själva algoritmen. I al-Qaidas fall gissar han att NSA i första hand försöker knäcka datorn som krypteringsprogrammet finns på.
Bara krypto räcker inte
Fredrik Wallin på FRA menar att kryptering kan vara bra, men att det måste användas som en komponent i en helhetslösning.
– Att bara kryptera och inte bry sig om andra delar ger ett tveksamt skydd.
På frågan om han tror att någon aktör i världen lyckats bygga en kvantdator eller lyckats med något motsvarande tekniksprång inom kodknäckning svarar han:
– Kryptering för att skydda information har förekommit sedan mycket lång tid. Generellt kan man väl säga att en del krypton går att forcera, andra inte, men påfallande ofta har olika aktörer haft en överdriven tilltro till de krypteringsmetoder de själva har använt.
4. Skyddande produkter
Tails är ett operativsystem baserat på Debian Linux som bland annat har stöd för anonymiseringsnätverket Tor inbyggt. Det ligger på ett usb-minne som också innehåller Open PGP för att kryptera e-post och OTR för att kryptera chatt. För att använda Tails sätter du usb-minnet i datorn och startar den med F12-tangenten nedtryckt.
Den svenska tjänsten Countermail säljer e-post som krypteras med PGP. Personerna bakom tjänsten uppger att den drivs på servrar som har cd-rom i stället för vanliga hårddiskar, så inga data ska kunna läcka genom att analysera diskyta.
Man säger också att de inte loggar ip-adresser och att det går att köpa till en hårdvarunyckel i usb-format för den som vill ha tvåfaktorautenticering. Det går att betala för tjänsten i den anonyma valutan bitcoin.
Sajten Prism-break har listor på produkter som såvitt känt inte innehåller bakdörrar eller är tillverkade av företag som ingår i NSA:s övervakningsprojekt Prism.
Sajten har kritiserats för att vara naiv och bortse från att alla länkar i en kommunikationskedja måste vara säkra. I dag har den tydliga varningstexter för produkter som körs ovanpå operativsystem från exempelvis Prism-medlemmarna Apple och Microsoft.
5. Separat fysiskt nät
Trenden att låta användare köra företagsdata på en maskin de själva tar med sig – bring your own device, byod – är naturligtvis en mardröm för den systemadministratör som kämpar mot breda attacker.
Men å andra sidan kan den utgöra ett visst skydd mot riktade attacker, eftersom angriparen inte vet vilken hårdvara eller mjukvara klienten har.
Ett sätt att kontra de dåliga sidorna med byod är att bygga ett sekundärt nät där bara utrustning, människor och information med säkerhetsklassning har tillträde. Fascineras du av tanken på att bygga ett eget litet Östtyskland i hårdvara så har du chansen att gå loss med skyddade skrivare, låsta lokaler, krypterad trafik på fibernät och epoxylim i usb-portarna.
6. Skärpta rutiner
Rutiner kan ses som en del av opsec. De har dels den uppenbara fördelen att viktiga saker i säkerhetsarbetet i regel blir gjorda. Dels kan rutiner hjälpa dig att både upptäcka och bättre förstå när ett intrång sker, både digitala och fysiska.
För en parameter i sammanhanget är att om du lyckas med din it-säkerhet så kan fysiskt intrång bli nästa sak angriparen provar för att knäcka din informationssäkerhet.
Har du dessutom någon lite udda rutin du själv följer – eller får andra att följa – så kan en avvikelse avslöja när ni får oväntat besök av något slag.
7. Debugging och rös-skydd
Trots allt spioneri via internet så kan det fortfarande vara en idé att leta efter dolda mikrofoner och kameror i de egna lokalerna.
Utrustning för att själv leta efter mikrofoner finns på en uppsjö postorderfirmor. Har du svårt att ta dem på allvar så erbjuder större säkerhetsbolag, till exempel Securitas, den tjänsten.
Mobiltelefoner, datorer, bildskärmar och olika former av kringutrustning läcker alla mer eller mindre elektromagnetisk strålning som en angripare kan använda för att återskapa information.
Att skärma av mot röjande strålning, rös, kan vara en idé för den som redan tycker sig ha täppt till alla andra möjliga hål för informationsläckage. Det är inte billigt och har du en gång tapetserat väggarna med plåt är det dyrt att flytta.
Rös-skydd är en rätt gammaldags metod som fick ny aktualitet när den skadliga koden Flame visade sig ha funktioner för att skicka och ta emot styrsignaler via bluetooth.
8. Degauss och kvarn
En degausser är en kraftig elektromagnet och kan användas för att nolla informationen på backupband. En hårddisk som degaussas blir både nollad och förstörd. Degaussing är inte effektivt på ssd eller optiska media som cd och dvd.
Vid Kvarn ligger ett av försvarets skjutfält. Har du rätt jobb kan du köra över din gamla mobiltelefon med en rysk T-72 stridsvagn där när du känner att den trilskats för sista gången.
Vi som gjorde tråkigare karriärval kan i stället köpa en kvarn för att mala ner allt från sim-kort till hela servrar. Det är också rätt kul, och vill dina kollegor se på eller till och med trycka på knappen själv – låt dem. Det ökar benägenheten att lämna in fler saker till destruktion.
Kanske kommer de tillbaka nästa vecka med barnens, sina privata och grannarnas mobiler och laptops för en reprisföreställning. Det kan vara bra eftersom även dessa kan innehålla information om din verksamhet. Och kanske kommer de på fler saker att mala som du inte tänkt på.
9. Utbilda användarna
I dag kan du prata om att det går att avlyssna datakablar på havsbotten med hjälp av u-båtar. För två år sen hade många av åhörarna misstänkt att du äger en foliehatt med dubbla lager och hakrem.
Den stora tjänsten som Edward Snowden gjort oss är alltså att han undanröjt tvivel om att det verkligen pågår storskalig och systematiska övervakning av vad vi alla gör på internet. Han har helt enkelt blivit enklare att tala om säkerhetsproblem – och bli trodd.
TechWorlds slutsats
Avslöjanden från främst amerikanska visselblåsare har vänt upp och ned på it-säkerhetstänkandet över hela världen de senaste åren. Många, för att inte säga de flesta, av världens nationer verkar på ett eller annat sätt involverade i it-spioneri av olika omfattning, och de har oroväckande nog stöd av säkerhetsleverantörer.
Utöver den som skyddar samhällsintressen behöver också verksamheter som utvecklar högteknologi eller utövar källskydd se om sitt hus.
Hur ska då ett sådant skydd vara utformat? Utöver ”normal it-säkerhet” är det allra mest grundläggande att man säkerhetsklassar sina data och försvarar dem i enlighet med den klassificeringen – utan undantag.
Det handlar om tillräckligt stark kryptering, dugliga specialprodukter och kanske även avskilda nät.
Se till att debugga utrustning och förstör enheter som innehållit data som absolut aldrig får hamna på vift.
Men som vanligt kokar det ned till att verkligen hålla på de rutiner ni faktiskt upprättar och informera användarna så att de verkligen lyssnar och lyder – något som alltså visselblåsarna på sista tiden gjort aningen enklare för dig.
