Advarsler fra en sikkerhedsguru

Advarsler fra en sikkerhedsguru

Share

It-netværket InfinIT inviterede for nylig en af verdens førende kryptologer til Danmark for at høre hans bud på nogle af de største it-sikkerhedsudfordringer lige nu. Konklusionen var skræmmende

Amerikanske Bruce Schneier er en lille og specielt udseende mand med en lang hestehale, der springer frem fra en halvskaldet isse. Tidligere på året talte han på en it-sikkerhedskonference arrangeret af it-netværket InfinIT sammen med DI ITEK, WAYF og IDA-IT. Bruce Schneier skulle komme med sit bud på, hvad de største lærdomme fra 2013 havde været.


Kun sekunder efter at have taget talerstolen rettede Bruce Schneier skytset mod NSA. Anledningen var Edward Snowden-affæren, som eksploderede i juni sidste år, da Snowden lækkede oplysninger til den britiske avis The Guardian om NSAs masseovervågning af fortrolige dokumenter.
“Lærdommen er, at NSA har forvandlet internettet til en overvågningsplatform,” indledte Bruce Schneier.
“Det er en simpel lærdom, men detaljerne er komplicerede og interessante.”

9/11 – aldrig igen

Bruce Schneier fortalte, at man i Washington for tiden er meget forsigtige i sine udmeldinger om NSA, og at man nøje vejer hvert et ord til citat på en guldvægt.

“Det handler om at analysere hvert et ord for at forstå, hvad der egentlig bliver sagt og ikke sagt,” sagde Bruce Schneier.
“Når man eksempelvis hører nogen fra NSA sige, at noget “ikke bliver gjort under dette program”, så kan man være 100 procent sikker på, at så bliver det gjort under et andet program. Ellers ville de ikke bruge præcis den formulering.”

Bruce Schneier forklarede videre, at NSAs opgave i dag er at indsamle data om alt i jagten på brugbare efterretningsoplysninger.
“I sidste uge (ultimo marts 2014, red.) hørte vi, at NSA kunne gemme alle voice-data fra et ukendt land – som vi alle sammen tror, er Afghanistan – i en måned for at kunne lave analyser. Den form for analyser er blevet NSAs mission, og det er ikke godt,” sagde Bruce Schneier.

Bruce SchneierKryptologen Bruce Schneier har i årtier været en af verdens førende eksperter indenfor it-sikkerhed. Han er af New York Times og The Guardian sat til at gennemgå Edward Snowdens hemmeligstemplede materiale med henblik på vurdering af den tekniske korrekthed og konsekvenserne af en eventuel publicering. Han skriver daglige nyheder på sin sikkerhedsblog, www.schneier.com, som i øjeblikket har flere end 250.000 læsere.

“Men for at forstå NSAs mission, er man nødt til at forstå NSAs historie.”
It-sikkerhedseksperten forklarede, at NSA blev etableret under Den Kolde Krig, hvor amerikanerne havde en stærk interesse i Sovjetunionen, og alt hvad de gjorde og sagde dengang. Så man indsamlede så meget data, man kunne, og fandt bagefter ud af, hvad man skulle bruge, og hvad man ikke skulle bruge. Man havde en “collect it all”-strategi.

Den mission og strategi bestod, indtil kommunismen faldt, og derefter havde USA i mange år et mere indadvendt fokus på sikkerhedsspørgsmål. Men så skete der et markant skifte efter terrorangrebet i New York den 11. september 2001, og NSAs opgave hed herefter: aldrig igen.

“9/11 måtte aldrig ske igen,” sagde Bruce Schneier og fortsatte:
“Hvis man tænker over det, er det en umulig opgave. Den eneste måde, de kunne prøve at løse den på, var ved at vide alt, hvad der sker. Så pludselig blev NSAs altovervågende øje, som var etableret for at blive vendt mod Sovjetunionen, nu vendt mod hele verden. Fordi ingen ved, hvor det næste angreb på USA kommer fra. At overvåge alt blev lige pludselig normen,” sagde Bruce Schneier.

Søgning er billigere end lagring

Teknologisk set hjælper virksomheder verden over NSA med at overvåge alt, fordi data er et naturligt biprodukt af det informationssamfund, vi lever i. Alt, der involverer en computer – og det er der som bekendt mere og mere, der gør – producerer data, hvad enten det er telefoner, kreditkort eller noget tredje. Dertil kommer, at vores digitale enheder medierer vores kommunikation med hinanden både privat og i erhvervssammenhæng. Og her er det et problem, at vi i dag hellere gemmer data end sorterer i dem, sagde Bruce Schneier.

“Jeg kan huske, at jeg holdt op med at sortere i mine e-mails og bare gemte alt i 2006. Det var deromkring, at søgning blev billigere end lagring. Skæringspunkterne er forskellige fra land til land, men den grænse er i dag blevet krydset næsten overalt, og det betyder, at vi efterlader et stort digitalt fodaftryk. Man kan følge en person overalt, lave overvågning tilbage i tiden, lave søgninger på en person og finde ud af, hvem de har snakket med, hvor de har været osv. Den form for data holder NSA øje med,” sagde Bruce Schneier.

Han forklarede, at der i virksomhedssammenhæng findes systemer ækvivalente til NSAs. Men der hedder de bare marketingredskaber. Formålet er det samme, nemlig at lære så meget om brugerne som muligt, så man kan målrette indhold til dem. Det er et kæmpe problem.
“NSA kan bruge de samme data. Vi har bygget et internet, hvor man kan udspionere folk mod til gengæld at få services retur. Det er overvågningens guldalder. Vi har tilladt os selv at blive sat under overvågning,” vrængede Bruce Schneier.

Han uddybede med, at det ikke kun var USA, der havde denne form for overvågningssystemer, men også lande som Kina, Rusland, Frankrig, Israel – og så de cyberkriminelle.
“Det betyder, at vi har en pligt til at forsvare os imod disse teknologier,” sagde han.

NSA er ikke lavet af magi

Bruce Schneier forklarede, at der både var en god og en dårlig nyhed, man kunne udlede af Snowdens egne udtalelser. Den gode nyhed var, at kryptering virker. I hvert fald når det når et vist omfang, og mange brugere krypterer deres indhold. På enkeltbrugerniveau kan NSA godt omgå kryptering, men det bliver straks sværere, når hele systemer er krypterede.
Den dårlige nyhed er, at Snowden har udtalt, at brugernes end point-sikkerhed er så dårlig, at NSA altid kan omgå den. Det vil sige, at kryptering virker, men nytter ikke det store, fordi NSA finder andre veje ind til data – eksempelvis pga. dårlige passwords.

“Langt de fleste data er ukrypterede: internetdata, cloud-services, telefondata osv. Vi har gjort overvågningen for let for NSA. NSA har et større budget end alle andre landes sikkerhedstjenester tilsammen, men de er ikke lavet af magi. Hvis vi skal hæve sikkerhedsniveauet, er vi nødt til at ændre på nogle parametre.

Jeg tror ikke, at vi kan designe et internet, der kan modstå målrettede angreb. Det har vi ikke teknologierne til. Men vi kan bygge et internet, der er sikret mod overvågning, og her ligger den virkelige lære fra 2013,” sagde Bruce Schne-ier og henviste afslutningsvis til bedre end point-sikkerhed, mere cloud-kryptering og flere open source-værktøjer som farbare veje i fremtiden.

Del denne