Home » Sikkerhed » Opret din egen sikkerhedstjeneste
Opret din egen sikkerhedstjeneste

Opret din egen sikkerhedstjeneste

Share

Spioner har længe været eksperter i supersikker kommunikation. Vi kan alle lære noget af dem.

Det er forståeligt, hvis man tror, at spionage drejer sig om natlige faldskærmsudspring, Aston Martin’er og vodka martini’er – ”shaken, not stirred”.

Men hvis man fjerner al fiktionen, kan spionage reduceres til et ord: information. Spionage drejer sig om at skaffe information, sikre den og overføre den sikkert.

Af den grund er spioner og spionage gode at tage ved lære af for alle, der tager pc- og internetsikkerhed alvorligt.

I disse tider med højhastighedsbredbånd og store informationsmængder skulle man tro, at det var nemt at oprette en sikker kommunikationskanal. Men det er forkert.

Se blot på de russiske agenter – koket kaldt ”illegale” af FBI – der blev afsløret i Amerika sidste sommer. De havde alle bundsolide forklaringer, masser af penge til rådighed og adgang til den nyeste spionteknologi.

Alligevel lykkedes det dem ikke at bevare deres meddelelser som en hemmelighed over for USA’s kontraspionagefolk.

Vi kan alle blive mere sikre, hvis vi forstår de rigtige spioners teknikker og fejl. For eksempel har kodeskrift været en grundpille i spionage i århundreder. En kode gør informationen værdiløs, medmindre man ved, hvordan den virker.

Kode i Rom

Julius Cæsar bliver ofte nævnt som den første, der brugte et matematisk sløringssystem.

Hans kodesystem var enkelt: Hvert bogstav i alfabetet blev flyttet frem et bestemt antal pladser. Et Cæsar-skift på tre ville gøre A til D og Alt om DATA til ”Dow rp GDWD”.

Selv på Cæsars tid kunne sådan en kodeskrift næppe narre folk ret længe. Den slags udskiftninger kan man nu løse på et øjeblik, men det betyder ikke, at man kan se bort fra kodeskrift.

Moderne kodeskrift er blevet udviklet til et niveau, hvor det kan tage så lang tid at opklare den, at det ikke er praktisk muligt at bryde den.

Vi bør alle bruge kodeskrift til at kryptere følsomme data. Et godt valg til agenter i marken er TrueCrypt (www.truecrypt.og) til Windows og Linux. Det er gratis og open souce.

Denne pakke bruger nogle af de stærkeste frit tilgængelige krypteringsalgoritmer, såsom AES-256, 448bit Blowfish og Triple DES.

Man kan få et indtryk af dens styrke ved at tænke på, at harddiske, der var beskyttet af TrueCrypt, og som tilhørte den fængslede brasilianske bankmand Daniel Dantas, blev overgivet til FBI i 2009. Efter fire måneders intense angreb på softwaren gav FBI op og leverede drevene tilbage.

TrueCrypt er ikke blot godt til at skabe en virtuel krypteret disk på computeren; det kan også beskytte bærbare drev.

Det gør TrueCrypt ideelt til hurtig aflevering af information, når den ene spion går forbi den anden på et offentligt sted.

Tidligere inddrog processen mikrofilm, men nu er en usb-nøgle med stor kapacitet det foretrukne medium – det er måske grunden til, at FBI kalder disse møder for ”flash-møder”.

Et TrueCrypt-usb-drev har flere sikkerhedslag. Når en TrueCrypt-partition er indstillet rigtigt, forekommer den at bestå af vilkårlige data. Selv hvis nogen tvinger en til at afsløre kodeordet (ned med Jack Bauer og hans rustne tang), kan man oprette en partition, der omfatter endnu et skjult lag eller endda et komplet, skjult operativsystem, der indeholder følsomme oplysninger.

[pt id=’2013590′ size=’large’ link=’file’ html_attrs=’title=”På trods af FBI’s ressourcer kunne forbundspolitiet ikke bryde den kryptering som en forbryderisk bankmand havde brugt til at sikre sine harddiske.”‘]

Man skal dog passe på, når man krypterer sine filer, siger Steven Bellovin, der er professor i computervidenskab på Columbia University i New York: »Kommerciel krypteringssoftware er så svær at bruge, at selv eksperter betragter det som en udfordring. Selv virkelig avancerede folk kan begå fejl, og nybegyndere har en stor risiko for at begå langt flere fejl.«

Det kan dreje sig om at efterlade kodeordet til krypteringssystemet på et stykke papir derhjemme, så FBI kan finde det. Det gjorde den klodsede forbryder Richard Murphy.

Trådløse net

Selv kortvarig fysisk kontakt indebærer risici. Hvis begge spioner bliver overvåget, risikere de at afsløre mere af deres netværk. Derfor er en moderne variant af det hurtige møde et trådløst møde.

I New York plejede en af de russiske illegale, Anna Chapman, at komme på en cafe eller en boghandel med en bærbar pc og oprette ad hoc-WiFi-net: et privat hotspot, der hverken kræver en router eller en netopkobling.

En russisk regeringsembedsmand med en smartphone nærmede sig stedet, gik med i netværket og udvekslede data i form af zipfiler. Spionkontrolløren gik aldrig ind i bygningen, og i et tilfælde afsluttede han mødet, mens han kørte forbi i bil.

Trådløse net har dog deres egne problemer. Alle trådløse enheder har et enestående registreringsnummer eller en Media Access Control-adresse (MAC), der bliver udsendt under en WiFi-dataoverførsel.

I tilfældet med Anna Chapman kunne amerikanske agenter finde hendes bærbares MAC-adresse.

Det satte dem i stand til at lave en oversigt over, hvilke steder hun havde besøgt, og hvilke ad hoc-net hun havde tilsluttet sig. De kunne sniffe pakker, der blev sendt fra hendes bærbare på travle offentlige netforbundne steder såsom kaffebarer.

Hvis du er paranoid, kan du ændre din netværksadapters MAC-adresse. Den 12-cifrede heksadecimale kode bliver sommetider gemt i EPROM, som man kan ændre. Snus rundt på internettet, hvor du også kan finde programmer, der gør det muligt at afsløre MAC-adresser.
Hvad kan vi lære af alt dette? Send under ingen omstændigheder noget vigtigt over et offentligt net. Der er for mange fejlmuligheder: datatrafik mellem din bærbare og netværkets accesspoint, selve accesspointet og trafikken mellem accesspointet og internettet.

Usikre hemmeligheder

WiFi er altså ikke sikkert. Hvad med telefonen? Desværre er der ingen spion med respekt for sig selv, der ville overveje det.

Se også:  4 fremragende gratis programmer

I UK tvinger myndighederne telefonselskaberne til at gemme oplysninger om opringninger og sms’er i et år, og de giver tilladelse til aflytning til masser af offentlige institutioner.

I USA kombinerer det Windows-baserede DCS-5000-system peg og klik-overvågning af opkald med stedsporing via mobiltelefontårne. Hertil kommer dvr-lignende optagelse og afspilning. Systemet kan aflytte og spore enhver jordledning eller mobiltelefon i landet på få sekunder.

Tro heller ikke, at du kan stole på de nye, smarte sikkerhedsapplikationer til smartphones. Philip Zimmermann er ekspert i computersikkerhed og opfinderen bag PGP (Pretty Good Privacy), der er verdens mest brugte krypteringsalgoritme til e-mail: »Mobiltelefonkryptering virker kun indtil det punkt, hvor den overlader sagerne til stemmenettet. Et eller andet sted er der en åbning mellem dataene og stemmedelene af telefonnettet, og her kan man foretage en aflytning.«

Det er måske mere sikkert at bruge VoIP-tjenester, men ifølge Steven Bellovin afhænger det af, hvilken tjeneste man bruger: »Mange VoIP-produkter krypterer ikke, heller ikke selvom der er tale om den vidt udbredte SIP-standard.

Men Skype bruger meget stærk kryptografi, og det bedste er, at folk ikke skal bekymre sig om det – det virker bare.«

Zimmermann er mere skeptisk: »Skype krypterer, men vi ved ikke hvordan, og det er derfor svært at vurdere krypteringens kvalitet. Jeg hører ikke mange klager fra myndighederne, fordi borgerne bruger Skype.

De undertrykkende myndigheder rundt om i verden virker ret glade for det.« Hvilket er en god grund til, at spionerne skal undgå det.

Zimmermann har sin egen løsning: en open source stemme- og videokrypteringsprotokol, der hedder Zfone (www.zfone.com), som arbejder sammen med SIP-VoIP-systemer såsom Google Talk og Apple Chat.

Når Zfone kører på to computere, bruger de en stærk krypteringsnøgle i peer to peer-stil.

Det betyder, at der ikke er nogen offentlige nøgler, certifikatautoriteter eller trust-modeller. Når kaldet slutter, bliver nøglen destrueret. Der kommer snart en ny version af den gratis Zfone.

Digital skov

Sikre telefonopringninger kan være nyttige, når man skal arrangere et møde med ”den rappe høg over den stille dam ved midnat” (forud aftalte feltråb hjælper med at identificere den, man taler med), men de er ikke så praktiske, hvis man skal overføre gigabytes af data.

Og hvis man vil ind i den digitale verden, ved den kvikke spion, at det bedste sted at gemme et træ er i en skov.

[pt id=’2013591′ size=’large’ link=’file’ html_attrs=’title=”Regeringen klager ikke over Skypes kryptering. Mon de ved hvordan de skal lytte med?”‘]

Hver dag sender og modtager tre milliarder e-mail-konti over 300 milliarder meddelelser. Overraskende nok er e-mail ret sikker ifølge Philip Zimmermann:

»Selv hvis du ikke krypterer din mail, kan din mailserver kryptere den, når den sender den til en anden mailserver. De to servere kan have en ssl-forbindelse (secure socket layer) imellem sig – den samme protokol, som din bank bruger til at kommunikere med din webbrowser.«

Man vil skrue op for sikkerheden og måske gøre det med Zimmermanns egen pgp, skønt den kan være vanskelig at bruge.

[pt id=’2013632′ size=’large’ link=’file’ html_attrs=’title=”Krypteringsmesteren Philip Zimmermand står bag PGP-systemet og han er blevet hyldet for sit arbejde med VoLP-sikkerhed.”‘]

Krypteringsmesteren Philip Zimmermand står bag PGP-systemet, og han er blevet hyldet for sit arbejde med VoLP-sikkerhed.

Hushmail (www.hushmail.com) fjerner besværet og gør det muligt at sende private e-mails via ssl til andre brugere af Hushmail – eller blot til normale e-mail-adresser ved hjælp af en kombination af spørgsmål og svar.

»Den bedste offentlige videnskabelige kundskab siger, at det vil være umuligt at kryptere vores e-mails med den eksisterende teknologi,« siger Ben Cutler, der er direktør for Hush Communications. »

Det er imidlertid sandsynligt, at Hushmail-beskeder er blevet opsnappet på anden vis. En kunde, der arbejdede for menneskerettigheder i Østeuropa, fik certifikatadvarsler, når han besøgte vores website. Vi konstaterede, at nogen prøvede at lytte med på forbindelsen mellem hans computer og Hushmail ved at eftergøre hans computers netværkstrafik. Han lyttede heldigvis til advarslen og undgik angrebet.«

De hemmelige agenter bør også bemærke Hushmails villighed til at samarbejde med myndighederne.

Hushmail er flere gange blevet tvunget til at overlevere tekstkopier af e-mails, herunder mails fra whistebloweren Thomas Drake fra det amerikanske departement for national sikkerhed (NSA).

Ironisk nok ville Drake vise journalisterne oplysninger om to fejlslagne NSA-programmer med kodenavnene Trail Blazer og Thin Thread. De er udviklet til at tjekke milliarder af telefonopringninger, e-mails og chat og lede efter potentiel spionage og terrortrusler.

Et andet problem med krypterede e-mails er, at de vækker opsigt midt i havet af spam, automatiserede meddelelser og Facebook-opdateringer, der udgør hovedparten af den typiske e-mail-trafik.

Som professor Bellovin udtrykker det: »Hvis FBI eller MI6 ser krypterede beskeder, der går fra USA eller UK til kendte adresser i Moskva, bliver de mistænksomme og begynder at undersøge sagerne.«

Gem dig i fuld offentlighed

Den sky spion har brug for en form for kommunikation med sine mestre, uden at det ser ud, som om der er sendt en besked.

Det er her, det begynder at blive interessant, for de russiske illegale i USA var alle udstyret med specialiseret steganografi-software.

Steganografi er kunsten at skjule ikke blot en meddelelses indhold, men selve meddelelsens eksistens. Med den russiske software kunne agenter indsætte en skjult fil i et uskyldigt udseende billede, såsom et foto af Anna Chapman i bikini.

Billedet kunne så vedhæftes til en normal, ukrypteret e-mail eller sågar lægges på et website, hvor alle kunne se det. Kun den udvalgte modtager var i stand til at uddrage og dekryptere indholdet.

Billedsteganografi har imidlertid sine begrænsninger. Steganografisk kommunikation virker kun, så længe ingen har mistanke om, at den eksisterer.

Hvis man skal sende en stor mængde stjålne dokumenter, kan det resultere i en påfaldende række fotos, der flyver til Moskva.

[pt id=’2013594′ size=’large’ link=’file’ html_attrs=’title=”Hvis M16 ser en krypteret e-mail der er på vej til Kreml begynder man at se nøje på meddelelsen og dens afsender.”‘]
Se også:  4 fremragende gratis programmer

Fremsynede spioner bør overveje netværkssteganografi, hvor hemmelige data bliver skjult i strømmen af onlinedata. Elzbieta Zielinska er forsker ved Network Security Group på Warszawas tekniske universitet (www.stegano.net).

Hendes hold har haft held med at bruge VoIP-tjenester til at skjule en strøm af steganografiske hemmeligheder.

»Vi har testet det og ser, at det virker,« siger Zielinska. Man kan modificere forsinkelserne mellem pakkerne, således at bestemte pakker bliver leveret til modtageren. De, der taler, lægger måske ikke mærke til det, men de leverede pakker kan indeholde stort set hvad som helst.

Forskerne fra Warszawa har fundet metoder til at injicere steganografisk information i dagligdags webtraffik, hvilket potentielt kan gøre Flickr og Facebook til ultrasikre datakanaler.

De har endda et system, der hedder HICCUPs (Hidden Communication System for Corrupted Networks), der kan indlejre skjulte filer i WiFi-netværk ved at modificere trådløse pakkers kontrolsumdata.

Undergrundsvideo

Når man arbejder med individuelle pakker, må det vel føre til grotesk langsomme bitrates? Slet ikke, siger Zielinska:

»Vi fik den ide at bruge steganografi på det fysiske niveau i et ethernetnetværk, hvor pakkerne ofte er fyldt ud med nuller. Ved at bruge netværkssteganografi her får vi datarater, der giver en hæderlig kvalitet inden for mpeg4-videostream. Der er ingen begrænsninger.«

Gid det var sandt. Sandheden er, at alle ”sikre” kommunikationssystemer har en afgørende begrænsning: dig og dine agentkolleger. Enhver krypteringsteknologi er kun så stærk som dens svageste bruger. Som Steven Bellovin udtrykker det:

»Man går ikke igennem stærk kryptografi – man går uden om den. Hvis jeg vil læse andres e-mail, prøver jeg ikke at bryde stærk kryptografi, jeg hacker ind på deres maskine og venter, indtil de dekrypterer dem.«

Cutler indrømmer, at Hushmail-brugere sjældent er så driftssikre som hans algoritmer. »Vi har været ude for, at folk har fået deres feltråb stjålet af trojanske heste, der var installeret af brugere, som ikke vidste, hvad de var, eller af computervira.«

Philip Zimmermann er enig. »Så snart en computer er blevet inficeret, er alt håb ude. Spyware kan opfange tastaturanslag, mens man skriver sit feltråb, eller dekryptere ens nøgle og sende den til moderskibet. Så længe man bruger almindelige computere, der kan bruges til at downloade spil, åbne vedhæftede filer og besøge pornosites, vil dette problem eksistere.«

Der er kun en ting at gøre. Spioner som os – og de uheldige russiske illegale – er nødt til at gå af nettet, slukke for computerne, tag det usynlige blæk frem og begynde at studere kodeord. Kondoren venter på dig ved dronningens slot.

Brug analog radio til at finde skjulte beskeder

Nu om dage hvor internettet dominerer alle former for kommunikation, virker det som den eneste måde at komme fra A til B på. Men det passer ikke.

Tag din ydmyge analoge radio med på en vandring gennem nogle obskure kortbølgefrekvenser, og du vil finde kanaler, der leverer vejrmeldinger, meddelelser i morse og sære talrækker, der kunne være gådefulde meddelelser til spioner fra deres overordnede.

Ideen er ganske enkel. Indstil din radio på den rigtige kanal, slut den til pc’en, og brug den og noget software til at afkode den transmitterede datastrøm. Det bedste værktøj til denne opgave er MULTIPSK, der er en digital transceiver, som man kan downloade gratis på http://f6cte.free.fr sammen med hjælpefiler på engelsk og tysk.

Hvis du prøver mellem 3 og 12MHz, støder du måske på en ”talstation”. De fleste af dem har en kunstig stemme, der læser talrækker op på engelsk, tysk, spansk, kinesisk eller russisk.

Mange antager, at disse stationer bliver brugt af forskellige myndigheder til at sende beskeder til agenter i marken. Spionen lytter til udsendelsen og oversætter tallene med en engangskodeskrift og fremkalder beskeden. Det er tankevækkende, at de russiske spioner, der blev udvist af USA, havde kortbølgeradioer.

Det kan lyde meget gammeldags, men hvis man tager i betragtning, at internettet ville være et tidligt offer for en atomkrig, giver den gode gamle kortbølgeradio pludselig vældig god mening.

Vi taler med USA’s førende cyberkriger.

I 1996 grundlagde Jim Gosler CIA’s Clandestine Information Technology Office (der var endnu mere hemmeligt, end det lyder).

Han er nu gæsteforsker på Sandia National Laboratory i New Mexico, hvor han rådgiver ledere af efterretningsorganisationer om netværkskrig og computersikkerhed.

Hvad er vi oppe imod?

Vi har modstandere, der har evnen til at indføre sårbarheder i en komponent, der tilfældigvis er forbundet med et netværk. De forstår efterretningsorganisationer og kan udvælge, opsøge og rekruttere spioner og indbrudstyve.

Er det en lige kamp?

Der er enorm forskel på det bedste inden for forsvar og det bedste inden for angreb. Angreb har utrolige iboende fordele.

Hvis vores forsvar skal have nogen chance for at indsnævre den kløft, skal vi have en omfattende forståelse for, hvordan dette spil bliver spillet online.

Betyder det flere cyberspioner?

Afgjort. Den tekniske kadre i USA er utilstrækkelig, når det gælder de behov, nationen har for at håndtere truslen mod cybersikkerheden.

Antallet af folk, der er dybt nede i sagerne – og forstår raffinementerne og nuancerne ved software på 0- og 1-niveau – bør være markant større, end det er i dag. Set på baggrund af de kredse, jeg færdes i, har vi kun omkring 1.000 virkelige eksperter.

Hvor skal de komme fra?

Det ved jeg ikke. Det er bekymrende, at universitetssystemet producerer et utilstrækkeligt antal folk på det rette uddannelsesniveau. Det er temmelig skræmmende fremtidsudsigter.

[themepacific_accordion] [themepacific_accordion_section title=”Fakta”] [/themepacific_accordion_section] [themepacific_accordion_section title=”Fakta”] [/themepacific_accordion_section] [themepacific_accordion_section title=”Fakta”]

I et af de tidligst kendte tilfælde af steganografi tatoverede tyrannen
Histiaeus fra Miletus en hemmelig besked på en betroet tjeners
glatbarberede isse. Derefter ventede han på, at håret groede ud, før han
sendte tjeneren af sted.

[/themepacific_accordion_section] [/themepacific_accordion]


TAGS
kryptering
Sikkerhedstjeneste
spionage
TrueCrypt

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2020
Privatlivspolitik og cookie information - Audio Media A/S