CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Masseovervågning

Hvordan foregår overvågning på internettet og via vores telefon?.

28. oktober 2015 kl. 12.57

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

EU har i januar udgivet to rapporter omkring de etiske og moralske problemer med den masseovervågning, som blev offentligt kendt da whistlebloweren Edward Snowden frigav et utal af dokumenter fra NSA. Rapporterne er blevet udarbejdet af STOA (Science and Technology Options Assesment), som er den EU-organisation, der skal orientere EU-kommissionen om de muligheder, der findes inden for den moderne it-teknologi.

De rapporter, jeg omtaler her, kommer i to dele. Den første del koncentrerer sig om at orientere om de risici og trusler, der findes nu samt eksempler på de tilfælde, hvor disse trusler har udmøntet sig i, at data er blevet stjålet fra organisationer og regeringer. Den anden del kan du læse om i næste udgave af Alt om DATA, og den vil fokusere på at komme med løsningsforslag til at imødegå den øgede overvågning, der foregår på internettet.

Rapporterne er lavet i samarbejde med sikkerhedseksperter og journalister fra hele EU. Fra Danmark er der input fra Peter Kruse, grundlæggeren af CSIS her i DK. I sagens natur er de data, der er basis for rapporterne, kun fra open source. Open source i denne sammenhæng vil sige data, der er offentligt tilgængelige, fra enten journalister eller fra whistleblowere som Edward Snowden. Så rapporterne er altså blevet lavet ud fra de ting, vi ved, så husk på at der er masser af ting, vi ikke ved noget om, fordi efterretningstjenesterne og politiet holder det hemmeligt.

Telefonovervågning
Hvad er det så for nogle data, der bliver overvåget? Hvis vi kigger på telefonovervågning først, og her inkluderer jeg mobiltelefoni, så er NSA meget ivrig, når de siger, at det kun er ’metadata’ de gemmer. Hvad er så metadata? Lad os sige at jeg er et mål for overvågning, og at de gemmer metadata om alle mine opringninger. Mine metadata vil så indeholde oplysninger om, hvem jeg har ringet til, hvor længe opkaldet har varet og IMEI-nummer (et nummer der er unikt for kun min telefon).

Der er også mulighed for, at metadata kan indeholde information om den mobilmast, jeg var forbundet til, da jeg lavede opkaldet. Så der kan altså også være oplysninger om, hvor jeg befandt mig, da jeg lavede opkaldet. Det er temmelig mange oplysninger, men altså ingen oplysninger om selve indholdet af samtalen.

Teleselskaber bruger disse data til at udregne, hvor meget du skal betale i telefonregning. Når efterretningstjenester samler alle disse data, så kan de blive brugt til at lave en MEGET præcis profil af vores gøren og laden. Det kan godt være, at de ikke indsamler selve indholdet af vores samtaler, men prøv at tænke på følgende situation. Jeg ringer til min læge, et opkald der varer 10-15 minutter. Efter at have lagt på ringer jeg til en hjertekar-specialist for at bestille en tid. Hvad vil du gætte på, min samtale med lægen var om?

Overvågning på nettet
Hvad så med overvågning på internet? Vi har i flere år været opmærksomme på, at cookies kan bruges til at finde ud af, hvor vi har surfet hen, og hvad vi har kigget på, på de hjemme-
sider vi har surfet til. Du har sikkert selv oplevet, at du f.eks. har kigget på den nyeste model i gaminglaptops, for så at se et utal af reklamer på disse maskiner, når du logger på Facebook.

Det er cookies, der bliver brugt til den slags tricks. Cookies kan også bruges til mindre ubehagelige formål. Det er f.eks. cookies, der er ansvarlige for at fortælle dig, hvilke nyheder der er kommet til, siden du sidst var på en nyhedsside. Når cookies er så fortræffelige til overvågningsformål, så er det fordi, at adgangen til de cookies, der findes på din computer, er tilgængelige for alle de hjemmesider, du besøger. Uden at du bliver spurgt om lov først.

På internettet er det stadigvæk diverse efterretningstjenester, der overvåger os brugere, men det er primært alle de forskellige reklamebureauer, der er interesserede i, hvad vi foretager os på internettet. Hvorfor? Med de data, de kan indsamle via cookies, kan de lave en meget præcis profil af vores interesser og af den vej målrette deres reklamer til os. Hvis de holdt de data, de indsamlede, til dem selv, så ville det måske være i orden, men ofte sælger virksomhederne de profiler, de laver af os til andre. Og fordi de har data om, hvad vi har søgt på, og hvilke hjemmesider vi har besøgt, og de produkter vi har købt, så er disse profiler enormt præcise.

Din profil er nem at lave
Hvis vi ser bort fra den overvågning, vi ser fra reklamebureauerne, og fokuserer på overvågningen fra Amerikanske NSA og Britiske GCHQ, hvad siger den overvågning så om os? Langt den største del af os er vanemennesker, og gør de samme ting og taler med de samme mennesker hver dag. Så når efterretningstjenesterne sammenkoger data fra telefonopkald og vores vaner på internettet, så kan de lave profiler, der fortæller alt om os. Hvilke mennesker udgør vores omgangskreds. Hvad er vores politiske holdninger. Hvilke sygdomme har vi haft/har vi. Hvor færdes vi. Kort sagt en profil, der kan bruges til at komme med forudsigelser om, hvordan vi vil reagere i bestemte situationer. Skræmmende ikke sandt?

Alle disse data bliver indsamlet, enten med hjælp fra de forskellige telefirmaer og internetfirmaer, eller ved at de kobler sig til nogle af de hovedfærdselsårer, der findes på kryds og tværs af Jorden. Både Facebook og Microsoft har nægtet, at de samarbejder med NSA om overvågning af deres kunder, men vi har set eksempler på, at telefirmaerne frivilligt har givet NSA adgang til deres kunders data.

De metoder, der bliver brugt til indsamlingen, er sommetider udviklet internt, men der findes masser af virksomheder som har specialiseret sig i at udvikle værktøjer til overvågning. I rapporterne fra EU, er der adskillige eksempler og navne på firmaerne.

Et eksempel, jeg vil fremhæve her, er Hacking Team fra Italien. I skrivende stund har de lige været offer for en kæmpe datalæk, der har givet oplysninger om deres kunder samt kildekoden til de værktøjer, som de sælger til f.eks. det danske politi, som er blandt deres kunder.

Hvis du følger it-nyhederne, så ved du sikkert, at der blandt deres kunder er lande med et noget tvivlsomt forhold til menneskerettighederne. Blandt de ting, der blev lækket, var også eksempler på det, der kaldes for 0-day sårbarheder. Det er sårbarheder, der ikke er kendt af de firmaer, der har udviklet den software, som sårbarheden rammer. Og her har vi et af kerneproblemerne for os brugere.

De firmaer som producerer værktøjer til overvågning, har brug for disse 0-day til at snige sig ind på den computer, der skal overvåges. De holder derfor oplysningerne om denne sårbarhed for dem selv, så de kan bruge den længst mulig tid. Det samme gør efterretningstjenesterne. De er altså vidende om en sårbarhed, i software, som vi alle sammen bruger, men de fortæller ikke nogen om den, og da slet ikke udviklerne af softwaren, de ville jo bare lukke hullet. Så disse firmaer og efterretningstjenester er vidende om huller i vores software, men holder disse oplysninger for dem selv.

Her er også grunden til, at de forskellige store softwarefirmaer er begyndt at tilbyde dusør til dem, der finder sikkerhedshuller i deres software. Masser af sikkerhedseksperterne laver store penge på at finde huller i software og sælge disse huller til firmaer, der udvikler overvågningssoftware. Hvis de store firmaer vil vide, hvilke huller der findes i deres software, er de simpelthen nødt til at tilbyde dusør for hullerne.

Både efterretningstjenester og politiet har naturligvis et reelt behov for at kunne overvåge specifikke personer, men den tendens vi har set til, at holdningen hos de forskellige myndigheder er ”giv os det hele, så tager vi bare det, vi skal bruge”, kan være meget problematisk.

Kryptering gør vores kommunikation på nettet og i mobiltelefonen privat, men privatlivet er i fare

I sidste nummer af Alt om DATA skrev vi om de nye rapporter fra EU om masseovervågning af telekommunikation og internettrafik, og vi har tidligere i Alt om DATA beskrevet, hvad man kan gøre for at undgå at blive overvåget. Det kan du også læse meget mere om på side 30 i dette nummer. Der var dog en ting, artiklen i sidste nummer ikke kom ind på pga. pladsmangel, og det var kryptering.

Med afsløringerne fra Edward Snowden er hele verden blevet opmærksom på de muligheder, en national stat har for at følge med i, hvad en befolkning foretager sig. Det har gjort, at der er kommet et enormt fokus på kryptering, et fokus der ikke har været før afsløringerne. Da det kom frem, at NSA havde snablen nede i de kommunikationslinjer som f.eks. Google har imellem sine datacentre og brugte denne adgang til at opsnappe al den kommunikation, der er imellem datacentrene, valgte Google sammen med de andre store Cloud-udbydere at kryptere denne kommunikation.

Kryptering gør din kommunikation privat
Lidt hurtig information om kryptering, for hvad er det for noget? Du bruger garanteret allerede kryptering bare uden at vide det. Bruger du f.eks. netbank, så er den kommunikation, der er imellem dig og banken krypteret. Søger du på Google, så er din kommunikation mellem dig og Google krypteret. Hvordan kan du se det? Når du bruger din browser på Google eller netbank, så vil du se, at den protokol, som browseren bruger, er HTTPS.

Du kan se et eksempel på figur 1. Normal internettrafik bruger HTTP. HTTPS står for HTTP Secure og krypterer al din kommunikation mellem dig og Google. At trafikken er krypteret betyder, at hvis nogen opsnapper din kommunikation, så vil de ikke vide, hvad trafikken består af. De vil f.eks. ikke vide, hvor mange penge du har overført til en anden konto i din netbank. Det samme gør sig gældende, når du betaler for varer på internettet med et kreditkort, for der er kommunikation imellem dig, butikken og den bank, der har udstedt kortet, krypteret.

Okay, så vi benytter altså allerede kryptering i stor stil. Hvorfor krypterer vi så ikke bare al vores kommunikation, for på den måde er vi vel sikret imod masseovervågning? Ja, det er vi, men problemet med at kryptere alting består i, at der skal en nøgle til at kryptere kommunikationen og dekryptere den igen, og det er nøglerne til krypteringen, der udgør det store problem. For hvordan skal vi organisere, at disse nøgler kommer sikkert frem til de personer, der skal bruge dem? Der er metoder til at gøre det, men de er komplekse og kræver mange computerressourcer at bruge. Når det så er sagt, så er der et øget fokus på nødvendigheden af at kryptere, hvis man vil undgå masseovervågning.

Figur 1: Google har implementeret kryptering, når du bruger deres søgemaskine. Figur 1: Google har implementeret kryptering, når du bruger deres søgemaskine.

Med den øgende fokus på kryptering, er der også en stigende fokus på at gøre kryptering nemmere for slutbrugeren at implementere og udnytte. Det er ikke nemt, men i de kommende år vil vi uden tvivl se kryptering blive bygget ind i de produkter, som vi bruger til dagligt. Med den øgede brug af kryptering er mulighederne for NSA, GCHQ og de andre efterretningstjenester blevet mere begrænsede, end de hidtil har været. Som forventet, så har det skabt et modpres fra de involverede myndigheder.

Den kryptering, vi har i dag, er så god, at den ikke bare er til at bryde. Der er selvfølgelig altid den mulighed at prøve nøgler af fra en ende af, men nøglelængden i dag er så lang, at selv med de hurtigste supercomputere vil det tage år at bryde. Og er nøglen tilpas kompleks, så kan det være lige meget med at prøve. Myndigheder som NSA har uden tvivl computere dedikerede til den slags, men de seneste års fokus har tillige gjort, at dem der har behovet for kryptering også sørger for, at deres nøgler er så komplekse, som de kan gøre dem.

Bagdøre i kryptering
Så krypteringen er god, og vi bruger mere af den, men myndighederne er begyndt at presse tilbage, da kryptering kan gøre deres arbejde sværere. Hvad er det så, myndighederne forlanger? Jo, krypteringen er for god, så vi er nødt til at svække den eller implementere bagdøre i den kryptering, som den moderne verden er afhængig af. Det er ikke nogen overdrivelse at sige, at vi er afhængige af kryptering i dag. Kryptering bliver brugt til VPN-forbindelser, kreditkortkøb på nettet, netbanken, databaser, mobiltelefontrafik med mere.

Jamen, er det ikke bare efterretningstjenesterne, der beder om bagdøre i kryptering eller helt at svække krypteringen? Nej ikke helt. I skrivende stund har en af de republikanske præsidentkandidater i USA slået på tromme for det. Tidligere i år var det den britiske premierminister David Cameron, der efter terrorangrebet imod Charlie Hebdo startede arbejdet med en ny lov, der skal gøre det ulovligt for chatprogrammer at operere i England, hvis de ikke vil fjerne krypteringen af deres programmer. Det vil komme til at ramme WhatsApp og Facebook, hvis den lov bliver vedtaget i slutningen af 2015.

Det amerikanske forbundspoliti FBI har været ude med ønsker til mobiltelefon-producenterne om ikke at implementere alle de nye sikkerhedstiltag som f.eks. Apple har gjort det for deres iPhone. At f.eks. NSA allerede har brugt ressourcerne på at svække algoritmer, så vi fra RSA-sagen. Her betalte NSA RSA 10 millioner US Dollar for, at de skulle bruge en usikker metode til at generere tilfældige værdier i deres produkter. (RSA er en af de største krypteringsspillere på markedet i dag). For at det nu ikke bare skal være amerikanske og engelske myndigheder, der bliver fremhævet, så har det europæiske politi Europol også været ude med advarsler til diverse firmaer om krypteringen. Og du kan være sikker på, at de forskellige nationale politimyndigheder er opmærksomme på, at al denne nye kryptering betyder, at deres arbejde er blevet meget mere besværligt.

I slutningen af artiklen om rapporterne fra EU fra sidste nummer af Alt om DATA, nævnte vi, at både politi og efterretningstjenester har et reelt og legitimt behov for at kunne overvåge en specifik bruger, så hvad er problemet med at svække krypteringen en lille smule? Problemet ligger i, at krypteringen naturligvis ikke kun vil være svækket for politiet og efterretningstjenesterne, men for alle, inklusiv hackere og andre, der bruger internettet til at stjæle eller franarre andre mennesker deres penge. Der er tale om at svække al kryptering, også den du bruger til din netbank eller til at snakke med Google over en krypteret kommunikationslinje.

En anden mulighed, som er blevet luftet, er, at myndighederne får en såkaldt ’Master Key’, der kan dekryptere al information fra en specifik krypterings algoritme. Desværre kan man her risikere, at denne ’Master Key’ bliver fundet ret hurtigt. Software er blevet reverse engineered i årevis, og en master key eller en svækkelse i krypteringen vil blive fundet i løbet af dage, hvis ikke timer. Det skal ikke være nogen hemmelighed, at det er meget problematisk, hvis krypteringen skal svækkes, så myndigheder og efterretningstjenester nemmere kan foretage deres masseovervågning. Det vidner om en mangel på indsigt i de behov, som den moderne verden har for sikkerhed i vores kommunikation. Og en svækket kryptering vil betyde en svækket sikkerhed for os alle sammen. Fra vores internetkommunikation til vores daglige brug af mobiltelefoner.

Links til STOA rapporterne:
Del 1: Risks, Opportunities and Mitigation Strategies
Del 2: Technology foresight

 



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
Cyber-gidselforhandler løfter sløret: Sådan undgår du at blive ramt af den frygtede 'double whammy'
Læs mere »
Her er de 10 bedste arbejdspladser i den danske it-branche
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Tidligere Chr. Hansen-CIO Jens Rasmussen løfter sløret efter exit: Her er mit næste skridt i karrieren
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danske CloudNordic går konkurs efter stort ransomware-angreb
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
SASE: Træf det rette valg – første gang
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »