Oct 9, 2011

Statlig spyware - "DataAvlesing" som trojansk PeST

Oppdatert 6.12.2011: 
Tidligere har en beskyttet seg mot kriminelle.
Nå må en også beskytte seg mot de som formodentlig skal håndheve loven:
PST vil ha full tilgang til datamaskiner

Kort, historisk:
2002:
Riksadvokaten går sterkt imot (daværende) justisministers forslag til nye lovbestemmelser mot terrorisme. (ref. Aftenposten)


2005:
Politiet (PF) krever hemmelig avlytting i private hjem. Dette fordi kommunikasjons avlytting ikke var nyttig i "det endrede kriminalitetsbildet": De kriminelle var forlengst oppmerksom på politiets metoder, og hadde gått over til å kommunisere ansikt til ansikt i private boliger. (Ot.prp. nr. 60 (2004-2005))


2009:
"Romavlytting av private hjem er i strid med grunnloven, fastslår regjeringsutnevnt utvalg", kunne en lese i Aftenposte 29.06.09
Daværende justisminister Dørum fikk sterk kritikk da han la frem lovforslaget om romavlytting. Han ville i utgangspunktet tillate romavlytting uten at det ble krevd såkalt «skjellig grunn til mistanke» (sannsynlighetsovervekt på minst 50 prosent) om at noe galt kunne skje. Det holdt at PST «ønsket å undersøke om noen forberedte» alvorlig kriminalitet, som det het.


2009:
Metodekontrollutvalget leverer sin NOU 2009:15 “Skjult informasjon - åpen kontroll”. (se spesielt 23. Dataavlesing)
I denne utredningen kan vi lese
"at PST ikke har anledning til å foreta ransaking av noens private hjem etter politiloven § 17d, ble begrunnet med at departementet ikke ønsket å «trå Grunnloven for nær», jf. Ot.prp. nr. 60 (2004–2005) side 132".
En interessant observasjon med tanke på at metodene det argumenteres for, er ytterst intrusive i den mest private sfære.
Og her argumenteres det, som i 2005, om "det endrede kriminalitetsbildet", men da omvendt, altså at nå er de kriminelle gått tilbake til metoder som de i 2005 argumenterte mot.

Det har forøvrig ingen hensikt å lete etter logikk i politisk bullshit:

.... er opptatt av de rettspolitiske dilemmaene som nye politimetoder skaper. Vektingen mellom enkeltmenneskes krav til personvern og samfunnets behov for beskyttelse er viktig. Ved å ta i bruk nye metoder i forebyggende arbeid, innenfor strenge rammer, kan personvernet styrkes i forhold til dagens situasjon...
En tankevekker til politisk bullshit; det har blitt fremmed teori om at nivået i nettdebatter er farget av respektløs bullshit fra politikere og byråkrater. Eller med andre ord: Skal en heve nivået må en stoppe denne bullshittingen og vinne tilbake respekt...


Hvorfor "Dataavlesing"?

Det er blitt vanskelig(ere) å overvåke innholdet av hva borgerne formidler, både innenfor familien, venneketsen og via det offentlige nettet.
I tillegg bruker ordinære borgere krypterte tjenester. Derfor må Staten skaffe "verktøy" for at statlige organer skal bryte seg inn i den private sfære for å overvåke kommunikasjonen, før den blir kryptert.

Om "Dataavlesing" for bruk ved mistanke, se 32.4 I kommunikasjonskontroll­forskriften, "Kommunikasjonskontrollforskriften ny § 7a skal lyde..."



Hva er "Dataavlesing"?

Kort oppsummert så er dette spionprogrammer (spyware og malware) som installeres på private maskiner (PC, servere) hjemme hos folk, og uten at eierne vet om dette. For å installere den ondsinnede programvaren kan politiet bryter seg inn i boligen for å få fysisk aksess til PC'en, eller - mest realistisk, innstallerer sine trojaner via nettet; hacking for datainnbrudd i private hjem.

Sitater under er fra  23.3.5 Gjennomføringen av dataavlesingen “Skjult informasjon - åpen kontroll”
(må ikke forveksles med The lunatic asylum hackers guide to the dysfunctional universe)  :

...I utgangspunktet kan man imidlertid se for seg to hovedgjennomføringsmåter:

politiet utnytter et sikkerhetshull i datasystemet eller sender en e-post som inneholder et skjult vedlegg med det aktuelle programmet, at politiet installerer programmet i forbindelse med en hemmelig ransaking eller etter å ha utført innbrudd i datasystemet.
...
For eksempel kan utstyr som leser av tastetrykkene monteres i tastaturet (key-logging)
...
headsett eller mikrofon ...
...
Det er neppe til å unngå at gjennomføringen av dataavlesingen vil kunne fange opp opplysninger som ikke var ment kommunisert eller lagret, og som dermed ikke ville blitt fanget opp ved tradisjonell kommunikasjonsavlytting eller hemmelig ransaking og beslag.
...
Utvalget presiserer derfor at dataavlesingen må innrettes slik at det ikke fanges opp opplysninger ut over det som er nødvendig for å kunne gjennomføre en kommunikasjonsavlytting eller en hemmelig ransaking og beslag.
...
dataene skal komme politiet i hende, må programvaren enten lagre dataene på datautstyret, eller sende dem ut via Internettet eller annet tilgjengelig eller installert nettverk/radioutstyr som politiet råder over.
...
Etter at dataavlesingen er gjennomført bør programvaren avinstalleres. Dette kan gjøres på samme måte som installeringen, eller ved at for eksempel et softwareprogram tilintetgjør seg selv
...
dataavlesingen må innebære så liten sikkerhetsrisiko for mistenktes datasystemer som mulig.
  ...
Ved politiets installasjon av programvare for å muliggjøre dataavlesing kan slike svakheter utnyttes. Det innebærer at også andre kan utnytte de samme svakhetene. I tillegg vil politiets programvare kunne inneholde svakheter som kan utnyttes av andre.
...
 Det er for utvalget opplyst at selv kriminelle som foretar innbrudd i datasystem regelmessig tetter de sikkerhetshull som er utnyttet, for å verne om det datasystemet de har skaffet seg kontroll over. Det samme vil selvsagt også politiet kunne gjøre. [skal en le eller gråte]
...
 gjennomføringsmåten må tilpasses den enkelte sak, og metodebruken vil utvikle seg i takt med den teknologiske utviklingen, er det ikke mulig generelt å gi føringer på denne forholdsmessighetsvurderingen. Påtalemyndigheten må foreta en vurdering av dette spørsmålet i forbindelse med begjæringen til retten om tillatelse til å bruke metoden,
...
Det vil til slutt være opp til retten å vurdere om sikkerhetsrisikoen i den enkelte sak er akseptabel.
Wow, am I impressed!


Hva ble skrevet om "Dataavlesing" tidligere,  i NOU 2003: 18 ?
.....såkalte trojanske hester, ormer, sniffere mv.
Dette er dataprogrammer som kan installeres hemmelig i dataanlegg og som kan ha forskjellige funksjoner. For eksempel kan programmene legge «vertsmaskinen» åpen for «innbrudd» utenfra, eller de kan lagre og/eller sende informasjon som ligger på maskinen.
Programmene kan også overvåke de enkelte inntastingene underveis, og sende denne informasjonen til politiet før den krypteres.
Bruk av slike programmer reiser en rekke tekniske og rettslige spørsmål.
Det må legges til grunn at i mange tilfeller vil det være nødvendig med hjemmel utover de som er gitt i gjeldende lovgivning. For å besvare hjemmelsspørsmålet sikkert kreves imidlertid en avklaring av hvilke programfunksjoner som kan være aktuelle, i hvilken grad programmene kan skade vertsmaskinen, om programmene kan forstyrre eller forsinke vertsmaskinens funksjoner, hvor stor plass slike programmer kan oppta på vertsmaskinens harddisk, om programmene kan installeres uten at det medfører datainnbrudd osv.
Også andre IKT-relaterte metoder kan visstnok tenkes anvendelige i etterforskingsøyemed, for eksempel avlytting av elektromagnetiske felt.


2011 - her er vi nå:

Men tankene er frie?

Datalagringsdirektivet (DLD) måtte innføres for å legalisere den overvåkingen som allerede ble utført - slik at disse data kunne brukes som bevismateriale i en rettssal.

Slik er det også med spion-overvåkingen som politiet nå ber om å få bruke, og denne gangen også uten at der foreligger mistanke. Også omtalt som  "Lovendring for soloterrorister"

Det er ikke bare politiet som skal ha dette "verktøyet", men også  LexACTA. (Les fra "ACTA deg; forslag til ny åndsverklov ").


Galskap satt i system:

Når de etterforskende myndigheter møtes til konferanse for å lære om "Intelligence Support Systems" så er der en lang rekke aktører som ønsker å markedsføre sine intrusive produkter.
En av disse er "hacking teamet", som markedsfører programvare for "Remote Control System":
"A Stealth, Spyware-Based System for Attacking, Infecting and Monitoring Computers and Smartphones 
(Windows, Windows Mobile, Mac, iPhone, Symbian and BlackBerry). Full intelligence on target users even for encrypted communications (Skype, PGP, secure web mail, encrypted disks, etc.)"

Programvaren installeres ved fjern-infisering (remote infection), og er usynlig for PC-eieren:
Spionen som snoker, monitorerer alt; web-aksess, personlig mail, dokumenter som skrives og leses, tastetrykk-logging (keystroke), dokumenter som printes, VoIP (internet telefoni), avlytting via systemets mikrofon og PC-tilknyttet kamera, osv. - og logger alt til en fjernliggende kontrollsystemet.
Også kaldt "evidence collection".


Statlig spionprogrammer som "remote rettsmedisinsk software" (nytale)

Tyske Der Chaos Computer Club (CCC) har over flere år advart om at statsorgan nytter spyware og malware for i hemmelighet å bryte seg inn på borgeres datamaskiner - og med de problemer dette medfører.
I går publiserte CCC at de har utført en grundig analyse av regjeringens spionprogrammer.
Rapporten foreligger med tekniske detaljer.

Regjerinens spiontrojaner åpner for overvåking av de mest intime detaljer, inklusive å ta kontroll over kamera og mikrofon (for å se og lytte hva som foregår i hjemmet).
Spionprogrammene har grove implementasjonsfeil, og gir en rekke sikkerhetshuller i systemene det spioners på. Disse kan også nyttes av tredjepart.

Tyskland, som Norge, har introdusert nytale når en skal omtale statlig mangel på etikk og moral, for ikke å si brudd på menneskerettigheter... Dette heter "kilde-avskjæring" ("source telekommunikasjon surveillance" eller "dataavlesing" på norsk) og skal utelukkende brukes for oppfanging av "internet-telefoni" ved "lovlig avlytting".

CCC har nå publisert myndighetenes ondsinnede programvare (malware) i form av kildekoden sammen med en detaljert rapport om funksjonaliteten og teknisk vurdering.

 Myndighetenes programvare "light" er en kamuflert trojan som går langt ut over den tillate "avskjæringen av kommunikasjonen". Programvaren laster selv ned (via nettet) flere trojaner, og som gir myndighetene fjernkontroll (remote control) for å kjøre programmer.
En fullt funksjonerende statlig trojan har kontroll over nettsurfing, lesing, skjermbilder, skriving, manipulering av filer, tilgang til mikrofon og kamera, samt tastatur (keystroke).

Dette viser at de (tyske) etterforskende myndigheter aldri reflekterer over å respekterer loven eller rettstaten, og anser seg uavhengig hva de folkevalgte regjerende myndigheter måtte bestemme om dette. Dette vises også i de metoder og "løsninger" som presenteres på konferanser (se ovenfor).

Programvaren er også både teknisk råtten og åpner sikkerhetshull for tredjepart, samt gir infisering av annet ondsinnet programvare og produksjon av falske data.

Kontrollsenteret, hvor dataene sendes til, ligger på en leid server i USA.

 CCC krever at hemmelighetene rundt infiltrasjon av systemer for informasjonsteknologi, iverksatt av statlige myndigheter - stoppes.
Samtidig oppfordrer de alle hackere og de som er interessert i teknologi å gjøre mere for å analysere data...


Oppdatering 10.10.2011 (takk til @extev)

Da Frankfurter Allgemeine Zeitung (FAZ) ikke er en hvilken som helst blekke, har saken fått mye oppmerksomhet og både den tyske innenministeren og justisministeren (som er DLD motstander) har lovet full etterforskning og oppklaring, også etter krav fra de ditto komiteene i Bundestag.

Innenriksministeren og politiet i Bayern har innrømmet at de har brukt det omtalte programmet i etterforskningen av en sak, og bl.a. endte opp med  > 60.000 ulovlige screenshots fra PCen de overvåket. Programmet var konfigurert til å ta screenshot hvert 30. sekund.

Tyske media går ut i fra at også politiet i andre delstater har brukt og bruker det omtalte programmet.

På riksplanet benekter alle ansvarlige noen som helst befatning med saken, og sier at de ikke tillater ulovligheter.


En gode kilde om temaet:

Chaos Computer Club analyzes government malware by Chaos Computer Club

Analysis State Trojans: Germany exports “spyware with a badge”

av Jon Wessel-Aas:
Om å la politimyndigheter avgjøre rettsstatens grenser – ny forskning
Vil PST egentlig ha innført straff for “soloplanlegging” av terror – og det forventingspress det skaper?
Misforstått spørsmål om “de edleste motiver”

EU cybercrime strategy backs law enforcement Trojan (2008)

German Gov't Inadvertently Reveals Police Monitor Gmail, Skype, Facebook & Use Snooping Malware (2012)

No comments:

Post a Comment