FRAs påstådda dataintrång ett blindspår

Det har funnits välbefogade spekulationer bland bloggare ifall FRA redan ägnar sig åt dataintrång i stor skala, så som t.ex. skrivits av Christian Engström och Anna Troberg. Efter att ha ägnat gårdagen åt att gräva i det har jag kommit fram till att just dataintrången är ett blindspår. Det finns inget som går att substantiera som pekar på att det är så.

Jag tycker illa om otransparenta myndigheter lika mycket som någon annan, men det finns såpass mycket smuts på just FRA, att jag känner att man behöver hålla tungan i rätt mun.

Det är framför allt tre faktabitar som gör att jag drar slutsatsen att dataintrången är ett blindspår:

För det första, så kontaktade jag SITIC igår och bad om deras story kring det hela. Jag pratade med avdelningschefen för nätsäkerhet på Post- och Telestyrelsen igår, en herre som heter Anders Johanson. (SITIC, Sveriges IT-Incidentcentrum, är en del av PTS.) Jag hade inte haft någon tidigare kontakt med Anders tidigare, men har haft kontakt med andra på SITIC.

Anders berättade att de har ett antal mätpunkter runt om i landet för att bedöma IT-hot där de tittar på vilka intrångsförsök som sker, och sammanställer dessa. I juli-augusti 2006 hade prototypprogramvara precis tagits i drift, när FRA poppade upp på augustirapporten över största angripare i Sverige. Programvaran var fortfarande instabil, vinglig och trubbig, berättade Anders, och sedan dess har precisionen ökats avsevärt. Han betraktade det närmast som en bugg i betaprogramvara.

Post- och Telestyrelsen är tekniker, och good guys i stort sett rakt igenom. Jag hade kunnat ta SITIC på deras ord, men det finns fler indikationer.

För det andra, så var FRAs intrång statistiskt brus. Titta på den här incidentrapporten från juli 2006 som Steelneck skickade mig, som kommer från samma programvara och rapportgenerator som listade FRA en månad senare bland toppangriparna:

Sitics rapport juli 2006

Det är flera saker som är intressanta med den här rapporten. För det första, så kvantifierar den angreppen och listar toppangriparna helt enkelt efter “antal angrepp”. För det andra, så ser vi att även om toppangriparna från hela världen har en ansenlig mängd kvantifierade angrepp, så räcker det med ett enda uppmätt angrepp för att komma med på topplistan för Sverige. Fem-i-topplistan för Sverige har fyra poster listade, ett enda angrepp och du kommer in på position fem. Det är samtidigt värt att notera att SMHI finns bland dessa. För det tredje, så går det att notera vad som klassas som “angrepp” i den här listan — till exempel att man försöker hämta filen “robots.txt” från en webläsare, vilket är helt legitimt för enstaka gånger, eller att man pingar, vilket också är helt legitimt. Jag pingar ofta maskiner, särskilt mina egna, uppemot tusen gånger i en omgång.

För det tredje, så har jag arbetat med den här sortens intrångsdetektorer. Förmodligen inte den som SITIC använder, men jag har använt en som heter BlackIce (som inte underhålls längre). De är hypernervösa. Det räcker att jag tar manuell kontakt med min mailserver, alltså från konsollen i stället för från mitt mailprogram, så larmar den direkt. DING DING DING manuell kontakt med mailserver DING DING DING!! Sådant gör jag rätt ofta för att se om jag har rätt lösenord, eller om det är min mailprogramvara som är felinställd. Om man hämtar en websida och ångrar sig halvvägs larmar den. Om man pingar. Om man försöker ta kontakt med en stängd port. Om man gör någon av tusen andra saker som jag gör rutinmässigt genom en typisk arbetsdag så får jag en liten notering i angreppsloggen. Sådana här angreppsloggars värde ligger i att de kan kvantifiera angreppsmönstren och se om det kommer en ovanligt stor mängd angrepp av en viss sort från något speciellt håll. En ensam notering går så gott som alltid att strunta i, sådana är bara brus, det är de stora mönstren som är intressanta.

Det är därför som det inte skulle betyda någonting alls om FRA stod med på topplistan över angripare, för de hade bara behövt en notering i angreppsloggen för att komma med där vid den här tidpunkten. Jämför med topplistan från världen, där antalet noterade angrepp varierar mellan 150 och 2000 — och även det är relativt låga antal för att se mönster. Det var vad jag kunde se på en maskin när jag körde BlackIce.

Så det som SITIC berättade för mig, kombinerat med det jag kan se själv från angreppsrapporterna från den här tiden, kombinerat med min egen erfarenhet av intrångsdetektorer, gör att jag drar slutsatsen att FRAs dataintrång är ett blindspår.

Pingat på Intressant. Andra bloggar om , , ,

Rick Falkvinge

Rick is the founder of the first Pirate Party and a low-altitude motorcycle pilot. He works as Head of Privacy at the no-log VPN provider Private Internet Access; with his other 40 hours, he's developing an enterprise grade bitcoin wallet and HR system for activism.

Discussion

  1. Mind

    Bra rotat. Det ger ju dessutom inte oss någon bra cred att komma med ogrundade beskyllningar.

    Mind’s last blog post: SecuROM in Spore?

  2. steelneck

    Nope, jag tror inte att FRA är laglydiga, detta även om CS gamla nyhet rörande Sitic är ogrundad. Det räcker med det enkla faktum att de vill ha just det de frågar efter så vet man att man har att göra med en tämligen smutsig organisation. Argumentationen som kommit från deras håll, och vissa politiker stärker dessutom detta ganska ordentligt.

    Dessutom håller inte riktigt ditt resonemang rent logiskt i denna postning. En stunden så räcker det med någon enstaka oskyldig träff för att hamna på listan, men i nästa stund så lätt att skapa träffar att tusentals gör det. – Jamen då skulle det ju inte vara så lätt att hamna på listan, för tusentals andra skulle hamna före, vilket de inte gör.. Jag köper inte din logik och tror att du råkat ut för samma censur som numer Sitic censurerar sig med. Jag är inte heller så säker på Sitic som “good guys”, inte när den yttersta makten i landet uppenbarligen införa massavlyssning av hela befolkningen. Då har vi att göra med något som i runda slängar är så smutsigt det bara kan bli, där varenda människa inom systemet med minsta klätterambitioner måste tas med en hälsosam dos skepsis.

  3. Rikard

    Bortsätt från påstådda intrång i historien, varifrån kom idén att de skulle tolka FRA-förslaget som klartecken för aktiv signalspaning?

    Varifrån kom ens formuleringen aktiv signalspaning?

  4. Rick Falkvinge

    Steelneck: Jag håller med om att det finns mörksvart smuts över hela FRA, men om man ska gå ut och beskylla dem för något, så menar jag att vi behöver ha torrt på fötterna. Situationen är så allvarlig att vi inte kan gå ut och påstå något som går lätt att skjuta ner.

    Just därför skjuter jag in mig på platser där jag vet – eller åtminstone tror i dagsläget – att det går att belägga saker, i stället. Det involverar FRAs systematiska grundlagsbrott, som räcker mer än väl för att dra ner dem (och som får förgreningar ända upp på regeringsnivå).

  5. Rick Falkvinge

    Rikard: Väldigt bra poänger.

  6. Herr A

    Den där incidentrapporten som du visar, vaifrån kommer den?
    Från en av de där mätpunkterna som SITIC har i landet ?

  7. Jens

    Tanken om att FRA skulle tolka lagförslaget som klartecken för aktiv signalspaning kom inifrån underrättelsesfären.

    Det rörde sig inte om lösa antaganden eller rykten. Uppgifterna som nådde försvarsutskottet var mycket exakta.

    Det krävs en hel del för att FöU ska fatta ett enhälligt beslut om att kalla till sig en generaldirektör för en utfrågning.

  8. Jens

    Tror att detta är väldigt träffande (från en kommentar hos Pär Ström):

    När teknikutvecklingen återigen har sprungit förbi FRA, kommer de kräva att få göra dataintrång. Argumenten kommer vara precis desamma som för kabelinhämtningen:

    1) Alla i branschen gör detta redan
    2) Vi missar massor av trafik annars
    3) Vi behöver råmaterial att byta med andra länder
    4) Det är väl bättre att detta regleras än att vi ska göra något olagligt?

  9. steelneck

    Herr A.: Den kom av mitt snokande på Internet archive (Internet glömmer inte..) efter att min nyfikenhet väcktes av denna gamla artikel från 2006 hos CS. Tyvärr fanns inte de aktuella datumen arkiverade, och idag publiceras inte längre dessa listor, efter påtryckning från FRA enligt CS artikel. Ja bara en sån sak..

    Rick. Jag håller fullständigt med om att man bör ha torrt krut i bössan innan man ens försöker att skjuta skarpt. Ett stort problem är dock att vi talar om en organisation där hemligheter sas. ingår i kärnverksamheten. Det enda torra på fötterna jag tror att man kan ha i dessa sammanhang är rena vittnen med insikt som uttalar sig. Allt annat är antingen hemligstämplat (eller blir det) eller så finns det inget konkret bevarat. Inte ens egna honeypots skulle hjälpa utan trovärdiga vittnen som backar upp datan.

    Sedan är det någon klocka om fredsforskaren Ola Tunander och “Röda rosen” och “Vita korset” som ringer, där röda rosen i stora drag står för sossar och regeringskansliet och vita korset mer borgerligt med högvarter hos FRA. Jag hittar dock inget med substans på nätet. Hade jag varit du Rick, så hade jag försökt att ordna ett möte med herr Tunander. Jag tror att du kan ha tyngd nog för det idag.

  10. steelneck
  11. Rick Falkvinge

    Steelneck: Jag tror inte du själv vet hur rätt du har…

Comments are closed.

arrow