För några dagar sedan avslöjade Lage Rahm (mp) att han upptäckte något konstigt när han surfade krypterat från riksdagen. Det såg ut som om någon i mitten avlyssnade honom. Som om han var utsatt för en s.k. man-in-the-middle-attack — att någon står mitt emellan honom och den plats han vill surfa till, och lyssnar på allt som sägs.
Och precis så visade det sig vara, fick jag reda på nyss. Riksdagens IT-avdelning lurar alla ledamöter och polsekar som försöker surfa krypterat inifrån riksdagen — för IT-avdelningen avkrypterar deras trafik, söker igenom allt, krypterar om det och skickar det vidare. Utan att riksdagsledamöterna märker något. Formellt heter det att man “söker efter trojaner och virus”.
I tekniska termer proxar de SSL-förbindelser så att noderna innanför skalskyddet inte får E2E-säkerhet.
I klartext betyder det att IT-avdelningen söker igenom allt som riksdagsledamöterna gör på nätet, även när ledamöterna tror att de har en krypterad förbindelse. Lösenord till PayPal, lösenord till mail, innehållet i konfidentiell mail, journalistkontakter, allt söks igenom.
Det här är samhällsfarligt inkompetent beteende. Så här uppför sig storföretag som inte litar på sina anställda, där IT-avdelningen får i uppdrag att hålla de tekniskt okunniga användarna — och ordet “användarna” är vokaliserat med ett drag av avsmak — i hårt koppel.
Men då har IT-avdelningen helt missförstått sin roll totalt. De ska inte begränsa riksdagsledamöterna. Alls. Riksdagsledamöterna är deras uppdragsgivare. Deras chefer.
Allt söks igenom. Allt som ledamöterna TROR är krypterat filtreras som klartext. Vad som fastnar i virusfiltret? Hur det som söks igenom hanteras? Ja, det vet inte ens IT-avdelningen, för det är program som är utvecklade av främmande makt som söker igenom våra riksdagsledamöters avkrypterade trafik. Bara de som utvecklat programmen vet vad de egentligen gör. Det enda vi vet är att programmen ser allt som riksdagsledamöterna och deras assistenter skriver, som ledamöterna tror är skyddad information.
Tidigare blev det dessutom känt att riksdagens IT-avdelning hindrar ledamöterna från att komma in på moraliskt olämpliga webbsidor. PUCKON! ÄRKERIKSJÄVLAPUCKON! De ska för i helvete LAGSTIFTA, de måste se verkligheten utan att någon i främmande makt kan begränsa vilken information de får se och inte. Om de går in på en sida som är klassad av någon som “barnporr”, och får upp en spärrskylt, så kommer de att svettas, snabbt gå därifrån och aldrig återvända. Då fick de aldrig se vad sidan egentligen innehöll — statistik som visar att industrilobbyn ljuger inför den votering som strax ska ske. Så blir det när främmande makt kontrollerar vilka sidor de får tillgång och inte.
Piratpartiets sidor blockerades till och med så här inför valrörelsen 2006.
Exakt hur inkompetent får en IT-avdelning bli innan den sparkas ut på gatan?
Om jag hade suttit inne i riksdagen och loggat in på Piratpartiets medlems- och aktivistsystem, så hade mitt administrativa lösenord varit i händerna på främmande makt efteråt. Åtminstone hade jag tvingats utgå från det, från ett säkerhetsperspektiv.
I och med det här har IT-avdelningen i Riksdagen förbrukat allt förtroende hos mig. I oktober 2010 drar vi in en egen lina till riksdagens arbetslokaler. Jag har redan frågat Miljöpartiet om de vill vara med och dela på den.
[purpleline]
Pingat på Intressant. Andra bloggar om riksdagen, miljöpartiet, piratpartiet, krypto, ssl, privatliv, personlig integritet
Helt jävla otroligt… finner inte ord.
+1 på CC.
Jespers senaste bloggpost: Dagens citat
Detta låter som en fara för rikets säkerhet.
Man får vara halvt förstående till att riksdagens IT-avdelning ändå bara är där för att säkra sina jobb, inte för att skapa/tvinga skapa ytterligare en drös komminukationskanaler med omvärlden som på ett enkelt ändock säkert sätt låter våra folkvalda dialoga digitala vägen.
Lite gammalt om hur det ses på det där med IT-integration-verklighetsanpassning i nämnda rum:
http://www.blt.se/nyheter/tt_inrikes/riksdagen-har-stora-problem-med-massmejl(977021).gm
http://politikerbloggen.se/2008/06/30/9339/
Vi ska icke glömma att de trots allt jobbar under deras chefer, alltså ser de till att serva dem efter önskemål. Vilken dialfabet har tiden att lära sig vpna på egen hand?
Jag kan säga att mobila bredband ses oftare och oftare här på det gröna riksdagskansliet.
Skall bli roligt att se hur pass indignerade Riksdagsledamöterna blir av det här!!
VADÅ, kan någon läsa vår post?? Ve ooh fasa, det skall ju endast gälla svenska folket i övrigt, inte oss!
Jakop: Jag är inte förvånad — har IT-avdelningen sådana här knepigheter för sig, så kommer en olycka sällan ensam.
Ska vi dela på en vettig, ofiltrerad lina i stället? T.ex. från Bahnhof? Filtrerande internetoperatörer, som t.ex. Telia, går fetbort.
SAmhällsfarligt o inkompetent, visst.
Men samtidigt så känner jag som så att det kan de ha, ledamöterna. Efter det de ställt till med FRA-lagen!
Men läs Madde Sjöstedts artikel idag i AB.
Äntligen en aktiv liberal som är liberal!
Hur fungerar det rent tekniskt? Kan de fungera?
Om jag får en krypterad lina till min Nätbank – hur kan de då öppna den bitströmmen och titta på innehållet?
Det kan vara så att han också är kass på datorer. Kanske är det så att riksdagens datorer är standardinställda till att MS Explorer ska använda en https-proxy.
Men ja, även om det är fallet, så är det väldigt, väldigt illa. Men fler källor behövs innan man kan göra några konkreta slutsatser :|?
Kalle Vedins senaste bloggpost: FRA föreläser om hacking den 28e
Det kostar väl mycket att dra cat6-kabel runt i och ut från riksdagshuset, men jag antar att pengarna till det kan tas från partistödet som är tänkt för riksdagsarbetet (3,4+ MKR) och inte från det statliga partistödet?
Kalle: MP:s polsekar har kollat upp det med riksdagens IT-avdelning, det är inte bara baserat på en bloggpost. Däremot kan jag inte länka till uppgifter jag fått i mail, så jag länkade till bloggposten.
HR: Inne i riksdagen är den kostnaden inte ett problem.
Putte: De har en proxy som alla går genom, alltså på utgående trafik. Klienten krypterar trafiken till proxyn, som tar ner kryptonivån till klartext, scannar, krypterar om och skickar vidare till målhosten.
Läskigt…
Skulle inte förvåna mig om det finns en NSA bakdörr i det säkerhetsprogrammet.
Jag vill följa upp Puttes fråga (och svaret på den); hur kan proxyn dekryptera trafiken om klienten följer säkerhetsreglementet och kontrollerar målserverns certifikat?
Det räcker liksom inte att IT-avdelningen har fysisk kontroll över kablarna till omvärlden för att agera man-in-the-middle på en krypterad förbindelse. Antingen har klienterna stängt av certifikatkontrollen, eller så sitter IT-avdelningen och leker CA med förfalskade certifikat som de servar riksdagens nät med.
Jag skulle tippa att det förstnämnda gäller, och i så fall behöver man inte ens dra en egen lina, utan då räcker det med att säkra upp den egna klienten och låta bli att installera certifikat från riksdagens IT-avdelning. Vad gör proxyn med trafik som den av något skäl misslyckas att dekryptera; stoppas den helt i stället?
Jag har för mig att SVT:s IT-avdelning har avrått företagets journalister från att använda kryptering, just därför att de vill kunna virusscanna allt som går in eller ut.
Kanske föreställer sig politikerna att kryptering är som en hemligstämpel – det står “hemligt” på dokumentet, men om man ignorerar stämpeln kan man ändå läsa vad där står. Alltså skall man utan nyckel kunna kringgå vilken kryptering som helst, bara man har de rätta befogenheterna. Security through legal and mental obscurity.
Kan man inte hävda att proxyn kan användas för piratkopiering av upphovsrättsskyddat (och därför krypterat) material, och dra företaget som säljer eländet inför domstol?
Den Stora komunen jag jobbar för är på väg att införa vad jag tror är samma system. Det är även skrämande att all den information som samlas in om politikers surfvanor, krypterad trafik m.m hamnar hos underleverantörer eftersom man outsourcar hela verksamheten…
/C
Jag är helt säker på att förfarandet är straffbart, frågan är vem som skall åtalas. Det innebär ju samma sak som att främmande makt telefonavlyssnar svenska riksdagsledamöter. Den som tillåtit detta att ske, skall i fängelse, dessutom på rätt lång tid tror jag. Det är ett mycket grovt brott mot rikets säkerhet.
La upp en tråd om detta i inrikes forumet på helgon.net.
Fick svar av mupp en användare som är extremt kompetent inom dator och it.
http://www.helgon.net/Forum2/post_message.asp?mid=9572496&fid=103&tid=710626&action=reply&VD=12275
“Artikeln har dock inget förtroende. Man KAN nämligen inte sätta upp en ”https proxy” som ”krypterar upp trafiken, undersöker, och packar ihop den igen” utan att modifiera klientdatorerna och även sidorna som besöks.”
Det var förvisso innan jag läste på “lagen.nu”. Jag har svårt att se hur man kan kalla det en MiTM när man uppenbarligen har certifikatet på sin maskin.
Lägg då till det här:
länk (svt)
mupp, of_darkness: Om det är Windowsklienter så kan en admin tvinga på dem klientcertifikatet för proxyn. Jag har remote-installerat sådana saker på Windowsnätverk utan att användaren över huvud taget haft något att säga till om, när klienten väl ligger i domänen.
Personligen är det där naturligtvis ett dubbelfel. Dels skulle jag aldrig acceptera att någon annan (utanför organisationen, åtminstone) hade adminrättigheter på min maskin, dels skulle jag inte köra Windows.
[…] teknisk jargong så är det intressant läsning; Rick Falkvinge konstaterar att det råder allvarliga säkerhetsbrister med den digitala kommunikationen i […]
Rick: Skulle du verkligen inte köra Windows? Din CV är ju full av windowsteknik, piratpartiets utifrån synliga system kör asp, alla frågor som uppkommit på bloggen och piratpartiets forum gäller Windows. Jag är skeptisk. Kan vi tolka det där som ett löfte?
@of_darkness:
Det är inget problem att göra så här, IBM har till och med patent på metoden… 🙂
citat från patentet:
“The proxy system according to the present invention, consists of forwarding the content of the HTTPS requests in an unusual way, by automatically generating a new certificate for the requested destination server. This new certificate is faked. It is signed by a corporate internal Certificate Authority (CA). The new certificate is included in the response sent by the proxy to the client during the SSL session establishment (according to the SSL protocol, the destination server, which in this case will be the proxy server, identifies itself using a certificate). The request is then transparently forwarded to the destination server as a normal or standard HTTP Proxy server does. To prevent clients from detecting this ‘man-in-the middle attack’, the internal corporate Certificate Authority (CA) used to sign the ‘fake’ certificates, must be included in the list of Certificates Authorities recognized by the clients in the corporate network.”
Antagligen är det denna metod som används, så vad som händer är att riksdagens proxy automatiskt utfärdar ett eget certifikat från sin egen CA för websiten man besöker
Det enda som behöver göras är alltså att installera riksdagens utfärdar-certifikat i listan på godkända utfärdare i webbläsaren, och ifall riksdagens datorer är uppsatta som datorer i företag så kan itavdelningen automatisera detta med inloggningsscript eller nåt liknande.
Så visst, man måste manipulera klientdatorerna, men om man redan har tillgång till infrastrukturen datorerna lever i så är det faktiskt inget problem.
JörgenL: Så… infernaliskt. Jag har uppenbarligen ett alldeles för oskyldigt sinne för att komma på såna lösningar.
Det är ju i princip bra att Riksdagen försöker ha tajt säkerhet – där kan man prata om ett IP-block som har “Big Juicy Target” stämplat på sig – men det här är nog att gå lite långt.
Nixons senaste bloggpost: Dagens (hittills) spetsigaste kommentar
Tja, riksdagsledamöterna är ju inte dummare än oss genomsnittsmedborgare.
Vill man ha som riksdagsledamot ha sin kommunikation någorlunda ifred så har man en privat laptop med trådlöst bredband på jobbet, med VPN-länk till lämplig….o.s.v
Dennis Nilssons senaste bloggpost: EN DUBAI NO HAY CRISIS
[…] hos Falkvinge att Riksdagens IT-avdelning kör proxy för web och även packar upp ssl-trafik (https). Förstår […]
[…] säkert på öppna trådlösa nät. Den proxy som Riksdagen använder är rentav illvillig – den dekrypterar alla HTTPS-sessioner, scannar igenom och skapar en egen anslutning till […]
“mupp, of_darkness: Om det är Windowsklienter så kan en admin tvinga på dem klientcertifikatet för proxyn. Jag har remote-installerat sådana saker på Windowsnätverk utan att användaren över huvud taget haft något att säga till om, när klienten väl ligger i domänen.”
Det är ganska irrelevant om de kör Windows eller ej. Att installera egna “trusted CAs” (betrodda certifikatutfärdare) är ju no problem oavsett operativsystem. Det är ju det som är hela grejen med CA-databaser.
Man ska inte ha problem med att själv lägga till en betrodd kommunikationspart. Förutsatt att man har admin-rättigheter givetvis.
Mikael “MMN-o” Nordfeldths senaste bloggpost: Varför man aldrig ska lita på någon annan
Undrar om riksdagsmännen har admin-rättigheter på sin egen dator! Skannas deras datorer efter porrbilder? Kroppsvisiteras de så de inte snor med sig någon penna från “kneget”?
Eller om dom behandlas som “vanliga anställda” – alltså som de underhuggare – knapptryckare – som många verkar vara.
IT-avdelningen på “firman” bestämmer vart de får surfa, när, varför osv…
Undrar vem som är riksdagens “IT-chef”? Är det Bildt? Tolgfors?, Sahlin?
Det här är verkligen alldeles otroligt.
Jag undrar varför sånna här nyheter inte hamnar på Aftonblaskans framsida istället för senaste nytt om Big Brother-kändisar eller “Svettas du när du anstränger dig, då kan du ha en OKÄND SJUKDOM! Hundratusentals drabbade!”
Jag hoppas att en nyhet som denna sprider sig till de som berörs av den och att de tar ställning till vad det är som faktiskt pågår.
The Lonely Savages senaste bloggpost: Check your feeds!
[…] Rick Falkvinge (PP). Centerpartiets och tillika bloggare Stefan Tornberg tror riksdagsledamöternas epost är säkrad […]
[…] har svarat på mitt tidigare inlägg om att riksdagsledamöternas e-post avlyssnas med ett “det går inte”. Extra spännande var kommentaren “Jag frågade på ett […]
[…] Historien började på riksdagsledamotens Lage Rahms blogg, Lagen säger: Storebror ser mig. Riksdagen avkrypterar kommunikationen för anställda och folkvalda riksdagsledamöter, utan att informera och var och varför. Därefter tog bland annat piratpartiets RickFalkvinge upp tråden, och kallar på sin blogg riksdagens IT-avdelning inkompetent. […]
Vad som skulle vara intressant att fråga sig är – vem bestämmer egentligen över riksdagens IT-avdelning?
Calle Rehbinders senaste bloggpost: Makthavarnas lögnaktiga dubbelmoral
Som vanligt går allt att genomföra med lite hot om säkerhetsproblem!
“Virus-scan” kallar vi det när det gäller datorer.
“Terroristhot” kallar vi det när det gäller flygplan.
Slutade vi bara vara så rädda för allt som vi inte förstår, då skulle vi inte behöva all denna “säkerhet”.
[…] Det har varit en del rabalder de senaste dagarna om Rick Falkvinges postning om att Riksdagens IT-avdelning tittar på ledamöternas trafik. […]
[quote]La upp en tråd om detta i inrikes forumet på helgon.net.
Fick svar av mupp en användare som är extremt kompetent inom dator och it.
http://www.helgon.net/Forum2/post_message.asp?mid=9572496&fid=103&tid=710626&action=reply&VD=12275
“Artikeln har dock inget förtroende. Man KAN nämligen inte sätta upp en ”https proxy” som ”krypterar upp trafiken, undersöker, och packar ihop den igen” utan att modifiera klientdatorerna och även sidorna som besöks.”
— of_darkness – Nov 21, 2008 — 20:23[/quote]
Jodå. Det är antagligen BlueCoat ProxySG som riksdagen använder (identifieras som ProxySG i originalinlägget) och den har just möjligheten att inspektera SSL-krypterad trafik..
http://www.bluecoat.com/products/sg
Andreass senaste bloggpost: Funderingar på reklam
Är inte ledamöternas epost och surfning offentlighandling?
Man blir fan mörkrädd.
[…] was reported by some Swedish bloggers, and I found out thanks to kryptoblog, it seems the members of the Swedish parliament all access […]
[…] Du som har fått detta mail kan känna dig helt trygg. Det är ett helautomatiserat utskick där ingen människa någonsin, eller sällan, eller då och då, läser och bryr sig om ditt privatliv. FRA är en statlig myndighet som fångar in och sparar omfattande mängder trafikdata om vem som kontaktar vem, när, var och hur via fasta telefoner, mobiler, sms, mejl, datorer med IP-nummer m.m. Till skillnad från vad gemene man tror påbörjas inte övervakningen 1 januari 2009 som officiellt annonserat utan den pågår redan för fullt. […]
[…] och levande nätverk av intelligenta noder. Det går inte att kontrollera mer än att man blundar, skärmar av och […]
🙂
[…] på att det hänt honom något…. Posten som IT Chef har också varit hett omdebatterad, och oklara ansvarsförhållanden inom Regeringen Reinfeldt samt dåligt ledarskap angavs redan 2009 av… som ett skäl till varför hela Riksdagens IT-avdelning av honom förklarats vara inkompetent, pga […]