Flera har svarat på mitt tidigare inlägg om att riksdagsledamöternas e-post avlyssnas med ett “det går inte”. Extra spännande var kommentaren “Jag frågade på ett forum på Helgon, där säger folk att det inte går”. Det är spännande, när jag till och med sade namnet på den attackmetod som används.
Därför tänkte jag ta en bloggpost och förklara hur en man-in-the-middle attack fungerar, och hur riksdagsledamöterna är utsatta för den.
Samtidigt måste jag hålla med Hax och ställa mig oerhört frågande till gammelmedias nyhetsvärderingar. Hur kan det vara mer intressant att fotografer inte fick vara med på en innebandyträning än att våra riksdagsledamöters krypterade kommunikation söks igenom av främmande makt? Inte nog med att avslöjandena alltid kommer i bloggosfären, men varför står de bara i bloggosfären över huvud taget?
Så fungerar en Man-In-The-Middle-attack
När två parter är utsatta för ett man-in-the-middle-angrepp, så tror båda parter att de pratar direkt med varandra, men i själva verket pratar de båda två med en tredje part i mitten. Det är enklast att förklara om man tar ett ett exempel ur den fysiska världen.
I Storbritannien bestämde sig en rik familj för att annonsera efter en barnflicka. En skurk såg annonsen, och satte in en likadan annons i en annan tidning, men med sina egna kontaktuppgifter. När kandiderande barnflickor hörde av sig till skurken, så valde hon ut den bästa kandidaten och hörde av sig till familjen och låtsades vara barnflickekandidaten som sökte jobb som barnflicka hos familjen.
Skurken försåg familjen med utmärkta referenser – som naturligtvis alla syftade på den ursprungliga barnflickekandidaten, inte på skurken – och familjen, som trodde att de hade pratat direkt med barnflickekandidaten, anställde skurken som barnflicka, i barnflickans namn. Varpå skurken länsade hemmet och aldrig syntes igen.
En man-in-the-middle attack fungerar likadant på Internet. Hela vägen till att huset länsas.
När riksdagsledamöterna tar kontakt med en krypterad site (t.ex. ett internt medlemssystem, krypterad mail eller en bank) så börjar datorerna med att byta kryptonycklar med varandra för att kryptera resten av kommunikationen. “Datorerna” här syftar på riksdagsledamotens eller assistentens dator i ena änden (“klienten”), och webbservern i andra änden (“servern”). De två tar kontakt med varandra och skickar över nycklar på ett sätt så att framtida kommunikation (bankärenden, mail, känsliga personuppgifter) sker krypterat.
Men riksdagens IT-avdelning har placerat en man-in-the-middle. (Teknisk detalj: det behöver inte vara i en proxy, troligare är det i en router med en application-level gateway, så att inga inställningar behöver ändras på klienten.) När klienten tror att den tar kontakt med servern, så tas frågan om hand av en maskin i mitten (MiM). MiM skapar en egen, ny fråga till servern med sina egna kontaktuppgifter, och upprättar en krypterad förbindelse till servern i klientens namn. Därefter besvarar MiM (inte servern!) klientens begäran om kryptonycklar från servern, och utger sig då för att vara servern. Det här går att göra så att man inte märker något om man inte granskar kryptonycklarna (“certifikaten”) i ingående teknisk detalj.
Effekten är att det inte är en obruten krypterad förbindelse mellan klienten och servern, utan att det är två krypterade förbindelser: en från klienten till MiM, där trafiken från klienten kommer ut i klartext, och MiM krypterar sedan om informationen i klientens namn och skickar vidare till servern. Samma sak med information som går från servern till klienten: MiM tar emot, avkrypterar, läser igenom, krypterar om i serverns namn och skickar till klienten, som tror att kryptokejdan är obruten.
Både klienten och servern tror alltså att de har en krypterad direktförbindelse med varandra, men i själva verket har de varsin krypterad förbindelse till MiM, som lyssnar på allt som sägs i klartext innan det skickas vidare.
Då återstår frågan exakt vad MiM gör med informationen. Riksdagens IT-avdelning har sagt att den söks igenom efter virus och trojaner. Det finns ingen svensk tillverkare av sådan scanningprogramvara, och inte heller någon sådan programvara som är fri och öppen så att man kan granska exakt vad den gör. All konfidentiell kommunikation från våra riksdagsledamöter och deras assistenter skickas alltså in i okrypterad klartext i en svart låda, som vi egentligen inte vet mer om än att den påstås söka efter oegentligheter och är tillverkad av främmande makt.
Med den förklaringen, så kanske vi kan få mer av en reaktion från gammelmedia?
[purpleline]
Pingat på Intressant. Andra bloggar om gammelmedia, hax, riksdagen, man-in-the-middle, mitm, it-säkerhet, kryptering, ssl, privatliv, personuppgifter
Jag får säga att jag skrattade ganska gott åt påståendet “det går inte”.
Klart som f-n att det går, frågan är varför man väljer att göra det? Frågan är också hur det kan komma sig att man inte själv förstår hur farligt det här är.
Det är en fara för demokratin eftersom de kommunicerande parterna tror sig prata privat, och därför avlyssnas utan sin egen vetskap. För det andra är det en säkerhetskatastrof som bara väntar på att bita riksdagen i röven.
Marcus Fridholms senaste bloggpost: När det är grannens barn som drabbas…
Mycket bra förklaring av MIM för lekmän, Rick!
Tack!
// Civilingenjör Datateknik
Men… Är inte certifikaten till för att förhindra MITM via HTTPS? Jag trodde faktiskt att det var klart svårare än det låter här. :/
Klienten bör väl få en varning om felaktigt server-cert?
serenity: Klienten får ett certifikat i serverns namn som är korrekt signerat. Den enda detaljen som kan avslöja det hela är att certifikatsignaturen kommer från en in-house-CA på riksdagens IT-avdelning i stället för från en känd CA.
Om man inte känner till vilka Certificate Authorities (CA) som existerar, och att det här är en CA som inte är allmänt etablerad, så märker man inget.
Det är trivialt att installera trust på klienterna för en in-house-CA utan att datorernas ägare känner till något, om de ingår i ett större nätverk.
Skulle vilja addera lite info på HUR man upptäcker denna sortens attacker. (OBS Firefoxcentric, vissa delar är annorlunda för IE)
steg 1) kopla upp dig mot ngn site som använder https (gmail är ett bra exempel.)
steg 2) dubbelklicka på det lilla hänglåset i nedre högra hörnet.
steg 3) i fönstret som öpnas välj “view certificate” och kolla att webadressen mm stämmer med den plats som du vill komunicera till (I detta fallet google)
Detta räcker för det flesta attacker men om du vill vara säkrare.
steg 5) gå till en annan site som använder https, och gör samma sak. det ska då vara ett annat certificat. om det är samma cert så är du “illa ute”
/C
christoffers senaste bloggpost: Lite utbildning till Johan Pehrson
Christoffer: Det räcker inte med steg 3 i det här fallet, eftersom den interna CAn skapar ett nytt certifikat i serverns namn och signerar det. Webadressen kommer att stämma. Du måste titta på certifikatets signatur och vara tillräckligt van vid sådana för att känna igen signaturen som oäkta.
Ett sätt kan vara att gå till många olika https-sites och titta på signaturen. Om den är identisk varje gång, och dessutom aldrig kommer från någon av de stora (GeoTrust, VeriSign, Thawte…), så är det fara å färde.
Eller så kan man gå direkt till Piratpariets adminsystem på https://pirateweb.net och — utan att logga in — titta på kryptocertifikatet. Det ska vara signerat av Equifax Secure. Om det är signerat av något annat namn, så har man med nästan hundraprocentig säkerhet med en MitM att göra.
Nu så var det inte en frågetråd utan en diskussions tråd i inrikes ang detta.
Men har uppdaterat tråden med en länk till detta inlägg och citerat din slutkommentar.
————————————
Jag bloggar inte jag skriver på forum. Kom o debatera på http://www.helgon.net i forumen där.
————————————–
Nu ska vi inte glömma vad alternativet är; det är att skicka fientlig trafik ogranskad och ofiltrerad till riksdagsmännens datorer i hopp om att de ska stå mot angreppen.
För webben dryper av fientligt innehåll, och det är inte bara ful-siter jag då talar om. Härommånaden var det CUF:s website som råkat ut för en SQL-injection-attack som stoppade in fientlig kod på alla websidor. För inte så länge sedan förekom det fientlig kod i reklamen i Gmails högerspalt. Och vi ska inte tala om Myspace.
Det är det säkra hotet man måste väga mot det potentiella hotet från bakdörrar i filterutrustningen.
Nixons senaste bloggpost: Sidan 56, mening 5
En sak till – får man som riksdagsledamot köra vilket operativsystem som helst på sin dator, eller är man hänvisad till Windows i kioskmode?
[…] Falkvinge (pp) uppmärksammar och förklarar hur en man-in-the-middle attack i praktiken fungerar. Läs mer här. Så fungerar en Man-In-The-Middle-attack När två parter är utsatta för ett […]
Tycker allt du kan flytta upp informationen om CA till en teknisk fotnot.
Utan en egen CA och trust hos klienterna finns det ingen chans (så vitt jag känner till) att utföra en MiM mot SSL-trafik (där klienten verkligen verifierar certifikaten, vilket är fallet med alla större webbläsare).
Egen CA och trust för den CAn hos klienterna är som sagt inget problem i en sluten miljö. För Windows-klienter går det till och med att pusha egna root-certifikat till klienterna med group policies.
Först: Det var en bra och pedagogisk förklaring av MiM-attacker.
Sedan: Det är inte en snöbolls chans i helvetet att någon på senil-media 1) Förstår konceptet MiM-attacker eller 2) Förstår konsekvenserna av att våra riksdagsmän är avlyssnade på det här sättet.
“Det är ju bara sådan där datagrej” – eller något i den stilen kommer alla journalister att vifta bort det hela med. Likaså större delen av allmänheten.
Inte undra på att det har gått så lätt för reinfeldt att få alla riksdagsmän att rösta som han vill när han har tillgång till detaljerad trafiklogg!
Har med förskräckelse läst dina postningar om sannolikt informationsläckage från och till våra riksdagsledamöter och deras medhjälpare och om mediatystnaden hur riksdagens datasystem tydligen är uppbyggt.
Det du beskriver som M-I-M är ju inget annat än vad som i FRA-debatten beskrevs som “samverkanspunkt.” Och då kan det väl knappast vara av ondo. Inte sant, ärade ledamöter av Sveriges Riksdag?
Rätt kul igentligen. Riksdagen skulle ju kunna ha sitt eget mini-FRA. Ett par välplacerade läckor, och vi skulle få en heads up i sådana frågor som ifall Bodström verkligen beordrade tillslaget mot TPB.
Personligen brukar jag tunnla genom ssh till en maskin som ägs av mig. Att sätta upp det på en windows burk med firefox tar ett par minuter, enda man behöver är putty och firefox med tillägget foxyproxy.
Om man känner till signaturen till sin egen SSH server borde det svårligen gå att köra en MIM på det sättet iom att MIMen inte kan generera en nyckel som ger rätt cert.
Faktum är att det finns ett open-source (GPL) program för anti-virus-scanning. Det heter ClamAV.
Dock så känns sannolikheten att riksdagens MiM använder ClamAV rätt låg.
http://www.clamav.net/
Nixon: Lösningen är inte att man ska ha en storebror i mitten som måste godkänna allt man skickar emellan sig. Lösningen är att ha en ordentlig webbläsare, e-postklient, brandvägg, och antivirus. Själv har jag inte fått några virus sedan jag bytte ut Internet Explorer mot Mozilla Firefox för ett par år sedan, och var noga med att scanna igenom alla program med mitt antivirus innan jag installerade dom. Om man dessutom har ett icke-mainstream operativsystem, t.ex. någon Linuxdistribution, så är oddsen att man får ett virus praktiskt taget noll.
Det slog mig precis att det här kan göra alla på riksdagen sårbara för ÄKTA MiM-attacker på SSL-anslutningar.
(Följande utgår från att det finns något som proxyar SSL-anslutningar och att tekniken använder en egen CA och eget root-certifikat, jag använder ordet SSL-proxy oavsett hur det är implementerat för det är vad det innebär i praktiken).
Då SSL-proxyn på riksdagen (med eget root CA) sätter upp anslutningen mot slutklienten (användare inne på riksdagen) så kommer alla SSL-anslutningar accepteras av klienten (webläsaren) då certifikatet som presenteras från SSL-proxyn antagligen är ett wildcard-certifikat och då matchar alla domännamn.
Anledningen till att jag antar att det är ett wildcard-certifikat är att SSL-anslutningen måste upprättas av klienten till SSL-proxyn innan HTTP-headers skickas, därför kan inte SSL-proxyn veta vilket domännamn som avses och därför inte skapa ett specifikt certifikat “on-the-fly” (TLS ändrar det här, men är inte speciellt utbrett ännu).
En SSL-anslutning finns nu mellan klienten och SSL-proxyn, SSL-proxyn gör nu den äkta anslutningen till den riktiga servern.
Om den riktiga servern presenterar ett korrekt certifikat är allt frid och fröjd. Det intressanta är vad som händer ifall servern presenterar ett självsignerat certifikat eller ett ogiltigt.
En korrekt SSL-anslutning finns redan till klienten så det finns inget sätt att propagera fel uppåt förutom att antingen terminera anslutningen eller presentera en egen-genererat felmeddelande.
SSL-proxyn kan också välja att ignorera eventuella fel på certifikatet och etablera en SSL-anslutning ändå.
Med tanke på hur många som använder självsignerade certifikat eller certifikat från t.ex. cacert.org så är det inte helt självklart hur det ska hanteras.
OM SSL-proxyn väljer att ignorera ogiltiga certifikat så blir alla klienter bakom proxyn automatiskt sårbara för äkta MiM-attacker.
Har man identifierat en site (bank/paypal/whatever) som klienterna (ledamöterna) använder sig av räcker det med att ta över en router på vägen (tillgång till hackade BGP-routrar går att köpa) eller någon form av DNS-poison attack. Presentera att självsignerat cert för den anslutande proxyn och sedan göra samma sak som den ursprungliga SSL-proxyn (dvs. fortsätta med den riktiga anslutningen).
Det här är bara en teori (men fullt möjlig i praktiken) och vilar på ett antal antaganden om hur SSL-proxyn fungerar som kanske inte är korrekta.
Borde det inte gå att göra en sida dit man man kan gå och testa certifikat? Typ som när du tipsade om pirateweb-sidan?
Typ https://pirateweb.net/mimtest/ där det står hur man kollar certifikatet i olika browsrar och vad det borde stå på dem…
Johan Ronströms senaste bloggpost: Meme
Patrik: Det är rätt irrelevant vad du som erfaren användare kan göra; här pratar vi om att säkra flera hundra datorer med okunniga användare, och dessa datorer råkar dessutom vara ett drömmål för varje fjunig cracker.
Nixons senaste bloggpost: Sidan 56, mening 5
Då skulle man kunna anta att detta är en variant mediaindustrin skulle TEORETISKT använda sig av för att kolla på tex TPB som använder sig av SSL (https://thepiratebay.org) och sedan utifrån det lyssna av användarna och därmed kunna kartlägga användarna även via sajten och även via µtorrent (skärmdumpar).
Känns ju dock som att TPB killarna har koll på sin utrustning visserligen, men i alla fall, Ponten och Hollywood verkar ju inte bry sig om hur dom får tag i informationen dom verkar ju väldigt gärna vilja bryta mot lagar och regler bara för att uppnå sit klimax att få in så mycket pengar som möjligt.
//”dömd” Databrottsling
[…] Ta en titt på följande bild från Privacy Internationals undersökning från 2007. Just nu är Sverige rött, vilket betyder “Systemic failures to uphold safeguards”. Under 2008 kommer med största sannolikhet FRA-lagen och IPRED att rullas ut, och frågan är inte då om vi riskerar att bli svarta, precis som USA, Ryssland, Kina, Thailand och Storbritannien. I dessa länder sitter folk i fängelse! I dessa länder Sverige avlyssnas redan parlamenten. […]
Jag ler lite åt “Flera har svarat på mitt tidigare inlägg om att riksdagsledamöternas e-post avlyssnas med ett “det går inte”. Extra spännande var kommentaren “Jag frågade på ett forum på Helgon, där säger folk att det inte går”. Det är spännande, när jag till och med sade namnet på den attackmetod som används.”
Eftersom jag ligger bakom sagda “det går inte”, så vill jag påpeka att vad jag sa var (parafraserat) “Det går inte att göra det i lönndom, klienten måste acceptera det certifikat som sagda gateway använder”.
Jag vill fortfarande se någon göra en MitM mot SSL utan att manipulera certifikaten.
[…] Falkvinge förklarar hur riksdagsledamöternas mailtrafik avlyssnas. Det är tyst om detta medialt, men de behöver nog några dagar på sig, inte minst är det svårt […]
Nixon: Grejen är att de som säkrar datorerna inte ska ha tillgång till informationen på dem. Vi pratar inte om ett företags IT-avdelning. Vi pratar om att en annan organisation går in och otillbörligen tvingar sig tillträde till konfidentiell känslig information hos våra lagstiftande partier.
“Dataintrång” kallas det normalt och är straffbart med upp till två år i fängelse.
rick det jag ville beskriva var hur man kan kolla efter en vanlig MiM attack.
I detta fallet där MiM även är admin på din burk så fins ju i princip inget sätt att skydda sig.
Om det inte är ssl fake så kan det vara moddad browser, gömda plugins, keylogger, spionprogram osv osv.
Kort sagt, om ngn annan än du har admin så är det inte din dator.
/C
christoffers senaste bloggpost: Lite utbildning till Johan Pehrson
Vad man som absolut minimum måste kräva är att varje riksdagsman får en mycket klar insikt i vad som pågår.
Det handlar inte bara om “konfidentiell känslig information” som Rick riktigt påpekar utan dessutom om potentiell KONSTITUTIONELL känslig information.
Vårt statsskick kan ytterst hänga på det.
Håller man inte med om detta så står vägen öppen för att skydda kungens, statsministerns, talmannens email-korrespondens och kanske IP-telefoni på samma sätt…
Intressant, skrämmande, jätteviktigt. Vi vet inget om vilka bakdörrar det finns i den mjukvara utvecklad av främmande makt som gör detta möjligt. Vi vet inget om det finns mullvadar och främmande länders agenter som är anställda på IT-avdelningen. Eller om regeringen använder detta för att spionera på opålitliga riksdagsledamöter.
Frågan är nu om även REGERINGSKANSLIET är avlyssnat på samma sätt?
Även om det så inte skulle vara fallet är detta ett ALLVARLIGT HOT MOT RIKETS SÄKERHET.
Detta är en av de VÄRSTA SVENSKA AVLYYNINGSSKANDALERNA NÅGONSIN.
Detta borde anmälas till Säpo omedelbart. Om det finns mullvadar på Riksdagens IT-avdelning har de all tid i världen att dölja sina spår.
@Rick:
Skriv någonting om detta i ett mail till alla riksdagsledamöter.
Chansen är väl stor att många av dem inte läser bloggar!
Rick: Partier? Annan organisation? Riksdagens IT-avdelning måste naturligtvis värna om säkerheten i Riksdagens IT-system, och i det ingår ju riksdagsmännens tjänstedatorer.
Det är kanske lite oväntat att de går så här långt, men även om jag kanske inte skulle göra samma avvägning själv har jag en viss förståelse för att de gör det. (Så länge vi talar om virusscanning; innehållsfiltrering är en annan sak.)
IT-säkerhetsfolket på svenska myndigheter har ofta väldigt långtgående befogenheter att granska och logga myndighetens Internet-trafik. Många universitet för till exempel utförliga flow-loggar över all sin trafik, vilket studenterna kanske inte är så medvetna om. (De brukar vara måttligt duktiga på att verkligen läsa kontovillkoren de skriver på…) Riksdagens datorsystem är ju känsligare än de flesta myndigheters, så det är knappast överraskande att de också har drakoniskare säkerhetssystem.
Och uppriktigt sagt; är det inte lite fånigt att oroa sig över bakdörrar i just en utländsk virusscanner, när det knappast finns många rader svensk kod överhuvudtaget i de operativsystem, applikationer, firmware, router-mjukvara och annat som hanterar riksdagsmännens kommunikation och data?
Nixons senaste bloggpost: Sidan 56, mening 5
Jag tippar att riksdagen använder Webmarshal för att scanna trafiken. Webmarshal använder MIM för att leta efter virus mm.
Kålans senaste bloggpost: Riksdagen vårt största hot mot demokratin
MUF säger ja till fildelning för privat bruk. Det står bland annat i SvD. Läs, kommentera och fyll i enkäten.
Påminner inte det här om ett annat aktuellt system?
“skickas alltså in i okrypterad klartext i en svart låda, som vi egentligen inte vet mer om än att den påstås söka efter oegentligheter och är tillverkad av främmande makt.”
Det skulle vara interessant att få reda på om det är riksdagens IT avdelning som självsvådligt placerar ut dom svarta lådorna , eller är det den myndighet som har ansvaret för landets datasäkerhet (KBM) som ligger bakom utan att informera berörda riksdagsledamöter?
Sjöholms senaste bloggpost: Geopolitik of the weak -The 51th state
Nixon och jag arbetar i samma bransch (universitet), men jag ansluter mig nog mera till Ricks uppfattning i den här frågan. Dels skiljer sig riksdagen markant från varje annan arbetsplats genom att dess ledamöter inte är anställda av riksdagsförvaltningen, dels anser jag att inte ens scanning av anställdas e-post och övrig kommunikation är en helt okontroversiell säkerhetsåtgärd på någon arbetsplats (utom möjligen inom försvarsmakten, då).
Viruskontroll, spamfiltrering och liknande som en IT-avdelning eller en ISP utför åt användarna är av godo när den sker med användarnas medgivande. Det räcker inte att användarna är medvetna om att den sker; de skall också ha möjlighet att tacka nej till den, för annars bygger vi successivt upp IT-miljöer där sådan scanning är obligatorisk.
Som flera har påpekat så borde inte den här scanningen av krypterade förbindelser vara möjlig att göra om alla säkerhetskontroller utfördes korrekt i varje ända av nätet. Problemet är att de nödvändiga säkerhetskontrollerna inte utförs idag; man nöjer sig ofta med halvmesyrer som “titta på domänadressen och se om den ser riktig ut”. Det räcker kanske i en “snäll” miljö, där endast ett fåtal individer i främmande länder försöker lura och bedra andra med falska webbsidor och certifikat. Det räcker inte när man riskerar att bli bedragen av sin egen IT-avdelning, och det är i praktiken vad som händer här.
Om en grupp människor som förväntas samarbeta inbördes sätter i system att ljuga för varandra, då bryter samarbetet förr eller senare ihop, hur “gott” syftet med lögnerna än är. En bidragande orsak till att Sovjetunionen föll samman sägs ha varit att merparten av alla produktionsansvariga regelmässigt fuskade med statistiken, så att de såg ut att ha uppfyllt produktionsmålen. De slutade producera traktorer och började i stället producera lögner, varpå de fick både medalj och mera pengar så att de kunder producera ännu fler lögner.
Riksdagens IT-avdelning ljuger för ledamöternas datorer, och därmed indirekt också för ledamöterna själva. Datorn säger att förbindelsen med omvärlden är krypterad och därmed “säker”, men detta är en lögn fabricerad av IT-avdelningen med det goda syftet att utföra en annan säkerhetsåtgärd än den som ledamotens dator talar om.
Det är som att dyrka upp låset till ledamotens tjänstebostad (som ledamoten tror sig vara ensam om att ha nyckel till) för att kontrollera att ingen obehörig har varit där och stökat till…
Syftet kvittar. Det är själva metoden som är förkastlig, eftersom den baseras på ett tekniskt bedrägeri. En konsekvens av att använda denna metod är att det blir omöjligt för ledamoten att någon gång i framtiden aktivera den egentliga säkerhetskontrollen i klientdatorn, för med den blir hela Internet plötsligt oåtkomligt.
På det viset cementerar man missuppfattningar om datasäkerhet, liksom man cementerar bristfällig datasäkerhet. Det är som när antivirusprogrammen var nya, och kanske förhindrade mer än de borde. En och annan programleverantör såg sig nödgad att meddela “du måste stänga av viruskontrollen innan du installerar det här programmet”. En krönikör på tidskriften Datateknik kommenterade: Det är ungefär som om grönsakshandlaren skulle säga “du får inte tvätta de här tomaterna innan du äter dem”.
Måste riksdagens IT-avdelning därför tillåta datavirus och allsköns oknytt att härja fritt på ledamöternas datorer samt på de gemensamma servrarna? Givetvis inte. Det är en medborgerlig rättighet att kandidera till riksdagen, men även om man blir vald så har man ingen självklar rätt att ansluta sin privata dator till riksdagens interna nät utan vare sig viruskontroll eller portfiltrering. Det är en ordningsfråga, precis som det inte är tillåtet för någon centerledamot att gå direkt från ladugårdsbacken till riksdagens plenisal med kogödsel på stövlarna.
Det senare problemet får dock lösas på annat sätt än att riksdagens säkerhetsavdelning söver ned alla ledamöter och byter skor på dem i smyg, utan att de märker något.
Spännande debatt. Men finns det verkligen konfidentiell korrespondens från riksdagen? Omfattas inte allt detta innehåll (dvs mail till och från e-postadresser [email protected]) av offentlighetsprincipen och är alltså fri att avläsas av varje medborgare som så efterfrågar? Nå, jag kan ha fel, men det skulle vara intressant med ett klargörande.
Thomas: Nej, det är bara korrespondens till och från myndigheter som är officiell. Brev och mail till personer i riksdagen är personliga.
Thomas N, rätten att ta del av myndigheters korrespondens gäller endast sådan korrespondens som utgör allmän handling, alltså i princip ställd till (eller avsänd från) myndigheten som sådan, inte till (eller från) en fysisk person inom myndigheten.
Riksdagen är egentligen inte en “myndighet” i ordets rätta bemärkelse (även om den i praktiken ofta behandlas som en sådan), och de förtroendevalda ledamöterna är definitivt inte tjänstemän. Jag är tjänsteman vid Uppsala universitet, och när du skriver till mig i tjänsten, så blir det brevet allmän handling. Om du däremot skickar ett brev till mig som privatperson och däri inte nämner någonting om mitt arbete, så blir det inte allmän handling, oavsett vilken adress (bostaden eller arbetsplatsen) som står på kuvertet. Samma sak gäller om jag är fackligt eller politiskt förtroendevald att företräda exempelvis dig; du skall då kunna korrespondera med mig utan att den korrespondensen blir allmän handling.
Inom riksdagen finns såväl förtroendevalda ledamöter som anställda tjänstemän. För de senares korrespondens (i tjänsten) gäller att den blir allmän handling, men ledamöternas korrespondens med partivänner och väljare blir det inte, åtminstone inte som jag tolkar 2 kap. 4 § TF. Det räcker alltså inte med att titta på domänen; du måste se efter vilken person som adressen avser, och i slutändan är det brevets innehåll som avgör saken.
En sak som jag misstänker att juristerna inte har diskuterat än är huruvida IT-avdelningens scanning av ledamöternas e-post medför att den blir allmän handling. IT-avdelningen öppnar ju de facto e-posten och tar del av innehållet i syfte att ändra i det (alternativt stoppa hela försändelsen). Därmed anser jag att brevet har inkommit till IT-avdelningen, och IT-avdelningen (liksom hela riksdagskansliet) utövar en myndighetsroll, nämligen att betjäna landets lagstiftande församling. Nu lär IT-avdelningen hävda att korrespondensen i så fall skyddas av sekretess (jag skulle peka på 12 kap. 7 § sekretesslagen även om den bara gäller telefonsamtal), men partikanslierna borde oroas redan av att IT-avdelningen ens skulle komma på tanken att sekretesspröva deras interna diskussioner om ny partiledare eller strategier inför nästa riksdagsval.
På samma sätt menar jag att mina telefonsamtal också blir allmän handling den dag min teleoperatör överlämnar dem till någon myndighet, alltså senast den 1 oktober 2009. Det tänker jag försöka utnyttja på något sätt.
Nixon har en viktig poäng i att brandväggen/proxyn inte är den enda svarta lådan. Ledamöternas datorer har med till visshet gränsande sannolikhet ett operativsystem som kommer från en främmande makt och vars källkod är hemlig. Det operativsystemet skulle kunna innehålla vilka spionfunktioner som helst. Eftersom operativsystemet i fråga har en funktion för att ladda ned och installera uppdateringar så skulle den främmande makten till och med kunna smyga in spionprogram i efterhand.
Icke desto mindre är en SSL-proxy en dålig idé. Om det är som Lage Rahm skrev att den godkänner alla SSL-förbindelser utan att verifiera certifikaten så är det ett katastrofalt säkerhetshål. Om den blockerar alla förbindelser som har något problem med certifikatet så är det inte heller bra. En router ska inte fatta sådana beslut.
När man har hundratals schweizerostar till datorer att hålla reda på så kan det vara frestande att försöka lösa alla säkerhetsproblem i en och samma burk. Då blir det en sådan här apparat som (troligen) låtsas vara en router som bara ska vidarebefordra datapaket på en låg nivå, men som tar till allehanda lögner och fula trick för att kunna inspektera trafiken på en högre nivå. “Layer violation” är den engelska tekniska termen för när man försöker göra saker på fel protokollnivå – fel plats i nätverket – och det brukar alltid orsaka problem.
“SixDays”: En SSH-tunnel är en möjlig lösning om brandväggen släpper fram SSH. Frågan är om brandväggen blockerar all trafik utom vissa protokoll som den känner till och kan inspektera, eller om den släpper fram all trafik oförstörd utom vissa protokoll som den inspekterar.
Jo, visst finns det problem med en sån här lösning (jag har ju heller aldrig sagt att jag tycker att den är bra, bara att den är förståelig). Men jag tycker heller inte att det är någonting att hetsa upp sig så där himla mycket över. Att börja orera över svarta lådor kontrollerade av främmande makt är lite kvällstidningsmässigt.
Då är jag betydligt mer bekymrad över myndigheter som har direkt undermåligt säkerhetsarbete. Se till exempel Riksrevisionens granskningar: http://www.riksrevisionen.se/templib/pages/NewsPage____1084.aspx
Nixons senaste bloggpost: Sidan 56, mening 5
Äh, det är ingen fara.
IT-avdelningen öppnar bara de mail som har virus och som därmed är av intresse. Alla annan kommunikation slängs.
Det vet vi ju från FRA-debatten.