Artikel top billede

Ekspert: Nu er der ingen grænse for USA's overvågning

Hemmelige bagdøre i krypteringsnøgler og sikkerheds-software kan også udnyttes af kriminelle, advarer sikkerhedsekspert.

Hvis USA's efterretningstjenester kan knække krypterede data, er der i princippet ingen grænser for, hvor langt deres overvågning af internettet går. Sådan lyder det fra sikkerhedseksperten Peter Kruse fra firmaet CSIS.

"Hvis man har lagt modificeret kode ind i krypteringen og måske har fået lov til det gennem nogle af de store certifikatudstedere som Verisign eller andre, så er omfanget af, hvad man kan bruge det til, i princippet uendeligt," siger Peter Kruse.

"Problemet er, at vi ikke rigtig ved, hvor meget det er blevet misbrugt og præcis, hvor det er blevet misbrugt. Men at det finder sted, kan gøre alle it-sikkerhedsfolk rundt omkring i verden ekstremt vrede og træde alle, der arbejder med privacy, over tæerne," siger han.

Den britiske avis The Guardian skrev tidligere i dag, at det amerikanske NSA (National Security Agency) sammen med det britiske GCHQ (Government Communications Head Quarters) i årevis har arbejdet på at knække de elektroniske nøgler, som låser adgangen til krypterede data.

Oplysningerne stammer fra dokumenter, som whistlebloweren Edward Snowden har lækket til avisen.

"Alt tyder på, at overvågningen er total"

Bagdøre i krypteringsnøgler og software
De to efterretningstjenester har desuden i samarbejde med en række internetudbydere lagt hemmelige bagdøre ind i krypteringsnøgler og den software, som bruges ved kryptering. Det efterlader efter Peter Kruses opfattelse it-brugere og sikkerhedsleverandører i total usikkerhed om den reelle sikkerhed for data.

"Alt tyder på, at overvågningen er total, så det kan blive ekstremt svært at komme med nogle anbefalinger, som man kan være sikre på holder," siger Peter Kruse, som dog understreger, at det stadig er uklart, i hvilket omfang adgangen til krypterede data er blevet anvendt.

Vi har grund til at være vrede

Han peger samtidig på, at efterretningstjenesternes hemmelige bagdøre til at omgå kryptering, i princippet er tilgængelige for alle - også kriminelle eller folk, der vil udnytte data kommercielt.

"Jeg har talt med flere fagfæller, som har problematiseret, at hvis man lægger de her bagdørsfunktioner ind i krypteringsnøgler eller sikkerhedssoftware, så er risikoen for at andre falder over det til stede. Det åbner for nogle helt andre og meget værre sager. Så har man jo en situation, hvor man ikke bare kan blive overvåget af en efterretningstjeneste, men også af andre, som kan falde over det her og misbruge det til egen vinding eller til at sælge data videre til andre," siger Peter Kruse.

"Vi har al mulig grund til at være forargede og vrede. Hvis man systematisk har overvåget trafik - også den krypterede - så er der ingen, der kan vide sig sikre på, om det man vil beskytte er sikkert nok," siger han.

NSA: Brugere af nettet er vores modstandere
De seneste lækkede dokumenter fra Edward Snowden afslører også en del andre artige detaljer.

"Vi har al mulig grund til at være forargede og vrede"

NSA har eksempelvis gjort meget ud af at påvirke arbejdet med at fastsætte internationale krypteringsstandarder for på den måde at gøre det lettere at få adgang til krypterede data.

Ifølge et dokument arbejdede NSA tilbage i 2006 i hemmelighed for at presse sit eget forslag til sikkerhedstandarder igennem på verdensplan.

"I den sidste ende, blev NSA den eneste bidragyder (Eventually, NSA became the sole editor," hedder det i dokumentet.

Tankevækkende er det også, at de amerikanske og britiske efterretningstjenesters projekter for at kunne bryde kryptering har fået navnene Bullrun og Edgehill, som også er navnene på historiske slag under tidligere borgerkrige i USA og England.

På samme måde omtales brugerne af internettet i dokumenterne som efterretningstjenesternes "modstandere".

Læs også:

Interaktivt kort: Se hvem der kan overvåge dig på nettet

Ny afsløring: Spiontjenester har brudt net-kryptering




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere