Close Menu
måndag, juni 30
Apple

NSA – sammanfattning av den stora avlyssningsskandalen

daniel larssonBy Updated:Inga kommentarer10 Mins Read

Foto: NSA headquarter Fort Meade, Maryland

I en tid där digital säkerhet är av yttersta vikt, avslöjar en ny rapport chockerande detaljer om den omfattande telefonavlyssningen som drabbar miljoner amerikaner varje dag. De större amerikanska tidningarna började drevet den 6:e juni 2013 att det finns bevis om telefonavlyssning av amerikanare och nyheten toppade snabbt både Washington Post och New York Times.

Avslöjandet kom från Glenn Greenwald på tidningen Guardian som skrev att det fanns bevis på att National Security Agency krävt att telekombolaget Verizon på löpande basis för register över alla telefonsamtal som görs i USA. Enligt Guardian omfattade avlyssningen telefonsamtalen mellan USA och utomlands och samtal helt inom USA (inklusive lokal samtal). Just Greenwald brukar skriva artiklar som ligger nära den ryska underrrättelsetjänsten.

Omfattningen av avlyssningen i USA

Några dagar senare kom det en ny artikel som beskrev att det inte bara Verizon utan även telekomjättarna AT&T och Sprint hade haft liknande program och sedan utökades PRISM till att handla om  Boundless Informant dvs massavlyssning och datamining av i princip det mesta som sker på nätet.Den 8:e juni försvarade president Obama övervakningen,

Den 9:e juni publiceras informations att whistle blowern är systemadministratören Edward Snowden med ett förflutet inom CIA och Booz Allen som är världens mest lönsamma spion organisation. Booz Allen är ett privat underrättelseföretag som skrivit ett kontroversiella dokument cyberpower visioner för 2020 om hur USA ska behålla globalt ledarskap i cyberspace genom organisationer som IETF, ISO (standardiseringsorgan) och W3C. I Storbritannien finns det en annan privat spion organisation GCHQ som har avlyssnat fiberoptiska transantlantiska kablar som de delat med NSA rapporterade Guardian om och som kallades ”Tempora”.

Tekniska metoder för övervakning och de större amerikanska IT-bolagens roll i massavlyssning

Enligt amerikansk lagstiftning FISA (Foreign Intelligence Surveillance Act) så måste IT-bolagen dela information vilket avgörs i en speciell domstol vilket innebär att de inte haft något val än att samarbeta. Yahoo var mycket skeptisk kring FISA och det har läckt ut en del dokument kring hur nätjätten hanterade det.

Det är 2 olika delar i avlysningen enligt Washington Post Prism och ”Upstream” som samlar från datakablar (med de kryptiska namnen Fairview, Stormbrew, Blarney och Oakstar). Datamining programmet som kallas PRISM omfattar minst 9 av de större Internet-företagen som har cloudlösningar. Involverade bolag är Google, Yahoo, AOL, Facebook, Skype, PalTalk, Microsoft och Apple, som alla har samarbetat med den amerikanska regeringen för att avlyssna sina utländska användares kommunikation – enligt både Guardian och Washington Post som fått en 41-sidors Powerpoint presentation av programmet. Men enligt andra artiklar  är det 50 företag inom andra branscher som kreditvärdering och ISPs.

prism

Om du vill se alla Powerpoint presentationer av övervakningsprogramet har Washington Post dokumenten beskrivna här

Tailored Operation Access NSA

Den avdelningen inom NSA som arbetar med avlyssning heter Tailored Operation Access NSA som har utvecklat kvantum attacker (eventuellt kan quantum datorer användas för att ta sig igenom certifikat). Enligt Wikipedia så kan Tailored Operation Access nå Gmail, Hotmail, Linkedin, Facebook, Twitter, Youtube mm. Källa Wikipedia

De stora IT-bolagen Google och Facebook dementerade först avlyssningen
Google har dementerat PRISM  officiellt på den här sidan och skriver att de inte gett direkt access till sina servrar. Intressant är att Facebook Zuckerberg kommenterar med nästan exakt samma ordalydelse och upplägg  och ordvaltet direkt access…. men att IT-jättarna inte ger direkt access låter som en juridisk formulering och det är inte samma sak som att Google inte kan ha gett indirekt access, bakdörrar till NSA eller att de kan ha gett direkt access till servrar som ägs av något annat företag eller myndighet som i sin tur ger direkt access…

Skype har haft ett projekt som kallas för chess som handlar om att hjälpa NSA med avlyssning enligt the Guardian.

Senare har några företag skrivit om hur pass omfattande avlyssningen är och Facebook har kommenterat att det handlar om 19 000 konton som fått förfrågningar av federal, lokal och statliga myndigheter.Microsoft har uppgett 32 000 konton till Washington Post.  Men samtidigt finns  det stora företag som klarat sig från kritik som Twitter och Amazon.

Avlyssningen av FN och EU

Avlyssning har skett inte bara kring spionhot utan också av länder och organisationer som FN högkvarteret, EU och IAEA i Wien och tyvärr är avlyssningen systematisk och välorganiserad och program som kallas för Blarney” and ”Rampart-T.
Det är inte bara kommunikationen som är avlyssnad utan även byggnaderna och hårddiskar har blivit kopierade.
Tidningen Der Spiegel har en utförligare presentation kring hur spionaget skett.

Men det är inte första gången som massavlyssning sker och knappast den sista

Att avlyssning sker är inte första gången utan har förekommit flera gånger tidigare. Läs tex om Echelon som uppmärksammades för 15 år sedan som drevs av NSA eller Crypto-AG som var ännu äldre bakdörrar till NSA där svenskar var involverade.

Hur skyddar du din kommunikation?

Du kan räkna med att alla krypton är knäckta av NSA och om man är ett företag som konkurrerar med amerikanska eller brittiska företag bör man vara extremt försiktig med informationen som man skickar över Internet. Försvarsmakten har godkända krypton och signalskyddssystem men dessa kan också vara knäckta. Det finns amerikanska krypteringsbolag som Truecrypt som lagt ner sin utveckling vilket troligtvis beror på att de inte samarbetar med NSA. Ett annat initiativ är OpenCryptoAudit som gör kodgranskning och drivs från Schweiz.

En del säger att man ska skydda sig genom kryptering men det är högst osäkert om kryptering och SSL ger något verkligt skydd från att bli avlyssnad. NSA lagrar data som är krypterad och till sakens natur hör att underrättelsetjänster troligtvis ägnar krypterad informationen ännu mer uppmärksamhet. NSA har projekt som BULLRUN som arbetar för att knäcka kommersiell kryptering. Läs mer

Tjänster som Tor och VPN är bra för att skydda din identitet men långt ifrån idiotsäker. En VPN krypterar all din trafik.

PKI är en standard som man ofta pekar på är säker men även om du använder PKI finns det olika krypteringsnycklar.

Dessutom spekuleras det om bakdörrar som lämnats öppna av teknikbolag exempelvis hittades redan 1999 en 1024 – bitars krypteringsnyckel som kallas _NSAKEY i vissa versioner av Windows. Läs mer

nsaOch vad sker i Sverige?

Tidigare har det kommit fram att i Storbritannien samarbetar man med säkerhetsbolaget GCHQ och det är rimligt att anta att det finns liknande samarbeten med Svenska myndigheter och IT och telekomföretag. I Sydamerika finns klara misstankar att Brasiliens president Dilma Rousseff varit avlyssnad.

Hur stor omfattning har avlyssningen i Sverige varit?
Ser man på kartan över avlyssning verkar Sverige vara ett av de minst avlyssnade länderna vilket kan förklaras att vi dels har bra relation till USA men vi är definitivt strategiskt intressanta som land eftersom vårt land utgör en stor del av gränsen till Östeuropa. Sveriges militära signalspaning lär vara i världsklass och sker i säkerhetsintresse för att skydda landet från militära hot.

Underrättelsearbeten mellan USA och Sverige har skett under lång tid och alltid under parollen att det inte får dokumenteras. När president Obama var i Sverige och fick frågor om NSA svarade han i lätt syrliga ordalag att det fanns andra länder som varit betjänta kring avlyssningen – men Obama gick aldrig in på vilka länder och de sovande journalisterna på den välregiserade presskonferensen ställde tyvärr inga följdfrågor vad han menadel!

Enligt Guardianjournalisten Duncan Campbell, som utfrågades i Europaparlamentets kommitté Libe den 6:e september 2013 har Sverige samarbetat med USA och Storbritannien och enligt honom var landet kodnamn Sardine och man har haft omfattande avlyssning på baltiska undervattenskablar genom FRA.

Enligt uppdrag granskning sommar 2014 var FRA involverad i Quantum-projekt (operation Winterlight) vilket omfattar ”aktiv signalspaning” dvs dataintrång och hackingattacker mot specifika mål. Sverige förekommer i Snowden dokumenten medan Storbritannien verkar vilja dra sig ut från aktiv signalspaning som inte är förenligt enligt den brittiska lagstiftningen.

Hur är det med svenska företags företagshemligheter?
Men var går gränsen mellan militär avlyssning och industrispionage när privata aktörer agerar på marknaden? Sverige som land verkar vara naiva när det gäller riskerna kring datasäkerhet och hur den inhemska industrin skyddas från rent industri spionage. 

Aftonbladets chefredaktör har skrivit att tidningen har ett speciellt avtal med Google om amerikanska myndigheter skulle begära att få ut en journalists mail från Aftonbladet. Innebär det att Aftonbladet (och hela Schibsted koncernen) kör Google mail? Många andra svenska bolag har servrar installerade och löper stor risk att vara avlyssnade genom tex bakdörrar. I vilken omfattning finns bakdörrar – hur är det med kreditvärderingsinstituten? Bredbandsbolag och ISP:er? Skatteverket? Bankernas transfereringar och VISA? Militären? Säkerhetspolisen? FRA? Patentverket (Ja – NSA bevakar Patenttrender)? Finns det svenska företag och företagsledare som är avlyssnade?

Finns det fler bakluckor vi inte känner till och till vem? Finns det bakluckor i krypteringsalgoritmer till NSA? Enligt Snowden har USA och Storbritannien knäckt säkra krypteringar och det innebär att underrättelsetjänsten kan se banktransaktioner och sjukhusjournaler.

Säljs den kommersiella underrättelsetjänsten vidare av NSA och de underkonsulter som de anlitar? Moderaterna kritiseras av Amelia Andersdotter från Piratpartiet att ha gått USA lobbyns intressen och man bör fråga sig varför är Carl Bildt totalt frånvarande och tyst och skriver nada häom avlyssningen på sin blogg? I Tyskland har avlyssningsskandalen fått mycket publicitet i Der Spiegel och Angela Merkel har också kritiserats kring hanteringen av konflikten. Först sa hon sig fått veta om spionprogrammet genom tidningar men senare har det visat sig att den tysk underrättelsetjänsten BND själva använde sig av avlyssningen i ett program som kallades XKeyScore.

Europeiska politiker och juridiska ramar och integritetsfrågor

Tyvärr är det en situation där Europeiska politiker med sina egna ambitioner har mer att vinna på att spela med i det geopolitiska spelet från kalla krigets dagar än att skydda avlyssningen av den Europeiska industri. Att vara vänligt sinad till amerikansk underrättelsetjänst ger naturligtvis stora fördelar i kariären.

David Camrons konservativa regering i Storbritannien och Sverige med Carl Bildt i spetsen har varit med att stoppa EUs uppföljningar kring NSA:s avlyssningsskandalen. Den brittiska regerigen har begärt att New York Times förstör kopior av dokument som Snowden läckt och tidningen Guardian har förstört dokument den 22:a juli sedan man blivit hotade med en rättsprocess. Det känsliga materialet har tydligen skickats till Guardian, New York Times och journalistgruppen Pro Publica.

”Politicians do not want to have to deal with these sorts of surprises. They have very strong incentives to go along with intelligence organisations that say they need ever-more-powerful surveillance programmes to see what the terrorists are up to.” Från tidningen The Economist ”The War on on terror is Obama’s Vietnam”.

Det politiska stödet i USA

Från konservativt amerikanskt håll så är man mycket kritisk till  Edward Snowden och det har ställts krav på att han ska utlämnas och han har blivit en bricka i spelet mellan Putin och Obama. Avlyssningen hade vid början av skandalen stort stöd bland amerikanare och enligt en artikel i Washington Post ansåg 45% anser att man kan gå längre och bevaka alla människors online aktiviteter. Från den amerikanska regeringens håll säger man att informationen har stoppat potentiella terrorattacker utan att gå in på detaljer. Den 12:e juni uttalade sig NSA :s chef Keith Alexander att övervakningsprogrammen förhindrade ”dozens of terrorist events”.

Men pendeln håller på att vända. Flera politiker har kritiserat avlyssningen exempelvis Rep. John Conyers som i Capitol Hill sa ”This is unsustainable, it’s outrageous, and must be stopped immediately.” New York Times skriver om ”bipartisan backlash in Washington” och 550 000 personer har gått med i  StopWatching.Us.

Men även om Europa är fegt och passivt har en brokig skara av intressegrupper i USA valt att gått samman för att stämma NSA rapporterar tidningen the Wired. Åtalet går att ladda ner här.

Källor:
Artikel i Washington Post
Artikel i Guardian(har bäst bevakning)
Artikel i Der Spiegel
Economist

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.