Trots att jag själv varit framtonande i kritiken kring FRAs verksamhet, var jag smått chockad över exakt hur långt de gått efter avslöjandet i Uppdrag granskning igår (finns att se ett tag till på svtplay). Regleringarna kring FRAs verksamhet är i grunden alldeles för otillräckliga — men som det framkommit, har de lyckats bryta till och med mot dessa. Toni Cherfan skriver här i ett gästinlägg om teknikutvecklingen bakom övervakningen FRA och NSA genomför. //emma

* * *

GÄSTINLÄGG: Så, då kom ytterligare ett avslöjande i ljuset av Snowdens dokument. Jag har försökt finna ord kring detta men det har helt enkelt inte gått tidigare, det är alltså inte första gången jag blir förvånad.

Först kanske jag egentligen ska förklara min bakgrund. Jag heter Toni och jobbar som systemadministratör med stark inriktning på backendsystem såsom virtualisering, databaser, lagringssystem, brandväggar, routing, switching, servrar, etc. Jag protesterade år 2008 när FRA ville kopiera innehållet ur vissa utvalda fiberkablar som korsade Sveriges gränser. Jag kommer även protestera idag.

Det första avslöjandet som fångade min uppmärksamhet var om hur NSA sysslar med att knäcka krypton. Egentligen är det inte så konstigt, alla som sysslar med signalspaning vet att mycket av de data man spanar på är krypterad. Att knäcka kryptering kräver mängder med datorkraft vilket kräver stora budgetar som både FRA, NSA och GCHQ har. Det här är ett arbete som har pågått sen Tyskarna konstruerade Enigma-maskinen, om än mycket mer utvecklat.

Under 90-talet så rasade debatten om krypto i USA. Det började med att datorer plötsligt blev tillgängliga för allmänheten, dessa är nämligen utmärkta kryptomaskiner. Det andra som krävdes var det vi kallar för Internet, med hjälp av detta gigantiska nätverk som spänner världen över kunde man effektivt sprida program som använde sig av kryptografiska algoritmer för att chiffrera data. Detta var en ren mardröm för NSA som redan på den här tiden sysslade med avlyssning i en betydligt mindre omfattning på grund av de resurser man hade. Om vanliga människor skulle få tillgång till program som kunde hantera starkt krypto skulle NSA inte ha en chans att lyssna på det de gjorde och det var ett problem som politikerna trodde de kunde ta tag i eftersom det var väldigt svårt att få tag på datorkraft för att knäcka krypton.

Lösningen hade ett namn: Clipper. Ett chip som skulle sättas in i varje elektronisk pryl som hanterade kryptografiska lösningar. Chippet hade en algoritm som NSA kallade för Skipjack och skötte all kryptering och dekryptering självt. Det var ganska enkelt för konstruktören, du matade in data och fick ut skiffertexten. Du matade in skiffertexten och fick ut okrypterad data. Kruxet var att vid nyckelgenereringen skapades två nycklar, en för användaren och en för LEA, Law enforcement Agencies. ”Tänk på barnen!” var argumentet, som så ofta brukar upprepas även idag.

Med den här lösningen trodde politikerna att NSA skulle kunna fortsätta lyssna på all trafik, men det slog inte igenom trots lagstiftning. Det är på grund av den här händelsen som USA fortfarande har exportrestriktioner för kryptografisk programvara. Så NSA kom på en Plan B. De gick istället bakom ryggen på oss alla och tvingade in en variation av lösningen hos alla företag utan att designa den själv. Man gick helt enkelt och tvingade alla företag som tillverkade chip eller programvara som klarade starka kryptoalgoritmer som NSA inte kan knäcka att lägga in bakdörrar.

För en brandvägg som hanterar krypterade tunnlar är det egentligen ganska dyrt rent processorkraftmässigt att processa data. Det här löser man genom att köpa en extra processor för det som hanterar nyckelgenerering och kryptering/dekryptering, ofta kallad kryptoaccelerator. Det är dessa som NSA framför allt är intresserade av att lägga in bakdörrar i för att kunna avkryptera trafik som de normalt sett inte hade kunnat göra. Tillverkaren av enheten behöver inte ens känna till detta, hela bakdörren läggs in under stor sekretess innan den når kiselplattan varpå den därefter paketeras och skickas till kunden. Om bakdörrens existens skulle läcka ser NSA till att företaget trovärdigt ska kunna skylla ifrån sig för att inte skapa för mycket dålig publicitet. Det var en bugg, helt enkelt.

Avslöjandet av det här är stort, för det innebär inte bara att man i praktiken inte kan lita på produkter från amerikanska leverantörer, det räcker med att kryptokomponenterna i produkten i något skede har hanterats av ett amerikanskt bolag. Och inte nog med att vi har det här bevisat, vi har dessutom bevis på att NSA aktivt jobbar med att försöka injicera bakdörrar i algoritmerna genom standardiseringsprocessen och även inom Open Source-världen som är ganska stor på serversidan. Trodde du att du var säker genom att köra saker med öppen källkod? Glöm det. Du har inte resurser att granska koden och heller inte hårdvaran den körs ovanpå. Det här är en politisk fråga som inte handlar om licenser eller kodformat.

Vi vet också att NSA samarbetar med leverantörer av SSL-certifikat. Det här är mycket viktigt eftersom du per definition måste lita på dessa på grund av hur SSL är uppbyggt. SSL används av allt möjligt och är standardsättet för att kryptera webbtrafik på internet. NSA har alltså genom många års långt och hårt arbete i princip lyckats eliminera den säkerhet som kryptering ger på internet, helt bakom ryggen på oss!

Men det slutar faktiskt inte där. NSA har inte bara tillgång till en mycket stor andel trafik på internet (vilket i sig är högst anmärkningsvärt), de har också med hjälp av FRA och därmed Sverige aktivt hackat system för att tillförskaffa sig information. Det här är högst organiserade attacker av rejält kompetenta människor som har som mål att få åtkomst till interna system hos olika utvalda myndigheter och företag. Eftersom NSA har resurserna att analysera kod från de allra största leverantörerna av hårdvara och mjukvara i världen kan de använda dessa för att hitta attackvektorer som inte är kända av allmänheten.

Vi vet inte vad NSA fick tillgång till vid hacket av Belgacom, men det är mycket troligt att man försökte kopiera trafik från EU-parlamentet för att få tillgång till politiskt känslig information som man sedan kan använda som ett maktmedel. Underrättelsetjänster handlar mycket om att skaffa sig tillgång till information som man sedan kan använda mot andra länder för att få det man vill.

Vet ni vad det här hade kallats om det vore ett företag som hade sysslat med sådan här verksamhet? Organiserad brottslighet! Det här är definitionen av organiserad brottslighet. Och inte nog med att NSA sysslar med det, kvällens avslöjande från Uppdrag granskning visar dessutom att vår egen underrättelsetjänst är inblandad i det på uppdrag av främmande makt!

Jag har flera gånger undrat om man måste vara tekniker för att förstå hur pass omfattande den här övervakningsapparaten är. Ibland verkar det så, för antingen förstår inte vanliga människor eller så bryr de sig inte. Tänk varje gång du använder en elektronisk enhet, t.ex. går in på en webbsida, betalar med kort, tar ut kontanter, använder en mobiltelefon, you name it. Är du bekväm med att allt det här potentiellt når gigantiska databaser hos underrättelsetjänster runt om i världen? Är du bekväm med att bli flaggad i ett system och får all data om dig och dina vänner undersökt för att en person som begått brott råkade slå fel nummer och därmed ringde din telefon?

För det är inte jag! Och faktum är att det inte behöver vara såhär heller om du, just DU, protesterar mot att Sverige är en av nyckelländerna i att driva den här övervakningen. Det här är ingen konspiration eller foliehattsvarning, det här pågår exakt just nu i serverhallar runt om i världen, dygnet runt.

Edward Snowden är en (numera) före detta systemadministratör som har riskerat sitt liv för att göra det han tyckte var rätt; att låta oss få veta. Make him proud.

~Toni Cherfan