Dagens icke-nyhet i media är att svenska FRA och amerikanska NSA samarbetar. Detta visste vi alla redan och det framhävdes rent av i den sk FRA-debatten att FRA måste få avlyssna Internet för att ha information som bytesvara med USA/NSA, så man får tillgång till NSA:s avlyssning. Vad som möjligen är nytt är att Snowdens läckor nu bekräftar att i princip alla (amerikanska) kommersiella programvaror för kryptering har bakdörrar som underlättar för NSA.
Se även pågående chat med säkerhetsexperten Jakob Schlyter hos Bonnier/Expressen.
Man kan alltså inte lita på kommersiell kryptering, vilket inkluderar Microsofts och Apples hårddiskkryptering, utan man ska enbart använda öppen källkod eller internationella standarder, som alltså särskådas av oberoende. Vill man skydda sig mot Skatteverket duger förstås Apples FileVault, men det är inget skydd mot NSA. Enligt Schlyter är nog själva krypteringen intakt, utan vad NSA har lagt fingrarna i är skapandet av krypteringsnycklarna, som gör att man kraftigt förbättrar NSA:s odds att låsa upp krypterat material, medan resten av världen har lika svårt som alltid med detta.
FRA bekräftar förstås att de har internationella samarbeten och det sades som sagt redan från början i FRA-debatten.
Samarbetet är dock inget nytt. Redan DC3-affären blandade in USA, som hade operatörer ombord på det nedskjutna planet. Det svenska signalspaningsfartyget HMS Orion är byggt med amerikansk teknik, mitt under kalla kriget. Den privata klubben Viking Roost, som mestadels har FRA eller fd FRA-medlemmar, är en underavdelning till amerikanska Association of Old Crows, som är en klubb för signalspanare och telekrigare. Denna underavdelning till en amerikansk klubb, denna svenska “Hells Angels” för signalspanare, bildades redan 1989 medan det kalla kriget pågick och Sverige officiellt var neutralt (vilket vi förstås bara var officiellt – se Mikael Holmströms Den dolda alliansen). Viking Roost och 1989 är ett tydligt bevis på de täta och vänskapliga kontakter som FRA och NSA alltid haft.
Den privata klubben Viking Roost håller sina årsmöten i FRA:s eller FMV:s skyddsklassade lokaler och har amerikaner från moderföreningen Association of Old Crows närvarande på möten. FRA:s generaldirektör håller föreläsning på denna amerikanska klubbs svenska avdelnings årsmöte. Man har på senare tid, sedan FRA-debatten, tagit bort diverse dokument kring detta från sin webplats, bl a ett styrelseprotokoll där en amerikan var med på mötet inne på FRA:s lokaler, men det är ju bara att läsa Internet Archive, vilket jag länkat till ovan (dock inte det där om amerikanen på FRA, som inte finns på Internet Archive, men gick att läsa om fram till FRA-debatten). Där hittar man också namnen på diverse medlemmar, inklusive styrelsen med privata telefonnummer och allt, även om det numera inte finns på den officiella websajten sedan några år. Medlemskap i Viking Roost får man automatiskt genom att beviljas medlemskap i amerikanska AOC, så redan 1989 var det amerikaner som bestämde vilka svenskar som fick bli medlemmar.
“Det som händer på Internet, stannar på Internet. För alltid.” – Jag.
Vad som är skrämmande är hur nonchalanta Viking Roost var kring sin verksamhet fram till FRA-debatten, då man lade ut privata telefonnummer till personer som jobbar på FOI, FRA, FMV, Försvaret mm på en publikt tillgänglig hemsida – sannolikt skyddsklassade “hemliga” tjänster. Detta är personer som är satta att signalspana rakt in i våra privatliv. Även styrelseprotokoll mm har varit ute publikt.
Hela samarbetet är iaf en icke-nyhet. Nyheten ligger möjligen i att det återigen bekräftas offentligt.
Glädjande nog följer fler och fler av mina läsare mina anvisningar om att kryptera e-post och åtminstone ett dussintal mailar mig numera regelmässigt krypterat. Lämpligast är dock att använda GPG, som inte är en kommersiell programvara, infiltrerad med bakdörrar av NSA, och använder man S/MIME så ska man skaffa certifikat via Sydafrikanska CACERT istället för via amerikanska rotcertifikat.
Rekommenderar kryptoexperten Bruce Schneiers krönika med anledning av att NSA har bakdörrar i kommersiella kryptosystem.
17 kommentarer
Finns det någon GPG Disk på samma sätt som det finns PGP disk, eller måste man kryptera varje fil för sig?
PGP har väl amerikanska regeringen och NSA bakdörrar till, kan man befara. De torde använda det för ekonomiskt spionage också, så hävdar de sig bättre exempelvis när det skall säljas stridsflygplan till Brasilien. Jänkarna visste nog precis hur Jas låg till i den kampen och hur mycket de måste smörja sina bud för att vinna. Sveriges regering tiger och ler. Amerikanerna är ju våra vänner. De slåss ju för friheten!
TrueCrypt för hårddiskkryptering antar jag.
Många filsystem är däremot journaliserand, dvs de sparar olika utsträckning revisionskopior av filerna. Det finns då en risk att hela eller delar av materialet går att återskapa.
Bäst är att använda sig av Ubuntu och redan vid installationen be om att hela hårddisken krypteras. Om du därutöver dessutom ber om att få din hemmapp krypterad är du nog hyfsad säker.
Sen gäller det förstås att inte koppla några onlinesystem som integreras med din dator. Som dropbox etc.
Ännu säkrare är att endast spara topp hemliga saker på RAM-disk. På det sättet så försvinner alla spår vid händelse av stöld eller beslag.
… eller vid nästa strömavbrott.
RAM-data kan du plocka ut med en cold boot attack. Du sprutar flytande kväve på modulerna innan du kapar strömmen. http://en.wikipedia.org/wiki/Cold_boot_attack
I Ubuntu är det numera ett alternativ att välja full diskkryptering vid installation. Men det finns ju inte garanti att Cononical inte lagt in någon bakdörr åt NSA. Då är det kanske bättre att sätta upp krypteringen av filsystemet själv och hoppas på att det inte även där finns bakdörrar redan i källkoden som inte upptäckts av FLOSS-gemenskapen.
Är inte den källkoden som Canonical använder open source?
Ja förutom mp3 flash och yadayada. Jag tänker på operativsystemet i grunden.
@Kristofer
Hur vet du då att det är den källkoden du får är densamma som Canonical har använt?
Jag vet inte hur verklig möjligheten är/var, men det fanns iaf spekulationer över möjligheten att skapa illusion av trygghet i att man har källkoden. Hypotesen byggde på att man la in virus i själva kompilatorn som därigenom kan föröka sig genom att lägga in sig i resultatfilerna – det innebär att trots att det är öppen källkod och du kompilerar upp allt själv så får du ändå dold kod med. Speciellt omfattade hypotesen även att viruset kopierades in ifall man försökte bygga om kompilatorn själv.
Det hela kokar ner i att man faktiskt måste lita tillräckligt på de som levererar både mjukvara och hårdvara (i många fall innehåller hårdvaran dessutom inbyggd mjukvara) – och det även indirekta leverantörer (eller att du litar på leverantörens omdöme att välja underleverantörer). Om man är för orolig, paranoid och konspirationsteoretisk så lär man ha problem.
Kristofer, ext2 är väl inte journaliserande. F.ö. är det väl bara /home-partitionen som man får valet att kryptera vid installation, om jag inte missminner mig.
Att FRA spionerar för NSAs räkning "visste" man ju redan.
Men det som stör mig kanske mest är att jag upplever FRA mer som en underavdelning till NSA än en svensk spionorganisation.
Jag har också den känslan, lakejer. Eller när de talar så väl om frihandel, till några storas fördel och de mångas nackdel.
En av anledningarna till att jag använder program med öppen källkod i största möjliga utsträckning. Sen kvarstår ju förstås möjligheten till att hårdvaran innehåller bakdörrar, eller att kompilatorerna sätter in bakdörrar i program, osv.
Fast även open source-program skulle ju kunna tänkas innehålla bakdörrar som är mycket svårupptäckta, kolla t ex på The underhanded C contest som handlar om att smyga in elaka saker i kod som är så läsbar som möjligt.
De små kodsnuttarna i din länk har mer karaktär av buggar som kodarna själva förmodligen av misstag råkat göra vid något tillfälle. Dessa skulle utan tvekan upptäckas ganska snart då riktig open source kod och tillhörande testkod för att testa koden normalt granskas noggrant av flera andra personer än de som skrivit den. Nu för tiden bygger man in granskning som ett steg i hanteringen av koden så att den måste passera det steget innan den hamnar i "master branchen".
Vill man leta bakdörrar ska man förmodligen göra det i proprietär kod för kompilatorer och OS. Men även där är det väldigt många personer inblandade och väldigt svårt att smyga in något skumt utan att någon fattar misstankar eller börjar ifrågasätta vad koden egentligen gör.
Så kravet på att lyckas få in något lurt är att det är väldigt få personer inblandade i den koden, och att inga andra har tillgång till den. Annars blir det nog mest konspirationsteori och foliehatt på.
Däremot kan man tänka sig att NSA analyserar redan existerande open source kod för att identifiera exploaterbara hål. Dock finns det ingen garanti för hur länge hålen kommer att finnas kvar. Men många ligger kvar på gamla versioner av t.ex. OS och de kan de ju då exploatera.
Vad gäller cyberkrigföring och DOS-attacker gör förmodlige NSA liksom vanliga hackergrupper och "släpper" justerad populär programvara på t.ex Pirate Bay.
NSA har uppenbarligen avlyssnat sina allierade i smyg. Det har inte alls handlat om legitim avlyssning, för att skydda USA mot terrorhot etc. Är inte det ett problem? Frågan är om den svenska motsvarigheten gjort detsamma. Är det en icke-fråga?
Stallman avfärdades av många som paranoid, men nu visar det sig alltså att han hade rätt i alla år.
Jag är lite nyfiken på vilken inblandning göteborgsföretaget TIBCO/Spotfire har i NSA affären.
http://www.nyteknik.se/nyheter/it_telekom/datorer/article253178.ece
De är experter på data-mining sedan 90-talet, dvs hitta nålen i en höstack av mängder av data, vilket låter som väldigt relevant expertis för NSA.
De påstår i alla fall att de har NSA som kunder…
http://spotfire.tibco.com/en/discover-spotfire/who-uses-spotfire/by-industry/government.aspx