I en diskussion mellan mig och Mark Klamberg om datautvinning och FRAs effektivitet så har jag beskrivit varför FRAs filtrerande av trafiken vid ”samverkanspunkterna” kommer att leda till ett stort antal falska träffar. Jag har också i mina inlägg ”Behövs FRA?” och ”Att flyga under radarn” beskrivit några metoder att undgå FRAs spaning. Jag tänkte här samla några metoder för att visa varför hela idén med signalspaning i internetkablarna är en dålig idé.
Som diskussionsexempel tar jag en återigen ett exempel ut Anders Erikssons utredning av hur SÄPO ska kunna utnyttja FRAs spaning:
Säkerhetspolisen misstänker att Y-land bedriver olovlig underrättelseverksamhet i Sverige. Vilka personer som bedriver verksamheten i Sverige är oklart, men allt tyder på att den olagliga verksamheten bedrivs av någon tjänsteman vid ett Y-ländskt bolag i Stockholm. På vilket sätt tjänstemannen kommunicerar med sina uppdragsgivare i Y-land är oklart.
Vid signalspaning som riktas mot trafik från bolaget i Stockholm till hemlandet finner man regelbunden trafik till Y-lands underrättelsetjänst. Trafiken kan med hjälp av andra spaningsinsatser knytas till en viss tjänsteman vid bolaget.
Genom ett fortsatt underrättelsearbete stärks misstankarna om att tjänstemannen bedriver brottslig verksamhet. Säkerhetspolisen har därmed kunnat identifiera en skäligen misstänkt person och har inom ramen för en förundersökning möjlighet att använda straffprocessuella tvångsmedel, t.ex. hemlig teleavlyssning.
OK. Då kör vi!
1) Utnyttja Internets uppbyggnad.
När e-postmeddelanden sänds så hackar den sändande datorn ner meddelandet i paket (IP-paket). Dessa paket adresseras med mottagande dators IP-adress och avsändande dators IP-adress. Mottagaren i detta fallet är en mailserver där meddelandet sätts ihop igen och mellanlagras. Genom att välja en mailserver hos samma ISP som företaget så minimerar man att risken för att IP-paketen passerar en ”samverkanspunkt”. Mailserver avgör nu vilken mailserver meddelandet ska till utifrån e-postadressen hos meddelande och hackar återigen sönder meddelandet i IP-paket som adresseras med mottagar-serverns IP-adress men nu har paketen en ny avsändare, nämligen avsändande mailserver. Meddelandet har nu tappat referensen till det Y-ländska företaget! IP-paketen letar sig individuellt fram genom nätverket och det är inte säkert att alla paket som utgör meddelandet tar samma väg. På den mottagande mailserver sätts meddelandet ihop igen och lagras i mottagarens postlåda. Den mottagande mailservern behöver inte befinna sig i Y-land eller tillhöra den Y-ländska underrättelsetjänsten utan kan vara en server placerad hos en civil ISP vart som helst i välden. Den Y-ländska säkerhetstjänsten kan nu, via ett civilt konto, hämta hem meddelandet. Då meddelandet passerar FRAs samverkanspunkter finns ingen referens till varken Y-lands underrättelsetjänst eller det Y-ländska företaget i Sverige.
2) Utnyttja anonyma web-mailtjänster
Detta är en version på förra scenariot men här använder spionen web-mail där informationen sänds i krypterade med protokollet HTTPS till mailservern. Då meddelandet passerar FRAs samverkanspunkt ser dom en kommunikation mellan en dator hos det Y-ländska företaget i Sverige och servern. Innehållet i kommunikationen är dolt av krypteringen. Sådana här kommunikation sker miljontals gånger varje dag med tanke på hur många som använder t ex Gmail.
3) Kryptera
Som ytterligare säkerhet kan avsändaren kryptera eller skriva meddelandet på kod så att FRA inte ser eller kan förstå vad det står. Ett krypterat meddelande kan dock dra till sig uppmärksamhet då väldigt få e-postmeddelanden krypteras men om spionen skriver på kod, t ex som ett affärsmeddelande ” Hej X, Vi har kommit överens om det övergripande upplägget i avtalet och vi beräknar leveransdatum till den 15:e september. Vi borde träffas i X-land för att reda ut de sista detaljerna. och underteckna kontraktet.”
Ett bra krypteringsprogram är GnuPG. GnuPG kan användas för att kryptera web-mail i firefox med hjälp av ett plug-in som heter ”FireGPG”. För e-postprogrammet Thunderbird finns plug-in:et ”Enigmail”.
4) Använd Skype
Skype har seglat upp som underrättelsetjänsters värsta mardröm. Skype använder stark kryptering av trafiken mellan klienterna. Skype-kommunikation kan dessutom studsa mellan ett antal klienter spridda i världen innan den når destinationen. Här finns alltså ett sätt att kommunicera i realtid med rösten eller textchatt och föra över filer utan att man vid en samverkanspunkt kan avgöra vem som kommunicerar med vem och med innehållet väl dolt av kryptering.
5) Steganografi
Steganografi är att skriva hemliga meddelanden så att bara den avsedda mottagaren känner till att meddelandet alls finns. Information kan döljas inbäddat i musikfiler, bilder, dokument eller till och med programfiler. för att dölja information i en bild kan man t ex ändra nyansen på pixlarna en aning. Detta är för ögat osynligt men med rätt programvara kan meddelandet vaskas fram. Klicka här för en bild med en dold textfil i. Spionen kan kryptera meddelandet och sedan steganografiskt gömma det i en fil som läggs upp publikt på t ex Flickr, Picasa, Facebook eller på företagets web-sida utan att någon anar att det ens finns ett meddelande. Y-lands underrättelsetjänst kan sedan ladda ner bilden, extrahera ut informationen och dekryptera det utan att någon ens har förstått att kommunikation har ägt rum!
6) Använd TOR eller andra anonymiseringstjänster
I IPRED-lagens spå har det dykt upp en uppsjö av anonymiseringstjänster. Principen är enkel; man leden in internettrafiken i en virtuell tunnel till en annan dator. Trafiken i tunneln döljs med kryptering. De flesta anonymiseringstjänster låter trafiken strömma från användarna till en central server. När trafiken sedan lämnar tunneln så ser det ut som om trafiken kommer från servern istället för kunderna. Eftersom många kunder samsas om samma server så är det näst intill omöjligt att för en utomstående betraktare (läs FRA) att veta vem som kommunicerat med vad.
TOR fungerar lite annorlunda. Datorerna i TOR-nätverket sätter upp temporära tunnlar mellan varandra och dessa ändras hela tiden. När en användare vill kommunicera så kommer informationen att studsa ett antal gånger i TOR-nätverket i de olika tunnlarna innan det lämnar nätverket från en slumpvis dator var som helst i världen.
7. Använd inte Internet
Det finns ett gammalt datorskämt: ”Never underestimate the bandwidth of a truck loaded with harddrives”. Information kan skickas på många sätt. Ett sätt är med gamla hederliga brev. Vi har fortfarande brevhemlighet och i takt med att minneskort rymmer allt mer data så kan bandbredden på ett vanligt brev bli ansenlig (latenstiden gör dock att det inte lämpar sig för WoW). Ett Mikro-SD (M2) kan idag innehålla 16 GByte data och är mindre än en fingernagel!
Förmodligen kan ni läsar komma på ännu fler sätt att flyga under FRAs radar. Berätta gärna i kommentarerna!
Sammanfatting
Det finns många sätt som en person med normal datorkompetens kan använda för att flyga under FRAs radar. Därför kan man verkligen undra varför vi ska ha en myndighet som för en halv miljard om året ska spana i kablarna. Antalet meddelanden som felaktigt fastnar i FRA:s filter kommer att öka lavinartat och detta kommer tära på FRA:s resurser att utreda så pass mycket att risken är överhängande att man faktiskt kommer missa relevant information. Detta i kombination med en övertro på FRA:s förmåga att hitta relevant information (FRA har ju fått tillgång till så mycket information) gör att man sänker garden. FRA-lagen gör oss därmed mer sårbara och det till ett högre pris! Grattis!
Andra bloggar om: FRA, övervakning, avlyssning, kryptering, steganografi, signalspaning, IPRED.
Om man vill ha med sig data på flyget så riskerar man att säkerhetsteatern på flygplatsen vill kopiera alla dina media du har med dig. Då kan man roa sig med gamla hederliga tricks och tex transportera sitt micro-SD i ett ihåligt mynt:
http://www.spymuseumstore.org/12342.html
Håll bara reda på med vilka pengar du köper ditt kaffe på flygplatsen…
Vill man kommunicera i fred online är, som sagt, Skype utmärkt och i dagsläget säkrare än mail, men annars kan man alltid träffas på ett onlinespel, tex WoW, och diskutera där eftersom det enda en utomstående kommer se är krypterade uppkopplingar mot en server med hundratals, kanske tusentals spelare.
Möjligheterna är oändliga bara man har lite fantasi…
8) Lägg till (starkt) slumpmässigt data på allt du skickar. Då slumpdata är oskiljbart från bra krypterat data skapar du en hög med oknäckbart meningslöst data som inte går att skilja ifrån eventuellt verkligt data om du någonsin faktiskt behöver skicka något krypterat.
9) Skaffa en VPN koppling med exitnod utomlands (vilket blir allt vanligare pga IPRED och ren irritation över saker som FRA).
10) Börja använda darknet/f2f programvara som krypterar länkar, bara kommunicerar med dina vänner och där vännerna är autentiserade med starka krypteringsnycklar.
Den senaste tidens evolutionstryck på nätets kommunikationsfrihet tror jag har drivit fram den kritiska massan som kommer att leda till massbruk av nästa generations helt ospårbara och oövervakningsbara kommunikationer. På gott och ont. När all kommunikation omorganiserar sig till dolda cellstrukturer av betrodda vänskapsband i en global skala är det slutet på möjligheterna att överhuvudtaget bedriva sådan spaning.
Det bästa är att inte ta med data på flyget. Ta med en ren dator och koppla upp den när du är framme vid destinationen och tanka ner den information du behöver med t ex SSH eller annan krypterad förbindelse. Är det inte så kritiskt när informationen är framme kan du skicka ett brev med ett Micro-SD till din destination och hämta ut det när du kommer fram.
Behöver du informationen på själva flyget så kan du använda TrueCrypt och fixa en gömd partition som är ”plausible deniable”.
Jag gör inget av det här i nuläget, det ska inte behövas. Det är som den spanska inkvisitionen i repris. Vi måste byta ut lagstiftarna.
Jag gör det enkelt för mig, kör 16gb USB minne som passar i batteri fickan på min eltandborste (utan batterier naturligtvis) och bara checkar in den med resten av mitt baggage, har (av nyfikenhet) förseglat tandborsten ett par gånger men den har aldrig blivit öppnad.
Annat bra tips om man vill flytta information ombemärkt är kreditkort.
Magnetremsan på ett kreditkort rymmer en hel del data.
En variant på data på flyget är fulldisk-kryptering, med en nyckel du inte känner till men som skickats till destinationen i förväg. På så vis kan du inte låsa upp innehållet i datorn om man ber dig göra det. Schneier har en postning om ett sådant system: http://www.schneier.com/blog/archives/2009/07/laptop_security.html
Kan förvisso vara att leka lite med elden, men jag har svårt att se det som en större risk med den varianten än om man gömmer sd-kort
Tillägg till TOR och andra anonymiseringstjänster är de system som är framtagna för att skicka mejl anonymt från början (http://en.wikipedia.org/wiki/Anonymous_remailer) t.ex. Mixmaster och Mixminion.
Något som är viktigt att tillägga i sammanhanget är att Tor (och andra anonymiseringstjänster) bara anonymiserar. Det går fortfarande att läsa informationen i klartext när den lämnar tunneln eftersom den bara är krypterad inuti tunneln.
Risken finns att sändaren ändå kan identifieras genom att analysera informationen som lämnar tunneln. Om man dessutom har tillgång till att avlyssna din ända av kommunikationen kan man dra slutsatser genom att analysera trafikmönster.
(se också t.ex. http://www.wired.com/politics/security/news/2007/09/embassy_hacks?currentPage=1 )
@Christian:
Helt korrekt. Här handlade det dock om att FRA skulle kunna identifiera meddelandet vid samverkanspunkterna och koppla det till en viss person som är spion (man får väl anta att spionen inte lägger in kontaktuppgifter i meddelandet).
@fritank
Jag planerar att flyga till USA nån gång under året eller möjligen nästa år och resan kommer delvis vara affärsinriktad så jag måste ha med en laptop. Min plan är att radera hela hårddisken och bara ta med en Live/installations-CD för Fedora på resan och den får de gärna kopiera. Väl där är det ju trivialt att installera Linux, koppla upp sig mot mitt subversion-repository via ssh och tanka ner alla dokument jag behöver. Inför hemresan behöver jag bara checka in alla ändringar, boota live-CD:n och radera hela hårddisken igen.
Paranoid? Kanske lite. Men jag ser det även som en protest. Jag är inte beredd att frivilligt ge upp vare sig mitt privatliv eller mina affärshemligheter.
@fritank:
Nej förmodligen inte, även om detta var just vad ambassadpersonalen i artikeln gjorde eftersom de missförstod funktionen hos Tor.
Dessutom, som jag skrev, så kan man analysera trafikmönstret hos en misstänkt spion och jämföra med vad som kommer ut i andra änden av Tor-tunneln.
(Eller teoretiskt(?) sett alla Svenska ISP:ers alla abonnenter om man har den möjligheten. Om trafiken passerar Sveriges gräns på vägen mellan spionen och Tor-tunneln så har ju FRA vad jag förstått redan de befogenheterna.)
På så vis kan man knyta trafiken till rätt dator.
Min poäng är: Tor är bra, men man bör inte ha en övertro på att man är garanterad anonymitet (och definitivt inte att man är skyddad mot avlyssning). Det finns komplikationer.
Man måste också se till att autenticera den man kommunicerar med. Om t.ex. FRA styr Tor-ändpunkten, precis som säkerhetsforskaren i artikeln jag länkade till gjorde, så kan ju FRA annars agera ”man-in-the-middle” och låtsas vara spionens kontaktpunkt.
Problem2: Tor bygger på att alla eller åtminstone de flesta ”Tor-routers” inte samarbetar med Storebror/FRA/etc. Vore jag en underrättelsetjänst skulle jag se till att starta ett antal Tor-routers runt om i världen så att chansen är ganska stor att tunneln startar och slutar i en ”FRA-server”.
Det borde inte vara så dyrt i sammanhanget. Det är säkert betydligt billigare än att söka igenom all klartextinformation varje gång den passerar gränsen efter ord som ”terrorist” och ”bomb”.
Efter de två orden kan jag vara säker på att åtminstone FRA orkat läsa så här långt.
Tack för en utmärkt postning och foliehatten på!
För att ditt scenario ska fungera så måste ju FRA veta varifrån meddelandet kom (varför inte avlyssna där då?) och var det lämnar Tor-nätverket (inte helt enkelt, speciellt som förbindelserna ändras hela tiden). Dessutom behöver man veta fördröjningarna genom Tor-nätverket. Jag anser nog att det är orealistiskt att dessa villkor ska gå att uppfylla om inte FRA (eller valfri annan underrättelsetjänst) administrerar en majoritet av noderna i Tor-nätverket.
@fritank: Det går inte att avlyssna informationen där. Se figur två i din postning. Kommunikationen mellan ”Alice” och tunneln är krypterad. Men man kan se hur mycket information som skickats och när. Om man har all trafik övervakad behöver man inte på förhand veta varifrån meddelandet kommer utan man registrerar all Tor-trafik som passerar avlyssningspunkten och jämför avsändarnas trafikmönster med det som dyker upp hos Bob.
Man behöver inte veta var det lämnar Tor-nätverket om man har förbindelsen mellan Tor och Bob under avlyssning. I exemplet FRA så kan de åtminstone avlyssna all trafik mellan utländska Tor-servrar och Bob om Bob är svensk.
Om ingen avlyssning sker hos Bob så försvinner ju behovet av att vara anonym. Men, det är sant, om kommunikationen mellan tunneln och Bob är säker och oavlyssnad så får man en säker uppkoppling mellan Alice och Bob. Tills förbindelsen ändras.
Hos Bob kan man avlyssna informationen eftersom informationen skickas i klartext mellan tunneln och Bob. Fördröjningarna i Tor är relativt små och jag gissar att de dessutom är någorlunda konstanta för en viss uppkoppling.
Jag har inte testat, men det är i alla fall en teoretisk möjlighet att skaffa sig en uppfattning om vem som ligger bakom.
Ett FRA-exempel till: Om Alice och Bob båda är i Sverige kan inte FRA avlyssna om de skickar informationen utan Tor eftersom trafiken inte passerar gränsen. Om de å andra sidan använder Tor och Tor-tunneln både börjar och slutar utanför Sverige (ett ganska sannolikt scenario) så får FRA avlyssna både Alices krypterade kommunikation med Tor och klartexten från Tor till Bob.
@Christian: Jodå, det går alltid att genskjuta informationen genom spionprogram på ”Alice” dator.
Du har rätt i teorin men i praktiken är det mycket svårare. För det första så flyter mycket data i Tor-nätverket om du avlyssnar ”Bob” och försöker lista ut vem datan kommer ifrån så måste du i princip avlyssna alla ”Alice-ar” för att kunna jämföra datamängden. Krypterad information brukar dessutom vara ”paddad” för att dölja hur mycket information som överförts. I Tor-nätverket ändras förbindelserna hela tiden så fördröjningarna varierar med vilken väg som för tillfället används.
Med klartext menar du nu ”ej Tor-krypterad information”. Det kan ju fortfarande handla om krypterade protokoll eller meddelanden. Tor-teknologin försöker inte dölja innehållet i meddelandet utan försöker dölja vem som kommunicerar med vem. Innehållet i meddelandet är det användarnas uppgift att dölja genom att använda krypterade protokoll eller meddelanden.
@fritank: Givetvis kan man tänka sig att någon tar över Alices dator med spionprogram, rootkit, etc. Men då är ju alla former av anonymisering, kryptering, etc. meningslös så jag hoppade över det scenariot.
Ja, men jag menar att med FRA-lagen har man möjlighet att avlyssna alla Alice:ar i Sverige när de kommunicerar med alla utländska Tor-routrar. Samtidigt.
Se Tor-faq 6.9 (”What attacks remain against onion routing?”)
https://wiki.torproject.org/noreply/TheOnionRouter/TorFAQ#RemainingAttacks
”As mentioned above, it is possible for an observer who can view both you and either the destination website or your Tor exit node to correlate timings of your traffic as it enters the Tor network and also as it exits. Tor does not defend against such a threat model.”
Med den nya lagen får FRA mycket större möjligheter att göra just detta eftersom de får titta på all trafik som passerar gränsen.
Ja, det är det jag menar med ”klartext”, ursäkta otydligheten.
Precis! Tor ger förbättrad, men absolut inte garanterad anonymitet. Den måste dessutom kompletteras med autenticering och kryptering.
Jo, det är en av grund teserna jag driver också; har man sina misstänkta så kan man använda riktad hemlig teleavlyssning direkt mot personerna och deras kablar. Då är det bara idioti att stå vid samverkanspunkterna och försöka filtrera ut de misstänktas kommunikation eftersom det där är stor risk att man missar den.
Jag skulle nog säga att det hotet mot Tor är mest hypotetiskt men OK, det finns där… Dessutom så ska ju inte FRA få tillstånd att spana om båda parter befinner sig i Sverige. FRA ska ju ägna sig åt ”utrikes förhållanden” enligt FRA-lagen.
Ja, om man litar på det och dessutom litar på att fra inte tolkar det som att en svensk kommunicerar med en utlänning (tor) och vice versa. Det är ju först när man redan avlyssnat trafiken och avgjort att det är Alice och Bob som är skyldiga som man vet att båda parter befinner sig i Sverige. Men då är skadan redan skedd.
Iofs sant. Fast verkar det inte lite långsökt att tro att FRA skulle lyssna lite på måfå och försöka tajma Tor-trafik mot annan trafik. Jag menar, FRA kan ju inte veta vilket protokoll som används i Tor-förbindelsen och under den fördröjning (säg 0.5 s vilket jag bedömer som rimligt) så har redan 40 Gbit trafik flutit genom knutpunkterna i Sverige åt vardera håll. FRA letar minst sagt efter en nål i en hö-äng och man är inte ens säker på att Bob sitter i Sverige!
Jo man är säker på att Bob sitter i Sverige, för man man vet vem Bob är och man ser ju trafiken som kommer till Bob från utländska Tor-routers. Det man vill veta är vem som kommunicerar med Bob.
Förvisso en nål i en hö-äng men inte mer än all övrig signalspaning som skall utföras av FRA. Det är ju datorer som löpande automatiskt analyserar trafiken, inte någon tjänsteman som behöver dra slutsatser för hand. Dessutom kan man zooma in på ett något mindre antal personer som kan antas ha tillgång till informationen som skickas till Bob. T.ex. ambassadpersonal, anställda vid ett visst företag, etc.
[...] lista över misstänkta terrorister. Allt medan de riktiga terroristerna skyddar sig och undkommer spårlöst. Det enda som händer är att vi känner oss säkrare trots att vi i själva verket har blivit mer [...]