Hemlig dataavläsning med myndighetstrojaner

höll tidigare i år ett presstal där han framförde följande:

berättar exempelvis att när de avlyssnat telefoner så kan de höra att när man närmar sig ett känsligt område då säger de som avlyssnas nu går vi över till Skype. Därför kommer regeringen att ge uppdrag till utredare att ta fram förslag på hur åklagarmyndigheten, och polismyndigheten kan använda för att avlyssna också den information som kan skickas genom krypterade kanaler.

Och Löfven fortsätter:

Med hemlig dataavläsning avses att de brottsbekämpande myndigheterna i hemlighet sänder en mjukvara, en så kallad trojan, till en dator eller en surfplatta. Man kan också ha en hårdvara placerad fysiskt i datorn och därigenom får den brottsbekämpande myndigheten besked om vilken information som finns i datorn och hur datorn används i realtid.

myndighetstrojanOch intressant är vad konsekvenserna av ett sådant lagförslag kan bli. Det kan innebära att myndigheter då har behov att införskaffa zero-days i exempelvis iPhones för att planera trojaner (implantat).

Det vill säga att utnyttja sårbarheter som ej är kända av tillverkaren (exempelvis Apple) och ej ännu åtgärdats. Men dessa sårbarheter upptäckts sällan av enbart en aktör och nyttjas och säljs troligtvis även till diktaturer samt kriminell verksamhet som i fallet med italienska .

Men zero-days är dyra och kan kosta åtskilliga miljoner kronor och därför är andra metoder mer effektiva såsom att injecera trojaner i nedladdade icke signerade mjukvaror eller ”evil maid” attacker där fysisk tillgång finnes.

Givetvis påverkas även den enhet där trojanen installeras och kan i värsta fall förstöra eventuella bevis och förändra den avlyssnades beteende.

Dock så anser jag att lagförande myndigheter måste ges möjlighet att använda en verktygslåda som är uppdaterad till 2000-talet.

Tittar vi ute i världen så har flertalet misslyckade utvecklats () där Tysklands trojan felaktig implementerade krypto samt skickade ut information över landets gränser som gjorde det möjligt för andra länders underrättelsetjänster ta del av avlyssningen.

Den statliga utredningen om hemlig dataavläsning () kommer att redovisas senast 13 november 2017 på följande webbsida.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

2 comments

  1. Andreas Häglund

    Håller med dig: lagförande myndigheter måste rimligtvis kunna utöva sitt uppdrag, och behöver då tekniska verktyg som speglar dagens kommunikationssätt.

    Ett problem jag ser med denna typ av offentlig debatt om metoder och teknik som Löven exemplifierar genom sina uttalanden är att det underlättar för de mest slipade brottslingarna att veta hur dom bäst undviker avlyssning.

    Jag hoppas att utredningens offentliga del håller sig till övergripande frågor om principer, etik, styrning och kontroll, och att detaljer om exempelvis metoder och teknik redovisas för en begränsad krets i hemlig form. Annars riskerar de nya åtgärderna att få begränsad verkan.

  2. Syber Dyne

    Skype (microsoft) erbjuder ju legal intercept till myndigheter så detta måste vara fel eller taget ur sitt sammanhang. Att sköta ”hemlig data avläsning” utan översyn är mycket oklokt av följande skäl:
    1 Det är tekniskt svårt att tidsbegränsa ett sådant intrång.
    2 Det är svårt att garantera att rätt mål nås av ingreppet.
    3 Polisen kommer alltid sakna kompetens för sådana ingrepp och kommer därför låta det göras via upphandlingar till konsulter.
    3.a Konsulterna har varken etisk eller laglig träning.
    3.b Konsulter behöver/kommer inte redovisa sina metoder för beställaren (åklagarmyndigheten/poöisen)
    3.b.1 Därför kommer konsulter kunna köpa 0days från en kriminel tredjepart och på så vis lägga skattepengar i fickan på kriminella handlare.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>