Get tabalized!

Etter tragedien som rammet landet 22. Juli spekuleres det nå i alle medier hvorvidt hendelsen kunne vært avverget, om attentatsmannen kunne vært oppdaget og, hvorvidt han hadde medsammensvorne. I tillegg spekuleres det og rettes hard kritikk mot sikkerhetsmyndigheter, politi- og nødetater for hvordan hendelsen ble håndtert.

Selv om jeg personlig ikke har erfaring med terroraksjoner eller hendelser av slik alvorlighetsgrad har jeg en relativt lang erfaring med hendelseshåndtering, både på et operativt, taktisk og strategisk nivå. Jeg har erfaring fra redningsaksjoner, skarpe og truende situasjoner fra internasjonal militær tjeneste og hendelser fra min tid i politiet. I tillegg har jeg jobbet med og erfaring innen etterforskning av tung alvorlig kriminalitet (herunder terrorfinansiering) På bakgrunn av dette mener jeg å ha noe belegg for det som jeg har skrevet i dette blogginnlegget.



Overvåking og avsløring av potensielle trusselaktører

Kunne gjerningsmannen vært avslørt før han utførte sine handlinger? Vil mer overvåking kunne avsløre og forhindre fremtidige terrorhandlinger? Dette er spørsmål og debatter som nå får spaltemeter og tid i media. Kanskje vel mye fokus etter min smak, men likevel er det helt naturlig at dette kommer opp.  Jeg har personlig blitt oppringt av tre mediahus de siste ukene som vil ha mine synspunkter på dette. Det som nå oftest tas frem er PST sjefens uttalelser:

“Jeg tror ikke engang Stasi i Øst-Tyskland kunne ha avslørt denne personen. Han ville ha gått utenom nettet selv der”

Jeg kjenner ikke bakgrunnen for de uttalelsene så jeg skal ikke kommentere om dette ville vært tilfelle eller ikke, men inntil etterforskningen er ferdig og alle fakta har kommet på bordet ville jeg personlig ikke kommet med en slik uttalelse. Vi vet enda ikke hvorvidt ABB har kommunisert med radikale miljøer, har medsammensvorne på ett eller annet nivå, om han har hatt denne reisevirksomheten osv osv. Til det vet vi for lite enda. Derfor vet vi heller ikke hvorvidt ABB kunne vært avslørt og tatt hånd om før tragedien 22. juli. På samme måte vil all debatt om hvorvidt mer overvåking ville vært nyttig eller ikke ifm. denne tragedien kun bli spekulativ retorikk.

Pågripelse av ABB på Utøya

For det første. Jeg kjenner ikke til saken ut over det som har stått i media. Denne “kommentaren” er derfor kun basert på informasjon som har fremkommet i aviser, radio og tv. Med bakgrunn i min erfaring med håndtering av hendelser har jeg gjort meg noen generelle tanker rundt debatten som nå går for fult i media.

Et eksempel:

Vi vet ikke hvorfor Delta valgte en båtrute på 3km i stedet for 600m ut til Utøya. Men jeg er relativt sikker på at det er årsaker til dette. Hvilke blir kun spekulasjoner. Men fra et generelt utgangspunkt så vet jeg litt om hva og hvilke vurderinger som ligger til grunn for taktiske valg i en operativ setting. En essensiell vurdering her er en risiko- og sårbarhetsvurderinger mtp. sikkerheten til eget personell. Hvilke sikkerhetsrisikoer er det man står ovenfor, hva er risikoen med å velge en handling  jmf. valg rute ut til øya. Hva er sannsynligheten for en rask pågripelse uten skuddveksling eller utløsning av sprenglegemer med fare for tap av enda flere menneskeliv og har dette noe å si for rutevalget og entringspunkt på øya?

Kritikken vi ser mot politiet, hvor de blir stilt til veggs rundt både helikopter spørsmålet og disposisjonen av DELTA/Beredskapstroppen (inkludert valg av rute, båtvalg osv) er i beste fall kun etterpåklokskap, spekulasjoner og i mine øyne mye basert på hva om, hvis om, dersom… teorier.

Kunne politiet håndtert utøya scenarioet bedre? Svaret til dette er helt klart ja. Når jeg skriver ja så vil etthvert scenario kunne håndteres bedre sett i “etterpåklokskapens” lys! Håndtering av slike scenarioer vil ALDRI være perfekte. Det vil alltid være svakheter ved en strategi, det vil alltid være noe å hente på taktiske vurderinger og om mulig operativ innsats i stridens hete. Det folk derimot glemmer er at våre beste menn og kvinner, de med lengst erfaring gjorde sitt beste for å løse ett ekstremt vanskelig oppdrag. 22.juli scenarioet (bomben i regjeringskvartalet og utøyatragedien) var neppe noe beskrevet scenario i hverken table-top eller operative øvelser. Til det er scenarioet helt ekstremt! En evaluering vil peke på svakheter, men også korrekte vurderinger og valg som sparte menneskeliv.

De siste 4 ukene har vært svært interessante! Vi har kunnet se at Anonymous gikk ned for telling tidligere i mai, hvorpå vi så en ny og mer “militant” gruppering/utspring ble født. Denne grupperingen kaller seg LulzSec, og  har vist seg å være en betydelig potent aktør som har hacket en rekke prominente aktører, De rekrutterer aktivt og lærer opp egen fanskare i DDOS angrep som er relativt voksne. Det er derfor sannsynlig at LulzSec har sitt utspring fra #Anonymous sett i lys av timing og aksjonsform. Tiden vil vise

Anonymous har på sin side reist seg fra knock out’n tidligere i Mai og nå gjort en rekke “pek” rettet mot både USA, Spania, Tyrkia, Malaysia og i natt Norge. Angrepet på Kiwi skal jeg komme tilbake til, men det er helt klart at de nå ønsker å rette fokus mot mer tyngre mål. OpESR Operation Empire State Rebellion som er et angrep rettet mot det amerikanske pengefondet (Ikke det samme som det Internasjonale pengefondet)

De seneste angrepen vi har sett fra Anonymous har vært godt koordinerte i tid, noe som kan tyde på at Anonymous igjen har fått en operativ ledelse.  Bakgrunnen for denne påstanden er følgende:

“No action, whether it be militant or social can be carried out effectively by a disparate group of individuals. Every putsch needs a set of leaders and followers.” Med andre ord Anonymous har sine “Master of Puppets!”

Anonymous i Norge

I Norge så ser vi derimot at de aksjonære delene av Anonymous så langt består av kiddies som ønsker å gå i fotsporene til de mer velorganiserte og slagkraftige cellene i Anonymous. Angrepet på hostingleverandøren Portu (www.portu.no) hvorpå deres mest kjente kunde www.kiwi.no ble hacket viser dette. Det tikket inn meldinger fra både fjern og nær i natt kl 03 om at kiwi.no var tatt. Når jeg sjekket kiwi.no så kunne jeg se at Anonymous hadde tagget kiwi.no med følgende melding.

De første twittrerne la i natt ut følgende liste på http://pastebin.com/pmgMTvwd

weifa.no / .com

benos.no

medco.no

oslobilpool.no

ruteopplysningen.no

brim.no

kultursiden.net

tangram.no

vnmusicdreams.com

froynesinnfordring.no

prizelius.no

m.fl

Etter en kjapp analyse av ip-adresser og NS servere rundt kiwi.no og hvem andre så ble det relativt raskt klart at dette handler om en defacing ved å angripe sårbarheter til webhosten Portu. Så langt tipper jeg at simpel SQL injections ble benyttet. Alle domener hadde “Shared” hosting på serveren med ip: 85.196.81.171 og listen på pastebin.com ble verifisert.

Det dette angrepet viser er at de som har hacket kiwi.no og co er kiddies! Angrepsform og strategi underbygger dette. De benytter den enkleste måten for å spre sine budskap og kan sammenlignes med tagging av en ubevoktet vegg. Nettopp fordi den i likehet med en ubevoktet vegg var enkel å ta. Hadde Anonymous sine norske tilhengere hatt litt mer omløp i sentrale beslutningsorganer så hadde de skjønt at et angrep på uskyldige (noe annet kan jeg ikke se at ofrene her er) virker mot sin hensikt og budskapet får ikke mer slagkraft enn meningsløse pøbelstreker slik som tagging er. Hadde angrepet vært målrettet mot regjeringen.no så hadde om ikke annet angrepet fått mer tyngde og vært “fair” i den forstand at man ønsker å ramme beslutningstakere og IKKE uskyldige ofre. Men så langt har vi kun sett koordinerte DDOS angrep som har pekt direkte mot beslutningstakere.

Et spørsmål om integritet

Anonymous og en rekke tilhengere har tidligere gått ut å sagt at de tar avstand fra angrep slik som DDOS! Hvis de samme individene har litt integritet så bør de sporenstreks vise avstand fra både aksjonsform og den Anonyme bevegelse. Så lenge man viser dem respekt og støtte, så støtter man faktisk angrepene og at det er helt greit at uskyldige blir rammet!

Avslutningsvis velger jeg å sitere meg selv! “Noen har ryggrad og integritet, andre har ryggen full av skjit!”  Hva består din ryggrad av?

Personlig har jeg ikke brydd meg så veldig om “bevegelsen” Anonymous! For meg så har de fremstått som en gjeng med “kiddies” med kraftige verktøy og ideer som sikkert har påvirket spillet på mange måter. Men som fjortiser flest mangler de erfaring til å håndtere makten de besitter og utøver.

Anonymous som “gruppe/bevegeglse/gruppering/aktivister/bølge” (kjært barn har mange navn) kan enkelt defineres som en trusselaktør med middels til tung gradering. De har vist den siste tiden at de både har intensjoner og kapasiteter til å påføre enkeltpersoner, bedrifter og virksomheter, politiske partier og infrastruktur skade. Det var først når de begynte seriøst å sette opp “mirrors” for wikileaks og hacket seg inn og publiserte eposten til HPGary, i det de for alvor begynte å “DDOS” politiske partier, infrastruktur og ikke minst min egen webside (mulig de ble irritert etter at jeg kalte angrepen som simple) og begynte å tulle med Playstation Sony Network at jeg begynte å titte de litt nærmere i kortene. Siden februar i år har Anonymous fått usannsynlig mye publisitet og egoet har tydeligvis vokst proposjonalt med dette, fordi denne helgen kulminerte en intern krig i anonymous seg. Hendelsene som skjedde sist helg med “coup de tat” som Anonym kalte det kom ikke overraskende på meg. Miljøene som observerer Anonymous begynte tidlig forrige uke å melde om at det var uovernstemmelser og intern krangling på gang. Denne “krigen” var ledet av Ryan som sammen med en egen “task force” tok over Anonymous egne servere og infrastruktur, beviste at Anonymous i virkeligheten ikke var en så hodeløs organisasjon likevel.

Som infosec.com treffende har skrevet det:

“In fact, the further fact that a small group has in fact taken over, shows that no action, whether it be militant or social can be carried out effectively by a disparate group of individuals. Every putsch needs a set of leaders and followers.”

Bedre kan det kanskje ikke sies! Anonymous og de som støtter opp om dem er enten for naive til å forstå dette, eller de ønsker bare å fornekte realiteten og kjøper Anonymous sin propaganda om at de er en autonom sverm med egen fri vilje!

I helgen sprakk trollet og spillet brettes nå ut world wide. Tidspunktet var også hendig med tanke på at Høyre hadde sitt landsmøte samme helg! (tilfeldig?) Hendelsene i Anonymous bekrefter teoriene om at den største trusselen kommer fra innsiden hos misfornøyde “tilhengere”, spesielt tilhengere eller infiltratører som har nøkkel til å adminstrere Anonymous sin infrastruktur for kommunikasjon (IRC) og kommandosentral (AnonOps)

Anonymous avkledd

Informasjon om ip-adresser, nicks og IRC log ble publisert på Internett og plutselig ble ikke alle “små og store troll” så hodeløse likevel. I denne oversikten av ip-adresser ser vi en mengde individer som nå er blottlagt. Noen av dem har vært flinke og benyttet VPN forbindelser, mens andre har absolutt ikke klart å skjule sine spor. Når disse “noen” atpåtil har benyttet norske sporbare ip-adresser (shell kontoer) så faller noen brikker på plass. En kjapp analyse av ip-adressene resulterte raskt i at man kunne sansynliggjøre identiteten til enkelte aktører, dette alene ved å tittet på eieren av ip-adressen og domener. Nå er det umulig å fastslå identiteten uten å verifisere dette ytterliger men det er relativt åpenbart!

Spørsmålet er nå hva som vil skje med “trollet” som sprakk. Eventyrene sier at nye hoder kan vokse ut noe som kan bety Ryan & Co vil regruppere og etablere en mer agressiv organisasjon (sverm, bølge, whatever m.m) som prøver å holde på idealet om en “bevegelse” uten ledelse… Mange hevder at hvis så skjer, vil de også falle i samme felle som tidligere og historien gjentar seg.

Avslutningsvis vil jeg “qoute” infosecisland.com:

“Face it kids.”Wash, Rinse, Repeat:

Kilder: En løst sammensatt anonym gjeng/sverm/bølge/ uten ledelse…

Det har gått både dager, uker og måneder siden sist. Beklager dette!

DLD er vedtatt i stortinget og kan forventes implementert i 2012 men først etter at politiregister loven er på plass. Sånn sett skulle man kanskje tro at DLD er klart for utrulling og begynne å virke slik intensjonen er. Desverre eller heldigvis (alt etter hvem du er) så er nok ikke siste runde ifm. DLD sagt. Motstanderne med blant annet STOP DLD i spissen har varslet rettsak for å få stoppet innføringen av direktivet. Siden sist har jeg også deltatt i en DLD debatt på NRK ifm. Schrödingerskatt Tekno serie. Du kan se debatten her

 

Dette blogginnlegget vil ikke fokusere på eller gå inn på verdispørsmålet, argumentasjon mot de paranoide, anarkistiske, anarkosyndikalistiske og/eller alle andre argumentasjon som retter seg mot  at DLD er en innføring av en politistat som truer alle tenkelige menneskerettigheter. Blogginnlegget vil derimot ta for seg hvilke behov politi og påtalemyndigheter har for tilgang til historiske (les lagret) kommunikasjonsdata slik som f.eks DLD. Det betyr derimot ikke at jeg ikke ser at DLD reiser en rekke verdispørsmål rundt personvern. Men det er ikke det denne bloggen handler om. For de som ønsker å lese mer om dette anbefaler jeg å lese hva STOP DLD sin egen sjefsjurist og menneskerettsforkjemper @jonwesselaas har skrevet.

 

Vinkling

Min vinkling på DLD har i all hovedsak vært å belyse effekten og nytteverdien for politi- og påtalemyndigheter, samt argumentere mot en rekke påstander om det motsatte slik som hvor enkelt det er å omgå direktivet og alskens svartmaling og konspirasjonsteorier. Etter ett halvannet år med hektisk debatt så ser det fortsatt ut som at en del av motstanderne ikke klarer eller ikke vil innse at elektroniske spor og nytteverdien/avhengigheten av dem går i takt med samfunnsutviklingen og bruk av ny teknologi. Når jeg spør motstanderne hvordan politiet skal kunne klare å etterforske kriminalitet som er planlagt, kommunisert og kanskje utført ved hjelp av informasjons- og kommunikasjonsteknologi så er svaret… “Hva gjorde de i gamle dager når slike spor ikke fantes?” Dette viser kanskje hvor lite enkelte har skjønt av problemstillingen og forståelse for hvordan kriminelle i dag operer, planlegger, kommuniserer og gjennomfører sine kriminelle handlinger vs. for hvordan de opererte for 20-30 år siden. Hverken “operasjonsmønster” eller teknologi ble benyttet på samme måte av kriminelle på den tiden. I dag vet vi at behovet for å kommunisere, administrere og gjennomføre en rekke typer kriminalitet gjøres nettopp ved støtte av teknologi. i tillegg har kriminaliteten og dens vesen blitt globalisert på en helt annen måte enn hva som var tilfelle på 70-80 og langt ut i 90 tallet.

For å eksemplifisere dette litt, så skal jeg benytte noen enkle virkemidler. Eksemplene er ment for å vise prinsippet og er kanskje ikke de beste, men du bør se poenget uten at du i kommentarfeltet ønsker å påpeke alt!

Mobilitetsprinsippet

Før mobiltelefonen inntok hadde vi fasttelefoni. Denne telefonen var koblet til linjer som ble terminert i hver enkel bygning/hus/leilighet. Det vil si at når noen ringte og nummeret var kjent var abonnement og den fysiske lokasjonen mellom telefonapparatene kjent. I tillegg var alle med noen få unntak i praksis oppført med telefonnummer og adresse i den store telefonkatalogen. Med andre ord var de elektroniske sporene relativt begrenset. Svarte noen i telefonen så viste du at de var hjemme. Ble du oppringt så viste du at personen i den andre enden var hjemme og ikke utenfor huset ditt!

I dag er bildet helt annereledes. Det er svært få som benytter fasttelefoni da alle har gått over til mobiltelefoni. Mobilnummer skifter eier i langt større grad enn hva gjelder for fasttelefoni. Som en kuriositet så husker jeg fasttelefon nummerene til mine kamerater og deres foreldre enda etter 20år. Mens mobiltelefon nummerne husker jeg aldri fordi de ofte skiftes og nummeret har liten eller ingen praktisk betydning i dagens mobiltelefoner. I tillegg blir nå mobil/telefoni ip-basert innenfor et UC regime. Nå er det ikke lengre innlysende hva,hvor, eller hvordan du kommuniserer med noen. Vi vet heller ikke hvor du befinner deg når du ringer og denne kompleksiteten og endring i bruksmønster gjør at politiet har helt andre behov enn tidligere.

Det samme kan man godt si om tilgang og bruk av Internet. På 90 tallet og langt ut i 2000 tallet så var mobilt bredband et ikke tema blant folk flest. Før så viste man at den ip-adressen var terminert i en husvegg og tilhørte en gitt juridisk eier. I dag så vet vi at mer og mer av internettbruken blir basert på mobilteknologi. En undersøkelse fra 2008 (3 år siden) sier at 70% av alle japanere leser og oppdaterer sine sosiale medier, sjekker epost og er på internett mest via mobiltelefon. Dette er nok også svært aktuelt for den vestlige verden der alle trender peker i retning mobilt internett. Med andre ord så har teknologien gitt store endringer i bruksmønster og hvis vi ønsker at politiet skal kunne etterforske planlegging, kommunikasjon og gjennomføring av kriminelle handlinger hvor mye av det taktiske spillet er gjort via mobil teknologi så er de faktisk nødt til å få tilgang til spor. Hvis ikke blir (eller har allerede blitt) slik etterforskning en umulig oppgave. Jeg har hvertfall til gode å se gode svar på alternativer hvor sikring og analyse av spor som er juridisk holdbare i en rettsak kan gjennomføres i praksis.

I min verden så er hvertfall utfordringen at hvis politiet ikke har denne muligheten så vil de heller ikke kunne klare å etterforske, avdekke faktaforhold og eller samle spor som sammen med tradisjonell etterforskning gir dem fellende bevis.

Poenget er at når straffbare handlinger planlegger, organiseres og eller gjennomføres vha. teknologiske hjelpemidler må også politiet ha en mulighet til å etterforske dette. Å peke på at politiet må forholde seg til klassisk (og gamle) etterforskningmetoder som ikke gir dem tilgang til slike bevis/spor blir da i realiteten å si at den teknologiske arenaen er unthouchable, som om ikke politiarbeidet fra før er vanskelig nok?! Det er ikke jeg spesielt tilhenger av eller har noen tro på er noe samfunnet er tjent med.

Les mer om utfordringene ip-adresser og dagens 21 dagers regel i mitt forrige DLD innlegg 

Men…. (effekt og omgåelse)

Ja det finnes en rekke men… DLD er og vil aldri bli perfekt og det vil ikke være saliggjørende for politiet. Det vil også isolert sett være mulig for kriminelle og andre å omgå direktivet. På samme måten som at kriminelle klarer å unngå å legge igjen andre typer spor på et åsted. (fingeravtrykks/hette prinsippet) Men alle vet noen ganger så er den kriminelle uforsiktig og glemmer seg. Den perfekte forbrytelsen finner svært sjelden sted. Man skal aldri si aldri. Min påstand er at å klare å omgå direktivet over tid og ikke legge igjen spor av kriminell handling er praktisk umulig, I praksis vil ikke det være gjennomførbart selv om det i teorien kanskje lar seg gjøre. Selv de som er mest paranoide i dette samfunnet feiler noe de siste dagers hendelser rundt de såkalte Anonymous har vist! (les mer om dette her)

Og hvorfor er det slik?

Det er ikke slik at de kriminelle som DLD er myntet på å bekjempe er styrt at isolerte hendelser. “NÅ skal jeg være lovlydig borger… og NÅ skal jeg være kriminell så da må jeg skjule mine spor!” Organiserte kriminelle er ofte multikriminelle og har kriminalitet som livsstil. De er “kriminelle” hele tiden i det perspektive kommuniserer, planlegger, organiserer og utøver de kriminell adferd. Når du lever i denne boblen/livsstilen så vil de fleste ikke klare å holde seg anonym! Et eksempel på dette er at organiserte kriminelle trenger å komunisere seg imellom. Selv om man har tatt alle mulige forbehold, og sågar prøvd å slette det meste, finner man igjen små puslespillbiter som gjør at man kan få lagt på plass de siste brikken noe Nokas saken er et godt eksempel på. Jeg jobbet selv med denne og en rekke andre saker i samme “kategori” hvor slikt var tilfelle i den perioden jeg jobbet med sikring og analyse av elektroniske spor i politiet.

Når det gjelder alvorlig kriminalitet slik som vold, drap og sedelighetssaker så skjer dette i all hovedsak i affekt. I de tilfellene har ikke vedkommende tenkt gjennom alle elektroniske spor som legges igjen, og har ikke tatt nødvendige forbehold. I de sakene vil elektroniske spor ofte ha stor betydning. Desverre har ikke politiet i Norge vært flinke nok til å vise oss tallmateriale for hvor viktig elektroniske spor er. Dette har de selv innrømmet og tatt til etterretning. Det er kanskje derfor jeg skriver denne bloggen!?

Utfordringen er at utviklingen, handling- og kommunikasjonsmønsteret til de kriminelle ikke kan håndteres av tradisjonell etterforskning uten tilgang til historiske lagrede kommunikasjonsdata! Hvis du er opptatt av at politiet skal kunne kartlegge, dokumentere og etteforske faktaforhold ifm. kriminell aktivitet og mener noe annet er både jeg og helt sikkert politiet svært interessert i å høre på fasiten!

To be continued…

 

I januar 2010 skrev jeg om noen av risikoene ved tilsiktet og utilsiktet datalagring via sosiale medier vs risikoen mange frykter ved innføringen av et datalagringsdirektiv.

Min påstand nå 11 måneder etter at jeg skrev artikkelen er at jeg er fortsatt mer redd for organiserte kriminelles misbruk av informasjon som vi frivillig legger igjen på sosiale medier, blogger og ukritisk sprer om oss enn myndighetenes fryktede misbruk av trafikkdata lagret i et DLD. Min påstand er også at sannsynligheten og konsekvensen er større for at personsensitiv data lettere blir misbrukt av kriminelle enn av myndighetene. Hvis vi stoler SÅ lite på myndighetene så er ikke DLD problemet. Da har vi helt andre problemer i dette landet. I såfall har man en jobb å gjøre ved neste stortingsvalg!

Her er kommentaren i sin helhet slik den ble trykt i Inside Telecom 4. Januar

http://www.knackit.net/blawg/?p=54

Datalagringsdirektivet (DLD). Det er vel få tema som har vært diskutert så heftig som akkurat dette direktivet. Personvern forkjempere og privacy evangelister kjemper med nebb- og klør og tegner opp et 1984 scenario. Forkjempere mener at dette er et viktig verktøy i bekjempelsen av alvorlig kriminalitet. I dette innlegget skal jeg forsøke å nyansere litt av den debatten jeg selv har vært en del av.

Datalagringsdirektivet har til hensikt å gi justismyndighetene et verktøy for å avdekke, etterforske og rettsforfølge alvorlig kriminalitet. La det være klinkende klart at datalagringsdirektivet alene ikke vil løse utfordringene påtalemyndigheten har i dag med å bekjempe alvorlig kriminalitet. Til det er det andre tiltak som må iverksettes. Styrking av politiets ressurser og en fornuftig organisering er nok stikkord når det kommer til merkbar økning av oppklaringsprosent. Ressursmangel vil alltid være på dagsorden og det er ikke et argument mot å innføre adekvate verktøy for å analysere trafikkdata. DLD er ikke et optimalt verktøy, men det er bedre enn de muligheter som påtalemyndighteten i dag besitter. Min påstand er at for å kunne etterforske alvorlig kriminalitet i fremtiden hvor planlegging, informasjonsutveksling og handlinger gjøres i en elektronisk verden, så vil tilgang til historiske trafikkdata være kritisk.

Utlevering av trafikkdata er i dag regulert av straffeloven og ekomloven (som forøverig er ute på høring). Lovverket gir i dag påtalemyndigheten mulighet til å få utlevert trafikkdata, men begrensningene i dagens lovverk gjør at trafikkdata (spesielt Internettrafikk) ofte er slettet før påtalemyndigheten får mulighet til å begjære dem utlevert. Det er kanskje her et direktivet vil være til størst hjelp slik jeg ser det.

Det mange tydeligvis ikke har fått med seg er at data som ønskes lagret ifm direktivet finnes i ISP´enes systemer i dag og kan i prinsippet begjæres utlevert selv om det foreligger en sletteplikt. Dataene er ikke pr. definisjon lagret, men dataene ligger som loggdata og som grunnlagsdata i produksjonssystemene og faktureringssystemer. En rapport fra Teleplan i 2006 og 2008 forteller noe om dagens praksis når det kommer til lagring. Forskjellen vil være ved implementering av DLD at dataene nå må genereres, struktureres og lagres i et bestemt tidsperiode i egne “dld-systemer” slik at de kan begjæres utlevert av politiet. Det foreligger også forslag om hvordan denne informasjonen skal sikres ut over de krav som allerede eksisterer.

Trafikkdata fra Internet
Hovedregelen er at trafikkdata fra Internet slettes 21 dager etter at det ble lagret. 21 dager lagring er i de aller fleste tilfeller alt for kort tid hvis de skal komme til anvendelse i en større etterforskning. Min personlige erfaring med etterforskning av slike saker har lært meg ett og annet om hvor lang tid slik etterforskning faktisk tar i kalender tid. Det er heller ikke slik at når dag 1. av etterforskningen starter så har man alle ip-adresser, epostadresser og data som gir informasjon om hva etterforskningen trenger av opplysninger. Dette er informasjon som tilkommer etterhvert som etterforskningen strider frem. Et godt eksempel på hvor slik informasjon kan komme fra er analyse av data og mobilbeslag. I slike beslag vil man ofte finne en mengde informasjon slik som lagret epost og internetthistorikk som igjen inneholder epostadresser og ip-adresser fra headere og Internet cache. Analysen skal så gi grunlag for om data kan vurderes som interessante elektroniske spor. Alle som har en minste forståelse for hva slik analyse innebærer vet at dette tar tid. Da er desverre hovedregelen at sanden har rent ut av glasset og 21 dagers fristen utløpt. Det kan virke som at mange motstanderne av DLD har glemt at ting tar tid!

Kilde: Samferdselsdepartementet

DLD vil på ingen måte være det optimale verktøyet. Vi må være spesielt klar over hvilke trafikkdata som er nyttig. I enkelte saker vil kommunikasjonsdata (hvem som har snakket med hvem, og datoer for denne samtalen) være viktig. I andre sammenhenger vil lokasjonsdata (informasjon om hvor en bruker har kommunisert fra) være vel så vitktig. En rapport utredet for Datatilsynet av Svein Yngvar Willassen viser en systematisk gjennomgang av nytteverdien av elektroniske spor i etterforskning. Jeg deler ikke alle konklusjonene med Willassen, men han har et poeng når han skriver;

“Utfallet av en avveining avhenger av en demonstrasjon av i hvilken grad slike bevis vektlegges i forhold til andre bevis i saker der slike data er benyttet.” (Willassen)

Det er helt klart at elektroniske spor har sine begrensninger. Sporene peker bare på bruker-id og utstyrs-id. Hvilke personer som står bak er ikke alltid like klart. Det er her man må skille på informasjonsinnsamling og analyse. Hvis man sammenstiller funn fra mobil/databeslag med trafikkdata vil man som oftest kunne sannsynliggjøre hvilken person som benyttet abo-id eller det tekniske utstyret. I noen tilfeller er det umulig å konkludere, i andre er det mulig. Sånn er det.

Del. 2 kommer plutselig!

Som gransker og rådgiver innen sikring og analyse av elektroniske spor og ingeniør innen datarekonstruksjon fra blandt annet lov og ordensetaten og sikkerhetsbransjen  har jeg lært ett og annet om hva som er teknisk mulig å rekonstruere av data fra lagringsmedier. For en tid tilbake kom jeg over problemstillingen rundt sletteverktøy for harddisker.

Spørsmålet er: Sletter de ALT innhold på en harddisk, og kan man være sikker på at disken ikke inneholder gamle data?

Produsentene og softwareselskapene hevder at deres sletteverktøy sletter ALT. For å sitere en større aktør i bransjen så skriver de “Completely removes all data on targeted storage devices using proven, customizable overwriting procedures”

Med dette som utgangspunkt ønsket jeg å verifisere påstanden. Jeg og min tidligere kollega drøftet problemstillingen og kom frem til følgende proof of consept for å teste påstanden. Vår hypotese var at sletteverktøyne ikke sletter/overskriver alt, men de sletter/overskriver de sektorer på harddisken som programmet får tilgang til.

Hils på g-list & p-list.

Når diskprodusentene produserer en harddisk, kommer den alltid med en del feil på platelageret. Feilene blir før utsending analysert og hard kodet inn i firmware på disken i en tabell som kalles p-list. Denne listen holder oversikt over “default” skadde sektorer slik at disken ikke skriver data til de skadde sektorene.

Etterhvert som disken blir satt i produksjon hos sluttbrukeren, så skapes det flere sektor feil. Skadde eller “bad sectors” blir da registrert og lagt til i en tabell som kalles g-list. Growth-list.

Proof of consept!

Man skaffer tilveie en helt ny harddisk av typen IDE/S-ATA. Dette er de mest brukte harddiskene og de finner du i alt fra mainstream laptops til arbeidstasjoner, mobile disker og mindre servere. Vi formaterer disken i NTFS som er det mest brukte filsystemet under windows, og skriver data disken. I dette tilfellet en tekstfil. Vi åpner så disken i en hex editor for å lokalisere filen og hvor på disken filen er lagret.

Skjermbildet viser filen “frank.txt” som ligger på sektor 129958

En disk som benyttes over langt tid 2-3 år vil ha mange skadde sektorer og tabell innholdet i g-list vil ha en oversikt over disse. For å simulere diskbruken og skadde sektorer så kan vi tenke oss at sektor 129958 blir skadd, og blir således lagt til i g-list ved hjelp av ett verktøy.  Det som skjer da, er at innholdet på denne sektoren blir remappet (kopiert) til en ny sektor. La oss si 159958 og den originale sektoren blir merket som “bad” i g-list.

Sikker sletting

Vi installerer da disken i en datamaskin, og booter denne opp med en cd-rom eller en floppydisk som inneholder sletteprogrammet. Dette kan være open-source verktøy eller komersielle verktøy slik tidligere sitert. Man blir da geleidet gjennom en prosess og programvaren overskriver alle skrivbare sektorer. Men ikke de sektorer som ligger i p-list eller g-list. Med andre ord, den overskriver kun de sektorer programvaren den får tilgang til.

Do the magic!

Når vi da igjen kobler opp disken til vårt verktøy som lar oss editere g-list, fjerner vi denne sektoren 129958 fra tabellen noe som forteller disken at sektoren igjen er lesbar og skrivbar. Når vi da henter opp disken og sektor 129958 i en hexeditor vil vi kunne lese og kopiere ut innholdet.

Konklusjon

Mange forbrukere, virksomheter og offentlige etater blir etter min mening villedet i å tro at software baserte sletteverkøy sletter ALT innhold på disken. En del av slike verktøy er godkjent av sikkerhetsmyndigheter verden over, og godkjent for sikker sletting av data opp til begrenset. Men leverandørene og produsentene glemmer å fortelle deg om denne svakheten!

En harddisk som har stått i en datamaskin over flere år, som inneholder en dokumenter med skjermverdig informasjon vil etter såkalt sikker sletting fortsatt inneholde en mengde data som for en trusselaktør kan være verdifull. Fordi innholdet er ikke slettet.

Motargumenter fra bransjen vil selvfølgelig være at. Dette er korrekt, men dette er så teknisk vanskelig å gjennomføre, at risikoen for at noen klarer å følge fremgangsmåten som beskrevet lengre oppe i dette dokumentet er svært liten eller utenkelig. Noe som minner meg om ordtaket “Security Through Obscurity” Som går ut på at vanskelighetsgraden eller hemmeligholdet for hvordan ting egentlig fungerer skaper en illusjon om at ting er så vanskelig eller komplisert at trusselaktører ikke kan forstå eller kompromittere løsningen.

Dette er ikke ett angrep mot produsentene eller sletteverktøyene. De utgjør en viktig brikke for de aller fleste som ønsker å slette data på en “sikker” måte. Men skal du være helt sikker så er det bare degaussing, kryssklipping og omsmelting som faktisk gjør jobben!

I dag leste jeg artikkelen i Aftenposten om informasjonslekkasjene i regjeringskvartalet.

Dette skjer fordi vi er i krig!

Vi er i krig, og da tenker jeg ikke på krigshandlingene våre beste soldater utfører i Afganistan. Vi deltar i en cyberkrig! Denne sommeren har cyberkrig blitt satt på kartet, også her på bjerget. Paradigmeskiftet kom med trojaneren Stuxnet. Trojaneren som ikke bare kan stjele informasjon men som også er skreddersydd for å ta over kontrollen og styre automasjon- og industrisystemer. Muligheten til å utføre cyber warfare er ikke lengre teoretiske trussel scenarier.

Først la oss definerer hva cyber warfare er. Kort fortalt er cyber warfare en høyteknologisk krigføring, hvor hensikten er å skaffe tilgang til skjermverdig informasjon- og/eller kompromittere nasjonal infrastruktur. Således er ikke konsekvensene av cyber warfare noe nytt. Fremmede stater og trusselaktører har siden det forrige årtusen prøvd å skaffe seg tilgang til skjermverdig informasjon og lagt planer for å ødelegge infrastruktur, dog da med konvensjonelle metoder. Forskjellen er med andre ord metodikken og angrepsvektorene. Målene er fortsatt de samme. Cyber War er godt beskrevet i boken “Cyber War” av forfatteren Richard A. Clark og kan kjøpes på Amazon

Mange vil hevde at cyber warfare tilhører fremtiden og er en overdrevet risiko. Da jeg for snart 10 år siden jobbet i politiet og advarte mot cyberkriminalitet ble dette nærmest avvist av politileder i Norge. Denne skepsisen gjelder også for cyber warfare. Realiteten sier nå noe annet og det er på tide å våkne opp.

Hvorfor er cyber warfare aktuelt? Svaret er opplagt

1. Skjermverdig informasjon lagres i datasystemer og kritisk infrastruktur styres av datasystemer.
2. Fiender er på jakt etter nye metoder for angrep som er billigere, lettere tilgjengelig og har en lavere risiko enn konvensjonell krigføring.

Vi snakker om trusselaktører som benytter cyber warfare metodikk til å spionere på norske interesser og terrorister som har kompetansen og teknologien til å angripe nasjonal infrastruktur. At dette er reelle trusselscenarioer er trojaneren Stuxnet et solid bevis for.(Les mer om hva Wikipedia skriver om Cyber Warfare her: http://en.wikipedia.org/wiki/Cyber_warfare og om Stuxnet her: http://en.wikipedia.org/wiki/Stuxnet og her: http://threatinfo.trendmicro.com/vinfo/web_attacks/Stuxnet%20Malware%20Targeting%20SCADA%20Systems.html)

Har vi sett cyber warfare her i lands?

NSM meldte i slutten av august at de hadde avdekket angrep rettet mot nasjonal infrastruktur (link http://www.aftenposten.no/nyheter/article3787644.ece)

Politiets sikkerhetstjeneste advarte mot industrispionasje mot oljesktoren i juli (http://www.aftenposten.no/okonomi/innland/article3746943.ece) og

Aftenposten meldte i dag (19 oktober 2010) om at enorme mengder data/informasjon stjeles fra regjeringens datasystemer (Depnett/u) og man har ikke kontroll på hvem eller hva som er på avveie. (link: http://www.aftenposten.no/nyheter/iriks/article3862920.ece) Enda værre er kanskje påstandene som kommer frem i artikkelen om at Departementets servicesenter skal ha manipulert datalogger og tilganger når Riksrevisjonen har gjort sine revisjoner. Dette sier kanskje noe om sikkerhetskulturen som råder i både Departementets servicesenter og Fornyings-, administrasjons- og kirkedepartementet (FAD) med statsråd Rigmor Aasrud ved roret. Det står i sterk kontrast til Aaseruds og FADs uttalte pressemelding “Vi må få på plass en sikkerhetskultur” (link: http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/2010/-vi-ma-fa-pa-plass-en-sikkerhetskultur.html?id=614800)

Hvorfor er jeg ikke overrasket over funnene som Aftenposten viser til?
Jeg har selv over ti års erfaring med informasjonssikkerhet og hendelseshåndtering. Jeg har utarbeidet en rekke trusselanalyser, deltatt i sikkerhetstester og bistått ved sikkerhetshendelser i alle primærvirksomheter i Norge, både i offentlig og privat sektor. De funnene og sakene som ble avdekket var mildt sagt urovekkende. Hvor dårlig tilstanden er i resten av landets offentlige og private virksomheter er selvfølgelig spekulasjoner, men det jeg leser i dagens Aftenposten kjenner jeg meg godt igjen i og jeg blir liksom ikke overrasket lengre. Ordtaket “toppen av isfjellet” er kanskje en klisje, men den er likevel en realitet.

Mørketallrapporten kan kanskje kaste lys over tilstanden. Tall fra undersøkelsen viser følgende

Kilde: Mørketallsrapporten 2010

Trusselaktørene
Hvem er så trusselaktørene? Fremmede stater, terrorister- og organiserte kriminelle i all hovedsak. Det går rykter om at det er en rekke virksomheter som har statsstøttede enheter som har cyber warfare som sitt primærvirke. Hvorvidt dette er konspiratoriske rykter eller fakta vet jeg ikke, men forundrer meg ikke. Vi har nok av saker som omhandler virksomheter som er villige til å gå langt for å få tak på informasjon som kan gi vinning.

En ting er cyber kriminalitet, noe annet er cyber warfare. Det er tilnærmet umulig å finne ut hvem som egentlig står bak cyber spionasje og sabotasje på dette nivået. Spesielt ved DOS angrep (tjenestenekt angrep) er det vanskelig å spore hvem som direkte står bak. Slike trafikkkorker er en ting, men spionasje kan være vel så farlig og det er ofte vanskelig å se konsekvensene før det har gått lang tid.

Påstand
En god venn og våpenbror sa: “Informasjonssikkerhet alt for viktig til at ansvaret bør ligge i en IT-avdeling!” Og jeg er enig. Ansvaret må ut av driftsmiljøene og inn hos ledelsen hvor ansvaret ikke pulveriseres og det er nok myndighet til å få iverksatt forebyggende sikkerhetsaktiviteter slik som trussel- og risikoanalyser, sikkerhetstester- og revisjoner og beredskapsplaner og avsette nok ressurser for hendelseshåndtering den dagen det brenner på dass!

Det er ikke spørsmål om cyber warfare vil treffe Norsk jord. Spørsmålet er når din husstand og virksomhet mister strømmen pga av det!

PS! Hvis noen trenger hjelp så er jeg ledig for oppdrag! (Host) #dagens_reklame

Du har sikkert en iPhone du også siden du leser dette. Med det nye iOS4 så kom det en rekke funksjoner, deriblandt multitasking. Dette medfører ikke bare glede. Utfordringen er at applikasjonene som du kjører blir ikke automatisk lukket, men kjører i bakgrunnen, og det er ingen intuitiv måte å lukke dem på. Men det finnes noen triks!

1. Dobbelt trykk den runde funksjonsknappen nederst på telefonen.

2. Hold så inne ett ikon på den nederste rekken og de vil begynne å riste. Trykk da på (-) tegnet og vips du har lukket ett program som kjører i bakgrunnen.

I tillegg til å få lukket programmer som kjører i bakgrunnen er det også greit å se hva som kjører av apps på din Iphone.