---
Opsec
I sikkerhetsfolkenes stammespråk kalles det å ta med seg telefonen til Iran for «dårlig opsec», altså svak operasjonell sikkerhet. Opsec er vern av informasjon som kan brukes av en fiendtlig aktør til å pusle sammen et større bilde, som deretter kan gi fienden en fordel.
---
Fiskeriminister Per Sandbergs mobilbruk på reise til Iran og Kina ble en faktor i helhetsvurderingen som kostet ham jobben. Men la oss nå stille oss i skoene til en iransk etterretningsagent, på et bakrom på flyplassen, med en norsk ministermobil i hendene. Hvordan går vi derfra til «trussel mot rikets sikkerhet»? Hva er det, helt konkret, som kan ha skjedd?
Hva iransk etterretning er i stand til, er det vanskelig å vite. Hvordan norske statsråders telefoner er sikret ut over det vanlige telefoner blir, er også hemmeligstemplet. Men basert på åpne kilder og andre hendelser går det an å identifisere noen mulige angrep, om man skulle stå i den situasjonen at man vil stige i gradene:
1. Avlytting og sporing i Iran.
Vanskelighetsgrad: elementært. Ved å lese av mobiltelefonens «ID-numre» – IMEI og IMSI – kan du avlytte alle samtaler og triangulere hans bevegelser i Iran, ettersom du er representant for et regime som nok har fri tilgang til data fra mobiloperatørene i landet. Avlesingen kan gjøres på sekunder ved en grensepost.
Takket være Nato-makter som insisterte på at krypteringen i GSM-standarden skulle være enkel å knekke, er det i praksis svært enkelt for den som kontrollerer mobiltårnene å lytte til alle samtalene og SMS-ene. Om du har IMEI og IMSI, kan du selvsagt sette opp en automatisk avlytting i stedet for å lete etter nåla i høystakken.
Telefoner kringkaster, bokstavelig talt, IMEI- og IMSI-nummeret, så det finnes ingen annen forholdsregel enn å la den ligge hjemme.
Pussig nok demonstrerte Dagens Næringsliv en slik teknikk for avlytting på nettopp Per Sandberg i 2012. I Norge må man sette opp sine egne, falske mobilmaster, slik Aftenposten skrev mye om for noen år tilbake. Men prinsippet er det samme som om man kontrollerer hele nettverket.
2. Opplåsing.
Vanskelighetsgrad: middels til høy. Vi får i utgangspunktet anta at Per Sandberg aldri ga fra seg telefonen i opplåst tilstand, slik at en angriper fikk tilgang til å installere programvare på den. Men dessverre finnes det sikkerhetshull i alle telefoner. I tillegg til de kjente, finnes det en lang rekke såkalte «0days», hull som ikke er kjent for produsentene ennå. Det israelske selskapet Cellebrite tilbyr opplåsing av de fleste modeller av telefoner, deriblant alle modeller av Iphone. Nå selger neppe Cellebrite tjenestene sine til iransk etterretning, men poenget er at sikkerhetshullene finnes, og iransk og russisk etterretning er kjent for å være godt utstyrt til slike aksjoner.
Poenget er at sikkerhetshullene finnes, og iransk og russisk etterretning er kjent for å være godt utstyrt til slike aksjoner.
En annen mulighet for å få låst opp er mer prosaisk: Bruk et overvåkningskamera til å følge med mens Sandberg taster inn koden sin. Lås den deretter opp i et ubevoktet øyeblikk, for eksempel mens telefonens eier står på vannski.
Om du klarer å låse opp telefonen, er det deretter mulig å se på innholdet. Foto, kontakter, e-poster og potensielt dokumenter kan enkelt berges ut. Andre relevante data er ministerens cookies, som inneholder sesjonsnøkler for innlogging på diverse nettsteder.
3. Brohode.
Vanskelighetsgrad: høy. Opplåsing gir deg også en annen mulighet: Du kan få installert et brohode på telefonen – en programvare som så gir deg tilgang til å utføre instruksjoner på telefonen over internett. Det fungerer ved at en skjult app på telefonen jevnlig sender en liten pakke av data over internett til en kommandoserver (command & control – c2). Denne «føringsoffiseren» svarer med instruksjoner – enten om å bare holde seg i ro, eller ved å utføre forskjellige instrukser. Med dette brohodet på plass har du nå tilgang til litt av hvert på telefonen – avhengig av modell og konfigurasjon. Å skru på mikrofonen for å drive romavlytting er i hvert fall mulig. Det er vel i seg selv ganske interessant, med tanke på møtene en statsråd og partinestleder deltar i. Et ganske komplett GPS-spor er også temmelig greit å få til.
I verre tilfeller kan man tenke seg at programvaren klarer å lese av tastaturet på telefonen og lekke passord hjem. Ved hjelp av brohodet kan du nå opptre som om du surfer fra inne i regjeringskvartalet. Du er logget på de interne nettverkene, og kan snakke med serverne der. Hvis du i tillegg har passordene, ligger regjeringens dokumentsystemer for dine føtter. Kanskje klarer du til og med å «flytte lateralt», det vil si hoppe videre til andre enheter på nettverket. Du kan også forsøke å «eskalere privilegier», som betyr å jakte på administratortilgang. I så fall er det game over for regjeringens hemmeligheter.
Det viktigste for en slik programvare, som ofte kalles malware, er å holde seg skjult. Det er også det viktigste argumentet for at iranerne kanskje vil la være i dette tilfellet. Selv om de fikk tilsendt en svært naiv minister, må de ha regnet med at sikkerhetstjenestene i Norge før eller senere vil gå gjennom denne telefonen. Om de finner brohodet intakt, er det svært nyttig for den norske kontraspionasjen. Da kan de lære både hvor den sender data og hvordan den virker, og dermed hvordan man kan uskadeliggjøre den. Nå kan selvsagt et slikt brohode, om det er verdt bytene det er skrevet i, beordres til å slette seg selv og alle spor. Men risikoen var at Sandberg bare ga telefonen rett til PST uten å skru den på igjen. Det er også grunnen til at han burde gjort nettopp det.
4. Mannen i midten.
Vanskelighetsgrad: middels. Når telefonen til Sandberg ber om et nettsted, sendes dataene via deg. I trygge omgivelser videresendes henvendelsen til nettstedet, og telefonen blir enig med nettstedet om en trygg nøkkel for denne sesjonen. Deretter er disse dataene ende-til-ende-kryptert, noe som betyr at mellommenn (som deg) ikke får se innholdet. Men når du styrer alle routerne imellom, kan du prøve deg på et triks.
Når Sandbergs mobil ber om gmail.com, kommer det først som en datapakke til routeren din. Så sender du i stedet din egen forespørsel fra routeren til Google, dekrypterer svaret, og serverer det – ukryptert – til Sandbergs mobil. Det som var en kryptert forbindelse, er nå en ukryptert. Om ministeren skriver inn passordet og trykker «logg inn», sendes passordet ukryptert til deg.
En observant bruker ville nå lagt merke til at han mangler den grønne hengelåsen i hjørnet på nettleseren, eller at han er videresendt til en nettside med en marginalt annen adresse, eller lignende. En vanlig bruker vil ikke legge merke til det.
Nå skal det sies at nye versjoner av Chrome og Firefox er blitt stadig bedre på å varsle brukeren om at noe er galt. Mer sofistikerte utgaver av dette angrepet kan være nødvendig – og de finnes.
5. Phishing.
Vanskelighetsgrad: middels. Målet i dette angrepet er å få Sandberg til å laste ned og kjøre kode, for å etablere brohodet nevnt i punkt 3 uten å måtte ha fysisk tilgang. Denne typen angrep er i prinsippet mulig å få til også når telefonen er i Norge, men jo mer du kontrollerer av trafikken, jo enklere er det å få alt til å se tilforlatelig ut.
Moderne telefoner lar ikke brukeren kjøre hva som helst, men på den andre siden har ikke telefoner vanligvis installert brannmurer og virusskannere, slik som datamaskiner har. En måte å få Sandberg til å kjøre kode på, er å sende ham en e-post med en tilforlatelig lenke («Se dette tøvet Morgenbladet skriver om deg – bør vi kanskje reagere?»). Til og med adressen til nettstedet kan være i orden fordi du kontrollerer nettverket og dermed kan skrive om svarene med metodene fra punkt 4.
Når Sandberg kommer til «Morgenbladet», er det egentlig en kopi han ser, og når han trykker på en knapp, kjøres … noe. Her skal nettleseren beskytte deg, slik at det ikke ender opp med at koden «slipper ut» av nettleseren og inn i de andre prosessene på telefonen. I virkeligheten er det mange, mange eksempler på sikkerhetshull som gjør dette. For eksempel ble denne metoden for å få kjøre kode via Safari på IOS publisert 17. juni i år. En god tommelfingerregel er at de mest sofistikerte statlige aktørene har flere metoder i «verktøykassen» for hver slik metode som blir publisert.
Reiseråd.
Sikkerheten i et datanettverk er ikke sterkere enn sin svakeste node. En fiskeriminister er folkevalgt, ikke sikkerhetsklarert. Likevel må sjefen ha tilgang til det meste – det ligger i sakens natur. Det er etter hvert blitt en klisjé for sikkerhetsfolk at «sjefen er svakheten». Det spørs om det kan gå bra, i det lange løp. Men det virker klart at det kunne gått litt bedre enn det gjorde med Per i Iran.