Grænsen står pivåben for hackere

Fremtiden består måske kun af forkortelser? Forkortelser fyret af mellem særligt indviede, og så mange af dem, at der opstår et helt nyt sprog, nye stammer, med særlige ritualer. Vi taler i kode. Og når vi taler om internet og computere, er kode ikke noget med morse, det er KODE – KODE skrevet af kodere, kode i Python eller Java eller C++ eller de hundredevis af andre sprog, som kun en lille, højtbetalt, men alt for lidt agtet elite forstår.

Vi har ikke tid længere, det skal gå stærkt nu, fremad, afsted, sig det som det er, til os der forstår det og skid på resten og skær ind til benet, ikke væve, ikke snakke udenom. Sig det som det er: InfoSec. APNG, APT, TOR, HTTPS, PGP, DDOS, OS, SSL, …CTF.

Sikkerhedsbranchen er en verden af forkortelser, en verden, eller rettere en ø, der er forbundet til os, der beskæftiger os med privacy og borgerrettigheder med et stort, tungt kabel, der lejlighedvist synker til bunds og skal fiskes op igen. Kablet ryger, fordi ingen ved, hvor nødvendigt det er. Eller fordi nogen klipper det over.

Henrik Kramshøj er en af dem, der lægger kabler ud, hele tiden. Han forbinder. Han arbejder for tiden med topfølsomme data i ‘PatientSky Danmark’, ejer firmaet Zencurity Aps. og er sikkerhedsekspert, med mange års erfaring med at teste systemer. Han skriver for version2. Og kalder sig ‘InternetSamurai’, helt uden at blinke. Måske fordi han også har en hobby med rigtig sværdkamp i fægteklubben, ‘In-Real-Life’,IRL, som det hedder, forkortet.

Private aktører

Henrik Kramshøj, alias @kramse på twitter, starter en frenetisk, lang og bekymret rapport om DSBs foto-registrerings-app allerede tirsdag den 4. januar: »DSB vil formentlig sætte integritet højt, de skal kunne genfinde et billede, at der blev vist gyldigt ID når en person står i Sverige. Til gengæld er de tilsvarende ‘ligeglade’ med om fortroligheden ryger fløjten, for udover lidt dårlig omtale – så er bøderne i Danmark alt for små – og det var jo et hændeligt uheld. Vi andre synes så, det er hovedrystende, at man sådan uden videre lader en transportør, via en tredjepart endda, opsamle billeder af vores pas … bemærk at vi jo ikke har et nationalt ID-kort, så mange vil benytte pas. Interesserede kan genfinde oversigter over, hvad et pas rent faktisk indeholder i dag, og så kan vi tage den senere! TL;DR (endnu en forkortelse: Too Long; Didnt Read’, red.) burde vi tillade en privat aktør, hvad enten det er DSB eller SAS at opsamle vores Pas-informationer, NEJ’,« skriver han i sin klumme på version2.

Højere nørdniveau

På Radio24syv går reporter Sofie Rye en tur gennem kontrollen med en mikrofon og i gang med at finde ud af, hvor data bliver af. Hun tweeter: »@emma_holten Hej @emma_holten, har netop talt med DSB’s pressechef i søgen på svar. Hans kommentar lød: facebook.com/sofierye/posts… #IDkontrol«. Sofie henviser hermed til endnu et socialt medie, Facebook, hvor man på hendes side kan læse følgende fabelagtige afsnit:

»Jeg spurgte ind til, hvilken applikation der blev brugt, hvem der havde udviklet den, hvordan data sendes, hvem der mere konkret har adgang, og om han kunne garantere sikkerheden, men det var ikke spørgsmål, han kunne besvare. Nørde-niveauet var for højt, fik jeg at vide.«

På Twitter er nørde-nivauet endnu højere. Og stigende. Jeg har fået slukket for vibratoren på min NEXUS 6, ved at sætte den til ‘forstyr ikke’, hvilket har medført, at jeg allerede har mistet tre opkald. Og det vælter stadig ind med tweets, nu lydløst, hvor velmenende techies med højt nørdniveau har sat mit navn ind.

Erobring af flaget

Normalt ville en sådan debat her have et såkaldt hashtag – med #-tegnet – og så en dækkende kategori, men det kniber med at finde en fælles betegnelse – noget vi kan enes om. Der har kun været et forslag – fra Henrik Kramshøjs lager af forkortelser: DSBCTF. DSB – Capture The Flag.

Capture The Flag er kendt som en slags LIVE-hacking – typisk som en del af ens uddannelse inden for computersikkerhed og tit som tidsfordriv blandt hackere: Man vælger et neutralt angrebsmål, en beskyttet server, og så prøver forskellige hold at trænge ind i den.

Internationalt afholdes der konkurrencer i det. Indien havde deres første Capture The Flag Contest i 2009 under ‘Cyber Safe’-konferencen. Målene i en CTF er servere uden betydning, servere der ikke har nogen forbindelse til andre servere og servere, der ikke sker noget ved, at nogen bryder ind i.

Sikkerhedshuller

#dsbctf slår ikke rigtig an som hashtag, og det er der en del virkelig gode grunde til: Her i Danmark slår man hårdt ned på rigtige hackere og så er det ligegyldigt hvad formålet har været. Det fandt softwareudvikleren Henrik Høyer ud af for nylig: Han blev tiltalt af politiet for at have udøvet hærværk mod it-systemet i sin søns børnehave i Køge 17. december 2014.

Høyer fandt 2-3 sikkerhedshuller i et forældreintra-lignende kommunikationssystem. Han gjorde leverandøren opmærksom på dem, siger han til version2, men mistede tålmodigheden så meget, at han selv benyttede sig af sikkerhedshullerne og via noget Jacascript skrev direkte beskeder til børnehavens ledelse via systemet – noget der bestemt ikke burde kunne lade sig gøre.

Nu er han tiltalt og sagen går sin gang.

Trine Bramsen

Der ligger stadig en SIGNAL-besked på min telefon. Den er fra Torben Andersen. Nogen har sendt ham noget, og han ved ikke hvem det er. På Torbens twitter-profilbillede har han et stort, rødt skæg, læbestift i hele ansigtet og ordet FUCK skrevet i panden. Baggrundsbilledet er af den tidligere IT-ordfører for Socialdemokratiet, Trine Bramsen, med et TV-GLAD-logo ved siden af.

Trine Bramsen er ikke populær blandt it-folk. Især ikke efter hun skrev en gæsteblog i august 2013 i Version2, hvor hun beskriver computerfolket som mænd »iført tennissokker..(der) gør alt, hvad der overhovedet kan gøres, for at undgå kvindekontakt«.

»Måske der er en eller anden konkurrence blandt it-folk om at tale i forkortelser og forklare tingene på den mest umulige måde, så tilhørere sættes af hurtigst muligt?«, fortsætter hun.

Torben har allerede, helt lovligt, gjort noget af det, der ville sætte Trine Bramsen af på perronen, ja hun ville sikkert slet ikke opdage, der var et tog. Han har nemlig ‘decompilet’ selve appen og lagt resultaterne på twitter. Når man decompiler, pakker man indholdet i programmet ud og kigger på det hele. Og der er problemer i den app. Hele pisset er åbent

Hele pisset er åbent

Det er ikke en god løsning. Selve opgaven bærer præg af, at de kun har haft ti dage til det. Data ligger uden for DSBs kontrol: »Alt i alt er det en løsning der er blevet hastet igennem,« siger Henrik Kramshøj, da jeg spørger ham til problemerne. Og så er der noget andet, nemlig at login fra appen til serveren ikke er krypteret. Det betyder, at hvis nogen opsnapper et login til databasen, så kan DE også komme ind.

Torbens SIGNAL-besked viser et ScreenShot af en login-side til MP-vogntjek, den originale app, som DSB nu har fået lavet om, så den kan bruges til at registrere mennesker istedet for maskiner. Men der kommer mere. Et link til en Pastebin-side. Pastebin er alle hackeres helt anonyme dokumentationssted, hvor man lægger informationer ud om hacks så andre kan se dem. Anonymous bruger det. Og nogen Torben kender.

Torben bliver mere og mere aktiv på min SIGNAL i løbet af aftenen: »Hele pisset er åbent!,« skriver han: »Hvis man skriver ‘DSB’ i firma og ‘test’ som bruger og adgangskode«.

Jeg frygter det værste. Men venter lidt med at gøre noget. Jeg begynder at føle mig som Trine Bramsen. Torben kan ikke vente. Nu lægger han linksene han har fået tilsendt, direkte på twitter. Men han er ikke den eneste, der har gang i noget. Christian Panton fra Bitbureauet har imellemtiden fået hul igennem til en aktindsigt hos datatilsynet om DSBs advokats anmeldelse af appen. Panton skriver på Twitter: »Bech-Bruun: vi er ikke i stand til at fortolke svensk lovgivning. Måske skulle @omDSB have startet med en .se avokat pic.twitter.com/cWnuAzMzQ6«.

Uforståelig lov

Christian Panton har lagt tre dokumenter på en webserver. Et af dem er et notat til datatilsynet hvor Bech -Bruun skriver: »Bech-Bruun er af DSB blevet anmodet om, at vurdere hvordan DSB sikrer overholdelse af den danske persondatalov, i forhold til den svenske ‘Förordning (SFS 2015:1074) om vissa identitetskontroller vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet.’ Forordningen blev vedtaget den 17. december 2015, og træder i kraft mandag den 4. januar 2016. Vi er grundlæggende ikke i stand til at fortolke svensk lovgivning,« skriver Bech-Bruun 30.december.

De tilføjer, at de slet ikke mener det er nødvendigt at anmelde affotograferingen af de rejsendes ID til datatilsynet: »Samlet set er det vores vurdering, at den af DSB beskrevne løsning til sikring af dokumentationskrav jf. den svenske forordning, lever op til persondatalovens krav, den givne situation taget i betragtning,« slutter de.

Formand for IT-politisk Forening, Jesper Lund, svarer på twitter: »Så for en sikkerheds skyld gemmer vi bare en masse data, når vi nu ikke forstår at læse hvad der står i SE loven?«.

Jeg griber telefonen og skriver til Torben. Han er faldet lidt ned igen. Det var kun en ‘udviklingsserver’, de der hemmelige afsendere havde fat i.

Serveren lukker

Senere på dagen forsvinder indholdet af den Pastebin, Torben havde linket til: »Det er noget, vi tager ret fredeligt. Det er selvfølgelig ulovligt, ubehageligt og irriterende, men det er ikke noget, som har afgørende betydning,« siger MobilePeoples salgsdirektør, Allan Koch, om angrebet på UdviklingsServeren, der hvor ‘hele pisset’ altså var åbent.

Serveren er nu lukket. Men diskussionen kører videre, og alles øjne retter sig mod en konto: @omDSB, den twitter-konto, hvis mission er at ‘svare på jeres spørgsmål’ og dem kommer der mange af, meget hurtigt efter hinanden. Chief Information Officier, CIO, Martin Börjesson fra DSB er ude i Version2. Ikke for at tale om fastIT. Men for at forsvare appen.

»Jeg kender ikke den version, der er i Android appstore. Det væsentlige for mig er, at DSB’s løsning er vurderet sikker af såvel vores it-sikkerhedsafdeling som vores uvildige auditering fra tredjepart«, siger han.

Bananrepublik

NEXUS 6 bimler og bamler. Det er blevet torsdag 7. januar og helvede er løs. Journalist Jakob Sorgenfri Kjær fra Politiken, konstaterer tørt, at persondataloven ikke er overholdt. Man har nemlig ikke informeret de rejsende om formålet med billederne, eller fortalt dem hvor længe man vil opbevare data. Og det er ulovligt.

»Kæden springer af, fordi de gemmer mine data og ingen steder oplyser om registreringen, hvad de gør med informationerne, og hvem de deler dem med. Og det er da et mindstekrav – vi bor jo i Danmark, ikke i en bananrepublik«, siger Hans Henrik Heming, der pendler dagligt mellem Danmark og Sverige.

DSB mener, de vist nok har haft nogen foldere i starten. Men at de må være blevet væk. Og at de nok skal finde nogen flere. Men DSBs problemer stopper langt fra der.

En anden app?

Nu kommer angrebet fra svensk side: En twitterprofil, Marty McFly aka @barbiche aka Fredrik Bergljung, som tidligere har været i debatten, har lagt en gennemgang af appen på nettet: »@barbiche 3. Bilder lagras lokalt på disk. Borttagning ej tillfredsställande säker. Filer kan lätt återskapas. https://t.co/nqEi3RDnoU«.

Billederne lagres altså lokalt på SECURITAS vagternes telefoner og er svære at slette helt. Det er et udsagn, der strider direkte imod, hvad DSB selv har sagt, nemlig at billederne ikke lagres, men sendes direkte til serveren.

Heldigvis har @omDSB en slags svar, der straks tweetes på både svensk og dansk: »Appen som DSB använder är en specialutvecklad version av MP Tjek från MobilePeople,« skriver de og fortsætter: »@oresundsrevo Vår lösning, både appen och det bakomliggande systemet från MobilePeople, är säkerhetstestat av en oberoende konsultfirma ^ch«. DSB mener altså, at den app de bruger, er anderledes end den @barbiche har kigget på.