Forespørgsel fra Københavns Politi

En af vore brugere modtog for nylig en e-mail med titlen “Forespørgsel fra Københavns Politi”. E-mailen var af en sådan udformning, at den til forveksling lignende et hacking-forsøg af den type man kalder “phishing“, eller helt præcist “spear phishing” i dette tilfælde. Vores sikkerhedsbevidste brugere kender naturligvis faresignalerne ved suspekt udseende emails (læs bloggen Stop en målrettet hacker). Derfor blev vi kontaktet. Vi indvilgede i at undersøge den mistænkelige email, og resultatet er foruroligende.

E-mailen var afsendt fra en @politi.dk adresse, men da politiet ikke beskytter sig imod forfalskning af deres emails, kunne den let være blevet forfalsket. Ordlyden var følgende:

Læs venligst vedhæftede forespørgsel.

Med venlig hilsen
[kontaktoplysninger indsat]

Selve beskeden bestod altså kun af de fire ord “Læs venligst vedhæftede forespørgsel”, og teknisk set kunne enhver have sendt denne besked. Samtidig var der naturligvis en vedhæftning til e-mailen, med et i øvrigt meget intetsigende navn som vores bruger ikke blev det mindste klogere af.

Hvad er problemet?
Problemet er, som beskrevet i Stop en målrettet hacker, at i det øjeblik man åbner et vedhæftet dokument som en hacker har sendt, kan hele ens computer i baggrunden bliver overtaget af hackeren. Dette er ikke teoretisk paranoia-tænkning eller baseret på fortænkte “proof of concepts”, men er en virkelighed vi i dag må leve med på nettet, omend det dog især er virksomheder der bliver udsat for netop denne type angreb.

Her er et perspektiverende citat vedrørende en meget omtalt sag hvor sikkerhedsfirmaet RSA blev hacket:
Hullet blev skabt ved at sende en simpel phishing-mail til våbenfirmaernes it-sikkerhedsfirma, RSA Data Security.
“I forward this file to you for review. Please open and view it”.
Sådan lød den tekst, der var koblet på mailen, og som snød sikkerhedsfolkene.

Dette er ganske repræsentativt for hvordan såkaldte phishing e-mails udformes. Bemærk hvordan afsenderen er forfalsket og der kun er en enkelt linje i e-mailen, som opfordrer til at åbne et vedhæftet dokument. Et helt klassisk eksempel på en e-mail fra en hacker, og grundlæggende samme udformning som den e-mail vores bruger modtog fra hvad der umiddelbart kunne ligne politiet. Det er derfor med god grund at vores bruger ikke åbnede vedhæftningen, men i stedet indrapporterede sagen til os.

Vi undersøger e-mailen
Vores undersøgelser viser imidlertid at e-mailen er fra politiet! Vi har under sikre forhold åbnet det vedhæftede dokument, og det indeholder den egentlige henvendelse fra politiet (hvorfor det skulle gemmes væk i en vedhæftning i stedet for at stå i selve e-mailen kan man med rette undre sig over). Det drejer sig om en sag hvor vores bruger har været offer for en suspekt virksomhed vis metoder nu efterforskes af politiet. Vores bruger bliver bedt om at hjælpe til i efterforskningen med eventuelle relevante oplysninger, og bliver spurgt om vedkommende ønsker at politianmelde virksomheden. Dokumentet er fra en navngiven kriminalassistent fra politiet.

Det foruroligende?
Det foruroligende ved denne sag er, at den ordensmagt der skulle bekæmpe kriminalitet, og herunder også IT-kriminalitet, henvender sig til borgerne på samme måde som de IT-kriminelle. Hvordan skal vi kunne sortere de potentielt farlige e-mails fra, når politiet henvender sig på samme måde som de kriminelle?

Ydermere var emailen indstillet til at bede om en “kvittering” da den blev åbnet. De færreste ved i dag hvad en sådan “kvittering” er, for det er håbløst forældet og bruges stort set aldrig. Ideen er, at når en email åbnes, så sendes der et svar til afsenderen om, at nu er emailen blevet modtaget og åbnet. Metoden er imidlertid af flere årsager så upålidelig, at den i praksis er helt ubrugelig, og det anses generelt for dårlig kutyme at bede om en sådan “kvittering”.

Henvendelser som denne email fra politiet, afspejler en foruroligende mangel på professionalisme og forståelse for selv helt grundlæggende IT og IT-sikkerhed. At det danske politi, en instans i samfundet for hvem befolkningens tillid er af afgørende betydning, udsender sådanne e-mails, kan man med rette ryste bedrøvet på hovedet over. Det er simpelthen ikke godt nok!

Hvorfor skjule noget for Politiet?
Vi hører igen og igen hvordan masseovervågning bør indføres til kriminalitetsbekæmpelse, og hvis man ikke selv er kriminel, så har man vel ikke noget at skjule. Alle kritikere af masseovervågning kan dermed pr. definition mistænkes for at være kriminelle, for hvorfor skulle de ellers have noget imod at blive overvåget?

Problemstillingen er imidlertid mere kompleks end det. De indsamlede data kommer til at ligge i en database hos de pågældende myndigheder, eksempelvis hos politiet. Selv hvis vi udelukker brodne kar indenfor politiets egne rækker, og selv om vi ser igennem fingre med den generelle tendens til at danske myndigheder sløser med persondata i en sådan grad at eksperter bliver bekymret, samt at antallet af CPR-læk er syvdoblet på fem år, så må vi stadig kalkulere med den mulighed, at politiet kan blive hacket, eller at deres data på anden vis kan komme i de forkerte hænder. Dertil er der eksempler på, at politiet end ikke overholder deres egne regler om opbevaring af borgernes data, samt at de benytter ulovligt indsamlede data.

Men Politiet har vel styr på sikkerheden?
Meget tyder det modsatte. Her er et citat fra den tidligere chef for det danske politis efterretningstjeneste, Hans Jørgen Bonnichsen: ”Ikke engang NSA kan holde styr på sikkerheden.

Når sikkerhedsgiganter som ikke bare RSA, men også CIA, NASA, det britiske forsvarsministerium, Oak Ridge National Laboratory, Kaspersky, Booz Allen Hamilton, og Pentagon (af flere omgange), samt selveste NSA kan blive hacket, hvorfor skulle det samme så ikke kunne overgå det danske politi (ligeledes af flere omgange, og Forsvaret og PET og Center for Cybersikkerhed er ikke bedre)? Tilsyneladende kan selv hackere ikke undgå at blive hacket.

Og dette er kun eksempler på hackere der har været dygtige nok til at trænge ind, men ikke dygtige nok til at skjule deres spor…

Og hvad med alle de datalæk som bevidst bliver hemmeligholdt for offentligheden?

Selv hvis du intet har at skjule overfor politiet, så vil databaser med følsomme oplysninger altid være interessante for IT-kriminelle, og erfaringerne viser, at sådanne data ikke kun bliver brugt af dem man forventer vil bruge dem, men også af dem man ikke forventer vil bruge dem.

Selv for lovlydige borgere kan det derfor give perfekt mening, at holde fast ved retten til et privatliv, og at holde sine private data private… også overfor politiet!