Hvem har plantet hva i brikkene dine? De skandaløse NSA-avsløringene har skapt usikkerhet rundt sikkerheten i IT-produkter alle har, og omdømmet til en hel bransje har fått en kraftig skrape. (Bilde: Mcphoto/Action press/All Over Press)

Bakdøra du aldri finner

Manipulert IT-utstyr kan være umulig å avdekke, bekrefter NSM.

Lekkasjer fra Edward Snowden viste nylig at amerikansk etterretning stanser postforsendelser med nytt datautstyr, for å plante bakdør eller spionvare på brikkenivå eller i maskinvaren.

En Cisco-ruter fikk den tvilsomme æren av å være avbildet i lekkasjene som angivelig viser NSAs elitehackere i full aksjon.

Slik fikk vi et sjeldent innblikk i en skjult agenda, som i sluhet og kløkt langt overgår det meste du finner i spionromanenes fiksjonelle verden.

Ingen kan si hvor utbredt prakisen er. Dokumentene antyder at slik manipulering er myntet på utvalgte mål. I notatene slår NSA fast at dette er en av de mest fruktbare av byråets hemmelige operasjoner. Fordi det bereder grunnen for inntregning i nettverk de ellers ikke kunne hacket seg inn i.

De planter bakdøra du aldri finner.

Hvordan skal norske kunder og virksomheter forholde seg? Er det mulig å avdekke om utstyret er blitt manipulert? digi.no tok kontakt med fagekspertisen hos Nasjonal sikkerhetsmyndighet (NSM) for å få svar.

Kjartan Jæger Kvassnes er senioringeniør i Nasjonal sikkerhetsmyndighet (NSM).
Kjartan Jæger Kvassnes er senioringeniør i Nasjonal sikkerhetsmyndighet (NSM). Bilde: NSM

– Å detektere om utstyr er manipulert på hardware-nivå er svært vanskelig, og det er i teorien fullt mulig å gjemme ting i utstyr som det vil være ekstremt vanskelig å oppdage, sier senioringeniør Kjartan Jæger Kvassnes.

Samtidig poengterer han at manipulert firmware eller annen installert programvare i mange tilfeller vil kunne detekteres, så fremt leverandør gjør sjekksummer for verifikasjon av utstyret tilgjengelig. – Dette vil normalt likevel ikke avdekke endringer i hardware.

Så svakheter eller plantede bakdører kan i teorien bli så godt skjult i produktene at det ikke er mulig å avdekke det senere?

– I teorien er det ikke umulig at svakheter og bakdører er så godt skjult at de ikke kan oppdages. Dette henger naturlig nok sammen med hvor avansert bakdørene og svakhetene er når de blir plantet, og hvor dyktige de som leter er. En ressurssterk og målrettet aktør vil kunne plante svært avanserte løsninger som det vil være ekstremt vanskelig å oppdage uten spesialkompetanse, sier Kvassnes.

NSM bistår aktører i samfunnet, typisk innen kritisk infrastruktur, med leverandøravklaringer og sertifiseringer for innkjøp av graderte systemer, men dette gjelder likevel ikke alt nettverkutstyr.

– Det betyr at innkjøpere og leverandørene må være bevisste på sikkerheten i leverandørkjeden ved at man stiller krav som sannsynliggjør et sikkert utviklingsmiljø der utstyret har vært gjenstand for omfattende testing og en leveransekjede med mulighet for verifikasjon for sluttbruker, mener senioringeniøren.

Staten overlot vurderingene og datasikkerheten til Telenor, da Telenor kjøpte mobilnett og samfunnskritisk infrastruktur fra kinesiske Huawei. NSM var aldri involvert i den anskaffelsen, skrev Aftenposten for et par år siden. Telenor holder seg for øvrig også med nettverksutstyr fra Cisco, og svarer lenger ned i denne saken.

Anbelalingen fra NSM er at kunder bruker leverandører som gjør seg tilgjengelig for uavhengige granskninger ved at man spør etter såkalt Common Criteria-sertifisert utstyr. Dette gjør allerede leverandører flest.

– Er det for eksempel mulig å sjekke om firmware er endret? Størrelsen og hashen er kanskje endret? Kan man wipe flash-minnet, reinstallere og bli kvitt eventuell spionvare?

NSAs trollmenn i aksjon: Her åpner de en pakke fra Cisco. Bildet er fra lekkede NSA-dokumenter datert 2010.
NSAs trollmenn i aksjon: Her åpner de en pakke fra Cisco. Bildet er fra lekkede NSA-dokumenter datert 2010.

– For å være helt sikker på at hardware ikke er endret etter at utstyret ble produsert, må det strengt tatt passes på kontinuerlig gjennom hele leverandørkjeden ved bruk av kurerer, sier Kjartan Jæger Kvassnes i NSM.

Neppe aktuelt for mange. Dersom man har mistanke om at system er endret på, så er er rådet fra senioringeniøren å gå i dialog med leverandør slik at de kan sikre at utstyret ikke er manipulert.

Ende-til-ende-krypto

– Graderte systemer er underlagt svært strenge krav til sikkerheten. Dette er ikke tilfelle med ugraderte systemer, som selvfølgelig også kan brukes til sensitive formål. Vårt råd er å å bruke leverandører som gjør seg tilgjengelige for uavhengige granskninger ved at man spør etter Common Criteria-sertifisert utstyr. En slik gjennomgang vil vurdere både miljøet utstyret utvikles og produseres i, hvordan det er laget og hvordan det leveres til sluttbruker. Samtidig råder vi alle som kjøper inn utstyr til å være bevisste på leverandørkjeden, og fokuserer mindre på opprinnelsesland og mer på hva leverandører gjør for å sikre utstyrets integritet. Er det mistanke om at utstyret er manipulert anbefaler vi at man ikke bruker enhetene, men går i dialog med til leverandøren for å sjekke det.

– Sist, men ikke minst, vil ende-til-ende-kryptering være en løsning som beskytter sensitiv informasjon som går gjennom utstyret. Dermed har man langt bedre kontroll på informasjonen, sier Kvassnes.

Telenor lever godt med Cisco

Telenor sier til digi.no at de jobber løpende med risikobildet, inkludert det å kartlegge sårbarheter i deres nett, forstå trusselaktører og følge med på trender og endringer i samfunnets bruk av elektronisk kommunikasjon.

– Generelt sett er Telenors prosess for valg av leverandører basert på krav fra myndighetene, norske lover og regler og Telenors egne standarder og adferdskodeks. Vi har ikke mottatt innspill eller føringer fra myndighetene som tilsier at det skulle være sikkerhetsmessige årsaker til at vi skulle ekskludere et samarbeid med Cisco eller andre leverandører vi samarbeider med, sier informasjonssjef Kristin Tønnessen.

Risikostyring, drifts- og sikkerhetsmonitorering av trafikk for å hindre uønskede hendelser sier hun er en del av Telenors normale operasjon.

– Når det gjelder metoder og tiltak, hvordan vi sikrer vår egen produksjon, så er det spørsmål vi av sikkerhetsmessige årsaker aldri besvarer, sier Tønnessen.

MUNNKURV: Cisco Norge får ikke lov å uttale seg om NSA-saken og sikkerhetsrelaterte spørsmål, bekrefter teknologidirektør Nils-Ove Gamlem (bildet).
MUNNKURV: Cisco Norge får ikke lov å uttale seg om NSA-saken og sikkerhetsrelaterte spørsmål, bekrefter teknologidirektør Nils-Ove Gamlem (bildet). Bilde: Marius Jørgenrud

Cisco Norge tier

Teknologidirektør Nils-Ove Gamlem i Cisco Norge er kneblet. Han fikk mange av de samme spørsmålene vi stilte NSM og Telenor, men kan ikke svare.

– Kan dessverre ikke uttale meg om NSA og sikkerhetsrelaterte spørsmål lokalt, svarer Gamlem på henvendelsen fra digi.no.

I stedet viser han til to nettsider Cisco sentralt har lagt ut, som inkluderer anbefaling til kundene deres. Denne og denne.

    Les også:

Til toppen