(Bilde: Marius Jørgenrud)

Proxy ingen garanti mot DLD

Kan være både risikabel og fåfengt, mener sikkerhetsekspert.

Den mulige innføringen av EUs direktiv for datalagring, også kjent som Datalagringsdirektivet (DLD), i blant annet Norge, har ført til at flere nå anbefaler vanlige nettbrukere å ta i bruk såkalte proxy-tjenester. Dette betyr at brukeren kan lede all trafikkene mellom sin maskin og andre maskiner på Internett via denne serveren. I loggene til brukerens nettleverandør vil politietterforskere eller andre som har fått tilgang til disse dataene, kun kunne se at brukeren har utvekslet data med proxyen.

Det lyder i utgangspunktet som en ganske god løsning for å hindre noen i å hva man bedriver på nettet, men er det virkelig så enkelt?

– Nei, mener en kilde som digi.no har vært i kontakt med. Vedkommende har en lederstilling innen nettverkssikkerhet i en større, norsk bedrift og ønsker ikke å stå offentlig fram med navn av hensyn til sin arbeidsgiver. I stedet velger han å bli kalt «Carrier Return», som også er hans brukernavn i Norsk Freakforum.

Proxyservere kan i teorien gi vanlige pc-brukere en anonym tilgang til blant annet nettsteder, men det skjer ikke uten risiko.
Proxyservere kan i teorien gi vanlige pc-brukere en anonym tilgang til blant annet nettsteder, men det skjer ikke uten risiko.

Carrier Return mener at de som foreslår dette, vet lite om «network forensics», altså etterforskning basert på overvåking og analyse av trafikken i datanettverk. Han nevner spesielt to årsaker til dette.

– Det staten ønsker at skal bli lagret på oss borgere, er det som i nettverkssammenheng gjerne blir kalt «netflow», kombinert med headerinfo. Det vil si kilde-IP, destinasjons-IP, port, protokoll og datamengde, pluss metadata fra protokoll headeren – for eksempel til og fra adresse i e-post, forteller Carrier Return.

– Staten ønsker å benytte dette i sammenhenger der de allerde har mistanke om ulovlig aktivitet, og da kryssjekke dette med informasjon lagret basert på DLD. Hvis etterforskerne allerede har informasjon fra destinasjonen, for eksempel en e-post, eller andre logger - for eksempel fra et hackerangrep, så er det ikke noe problem for vanlig kyndige innen network forensics å identifisere angriper basert på info fra DLD, mener han.

Carrier Return sier at det riktignok er helt korrekt at destinasjonen kun vil se proxyserveren, og ikke den egentlige kilde-IPadressen.

– Men DLD vil jo lagre at X antall personer har gått mot akkurat denne proxyserveren, og samtidig datamengden som er sendt – altså aktiviteten. En kryssjekk fra loggene i DLD-systemet mot informasjon fra mottager, vil utpeke ett fåtall personer som går gjennom akkurat den proxyen på akkurat det tidspunktet, forklarer han.

Også ved bruk at kryptering vil personer kunne pekes ut.

– Kryptering vil antagelig skape et feilforhold mellom sendt datamengde og det som er mottatt hos destinasjonen, men aktivitetsmønsteret vil alikevel matche, opplyser Carrier Return.

En annen side av saken er at ikke alle som tilbyr proxy-tjenester gjør dette uten skjulte hensikter.

– Det er mange brukere av Internett som alt for sjelden tenker så mye på hva motivasjonen til de som tilbyr noe, egentlig er. Den formen for kriminalitet er jo sterkt økende, forteller Carrier Return.

– Hvis man skal gi råd om at vanlige borgere skal benytte proxyservere, er det ekstremt viktig at man også advarer om faren ved dette, mener han.

– Et enormt antall proxyer er proxyer satt opp av folk som ønsker å stjele informasjon. Disse er satt opp med fullt DNS-navn og kommer høyt i trefflisten på Google, hevder Carrier Return.

Han advarer om at når man kobler seg til en proxy, kan den som administrerer denne proxyen se alt det brukerne gjør på nettet, selv i SSL-tunneler.

– Dette er Man-in-the-middle-angrep der offeret selv oppsøker angriperen. Man bør som bruker av en proxy tenke etter hva vedkommende, som har brukt tid til å sette opp den proxyen, har som motivasjon for å gjøre akkurat det. Risikoen for at du gir bort informasjonen du prøver å holde skjult til noen som absolutt ikke burde vite noe om deg, er relativt stor, advarer Carrier Return.

– Det at en tjeneste koster penger, betyr ikke at den nødvendigvis derfor er «bra», sier han. Han sammenligner dette med tilbydere av falske antivirusprodukter, hvor de som krever betaling i tillegg kanskje får tilgang til offerets kredittkortnummer,

Carrier Return vil likevel ikke fraråde enhver bruk av denne typen tjenester.

– Jeg har selv brukt både Tor og proxytjenester tidligere, men det er teknologi man bør ha et bevisst forhold til. Jeg er ikke motstander av proxytjenester, understreker Carrier Return.

Til toppen