Leder: Hvorfor må kommuner ikke kigge i kinesiske kameraer?

Illustration: MI Grafik

I sommer indtog Danmark igen førstepladsen som verdens bedste inden for offentlig digitalisering i FN’s årlige undersøgelse, E-Government Survey. Som Ingeniørens medier jævnligt fortæller om, så indfinder digitaliseringen sig langtfra alene i form af offentlige softwaresystemer, men også i den fysiske verden med installation af IoT-enheder som sensorer, kameraer og styringsenheder i el, vand- og spildevandsforsyningen, og transportsektoren.

Med opkobling af udstyret følger risikoen for, at ubudne gæster sniger sig med ind. Internet of Things-udstyr kan indeholde bagdøre, som giver fabrikanten mulighed for at tappe data fra enhederne uden om brugeren. Det er bl.a. blevet fundet i kinesisk udstyr til IP-telefoni fra DBlTek, og i december kom det frem, at millioner af IoT- og overvågningsenheder indeholder en HiSilicon-chip fra Huawei med en ikke-sikret bagdør. Også efterretningstjenesterne kan udnytte bagdøre til spionage.

Den stigende sårbarhed ved IoT-udbredelsen advarede Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed (CFCS), om i en rapport fra 2019, der konkluderede, at angreb på eller manipulation med data fra IoT-enheder i værste fald kan true vores fysiske sikkerhed. Det er ikke bare en trussel, som danske virksomheder skal være obs på. Også i kommuner og regioner er sikkerheden omkring den stigende brug af IoT til overvågning og styring af ofte samfundskritiske enheder blevet et påtrængende issue.

I lyset af CFCS’ advarsler på området er det grotesk, at Forsvaret – som CFCS hører under – og CFCS selv nu nægter at dele en undersøgelse af kinesiske overvågningskameraer med kommunerne i Danmark, som efterlyser hjælp til området, herunder om udvalgte kameraer skal sortlistes. Undersøgelsen er sat i værk, efter at amerikanske Homeland Security angiveligt har fundet en bagdør og efterfølgende forbudt kameraer fra kinesiske HikVision. Men Aarhus Kommune må altså ikke få adgang til CFCS-resultaterne. Og ikke nok med det: CFCS vil ikke engang be- eller afkræfte over for Aarhus Kommune, om der er problemer forbundet med HikVision-kameraerne.

Mistanken mod kinesisk it- og teleudstyr går år tilbage og har især centreret sig om den kinesiske gigant Huawei. National Security Agency i USA hævder at have beviser på installerede bagdøre, og USA har derfor forbudt amerikanske virksomheder at bruge teleudstyr, der kommer fra virksomheder, som kan udgøre en national sikkerhedsrisiko – de facto rammer det Huawei og ZTE. Beviserne er ikke lagt på bordet, men det står klart, at Huawei og andre kinesiske virksomheder deltager i Kinas stigende masseovervågning og krænkelse af basale menneskerettigheder. Når den danske stat bruger ressourcer på at afdække disse forhold, skal det derfor – helt selvklart – komme det danske samfund direkte til gode.

Med afvisningen af at offentliggøre den nye undersøgelse – eller i det mindste dele viden om resultaterne – har CFCS og Forsvaret underskrevet sin egen dødsdom som hele Danmarks primære rådgivnings- og informationsmyndighed inden for it-sikkerhed. Kritikken har lydt i årevis, også fra nærværende lederplads, at det forsvarsministerielle monopol på området for offentlig rådgivning risikerer at ende i stedmoderlig behandling af den decentrale offentlige sektor og den private sektor, når det gælder vidensdeling, varsling og øvelser. Fokus og kompetence er simpelthen ikke i tilstrækkelig grad til stede i organer, der har rødderne placeret langt fra det civile liv, men i stedet i det militære.

Et forsøg på at afhjælpe denne åbenlyse mangel kom med et nyt nationalt Cybersikkerhedsråd i 2019, der netop fik som primært formål at styrke samarbejde og vidensdeling mellem offentlige og private aktører om cyber- og informationssikkerhed. Rådet har både en offentlig og en privat formand for at tilgodese begge sektorer. Men en absurd ringslutning for danske kommuner, der er hensat til uvidenhedens mørke, når kafkaske dimensioner, når formanden for den offentlige sektor er Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed; altså det center, som har besluttet at forholde kommunerne den essentielle viden.

Ikke alene er det problematisk, at en undersøgelse af potentiel statsovervågning fra udlandet via udstyr, som implementeres i snart alle grene af det danske samfund, ikke bliver udgivet. Også selve beslutningen om at hemmeligstemple er overladt til Forsvaret selv. Det ville være urimeligt at gisne om, hvorvidt denne mørklægning skyldes en frygt i diplomatiet for at lægge sig ud med vores kinesiske handelspartnere, eller om rapporten slet og ret er noget uprofessionelt makværk, som ikke tåler dagens lys.

Folketinget må gribe ind og sikre, at staten lever op til de fine løfter om at vigtig viden om sikkerhed bliver delt mellem myndigheder, erhvervsliv og forskningsverdenen. Ellers er der bare endnu engang tale om substansløse politiske hensigter, hvor virksomheder og decentrale myndigheder – samt borgernes rettigheder – i værste fald bliver ofret af vores evige pandadiplomati og famlende tilgang over for et Kina, der uhæmmet infiltrerer og inficerer den vestlige verden. /hm

Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Illustration: Ingeniøren
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Der kan jo være valide forhold der gør, at CFCS ikke vil offentliggøre sin undersøgelse. En bekræftelse af de amerikanske konklusioner vil skærpe Danmarks kritik af Kina og risikere sanktioner, og en afvisning af de amerikanske konklusioner vil give problemer ift. USA.

Har ingen uafhængige eller "Open source"-organisationer foretaget lignende undersøgelser af, om chippen/udstyret indeholder bagdøre? Hvor kompliceret er sådanne undersøgelser egentlig - hvordan gør man? Er det hardcore gennemtrawling af firmware-kode?

  • 6
  • 11

Der kan jo være valide forhold der gør, at CFCS ikke vil offentliggøre sin undersøgelse. En bekræftelse af de amerikanske konklusioner vil skærpe Danmarks kritik af Kina og risikere sanktioner, og en afvisning af de amerikanske konklusioner vil give problemer ift. USA.

Det er da en fuldstændig baglæns tilgang til virkeligheden.

Danmarks cybersikkerhed burde varetages af et 100% uafhængigt og åbent organ, således at alle redegørelser, anbefalinger, vejledninger mv. var offentligt tilgængelige så offentlige institutioner, private virksomheder samt privatpersoner alle kunne drage fordel af den viden - det kunne så eventuelt parres med at Datatilsynet fik udvidet deres beføjelser.

Hvad Krigsministeriet afdeling for små-drenge-leger-med-skæg-og-blå-briller efterfølgende konkluderer ud fra de åbne undersøgelser, det må være op til dem selv, ud fra en Herregud, lad dog børnene betragtning - men de skal ikke have nogen penge.

  • 16
  • 7

@ Christian Nobel Der findes et land hvor de ikke leger krig for sjov, som vi oprigtigt har respekt for, da vi har opdaget at de ikke overholder aftaler, var det ikke en ide at flytte dertil?

  • 6
  • 18

@ Christian Nobel Der findes et land hvor de ikke leger krig for sjov, som vi oprigtigt har respekt for, da vi har opdaget at de ikke overholder aftaler, var det ikke en ide at flytte dertil?

Sikke noget ævl Bjarke - læs lige en gang til hvad jeg skriver.

Jeg skriver intet sted at man skal nedlægge Forsvaret, men taler om cybersikkerhed som er alt for vigtigt et emne til det skal skjules bag mørkelygten.

Og hvis Forsvaret inden for deres normale bevilling også vil drive et efterretningsvæsen, så fred være med det.

Det jeg opponerer mod er at der hældes milliarder i et kontraproduktivt organ i et forkert ressortområde.

  • 18
  • 5

At det er forkasteligt at de politiske partier er på statens lønningsliste.

Men at skose forsvaret for at passe deres arbejde, må skyldes manglende indsigt hvad et forsvar bør beskæftige sig med.

  • 6
  • 18

Det er stærkt problematisk, at Forsvaret hemmeligholder deres viden om evt. kinesisk spionage i det offentliges IT-udstyr af mange grunde.

Bl.a. kommnuner, regioner og resten af staten er da nødt til at vide om de skal undlade at købe IT-udstyr fra bestemte lande. I et land som Danmark, som efterhånden er blevet gennemdigitaliseret, er det helt afgørende, at der passes på vores data - personlige og fælles.

Center for Cybersikkerhed og Forsvaret skyder også sig selv i foden og gør sig sårbare overfor spekulationer og konspirationsteorier.

  • 16
  • 2

Men at skose forsvaret for at passe deres arbejde, må skyldes manglende indsigt hvad et forsvar bør beskæftige sig med.

Det kniber vist ret stærkt med forståelsen, men det går godt med stråmændene.

Set ud fra et forsvarmæssigt synpunkt er Kina ikke specielt interesseret i Danmark, men set ud fra et økonomisk synspunkt er Danmark (og andre vestlige lande) så sandelig interessant for Kina (og andre, f.eks. kleptokraten i Kreml).

Det det drejer sig om er at danske myndigheder, virksomheder og private er i stand til at forsvare sig mod industrispionage og økonomisk afpresning mv., da kineserne er skruppelløse over for hvordan de skal tjene penge.

Denne opgave løses altså bedst hvis der er fuld åbenhed om hvordan man kan beskytte sig (man kunne jo starte med ikke ukritisk at bekende sig til en usikker monokultur fra Redmond!) og er derfor totalt fejlplaceret bag mørkelygten.

Imo giver PET meget mere mening i det 21' århundrede, da de kan afdække hvad der sker i de mørke afkroge af samfundet, hvor der pusles med at ødelægge demokratiet - især hvis de rejser sig fra kontorstolen og overvågningsskærmen, og bevæger sig ud i samfundet og laver reelt efterretningsarbejde.

  • 15
  • 7

Eftersom Danmark er en tæt allieret til USA, del af NATO, del af EU, del af rapid reaction forces etc. så tror jeg godt jeg kan garantere at Kina (og andre lande som ikke er en del af ovenstående) har stor forsvarsmæssig interesse i Danmark (og andre lande som har tilsvarende adgang til ovenstående).

Lad os nu lige kalde krig for krig.

Hvilken interesse skulle Kina have i at erklære krig mod Danmark - ingen.

Men kineserne har tilgæld store interesser i at stjæle med arm og ben fra alt og alle - men det er en civil betragtning, ikke en militær - og kineserne har ingen interesse i at ødelægge dansk infrastruktur eller andet som gør at landet ikke har råd til at handle med Kina, eller ikke har råd til at udvikle noget som er værdifuldt for kineserne at begå industrispionage mod.

Det danske forsvars opgave er at forsvare Danmark mod en militær intervention, og i det spil udgør Kina ikke noget problem for Danmark - men det er klart at Kina ud fra en handelsmæssig (og dermed politisk) betragtning kan udgøre et problem, og kineserne er heller ikke glade for at blive kritiseret, men derfra og til at det skulle medføre et militært udfald mod Danmark - nej.

Og igen, det her drejer sig ikke om hvorvidt Danmark skal have et forsvar og efterretningsvæsen eller ej, men om at placeringen og funktionen af cfcUs er totalt misforstået og en hån mod den generelle cybersikkerhed.

  • 10
  • 9

Lad os nu lige kalde krig for krig.

Lad os endeligt. Men du skrev "forsvarsmæssig interesse" og det har i sig selv intet med krig at gøre bortset fra i yderste konsekvens.

Det er helt klart at der er stor interesse (som jeg skrev) fra Kina og andre aktører i at infiltrere Danske (og andre) systemer. Det gælder både civile og forsvars systemer.

Danmark lever ikke i total isolation, men har top hemmeligt klassificeret udstyr, koder, kommunikations midler etc. som bl.a. kan bruges til at underminere de ovennævnte institutioner og lande.

Danmark producerer udstyr til militære formål som f.eks. F35, Danmark producerer radar'er til militære formål. Danmark producerer software til militære og efterretningsmæssige formål. Danmark indsamler klassificerede efterretninger etc.

Alle disse formål har stor forsvarsmæssig værdi at få snablen indenfor for aktører som er i den modsatte ende af netop disse formål.

Jeg tror du totalt undervurderer den rolle som Danmark (og mange andre lande i de ovennævnte institutioner) spiller.

Nej... jeg ser ikke lige 500 kinesiske kampvogne invadere Danmark i morgen. Men krigen foregår i fuld flor i cyberspace.

  • 15
  • 4

Det danske forsvars opgave er at forsvare Danmark mod en militær intervention

ja, det er i hvert fald en væsentlig del af opgaven, men der er mere:

Forsvaret er et vigtigt instrument i dansk sikkerhedspolitik. Vi bidrager til Danmarks arbejde for international fred og stabilitet samt til NATO's kollektive afskrækkelse og kollektive forsvar. Soldater fra Forsvaret er konstant indsat i internationale missioner i nogle af verdens brændpunkter, hvor de løser fredsskabende, fredsbevarende og stabiliserende opgaver...

https://forsvaret.dk/da/opgaver/internatio...

, så det er altså ikke (hele) opgaven!

  • 3
  • 4

"Hvor har du det fra?"

Jeg har en fortid og nutid indenfor området.

Og ja... læs aviserne... følg anbefalingerne... læg mærke til de konstante forsøg på indbrud f.eks. sidst ganske avanceret via SolarWinds, med det primære formål at tilgå forsvarsmæssige systemer, ikke civile.

  • 7
  • 4

Jeg kan godt forstå at FE ikke har lyst til at oplyse "modparten" om hvilken adgang de har til information fra andre lande, selve informationen de har modtaget, hvad de selv leder efter, hvordan de leder og hvad de lykkes med at finde. Hvis de skulle ville kampen blive endnu mere ulige. Ydermere ville man potentielt give kriminelle grupper adgang til viden om eksistensen/arten af bagdøre, som kunne udnyttes mod privatpersoner. Følgelig kan resultatet af sådan en undersøgelse heller ikke bare lige offentliggøres uden konsekvenser. Det er for nemt bare at forlange en åben rapport.

Men. Burde man ikke kunne forvente at CFCS så enten udgav en anden rapport (eventuelt efter en helt ny - mere åben og mindre omfattende - undersøgelse) eller i hvertfald deltog med tips til en anden undersøgelse af en anden organisation.

Jeg håber - og forventer - i øvrigt, at FE hvis de har opdaget nogle grelle ting, på egen foranledning, mere eller mindre officielt, tager fat i relevante ejere af udstyr som kan have samfundsbetydning, fx teleselskaber, industri med spionagehensyn mv.

Som privatperson kan jeg irriteres over viden om at en kinesisk spion teoretisk kan se mig sidde i bar overkrop foran min PC eller følge med i mit forbrug på internettet; men jeg ville være mere bekymret, hvis åbne bagdøre blev udnyttet af personer der gik efter individder... Så må min nysgerrighed og higen efter et sikkert netværk vige :o)

  • 5
  • 1

Jeg er enig i, at det ikke ser kønt ud fra et PR og journalaistisk perspektiv, når der sker en ubegrundet, blanco tilbageholdelse af information. Det passer ikke sådan rigtigt til tiden. Så måske er kritik berettiget.

MEN der er jo også en anden mulighed, nemlig at undersøgelsen har afdækket forhold som udgør en risiko og kan skade Danmark og allierede. Forholdene kan være så alvorlige og graverende, at de ikke umiddelbart egner sig til offentliggørelse - inden modforanstaltninger er truffet. Offentliggørelse af alvorlige resultater er et politisk anliggende, ikke et anliggende for en myndighed. Derfor skal vi måske vente på ministeren. Ikke uendeligt længe, men måske lidt tid - afhængig af situationen.

Måske er det "bare" en refleks, standard procedure, at klassificere rapporten som hemmelig. Måske er der en god, eller særdeles god grund. Det kan vi ikke vide. Hvis ikke ministeren kommer på banen i løbet af 14 dage, så kan jeg godt tilslutte mig den almindelige kritik og indlede en klapjagt - på ministeren.

  • 5
  • 2

læg mærke til de konstante forsøg på indbrud f.eks. sidst ganske avanceret via SolarWinds, med det primære formål at tilgå forsvarsmæssige systemer, ikke civile.

Og det er noget du ved?

Alt hvad der er skrevet om SolarWinds er gætte, gætte, gætte, antage, antage, antage, så det er sjovt du kan udtale dig så bombastisk - især fordi det hele jo er grundigt skjult bag mørkelygten.

En af antagelserne er at det er russere der står bag, og det kan sikkert også være rigtigt nok, da russerne alt andet lige har en anden dagsorden end kineserne, men derfra til at sige at der foregår en cyberkrig, og hvad har vi, der er der altså langt - og at Danmark aktivt skal begynde at udbrede snavs på internettet er fuldstændigt tankeløst.

Det mest kendte "cyberangreb" er nok WannaCry, og var det lige et selvmål af de helt store?

Måske vi hellere skulle til at dele netværkerne op - så kan militæret lege på deres eget netværk, infrastruktur køre på et helt separat netværk, et netværk rettet mod almindelige kommercielle interesser osv.

Og nu vi taler om at læse, så vil jeg stærkt anbefale at man læser Tim Weiners "CIA - fra den kolde krig til krigen mod terror"

  • 6
  • 5

Jeg skriver intet sted at man skal nedlægge Forsvaret,

Næ det skriver du ikke. Men du skriver at de ikke skal have penge :o)

Og hvis Forsvaret [snip] vil drive et efterretningsvæsen, så fred være med det.

Altså, det er ikke noget forsvaret selv træffer beslutning om. Det er en politisk beslutning, som i øvrigt har meget stor opbakning på tinge, at vi skal have eget efterretningsvæsen. Det har to ben, et civilt/indenrigs-ben (PET) og et militært/udenrigs-ben (FE). Begge ben interesserer sig i sagens natur for IT/netværk, indenrigsmæssigt af hensyn til cyberkriminalitet og udenrigsmæssigt af hensyn til cyberspionage. CFCS hjælper begge - men det er vel klart at efterretningstjenester ikke altid kan operere åbent, hverken i forhold til klassisk sikkerhed eller cyber sikkerhed...

  • 4
  • 4

Måske vi hellere skulle til at dele netværkerne op - så kan militæret lege på deres eget netværk, infrastruktur køre på et helt separat netværk, et netværk rettet mod almindelige kommercielle interesser osv.

Øv. Jeg var ellers ret glad for internettet. Men det er sådan set udviklet af det amerikanske militær, som vi følgelig må overlade det til og så lave vores eget civile...

Spøg til side. Mener du alvorligt at militæret bare leger?

  • 3
  • 4

Næ det skriver du ikke. Men du skriver at de ikke skal have penge :o)

Nej det skrev jeg faktisk ikke.

Jeg skrev at FE ikke skulle have nogen særskilte bevillinger, som der nu gives til cfcUs.

Mao. bevillingerne til forsvarets efterretningsarbejde skal foregå på samme måde som før 2012 - og særbevillingerne skal fjernes og i stedet benyttes i et uvildigt cybersikkerhedsråd som arbejder tæt sammen med datatilsynet.

  • 6
  • 4

Øv. Jeg var ellers ret glad for internettet.

Jeg taler ikke om at nedlægge internettet, men segmentere netværkerne for at gøre dem mere robuste.

Men det er sådan set udviklet af det amerikanske militær, som vi følgelig må overlade det til og så lave vores eget civile...

Nu er der løbet ret meget vand i åen, så måske vi mere skal tale om hvem der har betalt internettet - det romerske rige anlagde også ret mange veje rundt omkring i Europa, men det betyder ikke at det er det italienske militær der ejer vejene i dag.

Spøg til side. Mener du alvorligt at militæret bare leger?

Nej, der er store dele af militæret der tager deres rolle absolut alvorligt, men efterretningstjenesterne har en tendens til at opfinde deres egen virkelighed, se bare på hvordan det engelske efterretningsvæsen har gået fra skandale til skandale, og hvordan CIA har opfundet deres egne kriser (med store tab af menneskeliv til følge).

  • 5
  • 5

Det er værd at huske, at kun de færreste sager sandsynligvis kommer frem i lyset. Det er der flere grunde til, men een grund kan være "dårlig samvittighed". De fleste (virksomheder) ved, at de skal passe på, lg have deres forsvar parat. Når det så, mod bedre viden, aligevel går galt, så er det vel "pinligt" - og i stedet for at stå frem til andres "skræk og advarsel", så begraves sagen "internt".

Der er undtagelser, også i Danmark. Udover Maersk, så var der også et andet, stort, dansk firma, som trods alle forholdsregler blev "fanget" af virus og lignende. De stod frem, prisværdigt, for at advare.

Jeg tror, men det er en trossag, kun vi ser og hører om den berømte top af et isbjerg - med netop et enormt mørketal.....

  • 6
  • 2

men derfra til at sige at der foregår en cyberkrig, og hvad har vi, der er der altså langt

Du bliver bare i din tro, hvis du har det bedre med det.

https://portswigger.net/daily-swig/cyber-w...

Har du hørt om Stuxnet?... det var et angreb direkte designet som en militær "nålestik" operation.

Der er utallige interessante links til hvordan Cyberwar foregår, og har foregået i årevis også før man kaldte de Cyberwar.

https://foreignpolicy.com/2020/06/05/israe...

  • 4
  • 6

Når en undersøgelse bliver mørkelagt åbner det op for konspirationsteorier.

Min egen går på at de sikkert har fundet eventuelle/muligheder for bagdøre, men ikke er sikre på hvem der bruger dem. Sådanne enheder skal jo være smarte, så de kan sikkert opdateres via det samme internet, og hvem siger at en opdatering ikke indbygger en bagdør?

Så vidt jeg ved, så kan pakkerne der sendes via internettet tage hviken som helst vej rundt på kloden, hvor det nu passer bedst. Det er styrken, men også svagheden i systemet.

  • 4
  • 0

Jeg taler ikke om at nedlægge internettet, men segmentere netværkerne for at gøre dem mere robuste.

Jeg forsøgte egentlig bare (omend det tydeligvis helkiksede) at være lidt vittig; men når du nu svarer i alvor vil jeg tillade mig et spørge: Hvilken (yderligere) segmentering har du i tankerne og hvordan giver det en mere robust konsekvens?

efterretningstjenesterne har en tendens til at opfinde deres egen virkelighed

Bortset fra en ideel verden hvor efterretningsvirksomhed ikke er nødvendig til at imødegå tossede regimer og kriminalitet, eller en anden ideel verden hvor der ikke begås fejl eller er brådne kar eller bestræbelser på personlig vinding og ikke er behov for hemmelighed, hvordan forestiller du dig så i praksis at "et uvildigt cybersikkerhedsråd som arbejder tæt sammen med datatilsynet" skal opfylde de roller PET/FE i dag varetager indenfor cybersikkerhed uden at have akkurat de samme problemer?

  • 2
  • 2

Jeg forsøgte egentlig bare (omend det tydeligvis helkiksede) at være lidt vittig; men når du nu svarer i alvor vil jeg tillade mig et spørge: Hvilken (yderligere) segmentering har du i tankerne og hvordan giver det en mere robust konsekvens?

Jeg forestiller mig helt konkret at der laves separate fysiske netværke for forsvaret, samt at eventuel kontrol af infrastruktur som skal kunne tilgås udefra (og skal alt i virkeligheden det?) gøres gennem lukkede netværker ala mpls.

hvordan forestiller du dig så i praksis at "et uvildigt cybersikkerhedsråd som arbejder tæt sammen med datatilsynet" skal opfylde de roller PET/FE i dag varetager indenfor cybersikkerhed uden at have akkurat de samme problemer?

Nu er det jo godt skjult bag mørkelygten, og derfor er det jo i virkeligheden en bekvem hemmelighed hvilke roller især cfcUs varetager.

Men der er mange andre lande hvor man har uvildige cybersikkerhedorganer, hvis rolle er at hjælpe og vejlede både offentlige instanser og private, ikke at overvåge dem!

  • 5
  • 3

Jeg forestiller mig helt konkret at der laves separate fysiske netværke for forsvaret, samt at eventuel kontrol af infrastruktur som skal kunne tilgås udefra (og skal alt i virkeligheden det?) gøres gennem lukkede netværker ala mpls.

Det tror du ikke allerede eksisterer? De er jo altså ikke helt uden for pædagogisk rækkevidde ;)

Men det ændrer ikke ved at vi har med mennesker at gøre, mennesker som også har en laptop, og det gælder både militært personel og politikere.

Stuxnet "smittede" ikke via en direkte netværks adgang til kontrol computerne som styrede centrifugerne, men via en USB nøgle.

Der er andre endnu mere sofistikerede måder at aflytte og i nogen tilfælde at påtrykke netværks isolerede computere information, men ofte er det nemmeste at udnytte intetvidende mennesker, hvorfor du sjældent kan føle dig sikker på at dit udstyr ikke allerede er inficeret på en måde som du bare ikke opdager før det er for sent.

  • 7
  • 2

Stuxnet "smittede" ikke via en direkte netværks adgang til kontrol computerne som styrede centrifugerne, men via en USB nøgle.

Det var i hvert fald ideen da amerikanerne oprindelig lavede Stuxnet (som i øvrigt udnyttede en sårbarhed i, "sjovt" nok, Windows), men det holder jo ikke vand, den bredte sig jo langt mere end forventet.

Men at slippe den slags løs er jo en boomorang som vi jo også så, stort set lige så naivt som at tro at man kan bare slippe en rigtig virus løs i et givent land/sted, og det kan aldrig slå tilbage (bemærk, jeg siger på ingen måde at Covid-19 er "The China Virus" eller lignende Trumpsk vås, men at hvis først en dødelig virus slipper løs, så kan det videre forløb være uoverskueligt og fatalt.)

Og se lige hvad resultatet af NSA's lille eventyr med EternalBlue endte med - så forløbig kommer de to nok værste angreb sjovt nok fra dem der skulle anses for vennerne, ikke rigtig nogen god reklame.

men ofte er det nemmeste at udnytte intetvidende mennesker, hvorfor du sjældent kan føle dig sikker på at dit udstyr ikke allerede er inficeret på en måde som du bare ikke opdager før det er for sent.

Og er det så en fordel at de intetvidende mennesker ikke bliver informeret om hvilke trusler der er og det hele skjules bag mørkelygten?

Hvordan mon det ville se ud hvis det var cfcUs som skulle stå for at håndtere den nærværende pandemi?

  • 3
  • 2

Og er det så en fordel at de intetvidende mennesker ikke bliver informeret om hvilke trusler der er og det hele skjules bag mørkelygten?

Nu har mit oprindelige svar til dig jo altså ikke haft relation til den del, så du flytter målet ;)

Jeg kan ikke afgøre hvorfor det valg er taget lige nu. Men jeg kan forestille mig at det er taget for at undgå en potentielt endnu værre situation, f.eks. misbrug af evt. fundne huller.

Den anden mulighed er selvfølgelig at det hele er politisk motiveret, og der intet er at beskrive.

Hvilken mulighed er den rigtige kan jeg ikke udtale mig om ;)

  • 1
  • 3

Dig; "Set ud fra et forsvarmæssigt synpunkt er Kina ikke specielt interesseret i Danmark"

Mig: "Hvor har du det fra?"

Altså en diskussion omkring Kina's forsvarsmæssige interesse i Danmark.

  • 2
  • 4

Altså en diskussion omkring Kina's forsvarsmæssige interesse i Danmark.

Ja, men det er ikke hoveddiskussionen her (og iøvrigt kunne du jo, af gode grunde, ikke rigtig komme med nogen valid dokumentation på din cyberkrig "der raser derude").

Og mit svar var til det at de intetvidende mennesker ikke bliver informeret om hvilke trusler der er, så hvis der er nogen der hele tiden prøve at flytte målet, så er det vist da dig selv.

  • 3
  • 1

Jeg forestiller mig helt konkret at der laves separate fysiske netværke for forsvaret, samt at eventuel kontrol af infrastruktur som skal kunne tilgås udefra (og skal alt i virkeligheden det?) gøres gennem lukkede netværker ala mpls.

Jeg går stærkt ud fra at der allerede eksisterer seperate fysiske netværk for den del, der ikke må have forbindelse til omverdenen. Selv jeg har (sågar galvanisk) adskilte netværk på min meget u-hemmelige arbejdsplads. Men der er jo selvfølgelig også et stort felt af områder, der har en eller anden form for interface til omverdenen, men stadig ikke skal være åbent. Og der er nogen det laver de switche/concentratorer/osv, der håndterer mpls eller vpn eller banale vlan eller hvordan de nu end segmenterer det "blandede" felt. Det er vel akkurat de producenter de nu holder øje med, netop i denne forbindelse. Ellers er der noget, som jeg ikke har forstået rigtigt.

Men der er mange andre lande hvor man har uvildige cybersikkerhedorganer, hvis rolle er at hjælpe og vejlede både offentlige instanser og private, ikke at overvåge dem!

Mon ikke de i tillæg til disse, så også har en form for cyber-efterretningsvirksomhed?

Jeg er ikke sikker på at have forstået hvad du opponerer imod. Er du imod at have et efterretningssystem til cyber-halløjet eller er du imod ikke at have et selvstændigt civilt organ udenfor PET/FE?

  • 1
  • 3

kke rigtig komme med nogen valid dokumentation på din cyberkrig "der raser derude").

Øh nå.... Jeg viste dig ellers et specifikt militært cyber angreb.

Du kan så finde mange flere som er kendte... og så er der alle dem som enten ikke lykkes, eller som holdes under radaren fordi de er for følsomme at stå frem med.

Men lad endelig ikke fakta ændre din tro ;)

https://en.wikipedia.org/wiki/List_of_cybe...

Og hvorfor dog så mange resourcer sat af til cyber krigs førelse og forsvar hvis der ikke er noget?

https://en.wikipedia.org/wiki/List_of_cybe...

  • 3
  • 6

Jeg er ikke sikker på at have forstået hvad du opponerer imod. Er du imod at have et efterretningssystem til cyber-halløjet eller er du imod ikke at have et selvstændigt civilt organ udenfor PET/FE?

Som jeg forstår lederen og Christian Nobel, så påpeger de at det er uhensigtsmæssig at vores fælles it-sikkerhed er blevet en militær operation fordi militære operationer bliver drevet ud fra en kultur hvor alt holdes hemmeligt, hvad der måske er hensigtsmæssig en i en krigssituation, men i det lange løb i stedet kan blive en sovepude.

Nu kan vi så diskutere stolpe op og ned om efterretningstjenester er drevet af samvittighedsfulde og kompetente mennesker som altid indrømmer når de har begået en fejl og retter ind, eller ej, men jeg tænker at man, på tværs af holdninger, vel kan blive enige om at hvis ikke lige vi står midt i en krig, så er det hensigtsmæssigt at vores fælles offentlige sektor har aktindsigt så vi kan slå ned på inkompetence?

F.eks. kunne man i fuld offentlighed hyre nogle folk og sætte dem til at bryde ind i vigtige netværksprodukter. Der er faste procedurer med CVE'er osv. der skal følges. Så kunne alle se om pengene bliver pamperet væk, eller faktisk går til noget fornuftigt.

  • 4
  • 2

... at når der snakkes om AGW så er de fleste ingeniører (som giver thumbs up/down på disse fora) totalt enige om at der ikke er noget at kritisere/stille spørgsmål ved, da det jo er eksperter indenfor AGW feltet som har vurderet sagen.

MEN når vi snakker om kameraerne her, eller andet overvågnings/sikkerheds mæssigt, så er der ofte den modsatte holdning, uanset at man må antage at de folk der arbejder med efterretning burde have langt mere viden og ekspertise om dette område end de fleste ingeniører på dette site.

? Hvorfor er det sådan`?

  • 1
  • 4

Som jeg forstår lederen og Christian Nobel, så påpeger de at det er uhensigtsmæssig at vores fælles it-sikkerhed er blevet en militær operation fordi militære operationer bliver drevet ud fra en kultur hvor alt holdes hemmeligt, hvad der måske er hensigtsmæssig en i en krigssituation, men i det lange løb i stedet kan blive en sovepude.

Præcis.

Det jeg argumenter for er at vi skal have et uafhængigt 100% åbent cybersikkerhedsråd, hvis erfaringer, anbefalinger mv. er til rådighed for alle, dvs offentlige instanser, privatpersoner og virksomheder, samt selvfølgelig også politi og forsvar.

Jeg taler intetsteds om at nedlægge forsvaret, og forsvaret er sikkert også nødt til at have et efterretningsvæsen, inden for deres normale ramme og bevilling - det er slet ikke det sagen drejer sig om.

Det drejer sig om at al information om usikkerhed på nettet skal ligge helt åbent - forsvaret kan så selv drage konklusioner ud fra det, og der er jo ingen i forsvaret der skal stå og bræge op om at hin eller den konstaterede trussel er en fare for hin eller denne fregat, for selvfølgelig skal information af den karakter kun glide en vej.

Så i virkeligheden ville det at trække cfcUs ud af FE kun være en styrkelse for alle parter, især hvis det så kunne komme til at leve op til navnet Center For CyberSikkerhed.

Og som John Mogensen skrev tidligere: "Center for Cybersikkerhed og Forsvaret skyder også sig selv i foden og gør sig sårbare overfor spekulationer og konspirationsteorier."

  • 3
  • 2

... at når der snakkes om AGW så er de fleste ingeniører (som giver thumbs up/down på disse fora) totalt enige om at der ikke er noget at kritisere/stille spørgsmål ved, da det jo er eksperter indenfor AGW feltet som har vurderet sagen.

MEN når vi snakker om kameraerne her, eller andet overvågnings/sikkerheds mæssigt, så er der ofte den modsatte holdning, uanset at man må antage at de folk der arbejder med efterretning burde have langt mere viden og ekspertise om dette område end de fleste ingeniører på dette site.

? Hvorfor er det sådan`?

Ja hvorfor mon det er sådan?

Debatten om AGW foregår fuldstændig i det åbne, dokumentation ligger frit tilgængelig og alle aktørerne og deres roller er kendte.

På den anden side så kommer du, du vil ikke fortælle hvad din rolle er, og du vil ikke komme med konkret information, men forventer bare at det du siger skal accepteres uden debat.

Imo er det ikke specielt seriøst.

  • 6
  • 2

På den anden side så kommer du, du vil ikke fortælle hvad din rolle er, og du vil ikke komme med konkret information, men forventer bare at det du siger skal accepteres uden debat.

Refererer "du" specifikt til mig? eller er det i overført betydning?

Kan du acceptere at hvis man ikke skal se skævt til AGW, så må du også have en tiltro til ekspertise på andre områder.

Der angiver jeg ikke min person som eksperten, men efterretnings tjenesterne, myndighederne etc., eller vil du forbeholde dig ret til at være skeptisk?

Altså ikke at stole på dem som påstår de har hele den absolutte viden om det pg. resort område.

Hvis det er tilfældet, så er det hykleri at bashe andre som måtte være skeptiske, da hele den absolutte viden heller ikke er tilgængelig på andre områder.

  • 2
  • 4

Refererer "du" specifikt til mig? eller er det i overført betydning?

Både og, for i virkeligheden ved jeg det jo ikke, for jeg ved ikke hvem Kim Madsen er - men det at du udtaler dig så kategorisk indikerer at du på en eller anden måde må være en del af systemet.

For mit vedkommende udtaler jeg mig udelukkende som lægmand, men med temmelig stor viden om datasikkerhed.

Kan du acceptere at hvis man ikke skal se skævt til AGW, så må du også have en tiltro til ekspertise på andre områder.

Det er faktisk en stråmand Kim, for jeg er ikke nødvendigvis enig i alle de AGW konklusioner der laves, men omvendt så respekterer jeg at alle forskningsresultater ligger i det åbne, og man ved hvem opponenten (i din term vel fjenden) er - det gør en verden til forskel.

Der angiver jeg ikke min person som eksperten, men efterretnings tjenesterne, myndighederne etc., eller vil du forbeholde dig ret til at være skeptisk?

Nu er du virkelig uklar, for hvem er det jeg skal være skeptisk over for?

Hvis vi nu skal holde os helt konkret til kameraerne, så er det eneste vi ved er, at et lukket organ, bag mørkelygten, ikke vil delagtigøre civilsamfundet i de svagheder der kan være i kinesiske kameraer - og det vil jeg sandelig gerne have ret til at være skeptisk overfor!

Og husk igen, der foreligger ingen beviser for at CFCS overhovedet har nogen ekspertise, al den stund det hele er hemmeligt, og der kun fremføres postulater - i bund og grund kan deres kompetance være ligeså lav som alkoholikerne fra Georgetown, vi ved det ikke, da det ligger skjult bag mørkelygten.

Altså ikke at stole på dem som påstår de har hele den absolutte viden om det pg. resort område.

Og igen, det ved vi ikke om de har, da det hele er hemmeligt!

Hvis det er tilfældet, så er det hykleri at bashe andre som måtte være skeptiske, da hele den absolutte viden heller ikke er tilgængelig på andre områder.

Så du mener at f.eks. resultater fra AGW forskning ikke er tilgængelige?

  • 5
  • 2

" bund og grund kan deres kompetance være ligeså lav som alkoholikerne fra Georgetown, vi ved det ikke, da det ligger skjult bag mørkelygten"

Så dermed har du også anerkendt at, uanset du anser dig selv som lægmand, så mener du dig istand til at mistro diverse myndigheder, fordi du ikke får eller har indsigt i alle deres beslutninger?

(ftr, så kan jeg sagtens være skeptisk overfor efterretningstjenester verden over, men jeg tillader mig også at være det over for AGW og alt muligt andet, da jeg altid har lært at man ikke skal tage alt for givet)

"Så du mener at f.eks. resultater fra AGW forskning ikke er tilgængelige?"

Der er en hel masse forskning tilgængelig. Men jeg kan også garantere dig at du ikke får alle oplysninger i alle sammenhænge. Nogen af dem fordi de ikke er kendt, nogen af dem af politiske årsager osv. Så nej det totale samlede absolutte informations grundlag findes ikke.

At man så har lov til at have tillid til det som er fremlagt i forhold til AGW har jeg ikke prolblemer med. Jeg har problemer med at man (ofte per automatik) ikke har den selvsamme tillid til andre områder af national sikkerhedsmæssig art, udelukkende fordi man føler at der er udeladt information og uden at vide hvorfor.

Så begynder folk straks at konspirere om hvorfor det kunne være. Reference til statens sikkerhed eller lign. er heller ikke nok. Det giver bare mere konspiration.

Så igen... hvorfor bashing mod AGW kritiske øjne (konspiratorikere) men ikke når det drejer sig om statens sikkerhed, efterretning, militær etc. Der er det helt legitimt at konspirere. Det er sgu da hyklerisk.

BTW... jeg taler i generelle termer og ikke nødvendigvis rettet direkte mod dig.

  • 0
  • 3

Så dermed har du også anerkendt at, uanset du anser dig selv som lægmand, så mener du dig istand til at mistro diverse myndigheder, fordi du ikke får eller har indsigt i alle deres beslutninger?

Og endnu engang kommer du med en stråmand.

Jeg forholder mig konkret til cybersikkerheds området, hvor jeg, selv om jeg er lægmand, har en stor interesse i cybersikkerhed, MEN jeg må intet få at vide om hvad det center der postes milliarder i kommer med af viden på området.

Generelt er min holdning, at det er usundt for et demokrati, at hvad der forhandles på folkets vegne, af de af folket valgte politiere, lægges bag en mørkelygte - og især er det usundt at der ikke engang findes en reel tilsynsmyndighed!

Jeg er udmærket klar over at der kan være situationer (især af militærstrategisk betragtning) hvor viden skal være klassificeret, men det skal ikke være normen for de områder som i stort omfang (primært) påvirker civilbefolkning, offentlige instanser og virksomheder.

Og hvis du nu holdt op med at blive ved med at skamvride hvad jeg siger, så forhold dig til det jeg helt konkret siger, nemlig at vi bør (skal) have et cybersikkerhedsråd som ligger i det åbne, men der er intet til hinder for at forsvaret selv forholder sig til de dele som de mener har forsvarsmæssig betydning!

  • 3
  • 0

Hvorfor alt det påstyr om sikkerhed - hvorfor ikke sætte en router/firewall på, som styrer adgangen?

Kameraet burde ikke have lov til at selv kontakte nogle servers på internet, for at aflevere oplysninger til dem. Og skulle det ske, så spærer en firewall adgangen.

Der er ikke mange, der kører kamera uden en router og firewall.

Jeg tror, at det her er politik, og ikke har noget med cybersikkerhed at gøre.

En firewall kan også nemt konfigureres til en positiv liste for IP addresser der kan få adgang til kameraet.

Hvis der virkeligt er et sikkerhedsproblem, så er problemet udenfor kameraet - f.eks. mangel på, eller forkert opsætning af router og firewalls. Hvis kameraet er trådløs, kan måske også være sikkerhedsproblemer indenfor kort afstand, men det gælder alt som er trådløst at der altid er sikkerhedsproblemer, f.eks. mulighed for jamming.

Et kamera kan også have issues, hvis udvikleren har lavet det til at være påvirket over noget bestemt, f.eks. en blinkende lysdiode med en bestemt frekvens, eller en sort kat, der får billedet til at fryse og gå i sort. Fjernadgang fra kinaland er det mest usandsynlige gennem fornuftigt konfigurerede routers og firewalls.

  • 0
  • 2

Jeg tror, at det her er politik, og ikke har noget med cybersikkerhed at gøre.

Har du læst artiklen?

Bagdøre er umulige uanset hvad USA og Homeland Security hævder, for at sælge amerikansk udstyr. Naturligvis kan være en bagdør, men enhver firewall lukker den effektivt. Der er bagdøre i alt amerikansk udstyr, måske endda specificeret i dokumentationen... og det er nok et større problem, fordi at routerne også er amerikanske. Bruges amerikanske firewalls og routere - så brug kinesiske kameraer. Bruges amerikanske kameraer, så brug kinesiske firewalls og routere. Så er risikoen for at komme igennem små.

  • 1
  • 2

Men kineserne har tilgæld store interesser i at stjæle med arm og ben fra alt og alle - men det er en civil betragtning, ikke en militær - og kineserne har ingen interesse i at ødelægge dansk infrastruktur eller andet som gør at landet ikke har råd til at handle med Kina, eller ikke har råd til at udvikle noget som er værdifuldt for kineserne at begå industrispionage mod.

Kineserne har større interesse i at gøre arbejdet selv, end at stjæle - det har de for længst indset. Stjæler det noget fra USA, så er det udviklet til at blive stjålden, og man har sikret sig, at det vil koste langt mere end at udvikle fra bunden af, at bare finde ud af om sluk knappen fungerer, eller om apparatet også lytter, når tænd LED'en slukker.

  • 1
  • 3

Her er lidt boot output fra den serielle port på et billigt kinesisk overvågnings camera.

6

Route: ioctl 0x890c failed: No such process adding dns 85.233.224.20 adding dns 85.233.228.2 p2pu_start_process_query_dns run=10 fgUpdateLocalDnsFile:nameserver 114.114.114.114 fgUpdateLocalDnsFile:nameserver 8.8.8.8 fgUpdateLocalDnsFile:nameserver 192.168.16.1 dwGetKey() = 147,dwUIState = 0 [1970-01-01 00:04:59.219] ****************vP2PResetNetwork**************** vP2PSetMyPassword... pwdHost=123 pwdGuest=0 vP2PSetMyPassword... encodepwdHost=967756043 encodepwdGuest=836843848 p2pu_start_process_query_dns run=0 p2pu_start_process_query_dns run=1 p2pu_start_process_query_dns run=2 p2pu_dns_callback: failcnt=1 p2p2.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p5.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p8.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p6.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p3.cloud-links.net -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p10.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p9.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p4.cloud-links.net -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p7.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... p2pu_dns_callback: failcnt=1 p2p1.cloudlinks.cn -> non-recoverable failure in name resolution p2pu_dns_callback end... [msg] Nameserver 8.8.8.8:53 is back up [msg] Nameserver 114.114.114.114:53 is back up p2pu_start_process_query_dns run=3 p2pu_start_process_query_dns: evdns_getaddrinfo( p2p1.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p4.cloud-links.net ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p2.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p3.cloud-links.net ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p5.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p6.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p7.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p8.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p9.cloudlinks.cn ) p2pu_start_process_query_dns: evdns_getaddrinfo( p2p10.cloudlinks.cn ) p2pu_dns_callback: addListSrv p2p4.cloud-links.net ==> 49.51.39.15 p2pu_addListSrv

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten