onsdag, september 30, 2009

FRAs databaser

Den grafik som media använder för att beskriva FRAs verksamhet är lite missvisande eftersom den ger intrycket av att 1) FRA använder sökord (som är något annat än sökbegrepp) och 2) FRA sparar väldigt lite information så vi med "rent mjöl i påsen" inte berörs. Nedan finns ett exempel.

För snart ett år sedan gjorde undertecknad, Mikael Nilsson och Anna Petersson en skiss över hur FRA hanterar kommunikation. Se nedan. Det är ingen i media som riktigt nappat på vår skiss.

Nu hittade jag för en för mig tidigare okänd grafik i en tidig utredning, SOU 2003:34, sid 257.

Notera storleken på cirklarna som symboliserar storleken på databaserna. Bedöm själv vilken grafik som beskriver FRAs verksamhet mest korrekt. I förarbetena kan vi läsa följande, prop. 2006/07:46 sid. 32-33.

Källdatabasen är den primära databasen för lagring av den information som Försvarets radioanstalt hämtar in i sin försvarsunderrättelseverksamhet. Källdatabasen innehåller endast hemlig information i form av signalspaningsmaterial. Inhämtning genom signalspaning kan ske utan urval, vilket innebär att databasen tillförs stora mängder obearbetad information. Källdatabasen är då en ”spegling” av förekommande signaler. ... Källdatabasen är en omfattande databas. ... Källdatabasen innehåller, om än till mindre del, personuppgifter som kan eftersökas, t.ex. namn på personer, adresser eller personnummer. I sakens natur ligger att även personuppgifter som rör politiska åsikter, etniskt ursprung och andra känsliga personuppgifter kan förekomma.

SVT Rapport har som bekant avslöjat att FRA inte alls som regeringen påstår samlar små mängder information utan använder en stor håv för att fånga in och lagra även uppgifter om kommunikation som rör vanliga svenskar. När ska övrig media och politikerna börja diskutera storleken på FRAs databaser?

Media och bloggar
DN, Aftonbladet, Mathias Sundin, Hanna Wagenius, Henrik Oscarsson, HAX, Annie, Falkvinge, Ulf Bjereld, Rickard Wendel, Oscar Fredriksson, Johan Westerholm, Olof B, Nestor, Opassande, Mary, Farmor Gun

10 kommentarer:

Olof Hansen sa...

Man kan ju också fråga sig vad FRA planerat göra när allt mer trafik går i VPN-tunnlar via andra länder. Eventuell underrättelserrelaterad trafik lär drunkna i massiva berg av krypterad fildelningstrafik.

Det är internetvarianten av osäkerhetsprincipen; bara det faktum att man avlyssnar förändrar det man avlyssnar.

Rasmus sa...

Det här är mycket intressant av flera skäl. Dels naturligtvis av skälet att det visar att FRA kommer att spara massor med trafik som kan användas till alla möjliga sökningar i efterhand.

Men också av skälet som jag tror jag påpekat i en annan kommentar till en av dina bloggposter. Det argument som säkert fått en massa politiker att gå på FRA-lobbingen är att man måste signalspana för att få förvarning om förestående storskaliga militära attacker på Sverige. Det är ett i stor utsträckning relevant argument som man måste kunna påvisa en alternativ metod för att uppnå om man ska få bort FRA-lagen.

Och den bild över databaserna som du fått fram visar mycket tydligt att databaserna och deras användning är anpassade för att kunna söka efter storskaliga anomalier eller förändringar i trafikflödet. Just sånt som föregår en storskalig attack av något slag.

Problemet är naturligtvis att all denna källdata mycket väl kan användas till annat också, som till exempel kartlägga alla sympatisörer till miljöpartiet och försöka hitta komprometerande bilder på dem för att användas för en nedsvärtningskampanj.

Man borde kunna argumentera för att FRA inte ska få lagra källdata alls utan endast lagra HASH-värden genererade från trafikströmmarna och att Telekomoperatörerna endast ska lämna ifrån sig sådana HASH-värden. På så sätt skulle FRA mycket väl och med hjälp av väsentligt mindre datorkraft kunna upptäcka storskaliga anomalier i trafikströmmarna.

Inga källdata som är integritetskränkande skulle därför lagras utan bara information i ett format som beskriver trafikströmmarnas egenskaper i ett format som ändå motsvarar ett förstasteg i den typen av analysalgoritmer man använder för att upptäcka storskaliga anomalier.

Om FRA upptäcker en sån anomali borde man kunna gå till regeringen och begära ett tillfälligt mobiliseringstillstånd för att få direktaccess till livetrafikströmmarna så man kan undersöka anomalins natur.

Olof Bjarnason sa...

Intressant ny bild Klamberg!

Rasmus. Har du några vetenskapliga studier som ger stöd för din tes om "anomalier i flödet"? Det låter som mysticism i mina öron.

Känns som tankegången kommer ifrån att djur i flock känner av faror långt innan de uppdagas (t.ex. jordbävningsföraningar, tsunamis etc.). Tror du på allvar att FRA skulle upptäcka något liknande i datorkommunikationstrafiken..?

Mark Klamberg sa...

Olof B och Rasmus,
Vi diskuterar ju trafikanalys, här kommer några tankar kring det.

Jag tror Rasmus tänker på ökningar/minskningar i kommunikationsflödet. Det är - vad jag förstår - en beprövad metod inom signalspaning i etern mot militär kommunikation. Kraftig ökad kommunikation visar på planering och mobilisering medan tystnad visar på förestående attack.

Läs SOU 2003:30 sid.123-124: "Liksom all signalspaningsverksamhet bygger en effektiv signalspaning från FRA:s sida på att stora trafikvolymer och i princip all trafik kan spanas av för att få en bild av det normala trafikflödet."

Några kanske skulla fastna för formuleringen "all trafik kan spanas av" men låt oss lämna det för en stund.

Jag fastnar särskilt vid formuleringen "det normala trafikflödet". FRA spanar efter avvikkelser från det normala.

Jag tror inte det fungerar i kabelspaning om man tar en summa av all kommunikation eftersom sådana anamolier kan bero på annat. Däremot kan det fungera om man isolerar specifika IP-nummer och telefonnummer och kollar trafikflödet på dem.

Jonas B sa...

Ser att Per Agerman har skapat en valaffisch åt Staffan Danielsson.

Anonym sa...

Bilder och förklaringar.. men varje gång glöms det viktiga bort. FRA-lagen innebär ett förbud mot privat kommunikation!

-Nicke

Rasmus sa...

Mark nämnde det klassiska militära signalspanings exemplet på en storskalig anomali.

Ett annat exempel var det som hände nyligen då en bloggare i Georgien blev utsatt för en omfattande denial of service attack som inte bara riktade sig mot hans blogg utan också mot hans twitter aktiviteter och hans aktiviteter på facebook. Attacken kom från ett botnet med zombiedatorer som huvudsakligen befann sig i ryssland. Attacken var så kraftfull att den slog ut twitter under en hel dag och facebook var nere i flera timmar. Även google drabbades av driftstörningar.

En så kraftfull cyberattack skulle mycket väl kunna vara inledningen på en mer konventionell militär attack. Problemet ur signalspaningssynvinkel borde rimligen vara att ju tidigare man kan upptäcka en sån attack dessto bättre kan man försvara sig. Samtidigt tar det en stund innan attacken nått full styrka vilkent betyder att i början drunknar den relevanta informationen i ett informationsbrus av vanlig kommunikation.

För att se det man vill se så tar man därför bort t ex de sista två grupperna av siffror i ip-numren så man kan se hur trafikmönstren ändras i kommunikationen mellan olika nät. Den sista siffergruppen som pekar ut en enskild dator är ur signalspaningssynvinkel så gott som alltid att betrakta som brus. Bara då man redan konstaterat ett pågående "brott" blir den siffergruppen intressant och då har man ett case där tillstånd för ren avlyssning kan begäras.

En annan viktig brusreducering handlar om själva innehållet i trafiken. Och det är här Hash-summor kan komma till sin rätt. För att se mönstret av en denial of service attack behöver man också brusreducera innehållet i kommunikationen. Och genom att beräkna en hash-summa på varje data-paket så kommer denial of service attacken att synas tydligt eftersom det plötsligt uppkommer en massa trafik mellan vissa grupper av ip-nummer där hash-summorna på paketen är identiska. Vilket skiljer sig från vanlig kommunikation där du får en slumpmässig spridning på hashvärden med några få undantag för vissa hashvärden som representerar standardpaket för nätverksprotokoll som förekommer i förutsägbara mängder.

På detta sätt skulle FRAs arbete kunna underlättas och göras mycket billigare om de bara fick tillgång till i förväg "brusreducerad" information från ISP:erna samtidigt som detta skulle innebära att alla möjligheter till avlyssning av enskilda kommunikationer omöjliggörs och vi får ett effektivt integritetsskydd för medborgarna.

När sen FRA upptäcker en storskalig avvikelse kan de gå till regeringen och begära ett tillfälligt tillstånd att sampla rådata från trafiken för att kunna göra en fördjupad analys av vad för slags trafik som avvikelsen består av och om detta innebär ett hot mot riketssäkerhet.

Mark Klamberg sa...

Rasmus,
FRA använder förmodligen olika tekniker och information beroende påvilken typ av spaning de sysslar med. IT-hot kräver förmodligen en annan typ av metod än sådan som är mot andra länder eller terrorister.

Då är det från FRAs perspektiv praktiskt att ha tillgång till så mycket kommunikation som möjligt med en betydande inhämtning och lagring av källdata. Därefter kan deras analytiker angripa materialet med olika metoder.

Rasmus sa...

Mark,

Jag förstår att de använder olika metoder. Men det är inte poängen, utan min poäng är att för de "legitima" militära signalspaningsbehoven som kan finnas så är en komplett och ofiltrerad datamängd faktiskt ett större problem för analysarbetet än en effektivt brusreducerad datamängd.

Och för de typer av signalspaning där man behöver all rådata för att upptäcka t ex förberedelser till terrorism så är signalspaning inte effektivt därför att den trafiken är för liten och går inte att skilja från vanlig trafik. Istället kommer sån signalspaning bara att leda till en stor mängd false-positives. Men inte hitta ett enda äkta fall av terrorism-förberedelser.

För att hitta terrorism-förberedelser eller spionage från främmande makt så måste man arbeta med traditionella polismetoder och kvalitativ underrättelsemetodik. När man hittat misstänkt aktivitet så kan man sedan begära rätten att bedriva avlyssning av just denna aktivitet. Men då är det inte längre signalspaning på trafikdata vi pratar om.

Problemet med FRA som jag tror vi är överens om är att FRA är ett regeringen direkt underställt organ som behövs för att ge regeringen tidig förvarning om förestående attacker. Det är rimligt att ett sånt organ finns och får tillgång till analysmaterial av relevant beskaffenhet.

Vad vi också verkar överens om är att det är farligt om ett sådant regeringsorgan får tillgång till verktyg som innebär att en Regering i princip kan övervaka all politisk opposition på individnivå. I princip innebär detta att regeringen får tillgång till ett verktyg för att effektivt kunna genomföra en statskupp och avskaffa demokratin. Och med den nuvarande FRA-lagen och FRAs tillgång till råa källdata så blir detta möjligt.

Min poäng är att det går att avidentifiera all trafikdata så att FRA kan utföra sitt legitima uppdrag att förvarna om storskaliga attacker av många olika typer utan att samtidigt sätta ett effektivt verktyg för statskupper i händerna på regeringen.

Men avidentifieringen måste göras innan traffikströmmen överlämnas till FRA och den avidentifieringen bör kunna göras effektivt på paketnivå med hjälp av en rätt simpel digital signalprocessor som maskar bort halva ip-numret och beräknar ett hash-värde på paketets innehåll.

Om jag nu vore underrättelse-analytiker i ett annat land så skulle jag ställa upp frågeställningen:

Varför investerar den svenska regeringen och dess ingående partier hela sin politiska framtid och så mycket skattepengar i att driva igenom en lag och bygga upp en organisation som ger regeringen ett effektivt verktyg för att genomföra en statskupp och/eller manipulera nästa val?
Trots att de inte behöver göra det för att säkerställa att de har tillgång till en effektiv förvarning om yttre hot?
Och varför har de så bråttom att få allt på plats i god tid före nästa riksdagsval?

Om jag var en sån analytiker så skulle jag besvara frågan med: Det föreligger en ökad risk för statskupp i Sverige ursäktad av påhittat yttre hot och med efterföljande militärisering och krigslagar som avskaffar demokratin.

Som vanlig medborgar torr jag inte på såna förklaringar utan gissar att regeringen blivit uppskrämda och grundlurade av lobbyister att köpa in verktyg man inte behöver för en väldig massa pengar.

Fast man undrar ju lite varför exakt samma sak händer samtidigt i en massa olika länder inom EU...

Anonym sa...

Argumentet att FRA måste få tillgång till all data för att kunna skydda oss i händelse av militärt anfall är inte särskilt bra, av flera skäl. Först och främst rimmar det illa med att vi lägger ned mer och mer av vårt militära styrka. Som tidigare påpekats: Hade vi haft ett försvar värt namnet, så hade vi inte behövt FRA-lagen. Militära anfall handlar inte om spionage, de handlar om militär styrka, beredskap och utrikespolitik.

Ett annat, delvis annorlunda argument är, att även om det kanske är ok att FRA får tillgång till vår kommunikation, men det är absolut otänkbart att de dessutom skall kunna använda den i kommunikation med polisen, socialtjänsten, osv. Detta är den farligaste delen av deras program, eftersom det innebär att myndigheter som påverkar människors liv, plötsligt får information om olika medborgare, men de vet inte mer än att FRA säger vissa saker till dem. Detta ger obegränsade möjligheter att t.ex. ta alla miljöpartisters barn och liknande. FRA-shopen är inte ok under några som helst omständigheter.

Dessutom måste självklart en granskning göras. Denna skall då göras i efterhand, och av mycket välutrustade och kunniga personer. Som förslag kan man väl säga att denna enhet skall ha lika mycket budget som FRA. Tycker de att detta är dyrt, fine, dra då ner FRAs budget.