Rigspolitiet har hidtil afvist at forklare, hvad et nyindkøbt overvågningssystem fra det kontroversielle italienske firma Hacking Team kan i praksis. Men nu har den britiske it-sikkerhedsekspert Joe Greenwood fået selvsamme system op at køre og demonstreret dets vidtrækkende kapacitet over for Information.

Det sker, efter at firmaet Hacking Team selv er blevet hacket, og en anonym kilde har efterladt omkring 400 gigabyte data fra firmaet online. Lækagen indeholder også selve Hacking Teams overvågningssystem, som it-eksperten har fundet ud af, hvordan man kan installere uden at have betalt for det. Et system, som regeringer verden over har betalt hundredtusindvis af euro for.

Demonstrationen og en lækket teknisk manual til overvågningssystemet giver et detaljeret indblik i, hvilke overvågningsmuligheder dansk politi får, men kan også udnyttes af en række undertrykkende stater, som Hacking Team ligeledes har solgt til. Disse lande omfatter blandt andet tidligere eller nuværende kunder som Sudan, Egypten og Bahrain.

Læs også: Overvåget aktivist: Danmark blåstempler kontroversielt hackerfirma

Meget af mediedækningen af lækagen fra Hacking Team har indtil videre handlet om firmaets e-mail, og hvilke lande firmaet har samarbejdet med. Men den britiske it-sikkerhedsekspert har altså kigget nærmere på selve kildekoden til Hacking Teams overvågningssystem og i en række blogindlæg beskrevet, hvordan man får systemet op at køre.

»Det er et meget, meget kraftfuldt system,« siger Joe Greenwood, der arbejder for it-sikkerhedsfirmaet 4ARMED. Han kalder systemet, som dansk politi har købt, for et »imponerende« stykke værktøj. Han hæfter sig ved, at systemet er pædagogisk og intuitivt.

»Det er overhovedet ikke rettet mod tekniske personer. Det er til almindelige brugere som en politibetjent,« siger Joe Greenwood. Claudio Guarnieri, der er it-sikkerhedsforsker og tilknyttet Centre for Human & Internet Rights i Tyskland, har tidligere kaldt systemet en »nem ’peg og klik’-løsning, som diktatorer kan få for småpenge«.

Rumaflytning via mobilen

Navnet på systemet er Remote Control System Galileo, og det fungerer på den måde, at eksempelvis myndigheder, der bruger det, kan inficere udvalgte computere og mobiltelefoner ved hjælp af forskellige metoder. Det kan for eksempel ske ved hemmeligt at skaffe sig fysisk adgang til en computer, der tilhører en mistænkt person, og så installere et skjult program. Inficeringen kan også ske ved at manipulere datatrafikken i et lokalt trådløst netværk, som den mistænkte i forvejen benytter sig af.

Den udvalgte enhed kan derefter overvåges ud fra indsamlingskriterier, som brugeren af overvågningssystemet vælger i en menu, der ligner og er lige så simpel, som når man bruger en iPhone. Det kan eksempelvis være at indsamle e-mail eller sms’er på den overvågede enhed. Men overvågningssystemet har også en række mere avancerede funktioner.

Eksempelvis er det muligt at tænde mikrofonen på en overvåget computer eller mobiltelefon, uden at den person, der benytter den overvågede enhed, opdager det. Dermed kan brugeren af overvågningssystemet udnytte den overvågede computer eller mobiltelefon til egentlig rumaflytning.

Webkameras lys kan sladre

Det samme kan lade sig gøre, hvis den overvågede computer har et webkamera. I den situation er det muligt at tage billeder med den overvågede computers webkamera via overvågningssystemet. Men i modsætning til tilfældet med mikrofonen er der dog en vis risiko for at blive opdaget, da nogle webkameraer samtidig vil tænde for en tilhørende lysdiode. Det fremgår af den lækkede tekniske manual til Hacking Teams system.

Derudover er det også muligt at aflæse samtlige tastaturtryk på en overvåget computer. Det gør det eksempelvis muligt af aflæse den overvågedes kodeord til e-mailkonti, sociale medier og andre tjenester. Ligeledes kan overvågningssystemet aflæse, hvilke hjemmesider en person har besøgt, og det er muligt at se en kort liste over, hvilke hjemmesider en person oftest besøger.

Overvågningssystemet kan derudover gennemgå adressebøger og kalendere, hvilket kan bruges til at kæde den overvågede sammen med andre mistænkte i en sag. Det er også muligt at gennemgå filer på den overvågede computer. Filerne kan derefter hentes fra den overvågedes computer og gennemgås på den computer, som brugeren af overvågningssystemet benytter.

Kæder personer sammen

Joe Greenwood er især imponeret over, hvor brugervenligt programmet er. Det ses eksempelvis, når overvågningen er sat i værk på den computer, som er målet.

I det tilfælde kan brugeren af overvågningssystemet via en række intuitive ikoner se, hvad overvågningen kaster af sig af oplysninger. Men systemet er langt mere end blot indsamling af beviser fra mistænktes digitale enheder. Det er også et system, der kan opbevare, kategorisere og sammenholde digitale beviser, som overvågningen indbringer.

»Hvis tre mistænkte eksempelvis har besøgt den samme hjemmeside, så kan systemet forbinde de tre. Det er ret interessant,« siger Joe Greenwood.

Manuelt er det også muligt at skrive noter og kategorisere digitale beviser, så de senere kan gennemgås i forbindelse med forberedelserne til en eventuel retssag. Til overvågningssystemet findes også et ekstramodul, som gør det muligt at tage skærmbilleder på den inficerede computer og dernæst omdanne al den tekst, der fremgår af skærmbilledet, til søgbar tekst i overvågningssystem. Et oversættelsesmodul i programmet gør det så muligt at oversætte teksten fra diverse sprog til engelsk. Da dette er et ekstramodul, er det dog ikke sikkert, at dansk politi har købt denne funktionalitet.

Eftersom det overvågningssystem, som dansk politi har købt fra Hacking Team, nu er frit tilgængeligt på nettet, betyder det også, at alle, der har den tekniske viden til det, vil kunne bruge systemet.

Kat og mus

»Dermed har de en fuldt funktionel angrebsplatform, som de kan bruge,« siger Joe Greenwood.

»De skal godt nok have deres egne servere, men efter de har brudt licensen til systemet, kan de godt bruge systemet, som om de var kunde hos Hacking Team og dernæst begynde at hacke andre mennesker,« siger Joe Greenwood.

Alligevel svarer han »både og« på spørgsmålet om, hvorvidt det er problematisk, at systemet nu er tilgængeligt for andre end Hacking Teams kunder. For en del af de sikkerhedshuller, som systemet benytter sig af, er allerede blevet rettet nu, fordi systemet er blevet eksponeret for offentligheden. Men det vil også være muligt lære af de sikkerhedshuller, som systemet udnytter til at finde på nye angrebsmetoder.

Modsat er det muligt for it-sikkerhedseksperter som Joe Greenwood at studere overvågningssystemets metoder og gøre det nemmere at forsvare sig mod eller efterfølgende opdage, at en computer er inficeret.

»Det er katten efter musen,« siger han.

Rigspolitiet har ikke ønsket at stille op til interview om mulighederne i overvågningssystemet. Men politidirektør Svend Larsen har tidligere understreget, at systemet kun vil blive brugt, når politiet har fået en dommerkendelse til det.

Joe Greenwoods eksperiment er indtil videre foretaget i et lukket laboratoriemiljø, men systemet vil sagtens kunne bruges som tiltænkt i virkeligheden, vurderer han.

Læs også: Diktatorernes digitale lejesoldater