Til tross for flere avsløringer om uhell, vil ikke den amerikanske signaletterretningstjenesten NSA (National Security Agency) snakke om hvilke eventuelle endringer den har gjort i den tidligere praksisen med få lagd bakdører i kommersielle IT-produkter. Heller ikke overfor folkevalgte i USA.
Det å kunne overvåke utenlandsk datatrafikk i det skjulte, må kunne sies å være en slags våt drøm for etterretningstjenestene. Dette krever gjerne kjennskap til sårbarheter som ingen andre vet om, sårbarheter som har oppstått utilsiktet eller som er plantet der av myndighetene.
NSA har bedre oversikt over slike sårbarheter enn de fleste andre.
Motstridende oppgaver
Tjenesten har enkelt forklart to hovedoppgaver. Den skal både samle inn elektronisk etterretning og å hindre utenlandske tjenester i å gjøre det samme fra amerikanske borgere og virksomheter.
Dette kan være en vanskelig balansegang, men innebærer trolig at NSA både har kjennskap til og selv utnytter sårbarheter i IKT-produkter, uten å avsløre sårbarhetene for andre. Først dersom det mistenkes at andre partner utnytter den samme sårbarheten, eller denne ikke lenger er nyttig for tjenesten selv, velger NSA å fortelle om den til leverandøren av det sårbare produktet.
Det har ikke alltid vært slik sårbarheten skapt ved et uhell er nok for NSA. Det har vært flere kjente tilfeller hvor tjenesten har sørget for å få svekket sikkerheten til blant annet sikkerhetsprodukter i så stor grad, at NSA har fått skjult tilgang til de samme produktene – altså bakdører.
Dårlige slumptall
Ikke minst er dette knyttet til generatorer av psevdo-tilfeldige tall. En vesentlig forutsetning for sterk kryptering er bruken av helt vilkårlige tall – slumptall – som ikke på noen måte kan forutsies. Etter flere år med mistanke, bekreftet Edward Snowdens avsløringer i 2013 et samarbeid mellom NSA og sikkerhetsselskapet RSA Security i forbindelse med slumptallgeneratoren Dual_EC_DRBG.
Blant brukerne av Dual_EC_DRBG var Juniper, som benyttet den i ScreenOS-programvaren til selskapet Netscreen-brannmurprodukter. I 2016 sluttet Juniper å bruke denne generatoren med den begrunnelse at den ikke var til å stole på.
Bakdøren ble funnet av andre
Allerede året før oppdaget selskapet at uautorisert kode i programvaren. Kildekoden til programvaren var etter alt å dømme blitt kompromitter av hackere. I sommer skal selskapet ha uttalt til amerikanske kongressmedlemmer at myndighetene i en ikke navngitt nasjon hadde «konvertert» mekanismen som først var blitt lagd av NSA. Dette skriver Reuters i en sak som handler om amerikanske senatorers forsøk på å få svar på om NSA fortsatt har bakdører i teknologiprodukter.
Det er mange som argumenterer for at det er nødvendig med bakdører i krypteringen som brukes i offentlige kommunikasjonstjenester. Ikke minst gjelder dette der hvor det benyttes ende-til-ende-kryptering, altså at dataene kun kan dekrypteres av brukernes klienter.
– Trussel mot nasjonal sikkerhet
Faren for at uvedkommende oppdager og utnytter disse bakdørene, er det hyppigst brukte argumentet mot slike bakdører.
– Hemmelige bakdører er en trussel mot nasjonal sikkerhet og tryggheten til familiene våre. Det er bare et tidsspørsmål før utenlandske hackere eller kriminelle utnyttere bakdørene på måter som vil underminere amerikansk, nasjonal sikkerhet, sier senator Ron Wyden til Reuters. Han er medlem av senatets etterretningskomité og ønsker å få klarhet i om NSA fortsetter med bakdørpraksisen.
– Myndighetene bør ikke være involvert i å plante hemmelige bakdører i krypteringsteknologi brukt av amerikanere, fortsetter Wyden.
Underminerer tilliten
Kritikere av bakdørsvirksomheten argumenterer og med at faren for at bakdørene blir utnyttet av uvedkommende, bidrar til å underminere tilliten til amerikansk teknologi.
Når amerikanske myndigheter advarer allierte mot å bruke kinesisk teknologi på grunn av potensialet for bakdører, så svekkes dette argumentet kraftig dersom også amerikansk teknologi kan utnyttes av motstandere på den samme måten.
Forlagt rapport
I 2018 skal NSA ha fortalt medlemmer av Wydens stab at det har blitt skrevet en lærdomsrapport om Juniper-hendelsen og andre. Men nå skal ikke NSA være i stand til å finne dette dokumentet.
Etter en slik lærepenge antydes det at NSA ikke har fortsatt helt som før, men Wydens forsøk på å få NSA til å fortelle hva som er det sentrale i de nye retningslinjene, har blitt møtt med uthaling.
Konstant vurdering
Overfor Reuters nekter etterretningstjenestene å fortelle noe om de oppdaterte policyene rundt det å få spesiell tilgang til kommersielle produkter.
– Ved NSA er det vanlig praksis å konstant vurdere prosesser for å identifisere og bestemme beste praksis. Vi deler ikke spesifikke prosesser og prosedyrer, sier Anne Neuberg, lederen for NSA Cybersecurity Directorate, til Reuters.
Men tre tidligere ledere i amerikanske etterretningsmiljøer, ingen av dem navngitt, forteller til Reuters at NSA nå krever at dersom det skal være aktuelt med en bakdør, må det gjøres en konsekvensutredning og legges til rette for en form for varsling dersom bakdøren oppdages og manipuleres av motstandere.