Da en svensk sikkerhedsekspert i sidste uge afslørede logindata til 100 ambassader og firmaers mailkonti på en hjemmeside, skete det angiveligt for at sætte fokus på et allerede kendt problem ved den udbredte anonymiseringstjeneste ToR (The Onion Router.)
Den kommunikation, man foretager via tjenesten, er godt nok anonym. Men indholdet er ikke nødvendigvis krypteret hele vejen til modtageren.
En viden som ToR-netværket ifølge Computerworlds svenske søsterblad åbent har lagt frem både i officiel dokumentation og på netværkets wiki- og websider.
Men få har taget advarslerne alvorligt. Og derfor har sagen fået alarmklokkerne til at ringe for brugerne af netværket.
Brug for oplysning
Sagen viser, at der er brug for oplysning om brugen af anonymiseringsteknologier og kryptering. Det mener Niels Elgaard Larsen, som er formand for IT-Politisk Forening.
"Man er jo ikke anonym, hvis man sender noget ud på det rigtige internet, hvor man selv skriver sit eget navn i. Og det gør man jo typisk i en email," siger Niels Elgaard Larsen.
Og det er netop hvad de mange ambassader og virksomheder har gjort.
Når den 21-årige svenske sikkerhedskonsulent Dan Egerstad overhovedet kunne opsnappe oplysningerne, skyldes det nemlig, at mails sendt via gennem ToR-netværket ikke er krypteret, når de forlader det anonymiserede net.
Skal afsenderen være sikker på, at indholdet forbliver hemmeligt, skal der nemlig bruges en end-to-end kryptering, siger Niels Elgaard Larsen.
Cd beskytter privatliv
Foreningen har sammen med it-fagforeningen Prosa tidligere på året udsendt en cd med programmer, som kan beskytte internetbrugeres privatliv.
Cd'en indeholder software til at tale uforstyrret via nettet og til at surfe anonymt via ToR-nettet.
Prosa har udgivet cd'en som en protest mod de udvidede krav om logning og overvågning, som træder i kraft på lørdag.
"Jeg tror, at anonymisering og teknologier som ToR er noget, som folk må lære. Det er ikke nogen magisk ting, som bare virker. Man skal lære at forstå, hvad det er for nogle værktøjer, man bruger, siger Niels Elgaard Larsen.
Han mener, at der bliver mere overvågning samtidigt med, at folk har mere af deres privatliv på nettet.
Derfor påpeger han, at folk på et overordnet niveau bliver nødt til at sætte sig ind i anonymiserings-tjenesterne.
"Ikke de tekniske ting. Men hvad det vil sige at være anonym, og hvad det vil sige at lave end-to-end kryptering," siger han.
Brug af ToR besynderligt
Når Dan Egerstad med fem pakkesniffende såkaldte end-nodes på ToR-nettet kunne opsamle loginoplysniger om hundredevis af mailkonti, var det således ikke raketvidenskab.
For selv om afsenderne var anonyme, betød indholdet i mailen, at det var nemt at se, hvor de kom fra, og hvor de var på vej hen.
Derfor havde ambassader og firmaer formentlig været bedre tjent med at sende deres mails gennem deres egne gateways, som det normalt foregår.
Det vurderer Peter Kruse, der er leder af sikkerhedsfirmaet Csis.
"Det forekommer mig besynderligt at ambassaderne overhovedet har overvejet at bruge ToR, siger Peter Kruse.
Dermed stiller han sig uforstående over for, hvad ambassaderne har skullet bruge anonymitet og ToR-netværket til.
"Man burde måske nok have kigget noget mere på den interne politik hos de enkelte myndigheder for at vurdere, om det er klogt at lade slutbrugerne bestemme, om de vil gøre det ene eller det andet," siger Peter Kruse.
End-to-end kryptering vigtigt
Men faktisk er det ikke almindeligt at ambassader krypterer deres emails. Det fortæller Shehzad Ahmad, der er leder af Dk-Cert.
"De benytter ganske almindelige web-mails, som man kan få adgang til ved at gå ind på en hjemmeside, indtaste brugernavn og password, og så er du igennem," siger Shehzad Ahmad.
Derfor håber han, at sagen vil kunne få Danmark og andre lande til at forstå, hvor vigtigt der er at kommunikationen mellem afsender og modtager er i krypteret form.
På den måde kan 'man-in-the-middle' angreb nemlig undgås.
Og det betyder, at hackere eller kriminelle kan opsnappe al den data de har lyst til.
De vil bare ikke kunne bruge det til noget, fordi indholdet er krypteret, forklarer Shehzad Ahmad.
