Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Säkerhetsmiss öppnade för spionage mot svenska toppolitiker

02:51. Toppolitikers datorer har varit öppna för it-angrepp i över en månad. DN:s Linus Larsson och Kristoffer Örstadius visar hur lätt det är att utnyttja säkertshål av samma typ.

○ Svenska toppolitikers datorer har varit öppna för it-angrepp i mer än en månad. DN kan avslöja att riksdagen missade viktiga systemuppdateringar vilket gjorde datorerna möjliga att hacka.

○ Säkerhetshålet innebär en risk att angripare har kunnat stjäla dokument, avlyssna samtal och spionera via webbkameror. Trots skarpa larmrapporter rättades inte felen till.

○ Riksdagsförvaltningen förnekade, helt felaktigt, sitt misstag i flera dagar innan den ansvarige backade och bekräftade DN:s uppgifter.

○ Så enkelt hackas datorn – DN:s test efter avslöjandet visar hur riksdagens datorer kunde ha tagits över av spioner. Se webb-tv-klippet här ovan.

En lång rad personer inom toppskiktet i svensk politik har använt datorer med så allvarliga säkerhetsbrister att de hade kunnat hackas. Bland dem finns partiledare och riksdagsledamöter på känsliga positioner som försvarsutskottet.

Det visar DN:s granskning av it-säkerheten hos partier, på Regeringskansliet och i riksdagen. Avslöjandet kommer kort efter de uppmärksammade dataintrången mot politiker i USA. Stora mängder e-post läcktes från partitoppar i Demokraterna.

Av de organisationer som Dagens Nyheter har undersökt sticker riksdagen ut. Datorer där, tillhörande politiker och tjänstemän från alla partier, hade ett allvarligt säkerhetshål.

Läs mer: Ewa Stenberg: Misstagen visar att det är illa ställt

En skicklig angripare hade med hjälp av det kunnat hacka datorerna och ta fullständig kontroll över dem. Filer och mejl hade kunnat stjälas och en angripare hade kunnat använda dem för spionage, exempelvis genom att ta kontroll över webbkameror och mikrofoner.

Säkerhetshålet var välkänt och en lagning fanns sedan länge. Men den installerades inte, kan DN nu berätta.

Bristen fanns i Flash, ett tilläggsprogram i webbläsare som används för bland annat vissa videosändningar. Den 13 december i fjol slog it-företaget Adobe, som ligger bakom Flash, larm om en allvarlig sårbarhet. Flera myndigheter reagerade snabbt. USA:s it-säkerhetsmyndighet skrev att en ”angripare kan ta kontroll över drabbade system”. Myndigheten för samhällsskydd och beredskap, MSB, kablade också ut ett meddelande för att få myndigheter att agera.

Adobe avslöjade att säkerhetsluckan redan utnyttjades för vad som beskrevs som ”riktade attacker” utan att precisera vilka angriparna eller offren var. Företaget lade ut en uppdatering, gratis tillgänglig, tillsammans med en skarp uppmaning: Ladda hem den så snart som möjligt. Hotet klassades som en etta på en tregradig skala – den allvarligaste – och alla rekommenderades att uppgradera inom 72 timmar.

Men trots larmen uppdaterades inte riksdagens datorer. I minst en månad lät Riksdagsförvaltningen dem vara oskyddade.

Läs mer: Försvarspolitiker oroas av it-säkerheten

– Denna typ av sårbarhet, ”remote code execution”, brukar anses vara den allvarligaste typen. Den kan ge en angripare fulla möjligheter att läsa allt som användaren av datorn kan. Att inte uppdatera en sårbar Flashversion på en hel månad är allvarligt och dåligt skött. Det finns förmodligen mycket känsliga uppgifter på riksdagsdatorerna och intern korrespondens som inte bör läcka ut, säger Johan Rydberg Möller på it-säkerhetsbolaget Assured.

Granskningen bygger på en enkätundersökning utförd 12–13 januari, där DN ställde frågor om informationssäkerhet. På enkätsidan, en webbplats mottagarna ombads besöka, kontrollerades även vilka programversioner som användes, uppgifter som webbläsaren lämnar ut och som ingår i de flesta statistikverktyg.

DN har avvaktat med publicering av dessa uppgifter tills säkerhetshålet hade tätats.

Ansvaret för att hålla riksdagsdatorerna säkra faller inte på partier eller enskilda medarbetare. Datorerna hanteras centralt av en funktion på Riksdagsförvaltningen. Men där förnekades länge att något problem alls hade funnits.

Foto: Magnus Hallgren

DN:s Linus Larsson och Kristoffer Örstadius avslöjar brister i datorsäkerheten i riksdagen. Foto: Magnus Hallgren

När DN informerade avdelningen om säkerhetsbristen tillbakavisade Lars Hedensjö, informationssäkerhetsansvarig, uppgifterna.

Från måndag morgon, då DN först kontaktade honom, till lunchtid på fredagen vidhöll han att allt hade gått rätt till. Några säkerhetsproblem fanns det inga tecken på, sa han vid upprepade tillfällen. Tekniker uppgavs då ha granskat systemen och Lars Hedensjö kände sig trygg.

– I Riksdagsförvaltningens it-miljö såg allt mycket bra ut, utifrån de undersökningar vi gjorde, sa Lars Hedensjö i en intervju på onsdagen.

– Uppdateringarna har löpt som de ska.

Detta trots att DN har säkra uppgifter på att säkerhetshålet tätades först i måndags, en månad efter att lagningen gjordes tillgänglig.

Läs mer: MSB: Olyckligt att säkerhetshål inte rättas till

Så på fredagen, efter att ha sett ytterligare belägg, backade Lars Hedensjö. Uppdateringen i december hade gått fel, medgav han nu.

– Vi har sett att en delmängd datorer inte har fått rätt uppdatering på grund av ett misstag i en rutin. Det arbetar vi med att korrigera.

Att hålet tätades just på måndagen berodde dock inte på att det var då DN nådde honom utan var en ren tillfällighet, säger han. Hur stor andel av datorerna som var drabbade vill han inte uppge, men han bekräftar att det är en väsentlig del. DN:s test visade att samtliga personer som besökte enkätsidan med sin riksdagsdator, 102 stycken, hade säkerhetsbristen.

Lars Hedensjö betonar att det finns fler säkerhetsfunktioner än uppdatering av program som kan stoppa ett intrång.

– Vi har i säkerhetsarbetet tagit höjd för att det förekommer sårbarheter och därför ska det finnas andra säkerhetsmekanismer.

I de politiska partierna och på Regeringskansliet återfanns enstaka datorer som inte var uppdaterade med de senaste versionerna. Men ingen hade i närheten av lika grava och utbredda säkerhetsproblem som på riksdagen.

Säkerhetshål av den typ som återfanns på riksdagsdatorerna utnyttjas ofta via en webbsida. Angriparen lurar offret att besöka sidan, exempelvis via falska e-postutskick. Dold på webbsidan ligger en skadlig kod som kapar datorn.

Även datorer som har detta säkerhetshål kan skyddas genom andra tekniska åtgärder, åtminstone till en viss gräns. Samtidigt finns det sätt att kringgå sådana skydd och klart är att det dåligt uppdaterade programmet medför en väsentligt höjd risk för intrång.

Det är känt att brister i just Flash har använts vid en stor mängd dataintrång. Bland annat har företag specialiserade på hackarverktyg till stater och underrättelsetjänster sålt hackarverktyg som angriper brister i Flash. Det är oklart vem, eller vilka, som har kunnat utnyttja just det hål som fanns i riksdagsdatorerna.

Efter intrången mot det demokratiska partiet i USA har flera länder varnat för liknande försök att påverka val i Europa på liknande sätt.

Chefen för Tysklands underrättelsetjänst beskrev nyligen hackarattacker vars enda syfte är att ”skapa politisk osäkerhet”. Frankrikes försvarsminister varnade nyligen för en liknande utveckling inför presidentvalet i vår, även om det enligt honom ännu inte finns konkreta tecken på försök att påverka valet.

Fakta. Flash och Java ökända för sina säkerhetshål

DN skickade ett mejl till alla riksdagsledamöter, medarbetare på partikanslier och ett 100-tal personer på Regeringskansliet, inklusive ministrar och statssekreterare.

I mejlet uppmanade vi personerna att klicka på en länk till en webbenkät om it-säkerhetsfrågor. I samband med enkäten kontrollerade DN även vilka versioner av Flash som datorerna hade. Detta är uppgifter som webbläsaren ger ut och som vanligtvis ingår i de flesta statistikverktyg.

DN har väntat med publiceringen av denna artikel tills dess att säkerhetsbristerna har täppts till.

Flash är ett program som kan användas i webbläsaren för att exempelvis titta på grafik eller spela upp filmer och ljud. Flash är också ökänt för sina säkerhetsproblem som ofta har varit en inkörsport för skadlig kod.

Sommaren 2015 avslöjades att det omstridda italienska it-säkerhetsföretaget Hacking Team hade sålt verktyg för dataintrång och avlyssning till regeringar och myndigheter. Då sattes nytt ljus på problemet eftersom det var bland annat just Flash som hade utnyttjats i intrången.

För att ta över datorn räcker det oftast med att offret råkar besöka en webbplats som innehåller ett illasinnat Flashprogram.

Så skyddar du dig

Se till att hålla dina versioner av Java och Flash uppdaterade. Det gäller oavsett vilket operativsystem du använder.

Insticksprogram till webbläsaren, exempelvis Java och Flash, är kända för att ofta innehålla sårbarheter. Det kommer ständigt nya uppdateringar som täpper till säkerhetshål.

https://browsercheck.qualys.com finns ett bra verktyg för att skanna webbläsaren för säkerhetsrisker.

Java går att ladda ned på: www.java.com/sv/download

Flash går att ladda ned på: get.adobe.com/se/flashplayer

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.