Hakkerit käräyttivät Baijerin osavaltion Skype-vakoilusta.
Saksan tietoturvakeskustelua ravistelee skandaali. Saksalainen hakkerijärjestö Chaos Computer Club on paljastanut Baijerin osavaltion käyttäneen viattomaksi ohjelmaksi naamioitua troijalaista eli vakoiluohjelmaa tarkkaillakseen rikoksesta epäillyn kansalaisen tietokoneen käyttöä.
Vakoilutroijalaista ehdittiin käyttää pari vuotta, vuodesta 2009 alkaen, ennen kuin asia lokakuussa paljastui.
Saksan telekommunikaatiolaki sallii rikoksesta epäillyn verkkokommunikaation seuraamisen tietokoneelle asennettavalla valvontaohjelmalla. Seurata saa esimerkiksi Skypen käyttöä, mutta niin sanottua rauhallista dataa, käyttäjän tietokoneen omia tiedostoja, ei saa tutkia.
Troijalainen voi silti tehdä ruutukaappauksia, selvittää salasanoja ja jäljittää, millä nettisivuilla epäilty on käynyt. Tämä rikkoo telekommunikaatiolakia.
Troijalainen oli myös huonosti suojattu puutteellisen ohjelmoinnin vuoksi. Kolmas osapuoli onkin voinut helposti päästä troijalaisen saaneen käyttäjän tietoihin käsiksi.
Vakoiluohjelman avulla voidaan myös asentaa muita haittaohjelmia ja vaikka nauhoittaa epäillyn Skype-puheluita ilman että käyttäjä huomaa sitä.
Chaos Computer Club paljasti tällä viikolla uusimman version Baijerin troijalaisesta. Vuonna 2010 ohjelmoitu troijalainen ei tee kuvakaappauksia, mutta tässäkin ohjelmassa uusien ohjelmistojen lataaminen ja kolmannen osapuolen tunkeutuminen järjestelmään on mahdollista.
Edeltäjänsä tavoin uusi versio on haavoittuvainen, ja Chaos Computer Club pystyi murtautumaan siihen nopeasti.
Saksan tuomioistuin ja sisäministeriö ovat eri mieltä Baijerin liittovaltion poliisin kanssa siitä, missä menee rikoksesta epäillyn netin käytön seuraamisen raja: mikä on etätutkimista, mikä urkintaa.
Troijalaisia tulisi käyttää vain, jos henkilöä epäillään terrorismista, mutta terrorismiin viittaavan tai epäilyttävän toiminnan määritelmä on kuitenkin häilyvä.
”Troijalaisia on käytetty ainakin yli 50 kansalaisen koneella”, Constanze Kurz, informaatikko ja Chaos Computer Clubin puheenjohtaja kertoo.
”Nykyään ihmisillä on kaikki mahdollinen data tietokoneellaan, joten tällaiset troijalaiset, joita joku toisella puolella maailmaa asuva voi halutessaan käyttää, voivat olla todella tuhoisia. Kyse on digitaalisista yksityisoikeuksista ja kunniasta”, Kurz sanoo.
”On huolestuttavaa, etteivät valtion viranomaiset tiedä ulkopuolisilta yrityksiltä tilattujen troijalaisten ominaisuuksista tai suojauksista”, Kurz lisää.
Miksi Chaos Computer Club haluaa tutkia vakoiluohjelmia?
”Olemme kiinnostuneita troijalaisten toiminnasta ja haluamme parantaa kansalaisten tietoturvaa. Toimimme hakkerietiikan mukaisesti ja murtaudumme ohjelmistoihin, kun epäilemme niissä olevan jotain epäilyttävää. Meillä ei ole mitään tekemistä cyber-rikollisten kanssa”, Kurz vakuuttaa.
”Kuulimme troijalaisesta alun perin eräältä Baijerin liittovaltion viranomaiselta, joka epäili tässä ohjelmassa olevan jotain lainvastaista. Saamme koko ajan uusia yhteydenottoja ja jatkamme poliittista keskustelua”, Kurz sanoo.
Saksan piraattipuolue aikoo haastaa Baijerin sisäministeri Joachim Herrmannin ja Baijerin rikostutkintajohtajan Peter Dathen oikeuteen perustuslain rikkomisesta.
Saksan sisäministeri Hans-Peter Friedrich vaatii nyt, että ulkopuolisten yritysten kehittämät vakoiluohjelmistot on tutkittava. Niitä ei saa asentaa enää ennen lähdekoodin kunnollista testausta ja tulevaisuudessa vain keskusrikospoliisi saa kehittää troijalaisia, joita käytetään rikollisten tarkkailuun. Saksassa mietitäänkin parhaillaan, millaisia tulevaisuuden valvontaohjelmistot voisivat olla.
Matleena Kantola
