Spindoktor hacket af Journalisten

Fagbladet Journalisten har hacket sig ind på flere danske telefonsvarere. Blandt andet er telefonen hos udenrigsminister Lene Espersens særlige rådgiver pivåben. Det samme lader til at være tilfældet med resten af statens telefonsvarere.
09.08.2011 · 22:29

Fagbladet Journalisten har hacket sig ind på flere danske telefonsvarere. Blandt andet er telefonen hos udenrigsminister Lene Espersens særlige rådgiver pivåben. Det samme lader til at være tilfældet med resten af statens telefonsvarere.

Journalisten har hacket flere centrale nyhedskilder halvanden måned efter, at afsløringerne om hacking af britiske toppolitikeres telefonsvarere kom frem. Intet tyder dermed på, at danske telefonselskaber har lært noget efter skandalen i engelsk tabloid-presse.

Blandt andre lykkedes det uden videre Journalisten at hacke sig ind på telefonsvareren hos Lene Espersens særlige rådgiver Rikke Egelund - med hendes samtykke.

Amerikanske Joseph Kiniry - der er lektor på IT-Universitetet og ekspert i it- og telesikkerhed - påpeger, at der er tale om en alarmerende forsømmelse.

»Det er en meget alvorlig sikkerhedsbrist, som skulle have været lukket for lang tid siden af statens it-sikkerhed,« siger han og påpeger, at Danmark er langt bagud i it- og telesikkerhed.

»I USA for eksempel ville en lignende situation have været utænkelig hos topembedsmænd på føderalt niveau,« fastslår han over for Journalisten.

Rikke Egelund er overrasket over, eksperimentet kunne lade sig gøre.

»Det kommer bag på mig, at det er så enkelt. Det er ikke særligt betryggende,« siger Rikke Egelund til Journalisten.

»En anden gang vil jeg da tænke mig ekstra grundigt om, før jeg selv lægger en besked,« fastslår hun.

Journalisten hackede også telefonsvareren hos Peter Hummelgaard Thomsen, formand for Danmarks Socialdemokratiske Ungdom.

»Det er dybt skræmmende. Der er efterhånden ikke nogen som helst grænser. Hverken for journalister eller for andre, der vil krænke privatlivet,« siger Peter Hummelgaard, der selv gav tilladelse til, at Journalisten gjorde forsøget.

Både Peter Hummelgaard og Rikke Egelund har Telenor. Selskabet vandt udbuddet for mobiltelefoni til alle statens 160.000 ansatte. IT- og Telestyrelsen står for sikkerheden i statens aftale, og kontorchef Kresten Bay vil ikke afvise, at resten af statens telefonsvarere er lige så pivåbne.

»Hvis du har ret i, det er lykkedes at aflytte en telefonsvarer hos en embedsmand, kan jeg ikke afvise, at det er muligt hos flere. Det er selvfølgelig problematisk, men det er også derfor, at vi nu har taget fat i telefonselskaberne og startet en dialog om de her sikkerhedsproblemer,« fortæller Kresten Bay og henviser til, at IT- og Telestyrelsen 11. juli i år bad telefonselskaberne redegøre for deres sikkerhed på området.

Det skete efter at TV2 Nyhederne bragte et indslag, hvor et sikkerhedsfirma påviste muligheden for at hacke telefonsvarere i Danmark. Det er muligt ved hjælp af et program, der kan vise et andet nummer end det man rent faktisk ringer fra.

Teleanalytiker John Strand fra Strand Consult er stærk skeptisk over, at Telenor ikke har lukket hullet endnu.
»Denne her fejl er på listen over fejl, der ikke bør opstå. Den tager ikke lang tid at løse og specielt efter de historier, der kom frem i England, burde enhver teleoperatør kigge sin egen sikkerhed igennem ret hurtigt,« siger John Strand.

Men statens mobilleverandør Telenor vil ikke lukke hullet. Brugerne må selv gå ind på nettet og slå en ekstra pinkode-funktion til, lyder hovedessensen i Telenors svar.

»Det er en generel teknisk problemstilling, som vi vil opfordre alle kunder til at imødegå ved at ændre opsætningen på deres telefonsvarer,« påpeger salgsdirektør i Telenor Erhverv Jens Andersen, der fortæller, at Telenor har megen fokus på sikkerhed og i fremtiden vil gøre sine kunder mere opmærksom på muligheden for den ekstra sikkerhed.

Ekspert i it- og telesikkerhed og lektor på IT-Universitetet Joseph Kiniry giver ikke meget for løsningen med pinkode.

»Det ville undre mig, hvis der overhovedet er nogen embedsmænd i staten, der har slået denne pinkode til, som Telenor foreslår. Det gør det meget mere besværligt at aflytte sin telefonsvarer, og folk har en meget klar tendens til at vælge magelighed over sikkerhed,« siger Joseph Kiniry.

Det lykkedes også Journalisten at hacke sig ind på telefonsvarere på Telia og 3's netværk. Telia anbefaler den samme løsning som Telenor med en pinkode. Det samme gør 3, der desuden arbejder på en ny og »mere brugervenlig løsning«, oplyser kommunikationskonsulent Hanne Damgaard.

TDC er det eneste mobilnet, det ikke er lykkedes Journalisten at hacke sig ind på. TDC har lavet filtre, der gør det umiddelbart umuligt at aflytte andres telefonsvarere.

»Da vi hørte om sagen i England, blev systemet testet igennem igen, men det er ikke lykkedes for hverken os eller sikkerhedsfirmaer at hacke nogen af vores telefonsvarere,« fortæller Rasmus Avnskjold, presserådgiver hos TDC.

PS: Læs meget mere i det nye nummer af fagbladet Journalisten, som udkommer onsdag. Blandt andet bringer vi følgende historier:

Journalisten hacker regeringen

Flere uger efter at aflytningsskandalen på News of The World brød ud, er det lykkedes Journalisten at hacke sig ind i flere danske telefonsvarere. Blandt andet er særlig rådgiver Rikke Egelunds telefonsvarer pivåben. Det samme er resten af statens telefonsvarere muligvis. 

Telenor vil ikke lukke sikkerhedshul

Selv om man kan hacke topembedsmænds telefonsvarere, vil statens mobilleverandør, Telenor, ikke lukke hullet. Folketinget bruger TDC, der lukkede hullet for år tilbage. 

Tre nyhedskilder hacket

For at teste omfanget af problemet med åbne telefonsvarere besluttede Journalisten den 26. og 27. juli at forsøge at hacke telefonsvarerne på tre forskellige kilder, der alle var nyhedsaktuelle. 

Bangebukse: De tør ikke lade sig hacke 

Mange ministerier afviser at lade Journalisten teste sikkerheden på de statslige telefonsvarere. 

Telefonfis

Selv om der er gået mere end en halv sommer siden skandalen om aflytning af telefoner foretaget af nu lukkede News of The World, har hovedparten af den danske telebranche åbenbart intet lært.  

Så let er det!

Det er forbavsende nemt at hacke sig ind på telefonsvarere. Tre ud af fire mobilnet i Danmark er åbne.

Kommentar

10/08/2011 - 08:45

Per Palmkvist Knudsen

Med til billedet hører, at sikkerhedsfirmaet CSIS for snart længe siden gjorde opmærksom på dette problem (se: http://csis.dk/da/csis/news/3275/). Men det ændrer ikke ved, at den enkelte bruger selv har ansvaret for sikkerheden på eget udstyr. Også at sørge for, at der er pin-kode på deres voice-mail.

10/08/2011 - 14:20

Dorte Toft

Er det vitterligt Journalisten, der har hacket, eller har der været en hjælpende hånd ind over? Et sammenfald, som jeg ser på Facebook, kan tyde på at CSIS var inde over, men pyt. Det er jo en gammel CSIS-nyhed, som allerede bemærket her i kommentarfeltet. Og "News of the world"-affæren er jo en oplagt krog til genoplivning af nyheden.

Selvfølgelig skal der ske en afbalancering af sikkerhedsforanstaltninger - bøvl & pris kontra udbytte. For mobiler, for it-systemer, for biler, for trådløse net etc. Og selvfølgelig skal folk, der forventer at følsomme beskeder kan blive indtalt, sikre en beskyttelse.

Når det er sagt, så vend lige skråen, kære kolleger, og tænk en stund over alle de medieafsløringer, hvor nogen demonsterer, hvor let det er at bryde ind. En god historie, bestemt, men...

"Så let er det at hacke din digitale signatur", så vi for eksempel i tv. Let og let? Det er i kategorien, hvis og hvis min r.. er spids og smurt med remoulade. Det forudsætter visse ting, som ikke er normen. Men familien Danmark skulle ikke have det indtryk, for det var fand'me' en go historie, ik'?.

Set på efterhånd. Hvor ofte skete det? Var vi ude i promiller af promiller, inden NemID med papkortet erstattede den digitale signatur? I hvilke tilfælde erstattede bankerne ikke, hvad familien Danmark fik tabt? Var den angst, der blev fostret hos almindelige mennesker berettiget?

100 procents sikkerhed eksisterer ikke. Hvad mennesket skaber, kan andre mennesker omgøre. Det kan så tage mere eller mindre tid, afhængig af, hvor avancerede tingene er, og hvor mange der lægger brugsanvisninger ud på nettet.

P.t. bruges omkring 14 procent af it-budgetterne i USA og Europa alene på sikkerhed (kilde Forrester). Galgenhumoristisk kan man måske sige, at pressen først vil være tilfreds, når tallet er 99 procent, eller når systemerne er blevet så bøvlede at bruge grundet sikkerhedsforanstaltninger at brug helt ophører. Så er den sikkerhedsrisiko elimineret:-) 

Tilbage til "afsløringerne". Til i 70'erne, hvor vi blev fortalt, at staten ved et tryk på "en knap" ville vide alt om DIG (og den dag i dag ved højre hånd hos det offentlige stadig ikke, hvad du forlængst har registreret hos venstre, så på'en igen).

Til 80'er og 90'erne. Den gang hvor hackere blev interviewede som helte om, hvor direkte adgang de havde til alt, og hvordan de gjorde det i den gode sags tjeneste - at afsløre sikkerhedsbrister. (Hobby, der sært nok ikke fik heltestatus, når det gælder om at bryde ind og demonstrere sikkerhedsbrister på villaveje).

I dag? Hvor vi igen-igen læser historier, baseret på at en journalist kører rundt i byen med en "sikkerhedsekspert", der "afslører" åbne trådløse net og fortæller, hvor farlige de er. (En af verdens fremmeste sikkerhedseksperter, Bruce Schneier, har selv (eller havde i hvert fald i mange år) et ubeskyttet net og argumenterede godt derfor, men det er så en helt anden sag).

Mange af disse "nyheder" handler ikke kun om at informere, at have en god historie, at afsløre. De handler også om sikkerhedsselskabet ønsker at få masser af PR og ønsker om at skræmme, så der kan komme kunder i butikken.

Historierne handler måske også om en lidt for tæt alliance mellem presse og sikkerhedsbranche, samt om manglende viden og kritisk sans hos journalister. Artiklerne kommer typisk fra de unges hånd, og der er verden ofte mere sort/hvid.

Men nu hvor selveste Journalisten er i gang, så kunne jeg da have ønsket en mere udfordrende vinkel end hackede minister-telefonsvarere. Politikernes råderum jo efterhånden meget begrænset. Der hoppes fra tue til tue, intet banebrydende der. Men o.k., der kan da komme lidt mere "teater" i spalterne. Fra journalister, der har hacket sig ind. Fra oppositionen. Men har vi ikke teater nok?

Journalisten har så i øvrigt en artikel med en overskrift, der hedder: "Bangebukse: De tør ikke lade sig hacke". Den handler om dem, der sagde nej til at være med.

Well. Hvem er bangebuksen? Det kunne da være interessant at se, om f.eks. topchefer og vigtige journalister ved store medier kan hackes.

Men det kan vi alle så eksperimentere med. Journalisten bringer jo opskriften på, hvorledes det skal gøre. Let the show begin... 

 

 

10/08/2011 - 16:14

Emil Ellesøe Ditzel

Kære Dorte Toft,

Tak for dit indlæg i debatten.

Jeg har skrevet artiklen og lavet al researchen, og jeg kan forsikre dig om, at der ikke har været nogen "hjælpende hånd ind over" i form af sikkerhedsfirmaer med kommercielle interesser.

Jeg blev opmærksom på muligheden for at bruge "spoofing" som telefonsvarerhacking i den amerikanske podcast "On the Media" i slutningen af juli. Efter at have forsøgt på forskellige kollegaer og familiemedlemmer, begyndte jeg eksperimentet med eksterne kilder.

I processen blev jeg opmærksom på, at historien om mulighed for telefonhacking i Danmark havde været bragt i TV2 med CSIS som hovedkilde. Det fremgår også tydeligt af den historie, jeg har skrevet:
"Det skete efter at TV2 Nyhederne bragte et indslag, hvor et sikkerhedsfirma påviste muligheden for at hacke telefonsvarere i Danmark."
I min research prøvede jeg at få fat på CSIS for at høre, om de havde nået det samme resultat som mig, men det lykkedes aldrig.

Med mine 27 år kommer artiklen ganske rigtigt fra "de unges hånd" og min verden er muligvis "mere sort/hvid". Omvendt vil jeg påstå, at mine bedste historier i de fleste tilfælde aldrig var blevet til noget, hvis jeg havde lyttet til alle de ældre journalister, der fortalte mig, hvor mange gange historien var lavet i før.

I dette tilfælde har størstedelen af den respons, vi har fået, været stor forundring og forargelse over, hvor let det er. Ikke mindst når det handler om sikkerheden i statens telefonsvarere. Når man dertil lægger, at sikkerhedshullerne rent faktisk har været misbrugt i et land tæt på Danmark, så er min vurdering, at historien løfter sig væsentligt over den teoretiske bagatelgrænse, du antyder.

Spændingsfeltet mellem kommercielle interesser og redaktionel uafhængighed er et evigt aktuelt tema for Journalisten, og det vil være oplagt at kigge nærmere på de undersøgelsesresultater private firmaer tilbyder medier til gengæld for lidt omtale. Jeg går ud fra, det er det, du mener, når du efterlyser en mere udfordrende vinkel. Ellers må du gerne præcisere.

Venlig hilsen
Emil Ellesøe Ditzel

10/08/2011 - 18:13

Dorte Toft

Kære Emil Ellesøe Ditzel,

En undskyldning for, at jeg troede, der kunne have været en hjælpende hånd ind over. Du har selv lært om spoofing og praktiseret det, skriver du. Uden hjælpende hænder. Og det var let, fortæller du. 

Du skriver så følgende: "Med mine 27 år kommer artiklen ganske rigtigt fra "de unges hånd" og min verden er muligvis "mere sort/hvid". Omvendt vil jeg påstå, at mine bedste historier i de fleste tilfælde aldrig var blevet til noget, hvis jeg havde lyttet til alle de ældre journalister, der fortalte mig, hvor mange gange historien var lavet i før."

Hvor synd, at du har den erfaring alene. De findes, den slags ældre, men jeg håber, at du også en dag også møder ældre journalister, der kan se en god historie. De fandtes i hvert fald, da jeg var relativ ung journalist (skiftede først til journalistikken i din alder).

 Jeg må så erkende, at jeg ikke tager det så alvorligt med "statens telefonsvarere" som dig. Der er bare så meget andet, som jeg synes fortjener lige så meget opmærksomhed som det offentlige, politikere og spindoktorer. Jeg har gebærdet mig i miljøer, der i den grad prioriterede det offentlige inkl. politikerne, så jeg valgte at forsøge at få dækket andre områder. En dag erkender jeg måske, at det er en alvorlig fejl:-)

 Jeg har da også gennem de seneste år haft mere fokus på det offentlige af forskellige årsager, og ikke alle noget at prale af.

Men jeg har for eksempel på it-sikkerhedsområdet haft øje for det særprægede i, at det offentlige har ret så meget styr på de ulykker/katastrofer, der kan ske i det "virkelige" liv, mens den rene amatørisme herskede, når det vedrørte ulykker/angreb via nettet. Måske i håb om, at det med internettet var noget, der nok gik over:-)  Der er så heldigvis siden sat flere ressourcer også ind på cybersikkerhed.

Hvad angår det udfordrende. Ja, det ville være godt "at kigge nærmere på de undersøgelsesresultater private firmaer tilbyder medier til gengæld for lidt omtale." Bestemt.

 Men hvad jeg virkelig mener med det udfordrende såmænd, at mens vi journalister ustandselig er på jagt efter magtmisbruget hos andre eller den gode sladder fra andres reder, så kniber det med egen rede. Men det er du måske ikke enig i.

Med venlig hilsen

Dorte Toft 

10/08/2011 - 21:52

John Strand

Kære Dorte

Jeg har kendt dig i mange år og betragter dig som en sød, dygtig og spændende person men i denne sag må jeg bakke Emil op og sige at det er dig der er på et vildspor.

Det er efterhånden mange uger siden at aflytning af mobilsvare via spoofing i England kom frem i medierne og en simpel søgning på nettet gør at man nemt kan finde ud af hvordan dette fungere i praksis. At der også på dette område findes sikkerhedsfirmaer der forsøger at piske en stemning op er der næppe nogen tvivl om omvendt i dette tilfælde har mobiloperatørerne i Danmark virkelig sovet i timen.

Du må huske at denne sag startede i UK og i perioden fra det skete i UK til det rammer de danske medier har de danske mobiloperatører haft mulighed for at undersøge om de har et problem, hvis de havde et problem så kunne de have løst problemet alternativt så kunne de have orienteret deres kunder om at der var et problem som kunne løses ved at man aktivere sin pinkode.

Jeg ved at Emil har arbejdet på denne historie i nogle uger, jeg har talt med ham og han har spurgt mig om min mening og jeg  har svare ærligt. Jeg er af den overbevisning at statsministeren ikke har krav på større sikkerhed på hans telefonsvare end Fru Hansen eller sagt det på en anden måde Fru Hansen har krav på den samme sikkerhed på sin telefonsvare som statsministeren.

I praksis så har de danske operatører i denne sag valgt at stikke hovedet i jorden på samme måde som strudsen, de har valgt ikke at orientere deres kunder og først i dag orientere de deres kunder om de udfordringer der er og hvordan man som kunde kan sikre sig hvis man har beskeder eller får beskeder på sin mobilsvar som man ikke vil risikere bliver aflyttet  af andre. Det vil være meget relevant at spørge hvorfor operatørerne har været passive siden det der skete i UK, hvordan  en journalist kan arbejde på denne sag i uger uden operatørerne reagere og hvorfor de så reagere når historien rammer medierne. 

Dit spørgsmål er nok hvor stort er dette problem, det er rent faktisk større end du tror. I artiklen har Emil brugt en ministers særlige rådgiver (spindoktor) og det har betydet at historien har fået ekstra opmærksomhed. Men har du tænkt på at hvis dette trick havde været kendt blandt journalister eller andre ville det så være brugt den gang du og andre begyndte at skrive om IT Factory, ville det være brugt den gang Erik og Annie fik maksimum omtale eller vil jaloux folk bruge det mod deres partner -listen er lang over dem det kan ramme og dem der kunne finde på at bruge en sådan tjeneste.

Undskyld men jeg syntes ikke at din kritik holder denne gang, mener at Emil har lavet en fin artikel og jeg mener at den holder hele vejen igennem og så er jeg ret sikker på at den er lavet uden en af de sikkerhedsfirmaer der bruger en masse useriøse triks for at sælge deres ydelser.

Hilsen

John Strand

11/08/2011 - 09:02

Øjvind Hesselager

Kære Dorte

Tak for dit indlæg i debatten.

"Er det vitterligt Journalisten, der har hacket, eller har der været en hjælpende hånd ind over?"

På den ene side anerkender jeg spørgsmålet, ikke mindst fordi kravet til produktion i dagspressen i dag er så stort, at diverse aktører har lettere ved at få deres budskaber i spalter og sendetid.

Men Journalisten udgives på et uafhængigt grundlag, og det gælder også denne sag. Vi har afsat den fornødne tid til opgaven. Historien holder hele vejen. Og vi anviser IKKE en løsning, hvor sikkerhedsselskaber skal tjene penge på den enkelte forbruger. Derimod konfronterer vi de ansvarlige telefonselskaber.

Du har ret i at historiens teoretiske del har været fremme før, hvilket også fremgår af vores dækning. Det rejser jo det oplagte modspørgsmål: Hvorfor har dagspressen ikke forlængst sat pres på så problemet blev løst? Telefonselskaberne er jo i deres annoncering ret synlige i mediebilledet, så mon ikke mediebrugerne er interesserede? Det pres kunne en begavet blogger måske godt have medvirket til?

Du spørger også: Er det nu så let?

Svaret er et rungende ja.

Cirka 30-40 minutter efter af Journalisten besluttede at anskaffe det nødvendige program, havde Emil - Journalisten bag historien - ændret beskeden på min mobiltelefon.

Er det opsigtsvækkende?

Jeg spillede beskeden for åben højttaler ved et middagsbord sammen aften. Vi talte slet ikke om vores børn den aften - men om "hvad nu hvis den og den".

Mange venlige hilsner

11/08/2011 - 11:07

Christian Vangsø Bentsen

Øjvind, Emil og John,

I al respekt så postulerer Dorte jo at historien i sin grundsubstans er foruroligende ligegyldig og tilsyneladende alene tjener kommercielle behov.

En hvilken som helst privat postkase i Danmark kan tømmes (næsten) med én hånd. Brevene kan åbnes med et varmelegeme (f.eks. strygejern), læses, lukkes og lægges tilbage i postkassen. HJÆLP... Brevsikkerheden og privatlivets fred er truet!!!!

Postdanmarks røde postkasser kan åbnes med en nøgle en der er så let at lave at IT-problematikken nærmest er science-fiction til sammenligning.

Den typiske indtalte telefonsvarerbesked er:

1. Jeg må desværre aflyse vores aftale

2. Hej, det er X, ringer du mig lige op

Så selvom Emil "kun" har 27 år på bagen så kan man jo godt ufrivilligt gå kommercielle interesseres ærinde.

Nicht war?!

God dag

 

 

11/08/2011 - 12:14

Dorte Toft

Kære John Strand,

Tak for dine supplerende informationer, der jo er til fordel både for artiklen og for mine synspunkter om sikkerhedsfirmaers markedsføring.

 Dorte

 PS: Jeg synes også, at du er sød:-)  

Seneste nyheder

26.08.2016 · 16:10

Information fyrer to redaktionelle

Andreas Marckmann Andreassen
26.08.2016 · 15:50

Politiken fyrer ni redaktionelle medarbejdere

Andreas Marckmann Andreassen
26.08.2016 · 14:50

21 forlader Politiken frivilligt

Andreas Marckmann Andreassen
26.08.2016 · 11:27

Bøde for at referere fra lukket retsmøde

Jakob Albrecht

Advarsel – nytænkning!

Journalisten prøver de kommende dage at skrive mindre om det, vi normalt dækker mest: Problemer på medier i København. Du vil møde provinsvinkler og kilder, der har løst et problem eller bare er tilfredse. Hvis du ikke er fan, så gå udenom artikler markeret med DET RØDE HJERTE.

Seneste jobopslag

Socialdemokratiet søger digitalt team

Socialdemokraterne
Ansøgningsfrist: 19.09

Socialdemokratiet søger taleskriver for Mette Frederiksen

Socialdemokraterne
Ansøgningsfrist: 19.09

TO DIGITALE FRONTLØBERE SØGES TIL TV 2/FYN

TV 2/Fyn
Ansøgningsfrist: 20.09

Redaktør til nyt CBS medie

CBS - Copenhagen Business School
Ansøgningsfrist: 06.09

Journalist til Rådet for Sikker Trafik

Rådet for Sikker Trafik
Ansøgningsfrist: 04.09

Erfaren kommunikatør til Center for Offentlig Innovation - COI

Center for Offentlig Innovation
Ansøgningsfrist: 09.09

Kommunikationschef m/k

Sydslesvigsk Forening
Ansøgningsfrist: 09.09