Fagbladet Journalisten har hacket sig ind på flere danske telefonsvarere. Blandt andet er telefonen hos udenrigsminister Lene Espersens særlige rådgiver pivåben. Det samme lader til at være tilfældet med resten af statens telefonsvarere.
Journalisten har hacket flere centrale nyhedskilder halvanden måned efter, at afsløringerne om hacking af britiske toppolitikeres telefonsvarere kom frem. Intet tyder dermed på, at danske telefonselskaber har lært noget efter skandalen i engelsk tabloid-presse.
Blandt andre lykkedes det uden videre Journalisten at hacke sig ind på telefonsvareren hos Lene Espersens særlige rådgiver Rikke Egelund – med hendes samtykke.
Amerikanske Joseph Kiniry – der er lektor på IT-Universitetet og ekspert i it- og telesikkerhed – påpeger, at der er tale om en alarmerende forsømmelse.
»Det er en meget alvorlig sikkerhedsbrist, som skulle have været lukket for lang tid siden af statens it-sikkerhed,« siger han og påpeger, at Danmark er langt bagud i it- og telesikkerhed.
»I USA for eksempel ville en lignende situation have været utænkelig hos topembedsmænd på føderalt niveau,« fastslår han over for Journalisten.
Rikke Egelund er overrasket over, eksperimentet kunne lade sig gøre.
»Det kommer bag på mig, at det er så enkelt. Det er ikke særligt betryggende,« siger Rikke Egelund til Journalisten.
»En anden gang vil jeg da tænke mig ekstra grundigt om, før jeg selv lægger en besked,« fastslår hun.
Journalisten hackede også telefonsvareren hos Peter Hummelgaard Thomsen, formand for Danmarks Socialdemokratiske Ungdom.
»Det er dybt skræmmende. Der er efterhånden ikke nogen som helst grænser. Hverken for journalister eller for andre, der vil krænke privatlivet,« siger Peter Hummelgaard, der selv gav tilladelse til, at Journalisten gjorde forsøget.
Både Peter Hummelgaard og Rikke Egelund har Telenor. Selskabet vandt udbuddet for mobiltelefoni til alle statens 160.000 ansatte. IT- og Telestyrelsen står for sikkerheden i statens aftale, og kontorchef Kresten Bay vil ikke afvise, at resten af statens telefonsvarere er lige så pivåbne.
»Hvis du har ret i, det er lykkedes at aflytte en telefonsvarer hos en embedsmand, kan jeg ikke afvise, at det er muligt hos flere. Det er selvfølgelig problematisk, men det er også derfor, at vi nu har taget fat i telefonselskaberne og startet en dialog om de her sikkerhedsproblemer,« fortæller Kresten Bay og henviser til, at IT- og Telestyrelsen 11. juli i år bad telefonselskaberne redegøre for deres sikkerhed på området.
Det skete efter at TV2 Nyhederne bragte et indslag, hvor et sikkerhedsfirma påviste muligheden for at hacke telefonsvarere i Danmark. Det er muligt ved hjælp af et program, der kan vise et andet nummer end det man rent faktisk ringer fra.
Teleanalytiker John Strand fra Strand Consult er stærk skeptisk over, at Telenor ikke har lukket hullet endnu.
»Denne her fejl er på listen over fejl, der ikke bør opstå. Den tager ikke lang tid at løse og specielt efter de historier, der kom frem i England, burde enhver teleoperatør kigge sin egen sikkerhed igennem ret hurtigt,« siger John Strand.
Men statens mobilleverandør Telenor vil ikke lukke hullet. Brugerne må selv gå ind på nettet og slå en ekstra pinkode-funktion til, lyder hovedessensen i Telenors svar.
»Det er en generel teknisk problemstilling, som vi vil opfordre alle kunder til at imødegå ved at ændre opsætningen på deres telefonsvarer,« påpeger salgsdirektør i Telenor Erhverv Jens Andersen, der fortæller, at Telenor har megen fokus på sikkerhed og i fremtiden vil gøre sine kunder mere opmærksom på muligheden for den ekstra sikkerhed.
Ekspert i it- og telesikkerhed og lektor på IT-Universitetet Joseph Kiniry giver ikke meget for løsningen med pinkode.
»Det ville undre mig, hvis der overhovedet er nogen embedsmænd i staten, der har slået denne pinkode til, som Telenor foreslår. Det gør det meget mere besværligt at aflytte sin telefonsvarer, og folk har en meget klar tendens til at vælge magelighed over sikkerhed,« siger Joseph Kiniry.
Det lykkedes også Journalisten at hacke sig ind på telefonsvarere på Telia og 3's netværk. Telia anbefaler den samme løsning som Telenor med en pinkode. Det samme gør 3, der desuden arbejder på en ny og »mere brugervenlig løsning«, oplyser kommunikationskonsulent Hanne Damgaard.
TDC er det eneste mobilnet, det ikke er lykkedes Journalisten at hacke sig ind på. TDC har lavet filtre, der gør det umiddelbart umuligt at aflytte andres telefonsvarere.
»Da vi hørte om sagen i England, blev systemet testet igennem igen, men det er ikke lykkedes for hverken os eller sikkerhedsfirmaer at hacke nogen af vores telefonsvarere,« fortæller Rasmus Avnskjold, presserådgiver hos TDC.
PS: Læs meget mere i det nye nummer af fagbladet Journalisten, som udkommer onsdag. Blandt andet bringer vi følgende historier:
Journalisten hacker regeringen
Flere uger efter at aflytningsskandalen på News of The World brød ud, er det lykkedes Journalisten at hacke sig ind i flere danske telefonsvarere. Blandt andet er særlig rådgiver Rikke Egelunds telefonsvarer pivåben. Det samme er resten af statens telefonsvarere muligvis.
Telenor vil ikke lukke sikkerhedshul
Selv om man kan hacke topembedsmænds telefonsvarere, vil statens mobilleverandør, Telenor, ikke lukke hullet. Folketinget bruger TDC, der lukkede hullet for år tilbage.
For at teste omfanget af problemet med åbne telefonsvarere besluttede Journalisten den 26. og 27. juli at forsøge at hacke telefonsvarerne på tre forskellige kilder, der alle var nyhedsaktuelle.
Bangebukse: De tør ikke lade sig hacke
Mange ministerier afviser at lade Journalisten teste sikkerheden på de statslige telefonsvarere.
Selv om der er gået mere end en halv sommer siden skandalen om aflytning af telefoner foretaget af nu lukkede News of The World, har hovedparten af den danske telebranche åbenbart intet lært.
Det er forbavsende nemt at hacke sig ind på telefonsvarere. Tre ud af fire mobilnet i Danmark er åbne.
8 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Kære John Strand,
Tak for dine supplerende informationer, der jo er til fordel både for artiklen og for mine synspunkter om sikkerhedsfirmaers markedsføring.
Dorte
PS: Jeg synes også, at du er sød:-)
Øjvind, Emil og John,
I al respekt så postulerer Dorte jo at historien i sin grundsubstans er foruroligende ligegyldig og tilsyneladende alene tjener kommercielle behov.
En hvilken som helst privat postkase i Danmark kan tømmes (næsten) med én hånd. Brevene kan åbnes med et varmelegeme (f.eks. strygejern), læses, lukkes og lægges tilbage i postkassen. HJÆLP... Brevsikkerheden og privatlivets fred er truet!!!!
Postdanmarks røde postkasser kan åbnes med en nøgle en der er så let at lave at IT-problematikken nærmest er science-fiction til sammenligning.
Den typiske indtalte telefonsvarerbesked er:
1. Jeg må desværre aflyse vores aftale
2. Hej, det er X, ringer du mig lige op
Så selvom Emil "kun" har 27 år på bagen så kan man jo godt ufrivilligt gå kommercielle interesseres ærinde.
Nicht war?!
God dag
Kære Dorte
Tak for dit indlæg i debatten.
"Er det vitterligt Journalisten, der har hacket, eller har der været en hjælpende hånd ind over?"
På den ene side anerkender jeg spørgsmålet, ikke mindst fordi kravet til produktion i dagspressen i dag er så stort, at diverse aktører har lettere ved at få deres budskaber i spalter og sendetid.
Men Journalisten udgives på et uafhængigt grundlag, og det gælder også denne sag. Vi har afsat den fornødne tid til opgaven. Historien holder hele vejen. Og vi anviser IKKE en løsning, hvor sikkerhedsselskaber skal tjene penge på den enkelte forbruger. Derimod konfronterer vi de ansvarlige telefonselskaber.
Du har ret i at historiens teoretiske del har været fremme før, hvilket også fremgår af vores dækning. Det rejser jo det oplagte modspørgsmål: Hvorfor har dagspressen ikke forlængst sat pres på så problemet blev løst? Telefonselskaberne er jo i deres annoncering ret synlige i mediebilledet, så mon ikke mediebrugerne er interesserede? Det pres kunne en begavet blogger måske godt have medvirket til?
Du spørger også: Er det nu så let?
Svaret er et rungende ja.
Cirka 30-40 minutter efter af Journalisten besluttede at anskaffe det nødvendige program, havde Emil - Journalisten bag historien - ændret beskeden på min mobiltelefon.
Er det opsigtsvækkende?
Jeg spillede beskeden for åben højttaler ved et middagsbord sammen aften. Vi talte slet ikke om vores børn den aften - men om "hvad nu hvis den og den".
Mange venlige hilsner
Kære Dorte
Jeg har kendt dig i mange år og betragter dig som en sød, dygtig og spændende person men i denne sag må jeg bakke Emil op og sige at det er dig der er på et vildspor.
Det er efterhånden mange uger siden at aflytning af mobilsvare via spoofing i England kom frem i medierne og en simpel søgning på nettet gør at man nemt kan finde ud af hvordan dette fungere i praksis. At der også på dette område findes sikkerhedsfirmaer der forsøger at piske en stemning op er der næppe nogen tvivl om omvendt i dette tilfælde har mobiloperatørerne i Danmark virkelig sovet i timen.
Du må huske at denne sag startede i UK og i perioden fra det skete i UK til det rammer de danske medier har de danske mobiloperatører haft mulighed for at undersøge om de har et problem, hvis de havde et problem så kunne de have løst problemet alternativt så kunne de have orienteret deres kunder om at der var et problem som kunne løses ved at man aktivere sin pinkode.
Jeg ved at Emil har arbejdet på denne historie i nogle uger, jeg har talt med ham og han har spurgt mig om min mening og jeg har svare ærligt. Jeg er af den overbevisning at statsministeren ikke har krav på større sikkerhed på hans telefonsvare end Fru Hansen eller sagt det på en anden måde Fru Hansen har krav på den samme sikkerhed på sin telefonsvare som statsministeren.
I praksis så har de danske operatører i denne sag valgt at stikke hovedet i jorden på samme måde som strudsen, de har valgt ikke at orientere deres kunder og først i dag orientere de deres kunder om de udfordringer der er og hvordan man som kunde kan sikre sig hvis man har beskeder eller får beskeder på sin mobilsvar som man ikke vil risikere bliver aflyttet af andre. Det vil være meget relevant at spørge hvorfor operatørerne har været passive siden det der skete i UK, hvordan en journalist kan arbejde på denne sag i uger uden operatørerne reagere og hvorfor de så reagere når historien rammer medierne.
Dit spørgsmål er nok hvor stort er dette problem, det er rent faktisk større end du tror. I artiklen har Emil brugt en ministers særlige rådgiver (spindoktor) og det har betydet at historien har fået ekstra opmærksomhed. Men har du tænkt på at hvis dette trick havde været kendt blandt journalister eller andre ville det så være brugt den gang du og andre begyndte at skrive om IT Factory, ville det være brugt den gang Erik og Annie fik maksimum omtale eller vil jaloux folk bruge det mod deres partner -listen er lang over dem det kan ramme og dem der kunne finde på at bruge en sådan tjeneste.
Undskyld men jeg syntes ikke at din kritik holder denne gang, mener at Emil har lavet en fin artikel og jeg mener at den holder hele vejen igennem og så er jeg ret sikker på at den er lavet uden en af de sikkerhedsfirmaer der bruger en masse useriøse triks for at sælge deres ydelser.
Hilsen
John Strand
Kære Emil Ellesøe Ditzel,
En undskyldning for, at jeg troede, der kunne have været en hjælpende hånd ind over. Du har selv lært om spoofing og praktiseret det, skriver du. Uden hjælpende hænder. Og det var let, fortæller du.
Du skriver så følgende: "Med mine 27 år kommer artiklen ganske rigtigt fra "de unges hånd" og min verden er muligvis "mere sort/hvid". Omvendt vil jeg påstå, at mine bedste historier i de fleste tilfælde aldrig var blevet til noget, hvis jeg havde lyttet til alle de ældre journalister, der fortalte mig, hvor mange gange historien var lavet i før."
Hvor synd, at du har den erfaring alene. De findes, den slags ældre, men jeg håber, at du også en dag også møder ældre journalister, der kan se en god historie. De fandtes i hvert fald, da jeg var relativ ung journalist (skiftede først til journalistikken i din alder).
Jeg må så erkende, at jeg ikke tager det så alvorligt med "statens telefonsvarere" som dig. Der er bare så meget andet, som jeg synes fortjener lige så meget opmærksomhed som det offentlige, politikere og spindoktorer. Jeg har gebærdet mig i miljøer, der i den grad prioriterede det offentlige inkl. politikerne, så jeg valgte at forsøge at få dækket andre områder. En dag erkender jeg måske, at det er en alvorlig fejl:-)
Jeg har da også gennem de seneste år haft mere fokus på det offentlige af forskellige årsager, og ikke alle noget at prale af.
Men jeg har for eksempel på it-sikkerhedsområdet haft øje for det særprægede i, at det offentlige har ret så meget styr på de ulykker/katastrofer, der kan ske i det "virkelige" liv, mens den rene amatørisme herskede, når det vedrørte ulykker/angreb via nettet. Måske i håb om, at det med internettet var noget, der nok gik over:-) Der er så heldigvis siden sat flere ressourcer også ind på cybersikkerhed.
Hvad angår det udfordrende. Ja, det ville være godt "at kigge nærmere på de undersøgelsesresultater private firmaer tilbyder medier til gengæld for lidt omtale." Bestemt.
Men hvad jeg virkelig mener med det udfordrende såmænd, at mens vi journalister ustandselig er på jagt efter magtmisbruget hos andre eller den gode sladder fra andres reder, så kniber det med egen rede. Men det er du måske ikke enig i.
Med venlig hilsen
Dorte Toft
Flere