Journalistikk & Sikkerhet

Hvorfor NRKs varslertjeneste bytter .onion-adresse


For sikkerhets skyld, og for å være sikre på at vi fra NRKs side har gjort alt vi kan for å opprettholde sikkerheten for vårt sikreste tipsmottak, har vi satt opp hele løsningen på nytt.

Dette er den nye adressen: http://nrkvarslekidu2uz.onion/
(.onion-adresser kan bare åpnes ved hjelp av Tor-nettleseren)

NRKs varslertjeneste tilbyr teknologi for å gi ekstra beskyttelse til tipsere som utsetter seg for risiko når de kontakter redaksjonen. Nyhetstips som ikke krever denne typen ekstra vern vil vi gjerne ha på nrk.no/03030.

I forrige uke ble det offentlig kjent at utviklerne bak programvaren SecureDrop hadde funnet en sikkerhetssvakhet i koden sin. SecureDrop er løsningen NRK og mange andre mediehus over hele verden bruker for sin sikreste løsning for mottak av tips fra kilder og varslere. Løsningen skal sikre anonymiteten til varslere og gi ekstra teknisk beskyttelse mot eventuell kildejakt – blant annet ved at IP-adresser skjules ved bruk av Tor-nettverket.

Svakheten utviklerne fant har aldri medført at en eventuell angriper har kunnet avsløre IP-adresser til kilder som kontaktet NRK.

Generelt sett anses faren for at noen skal ha utnyttet svakheten til å angripe mediers varslertjenester som svært, svært liten. Utviklerne i Freedom of the Press Foundation som lager løsningen fant selv feilen. De har nå rettet koden og samlet inn loggdata fra en rekke medier for analyse. Ingenting som tyder på at sikkerhetssvakheten har blitt brukt til angrep er funnet.

Likevel har NRK for sikkerhets skyld valgt å gjennomføre en omfattende prosess for å eliminere alle muligheter for angrep knyttet til sikkerhetssårbarheten som er blitt kjent:

  • Noen dager før feilen i koden ble offentlig kjent ble NRK varslet om problemet fra utviklerne av SecureDrop. De gjorde også en hurtigfiks tilgjengelig for oss og andre mediehus.
  • NRK installerte hurtigfiksen på våre systemer før sikkerhetsfeilen ble offentlig kjent.
  • Sikkerhetsfeilen ble offentlig kjent på kvelden onsdag 25. oktober 2017, og Freedom of the Press Foundation la ut et lengre blogginnlegg om hvordan de så på feilen.
  • NRK valgte å ta ned vår eksisterende løsning morgenen 26. oktober 2017.
  • Vi skaffet helt ny maskinvare, og reinstallerte SecureDrop på denne fra grunnen av.
  • Vi genererte helt nye krypteringsnøkler for alle deler av løsningen som ble berørt av sikkerhetsfeilen. Dette innebærer at adressen på Tor til vår varslertjeneste er endret til:
    http://nrkvarslekidu2uz.onion/
  • Informasjon om løsningen ligger fortsatt på https://www.nrk.no/varsle, og er nå oppdatert med den nye adressen. Endringen kan verifiseres kryptografisk som beskrevet i denne tidligere NRKbeta-saken.
  • Enn så lenge har vi tatt backup av alt ekisterende kildemateriale, men det er per nå ikke overført til det nye oppsettet. Personer som hadde lagt inn noe fra før og dermed fått et kodenavn i løsningen må dessverre lage seg et nytt kodenavn om de vil fortsette den sikre kontakten.

Feilen som har vært i koden i over tre år innebar at noen programvaresnutter ble lastet ned til SecureDrop-løsningen uten at de var kryptografisk sikret på veien over internett (http) under selve installeringen av systemet. Angripere kunne dermed rent teoretisk ha manipulert disse kodesnuttene og slik klart å infisere oppsettet hos en mediebedrift.

Dette hadde dog krevd at noen med ondsinnede hensikter både kunne overvåke og manipulere all trafikk på nettverket der varslertjenesten ble satt opp, og at de visste nøyaktig når systemet ble installert for første gang.

– Det er viktig å understreke at et angrep for å utnytte denne feilen ville være utrolig vanskelig å gjennomføre. Det er nok bare aktører med kapasitetene til en etterretningstjeneste som har mulighet til å gjennomføre et slikt avansert mann-i-midten-angrep, skriver utviklerne i Freedom of the Press Foundation selv.

NRK kunngjorde aldri offentlig at vi installerte et nytt SecureDrop-oppsett våren 2016, og dette ble i tillegg gjort på et annet nettverk enn NRKs normale. Dermed er sannsynligheten for at noen i det hele tatt rent teknisk skulle kunne gjennomføre et angrep liten, og sannsynligheten for at noen faktisk har angrepet våre servere enda mindre.

Endringen vi nå gjør er i tråd med anbefalinger fra Freedom of the Press Foundation i tilfeller der man vil beskytte seg også mot etterretningstjenester, og på lik linje med andre store internasjonale mediebedrifter som The New York Times, Washington Post og The Intercept.

Hvorfor tok ikke NRK ned sin varslertjeneste med én gang beskjeden om feilen kom?

NRK fikk ikke så detaljert informasjon fra Freedom of the Press Foundation på forhånd, som den informasjonen som ble sluppet i det sårbarheten ble offentlig kjent.

Hadde vi visst mer om bakgrunn og detaljer knyttet til sikkerhetsfeilen kan det være vi hadde gjort en annen vurdering. Vi er kjent med at noen større mediehus i USA hadde direkte kontakt med utviklerne, og dermed mer detaljert informasjon tidlig.

NRK ønsker å gjøre alt vi kan for å ha best mulig sikkerhet og beskytte kildene våre. Det kan være at reinstalleringen på helt ny maskinvare er helt unødvendig, men vi ønsker ikke å ta noen sjanser.

2 kommentarer

    • Hei Erik!
      Vi kan nok ikke gå inn på tall eller andre detaljerte opplysninger om bruken av løsningen. Dette skyldes at vi ikke ønsker at evt personer/organisajoner som forsøker å drive kildejakt får mer informasjon til dette. Vi kan dog si at løsningen har fungert og vært nyttig både for NRK og kilder.

      Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *