‘FE-skandalen’ (2) :Det danske forsvars efterretningstjeneste bruger XKEYSCORE til kabelaflytning i samarbejde med NSA

’FE-skandalen’ (2) :Det danske forsvars efterretningstjeneste bruger XKEYSCORE til kabelaflytning i samarbejde med NSA

Oversat med tilladelse fra Electrospaces.

28. oktober 2020

I august i år kom det frem, at en whistleblower anklagede den danske militære efterretnings- og signalopklaringstjeneste, FE for ulovlige aktiviteter og for bevidst at have vildledt tilsynet.

Den danske presse var i stand til at tegne et overraskende fuldstændigt og detaljeret billede af, hvordan FE samarbejdede med NSA med hensyn til kabelaflytning på dansk jord.

Det blev yderligere afsløret, at amerikanerne havde forsynet Danmark med et nyt, sofistikeret spionsystem, der omfatter NSAs databehandlingssystem, XKEYSCORE.

En dansk avis afslørede, at beskyldningen om ulovlig indhentning stammede fra en ung ansat i FE, der minder om Edward Snowden. En nyoprettet undersøgelseskommission, skal nu klarlægge, om han blev drevet af frygt eller kendsgerninger.

Kabelaflytning

Den velrenommerede, danske avis Berlingske (grundlagt 1749) beskriver i en omfattende artikel d. 13. september, hvordan FE i samarbejde med NSA begyndte at tappe et internationalt telekommunikationskabel for at indhente udlandsefterretninger.

I midten af 1990erne havde NSA fundet ud af, at der et eller andet sted under København gik et backbone-kabel, der befordrede telefonsamtaler, email og tekstmeddelelser til og fra lande som Kina og Rusland, som var af stor interesse for amerikanerne.

At komme til at tappe kabler var imidlertid næsten umuligt uden danskernes hjælp, så NSA bad FE om adgang til kablet, men denne forespørgsel blev ifølge Berlingske afslået.

Aftale med USA

Den amerikanske regering gav ikke op og i et brev, der blev sendt direkte til den danske statsminister, Poul Nyrup Rasmussen, bad USAs præsident Clinton sin danske kollega om at genoverveje beslutningen. Og Nyrup, der var svoren tilhænger af et tæt forhold til USA, sagde ja.

Samarbejdet blev stadfæstet i et dokument, som alle danske forsvarsministre ifølge Berlingske måtte underskrive, ”så alle nye ministre kunne se, at deres forgænger og dennes forgængere før dennes forgængere med deres underskrifter havde været en del af denne lille, men eksklusive kreds af folk, der kendte en af kongerigets største hemmeligheder”.

Denne operations kodenavn er ukendt, men den er sandsynligvis en del af NSAs paraplyprogram RAMPART-A. I dette program, der startede i 1992, sørger udenlandske partnere for adgang til internationale, fiber-optiske kabler med stor kapacitet, mens USA sørger for udstyr til transport, behandling og analyse:

Slide fra en NSA-præsentation af RAMPART-A fra oktober 2010

Aftale med en kabelejer

For at sikre sig, at kabelaflytningen var så lovlig som muligt, bad regeringen om godkendelse fra det private, danske firma, der drev kablet. Firmaet sagde ja, men først efter at det var godkendt på højeste sted, og derefter blev aftalen underskrevet af statsminister Rasmussen, forsvarsminister Hækkerup og departementschef Troldborg.

Fordi kablet befordrede international trafik, blev det opfattet som liggende indenfor FEs mandat til indhentning af udenlandske efterretninger. Aftalen blev ifølge Berlingske kun lavet i en kopi, der blev fremvist for firmaet og derefter låst inde i et pengeskab i FEs hovedkvarter i Kastellet i København.

Den danske aftale ligner meget transitaftalen mellem den tyske udenlandsefterretningstjeneste, BND, og Deutsche Telekom, i hvilken sidstnævnte gik med til at give adgang til internationale transitkabler i dets central i Frankfurt am Main. BND tappede derefter disse kabler med hjælp fra NSA i operation Eikonal (2004-2008).

Behandling på Sandagergård

Berlingske skrev, at de kommunikationsdata, der blev tappet fra hovedkablet i København, blev sendt fra det danske selskabs tekniske center til FEs Sandagergård-kompleks på Amager. USA havde betalt for et kabel mellem de to steder.

På Sandagergård ”sikrede NSA sig, at der blev installeret teknologi, der gjorde det muligt at indtaste nøgleord og oversætte den enorme mængde information, såkaldt rådata, fra kabelaflytningen til ”læsbar” information.

Filtersystemet fik ikke blot nøgleord fra FE, men USA gav ”FE en række nøgleord, der er relevante for USA. FE kigger på dem og kontrollerer, at der grundlæggende ikke er nogen danskere imellem dem og indtaster nøgleordene” ifølge kilder, der citeres af Berlingske.

Udover at filtrere ved hjælp af nøgleord og selektorer, må FE og NSA også have brugt metadata til kontaktsammenkædning, der betyder, at rekonstruere hvilke telefonnumre og emailadresser, der har været i kontakt med hinanden for at kunne skabe grafer over sociale netværk, noget som kilderne øjensynligt ikke ønskede at afsløre overfor Berlingske.

Kort over aktuelle backbone-kabler omkring den danske hovedstad København og FEs Sandagergård-kompleks på Amager (kilde: Infrapedia – klik for at forstørre)

Partnere der har tillid til hinanden

Det var en del af aftalen mellem USA og Danmark, at ”USA ikke bruger systemet imod danske borgere og firmaer. Og omvendt”. Lignende ordvalg kan man finde i en NSA-præsentation fra 2011: ”Ingen US-indhentning fra partnerens side og ingen værtslandsindhentning fra US-siden” skønt dette følges af et ”der er UNDTAGELSER!”

Den sidste bemærkning kan have inspireret Edward Snowden til at anklage NSA for at misbruge samarbejdet med fremmede partnertjenester til at spionere mod europæiske borgere, men som en kilde fortalte Berlingske:

”Jeg kan overhovedet ikke forestille mig, at USA ville svigte den tillid. Jeg anser det for helt og aldeles usandsynligt. Hvis NSA havde et ønske om at skaffe sig information om danske borgere og firmaer, ville USA simpelthen vende sig til [den indenlandske sikkerhedstjeneste] PET, der så kunne skaffe det nødvendige juridiske grundlag”.

Kilden sagde også, at ”NSA ønskede at hoppe og springe for Danmark. NSA gjorde uden diskussion alt, Danmark bad om. NSA hjalp hele tiden Danmark pga. denne kabeladgang. […] Danmark var en meget, meget tæt og værdsat partner”.

Ifølge Berlingske var dette tætte og succesrige samarbejde tilsyneladende en af grundene til præsident Bill Clintons besøg i Danmark i juli 1997.

Et nyt spionagesystem

I kølvandet på FE-skandalen er endnu nyere ting blevet afsløret: En rapport fra den danske radio DR fra 24. september 2020 giver interessante detaljer om, hvordan amerikanerne udstyrede Danmark med et sofistikeret nyt ”spionsystem”.

Efter FE fik ny indkøbschef i 2008, rejste NSA-folk igennem nogen tid ofte til Danmark for at bygge den nødvendige hardware og installere den nødvendige software til det nye system, som DR Nyheder beskriver som ekstremt avanceret. Det havde også et særligt, internt kodenavn, som radiostationen besluttede ikke at offentliggøre. Det er også ved hjælp af dette nye system, den påståede illegale indhentning af danske data fandt sted.

Ifølge DR Nyheder var NSAs teknikere også involveret i bygningen af et nyt datacenter i FEs Sandagergård-kompleks på Amager, der blev specielt bygget til at huse det nye spionagesystem, som blev taget i brug på et tidspunkt mellem 2012 og 2014. Samarbejdet omkring dette specifikke system mellem FE og NSA var baseret på et aftalememorandum underskrevet af den daværende chef for FE, Thomas Ahrenkiel.

Filtersystemer

DR Nyheder-rapporten går også i flere detaljer med aflytningsprocessen. Den siger, at først identificerer efterretningstjenesten en datastrøm, der kan være interessant, hvorefter man ”spejler” lyset, der passerer gennem de konkrete fiber-optiske kabler. På den måde kopierer man både metadata og indhold som tekstbeskeder, chats, telefonsamtaler og emails og sender dem til FEs datacenter på Sandagergård.

Ifølge DR Nyheder forsøgte FE at udvikle et antal filtre for at sikre, at data fra danske borgere og firmaer sorteres fra og ikke kunne søges i fra det nye spionagesystem. Den tidligere danske forsvarsminister, Claus Hjorth Frederiksen sagde for nylig, at der faktisk havde været gjort forsøg på at udvikle sådanne filtre, men samtidig indrømmede han, at der ingen garanti er for, at ingen dansk information smutter igennem.

XKEYSCORE

DR Nyheder rapporterede også, at hjertet i det nye spionagesystem udgøres af XKEYSCORE, der udvikledes af NSA og hvis eksistens først blev afsløret af The Guardian i juni 2013.

NSAs britiske modpart, GCHQ indlemmede XKEYSCORE i sit eget system til behandling af internetmassedata, TEMPORA og det kan antages, at de andre partnere på andet niveau (også kendt som Five Eyes) også benytter dette system, om det så er under et andet kodenavn eller ej.

Fra Snowden-dokumenterne ved vi, at NSA også leverer XKEYSCORE til nogle af sine partnere på tredje niveau: Den tyske udenlandsefterretningstjeneste, BND og den indenlandske sikkerhedstjeneste BfV, den svenske signalopklaringstjeneste FRA og det japanske direktorat for SIGINT. Det er imidlertid nyt, at den danske militære efterretningstjeneste FE også benytter systemet.

Nogle presserapporter synes at antyde, at disse partnerorganer ”får adgang til XKEYSCORE”, som om det gav dem mulighed for at koble sig på et enormt, globalt masseovervågningssystem. Dette sidste kan være tilfældet for NSAs partnere på andet niveau, men partnere på tredje niveau bruger kun XKEYSCORE til at behandle og analysere data fra deres egne aflytningspunkter og er ikke i stand til at tilgå data fra Five Eyes’ indhentningsplatforme.

NSAs analytikere, der anvender XKEYSCORE, har på samme måde i dette tilfælde ikke direkte adgang til danske indhentningssystemer, kun til data som danskere havde samtykket i at dele med USA som ”tredjepartsindhentning”.

 ​​ ​​ ​​ ​​​​ Slide fra en NSA-præsentation om XKEYSCORE fra august 2008

Hvordan XKEYSCORE fungerer

Glenn Greenwald fremstillede XKEYSCORE som NSAs ”mest vidtrækkende” værktøj til indhentning af ”næsten alt en bruger foretager sig på internettet”. Dette er vildledende, fordi det mere drejer sig om kvalitet end om kvantitet: Systemet hjælper i virkeligheden analytikerne til at ”formindske deres gigantiske rejenet [for traditionelle indhentningsmetoder] til småbitte net i guldfiskestørrelse og blot dyppe dem i dataoceanerne, arbejde smartere og grave nøjagtig det, de ønsker, frem.”

NSA har installeret XKEYSCORE på omkring 150 dataindhentningssteder over hele verden. Der skaber systemet en rullende buffer på 3-5 dages indhold og omkring 30 dages metadata, analytikerne kan søge i over afstand. De kan bruge traditionelle selektorer som telefonnumre og emailadresser for at hente interessante data frem, men det er den gammeldags måde og den, som andre tjenester laver masseindhentning med.

At filtrere på telefonnumre og emailadresser blev mindre givende, fordi målene ved at dette sker og skifter til anonyme måder at kommunikere på via internettet. Det nye ved XKEYSCORE er, at det sætter analytikere i stand til at finde nøjagtig disse anonyme forbindelser. Til det formål samler det IP-pakker igen til deres oprindelige format (”sessionizing”), som Word-dokumenter, regneark, chat-beskeder osv.

 ​​​​ 

Diagram, der viser dataflowet for DeepDive-versionen af XKEYSCORE

Når først de er genskabt, kan disse filer gennemsøges for karakteristika, der er forbundet med visse mål eller målgrupper, som brugen af kryptering, brug af TOR-netværket, brugen af et andet sprog end det, som bruges, der hvor en person opholder sig og mange kombinationer af disse [parametre]. På denne måde kan analytikere opdage nye mål og så begynde at overvåge dem tættere.

XKEYSCORE blev også omtalt i en klassificeret fil fra det tyske BND, der indeholder et diagram, som viser forskellen mellem XKEYSCORE og traditionelle indhentningssystemer: I den traditionelle indretning blev IP-pakker fra en datastrøm samlet igen og så sendt gennem et filter for udelukkende at kunne udvælge dem, der var af interesse, som så blev sendt videre til yderligere analyse. XKEYSCORE kunne gøre alt det på en gang:

Ulovlig indhentning?

Nu, da den danske presses forskellige afsløringer har givet en ret stor indsigt i FEs kabeltapningsaktiviteter, hvad så med de misbrug tjenesten beskyldes for?

Ifølge DR Nyheder var det ved hjælp af det nyligt installerede spionsystem, at den påstået illegale indhentning af danske data fandt sted. Som det første kan vi antage, at filtrene ikke var i stand til blokere al trafik, der havde forbindelse med danske borgere, folk, der havde ophold i landet eller danske firmaer, men denne [mangel] er af teknisk natur og ikke tilsigtet.

En anden mulighed er, at FE selv eller NSA fodrer systemet med selektorer (som telefonnumre og emailadresser), der ville medføre indhentning af danske data. NSA ville ikke have fået lov til at gøre det ifølge aftalen med danskerne, mens det for FE ville være imod loven.

Ifølge en kilde, der citeres i den tidligere nævnte avisartikel i Berlingske, var der et tilfælde, hvor ”NSA sendte en anmodning om at søge efter et firma i et land i Asien, men da FE kontrollerede selektoren, opdagede man, at firmaet var danskejet, hvorefter anmodningen blev afvist”.

Dette viser, ligesom det var tilfældet i Tyskland, at NSAs interesse var temmelig ”bred”, men at FE gjorde sit bedste for at beskytte danske undersåtter og, hvor det var muligt, blokerede den slags anmodninger.

En tredje mulighed er, at den illegale indhentning fandt sted ved brug af yderligere datasøgningsegenskaber i XKEYSCORE-systemet, noget der er tænkeligt, fordi her anvendes søgekriterierne på trafikkens indhold i stedet for på de mennesker, der er involveret.

Den whistleblower, der ifølge Berlingske havde givet tilsynet oplysninger, ”frygtede, at ledelsen af den danske efterretningstjeneste gik USAs ærinde ved at lade det særlige system have tekniske svagheder, der tillod NSA at misbruge det.”

Whistlebloweren

Berlingske var også i stand til at identificere whistlebloweren som værende en yngre ansat i FE, der arbejdede som it-specialist – en slående lighed med Edward Snowden. Avisen skriver, at han i 2013 i stigende grad blev bekymret, men det er ikke klart, om det skyldtes Snowdens afsløringer, der begyndte i juni samme år, og omfattede rapporter om XKEYSCORE, det system, der lige var blevet installeret hos FE.

Da it-specialisten stod fast på sin kritik, besluttede den daværende leder af FE, Thomas Ahrenkiel, – uden at informere amerikanerne – at oprette en teknisk arbejdsgruppe for at gennemgå systemet for sårbarheder eller tegn på misbrug fra NSA. Med henblik på at gøre ham tilfreds deltog it-specialisten også selv, som beskrevet af Berlingske, i arbejdsgruppen, der i 2014 konkluderede, at der ingen tegn var på illegal indtrængen.

For FE var sagen lukket, men som det rapporteredes af Berlingske, var it-specialisten ikke tilfreds og ”han tog en drastisk beslutning og smuglede en optager ind på sin arbejdsplads, arrangerede møder med kolleger og chefer i adskillige måneder og optog dem i hemmelighed” – igen en slags stædighed, der meget ligner den måde, Snowden arbejdede på. Men til forskel fra Snowden kontaktede den danske whistleblower ikke pressen, men informerede til slut tilsynet.

Undersøgelser

Berlingske skrev, at [whistleblowerens aktiviteter, o.a.] gav ”i timevis af skjulte optagelser med tjenestens ansatte, hvoraf nogle […] har udtrykt sig på en måde, der bekræfter mistanken om, at FE kan have handlet illegalt og ikke i tilstrækkeligt omfang greb ind for at forhindre, at data om danskere blev afsløret.” I november 2019 blev de [optagelserne, o.a.] overgivet til tilsynet, der i december underrettede forsvarsminister Trine Bramsen.

I modsætning til sin forgænger tog Bramsen tilsyneladende den slags beskyldninger meget alvorligt og opfordrede tilsynet til at indlede en undersøgelse, der d. 24. august 2020 resulterede i den pludselige tjenestefritagelse af chefen for FE og et par andre embedsmænd (de er i mellemtiden er tilbage, men i andre stillinger).

D. 5. oktober besluttede den danske regering, at fremsætte et lovforslag, der skulle oprette en særlig kommission, der skal gennemføre en uafhængig og upartisk undersøgelse af anklagerne mod FE, og som skal fremkomme med en rapport inden et år.

Konklusion  

I 2013 blev en ung it-specialist hos FE bekymret for at denne efterretningstjeneste illegalt kunne have spioneret mod danske borgere. Dette var ikke blot i overensstemmelse med Snowdens (grundløse) narrativ, men også en frygt, der havde været levende i Danmark, efter at landets indenlandske sikkerhedstjeneste, PET, i 1988 var blevet anklaget for at overvåge almindelige danskere.

I mellemtiden har det vist sig, at Snowden mere var drevet af frygt end af kendsgerninger - kan det også have været tilfældet med whistlebloweren i FE? Baseret på det, der indtil nu har været offentliggjort, prøvede han øjensynligt at finde beviser selv efter en intern undersøgelse havde konkluderet, at NSA ikke misbrugte FEs indhentningssystem.

I de senere år er NSA og det tyske BND også blevet anklaget for massiv indenlandsk spionage. Gennemgribende undersøgelser har vist, at det ikke var tilfældet, selvom tjenesternes ansatte somme tider var uforsigtige og det ikke altid var teknisk muligt at gøre det, der krævedes af loven.

Var det også tilfældet i den danske militære efterretningstjeneste? Den nyligt oprettede undersøgelseskommission vil vise det.

Links og kilder

- Kommentarer på Hacker News
- Berlingske: Særlig undersøgelseskommission skal kulegrave FE-sagen (5. okt., 2020)
- Politiken: Debat om kabelaflytning gav tårer i Sverige og folkeafstemning i Holland (1. okt., 2020)
- DR Nyheder: Ny afsløring: FE masseindsamler oplysninger om danskere gennem avanceret spionsystem (24. sept., 2020)
- Berlingske: Et pengeskab på Kastellet har i årtier gemt på et dybt fortroligt dokument. Nu er hemmeligheden brudt (13. sept., 2020)
- The Local: Danish intelligence scandal related data sharing with US agency, according to media (28. august, 2020)
- The Register: The Viking Snowden: Denmark spy chief 'relieved of duty' after whistleblower reveals illegal snooping on citizens (25. august, 2020)
- BBC: Danish military intelligence head Lars Findsen suspended (24. august, 2020)