En utredning som presenterades igår föreslår att polisen ska få tillgång till ett nytt tvångsmedel som kallas hemlig dataavläsning. Det är ett begrepp som bland annat innebär att polisen skulle få lov att hacka misstänktas datorer och plantera trojaner.

Det är något polisen länge efterfrågat för att kunna läsa vad misstänkta brottslingar gör på sina mobiler och datorer innan datan krypteras och blir oläslig.

Men lagman Petra Lundhs utredning svarar varken på hur det ska gå till, eller var polisen ska få kompetensen och verktygen som krävs. De lämnar det istället upp till de brottsförebyggande myndigheterna att avgöra om de ska utveckla hackerverktyg själva – eller köpa in dem utifrån.

”Detta är ett förslag som nu ska ut på remiss, vi har ingen möjlighet att svara på detta i nuläget”, skriver polisens pressekreterare Malin Näfver när vi frågar om alternativen.

Utredaren har frågat de brottsförebyggande myndigheterna, och de uppskattar att hemlig dataavläsning kommer att innebära ökade kostnader på 100 miljoner kronor årligen. Då ingår alltifrån personal och utbildning till nödvändig mjukvara och hårdvara.

Läs också: Skattepengar ska göda en marknad som lever på osäkerhet – gör det oss säkrare?

Det ska räcka till mellan 50 och 100 insatser per år. Men det är en försvinnande liten summa oavsett om polisen ska hitta sårbarheter själva eller köpa dem på den privata marknaden, menar Joachim Strömbergson som är säkerhetsexpert på Assured.

Framförallt om polisen ska använda sig av sårbarheter som tillverkaren inte känner till, så kallade zero-days. Som ett säkerhetshål i Iphone som Apple inte vet om, och därmed inte kunnat laga.

– Att hitta zero-days är jättedyrt, det kostar många miljoner. Många andra letar också efter sårbarheterna och det räcker att de blir kända på något sätt så kommer hela investeringen att vara bortkastad. Då är miljonerna borta, säger han.

Att hitta sårbarheter och utveckla hackerverktyg kräver dessutom en spetskompetens som är ytterst sällsynt.

– Det finns inte många som kan det här. Det är kanske ett hundratal personer i Sverige som kan klara av att bygga den här mjukvaran – och de är inte billiga, menar Joachim Strömbergson.

Joachim Strömbergson
Joachim Strömbergson.

– Så i första hand kommer det förmodligen att bli att polisen köper in verktyg. Problemet då är att vi betalar skattemedel för att handla på en marknad som till stora delar drivs av organiserad brottslighet. Många som tar fram exploits och säljer dem är kriminella.

Han pekar exempelvis på läckorna från det italienska företaget Hacking Team för ett par år sedan. Där framgår att bolaget köpt vissa verktyg och sårbarheter på den svarta marknaden, och sedan sålt vidare till statliga aktörer.

– Så då får skulle skattemedel flöda från Sverige och ut till en organiserad brottslighet, säger Joachim Strömbergson.

Fast det finns andra metoder också. Utredningen lämnar möjlighet att sköta avlyssningen med både hårdvara och mjukvara. Istället för en trojan på datorn, kan det alltså handla om att installera exempelvis en fysisk så kallad key logger som registrerar alla knapptryckning på tangentbordet.

Läs också: Polisen ska få rätt att hacka datorer. Nu förklarar inrikesministern hur det ska gå till.

Jonas Lejon som grundat säkerhetsföretag Triop är tveksam till om polisen alls kommer att köpa in säkerhetsbrister. Det finns enklare och billigare metoder för att komma åt innehållet på någons dator eller mobiltelefon, menar han.

– Jag tycker det är fel att bara fokusera på zero-days. Det är sällan i mina säkerhetsgranskningar jag upptäcker att här behöver man en zero-day. Det finns ofta andra möjligheter att ta sig in, säger Jonas Lejon.

Genom passiv avlyssning kan polisen också få mycket metadata om både vilken mjukvara och hårdvara som de misstänkta använder. På det sättet går det att ta reda på om de kör en gammal, sårbar version av Windows som går att hacka med välkända sårbarheter.

– Sedan tror jag mer på attacker där man fysiskt kan komma åt datorn än att man skickar någon slags skadlig kod som utnyttjar zero-days, säger Jonas Lejon.

På samma sätt som Polisen i dag kan ta sig in i en lokal och sätta buggar som lyssnar av rummet, skulle man kunna smyga sig in och installera trojaner i datorn eller sätta dit en så kallad key logger som registerar alla knapptryckningar på tangentbordet.

– Det är både mer kostnadseffektivt och rättssäkert, säger Jonas Lejon.