Säkerhet

Superhemliga FRA öppnar sig för omvärlden

Försvarets radioanstalt, FRA. Foto: Tobias Ohls
Anton och Johan jobbar som säkerhetsgranskare på FRA. Foto: Tobias Ohls
Thea Ahlström Signal. Foto: Tobias Ohls
Alfred Severin. Foto: Tobias Ohls

Det mesta som Försvarets radioanstalt sysslar med är superhemligt. Men under en vecka i juni öppnar myndigheten sina dörrar lite på glänt.

Publicerad

(Texten har uppdaterats)

Det är tisdag och klockan har precis passerat tio på förmiddagen. För många har sommarlovet eller semestern redan börjat. Men på Lovön väster om Stockholm sitter femton gymnasieelever från Stockholm Science and Innovation School i Kista och lyssnar uppmärksamt på en genomgång om radiosignaler.

De får se hur man med rätt frekvenser och en sändare på håll kan använda en fjärrkontroll för att tända och släcka en lampa, eller få igång och stänga av en fläkt. Genom att spara signalerna på en dator är det möjligt att ta över styrningen av lampan och fläkten med den.

Det här är första gången som Försvarets radioanstalt, FRA, anordnar ett läger för ungdomar. Dessutom är det på plats på huvudkontoret, vilket innebär att ingen får ha vare sig mobiltelefon eller något annat med wifi eller trådlös uppkoppling på sig.

Det mesta som FRA sysslar med är egentligen superhemligt, Men för att öka intresset för it-säkerhetsfrågor bland unga och bygga en framtida rekryteringsbas både för den egna myndigheten och andra har man nu valt att öppna sina dörrar lite på glänt. Under en vecka får eleverna lyssna på föreläsningar, men också testa att lösa säkerhetsproblem hämtade från verkligheten.

– Det ska vara lärorikt, men också enkelt att förstå och väcka ett intresse. Nästan alla grejer vi gör nu är på en låg nivå, men eleverna får exempel som leder dem vidare, som visar dem vilka tekniker som används och vilka verktyg som finns, så de får en naturlig inlärningskurva, berättar Anton, som är säkerhetsgranskare på FRA och tillsammans med kollegan Johan, också säkerhetsgranskare, har utformat schemat för lägret.

Av säkerhetsskäl vill de inte uppge sina efternamn.

Bland punkterna som eleverna går igenom finns allt från krypto och kontraterrorism till etik. Thea Ahlström Signal, som precis har slutat ettan på gymnasiet och pluggar webbdesign, har efter lite mer än en dag på lägret redan fått mersmak.

– Jag har lärt mig mycket. Vi har till exempel fått testa att hacka en testhemsida för att förstå hur en hackare tänker. Det är något som jag vill lära mig mer om eftersom jag vill jobba med samma sak som Anton och Johan gör, med att fixa säkrare hemsidor, säger hon.

Alfred Severin, som också läser webbdesign, säger även han att han på den korta tiden redan har lärt sig väldigt mycket.

– Jag tycker att Capture the flag-utmaningen har varit roligast hittills, och att få experimentera, säger han.

Säkerhetsgranskaren Johan menar att man måste ha roligt för att vilja lära sig mer. Därför är lägret utformat så att föreläsningar av medarbetare från myndighetens olika avdelningar blandas med utmaningar och experiment, som att försöka hacka den hemsida som är specialutformad för lägret.

– It-säkerhet är rätt brett, så vi försöker visa eleverna så många aspekter av det som möjligt, så de kan hitta något som de tycker är kul. Någon kanske tycker att webb är jätteroligt, någon annan kanske hellre vill knäcka lösenord. Tanken är att alla ska kunna hitta sin egen nisch, säger Johan.

Både Anton och Johan arbetar på FRA:s Cyberavdelning. Deras huvudsakliga arbetsuppgift är att hjälpa andra myndigheter och statliga bolag att granska sina it-miljöer för att se var det finns säkerhetsproblem, och ge råd om hur de kan lösas.

– Något vi fortfarande är ute mycket och predikar om är vikten av bra lösenord. Dåliga lösenord är fortfarande ett stort problem, säger Anton.

För att visa på vikten av bra lösenord ska eleverna under lägerveckan också få testa att knäcka ett lösenord för att se hur lång tid det tar. Sedan ska de få skapa ett nytt, mer komplicerat lösenord och se hur svårt det blir att knäcka.

Johan och Anton hoppas att lägret ska stimulera eleverna att bli mer intresserade av it-säkerhet. Arbetsmarknaden för dem som har det som sin specialitet är god, och man måste inte läsa på KTH för att bli säkerhetsexpert, betonar de. Det är viktigare att våga testa, tänka utanför ramarna och inte förlita sig på att någon till exempel säger att ett protokoll kanske funkar på ett visst sätt. Man måste kolla det själv.

– Jag själv började med teknik rätt sent, och var inte särskilt duktig på matte men tyckte att teknik var jättekul. Nu har jag suttit större delen av mitt vuxna liv framför datorskärmen, byggt system och haft roligt. Min största drivkraft har varit viljan att lära mig. Jag tror det är det viktigaste, säger Johan.

Anton håller med.

– Jag började med datorer när jag var åtta och har ingen formell utbildning inom något av det här. Det är 100 procent nyfikenhet, att sitta hemma vid datorn, se vad som händer och fundera på varför och sedan grotta ner sig i det. Det viktiga är att ställa frågor, vara nyfiken och våga ha sönder saker. Det mesta går att laga, säger han.

Under lägret har eleverna redan visat prov på att de tänker utanför de givna ramarna. Under Capture the flag-utmaningen var uppdraget att hämta en konfigurationsfil som en administratör av misstag lagt på en webbserver. Den gick att hitta, men var nedlåst och tanken var att eleverna skulle försöka ta sig runt låset. Utmaningen skulle bara ha en möjlig lösning, tänkte både Anton och Johan. Men det visade sig finnas åtminstone en till.

– En av eleverna skrev in en kod och fick upp filen då. Det ska inte ens funka att göra så! Jag pratade senare med den som utvecklat mjukvaran på webbservern, som också sa att det absolut inte skulle gå. Så eleven har klarat sin första bug bounty, berättar Anton.

Mer om FRA

Försvarets radioanstalt, FRA, har två huvuduppgifter: att bedriva signalunderrättelsetjänst och att stötta informationssäkerhetsarbetet hos myndigheter och statligt ägda bolag. Den civila myndigheten rapporterar till exempel om militär förmåga i andra länder, internationell terrorism och IT-angrepp i det globala nätet, vilket kan användas som underlag för Sveriges utrikes-, säkerhets- och försvarspolitik.

FRA har drygt 800 anställda, varav de flesta jobbar på Lovön, väster om Stockholm.