Kryptoblog

Kryptografi och IT-säkerhet på svenska

Archive for June, 2008

Kostnaden och faran med allmän övervakning

June 30th, 2008

Bruce Schneier har en postning som, återigen, listar ett antal forskningar som visar att satsningar på allmän övervakning ger extremt liten eller ingen som helst positiv effekt på brottslighet. Den övervakning som det handlar om är kameraövervakning (CCTV) och som ofta handlar det om England, landet som är världsmästare på CCTV-övervakning.

Bruce Schneier skriver:

To some, it’s comforting to imagine vigilant police monitoring every camera, but the truth is very different. Most CCTV footage is never looked at until well after a crime is committed. When it is examined, it’s very common for the viewers not to identify suspects. Lighting is bad and images are grainy, and criminals tend not to stare helpfully at the lens.

Cameras break far too often. The best camera systems can still be thwarted by sunglasses or hats. Even when they afford quick identification — think of the 2005 London transport bombers and the 9/11 terrorists — police are often able to identify suspects without the cameras. Cameras afford a false sense of security, encouraging laziness when we need police to be vigilant.
...
But the question really isn’t whether cameras reduce crime; the question is whether they’re worth it. And given their cost (£500 m in the past 10 years), their limited effectiveness, the potential for abuse (spying on naked women in their own homes, sharing nude images, selling best-of videos, and even spying on national politicians) and their Orwellian effects on privacy and civil liberties, most of the time they’re not.

The funds spent on CCTV cameras would be far better spent on hiring experienced police officers.

Det handlar alltså om effektiviteten. Hur vi får ut maximal effekt för de pengar vi lägger på insatser mot brottslighet? Vi ställer effektivitetskrav inom de flesta områden, varför inte här?

Den andra aspekten Bruce tar upp är kostnaden för personer som filmas. De som sitter och övervakar är också människor – människor som inte heller alltid följer lagen och utnyttjar sin nya makt på felaktiga sätt.

En artikel i The Guardian berättar närmare om två fall i England där CCTV används för att spionera på privatpersoner på ett helt annat sätt än vad som var avsett.

Det första fallet handlar om där kommunpolitiker använde de CCTV-kameror som installerats som en del i Regulation of Investigatory Powers Act, avsedda att jaga grova kriminella och terrorrister, för att kontrollera om en person som sökte till en skola verkligen bodde där hon sade att hon bodde:

A couple of months ago it was discovered that Poole borough council, in Dorset, had used the Regulation of Investigatory Powers Act – designed to track serious criminals and terrorists – to determine whether a school applicant and her parents lived where they said they did.

They did, and were appalled to discover they had been spied on for three weeks, the subject of surveillance notes such as “female and three children enter target vehicle and drive off”.

Det andra fallet handlar om att man på polisstationen i Worcester upptäckte en 20 minuter lång film som noga följde en kvinnlig privatperson och visade närbilder av hennes kropp:

a 20-minute sequence of close-ups of a woman’s cleavage and backside as she walked oblivious through the streets. Whether the woman ever discovered she was the star of a kind of pervert Truman Show is not recorded. But the offending monitor escaped with a warning and was – unbelievably – back in post within weeks.

Mycket hemskt, speciellt att när att felaktigheter har begåtts tas det inte på allvar. Integriteten hos de som övervakas är värd ytterst lite, antagligen mycket mindre än kostnaden för en kamera till.

No comments »

Posted in IT och integritet

Lite tankar om TOP500-listan

June 27th, 2008

(En liten teknikutsvävning så här på fredag. Kopplingen till IT-säkerhet och krypto är väl att mycket beräkningskraft alltid är bra om man skall joxa med krypto, speciellt för att försöka analysera och knäcka dom…)

Jag har tittat lite på den senaste TOP500-listan, dvs listan över superdatorer. Snabbaste maskinen totalt sett är IBMs Roadrunner (vilken jag tidigare skrivit om):

IBM Roadrunner

Världen snabbaste dator: Roadrunner, byggd av IBM för LANL.

Snabbaste maskinen i Sverige, FRA:s HP-burk, har halkat ner från femte till 11:e plats på ett år. Sverige har just nu nio maskiner på listan, dvs 1.80% av alla superdatorer. Totalt 38596 processorer som tillsammans når drygt 393 TFLOPS. Lite mer statistik:

Leverantörer
IBM innehar platserna 1-3 på prestandalistan och har fem maskiner på top 10. IBM vinner även totalt med 42% av alla system, före HP med 37%. Bland gamla klassiska superdatorbolag spöar SGI faktiskt Cray med 4.4% mot 3.2%, men båda får pisk av kontorsråttan Dell som står för 5% av systemen.

Processorer
Lägger man ihop statistiken för AMDs x86, Intel x86-32 och x86-64 är nästan 85% av alla processorer som används en x86-processor(!). Power är på andra plats med 13%. Itanium och andra arkitekturer är väsentligen avrundningsfel. SPARC finns inte med alls. Var tog alla kraftfulla server- och HPC-processorarkitekturer vägen?

Kommunikationsteknik
Superdatorer, beräkningskluster och HPC-maskiner med många beräkningsnoder som samarbetar för att skapa ett resultat är beroende av bra kommunikationsteknik. Det är inte bara bandbredd utan fördröjningen (latensen) är extremt viktig för att nå bra prestanda.

Som Seymour Cray sa på 70-talet: It’s the heat and the thickness of the mat which matters., där mattan är härvan av kablar mellan maskinerna. (Jag sprang på en presentation om kommunikation och högpresterande beräkningar som kan vara värd att titta igenom.)

För att få till den kommunikation som behövs har man traditionellt i superdatorer och HPC-system använt specialutvecklade kommunikationslösningar, exempelvis Infiniband och Myrinet.

Det som är intressant att se är att för 57% av alla maskiner på listan är den kommunikationsteknik som används Gbit Ethernet (GE). Infiniband kommer på andra plats med 24% och Myrinet används i drygt 2% av alla maskiner.

HyperTransport (HT) finns förvånande nog inte med trots att det bland annat används i maskiner från Cray (om det inte är det som kallas Cray Interconnect, vilket det verkar vara).

OS
Linux dominerar stort på OS-sidan med 85%. Lustigt nog delar man sedan upp OS på UNIX, BSD Based och Mac OS. Tillsammans blir dessa dock knappt 6%.

Windows, som har slagit hårt på trumman de senaste åren för Windows HPC Server har på ett år ryckt upp sig från 0.6% till 1%. En av dessa Windows-kapabla maskiner är Akka vid HPC2N i Umeå:

Akka
Superdatorklustret Akka.

Allmänt
TOP500-listan är en relativt skev lista, där lejonparten av maskinerna egentligen är stora ansamlingar/kluster av normala datorer.

Längst upp i toppen är det fortfarande specialdesignade system med ovanliga arkitekturer (på processor och systemnivå), kommunikationsteknik och kylning.

Trenden mot standardteknik – standardmaskiner byggda av x86-processorer med Linux som OS och Ethernet som kommunikationsteknik är, tycker jag, tydlig.

För den som vill läsa om utmaningarna med att bygga PFLOP-maskiner finns en artikel om IBMs Bricks-projekt. Artikeln IBM Intelligent Bricks project-Petabytes and beyond är ett par år gammal, men är fortfarande fascinerande läsning.

Av superdatortillverkarna Convex, Parsytech, KSR, Sequent, Meiko, MasPar, TMS, nCube har spåren sedan länge kallnat.

Det var roligare förr när superdatorer var exotiska, märkliga bestar, inte bladservrar, pizzaboxar och PC-burkar på hög. Titta på dessa snygga maskiner:

Convex
En Convex 3800.

En Tera MTA 1. (Vacker, men gick inte att producera.)

Cray C90.
Cray C90, kanske den vackraste av alla superdatorer.

Professor Erik Hagersten sa en gång att en riktig superdatortillverkare skall ha gått i konkurs minst en gång ~~men tyvärr verkar allt färre av dom återuppstå, utan ersätts av Svensson~~maskiner. Många Svenssonmaskiner.

För den som gillar datorporr finns en del sidor på nätet. Den här har nostalgisk HPC-porr och den här har allmän nostalgidatorporr.

NSC i Linköping har en sekvens med fantastiska bilder som visar hur superdatorer gått från vackra skapelser till IVAR-hyllor med PC-burkar.

I Tyskland finns det tydligen en avdelning på Munchens datormuseum som är ett ett Cray-museum. Något för sommarsemestern att besöka?

2 comments »

Posted in övrigt, Hårdvara

Optimerade implementationer av DES och AES

June 26th, 2008

EE Times har publicerat en artikel om effektiv implementation av DES och AES i programvara.

Artikeln Acceleleration of Symmetric-Key Algorithms in Software, skriven av två anställda på DSP-tillverkaren Analog Devices (ADI) visar hur de får upp prestandan hos DES/3DES och AES på en Blackfin-DSP.

En ADI BlackFin.

S-boxen i DES accelereras genom att man använder en speciell instruktion kallad EXTRACT som gör det möjligt att extrahera ett valbart antal bitar i ett ord. I det här fallet används det för att få ut de sex bitar som används som adress till S-boxen.

Ett var i DES.
Vänstervarvet i DES med åtta S-boxar.

Även den slutgiltiga konkateneringen av det nya 32-bitvärdet från de åtta S-boxarna görs om till att bli ren addition mellan åtta 32-bitars tal, dvs bitarna läggs ej samman genom skift och OR. Resultaten är en implementation av DES som går två till tre gånger snabbare än referensimplementation.

För AES använder författarna en något annorlunda metod. Där är det inte specialinstruktioner som används, istället görs AES-funktionerna SubBytes(), ShiftRows() och MixColumns() om till en gemensam, tabellbaserad funktion. Lösningen är alltså att byta ALU-operationer mot minne.

Genom att expandera GF-multiplikationen i MixColumns(), applicera den på S-boxen i SubBytes() och de radskiftningar som skall utföras i ShiftRows() får de fram en tabell på 1024 Bytes. Denna tabell kan för varje Byte i AES 16 Byte stora tillståndsmatris kan ta fram nästa tillstånd inför AddRoundKey().

För att anropa den kombinerade funktionen krävs ett modifierat accessmönster för matrisen, ett mönster där fyra Bytes separerade fyra Bytes ifrån varandra plockas ut tillsammans som indata till den modifierade funktionen.

Den kombinerade funktionen.

Det jag saknar i artikeln är siffror på hur bra den modifierade AES-implementationen blev, motsvarande det som finns för DES. Räknar man på det borde det iaf bli en 3 * 4 = 12-dubblad prestanda jämfört med en implementation med separata funktioner, en implementation där varje Byte i matrisen behandlas separat. (Vilket dom iofs inte skulle göras för ShiftRows() även i en enkel referensimplementation.)

Jag saknar även en kommentar/tanke om hur känsliga de presenterade implementationerna är för sidoattacker. Hur stor varians i effektförbrukning finns det vid exekvering av EXTRACT-instruktionen beroende på inparametrar? Hur stor är variansen vid den ADD-baserade konkateneringen?

På samma sätt kan man resonera om AES-implementationen. Nu borde tabellen på 1024 Bytes få plats i internminnet i processorn (inte i en dynamisk cache), vilket skall eliminera varianser i accesstid.

En kul artikel. Speciellt tricket i AES-implementationen var spännande att se. För de som kan bränna 768 Bytes extra i interntillstånd är detta ett klart alternativ.

1 comment »

Posted in Krypto, Läsvärt

Tags: Krypto

EU vill reglera bloggar

June 25th, 2008

Henrik Alexandersson skriver på sin blogg om ett nytt EU-förslag som avser att reglera hur bloggar fungerar. Reglera innebär enligt Henrik att:

* Alla bloggar skall registreras / licensieras av staten. * Det skall bli lättare att komma åt bloggare juridiskt. * Myndigheterna kan reglera innehållet på din blogg.

Henrik har gått igenom förslaget och hittat bland annat:

Rapportören, Marianne Mikko (s), säger att “bloggvärlden än så länge varit en plats för goda avsikter och förhållandevis ärliga syften. Men när bloggarna blir triviala, vill också folk med mindre principer använda dem.”

Hon säger också att bloggarna “är i en position där de väsentligt kan förorena cyberrymden. Vi har redan alldeles för mycket spam, felinformation och ont uppsåt i cyberrymden.”

Vidare säger hon att “jag tror att allmänheten fortfarande väldigt mycket litar på bloggar, de ses fortfarande som ärliga. Och de ska fortsätta att vara ärliga. För det behöver vi en kvalitetsstämpel, upplysning om vem som verkligen skriver och varför.”

Omröstningen av förslaget editorial independence and media pluralism sker 22 september.

Henriks blogg är ett exempel på en svensk blogg som ligger på en server (blogspot) utanför EU. Undrar hur de tänkt reglera den typen av bloggar…

1 comment »

Posted in Internet, Politik

Krama din riksdagsledamot

June 16th, 2008

(Ändrat texten efter kommentarer om att Bodström inte initierade lagförslaget.)

FRA-lagen har blivit inte bara blockpolitik utan närmast en kabinettfråga. Detta gör det extremt svårt för några borgerliga riksdagsledamöter att rösta nej till propositionen. (Den som är konspiratoriskt lagd skulle kunna få för sig att Bodström angriper propositionen just för att garantera att ingen skall våga rösta emot propositionen.)

Jag tänker inte upprepa all kritik som så många och vitt skilda, men på olika sätt insatta och kompetenta instanser riktat mot förslaget. Instanser som Lagrådet, Advokatsamfundet, SÄPOs förra chef, Journalistförbundet och forskare, exempelvis Willhelm Agrell och Dennis Töllborg. Man skulle kunna hoppas att riksdagsledamöterna tog till sig av bredden och djupet av kritiken. Och dessutom kritik från sina partimedlemmar och speciellt de väljare man är vald att representera.

Omröstningen i riksdagen sker på onsdag, så än är det inte försent. Prata vänligt med din riksdagsledamot och få denne att förstå att du som väljare, den ledamoten representerar, inte vill att förslaget går igenom.

En person som man kunde hoppas på att Regeringen lyssnar på är Patrik Fältström, medlem i Regeringens IT-råd och en av världens främsta experter på Internet. Patrik har skrivit ett par bra inlägg på sin blogg (inlägg ett, inlägg två) om varför han är emot propositionen i sin nuvarande skrivning.

Notera att Patrik, precis som jag, tycker att Sverige skall ha möjlighet att upptäcka yttre militära hot. Vidare, av de personer jag träffat från FRA är min uppfattning att det är en seriös och ytterst kompetent organisation som tar sitt uppdrag på allvar. Men som förslaget ser ut i dag är det ett slarvigt, dåligt formulerat förslag med på tok för stora negativa konsekvenser. Vi kan bättre.

Ett exempel på hur märkligt datatrafik kan routas och hur svårt det är att avgöra vad som är inhemsk trafik kom från en kollega. Nyligen flyttade hans företag sitt kontor mindre än två km inom Stockholm centrum. Under en övergångsperiod hade företaget kvar datorutrustning på den gamla platsen och skickade trafik mellan de två platserna. Till sin förvåning upptäckte kollegan att trafiken, som gick mellan Bredbandsbolaget och svenska operatören Netcraft, utbyttes via en knutpunkt i tyskland!

Den här filmen är för övrigt helt briljant gjord och vi skulle verkligen behöva några som på ondag vågar kliva upp på sina pulpeter i kammaren och stå upp för sin övertygelse. Med din hjälp kan det bli så.

Dags att krama din riksdagsledamot, på torsdag är det för sent.

11 comments »

Posted in IT och integritet, Politik

Pokersajt publicerar RNG-utvärdering

June 15th, 2008

För ett tag sedan undrade cashkuler om hur pokersajters slumptalsgeneratorer fungerar.

Jag visste inte då att det faktiskt finns pokersajter som publicerar utvärderingar av sina slumptalsgeneratorer (RNG). När jag i morse Googlade på “rng evaluation” sprang jag på en sida hos Titan Poker. Dom skriver:

Titan Pokers mjukvara, utvecklad och underhållen av Playtech använder slumpgeneratorer för att säkerställa total spelintegritet.

Playtechs spelprogram innehar ett officiellt Certifikat genom RNG Evaluation från Technical Systems Testing (TST), en internationell, erkänd och respekterad Ackrediterad Testningsfacilitet (ATF).

TST har arbetat med industriella operatörer, leverantörer och regulatorer för att säkerställa att gamingprodukten fungerar på ett rättvist och säkert sätt och att det körs enligt några av de mest följdriktiga och omfattande lagstiftningar och reglerande fodringar som finns.

Institutet dom pekar på är alltså Technical Systems Testing (TST). Jag känner inte till dom, och jag hade gärna sett att man publicerade utvärderingsrapporten. Vidare är jag tveksam till om en bra slumptalsgenerator implicerar total spelintegritet (vad det nu innebär).

Men jag tycker att det är intressant att pokersajter försöker skapa trovärdighet för sina system genom att göra utvärderingar och publicera resultaten.

No comments »

Posted in Krypto, Om Kryptoblog

En ny burk för FRA?

June 13th, 2008

Några dagar innan International Supercomputing Conference (ISC) öppnar meddelar Ny Teknik att IBMs Roadrunner faktiskt lyckats nå gränsen en Petaflop.

Department of Energy (DoE) som äger Roadrunner meddelade den nionde juni att Roadrunner nått en Petaflop i LINPACK-test. På ISC kommer det att vara en speciell presentation om Roadrunner och dess prestandaresultat. I meddelandet som publicerats av Top500 beskrivs Roadrunner och resultatet:

RoadRunner, located at the U.S. Department of Energy’s Los Alamos National Laboratory, is a hybrid supercomputer built by IBM, using 6,912 dual-core Opteron processors from AMD and 12,960 of IBM’s Cell eDP accelerators.

At the end of May, the system posted a peak performance of 1.026 petaflop/s running the Linpack benchmark. This test consisted of solving linear equations involving more than 2 million equations and an equal number of unknowns.

För den som är HPC- och rackfetishist är Roadrunner porr av värsta sorten. Hur många rack som helst sammankopplade av enorma mattor av Infiniband-fibrer. Och massor av Opteron och Cellprocessorer.

Det finns ett fräckt bildspel på Computerworld som visar hur Roadrunner är uppbyggd.

Golvplanen för Roadrunner.

Ett Cellblad.

Många rack.
Många rack blir det…

FRAs lilla HP-burk som bara når 146 TFLOP är lååångt. Efter. Tänk vad mycket mer söksträngar man kunde gräva efter med 1 PFLOP…

(BTW: Här finns massor av bilder för den som vill titta på mer hw-pr0n...)

4 comments »

Posted in övrigt, Hårdvara

Saucy, en ny och fräck algoritm

June 13th, 2008

På EE Times dök det upp en artikel om en ny algoritm som kan mycket snabbt kan hitta symmetrier. Algoritmen i fråga heter Saucy och artikeln beskriver Saucy:

Combinatorial problems are one of the toughest nuts to crack in design automation and other applications that sift data. For instance, the number of Internet router path combinations for sending a message around the world is enormous. The shortest path is seldom chosen because there is no way to find the optimal distance among so many possibilities.

Now, the developers of an algorithm called “Saucy” claim it can solve such problems quickly by finding symmetries among large swaths of possibilities. In the global Internet routing problem, Saucy found so many symmetries—10 with 83,687 zeros—that it could sort through and an find an optimum path in under a second. Saucy was described this week at the Design Automation Conference.

Att artikeln presenterades på DAC-konferensen är inte så konstigt. Symmetriproblem finns det en stor mängd av inom EDA-området. Formell verifiering genom ekvivalenscheck är ett exempel där grafisomorfism används för att jämföra två konstruktioner.

Ett exempel – följande två grafer är isomorfa:

Andra EDA-områden där det finns symmetriproblem är syntes (BDD-träd), routing och layout. Eftersom Moores lag stampar vidare med fortsatt snabbt växande konstruktioner behöver verktygen bli allt snabbare för att inte utvecklingstiden skall skena iväg.

Saucy är utvecklad op University of Michigan och Berkeley. På sidan för Saucy-projektet finns mer information, bland annat ett par artiklar och en relativt ny presentation. På sidan sammanfattas Saucy med:

Many computational tools have recently begun to benefit from the use of the symmetry inherent in the tasks they solve, and use general-purpose graph symmetry tools to uncover this symmetry. However, existing tools suffer quadratic runtime in the number of symmetries explicitly returned and are of limited use on very large, sparse, symmetric graphs.

This paper introduces a new symmetry-discovery algorithm which exploits the sparsity present not only in the input but also the output, i.e., the symmetries themselves. By avoiding quadratic runtime on large graphs, it improves state-of-the-art runtimes from several days to less than a second.

Detta låter kanonbra, och är man som jag intresserad av EDA-verktyg och elektronikdesign är detta mycket spännande. Men varför ta upp detta på Kryptoblog?

Jo på grund av symmetriproblem och snabba lösningar av SAT-problem, vilket är samma slags problem som BDD-träd och isomorfism, går att använda för kryptanalys.

Några exempel på detta hittar vi i artiklarna Applications of SAT Solvers to Cryptanalysis of Hash Functions (pdf) och Logical Cryptanalysis as a SAT Problem: the Encoding of the Data Encryption Standard.

Den första artikeln (av Ilya Mironov och Lintao Zhang från Microsoft) är relativt ny och sammanfattningen av artikeln beskriver användningen av algoritmer för SAT-problem:

Several standard cryptographic hash functions were broken in 2005. Some essential building blocks of these attacks lend themselves well to automation by encoding them as CNF formulas, which are within reach of modern SAT solvers.

In this paper we demonstrate effectiveness of this approach. In particular, we are able to generate full collisions for MD4 and MD5 given only the differential path and applying a (minimally modified) off-the-shelf SAT solver.

To the best of our knowledge, this is the first example of a SAT-solver-aided cryptanalysis of a non-trivial cryptographic primitive. We expect SAT solvers to find new applications as a validation and testing tool of practicing cryptanalysts.

Det skulle vara otroligt intressant att se om det går att applicera Saucy på den attack mot hashfunktioner som Ilya Mironov och Lintao Zhang beskriver. Någon som är intresserad av att sponsra ett forskningsprojekt? 😉

No comments »

Posted in Forskning, Krypto

SAS vill tagga flygpassagerare

June 3rd, 2008

(Ännnu en nyhet kopplad till flyg, IT-säkerhet och integritet, det verkar vara ett område där det finns mycket vilja att hitta på teknologiska lösningar på olika problem – och antagligen finns det mycket pengar att tjäna.)

Elektroniktidningen rapporterar att SAS planerar att sätta aktiva RFID-taggar på passagerare på Kastrups flygplats.

Problemet som SAS vill lösa är att ca fyra procent av alla försenade avgångar beror på att passagerarna inte tar sig till utgången till planet i tid. Enligt artikeln vill SAS lösa detta genom att:

Passagerarna vid incheckningen får en RFID- och Bluetoothförsedd plastbricka, som återlämnas vid ombordstigningen.

RFID-tekniken visar i realtid var passageraren befinner sig med en noggrannhet på omkring 100 meter. Systemet delar in passagerarna i tre grupper, grön för de som är nära gaten, gul för dem som kan hinna till gaten om de skyndar sig, och röd för de som inte har någon chans att komma i tid.

När det är dags för ombordstigning skickas ett SMS via Bluetooth till de “gula” passagerarens mobiltelefon. De “röda” passagerarna kan om nödvändigt bokas om, och deras bagage tas bort från flyget.

Enligt artikeln kallas systemet Gatecaller och är utvecklat av danska Lyngsø Systems i samarbete med Köpenhamns IT-universitet och Risø National Laboratory: Bluetooth-utrustning är levererad av Blip Systems. Danska staten har finansierat utvecklingen med 16 miljoner kronor.

Söker man på nätet efter Gatecaller träffar man istället på ett system kallat SPOPOS, som dock verkar vara samma system som Gatecaller.

SPOPOS

På SPOPOS finns en hel del mer information om systemet. Följande är direkt från webbplatsen:

SPOPOS på Kastrup

In Copenhagen Airport, Kastrup, which is the test area for the SPOPOS project, we have set up 19 fixed zones/reading points and one mobile zone/reader that can be moved around as required.

Each zone contains an antenna for tracking RFID tags, and an antenna for tracking Bluetooth receivers in mobile phones. Each of the zones covers an area of up to 2000 square metres, corresponding to a radius of 25 metres, depending on the layout of the room and its location. These zones cover approximately 25 per cent of the total area in the transit hall of the airport.
The main elements of the SPOPOS system

The SPOPOS system comprises 6 main elements:

An RFID tracking system based on tags mounted on mobile equipment.

An RFID tracking system based on tags worn as “badges”.

A Bluetooth tracking system that can register mobile phones with accessible Bluetooth connections.

A Bluetooth-based communication system for mobile units which provides subscribers who are connected with a number of time and location-based services.

An analysis system for filtering and displaying the tracking data that are collected by means of the systems listed above.

A web questionnaire that can integrate individual tracking data in real time.

Det finns även en sida som lite mer i detalj beskriver tekniken bakom med bild och text om basstationerna och brickorna.

SPOPOS - Basstation och bricka

Om man jämför med storleken på Ethernetporten och antennerna borde brickan vara närmare 5×10 cm.

SPOPOS-gruppen har även genomfört en undersökning om passagerarnas inställning till systemet. Tanken jag får när jag läser resultatet är att som man ropar får man svar…

Slutligen finns det en sida som försöker besvara en del frågor om säkerheten, speciellt vad gäller integriteten. Bland annat får man reda på att:

Does SPOPOS save my information?

YES and NO. When you have used the SPOPOS service in the airport, you will subsequently have the opportunity to log onto a homepage and see your own unique route on a map. This is possible because SPOPOS saves the information in the system. However, you are the only one who has the identification code required to log in. This number will be allocated to you personally when you use the SPOPOS service.

As soon as you have left the airport, the information that has identified you in relation to the airline and the airport will be deleted. From then on, your route will exist merely as a statistic in the system.

Konceptet är egentligen bra, men när jag funderar på systemet dyker det upp ett antal frågor.

När jag funderar på det här systemet dyker det upp ett stort antal frågor, exempelvis:

Varför behöver systemet över huvud taget koppling till passagerarens mobiltelefon? Problemet systemet försöker lösa borde gå att lösa utan att passagerarens namn + mobilnummer registreras. I enklaste fallet får en passagerare en slumpmässigt vald aktiv enhet (en bricka) med ett specifikt ID. Brickan stödjer positionering och som går att fås att larma när det är dags att gå till utgången. Dvs man får bort mobilnumret som beroende.

Kravet på en mobiltelefon är över huvud taget märkligt. Det borde göra systemet mer sprött i och med att mobiltelefonen måste nås för att passageraren skall kunna larmas. Skall SAS börja kräva att personer ser till att ha mobiler som är laddade?

Varför behöver passagerarna över huvud taget en möjlighet att logga in på en webbplats? Genom att det finns en koppling mellan person, resa och mobilnummer exponerar en sådan access privat information om passagerarna på ett onödigt sätt.

Vilka garantier har jag för att SAS verkligen förstör den insamlade informationen på rätt sätt? På vilket sätt raderas informationen?

En annan sak, vad händer om brickan kommer bort? Får man inte åka med? Får man böta? Vad händer om en person dyker upp med fel bricka – finns det risk att fel person får följa med?

Kommer detta innebära att man som passagerare förväntas ha en mobiltelefon? Med tanke på att länder som USA och England börjat kopiera minnen från datorer, telefoner etc som tillhör passagerare är det inte säkert att man vill ha med sig en telefon.

Och ökar detta system risken för att personer har på sina mobiltelefoner under flygning? (Om det nu egentligen är ett problem är en anan fråga.)

Vad tror ni?

No comments »

Posted in IT och integritet, RFID

Märklig kod för slumpmässig header

June 3rd, 2008

På DailyWTF dök det upp en postning om en märklig kod som försöker åstadkomma slumpmässiga headrar. Koden i fråga ser ut så här:
Dim rNumber As Integer = 0 rNumber = RandomNumber(13, 1) Select Case rNumber Case 0


    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 1
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 2
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 3
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 4
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 5
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 6
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 7
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 8
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 9
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 10
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case 11
    Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

Case 12
    Me.hl_logo.ImageUrl = "~/sysimages/header.jpg"

Case Else

Me.hl_logo.ImageUrl = "~/sysimages/header2.jpg"

End Select

(Que pasa? WTF?! Eller på Dalsländska: Ööööööö...)

Personen som postade koden hade pratat med personen som skrivit koden, och motiveringen till koden var:

It makes it more random because you get more repeats when you select from two random numbers than you do with thirteen.