Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1291
IT och integritet » Kryptoblog

Archive for the ‘IT och integritet’ category

XKCD om återanvändning av lösenord

September 13th, 2010

(Tack JakobE för tipset!)
Alltid lika pricksäkra nätserien XKCD har en ny serie som tar upp problematiken runt återanvändning av lösenord:
XKCD om återanvändning av lösenord.

Jag tyckeer ofta jag hör personer som resonerar att då nättjänster som Facebook inte är viktiga/känsliga behöver man inte bry sig om att skydda sitt konto, exempelvis med att använda olika och bra lösenord för varje tjänst. Dels har dom fel i sak, Facebook innehåller för många massor med personlig information.

Men sedan är det risken med att komma åt andra konton och samla ihop mer information på ett enkelt sätt som gravt underskattas. Slutligen är det ren säkerhetshygien att inte återanvända lösenord hur som helst. Ungefär som att alltid använda blinkers när man skall svänga…

RFID och integritet – Olja och vatten

September 4th, 2010

Igår dök det upp ett par nyheter som återigen visar hur attraktivt radiobaserad identifiering (RFID) verkar vara, och hur blind man är för de problem som finns med tekniken. Detta gäller inte minst politiker och tjänstemän som ofta har lite teknisk kunskap.

Organisationen American Civil Liberties Union (ACLU) kritiserar i ett uttalande en skola i Kalifornien som försökt sätta RFID-taggar på alla elever i en skola. ACLU uppmanar föräldrar att vägra sätta på sina barn RFID-taggar som skolor delar ut.

Enligt en artikel i San José Mercury News är det en skola i Contra Costa County som vid terminstarten delat ut tröjor till alla elever. Tröjorna visade sig dock innehålla RFID-taggar. Det som skrämmer mig mest med denna nyhet är hur taggarna ses som en ren effektivitetslösning. Mercury News skriver:


RICHMOND, Calif.—California officials are outfitting preschoolers in Contra Costa County with tracking devices they say will save staff time and money.

The system was introduced Tuesday. When at the school, students will wear a jersey that has a small radio frequency tag. The tag will send signals to sensors that help track children’s whereabouts, attendance and even whether they’ve eaten or not.

School officials say it will free up teachers and administrators who previously had to note on paper files when a child was absent or had eaten.

Sung Kim of the county’s employment and human services department said the system could save thousands of hours of staff time and pay for itself within a year.

It cost $50,000 and was paid by a federal grant.

Mao, det viktiga är att spara pengar, och det verkar inte finnas några tankar om problem med tekniken. Undrar varför dom inte inför det på alla ställen i kommunen, exempelvis för skolpersonal och kommunens HR-avdelning…

Och när det väl uppdagas problem så blundar man istället. The Local rapporterar om en undersökning av de nya RFID-utrustade ID-korten i Tyskland.

Ett nytt, Tyskt ID-kort.
Ett av de nya ID-korten i Tyskland som innehåller ett RFID-chip.

Dom nya ID-korten innehåller ett RFID-chip som bland annat lagrar fingeravtryck från två fingrar. Ett TV-program anlitade kända hacker-gruppen Chaos Communcation Club (CCC) för att testa säkerheten hos kortet. CCC lyckades extrahera information från korten. Men när de ansvariga ställdes inför faktum förnekade man att det ändå var möjligt:


In an interview with the show, Interior Minister Thomas de Maizière said he saw no immediate reason to act on the alleged security issue.

Meanwhile on Tuesday the Federal Office for Information Security (BSI) rejected the Plusminus’ criticism of the new ID card. The agency’s personal identification expert Jens Bender said the card was secure

Rätt skrämmande, inte minst för att det nya systemet är tänkt att användas för kommunikation med myndigheter, dvs det kommer att krävas ett RFID-utrustat kort för att komma åt tjänster som du som medborgare har behov av. Det blir därmed svårt att avstå från systemet. Det skall gå att istället använda en sexsiffrig PIN-kod, men frågan är hur länge det accepteras.

En liten titt på Evernote

June 1st, 2010

Evernote är en väldigt nifty och snygg molntjänst för att hantera anteckningar.

Evernote logo

Med inbyggt stöd för att identifiera text i bilder, snygga till figurer, kopplingar till andra tjänster är det mycket jag gillar med Evernote. Och att döma av kommentarer från de som använder Evernote verkar jag inte vara den enda och att tjänsten faktiskt fungerar. Eftersom det är en molntjänst går det dessutom att komma åt alla sin insamlade information via klienter på mobil, dator, webbläsare etc.

Evernote på iPhone.

Tyvärr måste jag dock, för att citera Tony Irving säga: Men….Kolla in användarvillkoren (Terms of Service) för Evernote:


by using the Service and posting Content, you grant Evernote a license to display, perform and distribute your Content, and to modify and reproduce such Content to enable Evernote to operate and promote the Service. (You also agree that Evernote has the right to elect not to accept, post, store, display, publish or transmit any Content in our sole discretion.)

You agree that these rights and licenses are royalty free, irrevocable and worldwide, and include a right for Evernote to make such Content available to, and pass these rights along to, others with whom Evernote has contractual relationships related to the provision of the Evernote Service, solely for the purpose of providing such services, and to otherwise permit access to your Content to third parties if Evernote determines such access is necessary to comply with its legal obligations.

Jösses, man blir lite tveksam till att använda Evernote – även om det som sagt är en väldigt nifty tjänst.

Köp datorspel – sälj din själ

April 18th, 2010

Fox News rapporterar att en brittisk återförsäljare lagt beslag på 7500 kunders själar.

Sälj din själ.

Enligt artikeln hade återförsäljaren GameStation lagt in en klausul i sitt avtal om att kunderna vid köp av ett spel även skrev bort sin juridiska rätt till sin själ. Stycket i avtalet löd:


“By placing an order via this Web site on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant Us a non transferable option to claim, for now and for ever more, your immortal soul. Should We wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamesation.co.uk or one of its duly authorised minions.”
...
“we reserve the right to serve such notice in 6 (six) foot high letters of fire, however we can accept no liability for any loss or damage caused by such an act. If you a) do not believe you have an immortal soul, b) have already given it to another party, or c) do not wish to grant Us such a license, please click the link below to nullify this sub-clause and proceed with your transaction.”

Avtaltstexten lades in som ett första april-skämt, men GameStation vill även visa på en viktig poäng – folk läser inte avtalen de godkänner. GameStation kommer att skicka ut brev till sina kunder där sektionen i avtalet tas bort.

Det stora bekymret med den här typen av avtal är att det är så långa och krångliga att det som vanlig dödlig, icke-jurist knappast klarar av att läsa och begripa implikationerna (även om man nog fattat GameStations avtalstext). När Apple uppdaterade avtalet för iTunes för iPhone fick jag upp ett dokument på telefonen på 75(!) sidor att läsa igenom. I stort sett en DoS-attack på sina kunder att skicka ut en sådan text. Även Facebook, Google m.fl. har fått kritik för sina långa avtal.

I sammanhanget tycker jag att det arbete Alan Siegel gjort och som han presenterade på TED är helt rätt:

Översikt över övervakningslagar

March 29th, 2010

Opassande har en mycket bra och tyvärr rätt skrämmande översikt över de lagar som berör övervakning som införts eller är på väg att införas i sverige. Det är faktiskt rätt hemskt att se hur många saker som kommit på bara några få år. Från hemlig avlyssning till hantering av överskottsinformation, hemlig dataavläsning och ändrade syften med register.

Ett motmedel som Opassande själv funderar på är att kanske göra en digital full monty och bli helt transparent. Intressant tanke.

ACTA har läkt ut

March 24th, 2010

ACTA - Anti-Counterfeiting Trade Agreement, det stora, internationella avtalet om immateriella rättigheter som förhandlas fram bakom stängda dörrar har läkt ut. På The Pirate Bay finns just nu en torrent för att ladda hem avtalet.

TPB - ACTA-gubbe

Michael Geist är en person som är i full färd med att analysera ACTA-avtalet och bloggar om vad han hittar samt nyheter om ACTA.

Michael Geist
Michael Geist

Kolla in Michaels blogg, väl värd att läsa.

FriBID – fri BankID

March 22nd, 2010

FriBID är ett projekt som utvecklar fri programvara för BankID i sverige.

FriBID logga

Ur ett rent säkerhetsperspektiv är öppenhet att föredra och därför tycker jag att FriBID är ett kanonbra projekt värd all uppmärksamhet.

Integritet på nätet med Microsofts U-Prove

March 4th, 2010

Svenska Microsofts blogg On the Issues berättar om en ny teknik för att skydda användares integritet på nätet kallad U-Prove. Microsofts Daniel Akenine skriver:


Gammal visdom säger dig att om du vill ha en ökad säkerhet så måste du vara beredd offra en del av din integritet.
...
2004 introducerade forskaren Stefan Brands en process kallad U-prove för att adressera denna utmaning och 2008 köpte Microsoft upp denna teknologi. Stefan och hans medarbetare har sedan dess arbetat för att integrera idéerna i Microsofts teknologier och idag kan vi börja se resultatet av deras arbete.
...
Tankarna kring att i varje situation veta precis så mycket som krävs för att utföra en uppgift men inte mer kommer ifrån militärt tänkande där risken för läckande information kan innebära att faran ökar för en operation. Samma principer gäller även på Internet där du sprider (ofta omedvetet) mängder med information om dig själv i sammanhang där de fastnar och senare kan utnyttjas i andra syften.

U-prove är en teknologi för att kunna skapa sådana fungerande scenarier och säkerställa att man inte röjer mer information än nödvändigt. Jag har följt U-prove teknologin i flera år och det är roligt att nu kunna annonsera ut att vi nu öppnar upp allt intellektuellt kapital som är associerat till U-prove och släpper det under Microsoft Open Specifikation Promise . Vi släpper samtidigt två stycken bibliotek som öppen källkod under båda Java och C# så att utvecklare kan börja använda denna teknologi på riktigt.

Låter som en mycket bra teknik. För den som vill veta mer och testa finns det mer info på U-Proves sida.

SITIC föreslås flyttas till MSB

February 2nd, 2010

(Länk till förslag korrigerad, tack Erik.)

Enligt ett utredningsförslag som presenterades igår föreslås SITIC - Sveriges IT-incidentcentrum flyttas från Post och Telestyrelsen (PTS) till Myndigheten för samhällsskydd och beredskap (många förkortningar blir det).

Jag har inte läst förslaget i detalj. Men jag har fått uppfattningen att SITIC aldrig fått en bra roll, och att detta kan bero på PTSs roll i förhållande till marknadens aktörer så väl som andra myndigheter. Förhoppningsvis innebär en flytt till MSB att SITICs kompetens och erfarenhet kommer bättre till nytta.

kränkt.se – Irriterande (men egentligen bra) webbplats

January 31st, 2010

(Städat och lagt till en del saker till postningen sedan i jag postade den.)

Datainspektionen har startat en ny webbplats som fått viss uppmärksamhet: kränkt.se.

När jag först kollade på sidan blev jag riktigt irriterad, inte minst på de svepande beskrivningarna av vad en kränkning är:

Har du blivit oschysst behandlad på nätet? Är det någon som har skrivit något nedsättande om dig på ett forum eller kanske lagt upp en bild på dig som du inte vill att andra ska se? Eller är du förälder till ett barn som råkat ut för något liknande?

Den här webbplatsen är till för dig som känner att du blivit oschysst behandlad på Internet. Här får du råd om vad du kan göra för att lösa problemet.

Men jössessnällenån, om någon är lite oschysst och taskig, är det då en kränkning? Varför börjar jag direkt tänka på vad Johan Hakelius, David Eberhard och Ann Heberlein har skrivit? Borde ex inte Tomas Ros anse att han blivit kränkt av Robert Laul som kallat honom lipsill! (Lite roligt att muskelbiffen Laul använder tillmälet lipsill – något man tog till på lågstadiet när man var arg och ville vara elak.)

Lipsillmannen Robert Laul.
Lipsillmannen Robert Laul

Börjar man sedan titta lite mer på webbplatsen tycker jag dock att det finns en hel del bra och tänkvärt. För den som anser sig kränkt finns bra instruktioner på hur du kan försöka agera för att få bort det du tycker kränker dig.

En kanske viktigare sida är dock den om hur du undviker att kränka andra. I grund och botten handlar det om etik – med hänvisning till pressetiska regler (har Robert Laul läst dom?). Skriver man på nätet kan det iaf vara bra att läsa igenom och fundera på den typen av regler – även om de juridiskt inte gäller. Bara för att man kan skriva vad som helst behöver man inte göra det. En regel jag lärt mig är: Känns det fel i magen så är det ingen bra idé.

Och bara för att vara tydlig: Integritetskränkningar är ett reellt problem (ex Sydsvenskans oturliga uthängning av en oskyldig person), inget jag skrattar åt och allvarligt. Men allmän dumhet, klumpighet och missförstånd kommer alltid att finnas och text ofta ett trubbigt verktyg. Vidare kan sociala tjänster som Facebook där vänskap är binär (antingen är man vän eller inte) kan relationer bli övertydliga och skapa konflikter. Att inte få vara kompis med någon på nätet kanske dumt, men inte ett skäl att vara kränkt.

Sedan är det inte alltid lätt att veta vad andra kan uppfatta som kränkande – det verkar nästan finnas en person som tar illa vid sig oavsett vad någon gör eller skrivert. Att jag ex postar om attacker på kryptot kan tydligen vara provocerande och kränkande. Då är det kanske tur att kränkt.se finns.

BTW: Om ni känner er kränkta av något jag skriver på bloggen, skriv en kommentar eller kontakta mig direkt.