Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
IT och integritet » Kryptoblog

Archive for the ‘IT och integritet’ category

Är det inte dags för IT-sec-krav för finansiella aktörer?

January 28th, 2010

I morse besökte jag webbplatsen för Nordstaden, en försäkringsmäklare godkänd av Finansinspektionen att hantera finansiella instrument – att sköta folks pengar. Och hoppsan, plötsligt ville webbplatsen sparka igång en applet och få access till min maskin. Hur pålitlig är den då? Så här:

Skärmdump Nordstaden.
Självsignerat certifikat, som dessutom har gått ut!

Försöker jag sedan logga in på deras kundinloggning hamnar jag raskt på en annan domän (netfield.se). Inte pratar den inte HTTPS heller, försöker man få till säker kommunikation sparkar servern bakut. Jösses.

Nordstaden är tyvärr inte det enda exemplet på en finansiell aktör som inte tar sina kunders säkerhet på allvar. Borde det inte vara dags att någon -började ställa krav på hur aktörerna säkrar upp sin elektroniska verksamhett – varför inte Finansinspektionen? Å andra sidan svarar inte Finansinspektionen på HTTP (iad inte just nu), men det är säkert dom och inte en bluffsajt…

Skall vi på allvar bygga ett elektroniskt samhälle på nätet med 24h-myndighet, e-handel, e-faktura, e-legitimation och finansiella transaktioner måste det bli lite ordning på torpet. 2010 känns som hög tid att få detta på plats.

Schneier skriver om Google-intrånget

January 24th, 2010

Bruce Schneier har skrivit en klart läsvärd och tankvärd essä om det kinesiska intrånget på Google. Schneier skriver:


China’s hackers subverted the access system Google put in place to comply with U.S. intercept orders. Why does anyone think criminals won’t be able to use the same system to steal bank account and credit card information, use it to launch other attacks or turn it into a massive spam-sending network? Why does anyone think that only authorized law enforcement can mine collected Internet data or eavesdrop on phone and IM conversations?

På debattpanelen tidigare i veckan var en av de saker vi diskuterade just hur jurisdiktion i olika länder påverkar säkerheten hos molntjänster, och är ett av de svåraste problemen med moln.

DN-chatt om FRA-lagen med Mark Klamberg

October 13th, 2009

På DN har det varit en ypperlig chatt med Mark Klamberg om den modifierade FRA-lagen som Riksdagen skall besluta om i morgon.

Mark Klamberg
Mark Klamberg

Mark Klamberg, doktorand i folkrätt vid Stockholms universitet är som vanligt lysande och väl värd att läsa. Och hör sedan av dig till din riksdagledamot.

Uppdatering: DN hade även en chatt med Sten Tolgfors i frågan. Kan vara värd att läsa och jämföra med Mark Klambergs svar.

Bevaka en kamera – vinn fina priser

October 11th, 2009

Det finns många problem med övervakningskameror. Ett problem är att det helt enkelt inte finns någon som tittar på det kameran fångar på bild. Enligt en postning på Boingboing finns det fyra miljoner kameror i England, men bara en tusendel av dessa övervakas egentligen. och detta har en glad företagare i England tagit fasta på.

CCTV

Företaget Internet Eyes erbjuder vem som helst att bli övervakare. Om du ser ett brott begås och larmar kan du vinna fina priser. Har du en övervakningskamera (CCTV) och vill få den övervakad kostar det 20 GBP per vecka. Bli en övervakande lillebror och tävla samtidigt – fint.

Övervakningsprogram säljer insamlad information

September 8th, 2009

AP har en artikel om hur företaget EchoMetrix, som tillhandahåller verktyg för att låtar föräldrar övervaka vad sina barn gör på nätet, även tillhandahåller den insamlade informationen som statistik. Att det finns en massa intressant (värdefull) marknadsinformation att fiska ut ur den trafik man är satt att övervaka. Men att man inte inser att man gravt fallerar i sitt uppdrag om man utnyttjar sin situation på detta sätt är skrämmande.

Jag var redan tveksam till den här typen av verktyg och APs artikel spär helt klart på min skepsis. Som förälder är det svårt att alltid hinna med och se vad ditt barn gör. Men att använda den här typen av övervakningsprogram och tjänst – du avhänder dig ditt ansvar till ett företag och kan som EchoMetrix leda till hot mot ditt barns integritet på nätet. Ett tips är att kolla in webbplatsen skyddadittbarn.nu och boken Skydda ditt barn på Internet av Per Hellqvist och Dag Öhrlund.

Boken Skydda ditt barn på Internet.

Per och Dag har några bra tips till föräldrar väl värda att läsa:

Göran Marby ny GD på PTS

September 3rd, 2009

Regeringen har idag meddelat att Göran Marby utses till Generaldirektör för Post- och Telestyrelsen (PTS).

Göran har tidigare arbetat på Cisco, Unisource, Telia Sonera, Cygate och senast som VD på det Göteborgsbaserade säkerhetsföretaget AppGate.

En GD på PTS som genuint kan data- och telekom samt IT-säkerhet? Inte illa.

Leverantören av digitala pass i konkurs

March 16th, 2009

Elektroniktidningen hade en nyhet för några veckor sedan om att företaget Smarticware gått i konkurs. Smarticware är företaget som lett utvecklingen av EU-passen med RFID-kretsar för digital lagring av information.

I artikeln förklarar Smarticwares VD Omid Aval vad som orsakade konkursen:

– Vi fick inget gehör hos riskkapitalbolagen. Och när min nya revisor dessutom slarvade med att rapportera ordentligt så gick bolaget i konkurs, och det var ingen ide att försöka rätta till det. Men vi har inga skulder, säger Omid Aval.

Amid Aval.
Amid Aval, VD på Smarticware.

Svårt att säga om det finns några säkerhetsmässiga aspekter på konkursen. Men det står inget i artikeln om vad som händer bolaget (blir det en rekonstruktion, eller läggs det ner?) och om det finns känslig information som i och med detta riskerar att halka iväg på avvägar.

Remissvar på FRA-lagen

February 21st, 2009

Det har börjat dyka upp remissvar på lagförslaget till FRA-lagen.

Säkerhets- och integritetsskyddsnämnden är en statlig myndighet som inrättades den 1 januari 2008. Nämnden har till uppgift att med inspektioner och andra undersökningar utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel. Nämnden skall även på begäran av enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel eller har varit föremål för Säkerhetspolisens personuppgiftsbehandling och om tvångsmedelsanvändningen och därmed sammanhängande verksamhet eller personuppgiftsbehandlingen har skett i enlighet med lag eller annan författning.

I sitt remissvar skriver nämnden bland annat att:


Säkerhets- och integritetsskyddsnämnden ifrågasätter om de säkerhetspolitiska konsekvenserna av förslaget har beaktats tillfredsställande. Bland de länder vi från svensk sida vill jämföra oss med bedrivs naturligen underrättelseverksamhet avseende hot i syfte att de inhämtade underrättelserna ska kunna bilda beslutsunderlag för de myndigheter som har getts till uppgift att möta upptäckta hot. Det är med andra ord intresset av att skydda rikets och enskildas säkerhet som är själva anledningen till att underrättelseverksamheten behövs och har inrättats.

Förslaget innebär dock tvärtom att möjligheten att vidta konkreta säkerhetsåtgärder till skydd för rikets och enskildas säkerhet försvagas.
...
...
Säkerhets- och integritetsskyddsnämnden ifrågasätter av flera skäl förslaget att
inrätta en specialdomstol av angivet slag.

Till en början kan det ifrågasättas om en domstol med en enda ordinarie domare som utses av regeringen och vars beslut inte kan överklagas kan anses utgöra en oberoende domstol, inte minst ur ett europakonventionsperspektiv.

Det skulle kunna hävdas bland annat att regeringen härigenom får möjlighet att bestämma vem som ska handlägga de integritetskänsliga frågorna om tillstånd till signalspaning. En annan risk med en specialdomstol är att en sådan efter en tid kan bli så nära förbunden med verksamheten att dess självständiga prövning av tillståndsfrågan kan komma att ifrågasättas. Av dessa skäl anser nämnden att lösningen med en specialdomstol inte bör komma i fråga.

För den som är intresserad finns nämndens hela remissvar att läsa här.

Enligt en notis i GP har även Hovrätten i Skåne och Blekinges län skrivit ett kritiskt remissvar. Dock hittar jag inte det på rättens webbplats.

Ny Teknik rapporterar att föreningen Swedish Network Users’ Society (SNUS) skrivit ett remissvar. I sitt svar är man mycket kritisk till lagförslaget. Stefan Görling, sekreterare i SNUS säger:


Många svenskar kommer att avlyssnas eftersom förbudet mot att avlyssna trafik som passerar inom Sverige blir tekniskt svårt att uppfylla… Mest problematiskt är att politikerna tror att man kan sortera trafiken väldigt enkelt, och utesluta inrikestrafiken. Men det går inte.

Stefan Görlingh.
Stefan Görling, sekreterare i SNUS.

SNUS har även tagit fram ett exempel på hur mailtrafik mellan personer i Sverige kan passera gränsen flera gånger och därmed bli föremål för avlyssning.

Mailtrafik som far fram å tebax över gränsen.

För den som är inttresserad finns här SNUS remissvar i sin helhet.

Stefan Görling har även publicerat ett par böcker som går att ladda hem via Bittorrent. En torrent för boken Nätverksneutralitet finns att hämta hem från The Pirate Bay. Stefan skriver i sin förklaring:


Den 21 april 2008 samlades ett 50-tal personer på KTH i Stockholm för att diskutera hur den i USA aktuella frågan kring nätverksneutralitet kommer att beröra oss här i Sverige.

Med intressanta personer både som talare och i publiken blev det en mycket spännande eftermiddag på många sätt. Om inte annat var vetegräsdrinkarna som serverades under en bensträckare “spännande”.

De anföranden som hölls spelades in, renskrevs och godkändes av de olika talarna. Texten har redigerats för ökad läsbarhet men med ambition att behålla känslan just av ett anförande.

Vår tanke är att boken inte bara ska finns kvar som en referens till vad som diskuterats tidigare, utan även vara ett verktyg i fortsatta resonemang kring frågan nätverksneutralitet.

Eftersom nätverksneutralitet utgör en mångfacetterad och i stor utsträckning diffust definierad fråga försökte vi samla talare med olika kunskapsperspektiv för att belysa frågan från flera håll och diskutera vad det egentligen är vi pratar om. Vårt primära mål var alltså inte att besvara konkreta frågeställningar, utan att resonera kring rimliga ramar att föra fortsatt diskussion inom.

Mer information: http://www.teldok.se/seminarier/natverksneutralitet/presentationer

Nätverksneutralitet har inte direkt med signalspaningslagen att göra, men handlar om ett annat problem som kan sägas följas av ett allt mer reglerat, kontrollerat och övervakat Internet (anser iaf jag.)

Datainspektionen om integritetesåret 2008

February 6th, 2009

Datainspektionen har släppt en mycket intressant och tyvärr ganska skrämmande rapport om de lagförsförslag under 2008 som påverkade den personliga integriteten.

I rapporten Integritetsåret 2008 (pdf) beskriver inspektionen de inte mindre än 20 olika lagförslag som på olika sätt påverkade den personliga integriteten. Inspektionen skriver i sin pressrelease att:


Ipred-lagen , trafikdatalagringsdirektivet och FRA-lagen var bara tre av de lagförslag som påverkade den personliga integriteten under 2008.

I en unik sammanställning redogör Datainspektionen för över 20 sådana lagförslag. ”Integritetsåret 2008” beskriver även några av Datainspektionens mest uppmärksammade beslut under förra året och ger exempel på några av de nya teknologier som kommit att påverka den personliga integriteten.

– Det här är första gången som Datainspektionen tar fram den här typen av redogörelse, säger Datainspektionens generaldirektör Göran Gräslund.

En av tankarna med ”Integritetsåret 2008” är att väcka frågor som: Hur påverkas den personliga integriteten inte bara av ett visst lagförslag utan av alla lagar och föreslagna lagar tillsammans? Vilket blir det samlade ”trycket” mot den personliga integriteten när man väger samman alla stora myndighetsregister och hur dessa utbyter information? Hur mycket mindre blir den fredade zon vi alla har rätt till när nya tekniker som GPS och RFID används för att övervaka oss på allt fler sätt?

Datainspektionens GD Göran Gräslund.
Datainspektionens GD Göran Gräslund.

Frågan Göran Gräslund ställer är mycket viktig, och bristen på helhetssyn blir tydlig när man läser den i många fall skrämmande rapporten. Därför är den här rapporten viktig och väl värd att läsa.

Datainspektionens rapport tar även upp de förslag som kommit under 2008 på EU-nivå, och på EU-nivå finns det redan fler förslag. Telekompaketet och IPRED2 är några exempel.

För ett drygt år sedan skrev jag om Lars Ilshammars utmärkta rapport När datorerna blev farliga som behandlar synen på datorer och databehandling förändrades under 60-70-talet och den personliga integriteten verkligen debatterades. Kontrasten i synsätt hos politikerna då och 2008 så som den beskrivs i Datainspektionens rapport är väldigt tydlig. Hemskt tydlig.

En sak inspektionen tar upp i sin rapport är hur personuppgifter skall skyddas. En vinkling på den frågan är den om rätten att vara anonym. Erik Josefsson har ställt en i mitt tycke viktig fråga om anonymiseringstjänster till kommissionen. Josefsson skriver:


Behovet av pålitliga system för anonym uppgiftslämning har uppmärksammats i samband med rättegångar som avser grova brottmål[1] och ekobrottslighet [2]. Stora värden kan gå förlorade om vanliga medborgare inte vågar ta kontakt med journalister eller polis [3]. Utvecklingen av elektroniska anonymiseringstjänster har kommit långt i Sverige. De används både av privatpersoner och företag, både på Internet och i intranät, för både privata och kommersiella ändamål.

1. Avser kommissionen lägga förslag som förbjuder sådana tjänster inom vissa områden?

2. Anser kommissionen att enskilda medlemsländer har rätt att förbjuda sådana tjänster?

3. Anser kommissionen att rätten till elektronisk anonymitet är eller bör garanteras på i EU-nivå?

[1] Polisen varnar för ny Bandidos-etablering i Västerås http://www.vlt.se/artikelmall.asp?version=530104

[2] Bank Julius Baer vs. Wikileaks http://wikileaks.org/wiki/Bank_Julius_Baer_vs._Wikileaks

[3] 1995 Supreme Court ruling in McIntyre v. Ohio Elections Commission:

Protections for anonymous speech are vital to democratic discourse. Allowing dissenters to shield their identities frees them to express critical, minority views . . . Anonymity is a shield from the tyranny of the majority. . . . It thus exemplifies the purpose behind the Bill of Rights, and of the First Amendment in particular: to protect unpopular individuals from retaliation . . . at the hand of an intolerant society.

Att kunna vara anonym är extremt viktigt för att den bevakning av makten som sker av journalister skall kunna fungera. Men även i vardagen är det viktigt att vi själva kan välja att vara anonyma, att inte behöva legitimera sig i onödan. Att ha ett privatliv.

Behöver det ex finnas spårbarhet över alla skumbananer jag köper ca 17:45 vid Svingelns hållplats?

Tor VM, en virtuell Tor-proxy

December 4th, 2008

För några veckor sedan dök det upp en blänkare på Cryptography om ett nytt verktyg – Tor VM.

Tor VM logo.

Tor VM är en transparent proxy för att köra DNS och TCP-trafik genom anonymiseringsnätverket. Men i stället för att ansluta direkt till Tor körs trafiken via proxyn som snurrar i en virtiuell maskin. Vitsen med detta förfarande är enligt Tor VM:s sida:


The major advantage of running Tor VM is the protection you get from IP disclosure attacks that could leak your true IP address.

Du kan bygga Tor VM från källkoden, och det finns färdiga paket för att köra Tor VM fristående. Det finns dessutom färdiga ISO-filer som går att köra i VMware Player.

Tor VM påpekar dock att Tor är en anonymiserat nätverk, men att trafiken i sig inte är skyddad:


Tor VM will not protect you from leaking personal information while in use; please take caution in protecting your personal identity and information by not sending it across the Tor network. The use of encryption (HTTPS) whenever possible is highly recommended.