Archive for the ‘norsk’ Category

Din sikkerhet og datalagring

Monday, December 27th, 2010

Det er en stund siden jeg tok taxi – tror jeg – og det er kanskje derfor jeg ble svært overrasket når jeg satt meg inn i en taxi her om dagen og oppdaget at den er videoovervåket! Endringen må ha skjedd så og si over natta her i Oslo, og nå kan du knapt finne en uovervåket bil til tross for at video-overvåknings-ordningen er valgfri for sjåførene. Nåja sier jeg, den er nok ikke helt valgfri, det er bileieren som velger å overvåke bilen – sjåføren velger ikke om det skal overvåkes, og passasjeren aller minst. Videoovervåking er bra svarer sjåføren, de som ikke gjør noe galt har ikke noe å frykte.

storebror ser deg
Jeg tror det er nettop de som ikke har gjort noe galt som har mest å frykte. Taxi-sjåfører lever allerede i en verden der hele arbeidsdagen deres blir overvåket. Hva synes du om at nettop din arbeidsplass videoovervåkes? På kontoret, sykehuset, i butikken? Hva med i bilen din, på skolen eller i barnehagen? (For øvrig skjer dette allerede). Når kommer vi til å “frivillig” sette kamera i hjemmet, for å koble dem til videosentraler der menn betales for å sitte hele dagen og hele natta og stirre på skjermer?

Hvor er all dokumentasjonen som sier at vi blir tryggere av alle disse kameraene? Er det bare undersøkelser som er sponset av sikkerhetsfirmaer som tjener godt på den økte mistilliten, eller er det noen uavhengige sikkerhetseksperter som har uttalt seg?

Svaret er selvfølgelig at sikkerhetseksperter har uttalt seg, eksperter med millitær bakgrunn såvel som politimyndigheter og påtalesmakter, og det har også jurister og etterforskere av volds- og pedofili-saker, og det viser seg at ekspertene er enige i at økt overvåkning ikke vil føre til flere oppklarte saker, og at det tvert imot vil føre til at vi som blir overvåket gir opp vårt privatliv, ergo vår personlige sikkerhet blir med ett utslettet av at alt vi foretar oss blir logget og sporet.

Kriminelle trenger ikke å bry seg om personvern, om overvåkning og om hva som er rett og galt – de kan stjele identiteter, skjule seg bak falske adresser, kontonummre og proxy servere. Kriminelle kan stjele mobiltelefoner og kaste dem etter bruk, eller de kan som alle andre, bruke krypterte forbindelser og anonymiseringstjenester. Det krever litt ekstra kompetanse, men kriminelle har ekstra incentiv. Derfor vil ikke datalagringsdirektivet få has på kriminelle: ikke bare er direktivet rent teknisk bak mål, men grunntanken bak at økt overvåkning reduserer kriminalitet og øker oppklaringsevnen – er feil!

Nå vil jeg nevne at jeg har fulgt utviklingen av saken om Datalagringsdirektivet med stor interesse siden jeg hørte om forslaget et par år siden. Derfor tok jeg meg en tur til Rosenkrantzgate når det var DLD seminar i november. Her trekker jeg fritt paralleller til videoovervåkning selv om det dreier seg om mye mere: det dreier seg om geografisk sporing av deg og meg via posisjonssensor på mobilen, og det dreier seg om kartlegging av alle personer du har kontakt med noensinne over epost, telefon, SMS og sosiale medier.

Spesielt interessant har det vært å høre om implementasjon av det tilsvarende EU-direktivet i forskjellige land i Europa, og hvordan leverandører av kommunikasjonstjenester forholder seg til direktivet her hjemme. På seminaret stod sikkerhetssjefen i Tele2 frem og fortalte at de pr i dag lagret noe informasjon i 3 til 5 måneder av hensyn til faktureringsspørsmål, og her har det alltid vært snakk om hvor fort de kan slette informasjonen for å begrense resurssbruket. Datalagring vil føre til en regimeendring, sier han, der de må opprette og drifte en egen datalagringsbase i tilfelle myndighetene skulle trenge informasjonen.

Allerede nå har det vært tilfeller der myndigheter uten fullmakt til slik informasjon har prøvd å få tak i telefonlogger og fakturaer og lykkest i flere tilfeller på grunn av at personer ansvarlige for informasjonen ikke er sikre på hvordan de skal forholde seg til forespørslene.

Synes du at NAV skal få tilgang til fakturaene dine når de behandler en søknad fra deg? Hva med fullstendig kart over hvor du har vært de siste 5 årene? Hvis ja, hvem andre bør få tilgang når du selv ikke har innsyn?

Pressen vil værne kilder selv om de utsettes for press på å utlevere kildene sine. Menneskerettsdomstoler krever tillit til kildeværn. Verktøyet (datalagring) blir fort misbrukt, og det må settes begrensninger for ellers vil det bli misbrukt! Det kan dreie seg om utilsiktet oppdagelse av identiteten til kilder.

Påtalemyndighet som jobbet i narkosaker var med på DLD seminar og forklarte at hun har brukt lagret data i etterforskning. Hennes konklusjon var at vi må tåle noe kriminalitet, ellers lever vi i en politistat! Det er politisk vanskelig å si nei pga EU/EØS, men dette dreier seg om paradigmeskifte som snur vitnesbyrde opp ned. Redd et barn fra Helga Pedersen! Problemet er når vi ikke har mistenkte. Skal vi sitte og søke etter mistenkte?

Når vi trår inn i Orwells styggeste fantasi, skal vi da gi individuell tilgang til data? Skal vi åpne for at det finnes noen anonyme samtaler, for eksempel kilder til journalister eller hjelpelinjer for voldtektsofre? Hvordan skal vi sortere og analysere dataen, og hvor lenge? Straks vi setter igang lagring blir det vanskelig å bli kvitt dataene, og vanskelig å holde styr på lovendringer og tilganger, de som forvalter dataene, altså telefon og data-tilbydere, har ikke kapasitet eller kompetanse til å lagre dataen forsvarlig.

EU-direktivet sier at hver medlemsstat kan trekke seg fra datalagring hvis de kan begrunne hvorfor – og Romania og Tyskland har sagt nei fordi det strider mot grunnloven!

Hvis du tilfeldigvis befinner deg 100 meter fra stortinget idet en voldelig demonstrasjon pågår, og denne informasjonen blir lagret, hvor lenge tror du du må forklare deg for å slippe å bli implisert i volden? Norsk politi har allerede brukt posisjonsdata for å kalle inn til avhør 100 mennesker som var i nærheten av en kriminell hendelse. Glimrende politiarbeid, vil jeg si!

Om en kjent kriminell ringer opp en kjent og kjær politiker som Storberget og legger på idet den andre tar telefonen, og samtalen blir logget vil da Storberget kunne assossieres med kriminelle og kalles inn til avhør basert på mistanke. Lekker saken om innkalling til avhør er politikerens karriære over uansett om han var skyldig i noe eller ei.

Der ble meg fortalt en søt men sann historie fra USA, der myndighetene i en liten delstat på landet vant en stor pengepremie som de skulle bruke på å øke sikkerheten i delstaten. De brukte pengene på å sikre demninger i delstaten, og når sikkerhetsfolk kom på besøk og spurte dem hvorfor delstatskontoret var åpent og usikret forklarte senator i delstaten at hvis det er noen som vil ha ham til livs, får de bare komme og skyte ham nårsomhelst. Han var mere opptatt av sikkerheten til folket sitt, og den var best tjent ved å sikre mot flom og andre naturkatastrofer.

Det viser seg forøvrig, ved hjelp av de meget hjelpsomme cablegates, at i hvert fall ett lands datalagringslovgiving har blitt satt på den politiske agendaen med sterke føringer fra en ekstern supermakt. Hvem trenger å snakke om konspirasjonsteorier og paranoia, når vi har ekte konspirasjoner.

Siden en av oppgavene mine er nettopp sikkerhet og overvåking av nett tenkte jeg det verdifult å dele med deg mine erfaringer med datalagring og hvordan ditt privatliv vil bli direkte berørt av et lovforslag som er konstruert for å gi store gutter flere leketøy og inget annet. Dette oppå eksisterende lovgivning som tillater overvåkning av kriminelle.

… og vet du hva? Taxi-sjåføren visste heller ikke hvor kameraet var hen i bilen. 1984 ringte og vil ha tilbake storebror som alltid ser deg! Kanskje regjeringen burde komme seg på Facebook og “friend-e” alle så de kan følge med på hva som skjer?

politiet sliter

Tuesday, March 17th, 2009

Politiet sliter med datasystemene sine. En kollega har allerede nevnt saken. Det er skremmende men slett ikke overraskende. Det tar nok mer enn to uker før de får kontroll på viruset, spør du meg.

Jeg lurer på om vi på Redpill-Linpro ikke kunne hjulpet dem litt.
Gode forslag flyr rundt på kontoret:

Vi kunne brannvegget de så viruset ikke sprer seg. Vi kunne satt dem opp med tynnklienter og MultiFrame. Vi kunne fått orden på deres skrivbare shares med litt samba-magi. Vi kunne fått deres applikasjoner over på wine, eller virtualisert dem. Vi kunne stuntmigrert dem ved hjelp av noen usbnøkler og/eller litt PXE-foo – og så, ikke mere virus.

En ting er bra sikkert: det kommer til å ta dem ukesvis bare å få kontroll hvis de fortsetter med det nåværende systemet.. og de utsetter seg for at noe lignende skjer igjen og igjen og igjen.

Bonusen er at våre løsninger er åpen kildekode, så klart!