Oct 13, 2016

Keiserens nye klær - Det Digitale Grenseforsvaret og Samrøret sikkerhet


Maktkampen om Internet - Militarisering og nedbygging av liberale rettigheter - Del II 


(Tegning Rea)


Begrepet "Digitalt grenseforsvar" har like mye mening som å si at en skal rense luften som passerer landegrensen.
Så og si enhver aksess til informasjon via internet eller bruk av tjenester på nettet vil medføre (lande)grenseoverskridende transaksjoner.

Internet er globalt i ordets reelle betydning. Tross dette har vi mange politiske globaliser som ønsker å nasjonalisere nettet. Lokale, nasjonale eller regionale regler, påbud og forbud både i form av lovgivning og av inngrep i internest infrastruktur som kan være teknologisk skadelig og kontraproduktivt.

I Europa har visse politikere beundret The Great Firewall, som vi kaller Kina's "digitale grenseforsvar".
I forbindelse med et (hemmelig) møte i Council of the European Union’s Law
Enforcement Work Party (LEWP) ble det foreslått en skisse for the “Great Firewall of Europe” (2011). Angivelig for "sikkert europeisk cyberspace" mot "illicit" innhold, terror etc. ...
Forslaget ble slaktet så snart det nådde dagslys.

For å gjøre historien kort, da det viste seg å gå dårlig med datalagringsdirektivet (DLD), forsøker å flytte overvåking over til den militære sone - dit hvor borgerne ikke har innsyn grunnet Rikets Sikkerhet.
Samtidig får en flyttet enhver mulighet for tilsyn og ettersyn bort fra offentligheten og offentlig kritikk.
Med Snowden så ble  det - i praksis - ansett stuerent at Staten skal ha innsyn i borgernes liv - om en bare legaliserer dette.
Og det er hva som er i ferd med å skje nå.
At Staten skal tjene borgerne versus å betrakte dem som ansatte de skal managere via BigData og tastetrykk, er glemt.
New Public DataSecurity må vel være mere effektivt enn New Pubilc Management?
Hva dette koster både økonomisk, menneskerettslig og demokratisk, har ingen analysert.
I stedet er det skissert opp noen anekdoter. Eller usecases, som vi kaller dette.

Lysne II-utvalgets anbefalte "Digital grenseforsvar" inneholder  scenario som skal illustrere behovet for at Staten har sensorer i nettet. (Sensor kan her betraktes som "Deep Packet Inspection/DPI", eller spionvare, eller SIGINT -  som, sentralt, skal lagre IP-adresser og uspesifiserte metadata, tidvis også innholdsdata).
Tanken er at data utveksles mellom land (når nødvendig), og at Grenseforsvaret skal kunne gå tilbake i lagrede IP-adresser/metadata/innhold for å identifisere hvor en transaksjon (angrep) kommer fra.

Scenariet baseres seg på å søke etter IPadresse(r) for å identifisere hvor angriper (computer) befinner seg, osv. - samt identifisere fra lagrede metadata  (over måneder/år) hvilke (andre) systemer som kan være angrepet. For å kunne gjøre dette må en også utveksle data med andre lands e-tjenester.
Scenariet i sin helhet kan leses fra Lyse II-rapporten (side 72) - og konkluderer med at "Dette scenarioet synliggjør merverdien av Digitalt Grenseforsvar (DGF), og samspillet mellom DGF og sensorer utplassert i virksomhetene. "


Men der er mye som skurrer her, faglig sett.
For det første så er IP-adresse ferskvare. Dvs. den mister sin verdi under lagring (så lagringen er overflødig).
For det andre så er det ikke lengre gitt at en IP-adreese vil gi noe som helst.
Fordi:
I forbindelse med at IPv4-adresseområdet er nærmest "brukt opp" (kun Afrika har noe igjen) så har en utviklet nye metoder å (ut)nytte IP-adresser.
I praksis betyr dette at en IP-adresse ikke lengre identifiserer et endepunkt.
Metadata (IP-adresse, dato/tidsstempel, etc.) er kun en temporær identifikasjon, og kun for det korte tidsrommet transaksjonen varer.
Og om ikke dette er nok så kan en transaksjon skifte IPadresse mens transaksjonen pågår, og vil ikke være synlig for "Grenseforsvaret".
(Det er svært komplisert, men er kjent for de som har dette som fagområde)

Skal en ha sikkerhet, så må en faktisk implementere sikkerhet. Sensorene som foreslås er ikke sikkerhet, men er statlig overvåking.
En kan heller ikke politisk beslutte at staten har ekspertisen, en må faktisk forstå hva en foreslår.



Bedre var det ikke å lese "NOU 2016:19 Samhandling for sikkerhet"
Riktignok forekom ordet personvernet flere ganger (da dette veies et utall ganger mot "nasjonal sikkerhet"...) - og forfatterne hadde også "gjennomført en halvdags-konferanse for å få belyst problemstillinger knyttet til sikkerhet og personvern i en digital tidsalder."

Det kan også virke noe sært at Staten skal bestemme hvilke utstyr bedrifter skal bruke - i alle fall om en vet at spionvare (overvåkings muligheter) er innebygget i de produktene Staten vil (at alle skal) ha... (For spesielt interesserte kan en lese RFCer og dokumentasjon relatert hvordan dette gjøres).

Jeg har mange flere ankepunkter relatert dette forslaget - men dette som en kortversjon.
I første omgang så er det mye å spare på statsbudsjettet ved å ikke overføre arbeidsområder fra næringslivet over til Staten. Det fremkommer av forslaget, at bedriftene er ansvarlig for sikkerheten, mens staten skal ha aksess (og gratis opplæring).



At dette ruinerer personvernet, kildevernet og ethvert annet vern som den private sfære skal ha, tenker jeg ikke skrive om akkurat nå...


Å tro at alt er løst ved at EOS-utvalget kan overse hva som foreslås,  er som å tro at Gud kan se til at menneskene er snille.


Oppdatering:
Jeg leser at norske sikkerhetsmyndigheter selv skriver at dette foreslåtte ikke vil gi "mere robusthet" og omtaler det som overvåking.
Jeg kan slutte meg til det - dette er ikke datasikkerhet med (massiv) overvåkning.

Jeg undres hvorfor de som har skrevet/informert ikke har opplyst om at de "usecases" som nyttes av ikke holder vannet - de er teknisk faglig tøv.