Dec 20, 2012

God Jul 2012






Links med Nissefar og Rudolf: :

God Jul 2011
God Jul 2010

Gi en gave for Personvernet

Gi personvernet en gave til jul:



Du kan også betale over nettet, printe ut kvitteringen og laste ned tegninger du finner hos Digitalt Personvern. Sett sammen til en pent gavekort og gi til noen du er glad i.





God Jul 2012

Dec 2, 2012

Hvor er dataene fra 22.juli 2011 - "Bildebeviset"

Det kom tidlig frem at politiet lekket til pressen.
Eksempelvis tidspunktet for "rekonstruksjonen med Breivik på Utøya" og bildemateriale fra overvåkingskameraet som filmet øyeblikket da personer ble drept utenfor regjeringskvartalet. Selv husker jeg best bildene fra ABCnyheter september 2011. Data og bilder som ikke hadde vært kjent for bistandsadvokatene hadde blitt publisert i media. (Dette er bekreftet av statsadvokatene.)
Og lekkasje av den rettspsykiatriske rapporten, husker vel de fleste ...


"Bildebeviset" i media

I februar skrev media at politiet hadde bedt Oslo tingrett trekke tilbake oppnevnelsen av en bistandsadvokat etter mistanke om lekkasjer til mediene. Politiet mente fotoer i pressen opprinnelig hadde blitt utlevert denne bistandsadvokat. I følge politiet hadde de utlevert elektronisk sporbart materiale ved at samtlige bistandsadvokater fikk dokumenter med et unikt nummer representert med vannmerking av elektroniske bilder. Følgelig kunne de avlese det elektroniske vannmerket fra nettavisens bilder, og sjekke dette vannmerket mot hver enkelt bistandsadvokat.
I prinsippet høres dette greit ut, og det kunne ha vært så om politiet hadde nyttet en etterrettelig prosedyre, noe de beviselig ikke gjorde.

Forut for dette hadde bistandsadvokatene bedt om etterforskning av lekkasjer fra politiet. Saken ble henlagt, og mens en bistandsadvokat får bot for å (muligens kunne) ha lekket til pressen, så lekker politiet risikofritt.
Rapporten fra Spesialenheten bekrefter at politiet har lekket data. De omtalte data har vært tilgjengelig for svært mange personer (fra et perspektiv om datasikkerhet; omtrent på størrelse med en middels stor landsby) og saken henlegges.

Politi har også tilbudt salg av informasjon og etterforskes for mulig korrupsjon.


Produksjon av elektronisk sporbare feller (e-felle)

En kan lett forstå at planting av elektroniske feller kan være nyttige for å sikte seg inn mot kilder, i leting etter nålen i høystakken.
En må skille mellom metoder som elliminerer høystrå og metoder som identifiserer nålen.
Om en e-felle skal ha verdi som bevismateriale, må den garantere for autentitet og være etterprøvbar. En må kunne dokumentere hele prosessen for syklusen fra data inngår for produksjon av e-fellen og til den innhentes som "e-bevis".
Ved utlevering av data bør det være krav at der foreligge prosesser for behandling av innhentet data, registrering av disse, med sporings-mekanismer av videre dataflyt og behandling, kontroll med og logging av hvem som har aksess til dataene, hva dataene nyttes for - og en sikker, etterprøvbar kontroll av dataenes behandling gjennom hele syklusen, fra innhenting til sletting.
Tilsvarende som en krever revisjon av regnskap, må en kunne redegjøre for transaksjoner av data.
I beste fall har en her eliminert noen høystrå slik at en sitter igjen med noe mindre høystakk enn den opprinnelige. Det gjenstår mye etterforskning bl.a. relatert "bildebeviset" for å kunne, med rimelig overbevisende sannsynlighet, identifisere kilden til lekkasjen.

I verste fall dømmes feil person.

Jeg har lest de rapporter og dokumentasjon som foreligger offentlig tilgjengelig. Jeg sitter igjen med flere ubesvarte spørsmål enn svar.
Et tilfeldig eksempel: hvordan har det seg at pressen kunne ha upubliserte data 2 dager før "billedbeviset" dukket opp i media, men ventet med å publisere til bistandsadvokatene hadde fått sine CDer med upubliserte data?

Jeg ser dette fra en teknologisk ståsted, og anser politiets eksperiment kun egnet som egenopplæring av de som utførte dette, men absolutt ikke egnet for bevisførsel i en rettsak.
(Dette fremkommer av de dokumenter som er tilgjengelig, se også de tekniske rapportene fra Hannemyr og Møllerhaug.)


Alvorlig
Data som feilbehandles, havner hos feile personer og/eller som blir manipulert (tilsiktet eller utilsiktet) kan ha store økonomiske, sosiale, personlige og/eller politiske konsekvenser for de berørte parter.
Det er en svært alvorlig handling å fremme egen-produserte elektroniske bevis for bevisførsel i en rettsak.
Den som gjør dette bør være rustet med tilstrekkelig kunnskap og der foreligge en fullstendig logg og dokumentasjon som er etterprøvbar, og som sikrer dataenes integritet.

En kan ikke bruke én enkelt politipersons utsagn, kunnskapsnivå, vurderingsevne og/eller troverdighet som eneste bevisførsel, som vel er hva dette koker ned til.


Politiet tviler på egen metode

Politiet er muligens bevisst at dette tullebeviset mot bistandsadvokatene henger i en syltynn selvspunnet tråd, og sier:
"Det kan komme flere lekkasjer fra 22. julietterforskningen til tross for rettens avgjørelse" (...om at bistandsadvokaten ikke får fortsette.) (Lytt selv her

I tilleg forsøkte politiet, på ulovlig vis, å sikret seg trafikkdata fra fem telefoner tilhørende advokatens kontor, blant disse er telefoner med advokatkontorets klienter.

"Billedbeviset" er ikke så vanntett som vannmerkingen kan villede noen til å tro, og en bør spørre om det forsøkes å rette baker for smed (da politiet er under sterkt press).


Rettsak og etterprøving fra offentligheten

Få rettsaker vekker medias interesse. Langt færre vekker Hvermannses interesse.
Den som er tiltalt bør ha krav på at ens sak kan etterprøves.
Med unntak av informasjon av høyst personlig karakter, så tjener det ikke tiltalte at dokumentasjon (eller mangel på sådan) skjules fra offentligheten.
Riktignok kan en henvise til at en rettsak er åpen for publikum og presse, men en rettsal er ikke egnet for å stille/besvare spørsmål fra publikum, samt at materialet gjerne er komplisert.

Om en skal nytte e-feller og e-bevis i rettssak, sa krever dette at dokumentasjon er tilgjengelig for etterprøving - på forhånd.

Ved å produsere et e-bevis som bryter med de fleste profesjonelle regler for etterprøvbarhet og etterrettelig sikkerhet - som den tiltalte selv må motbevise, så har en snudd bevisbyrden på hodet.

Rettsvernet svekkes og blir overlatt til tilfeldigheter - noe som ikke er en rettstat verdig.


Bekymringsverdig

En tenker seg at e-bevis kan kunne få tiltagende plass i rettssaker.
Men har en tenkt hvordan dette skal dokumenteres og etterprøves og vurderes av den dømmende makt?
Vil aktor eller dommer forstå forskjell mellom hjemmelagde MikkeMus-bevis og etterprøvbare e-bevis? 

Hvordan skal offentligheten kunne etterprøve e-bevis som blir produsert og/eller nyttet som bevis i rettsak?
Hvordan kan en kritisk pressen kunne vurdere dette?

Hvordan skal vi sikre oss mot misbruk av elektroniske data - data som ingen kan eller får etterprøve, men som vil ha stor betydning for det enkelte individ?

Hvilket samfunn ønsker vi?


Oppdatering feb.2013

Det har kommet frem i tingretten januar 2013 at politimannen som produserte "billedbeviset" - hadde PC med auto-kobling til åpne trådløse nett og konto for filedeling.
Kilde, fra rettsaken Advokatbladet nr.2/2013, side 4-9 


For ordens skyld:
Jeg har ingen formening om hvem som står bak lekkasje av det omtalte materialet utover at det tilgjengelige materialet tilsier at der er (altfor) mange mulige kilder.
Etterforskning kreves for å peile seg mot denne kilden.



Links:

Relatert lekkasjer til pressen
Etterforsker mulig korrupsjon i 22. juli-saken
Politiet får ikke adgang til Klomsæts telefon (Aftenposten)
Politiet får ikke adgang til Klomsæts telefon  (Hegnar)
Politiet hadde ikke rettslig kjennelse - Tok Klomsæts klienttelefoner
Henlagt lekasje «Men grunn til å tro at bildene er lekket fra politiet...»
Polititjenestemann tilbød salg av 22. juli-dokumenter
Bildebevis Slik var politiets hemmelige plan
Ingen likhet for loven
Melder Oslo-politiet til spesialseininga for politisaker
Fikk tilbud om å kjøpe 22. juli-dokumenter fra politiet
Polititjenestemann tilbød salg av 22. juli-dokumenter
NRK: Fikk tilbud om å kjøpe 22. juli-dokumenter
Bistandsadvokater frykter kollegaer lekket Breivik-avhør
Bistandsadvokat påklager henleggelsen til Riksadvokaten
Det kan komme flere lekkasjer
Politiet lekker risikofritt (2.mars 2012)
Ikke en eneste tanke om kildevern
Utviklet program for 22.juli-enhet
Kan vi stole på alle i politiet?

Rapporter
Bevisets stilling - Hvor kommer de lekkede bildene fra? Hannemyr 2012-09-21
Lekkasjesaken - Datasakkyndig rapport, Hannemyr 2.11.2012
Angivelig lekkasje av politimateriale - Datasakkyndig rapport, Møllerhaug 2.11.2012
Spesialenhetens vedtak 22. oktober 2012 - Lekkasje av bildemateriale fra 22. juli 2011

Diverse
Dette monsteret finner passordet ditt- Går gjennom 350 milliarder kombinasjoner – i sekundet.

Hvor er dataene fra 22.juli 2011

I en kjennelse fra Oslo tingrett, der bistandsadvokatene ble nektet innsyn i en rekke politidokumenter, går det fram at politiet sitter på 1,4 millioner registrerte samtaler som er en del av etterforskningen.

Ifølge kjennelsen er dette samtaler som knyttes til Breiviks bevegelser forut for 22. juli .... og andre elektroniske spor:

Politiadvokaten sier samtalene ikke bare er knyttet til Breivik, men også alt som skjedde 22. juli:
- Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle samtaler som er registrert på basestasjoner i tilknytning til både bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid, lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å finne ut hvem som har ringt til en hver tid, også i dagene før, sier politiadvokat til Dagbladet.

En slik stor datamengde vakte interesse hos EU, som - siden våren 2009 - ikke har klart å oppfylle egne juridiske forpliktelser relatert evaluering av Datalagringsdirektivet
Article 14 (Directive 2006/24/EC) :
Evaluation
1. No later than 15 September 2010, the Commission shall submit to the European Parliament and the Council an evaluation of the application of this Directive and its impact on economic operators and consumers, taking into account further developments in electronic communications technology and the statistics provided to the Commission pursuant to Article 10 with a view to determining whether it is necessary to amend the provisions of this Directive, in particular with regard to the list of data in Article 5 and the periods of retention provided for in Article 6. The results of the evaluation shall be made public.
2. To that end, the Commission shall examine all observations communicated to it by the Member States or by the Working Party established under Article 29 of Directive 95/46/EC.

EU ønsket derfor innsyn i data-etterforskningen av Breivik i håp om å finne noe fra datamengden som de kunne bruke i evaluering av datalagringsdirektivet.


Store datamengder

EU drømmer om en sunami av data skal gi myndighetene ubegrensede muligheter til detaljovervåking av borgerne.  (ref. rapport The shape of things to come - EU FutureGroup ).
“Every object the individual uses, every transaction they make and almost
everywhere they go will create a detailed digital record. This will generate a
wealth of information for public security organisations, and create huge
opportunities for more effective and productive public security efforts." 

(EU Council Presidency paper)                   
Aftenposten omtalte nylig den "tidevannsbølge av data" som 22.juli etterlot seg. Politiet druknet i data og livsviktig informasjon kom ikke frem. (ref. Aftenposten Innsikt, 8.nov.2012).

Det er en god regel å begrense innhenting av data til hva som er strikt nødvendig for det formålet de legitimt skal tjene - og ha en veldokumentert, fungerende prosess som sikrer autentit, integritet, sporbar dataflyt og helhetlig sikkerhet for dataene.

Jeg er av den oppfatning at samtlige som befant seg innen de aktuelle områder hvor millioner av data ble akkumulert fra, bør få en redegjørelse for hva som skjedde med deres data, hvem behandlet dataene, og hvordan - og en bekreftelse på at deres data er slettet - uten distribuerte kopier.


Data som bevismateriale

Ved utlevering av data bør det være krav at der foreligge prosesser for behandling av innhentet data, registrering av disse, med sporings-mekanismer av videre dataflyt og behandling, kontroll med og logging av hvem som har aksess til dataene, hva dataene nyttes for - og en sikker, etterprøvbar kontroll av dataenes behandling gjennom hele syklusen, fra innhenting til sletting.


Tilsvarende som en krever revisjon av regnskap, må en kunne redegjøre for transaksjoner av data:
Data som feilbehandles, havner hos feile personer og/eller som blir manipulert (tilsiktet eller utilsiktet) kan ha store økonomiske, sosiale, personlige og/eller politiske konsekvenser for de berørte parter.

Men vi husker jo Faremo hadde en kommentar under DLD-høringen om at overskudd-dataene fra DLD kunne i fremtiden bli brukt...til noe. Til hva, sa hun intet om.



Dec 1, 2012

En menneskerett: Pasientens data er ikke Statens eiendom

Vi husker all nytale fra DLD-debatten, hvor statlig overvåking for datalagring av borgernes private kommunikasjon ble nytalt som personverntiltak.
Helseministerens siste newspeak er at sentralisert pasientdata akkumulert i en database under statlig kontroll = pasientsikkerhet.


Der er svært mange som ønsker våre høyst private helserelaterte data;
Forskere ønsker aksess
Legemiddelindustrien ønsker aksess (teste nye medikamenter, forskning, selge produkter). 
Bioteknologi tilsvarende.
Apotekene ønsker aksess.
Fastlegen med hele legekontoret, samarbeidspartnere og sekretærer har aksess. 
Bl.a. Microsoft har lenge lobbyet intenst for sine konsepter, det ene verre enn det andre.
Demente skal GPS-tagges
Eldreomsorgen skal betjenes via SMS
og/eller Roboter med "varme hender"
De som er totalt hjelpesløse skal få sensorer som kan detektere om de faller, om de ikke kommer seg til/fra toalettet, om kroppstemperaturen faller, osv.
Nye boliger skal være rustet for totalovervåking av beboerne. 
Implanterte multisensorer kan bidra til ny innovasjon.
Tele-monitorering av medikamentbruk, nanoteknologi i implantater har biomarkører som sender (trådløst) informasjon om pasientens tilstand.
(Ingen vil nevne farene, men planlegger for trådløs både i, og ved menneskekroppen...)
Om konseptet skal fungere må all pasientdata akkumuleres og sentraliseres - fra de første blodprøver fra de nyfødtes "nyfødtscreening" fram til den døendes siste urinprøve.
Politikere tror de kan delfinansiere helsebudsjettet ved å "leie ut" borgernes helsedata samtidig som byråkratene kan, bokstavelig talt,  monitorere og datamine statlig helse...

Dette er noe spissformulert, men er dog litt av hva som planlegges... (se også NOU 2011:11 og Digital Agenda om e-helse).

Sensitive pasientdata lagres i "cattle class" (nettskyen).

Elektroniske pasientjournaler og biologisk data flyter nærmest fritt i Cyberspace, og selges nå på det åpne markedet. En kan t.o.m. bestille data - de kommer i grupper av tusener...
Bare fra siste uke: Har fått tilgang til pasientinformasjon om flere hundre tusen mennesker 
- og "Mangelfull tilgangsstyring til elektronisk pasientjournal truer taushetsplikten" har Helsetilsynet tidligere skrevet.

Når statlig sentraliserte helseregistre og pasientjournaler nytales som "pasientsikkerhet", burde kanskje noen hviske Helseministeren i øret at han ikke er så smart som han tilsynelatende tror.

Ikke så ulikt den arroganse en har vist relatert menneskerettigheter generelt:
Norge kan miste talerett og bli degradert til observatør i FNs menneskerettighetsorganer.
FN har degradert Norges nasjonale institusjon for menneskerettigheter fra A- til B-status.



Fra Privacy International:

Surveillance Monitor 2011: Assessment of surveillance across Europe
(the project was funded with the support of the Fundamental Rights and Citizenship Program of the European Commission.) 


Key findings :
The Good ...  The Heroic ... The Awkward ... The Bad ...
and - finally -

The Ugly :
  • Direct access to information held by third parties without warrants or oversight, conducted by unaccountable bodies. (e.g. Bulgaria, Croatia, ) 
  • Inability to audit and review the actions of security services. (e.g. Lithuania, Croatia, Estonia, Hungary, Sweden) 
  • Medical databases are emerging with centralised registries. (e.g. Croatia, Czech Republic, Denmark, Sweden, Norway, UK). 

Nov 21, 2012

Digitalt innhold presentert som papirløsning.... med innebygget tracking?


Eksempelet jeg bruker her er fra Twitter 20.november:



Denne "tweet'en" er generert via den integrerte grafikken som en nettavis nytter for å dele/publisere linker til innhold via sosiale media.














Vi ser at denne nettavisen (og ikke Twitter) legger til en kode etter linken:
http://www.aftenposten.no/kultur/Rune-Slagstad-sier-opp-i-protest-7049868.html#.UKy2Tj8DKp4.twitter


Twitter

Twitter koder alle linker.
I dette tilfellet er linken ovenfor representert ved http://t.co/KHtuDAEp. Dette betyr at den som klikker på lenken i tweet'en vil bli sent til domenet t.co som eies av Twitter.
Der vil lenken bli de-kodet ("pakket ut") og videresendt til den linken vi ser når vi leser tweeten.
(i dette tilfellet http://www.aftenposten.no/kultur/.....).
På denne måten kan Twitter akkumulere informasjon om hvem som leser hva...

For teknisk interesserte: Dette kan en verifisere ved å lese koden fra tweet'en ovenfor:
<a href="http://t.co/KHtuDAEp" class="twitter-timeline-link" target="_blank" data-expanded-url="http://www.aftenposten.no/kultur/Rune-Slagstad-sier-opp-i-protest-7049868.html#.UKun2WItVYM.twitter" title="http://www.aftenposten.no/kultur/Rune-Slagstad-sier-opp-i-protest-7049868.html#.UKun2WItVYM.twitter" dir="ltr"><span class="invisible">http://www.</span><span class="js-display-url">aftenposten.no/kultur/Rune-Sl</span><span class="invisible">agstad-sier-opp-i-protest-7049868.html#.UKun2WItVYM.twitter</span><span class="tco-ellipsis"><span class="invisible">&nbsp;</span>…</span></a>



Hva skjer med den "kodede" linken

Twitter sender deretter bruker til nettavisen (altså fra t.co/... til http://www.aftenposten.no/kultur/Rune-Slagstad-sier-opp-i-protest-7049868.html#.UKy2Tj8DKp4.twitter)
Her blir (bl.a.) linken "behandlet", og brukeren vil se dette:


Denne linken er ikke reell, og om en forsøker å "reloade" siden vil en få feilmelding.
Tilsvarende om en "bookmark'er" nettsiden for senere bruk:

En kan altså ikke bookmark'e (for senere gjenbruk) en slik link...


Tilsiktet?

Uvisst om dette er en liten "bug" (programmeringsfeil) eller om en virkelig forsøker å gjenskape papirlignende løsninger pre '90-tallet.
Selger Papir-på-nett?  Proprietært, lukket nett, hyperlinker som ikke fungerer?

Imidlertid, en får logget hvem leserne er og hva de leser når og hvordan - på tvers av forskjellige media ...


Tracking av lesere

Media (samtlige nettaviser) akkumulerer data om brukerne. Det er kun tilgjengelighet som  begrenser...
Men en kan gjøre litt for å beskytte seg mot noe av dette - uten at det trengs spesiell teknisk kunnskap. En rekke tools (programvare) er tilgjengelig for å blokkere uønsket tracking.

Eksempler som blokkerer tracking: (Klikk på bildet for større utgave)
Begge eksemplene er for den aktuelle linken som er brukt i dette eksempelet.
(Det er ikke rent lite hva en enkelt nettside har utrustet seg med for å akkumulere data om leseren...)

 

Do Not Track Plus kan en lese om her , og Ghostery er her.
Begge disse er nyttige for å hindre at for eksempel Facebook følger med i alt en leser (også om en ikke har Facebook-konto eller er pålogget. Eller at Google... osv.

En annen, svært nyttig tool, er Adblock Plus. Denne er tilgjengelig for de fleste nettlesere og anbefales på det sterkeste.


Mere om tracking av brukere og medias bruk av BigData følger senere...

Nov 11, 2012

EU's INDECT coming to a place near you?

The European Parliament requested (april 2011) INDECT had to be suspended until documentations were published - as well as requesting review of the fundamental rights and ethics related to this project.
This is what the citizens elected representatives in the Parliament said:

 27.   Stresses that all research conducted within the FP7 must be conducted in accordance with fundamental rights as expressed in the European Charter; therefore, strongly urges the Commission to immediately make all documents related to INDECT (a research project funded by the FP7 aimed at developing an automated observation system that constantly monitors web sites, surveillance cameras and individual computer systems) available and to define a clear and strict mandate for the research goal, the application and the end users of INDECT; stresses that before a thorough investigation on the possible impacts on fundamental rights is made, INDECT should not receive funding from the FP7


... INDECT continued...



May 2012, new questions were asked from the Parliament (Ref. E-005080/2012 ) - which were answered  by the Commission: (17 July 2012)
The Commission would like to inform the Honourable Member that no official letter of withdrawal has been submitted by the Polish Government or the Polish police. To the knowledge of the Commission, the Polish police is still a partner of the INDECT consortium. The Commission would also like to inform the Honourable Member that INDECT has not been tested during the European Football championship (ref.)

Reports on the current state and the next steps of INDECT are publicly available under the following link as well as on the homepage of the project. Like all FP7 projects, INDECT will also be the object of a financial and technical assessment before the final payment. Similarly, INDECT will also have to produce a publicly available final report. The total contribution of the Commission for INDECT to this date amounts to EUR 9.196.633,11.
(EU gives these number for this project: Total cost: EUR 14.984.466 / EU contribution: EUR 10.906.984)




The 4 October 2012 another request for written answer was addressed to the Commission (ref. E-008922/2012)
  In response to violence on trains, stampeding crowds, football hooliganism and other similar problems, Member States are implementing the INDECT project to tackle criminal behaviour. Co-funded by the EU under the seventh framework programme for Research and involving researchers in 12 Member States, the INDECT project (Intelligent information system supporting observation, searching and detection for security of citizens in urban environment) is currently causing controversy. The project is designed to enhance the way existing mass surveillance tools, such as photographs and video footage, are used by improving the relevant procedures and making them automatic in an effort to ensure that crisis situations are dealt with more effectively.
However, the use of automatic surveillance techniques of this kind combined with the systematic collection of personal data could undermine individual freedoms.

Does the project include plans for a new regulatory framework to monitor exchanges of data and the detection of criminal activity on the Internet?
If the project is successful, how does the Commission intend to follow it up in legislative terms?
Is the introduction of an automatic system for detecting crime on the Internet and on the street part of a plan to create a huge database?
Lastly, does the Commission intend to produce a report on the research activities, outcome and precise objectives of INDECT in order to address once and for all people’s legitimate misgivings about the project?
(No answers as of today).



What is INDECT

This figure gives a brief overview of what it is (click on the figure for larger image)

 

  • provide several tools for watermarking technologies,
  • different types of search engines.
  • create MAS (Multi Agent System), an agent-based information system for observation, analysis and detection of criminal activities and threats in computer communications network, especially in the Internet.
  • provide tools for Relationship Mining;  identification of relations between entities as well as identification of events in which entities participate.
  • will targets terrorism, hooliganism, thievery, fire, artificial crowd, abandoned luggage, people in dangerous places, and others. 
  • acquisition and analysis of audio and video streams from large number of cameras and microphones. 
  • automatic, intelligent detection of threats and danger events based on image and sound analysis. 
  • provide tools for identification and observation of mobile objects in urban environment. 
  • will provide tools for biometrics and intelligent methods for extraction and supplying security information
  • deliver Web Portal which will provide “a single point of access” to various data sources (“intelligence subsystems”)
  • integrating and offering some of the (mentioned) functionalities
  • use Indexer to convert child pornography evidence files into a hash/descriptor database,  using Searcher and the previously generated database, suspect file systems of individual, arrested computers, can be searched for similar...
  • supports crawling of public Internet resources, 
  • aim of combating not only Internet child pornography, but also hooliganism and promotion of totalitarian ideologies
  • face-recognition-based search engines (with many features)
  • using normal face photos; the system has ability to search in mug shots database
  • Face recognition/detection in photos from monitoring cameras, Internet, etc., as well as recognition of detected faces in the mug shots databases has been considered. 
  • searching for criminals in community portals (e.g. public resources of Facebook, etc.) using photo of that criminal is under consideration
  • analysis of data sources, support for criminal analysis (detection of roles based on Social Network Approach, visualization of complex relationships), monitoring and detecting illegal content on the Internet
  • Botnet detection and confinement have been performed
  • Investigated analysis consists of the following tasks: importing external massive data, matching various formats of data (e.g. phone call billings, bank account transactions), data filtering, frequent patterns searching, statistics, visualization using different types of ... hypotheses. 
  • tools for Behavioural Profiling, especially learning behavioural profiles of known criminals. 
  • as an input, textual description of solved crimes have been performed and provided.
  • modelling criminal behaviour patterns investigated. 
  • prediction of behavioural characteristics of offenders is provided. 
  • has developed a system for gathering news articles.
  • detecting threats in real environment, some elements of sound events detection and classification have been analysed
  • sound analysis includes gunshot, explosion, scream, crying for help in European languages, breaking glass
  • techniques for sound source localization
  • high quality of CCTVstreams is ensured
  • event detection algorithms for automatic recognition of threats, like traffic or crowed interactions
  • automatic recognition of biometrics, including visual and sound features
  • recognition of criminals, the selected tools and special software developed
  • offenders detection, movement detection, and finally tracking. 
  • main task of the software is identification of characteristic features of the followed object,
  • detecting presence of people in closed areas, crowd observation
  • controlling position of the camera to hold the followed object close to the centre of the screen
  • started to develop an integrated network-centric system consisting of: INDECT UAV,
  • automatic Plate Recognition Station, Blue-Force Tracking Devices and Small Tracking Devices


Surprised?

The project faced several ethical issues related to its potential impact and use. 
Handling of collected personal data while protecting privacy and confidentiality is of major importance for the project...


Now, ask your politicians how, why & what is happening a place near yourself...




Links:

The INDECT Project

Storebror PST har fått nye øyne på nettet  (Norwegian text)

Jul 13, 2012

Watch out : ©-Troll trying to profit your work

Last year I shared my experience related to how the music industry (intentionally) makes it impossible to purchase music for private usage - and which - in addition to offend consumers - cause loss of income for artists.
Lack of response from the industry agent (which, presumably, should handling the interest of the artist and serve consumers).... made me use free Creative Commons (CC) licensed music from the Free Music Archive
(The full story is here: in English  Children, Creativity and Culture - When CopyRight = CopyWrong
or Norwegian  Barn, kreativitet og kultur; CopyRight = CopyWrong).



Yesterday I got a mail from YouTube, related to this video :

Dear Britt,

Your video "(CC) Copy Catzy", may have content that is owned or licensed by rumblefish, but it’s still available on YouTube! In some cases, ads may appear next to it.

This claim is not penalizing your account status. Visit your Copyright Notice page for more details on the policy applied to your video.

Sincerely,
- The YouTube Team


I checked the link given by YouTube, and found this:


I checked out "..claim is not valid":
and added as comment "I used free CC-licensed music - here is the link..."



The content I linked to:




Few hours after submitting my copyright dispute claim, I got a new mail from YouTube:

Dear Britt,

rumblefish has reviewed your dispute and released its copyright claim on your video, "(CC) Copy Catzy". For more information, please visit your Copyright Notice page

Sincerely,
- The YouTube Team

Checking the status for thevideo, this was confirmed:






Now, who is this "rumblefish"?
Is it just a disoriented, rumbling fish or a fishy ©-Troll who's business idea is to claim ownership of others CC-licensed work?
Or is it a great idea for getting paid for (others) CC-licensed work?
You might make your own thoughts on this: Rumblefish, Inc. ?


More fishy stuff:EU Commission who used to handle ACTA, is now in charge of the CETA negotiations....
You guessed it!
CETA contains a chapter on intellectual property rights where certain provisions have been copied verbatim from ACTA.
It is documented by MEP Christian Engström Introducing CETA, the ACTA Zombie

Dr. Michael Geist, who is belittle by the EU Commission official, is a law professor who's expertise is recognized worldwide. He has written about CETA here:
EC Says ACTA ISP Provisions Dropped from CETA, Yet Most of ACTA Likely Remains Intact

May 15, 2012

Kommentar til PST's DLD-krav

Jeg har postet følgende kommentar på PST's blog "PST trenger trafikkdata"



(PS: mitt fulle navn er limt inn i fotoet)


Heisann,

Det er prisverdig at PST poster dette - og med åpenhet for kommentarer.
All ære til dere for dette.

Da Stortingen (4.4.2011) avgjorde å innføre datalagringsdirektivet (DLD), tok de utgangspunkt i de rammer som settes av EU direktivet 2006/24/EC (ref.Prop. 49 L), og dette ekskluderer de varianter PST (og Kripos, m.f..) ønsker.

Debatten rundt DLD har flere aspekter, bl.a. hva politiet ønsker, hva som er teknisk mulig eller hensiktsmessig, borgernes rettssikkerhet, individets rett til privat sfære, politisk ønskelig i henhold til samfunnet vi ønsker, samfunnets maktstruktur, osv.


DLD ble skissert med noe ensidig bakgrunn fra noe foreldet telefoni og var allerede håpløst utdatert da det bli fasttracked gjennom bakdøra i EU 2005, og da imot EU's egen justiskommite.
Ref. Committee on Civil Liberties EU, Justice and Home Affairs skrev (om DLD forslaget) 31.5.2005 "...The proposal is also incompatible with Article 8 of the European Convention on Human Rights..... Conclusion: For the reasons outlined above, the rapporteur rejects the proposal for a framework decision and calls on the four Member States to withdraw their initiative."

DLD er eksempel på hva en kaller "Policy Laundry", dvs. regelverk som et enkelt land ikke vil kunne innføre via demokratiske rettstatlige prinsipper i de respektive demokratier.
Det er rimelig at dette møtes med stor motstand fra borgerne i Norge som det også gjør i EU-landene.
Om "folk flest" forsto teknologien og konseptet bak DLD, samt hva DLD tilrettelegger for, ville motstanden ha vært imens.
Det er ikke "bare" personvernet en skyver tilside her, det utfordrer også fundamentale rettsstatlige prinsipper i moderne demokrati, og forskyver makt fra borger mot stat.



Som PST påpeker har direktivet en mengde svakheter, og tjener heller ikke de offisielt oppgitte formål.
Dette støttes også fra Max-Planck-Gesellschaft's Institutt for utenlandsk og internasjonal strafferett. Instituttet utredet er rapport (2011) om dette, etter oppdrag fra det føderale tyske justisdepartementet. Hovedkonklusjonen er at det ikke kan bevises eller sannsynliggjøres at DLD gir justismyndighetene et spesielt verdifullt verktøy.
(Studiet er dokumentert og rapporten (292 sider) er tilgjengelig fra det tyske instituttets websider).


Nytten av trafikkdata har jeg aldri sett noen betvile.
Trafikkdata øker i mengde og vil ikke "forsvinne". Debatten om DLD dreier seg heller ikke om hvorvidt trafikkdata er nyttig, men om hvorvidt staten skal pålegge elektronisk overvåking av alle borgeres private og legitime elektroniske kommunikasjon.
Motstanden mot dette er høyst berettiget.



PST ønsker utvidelse av datalagringsdirektivet, dette tross at grensene er gitt i DLD (2006/24/EC, norsk Prop. 49 L), og begrenset til telefoni og internet mail (mail/e-post) fra offentlige tjenestetilbydere.


Internettkafeer  er per definisjon ikke offentlige tjenestetilbydere underlagt DLD - de er ikke ISP'er eller mobiloperatører og har heller ikke infrastruktur for dette. Teknisk sett så har disse heller ikke aksess eller innsyn i de persondata som en nettleverandør har. Nettleverandøren har denne innsikten da tjenesten er bundet til et abonnement.
Sikkerhetsmessig ville det også vært høyst tvilsomt å tillate hotspots å lagre sådanne persondata, bokstavelig talt ved hvert gatehjørne.
Slik teknologien foreligger i dag, kan jeg sette meg ned ved en fortauskafe, og la min trådløse enhet være hotspot for alle andre som er innen (tråddløs) rekkevidde.

Ang. lagring av IPnummer ved posting av kommentarer på nettfora, blogger osv. så er dette rimelig meningsløst. Ved siden av at de fleste applikasjoner (programmer, som eksempelvis chat, debattfora, e-post) ikke nødvendigvis har kjennskap til IP-nummer, så er et IP-nummer ikke relevant som identifisering av person.
Ang. anonymitet på nettet så bør ikke dette være mere komplisert enn anonymitet på gatehjørnet: Skal personer pålegges å bære synlig ID slik at jeg kan melde den personen som truer meg på gatehjørnet...
Jeg har forøvrig skrevet mere generelt om anonymitet på nettet her.

Standard telefoni (som fasttelefon eller mobil) og internet mail (mail, e-post) har én ting felles: Det er et entydig teknisk skille mellom til/fra og innhold (innhold av samtale eller e-postens innhold). I så måte trenger en ikke berøre innholdet for å lagre til/fra (trafikkdata).
For e-mail skal (pr. DLD) "konvoluttens" innhold lagres, men konvolutten skal ikke åpnes for å hente ut informasjon fra mailens innholdsdata.
Dette tekniske skillet er ikke tilfelle for alle andre applikasjoner (bruker-programmer), og er kanskje en av årsakene til at web-applikasjoner ikke er underlagt DLD (web-mail er eksempel på dette, hvor alt er innhold i http(web)-pakker, inklusive brukers passord såvel som dataene i selve meldingen.)

PST ønsker også at avsenders IP-adresse ved pålogging til e-posttjenesten skal lagres.
Ved siden av at dette ikke gir teknisk mening, så er der ingen notion mellom IP-adresse og avsender av mail. Mail opererer med domenenavn og ikke med IP-adresser, og fungerer som definert i de RFC'er (internet standarder) som omhandler internet mail. Forslaget vil heller ikke bidra til å verifisere autentiteten av en mail, ei heller "sikre en mer korrekt identifisering av avsender/bruker og vil gjøre det mulig å lokalisere vedkommende geografisk", slik PST tilsynelatende tror.
Jeg skal bruke meg selv som eksempel her: Når jeg sender privat mail sender jeg disse alltid (uten unntak) fra et fast IP-nummer, uansett hvor i verden jeg geografisk befinner meg, og uansett hvilke enhet (mobil, PC) jeg bruker for å skrive selve mailen.
PST's begrunnelse for å kreve IP-adresse lagret med e-post har ingen relevans for autentitet av mailen.
Videre at PST "kan ikke se at lagring av avsenders IP-adresse vil medføre særlig merarbeid for de lagringspliktige, da dette i stor grad lagres i dag" er, med respekt å melde, litt dårlig forståelse av teknologien.
Det legges også altfor stor vekt på IP-nummer. I så måte vil ikke IPv6 løse noe, da IP-nummer kun er en adressering i øyeblikket, også ved fast IP-nummer. (se *1 under)


PST henviser videre til støtte for Kripos kommentarer ang. datalagring. Kripos har noen fantasifulle forslag for bl.a. NAT og krypterte data, og kort oppsummert tror jeg mange er på ville veier her.

Kriminalitet via nett (såvel som utenfor nett) er noe jeg (forhåpentligvis den store majoriteten) vil bekjempe som best en kan. Jeg kan ikke se at en total overvåking bekjemper kriminalitet, snarere motsatt, samt at jeg er langt mere fokusert på å forebygge kriminalitet.
For nett så kan en starte med å sikkre infrastrukturen, eksempelvis med å implementere autensitet av domenenavn slik at når brukere tror de ser på websiden til norgesbank.no, så er det også virkelig NorgesBank.no de ser. (DNSSEC).
Ansvarfull datasikkerhet kan ikke erstattes med elektronisk overvåking, "cybercrime center" e.l.


PST har allerede vide fullmakter i sitt arbeide, inklusive "kommunikasjonskontroll" for å overvåke "suspekte" personer. Men denne overvåkingen skal ikke samtlige borgere underlegges.
En kan - og bør - investere (og ansvarliggjøre) datasikkerhet - for å forhindre  mulighetene for kriminalitet (hindre datainnbrudd, botnets, forebygge DDoS., misbruk av mailkontoer, osv.)

Til informasjon; Jeg signerer med min reelle IP-adresse (fast, ikke dynamisk, og ikke via proxy).


/britt


*1) IP-spoofing, falsk IP-adresse 

Apr 4, 2012

SoloUlv Syndromet


Frankrike har fått sitt solo-ulv-syndrom.

Marine Le Pen (Front National) mener det bør vurderes en folkeavstemning for å innføre dødsstraff.
Det bør nevnes at landet allerede har livsvarig fengselstraff, og som betyr bokstavelig nettopp dette: Den som dømmes til livsvarig fengsel blir der inntil sin død.

Sarkozy har gitt utrykk for at det bør kriminaliseres å regelmessig aksessere websider som omhandler ekstremisme. Et "interessant" synspunkt om dette vil materialisere seg videre.
Landet har allerede forbud mot Holocaust-fornektelse.
Kanskje mindre kjendt utenfor Frankrike; "Loopsi" (Loi d'Orientation et de Programmation pour la Performance de la Sécurité Intérieure) gir allerede adgang til å sensurere internet (Ref. "barnepornofilter").


"Scooter-drapene" (11., 15. og 19. mars) har rimeligvis hatt stor mediadekning.
Drapsmannen det ble jaktet på fikk underveis forskjellige "profiler"; fra néo-nazi til jihadist og tilslutt "salafiste autoradicalisé atypique".
Media beveget seg fra omtale av jakten på en ensom ukjent som "en kanskje aldri ville kunne identifisere", til å omtale en navngitt person som "allerede var kjent av sikkerhetspolitiet", og deretter, tilslutt å kritisere politiet som ikke hadde vært raske nok til å identifisere og pågripe mannen.

Slikt blir det politisk furore av. Enhver politiker som nå stiller til valg, nåværende eller fremtidige, president eller minister, har en formening om hvordan slikt skal forhindres i fremtiden. Og mange (via media og debatter) gir uttrykk for meninger basert på hva de vet, om at dette (som de i ettertid vet) burde politiet ha forstått, og fortrinnsvis i forkant av de kriminelle hendelsene.
Det er da spesielt hendelsen 19.mars, hvor barn og en lærer ble skutt, som er under debatt om hvorvidt dette kunne vært forhindret.


Min forståelse av hendelsesforløpet slik det har blitt fremstilt i media:

13.mars ble det publisert i media at mannen som ble drept 2 dager tidligere, hadde hatt en annonsene i LeBonCoin.fr (fransk versjon av Finn.no/eBay) for å selge en scooter.

Et par dager senere (og etter den dagens nye drap 15.mars) forteller media om 10 individer (de omtales som ekstremister) som sympatiserer med Afghanistan og Pakistan, og som inkluderer navnet på drapsmannen - alle angivelig personer som har vært i søkelyset til sikkerhetspolitiet over flere år. Samme kveld blir det kjent at drapene er utført med samme våpen.

Den påfølgende dagen startes jakten på 576 IP-adressene som viste interesse for det første offerets annonse vedrørende salg av scooter.
Denne scooteren er observert på åstedene, og tilhører det første offeret. Han annonserte sykkelen for salg, og "LeBonCoin" har mail som ble utvekslet mellom mellom selgeren og den potensielle kjøperen. Der er spesielt én mail som omhandler møte mellom selger og kjøper, og denne spores til den kriminelles bror. 

Kameraovervåking (med 47 CCTV kameraer i Montauban) kunne kun fremskaffe (fra 4 kameraer som fanget opp noe relevant) et par hundre meter bevegelse som viste ryggen til en scooterfører...

Imellomtiden hadde rundt 7 millioner teledata blitt sjekket, 20.000 militære data (hva enn dette betyr) og 200 personer intervjuet - og 1000 sider rapporter skrevet.
Mobiltelefonen til drapsmannen blir funnet å ha oppholdt seg ved den jødiske skolen hvor drapene skjedde. Gjerningsmannens mor (med familie) får nå sine telefoner avlyttet.

Dagen etter blir det kjent at gjerningsmannens bror har vært i en Yamaha-forretning for å innhente opplysninger om hvordan han kunne gå frem for å frakoble GPS-tracking på en sykkel av samme merke som drapsmannen brukte. (Scooteren hadde installert GPS for forsikring og tyverisporing).

Intervju med RTL spør om det var mulig å identifisere terroristen på scooteren tidligere, og således hindre de drepte på den jødiske skolen (fire ofre, deriblant tre barn).
Forsvarsministeren svarte "Jeg tror ikke det, da måtte en forvandle Frankrike til en politistat".  Og tilføyde: "Dette er spørsmålet om rettstatenen. Vi kan faktisk ikke betrakte hver fransk borger som mistenkt. Det er ikke vår kultur... En fransk borger er ikke, ved første blikk, «skyldig»."
Ved et annet intjervju/forespørsel ble det spurt om det ikke hadde vært mulig å ytterligere kryss-sjekke data angående identifisering av den kriminellen var svaret at "Jo, men da ville vi være i en tilstand av fullt overvåket " (ref. Le Point) , Osv.

Spørsmålene (og svarene) er velkjente:
Når en i ettertid vet alle svarene så er der noen som tror at dette burde politiet allerede ha forstått fra første dag. Eller helst allerede ha forstått før noe hendte:
"Om de hadde slått sammen alle data om alle 66 millioner borgere.... for alt disse foretar seg, fra minutt til minutt...".


Foreløbig har ingen foreslått at politiet får tildelt internet-ready krystallkuler som verktøy slik at de er bedre rustet for å spå fremtiden.


Det rustes nå fullt opp for presidentvalget og nye utspill fra handlekraftige kandidater rulles ut i media:
Utvisning av personer med ekstremistiske holdninger ...
Og/eller  holdninger som ikke passer vertslandets verdinormer...
Drapsmannens familie saksøker staten for at den kriminelle ble drept.
Andre saksøker muligens for at muslimer ble uthengt...
Menneskerettighets advokater kommer (rimeligvis) med kritiske utspill...

Jeg blir heller ikke forundret om noen vil fremme saken til inntekt for datalagring direktivet. DLD trenger sårt en knagg å henge seg på og da betyr det intet at DLD ikke var relevant i denne saken ...


Jakten på den ensomme SoloUlven er jakten på å felle den demokratiske rettstats prinsipper...



Mar 25, 2012

e-post i Google-tåken

Jeg opprettet en Gmail-konto i forbindelse med noe jeg skulle teste, noen år tilbake. Denne mailkontoen er ikke i bruk og mailadressen er ukjent for andre enn meg (og Google).
Likevel ble kontoen oppfyllt av hundrevis av spam, noe jeg oppdaget da jeg logget inn på denne kontoen senere.

Som vi husker så har der vært (noen) datainnbrudd hos Gmail (eksempelvis Hundreds of Gmail accounts hacked, including some senior U.S. government officials). Da kan en ikke forvente at ens Gmail-konto er spesielt "sikker"...


Men hvor trygg er egentlig Gmail?
Hva med integriteten av innhold og kontaktliste (adressebok)?

Tidlig 2000-tallet utvekslet jeg et fåtalls mail med en person jeg ikke har hatt sosial eller profesjonell kontakt med, utover de 2-3 mailene vi utvekslet i forbindelse med et tidsskrift.
Han brukte en Gmail-konto for å utveksle mail.

Senere fikk jeg en "invitasjon" til Plaxo, sent fra en kollega. (Plaxo er et slags sosialt nettverk/adressebok). Da jeg logget inn på denne kontoen ytterlig flere år senere gav Plaxo meg flere "forslag til nye kontakter", som er typisk "tjeneste" fra sosiale media.
Det merkverdige her var at denne lista besto av personer jeg hadde sent mail til, og hvor disse brukte Gmail. Og øverst sto personen fra mailutvekslingen tidlig 2000-tallet.
(Jeg selv har konsekvent ikke nyttes Gmail verken til å sende eller motta mail i noen av tilfellene.)

Hvordan kan slikt skje?
Plaxo og Google hadde gått i kompaniskap. Og Google vet hvem enhver Gmail-bruker utveksler mail med (til og fra), samt har en svært lang hukommelse.
Og nei, det var ikke brukerne av Gmail som selv hadde synkronisert (delt) sine adressebøker med Plaxo. Denne funksjonaliteten ble mulig for brukerne langt senere.



Microsoft (med flere) har selvsagt nyttet manglende integritet hos Gmail, og laget en illustrerende video:


Google selv har laget en overforenklet reklame angående egen Privacy Policy:



Det er kanskje denne siste videoen som Narvik Kommune har latt seg lure av?

Narvik må svare for Google Apps - Kommunens valg av plattform klaget inn til Datatilsynet.

Eller skyldes det at kommunen...
Spekulerte i lire og rupi: Nå er kommunekasse i Narvik tom

Med tanke på Google's Policies & Principles ble jeg noe forbauset over utspillet fra IKT-Norge:
Ikke gi opp, Narvik - IKT-Norge mener lovverket som stanser Google Apps er utdatert.


"Nettsky" er et samlebegrep for en rekke forskjellige tjenester. En bør velge sin tjenesteleverandør med tanke på personvern og den sikkerhet ens (bedrifts) data krever.


Relatert:

Google svarer kun delvis på spørsmål om personvern fra EU (utført av franske Datatilsynet CNIL)

Mar 23, 2012

RealNames? Hvem skal kontrollere hvems data?

Det har vært en del debatt angående anonymitet versus reell identitet (RealName) på nettet...
(Jeg har tidligere skrevet om Anonymitet på internet - en borgerrettighet? og skal ikke gjenta noe her.)

I august 2011 kunne en lese at VG Nett stenger for anonym debatt:
Landets største nettavis ønsker ikke «søppel» i kommentarfeltet.
Målet er å få en debatt som er folkelig, men som tilfører det redaksjonelle innholdet nye perspektiver
....
der lesere som vil kommentere artiklene må logge seg inn via nettsamfunnet Facebook. Målet er at flere brukere skal fremstå med fullt navn og bilde...
En kan diskutere om dette representerer en heving eller en senking av debattnivået, men jeg ville trodd at VG Nett hadde tilstrekkelig erfaring til å forstå sideeffektene av denne avgjørelsen:
  • Ikke alle ønsker å ha en Facebook-konto. Det er noe i overkant merkelig at en nettavis dikterer Facebook som betingelse for å kunne delta i offentlig debatt.
  • Brukere som har et bevisst forhold til (og/eller kunnskap om) å ikke akseptere å bli tracket av Facebook legger inn sperrer for dette. Disse personene får heller ikke lest kommentarene fra VG Nettt's debattsider.
  • VG Nett har mistet kontrollen (og informasjonen) over egne brukere ved å ha overlatt dette til Facebook. (Facebook kan slette - eller flytte data -uten VG's kontroll eller samtykke).

Hva kan dette medføre?
Klikk på fotoet over for større bilde

Etter VG's overføring til Facebook-kontroll ser jeg ingen av kommentarene.
Dette skyldes at jeg - som mange - blokkerer for Facebook-tracking i nettlesere.
Sagt med andre ord, dersom en gjør et bevisst valg om at hva en leser og skriver på nett, ikke skal trackes og lagres hos Facebook så ser en heller ikke VG Netts kommentarfelter.

(Jeg har også en del annet implementert som blokkerer for medias tracking av brukeren via ordinære cookies, web-bugging, LocalStore persistent cookies, no-/scripting, flashcookies m.m. VG er ikke tilbakestående på noen av områdene angående spyware, om jeg kan uttrykke det slik... men dette utdyper jeg ikke her. Se *1)


Facebook og "RealName"

Om en ønsker nettdebatt hvor brukerne signerer med eget navn og eventuelt foto, bør en se til eksempelvis Dagsavisen NyeMeninger.no.
Det er en vesentlig stor forskjell på at en redaktør setter krav om bruk av eget navn - og å dikterer at brukere skal ha Facebook-konto og følgelig også implisitt la seg tracke av Facebook.  

Fotoet er min egen Facebook-side, hvor mitt "RealName" er Hulder....


Kommentarer via identitet fra sosiale media?

Der finnes verktøy som kan håndtere mange forskjellige sosiale media og/eller kombinasjoner av identifisering via sosial media, via mail adresser eller via andre nett-identiteter.

Fordeler ved å bruke slike verktøy (moduler) er å respektere at leseren har egne valg og preferanser samtidig som en kan avgrense noe spam.

Bruk av slike "moduler" har også sine ulemper, da kommentarer blir skilt fra selve nettstedet hvor kommentarene er gitt. Dvs. at eieren av nettstedet ikke nødvendigvis får kontroll over kommentarfeltene: Dersom nettstedet migrerer til en ny plattform vil kommentarene som er gitt dette nettstedet bli tapt. (Eksempelet på fotoet er fra Disqus.com.)

Dette er generelle problemer med en del (proprietære) sky-tjenester: En har liten kontroll med egne data, og der er mange begrensninger.


Bruk av sosiale media og bruker-tracking på statlige nettsteder

De forskjellige sosiale media har sine egne, særskilte egenskaper.
Alle er ikke like velegnet som universalverktøy for samtlige(s) behov og/eller preferanser.

Ved siden av at en mister kontrollen med egne data (som i eksemplene ovenfor) så er der en rekke persondata som ikke er egnet for å kombinere med bruken av Google Analytics, Webtrends, TNS osv.
Eksempelvis er der noen områder som offentlige myndigheter ikke bør dele med Google på bekostning av borgernes private liv.
(Regjeringen er synder av dette, hvor t.o.m. NAV.no og HelseNorge.no bruker Google Analytics, "like",  AddThis, en del bruk av MinID er lite personvern-vennlig,  osv... (Se *1) )
Dette er en misforstått implementasjon av "åpenhet", og hvor borgernes persondata gis til disposisjon for de nevnte aktører.


Dele i lukkede grupper

For å spre informasjonen til "alle" må en velge en base-plattform som er (teknologisk) åpen. For de som formidler viktig informasjon er det nødvendig å planlegge hvordan informasjonen skal administreres, vedlikeholdes, sikres og propageres (spres). I debatten om bruken av sosiale media er dette aspektet ofte(st) uteglemt...

En bør være oppmerksom på at f.eks. Facebook krever medlemskap for å lese Facebook-proprietære linker, som internt i Facebook er representert slik:
http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3DX%26q%3Dhttp%253A%252F%252Fwww.digi.no%252F888371%252FArtikkel-1%26ct%3Dga%26cad%3DCAEQARgBIAAoATAAOABAvsOqQRIAlAAWABiBW5vLVVT%26cd%3DLtnqskiF2v0%26usg%3DAFQjCNGm15PHJSHGQUcmxq-HV12NvgIyCQ
h=9AQHoe60-AQFvJkmZSxP01P3fArTxwl0F4vR00MFlJN4-xw&enc=AZPzJcBNjbFMaz_fRSuk3ANCKquyZOZx_zWsdtj2YsSW9oNN4W4AMeitmOYY3Z8mXC9knoIzXt4JI3IjmsD9skj

På lestbart språk så står her:
Facebook [3.je.part. [link] 3je.part-tracking-koder] Facebook-tracking-koder], og hvor [link] er den delen som er av interesse for leseren (som denne: http://digi.no.com/artikkel).

Facebook nytter en metode for å pakke inn URL'er (linker) for å tvinge en leser til å bli registrert av, samt tracket av Facebook. Uten medlemskap får en heller ikke lest linkens innhold, tross at selve innholds-informasjonen ligger på åpent nett (hos digi.no i dette spesielle tilfellet).

Facebook er en lukket, proprietær plattform. Om en legger hovedvekten av sin informasjon (reelle innhold) her, så lukker en seg selv inne.
Denne informasjonen kan ikke eksporteres til andre plattformer.

Dette er en uheldig utvikling, og hvor åpent web-innhold blir pakket inn i overflødige og proprietære innpakninger.
Derfor; om en legger innholdet på åpen nettside (blogg, wesider, o.l.) mens en peker mot dette fra fritt valgte sosiale media, vil alle kunne lese dette, ut fra sine (dvs. leserens) egne preferanser.


Dele åpent med flest mulig

Den sikreste måten å beskytte egne data samt dele informasjon med flest mulig er å holde seg til åpne plattformer og åpen teknologi. Som nevnt, ved å legger sin base-informasjon på åpne websider kan en kombinere dette med sosiale media.

En av de som nytter kombinasjonen av åpen teknologi og sosiale media på en eksemplarisk måte, er Torbjørn Aas, politimesteren i Vestfinnmark (klikk på fotoet for større bilde).

På sin blogg deler han erfaringer fra sitt ståsted på en engasjerende og generøs måte, mens han nytter sosiale media til kortere meldinger og meningsutvekslinger.
Slikt skaper tillit.

Det er forøvrig svært positivt at politiet engasjerer i nettmedia. Dette gir også et lavtterskeltilbud for å kunne ta kontakt med politiet uten å måtte ha en "sak" en skal anmelde. At politiet gjør de samme erfaringene som "oss andre" styrker tilliten. (Se hans innlegg om sosiale medier som verktøy for å oppnå resultater).


"RealNames"? Hvem kontrollerer hvems data?

Mens VG Nett har gitt fra seg kontrollen over egne brukere og valgt en lukket plattform som favoriserer Facebook-brukere med eller uten "RealNames" som de eneste kvalifiserte for å kommentere i deres kommentarfelt, så har politiet gjort motsatt.

Politimesteren ovenfor har åpent for alle muligheter, mens Dagsavisen NyeMeninger.no krever signering med eget navn (noe også PST gjør på sin blogg PST.no) - så har altså VG Nett overlatt kontrollen og derved også begrensningen, til Facebook...

Min vurdering;
Politiet : VG Nett   ☞   2:0 i disfavør av VG's nettdebatt-policy


*1) Metoder for tracking, akkumulering av persondata,  data-mining og profiling er ikke tema her

Mar 14, 2012

TweetChat?

Hva kan en gjøre når mange personer ønsker å kommunisere om samme tema på Twitter?

Med 140 karakterer til disposisjon er det vanskelig nok å formulere sine meldinger om en ikke i tillegg skal adressere meldingen til mange personer, hvor hver adresse (@noen @noenandre @3je @nummer4) spiser fra de 140 karakterene en har til disposijon.

En kan benytte TweetChat: [http://tweetchat.com]
En logger inn med sin twitterkonto, og oppgir den "#-tagen" en diskuterer.
(eksempelvis #torturN)
Deretter får en opp et vindu - som i sanntid vil vise alle som skriver om temaet. Selve #-tagen (i dette tilfellet "#torturN") vil automatisk bli lagt til ens kommentarer.

Samtidig kan selvsagt enhver annet Twitterbruker lese dette, om de følger personer som skriver her. Eventuelt følger #-tagen.
Tweetchat er ikke et "hemmelig rom", men et verktøy for å kunne avgrense et tema innenfor en gruppe som kommuniserer åpent sammen om et gitt tema.
Fordelen for gruppen som kommuniserer er å kunne benytte til fulle de 140 tegn som Twitter begrenses til.

Når en kommer i en situasjon hvor mange Twitterbrukere er interessert i samme tema: Foreslå TweetChat + #-tag.

Mar 3, 2012

DLD og Tyskland

Max-Planck-Gesellschaft's Institutt for utenlandsk og internasjonal strafferett er et tysk, velrenommert forskningsinstitutt, hvis hovedoppgave er grunnforskning innenfor kriminologi og strafferett.

Den kriminologiske seksjonen har på oppdrag fra det føderale tyske justisdepartementet utført studie og utgitt en rapport relatert mulige sikkerhetshull etter bortfallet av den tyske implementeringen av datalagringsdirektivet.
Det tyske ordet Vorratsdatenspeicherung (VDS) oversettes til "forhåndslagring av data", som er en god betegnenlse av DLD.

Den tyske rapporten (publisert i juli 2011) har bortimot 300 sider.
En stor takk til @extev som har bidratt med oversettelsen av rapportens konklusjonene. (Følg ham på Twitter!)

Rapporten er både pro og contra nytten av trafikkdata, avhengig av kriminalitetstype og hvem en spør.


Om bakgrunnsmaterialet sier rapporten:
De viktigste informasjonskilder bak undersøkelsen er kvalitative intervjuer med personer involvert i forberedelser til og praktisk gjennomføring av innhenting av trafikkdata samt evaluering av disse. Max-Planck-Instituttet intervjuet bl.a. polititjenestemenn, etterforskere og kriminologer i alle de 16 tyske delstatene samt også føderale ansatte; tjenestemenn som arbeider mot narkotika, økonomisk kriminalitet, politisk kriminalitet, terrorisme, kontraspionasje og straffeforfølgelse.
Studiet er en grundig vitenskapelig undersøkelse, men opplyser at dette er fra et ensidig grunnlag, dvs bare intervjuer med politi, etterforskere, kriminologer og andre ansatte i det tyske justisvesenet.

Hovedkonklusjonen er at det ikke kan bevises eller sannsynliggjøres 
at DLD gir justismyndighetene et spesielt verdifullt verktøy.

Eneste unntak er Informasjons- og Kommunikasjons-Kriminalitet (IuK-Kriminalität på tysk), som er betegnelsen for data og Internett kriminalitet.

Ansatte i justissystemet sier de føler seg under sterkt tidspress i saker hvor de mener at trafikkdata kan være viktige. Dette fører til vesentlig flere henvendelser for utlevering av trafikkdata enn da DLD var i kraft (for å få trafikkdata mens de ennå er tilgjengelige).
Dette gjelder spesielt saker vedrørende illegal kopiering eller deling av digitale data. (Ref. ©-Trollet)
Her blir mange saker ikke oppklarte fordi nettleverandørene ikke har eller nekter å oppgi data vedrørende "eier" av IP-adresse.
Etterforskere sammenligner mangelen på muligheten for å knytte en IP-adresse til en person med at alle kjører bil ut registreringsskilt.



Konklusjoner:

Studiens konklusjoner er delvis basert på statiske øyeblikksinntrykk. Det statistiske grunnlaget som foreligger er meget usikkert da systematiske empiriske undersøkelser ikke eksisterer.
De intervjuede tjenestemennene gav sterkt varierende vurderinger av dagens situasjon og av behovet for DLD.


Fakta om oppklaringsandeler og trender innenfor forskjellige kriminalitets områder:


Terrorfare som utgår fra islamske terrorister:
Her er det overhodet ingen ting som indikerer at DLD lagrede data de siste årene har kunnet forhindre et terroranslag.

Endringer i de spesifikke (innen samme kriminalitets grupperinger) oppklaringsandelen i tidsrommet 1987 til 2010 kan ikke føres tilbake til bruk av, eller bortfall av, DLD lagrede data.

Tilsvarende gjelder oppklaringsandelene innenfor data og internet kriminalitet.

Betrakter en spesielt året 2008, hvor DLD-lagrede data var tilgjengelige, kan det ikke for noen av de undersøkte områdene (innen de respektive kriminalitets grupperinger) fastslås en direkte sammenheng mellom tilgjengelige DLD lagrede data og oppklaringsandelen, spesielt sammenlignet med året før (2007 hvor DLD ennå ikke var implementert) og de følgende to årene 2009 og 2010. (etter at DLD igjen ble avskaffet).


Sammenligner en for 2009 oppklaringsandelen for Tyskland med tilsvarende for Sveits, er det ikke mulig å avlede noen indikasjoner på at DLD lagringen som har vært praktisert i Sveits de siste 10 årene har gitt en systematisk høyere oppklaringsandel.

Punktuelle sammenligninger mellom Tyskland, Østerrike og Sveits, hvor siden 2008 forskjellige DLD varianter er i bruk, gir ikke grunnlag for å slutte at DLD lagrede data, eller mangel på sådanne, resulterer i synlige eller påviselige sikkerhetsmessige forskjeller.

Der finnes ingen  indikasjoner på at bortfallet av DLD lagring gir dårligere (samfunns) sikkerhet.

Det kan ikke med sikkerhet utelukkes at DLD lagrede data kan gi fordel for oppklaringen av kompliserte saker og spesielt økokriminalitet.

Fokuseringen på en bestemt etterforskningsmetode, som bruk av DLD lagrede data, spesielt innenfor etterforskning av organisert kriminalitet, virker ikke plausibel.

DLD lagrede data er som regel kun til nytte i kombinasjon med andre etterforskningsmetoder.

Det finnes ingen indikasjoner på at mangel på DLD, har forhindret oppklaringen av mord.

Det kan utelukkes at mangelen på DLD lagrede data har hatt innvirkning på utviklingen av handelen med bedøvelsesmidler og andre medikamenter.

Spesielt finnes det ingen indikasjoner på at DLD kan forhindre seksuelt misbruk.


Sett fra perspektivet av de involverte utøverne, ang. konsekvensene av manglende DLD:

Det som nevnes her, er ikke nødvendigvis pro selve datalagringen av data, men er kritisk til mangelen på standarder for teleleverandørenes oppbevaring og utlevering av informasjon til justismyndighetene.
I den perioden Tyskland hadde DLD implementert, var der standarder for teleleverandørenes innbyrdes oppbevaring og utlevering av informasjon til justismyndighetene.
Etter bortfallet av DLD, legger teleleverandørene vekt på lagring av data til eget bruk, som fakturering, slik at tilgjengeligheten av trafikkdata og annen informasjon varier mellom de forskjellige teleleverandørene og også mellom forskjellige abonnementstyper hos en og samme teleleverandør.

Spesielt nevnes at nettleverandører (pga av Tysklands gjeldende utformingen av § 113 TKG ved Internett etterforskning) regelmessig nekter å oppgi abonnenten bak en IP-adresse.
Dette fører til at mange tilfeller av Informasjons- og Kommunikasjons-Kriminalitet forblir uoppklart, og tangerer spesielt etterforskningen av barnepornografi.

Data som IMSI- og IMEI-numre for å identifisere mobiler og annet telekom utstyr, er systematisk vanskelig å få da disse dataene ikke er relevante for fakturering.

Forskjellige teleleverandører har forskjellige rutiner for lagring av trafikkdata for faktureringsformål, bla avhengig av abonnementstype, slik at tilgjengeligheten til trafikkdata og annen informasjon varier mellom de forskjellige teleleverandørene  og også mellom forskjellige abonnementstyper hos en og samme teleleverandør.
Dette utnyttes bevisst av forbrytere med tilstrekkelig kunnskap.

Det finnes eksempler på saker hvor mangel på arkiverte data fører til at disse ikke kan løses eller bevises.
(Min kommentar : Det henvises også til vanskeligheter med dynamiske IP-nummer, men uten tanke for IP-spoofing (falske IP-adresser) som er svært vanlig. Til forskjell fra telefonnummer, så kan en sette opp sine egne, valgfrie IP-nummer for å generere falsk sporingsdata.)

Som spesielt utilfredsstillende finner tjenestemenn forskjellige rutinene hos forskjellige nettleverandører, og at de ofte bare kan nå rette teleleverandør  medarbeider via et call senter.

Mange tjenestemenn mener at det ofte skyldes latskap og lettvinthet fra netttilbydernes ansatte når de sier at trafikkdata og annen informasjon ikke eksisterer.

Nettleverandørene legger bare vekt på lagring av data til eget bruk, som fakturering, slik at trafikkdata og annen info kan være vanskelige å evaluere av politiet.

Tjenestemenn kritiserer manglende enhetlig bevisplikt og forskjellige rutiner hos de forskjellige nettleverandørene ved kjøp av "prepaid" SIM kort.
Ved etterforskning støter de ofte på "Donald-Duck" konti.

Samtlige intervjuede tjenestemenn er enige om at Quick-Freeze ikke erstatter DLD lagring.
Dette fordi quick-freeze ikke garanterer tilgang til historiske data.


NB: Punkt 33 i rapporten har jeg ikke fått klarhet i hva betyr, og har derfor (inntil videre) utelatt dette. 
For de som behersker tysk, ligger hele rapporten her

Feb 29, 2012

Regjeringer ... og ikke de kriminelle ... er nettet største trussel

Engelske The Register har en artikkel i dag (Government, business, military are internet security threats) hvor de siterer Bruce Schneier angående hva hightech. industrien har advart på det sterkeste mot, over flere år.


Risikoen for nettets frihet, åpenhet og innovasjon kommer ikke fra "the bad guys", men er politisk med medfølgende tekniske problemer.

Forsøkene på dårlig gjennomtenkt lovgivning er et stort problem. Utenforstående forsøk på å regulere noe de ikke har forståelse av eller kunnskap om ... har ledet til svært trøblete situasjoner relatert internets sikkerhet.

Schneider antar vi snart kan komme til å se toppmilitært involvering i nasjonale strømforsyninger (smartgrids) og internets infrastruktur.

Politiet legger stadig sterkere press på å få innført nye lovreguleringer som skal sikre dem aksess for monitorering ved at leverandører må utvikle systemer som passer politiet (og ikke brukerne), osv.

Å legge slike begrensninger på innovasjon er alt annet enn demokratisk... og struper et åpent nett og innovasjon - for ikke å si lysten til å utvikle innovative løsninger for fremtiden.

Og som Bruce Schneier sier: 
"The security industry [den sivile] doesn't have a lobby, common sense doesn't have a lobby, technical excellence doesn't have a lobby," 
"We need to get involved in layers eight and nine – the economic and political spheres."
"In the coming decade the future of the internet will be decided not by IETF but by people outside it, and that worries me. I'm not sure they'll do a great job." 

Ikke minst er dette siste bekymringsfullt. Det er et svært stort gap både i kunnskap og mindset mellom "the internet way" og gammeldags telco-styring fra/via regjeringenes ITU.

Advarslene har vært mange, og fra alt som er av øverste topptunge ekspertise på tvers av high.tech.industrien og relaterte organisasjoner.



Hentet fra min egen bloggpost 24.11.2010 Potential Future of The Internet:
Internet Society hadde nylig en forespørsel ang. forutsetningene for internet’s videre utvikling og innovasjon, og potensielle hinder (sen implementasjon av IPv6, sikkerhet, snoking i den private sfære, osv. ble nevnt): Den aller største faren anses å være regjeringenes forsøk på styring og overstyrende reguleringer av teknologien. Illustrert med følgende, korte videoklipp: