Jun 29, 2013

Apple iPhone

Sist oppdatert 11.sept.2013 (nederst)


Journalist Henning Aarset har skrevet en god og informativ artikkel om Sikker sletting av iPhone.
Artikkelen anbefales for enhver som ikke ønsker at data skal tilfalle andre om en bytter telefon - eller av andre årsaker har behov for å slette data på iPhone.
(se http://www.utforsk.com/nyttig/nyttige-tips/sikker-sletting-av-iphone/ Henning Aarset)


Jeg kommenterte innlegget, og gjengir her hva jeg skrev vedr. kryptering:

Såvidt jeg vet ble data tidligere fysisk slettet ved at at hele flash ble overskrevet med nuller når du valgte “Slett alt innhold og alle innstillinger”, tilsvarende iErase som Henning Aarset nevner i sitt innlegg.  (Dette kan også ta lang tid)


Krypteringsalgoritmene Apple nytter, er rimelig sikre.
Krypteringsnøkkelen (der er flere nivåer av disse,) er generert direkte fra informasjon i hardware.
Hver enkelt iPhone har en unik ID (Unit ID, UID) og en gruppe ID (Group ID, GID) som er (kryptert) lagret i prosessoren (i silikonet) under produksjonen, slik at programvare eller firmware ikke kan nå direkte til denne informasjonen.
Apple (eller underleverandører) har ingen registrering av UID, mens GID representerer kun hvilke gruppe device dette er (eksempel; A5 chip).
Disse (UID og GID), sammen med algoritmer for randomgenerering og kryptering, dannet krypteringnøkkel som dataene krypteres med.
Beskyttelse av data er også kryptert med en “per-file” krypteringsnøkkel.
Krypteringsnøkkel for en datafile er lagret i metadata om filen, og ved sletting fjernes (fysisk) metadataene hvor krypteringsnøkkelen for denne filen ligger.

Data lagret i flash kan kun dekrypteres av den device som fysisk har kryptert dataene (ref. UID og GID som er kryptert lagret i hardware).

Algoritmene er rimelig komplisert og jeg har forenklet en god del her.

Når krypteringsnøkkelen slettes (“Slett alt innhold og alle innstillinger”), er dataene tapt.

Når du re-installerer (etter “Slett alt innhold og alle innstillinger”) genereres ny krypteringsnøkkel (fra UID og GID…)


Har Apple noen bakdører?

Du kan fysisk levere mobilen til Apple, og/eller de kan kanskje bidra med å gjenvinne data om du har en særdeles god begrunnelse:
Apple deluged by police demands to decrypt iPhones

Utover dette får en krysse fingrene og håpe Apple gjør hva de selv har dokumentert om dette – og at de motstår presset de utvilsomt utsettes for (ref. siste ukes mange medieoppslag.)

Det er vanskelig å vite hvor meget Apple er involvert vedrørende PRISM, men denne artikkelen fant jeg interessant : Why Was Apple Late To The PRISM Party?


Apple har dokumentert sikkerhet og kryptering her
https://ssl.apple.com/iphone/business/docs/iOS_Security_Oct12.pdf


Oppdatert 9.sept.
"SPIEGEL has seen explicitly note that the NSA can tap into such information on Apple iPhones, BlackBerry devices and Google's Android mobile operating system." 


Ut fra hva artikkelen omtaler,  kan det virke som NSA kan nytte (enkelte?) apps for å forsøke å utnytte svakheter, eksempelvis plukke ut lokasjonsdata eller annen data eventuelle apps kan aksessere.

En annen mulighet som nevnes er når iPhone synkroniseres med PC.

Hittil finner jeg ikke noe som kompromitterer hva jeg har skrevet ovenfor, dvs. relatert kryptering av dataene på iPhone.


Om kryptering generelt, kommer det frem fra annet materiale, at NSA aktivt arbeider for å svekke kryptering, samt innta en ledende rolle i standardisering av nye krypteringmetoder (med formål om å svekke disse).

Andre mulige metoder kan være at de leverer moduler som nyttes av kryptering. Eksempelvis nytter kryptering "randomisering", og om bibliotek (moduler) som nyttes for å generere tilfeldige tallkombinasjoner svekkes (slik at den tilfeldige kombinasjonen ikke blir riktig så tilfeldig som den skal være), så vil krypteringen svekkes.
Hittil er der ikke kommet frem noe mere konkret relatert Apple/iPhone (utover apps og synkronisering med PC)


Oppdatert 11.september

NSA har modifisert randomgenerator som nyttes i kryptering - via NIST National Institute of Standards and Technology.


Det er uvisst om Apple nytter deres moduler, men står på listen med dato 20/8-2013


Der er ikke noe som tilsier at NSA har knekket krypteringen, men derimot at de har dette som langtidsmål. 

Jun 27, 2013

The logic of surveillance - or Preparing for the Drones




This is the story of a guy who installs lots of umbrellas in the garden. His neighbor came to ask him why:
- To prevent crocodiles from entering.
- But there are no crocodiles in our region, or even in our country! said the disappointed neighbor.
- You see, my strategy works!


Jun 17, 2013

Lille Ariel

Mange år tilbake leste jeg en fascinerende science fiction bok om computeren Ariel. 

Jeg fant boken fascinerende fordi kunstig intelligens (AI, artificial intelligenc) er et interessant område innen computer science.
























































Jun 10, 2013

Sikkerhet, mail og personvern

Jeg leser et innlegg i Journalisten.no, med tittelen Amedia: – Vi lagrer vårt Gmail-innhold i Europa

Det kommer frem at konsernet sparer økonomisk på å gå fra Outlook og Exchange til Googles nettjenester og Gmail.
Det fremkommer fra tidligere artikkel (Kritisk til Google-overgang) at Amedia ikke er "berørt på samme måte som virksomheter som er underlagt spesielle restriksjoner i forhold til håndtering av persondata".

I denne artikkelen blir det både henvist til Narvik kommune og til at "EU-lovgivningen tillater ikke at Google, Facebook og andre nettgiganter lagrer persondata om europeiske borgere på sine servere i USA".


EU og personvern

Jeg tror forfatteren kan ha mistolket noe her, for sådan EU-lovgivning har vi ikke. Det flyter meget persondata fra EU til US (og for lagring i US), og dette er fullt lovlig.
Riktignok har EU en avtale med US om prinsipper for behandling av persondata (US-EU Safe Harbor) men denne ordningen er hverken obligatorisk å følge, eller spesielt personvernbeskyttende.
I prinsippet går denne avtalen ut på at de som påberoper seg (og/eller de som blir pålagt) "Safe Harbor" skal oppfylle krav i EU Directive 95/46/EC on the protection of personal data.
Dette er ikke noe en kan basere sine forretnings-hemmeligheter eller sitt kildevern på.

EU jobber for å få til et regelverk hvor skytjenester som tilbys europeiske borgere, skal tilfredsstille krav om europeisk lagring (samt bedring av personvernet og vern av innholdet) - men der er vi ikke ennå.

Google er selv aktiv motstander av EU's forslag for personvern (Google declares open war on Europe’s privacy rights), og sammen med bl.a. Microsoft og Yahoo lobbyer de sterkt for å forhindre innstramming av europeisk personvernlovgivning (Google, Microsoft, and Yahoo are secret backers behind European Privacy Association).
Det er også rapportert at EU aldri noensinne har vært utsatt for verre lobbyaktivitet enn under arbeidet med ny personvernlovgivning.


EU og Google

Ang. Google og personvern så har EUs agent for personvern, Article 29 Working Party, tatt opp personvern med Google. Det franske datatilsynet, CNIL, har mandatet for å føre saken på vegne av EU. Fram til dags data har ikke Google adressert de problemer EU har påpekt ved deres mangelfulle personvern og har ikke svart på konkrete spørsmål vedrørende persondata eller behandling av disse. CNIL har annonsert at Google ikke møter EUs krav til personvern.


Gmail

Ang. Gmail så er det ikke lenge siden Google tok opp et konsept de hadde mange år tilbake, og som møtte massiv motstand: scanning av mailens innhold for å levere reklame basert på konteksten i mailens innhold. Denne gangen er det for å søke etter spesielle ord i mailens innhold, som kan forbindes med kriminelle handlinger.

De fleste husker vel også mediaoppslag (2012) om den amerikanske generalen som måtte trekke seg fra sin stilling grunnet forhold som ble avslørt om ham. Det bemerkelsesverdige var ikke at dette ble en medieskandale, men hvordan det kunne ha seg at en privatpersons misnøye med mottatte anonyme mail som (privat) kjente en FBI-ansatt - kunne trigge innsyn i Gmail hos en 3je. person - uten at der forelå noe kriminelt som tilsier uthenting av denne personens mail. Glenn Greenwald skrev også en artikkel om dette ...abuse of the surveillance state is the real scandal needing investigation.
Siste dagers medieoppslag har også skrevet at UK har aksess til data ...
Jeg har tidligere skrevet om Gmail (e-post i Google-tåken) og Google Analytics (Analytics - BigData), og da nettopp grunnet offentlige organers bruk av dette. Lånekassen la ut "personverndeklarasjon", men denne holder ikke mål (om personvern) etter mine vurderinger. (Jeg har begrunnet det i nevnte innlegg).


Google kan ha gode løsninger. Men sikkerhet og personvern må vurderes mot bruken av disse.
Personlig finner jeg Googles løsninger bra for alt som skal (uansett) publiseres til enhver som vil lese. Men ikke til bruk for hva jeg betrakter mere konfidensielt. Google har blitt bøtelagt for å snoke opp brukerpassord og har også en kommende sak i UK:  Google faces UK class action over secret iPhone tracking. 
Hendelsene er mange...

Det er mulig noen tror at deres Gmail lagres i Europa, men når jeg mottar mail fra Gmail-brukere, så kommer disse via US.



Mail og sikkerhet
 
Hvorvidt mail overhode er "sikker metode" for utveksling av informasjon, kan diskuteres. Men der er noen svært enkle grep en selv kan gjøre for å kryptere innholdet i den mail en ønsker beskyttet - og på en slik måte at kun tiltenkt mottager kan lese (dekryptere) innholdet. Det krever lite og koster lite.
Jeg har skrevet om dette her: Mail - sikkerhet


Oppdatering 11.juni

I en tysk nettavis står følgende ( original ref. Google-Server in Europa vor US-Regierung nicht sicher)
Google bekrefter henvendelser relatert brukerdata ved amerikansk etterretning. Selv europeiske Googles servere ble ikke utelukket. ....
Den amerikanske regjeringen kunne "få tilgang til data som er lagret utenfor USA." Selskapet hadde allerede fått mange slike henvendelser skriver en talsmann for selskapet. ...

Internett giganten er som alle amerikanske selskaper som har forpliktet gjennom blant annet Patriot Act ...

(Dette er ikke nytt - bl.a. har Microsoft bekreftet tilsvarende tidligere)