Oct 13, 2016

Keiserens nye fjær - Det Digitale Grenseforsvaret og Samrøret sikkerhet

Oppdatert 27.des.2016

Maktkampen om Internet - Militarisering og nedbygging av liberale rettigheter


(Tegning Rea)


Begrepet "Digitalt grenseforsvar" gir like mye mening som å si at en skal rense luften som passerer landegrensen.
Så og si enhver aksess til informasjon via internet eller bruk av tjenester på nettet vil medføre (lande)grenseoverskridende transaksjoner.

Internet er globalt i ordets reelle betydning. Tross dette har vi mange politiske globaliser som ønsker å nasjonalisere nettet. Lokale, nasjonale eller regionale regler, påbud og forbud både i form av lovgivning og av inngrep i internest infrastruktur.

I Europa har visse politikere beundret The Great Firewall, som vi kaller Kina's "digitale grenseforsvar".
I forbindelse med et (hemmelig) møte i Council of the European Union’s Law Enforcement Work Party (LEWP) ble det foreslått en skisse for “the Great Firewall of Europe” (2011). Angivelig for å "sikre europeisk cyberspace" mot "illicit innhold, terror" etc. ...
Forslaget ble slaktet så snart det nådde dagslys.

For å gjøre historien kort; da det viste seg å gå dårlig med datalagringsdirektivet (DLD), forsøker en å flytte overvåking over til den militære sone - dit hvor borgerne ikke får innsyn grunnet "Rikets Sikkerhet...". En flytter altså enhver mulighet for tilsyn og ettersyn bort fra offentligheten og offentlig kritikk.
Med Snowden så ble det - i praksis - ansett stuerent at Staten skal ha innsyn i borgernes liv - om en bare legaliserer dette via å fremme lovgivning som pakker inn grov, intrusiv overvåking som "nødvendig for Rikets Sikkerhet".
Dette er hva som er i ferd med å skje nå.

En kan bare håpe at Stortinget leser den siste dommen, (des. 2016) fra Court of Justice of the European Union (5). Denne dommen gjentar hva dommen mot DLD sa;
"EU law precludes national legislation that prescribes general and indiscriminate retention of data ", etc.
Det er vanskelig å se at datamining av hele nasjonens befolkning's elektroniske kommunikasjon er strikt nødvendig for å ivareta rikets sikkerhet...

"Digital grenseforsvar"
Lysne II-utvalgets anbefalte "Digital grenseforsvar"... inneholder  scenarioer som skal illustrere "behovet" for at Staten har "sensorer" i nettet. ("Sensor" kan her betraktes som "Deep Packet Inspection/DPI", spionvare eller SIGINT -  som, sentralt, skal lagre IP-adresser, uspesifiserte metadata og innholdsdata).
Tanken er at data utveksles mellom land ("når nødvendig"), og at "Grenseforsvaret" skal kunne gå tilbake i lagrede IP-adresser/metadata/innhold for å identifisere hvor en transaksjon (angrep) kom fra.

De konstruerte scenarioer baseres seg på å søke etter IPadresse(r) for å identifisere hvor angriper (computer/person) befinner seg, osv. - samt identifisere fra lagrede metadata  (over måneder/år) hvilke (andre) systemer som kan være angrepet. For å kunne gjøre dette må en også utveksle data med andre lands e-tjenester.
Scenarioet i sin helhet kan leses fra Lyse II-rapporten (side 72) - og konkluderer med at "Dette scenarioet synliggjør merverdien av Digitalt Grenseforsvar (DGF), og samspillet mellom DGF og sensorer utplassert i virksomhetene. "

Men dette holder ikke, teknisk datafaglig sett.
For det første så er IP-adresse ferskvare. Dvs. en IP-adresse mister sin relevans under lagring (som gjør lagringen overflødig).
For det andre så er det ikke gitt at en IP-adresse vil gi noe som helst av verdi.
Fordi:
I forbindelse med at IPv4-adresseområdet er nærmest "brukt opp" (kun Afrika har noe igjen) så har en utviklet nye metoder for å (ut)nytte IP-adresser.
I praksis betyr dette at en IP-adresse ikke lengre identifiserer et endepunkt. (Et endepunkt er det en leter etter, for å finne eksempelvis hvor data-transaksjoner har sin opprinnelse.)
Metadata (IP-adresse, dato/tidsstempel, etc.) er kun en temporær identifikasjon, og da for det korte tidsrommet transaksjonen varer.
Og om ikke dette er nok så kan en transaksjon skifte IP-adresse mens transaksjonen pågår, noe som ikke vil være synlig for Grenseforsvaret's spionbokser.

Teknologien er komplisert, men kjent for de som har dette som fagområde. Internets Security and Stability Advisory Committee har også publisert en egen rapport om endringene relatert semantikken for IP-adresser (4).  

Skal en ha sikkerhet, så må en faktisk implementere sikkerhet. Sensorene som foreslås er ikke sikkerhet, men er særdeles grov, statlig overvåking.
Sikkerhet krever (eller nytter) heller ikke denne type overvåking.

Jeg undres hvorfor de som har skrevet/informert ikke har opplyst om at de "usecases" (scenarioer) som nyttes i dokumentet ikke holder vannet - de er teknisk faglig tøvete.

Bedre var det ikke å lese "NOU 2016:19 Samhandling for sikkerhet"(2)
Riktignok forekom ordet personvernet flere ganger. Personvern veies et utall ganger mot "nasjonal sikkerhet"... (og personvernet taper tilsvarende antall ganger).
Forfatterne har også "gjennomført en halvdags-konferanse for å få belyst problemstillinger knyttet til sikkerhet og personvern i en digital tidsalder."

Tilslutt foreslås at EOS-utvalget (eller tilsvarende) skal overse det hele.
Å tro at alt er løst ved at EOS-utvalget kan overse dette,  er som å tro at Den Hellige Ånd skal overse at menneskene overholder lovene de pålegges. (Mye av dette vil ikke være ettergåbart, mye krevet teknisk dybdekompetanse - bare for å nevne noe...)

Jeg leser at norske sikkerhetsmyndigheter (Norsis) selv skriver at dette "Grenseforsvaret" som foreslås ikke vil gi "mere robusthet" og omtaler det som overvåking.
Jeg kan slutte meg til det - dette er overhode ikke datasikkerhet men massiv overvåkning.

At dette ruinerer personvernet, kildevernet og ethvert annet vern som den private sfære skal ha, håper jeg Stortingen ser...


Kostnadene nevnes ikke, men det bør også nevnes at det mye å spare på statsbudsjettet ved å ikke overføre arbeidsområder fra næringslivet over til Staten...



Jeg har mange flere ankepunkter relatert dette forslaget - dette var kortversjonen....



Relevante Linker:

1  Forslag til endringer i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven)" - mai 2015

2  NOU 2016:19 Samhandling for sikkerhet

3  Lysne II-utvalgets rapport om digitalt grenseforsvar (DGF) 26.august 2016

4  Internets Security and Stability Advisory Committee, SSAC  Advisory on the Changing Nature of IPv4 Address Semantics

5  Court of Justice of the European Union PRESS RELEASE No 145/16 21.desember 2016

6) Forslag om “digitalt grenseforsvar” får tommel ned, både juridisk og teknologisk


No comments:

Post a Comment

Note: Only a member of this blog may post a comment.