Pages

Mar 31, 2017

Pornofilter - igjen

Innenfor visse miljøer blir de aldri ferdige med temaet "pornofiltrering". Dette tross at kunnskapen om dette er omfattende.
KrF terper fortsatt på dette ("Cameron foreslo/sa...").
Noe The Guardian skrev om noen år tilbake David Cameron's internet porn filter is the start of censorship creep
En gammel debatt KrF tilsynelatende aldri gir opp.

Men dette var ingen dum tanke, og absolutt noe som burde pålegges en del foreldre (de som ønsker filtrering) "Cameron to ensure parents are led through a filter process on all new computers "


Tilbakeblikk ca. 2012:
En rekke legitime nettsteder oppdaget tilfeldig at de var blitt blokkert fra mobiloperatører i UK. Legitime nettsteder som overhode ikke hadde noe å gjøre med porno, men som kanskje hadde ord som "sex" i teksten et sted på nettsiden. (Som franske La Quadrature og en rekke andre, tilsvarende tilfeldige).

Jeg har skrevet flere sider om "nettfiltrering" (Internet blokking, se nederst på siden),
men dette er fra Open Group:



Some MPs and religious groups are mounting a campaign to push 'default on' network level blocking on the UK Internet.[1] [2] There is now a public consultation considering this idea.

Email the conultation team now 
 

However well meaning, we know from our own research [3] what happens when ISPs put blocks on the Internet. Through accident or abuse, censorship leads to lots more content being blocked than originally intended.[4][5]
Sites will get blocked if they casually mention sex. Sexual health sites will get caught.[6] The websites of clubs and bars, personal blogs and community sites get filtered. Chat sites may be banned – because they might not be sufficiently “policed”. In short, if you’re small and independent, you will suffer.
Innovation and free speech are threatened by this clumsy website blocking. And the government is considering turning this on by default.[7] You may be presented with a list of ticked “filtered” categories, and have to untick them if you want to avoid the filtering.
And if this happens at the network, then future governments can easily extend what gets filtered without having to ask you. Mass censorship would be couple of clicks away.We need you to help fight back: email the consultation team now!

signed
Executive Director, Open Rights Group  

Et par år senere, i 2014 er 1 av 5 websider blokkert 
Problemet er så omfangsrikt at Open Rights Group's har utviklet verktøy for å kunne finne om ens websider er blokkert ( se https://www.blocked.org.uk/)

Notes
[1] MPs, see http://www.telegraph.co.uk/technology/internet/9230439/Labour-MPs-support-opt-in-system-for-online-porn-to-protect-children.html  
[2] See, for example, Premier Christian Media and their campaign at http://www.safetynet.org.uk  
[3] ORG's research 
[4] See Coadec  and [5] Computer World
[6] “Even when set at their least restrictive blocking configurations, filters block an average of about one in ten non-pornographic health sites resulting from searches on the terms “condoms,” “safe sex,” and “gay.”” – See no Evil: How Internet Filters Affect the Search for Online Health Information, Kaiser famiuly Foundation, p.8
[7] The Register


Internet blokking - Del I: Om sensur og filtrering av Internet
Internet blokking - Del II: Hva dette betyr for nettet
Internet blokking - Del III: Hva dette betyr for barn

Mar 29, 2017

Kontaktløse bankkort (NFC, Near field communication)

Da jeg mottok nytt bankkort/visa et par-tre år tilbake, hadde det NFC/kontaktløs.
Jeg kontaktet banken - jeg ikke hadde bedt om dette og ønsket heller ikke  å la meg spore via et bankkort som ville gi ut unødig informasjon om meg, inkludert til en hvilken som helst part som svipet nære nok kortet mitt (også uten at jeg bruker det for betaling).

Først forsøkte banken seg med at det var ikke mulig å få kort uten NFC.
Deretter forklarte de at det var Visa som pushet dette.
Men at det var jo opp til meg å la være å aktivisere NFC.
Tilslutt medgav banken at det dreide seg om å kunne akkumulere maksimalt info. om kundene.

Det ville ta lang tid å eventuelt kunne lage nytt kort uten NFC - sa banken. 
Jeg gav banken 1 uke, deretter ville jeg bytte bank.
Jeg postet også et brev til banken.

3 dager etter fikk jeg nytt kort - uten NFC.

Jeg vet ikke om folk er klar over at de selv er ansvarlig for potensielt misbruk (om noen tapper kortet). 
Og teoretisk er mulighetene høye.
Du må selv bevise at det ikke er du som har brukt ditt kontaktløse kort...


Iflg. en fransk artikkel kan et kort teoretisk tappes for opp til 999 999,99 $
(i flg. et studie http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
Visa's kommentarer kan leses her: http://www.bbc.com/news/uk-england-tyne-29862080
Svært mange franske bankkunder har nektet å ta i bruk kontaktløst bankkort...

Nokia (som utviklet NFC) publiserte et studie sammen med London School of Economics (2011, Near Field Communications;
Privacy, Regulation & Business Models )
http://www.lse.ac.uk/management/research/research-initiatives/lse-tech/nokia-comms.aspx

Mitt tekniske vurdering av NFC/kontaktløst bankkort - er at det ikke er velegnet for bruk pr. nå.

Ang. å måtte kjøpe ny lommebok (som skjermer signalene fra NFC) for å beskytte mot kortsweeping, så er dette totalt forkastelig.
(Kortet gir fra seg info. også om det ikke tappes penger fra det.)


Nå, 2-3 år senere mottok jeg brev fra banken, hvor der står at da mitt kort fornyes nå så må jeg velge om jeg ønsker NFC/kontaktløst kort. Etter alle problemende banken har hatt så har de tydeligvis lært noe etter å ha sendt ut disse kortene til kunder som ikke har bedt om dette.
Jeg snakket med banksjefen, og banken var klar over (diverse) problemer vedr. sikkerhet...

Siden kontaktløs kort ikke trenger autorisering fra banken for transaksjoene så får en heller ikke effektivt blokkert stjålne kort. 

Og Europol rapporterte nylig (for 2016) at kontaktløse bakkort/RFC er et voksende problem i den kriminelle verden. Vanskelig å stoppe, vanskelig å etterforske - og volumet vokser....


Når jeg leser slikt som dette "Nå kan du snart betale med en selfie /NFC" så tenker jeg at bankene har særdeles lav troverdighet ang. sikkerhet...

Mar 4, 2017

Digitalt grenseforsvar - The Deep State

Innledning:
«Det er grunn til å anta at den tiltagende bruken av sterk kryptering vil fortsette. Dette vil påvirke den verdien E-tjenesten har av å kunne avlytte kommunikasjonen ved riksgrensen». (kilde: Lysne II) 
«Regjeringen ser det som en utfordring at den informasjonen som E-tjenesten har tilgang til allerede i dag, i stor grad har flyttet seg til andre kommunikasjonskanaler – nærmere bestemt fiberkabler – der tjenesten ikke har tilgang». (Kilde: Forsvarsministeren, NRK) 
"Tilgang med samspill med tjenestens øvrige kapabiliteter og data fra lokale sensorer, samt samarbeid med NSM, PST og den aktuelle virksomheten" (Kilde: Lysne-II

Lysne II rapporten beskriver "Digital grenseforsvar"

Regjeringen har publisert en beskrivelse hvordan funksjonaliteten er tenkt:
(Klikk på bildet for større utgave)


Bemerkninger:

Lysne II-rapporten skriver at E-tjenesten ikke har ønske om å drive masseovervåkning, men at en må likevel legge til grunn at det utstyret som eventuelt vil brukes til DGF, har teknologisk kapasitet til å gjøre nettopp dette.

Og ganske riktig så omtaler denne rapporten en infrastruktur og systemer for massiv overvåking av elektronisk kommunikasjon. Av alle borgerne som nytter internet.

Utover at statlig masseovervåking ønskes legalisert, så er mye uklart, og lite eller mangelfullt reflektert. Relevante problemstillinger er ikke diskutert og noe er også helt eller delvis selvmotsigende. Rapporten er datateknisk svak.

(Lysne presenterte selv at han ønsker debatt om dette, men såvidt jeg har klart å finne, er han ikke tilgjengelig for offentlig debatt via nettet.)


Skissen ovenfor er (sansynligvis) skissert for å gi en logisk oversikt over prosessen, mens i realiteten griper de skisserte punktene inn i hverandre.



Tilgang til utenlandsk kommunikasjon

Dette skal gjøres ved at nettilbyder pålegges å sende kopi av alle data som passerer kabelen til DGF. Formelle pålegg vil være et aktuelt middel dersom frivillig samarbeid ikke fører frem.
(En nettilbyder som "frivillig" kopierer kundenes datastrømmer til statlige myndigheter bør være vanskelig å oppdrive i et demokrati.)

DGF skal selv kunne plukke ut hvilke data de ønsker å behandle videre (eller komme tilbake til senere), og skal mellomlagre kopi av all data som går gjennom kablene.

Videre skal nettilbyder pålegges å kopiere datastrømmen ukryptert for lavere nivå, link-nivået.
(Link-nivået er nivået over den fysiske kabelen men under ruting-nivået, dvs. under IP-nivået. Enkelt sagt så er Ruting-/IP-nivået dataene/datapakkene som sendes over linja). 
At slike pålegg potensielt kan forhindre fremtidig utvikling av teknologi problematiseres ikke.

For kryptert kommunikasjon mellom brukere/bedrifter, eller det en kaller ende-til-ende kryptering, så foregår dette på nivåer over, og er uavhengig av nettleverandøren. Følgelig kan ikke Staten pålegge nettleverandøren dette via konsesjonsregler.

Hva som er mere interessant å merke seg, er at det er underliggende at DGF vil forsøke å knekke ende-til-ende kryptering, men at dette vil være unndratt offentligheten.

Krypterte data øker i volum. Og i hovedsak grunnet snoking.

I et bisetning bør nevnes at for (norske) digitale sertifikater (for kryptering, elektronisk signering, autorisering, autensitet), så vil myndighetene potensielt ha aksess til krypteringsnøkkelen (BankID og tilsvarende som aksepteres for autentisering innen offentlig virksomhet).
Generelt er denne muligheten høyst problematisk og det er heller ikke drøftet her (eller andre steder).

Vi innførte kryptert kommunikasjon for å sikkre transaksjoner - for å gjøre internet trygt tilgjengelig for business. Det tok nitidig innsats fra svært mange for å opparbeide tilliten som var nødvendig for dette.
At offentlige myndigheter mener det er en akseptabel sport å investere i, eller å tilrettelegge for, å ruinere tillit ved sikker kommunikasjon, er direkte uetisk.
Hva Snowden avslørte er datakriminalitet og overgrep i regi av statlige aktører er eksepsjonelt dårlig egnet som forbilde.

Formålsglidningen i mange retninger er allerede gitt...


Filtrering

Av den totale datamengden som kopieres skal det filtreres bort bl.a. kommunikasjon mellom norske borge i Norge. Dvs. dersom to norske borgere befinner seg fysisk i Norge så skal kommunikasjonen mellom disse filtreres bort.
Det høres tilforlatelig ut, men datapakkene på internett har ingen begreper om nasjonalitet. Datapakkene har heller ingen kjennskap til om kommunikasjonen er mellom klient og lege, advokat,  journalist  osv.
En kan filtrerer bort data som går til/fra norsk IP-adresse.  Men det er noe annet enn å filtrere bort kommunikasjon mellom norske borgere.
Bare å lese en norsk nettavise, eller å lese fra Stortingets nettsted vil resultere i trafikk som passerer nettet til DGF. Tilsvarende for de flese norske nettsteder og nettjenester.

Det er direkte meningsløst å skrive en kan filtrere og skjerme norsk-til-norsk kommunikasjon. Det meste en gjør vil gå via, eller vil aksessere,  dataservere utenfor Norge. Å snakke om "landegrenser" for Internet er teknologisk meningsløst.
Det er heller ikke gitt at de reelle IP-adressene for ende-til-ende kommunikasjon er kjent eller tilkjennegis via mellomlagring. (Dette er etterforskningsmyndigheter blitt informert om fra SSAC, Internets Security and Stability Advisory Committee.)

Filtrering er noe en gjør maskinelt. Som betyr at datastrømmer filtreres etter et (eller kombinasjoner av flere) regelsett, for så å gi data ut. Dette tar sekunder, ikke to uker.


Lagring
Korttidslageret skal være en offentlig sandkasse for å teste hvordan teknologien fungerer og opparbeide seg kunnskap om teknologi.  ("Finne hvor relevant trafikk går og hvordan tjenestene på nett et bygget opp, slik at DGF virker").
Jeg ville trodd at det måtte være et krav om at slik kunnskap allerede er opparbeidet innen en slipper noen til slike opgaver som her skisseres.

Videre skal en filtrere bort innholdsdata for å lagre metadata - men samtidig vil en nytte metadata hentet fra innhold i dataene, og denne selvmotsigelsen er ikke nevnt, langt mindre belyst.
Eksempelvis må en åpne mail og lese mailens innholdet for å finne om der er vedlegg av interesse, og for å finne om avsender kan antas å være i eller utenfor Norge. For mange mailtjenester vil slike data  (som viser brukerens IP-adresse eller gir informasjon relatert vedlegg) være fjernet eller kryptert, for å beskytte brukeren.


Metadata

Metadata beskrives som er teknisk informasjon om hvem som kommuniserer med hvem. Eksempelvis telefonnummer, e-postadresser, IP-adresser m.m.

Borgernes identiteter og kommunikasjonsnettverk via internett skal kartlegges (Punkt 6). Men først etter at domstolegodkjenning er gitt (punkt 5)

I praksis betyr dette å nytte analyseverktøy for å binde data til personer, og skissen indikerer også at det kombineres data fra andre kilder enn bare "grensekabelen". Dette er ytterst intrusive verktøy, og persondata selges fritt på markedet. Stater er blant kundene.
"Profiling" av personer og kartlegging av elektronisk nettverk vil fort omhandle 10-tusener personer bare i ett søk (mitt eget "nettverk" i modellen DGF fremmer er i alle fall 6-sifret).


Sanntidsovervåking

I Forsvarets egen presentasjon (tilgjengelig via nettTV fra Stortinget) sier Forsvaret at de ser gjerne av lovverket ikke blir detaljert, de ønsker heller å nytte forskrifter...

Det nevnes at Forsvaret kan komme til å ha nytte av overvåking i sann tid. (Dataene er jo allerede tilgjengelig via DGF).
Dekryptering i sann tid vil sterkt degradere den faktiske sikkerheten til selve kommunikasjonen.
Dette er rimelig teknisk, men er en alvorlig problemstilling som ikke diskuteres. (I prinsippet kan en si at det er ensbetydende med bortimot null sikkerhet - og uten at de involverte advares).


DGF beskriver en sterkt utvidet modell av datalagringsdirektivet. 

Ved massiv overvåking, profiling og diverse mere eller mindre "intelligente" analyseverktøy (som ikke er diskutert, langt mindre problematisert) skal staten, via millitær overvåking og teknologi, akkumulere og lagre profiler, døgnet rundt.


Det er en rekke flere ting som må diskuteres, og avslutningsvis skal jeg nevne et par (men der er flere)

1)For nasjonal sikkerhet, så er dette et farlig konsept.
- Det nevnes at Russland potensielt ønsker å påvirke valg. Det som bør nevnes er hvorvidt The Deep State selv kan manipulere valg, via (bruken av) den informasjonen de sitter på.
- Petraeus-skandalen, hvor en 4-stjernes general måtte gå av grunnet The Deep States snoking i hans ytterst private sfære.
- Det foreligger eksempler på utpressing av personer i betrodde eller utsatte posisjoner. I all hovedsak når dette aldri media.
- Det foreligger eksempler på industrispionasje av ytterst alvorlig karater (heller ikke stoff for media)

2) Konseptet DGF er et massivt overvåkingskonsept for etterretning.
- Det kan ikke fremstilles som egnet konsept for å hindre kriminalitet eller terror.
Eksempelvis er det direkte useriøst å nevne terror i Paris som eksempel på nødvendigheten av DGF
- Det beskytter heller ikke for datasikkerhet
- Målrettet mail med malware har en helt andre metoder for å forhindre, eksempelvis datasikkerhet, sikker konfigurering og implementering av hvordan mail håndteres i en organisasjon.
- Dette vil heller ikke beskytte mot generell datakriminalitet eller datainnbrudd.
- Og ikke minst, dette er et alvorlig brudd både på Grunnloven og EMK.

3) Teknologi som fremmer sikkerhet blir ofte(st) tilsidesatt, utsatt eller ikke implementert fordi det hemmer myndighetenes overvåkingsmuligheter. Vi har sett dette via DNSsec, TSIG, IPv6 og alt som vanskeliggjør State-in-the-middle. Men det er slik teknologi som kan beskytte mot dataangrep.
I stedet for å bruke resurser for å tilegne seg kunnskap via implementering av faktisk og reell sikkerhet, bryter en ned både tillit og sikkerhet - og til en høy pris

Siden det er valgår gir jeg herved tips til politiske partier: De kan selv bidra med valgsikkerheten, ved å ikke nytte utenlandske mailtjenester når de kommuniserer med medlemmer - og slettes ikke gi sine medlemslister til utenlandske tjenesteleverandører, slik noen av dem gjør...

Militær overvåkning av landets borgere via DGF får datalagringsdirektivet til å blekne 
og bør uroe enhver borger, for dette er en tankesett som er svært destruktivt.


Relevant informasjon

Forsvarsminister sier Norge må få på plass et digitalt grenseforsvar for å sikre samfunnet mot cyberangrep og terror.
20.februar annonserte Regjeringen at digitalt grenseforsvar (DGF) utredes

Argumentasjonen er velkjendt:
""Regjeringen ser det som en utfordring at den informasjonen som E-tjenesten har tilgang til allerede i dag, i stor grad har flyttet seg til andre kommunikasjonskanaler – nærmere bestemt fiberkabler – der tjenesten ikke har tilgang"(sier ministeren)"


Fra EOS-rapporten "Særskilt melding til Stortinget om rettsgrunnlaget for Etterretningstjenestens overvåkingsvirksomhet" (datert 2016) fremkommer det at e-tjenesten allerede akkumulerer data.

I dag er en mengde statlige spionbokser installer i nettet, hvorfra e-tjenesten kan innhente data. Disse er implementert under dekke av sikkerhet for bedrifter. Datatrafikk til store norske selskaper kopieres for at de hemmelige tjenestene skal analysere datatrafikken til/fra titusener av ansatte i disse selskapene.

Nå ønskes utvidet aksess ved at dette implementert for fiberkabler inn/ut av landet - samt at praksisen legaliseres ved innføring av nytt lovverk.

I realiteten vil alle borgere være under digital overvåking døgnet rundt.


Digitalt grensevern - E-tjenesten vil plassere snokebokser på alle fiberkabler inn og ut av landet