Vad gäller Deranged Security och TOR så har du antagligen helt rätt att UD antagligen skulle agera som du säger. Access till ambassaders mailkonton faller troligen under Sveriges relation till främmande makt, och då kan information som samlats in på detta sätt hamna under sekretesslagen. Att vara kreativ på egen hand när det börjar handla om mellanstatliga relationer är inget jag skulle vilja rekommendera med.

Din idé om att maila till samtliga konton skulle antagligen ses som ett scam/phisingförsök. Och att sedan publicera hela klabbet inkl kod… IANAL, men du hade antagligen fått ett tryggt boende för ett tag framöver.

“Unfortunately, the media did not impart the whole story in regard to the flyers. Flyers were not just placed on vehicles that contained visible items. Flyers were also placed on vehicles that contained no visible items with a note saying “Nothing Observed (Good Job!)”. All vehicles were targeted. This initiative was not aimed only at vehicles that had items actually visible. Therefore, the flyers would not have been of any use to a thief for targeting vehicles since vehicles without items also received flyers. In addition, it was also not reported that all of the areas had extra patrols and officers on foot who were distributing the flyers.

We are sorry that the media did not provide this information despite the fact we asked them to. We hope that makes you see that our initiative was better planned than you believed.”

http://www.schneier.com/blog/archives/2007/12/police_helping.html#c224479

“Jag hade antagligen: (1) Kontaktat UD med informationen”

UD skulle ha hemligstämplat listan “av hänsyn till främmande makt” och antagligen belagt dig med tystnadsplikt. Sedan skulle listan troligen ha hamnat hos en eller annan spionorganisation – såvida inte spionerna redan hade egna Tor-noder i drift och redan hade all informationen.

“(2) Fortsatt att prata med ambassader även om dom reagerat otrevligt.”

Och alla de andra användarna också antar jag. Räknar du med att hinna beta av dem fortare än nya tillkommer?

“(3) Publicerat en lista, men sett till att anonymisera informationen. Inte lätt att få till antagligen.”

1: anonymt konto, dolt lösenord
2: anonymt konto, dolt lösenord
3: anonymt konto, dolt lösenord
.
.
.
100: anonymt konto, dolt lösenord

Jo du, det skulle ha övertygat många det.

“Hur skulle du själv ha agerat?”

Jag skulle inte ha varit tillräckligt engagerad för att ta fram informationen till att börja med, men om vi antar att jag ändå hade gjort det så skulle jag ha skickat en varning med epost till samtliga konton: “Your email password is no longer secret. Change your password NOW and switch to encrypted protocols!”. Därefter skulle jag ha väntat 24 timmar och sedan publicerat på ett flertal ställen så att det inte skulle gå alltför lätt att censurera bort informationen. Förmodligen skulle jag ha publicerat hela klabbet – inte bara hundra ambassadkonton utan hela listan, plus programkod för att automatisera avlyssningen och detaljerade instruktioner. Jag skulle ha räknat med att massvis med tonåringar skulle använda lösenorden till att busa litet, men att skadan av det skulle vara försumbar jämfört med skadan av att folk använder Tor i tron att de skyddar sin kommunikation men i själva verket bara gör det lättare för spioner och kriminella att avlyssna dem.

Hur mycket publicitet jag skulle ha fått på det viset vet jag inte. Det kan tänkas att Dan Egerstad åstadkom fler tidningsnotiser och varaktigare minnen hos kreti och pleti genom att vara litet hemlighetsfull och locka folk att spekulera. Å andra sidan kan det tänkas att han motverkade sitt syfte, att många som läste om publiceringen aldrig nåddes av budskapet att man inte ska använda Tor så.

Över till DS.
Vad jag förstått så var grunden till avslöjandet av lösenorden inte något nytt säkerhetsproblem, utan ett felaktigt användande av tor från ambassadernas sida. Det finns egentligen inte någon anledning att tro att inte någon annan kan ha gjort precis samma sak tidigare och därmed fått tag på lösenorden, då den “svaghet” som användes var väl känd. Att vänta med att offentliggöra problemen skulle sannolikt inte löst några problem, utan tvärt om riskerat att förvärra dem. Även om den information som fanns i ambassadernas brev sannolikt var av trivial karaktär, så bytte förhoppningsvis ambassaderna omedelbart lösenord och slutade använda tor på ifrågavarande sätt. Jag kan inte se att denna lösning var annat än snabb och effektiv. Det man möjligen kan framföra som kritik är att DS inte omedelbart också avslöjade ORSAKEN till att lösenorden kunnat fås, och detta, att inte omedelbart gå ut även med denna information, utsatte ambassaderna för extra fara. I detta fall fanns en omedelbar fix för ambassaderna, och det fanns inte någon egentlig anledning att vänta med ett offentliggörande, då ambassaderna knappast behövde extra tid för att kunna korrigera det enkelt åtgärdbara problemet. Orsaken till att vänta med ett offentliggörande är ju, som du skriver, att ge någon tid att korrigera ett fel som sannolikt inte finns vilt. I detta fall så var felet känt, korrektionen trivial och det fanns dessutom ett behov av att skydda tredje man. Jag kan inte säga annat än att de gjorde rätt i att avslöja problemet direkt, men tycker att de också borde avlöjat problemets orsak direkt.

I övrigt ställer jag mig en smula frågande till den i allt genomgående principen av sekretess inom datorsäkerhetsvärlden. Naturligtvis är ett ansvarfullt avlöjande att föredra framför ett direkt offentliggörande OM det kan förväntas att säkerhetsproblemet INTE redan är känt eller finns vilt, och OM mjukvarutillverkaren kan behöva tid för att åtgärda problemet, och OM det inte redan finns en enkel fix. Är inte alla dessa “om” uppfyllda ser jag inte någon anledning till att vänta med ett avslöjande.
Däremot finns en inte lika uppenbar fördel av ett mer långsiktigt hemlighållande. MS patchar tex vissa produkter utan att någonsin ange att det funnits fel i dem. De fel denna felaktiga felrapportering orsakar i säkerhetsstatistiken, ligger sedan till grund för mer eller mindre insatta artiklar jämförande olika produkter.

Sedan kan man naturligtvis fråga sig om det hemlighållande som kommersiella säkerhetskonsulter regelmässigt har i förhållande till sina uppdragsgivare inte mer är ett uttryck för en ren marknadsanpassning, snarare än en långsiktig önskan att uppnå säkrare datorsystem och mjukvarumiljöer.

Björn:
Ang Polisen: Ja, jag är rätt övertygad om att det är lättare att på avstånd se polisens stora, gula lappar och koncentrera sig på dessa bilar än att gå och kolla i alla bilar. Polisen har sas gjort pre-screening av bilarna.

Det jag inte påpekade var att polisen inte stannar kvar på parkeringsplatsen efter att man lappat bilarna, utan man kollar upp efter bilar med värdesaker, sätter lappar på dessa och går vidare.

Ang Deranged Security:
Svårt att säga vad han skulle gjort istället. Men att publicera den information han gjorde var fel. Jag hade antagligen: (1) Kontaktat UD med informationen (2) Fortsatt att prata med ambassader även om dom reagerat otrevligt. (3) Publicerat en lista, men sett till att anonymisera informationen. Inte lätt att få till antagligen.

Det viktiga är: Om magkänslan säger att publiceringen av en given information leder till att någon direkt kan bli utsatt för problem så tar man bort den delen av informationen. Doubt mean no.

Hur skulle du själv ha agerat?

Om Deranged Security: Vad anser du att Dan Egerstad borde ha gjort i stället? Ägnat resten av livet åt att ringa kors och tvärs i världen och försöka få folk att lyssna? Om du läste vad Dan själv skrev så vet du att han försökte ringa en av ambassaderna och blev mycket ovänligt bemött. Det var antagligen precis vad han väntade sig.

Märk väl att de etthundra lösenorden som Dan publicerade bara var några utvalda exempel. Han avstod från att hänga ut hundratals eller kanske tusentals andra Tor-missbrukare. Dessutom skulle tillströmningen av nya missbrukare ha fortsatt oförminskat om han inte hade gjort något tillräckligt spektakulärt för att få världspressen att reagera. (Jag kan i och för sig mycket väl tänka mig att tillströmningen fortsätter ändå. Stultorum infinitus est numerus.)