Kryptoblog

(Kompletterat med fler funderingar och tankar.)

För några veckor sedan hade Bruce Schneier en postning om en metod för att genomföra avlyssning av krypterad VoIP-trafik.

Bruce postning pekar på en artikel hos New Scientist som innehåller mer information. I artikeln berättas att forskare vid John Hopkins-universitetet på konferensen 2008 IEEE Symposium on Security and Privacy presenterat en artikel om hur de kan detektera ord och meningar även om kommunikationen är krypterad.

En av forskarna bakom artikeln är Charles V Wright.

På Charles webbplats finns två olika artiklar som beskriver olika aspekter av attacker mot krypterad VoIP-trafik. Artikeln Spot Me if You Can: Uncovering Spoken Phrases in Encrypted VoIP Conversations är den som New Scientist skriver om.

Båda artiklarna tar avstamp i att det i många digitala system för röstkommunikation används talkodare (speech encoder) som ger variabel bitlängd (VBR) på kodordet beroende på vad det är för ord som kodas. När sedan det kodade talet krypteras med ett strömkrypto som bevarar längden på kodordet upptår en varians i bitströmmen som är starkt korrelerad till orden i samtalet. Denna varians läcker alltså information om den krypterade kommunikationen, information som går att utnyttja.

Forskarna har fokuserat på CELP-baserade (Code-Exited Linear Prediction) talkodare, vilka ger upphov till variabel kod. CELB-baserade talkodare är mycket vanliga och återfinns bland annat i GSM, LTE (AMR-kodaren), flera “G.”-CODEC:ar (exempelvis G.728) och Speex. I sitt arbete har forskarna har använt Speex.

Forskarna har använt flera olika databaser med röster, databaser som används för att utveckla talkodare, för att upptäcka att det finns en korrelation mellan ord och kodat tal som är krypterat. En av de databaser som använts är TIMIT.

Ord och fraser har kodats med Speex och sedan analyserats utifrån varians. Forskarna har byggt upp en prediktor för varje fras de letar efter, Prediktorerna är Markov-modeller (HMM - Hidden Markov Model).

Prediktorerna har sedan fått titta på den krypterade bitströmmen och utvärdera om den överensstämmer med den varians som skall finnas för de fraser respektive prediktor är tränad på.

Eftersom CELP-kodare arbetar på korta fonem och frikativ blir mer komplicerade ord lättare att detektera. Ord som artificial och intelligence visade sig vara lätta att detektera. (Gissningsvis skulle Laplacetransformerade differentialekvationer sticka ut ordentligt..).

Resultatet är riktigt imponerande/skrämmande/överraskande:

Our results show that an eavesdropper who has access to neither recordings of the speaker’s voice nor even a single utterance of the target phrase, can identify instances of the phrase with average accuracy of 50%.

In some cases, accuracy can exceed 90%. Clearly, any system that is susceptible to such
attacks provides only a false sense of security to its users.

Frasen Young children should avoid exposure to contagious diseases predikterades perfekt i de tester som utförts. Forskarna fick dock en del falska träffar (false positives), men ju längre den sökta frasen var desto mindre falska fel erhölls.

I artikeln beskrivs även om försök att skydda kommunikationen genom att fylla ut den variabla bitströmmen till block om 128, 256 eller 512 bitar. Paddning visade sig fungera mycket bra. Nackelen med paddning är att det kostar i bandbredd. 512 bit stora block med Speex ger en extra bandbredd på drygt 30%. Paddning till 128 bit verkar vara minimum att använda, vilket ger en extra bandbredd på 16.5%.

Den andra, något äldre artikeln, Language Identification of Encrypted VoIP Traffic: Alejandra y Roberto or Alice and Bob? visar hur det går att identifiera vilket språk som talas i en krypterad VoIP-kommunikation. Detta utan orden i samtalet identifieras.

Författarna använder här variansen i samtalet i kombination med information om fördelning av ord, och speciellt bigram och trigram av ord för olika språk. Dessa fördelningar används för att skapa mönster eller prediktorer. Och det fungerar mycket bra. Forskarna skriver:

For instance, our 21-way classifier achieves 66% accuracy, almost a 14-fold improvement over random guessing. For 14 of the 21 languages, the accuracy is greater than 90%. We achieve an overall binary classification (e.g., “Is this a Spanish or English conversation?”) rate of 86.6%.

Även i den här artikeln har författarna undersökt hur väl det fungerar att försöka eliminera variansen genom att padda det kodade samtalet upp till fixa storlekar:

Padding to 128-bit blocks is largely ineffective because there is still sufficient granularity in the packet sizes that we can map them to basically to th esamet hree bins used by our improved classifier inSection4.2.

Even with192- or 256-bit blocks, where dimensionality reduction does not offer substantial improvement, the correct language can be identified on the first guess over 27% of the time — more than 5 times better than random guessing.

Sammantaget innebär resultaten i båda artiklarna alltså att även om det inte går avlyssna/tolka vad som sägs i ett samtal, går det att identifiera vilket språk som samtalet förs på!

Notera att det inte spelar någon som helst roll vilket krypto som används (så länge som variansen är bevarad). Kryptot kan vara hur bra som helst. Detta är ett exempel på en sidoattack och sättet att skydda sig mot detta är att inte tillåta någon varians, utan att kasta bandbredd på problemet och köra med en kodare som har en fix bandbredd ut. En sådan kodare är GSM Enhanced Full Rate, men även Speex innehåller en kodare med fix bandbredd.

En annan observation är att attackerna som presenteras i de två artiklarna är förhållandevis (förvånande) enkla. När väl prediktorerna har tagits fram krävs det lite beräkningskapacitet för att utföra attacken på strömmande data. Har man bara en kraftfull dator borde det inte vara något problem att titta på trafik realtid, iaf för ett begränsat antal samtal och begränsat antal fraser.

Jag hade dock valt att bygga en implementation av artiklarna med FPGA:er.

En trevlig FPGA från Altera.

Markovkodarna borde gå kanonfint att implementera som finita tillståndsmaskiner (FSM) med träningsmönster och tillstånd i block-RAM. En FSM-baserad HMM borde hinna med att hantera flera fraser (tidsmultiplex), och i en FPGA borde det gå att få in hundratals HMM:er.

Med hjälp av tekniken i den gamla artikeln detekterar man vilket språk som gäller. Utifrån den kunskapen laddar man in de träningsmönster som gäller i block-RAM. Sedan kan FPGA:erna leta efter intressanta mönster. Vid träff går man vidare och gör en mer detaljerad analys.

Så hade jag gjort.

På Charles Wrights webbplats finns en hel del andra intressanta artiklar vad gäller trafikanalys på krypterad trafik. Bland annat hur man kan identifiera och visualisera vilken typ av data (videoström, filöverföring, epost, webbsidor) som skickas i en krypterad ström. Mycket spännande om man är intresserad av att veta hur modern trafikanalys kan gå till, och vad man kan göra för att skydda sig.

Bruce Schneier har en postning som, återigen, listar ett antal forskningar som visar att satsningar på allmän övervakning ger extremt liten eller ingen som helst positiv effekt på brottslighet. Den övervakning som det handlar om är kameraövervakning (CCTV) och som ofta handlar det om England, landet som är världsmästare på CCTV-övervakning.

Bruce Schneier skriver:

To some, it’s comforting to imagine vigilant police monitoring every camera, but the truth is very different. Most CCTV footage is never looked at until well after a crime is committed. When it is examined, it’s very common for the viewers not to identify suspects. Lighting is bad and images are grainy, and criminals tend not to stare helpfully at the lens.

Cameras break far too often. The best camera systems can still be thwarted by sunglasses or hats. Even when they afford quick identification — think of the 2005 London transport bombers and the 9/11 terrorists — police are often able to identify suspects without the cameras. Cameras afford a false sense of security, encouraging laziness when we need police to be vigilant.
…
But the question really isn’t whether cameras reduce crime; the question is whether they’re worth it. And given their cost (£500 m in the past 10 years), their limited effectiveness, the potential for abuse (spying on naked women in their own homes, sharing nude images, selling best-of videos, and even spying on national politicians) and their Orwellian effects on privacy and civil liberties, most of the time they’re not.

The funds spent on CCTV cameras would be far better spent on hiring experienced police officers.

Det handlar alltså om effektiviteten. Hur vi får ut maximal effekt för de pengar vi lägger på insatser mot brottslighet? Vi ställer effektivitetskrav inom de flesta områden, varför inte här?

Den andra aspekten Bruce tar upp är kostnaden för personer som filmas. De som sitter och övervakar är också människor - människor som inte heller alltid följer lagen och utnyttjar sin nya makt på felaktiga sätt.

En artikel i The Guardian berättar närmare om två fall i England där CCTV används för att spionera på privatpersoner på ett helt annat sätt än vad som var avsett.

Det första fallet handlar om där kommunpolitiker använde de CCTV-kameror som installerats som en del i Regulation of Investigatory Powers Act, avsedda att jaga grova kriminella och terrorrister, för att kontrollera om en person som sökte till en skola verkligen bodde där hon sade att hon bodde:

A couple of months ago it was discovered that Poole borough council, in Dorset, had used the Regulation of Investigatory Powers Act - designed to track serious criminals and terrorists - to determine whether a school applicant and her parents lived where they said they did.

They did, and were appalled to discover they had been spied on for three weeks, the subject of surveillance notes such as “female and three children enter target vehicle and drive off”.

Det andra fallet handlar om att man på polisstationen i Worcester upptäckte en 20 minuter lång film som noga följde en kvinnlig privatperson och visade närbilder av hennes kropp:

a 20-minute sequence of close-ups of a woman’s cleavage and backside as she walked oblivious through the streets. Whether the woman ever discovered she was the star of a kind of pervert Truman Show is not recorded. But the offending monitor escaped with a warning and was - unbelievably - back in post within weeks.

Mycket hemskt, speciellt att när att felaktigheter har begåtts tas det inte på allvar. Integriteten hos de som övervakas är värd ytterst lite, antagligen mycket mindre än kostnaden för en kamera till.

(Ändrat texten efter kommentarer om att Bodström inte initierade lagförslaget.)

FRA-lagen har blivit inte bara blockpolitik utan närmast en kabinettfråga. Detta gör det extremt svårt för några borgerliga riksdagsledamöter att rösta nej till propositionen. (Den som är konspiratoriskt lagd skulle kunna få för sig att Bodström angriper propositionen just för att garantera att ingen skall våga rösta emot propositionen.)

Jag tänker inte upprepa all kritik som så många och vitt skilda, men på olika sätt insatta och kompetenta instanser riktat mot förslaget. Instanser som Lagrådet, Advokatsamfundet, SÄPOs förra chef, Journalistförbundet och forskare, exempelvis Willhelm Agrell och Dennis Töllborg. Man skulle kunna hoppas att riksdagsledamöterna tog till sig av bredden och djupet av kritiken. Och dessutom kritik från sina partimedlemmar och speciellt de väljare man är vald att representera.

Omröstningen i riksdagen sker på onsdag, så än är det inte försent. Prata vänligt med din riksdagsledamot och få denne att förstå att du som väljare, den ledamoten representerar, inte vill att förslaget går igenom.

En person som man kunde hoppas på att Regeringen lyssnar på är Patrik Fältström, medlem i Regeringens IT-råd och en av världens främsta experter på Internet. Patrik har skrivit ett par bra inlägg på sin blogg (inlägg ett, inlägg två) om varför han är emot propositionen i sin nuvarande skrivning.

Notera att Patrik, precis som jag, tycker att Sverige skall ha möjlighet att upptäcka yttre militära hot. Vidare, av de personer jag träffat från FRA är min uppfattning att det är en seriös och ytterst kompetent organisation som tar sitt uppdrag på allvar. Men som förslaget ser ut i dag är det ett slarvigt, dåligt formulerat förslag med på tok för stora negativa konsekvenser. Vi kan bättre.

Ett exempel på hur märkligt datatrafik kan routas och hur svårt det är att avgöra vad som är inhemsk trafik kom från en kollega. Nyligen flyttade hans företag sitt kontor mindre än två km inom Stockholm centrum. Under en övergångsperiod hade företaget kvar datorutrustning på den gamla platsen och skickade trafik mellan de två platserna. Till sin förvåning upptäckte kollegan att trafiken, som gick mellan Bredbandsbolaget och svenska operatören Netcraft, utbyttes via en knutpunkt i tyskland!

Den här filmen är för övrigt helt briljant gjord och vi skulle verkligen behöva några som på ondag vågar kliva upp på sina pulpeter i kammaren och stå upp för sin övertygelse. Med din hjälp kan det bli så.

Dags att krama din riksdagsledamot, på torsdag är det för sent.

(Ännnu en nyhet kopplad till flyg, IT-säkerhet och integritet, det verkar vara ett område där det finns mycket vilja att hitta på teknologiska lösningar på olika problem - och antagligen finns det mycket pengar att tjäna.)

Elektroniktidningen rapporterar att SAS planerar att sätta aktiva RFID-taggar på passagerare på Kastrups flygplats.

Problemet som SAS vill lösa är att ca fyra procent av alla försenade avgångar beror på att passagerarna inte tar sig till utgången till planet i tid. Enligt artikeln vill SAS lösa detta genom att:

Passagerarna vid incheckningen får en RFID- och Bluetoothförsedd plastbricka, som återlämnas vid ombordstigningen.

RFID-tekniken visar i realtid var passageraren befinner sig med en noggrannhet på omkring 100 meter. Systemet delar in passagerarna i tre grupper, grön för de som är nära gaten, gul för dem som kan hinna till gaten om de skyndar sig, och röd för de som inte har någon chans att komma i tid.

När det är dags för ombordstigning skickas ett SMS via Bluetooth till de “gula” passagerarens mobiltelefon. De “röda” passagerarna kan om nödvändigt bokas om, och deras bagage tas bort från flyget.

Enligt artikeln kallas systemet Gatecaller och är utvecklat av danska Lyngsø Systems i samarbete med Köpenhamns IT-universitet och Risø National Laboratory: Bluetooth-utrustning är levererad av Blip Systems. Danska staten har finansierat utvecklingen med 16 miljoner kronor.

Söker man på nätet efter Gatecaller träffar man istället på ett system kallat SPOPOS, som dock verkar vara samma system som Gatecaller.

På SPOPOS finns en hel del mer information om systemet. Följande är direkt från webbplatsen:

In Copenhagen Airport, Kastrup, which is the test area for the SPOPOS project, we have set up 19 fixed zones/reading points and one mobile zone/reader that can be moved around as required.

Each zone contains an antenna for tracking RFID tags, and an antenna for tracking Bluetooth receivers in mobile phones. Each of the zones covers an area of up to 2000 square metres, corresponding to a radius of 25 metres, depending on the layout of the room and its location. These zones cover approximately 25 per cent of the total area in the transit hall of the airport.
The main elements of the SPOPOS system

The SPOPOS system comprises 6 main elements:

* An RFID tracking system based on tags mounted on mobile equipment.

* An RFID tracking system based on tags worn as “badges”.

* A Bluetooth tracking system that can register mobile phones with accessible Bluetooth connections.

* A Bluetooth-based communication system for mobile units which provides subscribers who are connected with a number of time and location-based services.

* An analysis system for filtering and displaying the tracking data that are collected by means of the systems listed above.

* A web questionnaire that can integrate individual tracking data in real time.

Det finns även en sida som lite mer i detalj beskriver tekniken bakom med bild och text om basstationerna och brickorna.

Om man jämför med storleken på Ethernetporten och antennerna borde brickan vara närmare 5×10 cm.

SPOPOS-gruppen har även genomfört en undersökning om passagerarnas inställning till systemet. Tanken jag får när jag läser resultatet är att som man ropar får man svar…

Slutligen finns det en sida som försöker besvara en del frågor om säkerheten, speciellt vad gäller integriteten. Bland annat får man reda på att:

Does SPOPOS save my information?

YES and NO. When you have used the SPOPOS service in the airport, you will subsequently have the opportunity to log onto a homepage and see your own unique route on a map. This is possible because SPOPOS saves the information in the system. However, you are the only one who has the identification code required to log in. This number will be allocated to you personally when you use the SPOPOS service.

As soon as you have left the airport, the information that has identified you in relation to the airline and the airport will be deleted. From then on, your route will exist merely as a statistic in the system.

Konceptet är egentligen bra, men när jag funderar på systemet dyker det upp ett antal frågor.

När jag funderar på det här systemet dyker det upp ett stort antal frågor, exempelvis:

Varför behöver systemet över huvud taget koppling till passagerarens mobiltelefon? Problemet systemet försöker lösa borde gå att lösa utan att passagerarens namn + mobilnummer registreras. I enklaste fallet får en passagerare en slumpmässigt vald aktiv enhet (en bricka) med ett specifikt ID. Brickan stödjer positionering och som går att fås att larma när det är dags att gå till utgången. Dvs man får bort mobilnumret som beroende.

Kravet på en mobiltelefon är över huvud taget märkligt. Det borde göra systemet mer sprött i och med att mobiltelefonen måste nås för att passageraren skall kunna larmas. Skall SAS börja kräva att personer ser till att ha mobiler som är laddade?

Varför behöver passagerarna över huvud taget en möjlighet att logga in på en webbplats? Genom att det finns en koppling mellan person, resa och mobilnummer exponerar en sådan access privat information om passagerarna på ett onödigt sätt.

Vilka garantier har jag för att SAS verkligen förstör den insamlade informationen på rätt sätt? På vilket sätt raderas informationen?

En annan sak, vad händer om brickan kommer bort? Får man inte åka med? Får man böta? Vad händer om en person dyker upp med fel bricka - finns det risk att fel person får följa med?

Kommer detta innebära att man som passagerare förväntas ha en mobiltelefon? Med tanke på att länder som USA och England börjat kopiera minnen från datorer, telefoner etc som tillhör passagerare är det inte säkert att man vill ha med sig en telefon.

Och ökar detta system risken för att personer har på sina mobiltelefoner under flygning? (Om det nu egentligen är ett problem är en anan fråga.)

Vad tror ni?

Sprang på en häftig grej på nätet som har en del säkerhetsmässiga implikationer.

Pilot View är ett system för att utrusta ett radiostyrt fordon, ex ett flygplan eller en helikopter med en liten videokamera och sedan skicka videosignalen till ett par VR-glasögon. Effekten blir som att man själv sitter i cockpit:

Pilot View - konceptbild.

VR-glasögonen.

På Hobby Lobbys webbplats för Pilot View finns en film som visar Pilot View, en film väl värd att titta på. Otroligt fräckt, speciellt med extrafunktionen där riktning, höjd och annan information läggs in i bilden. Antagligen så nära man kan komma att flyga själv. Enligt en som testat är det bra att sitta ner, folk tenderar att ramla omkull när dom rollar med planet.

Priset för Pilot View är 549 USD, vilket med dagens växelkurs gentemot amerikanska lire inte är speciellt mycket pengar.

Men frågan är vilka säkerhetsmässiga implikationer den här tekniken öppnar upp för? Det är inte bara paparazzis som skulle kunna hitta skäl att missbruka den här tekniken. Både storebror och lillebror får för en billig penning ett helt nytt perspektiv att övervaka ifrån. (Om man är lite paranoid.)

BoingBoing rapporterar om ett pågående projekt bland Europeiska flygbolag om att kameraövervaka alla passagerare under flygning för att detektera terrorister. (Grunden till Boingboing-postningen är en artikel från New Scientist med titeln In-flight surveillance could foil terrorists.)

Det EU-sponsrade projektet kallas SAFEE (Security of Aircraft in the Future European Environment), och syftet med SAFEE enligt projektets webbplats är:

SAFEE is a large integrated project designed to restore full confidence in the air transport industry. The overall vision for SAFEE is the construction of an advanced aircraft security system designed to operate during on-board terrorist threat scenarios.

The main goal of this system is to ensure a full secure flight from departure to arrival destination whatever the identified threats.

Tanken är att varje passagerare skall övervakas av en kamera framför varje stol samt sex olika kameror i kabinen. Via dessa kameror analyseras kontinuerligt beteendet hos passagerarna och vad som händer i kabinen och ett datorsystem avgör sedan om det sker något terrorist-fuffens eller ej.

Och hur känner systemet igen en typisk terrorist? Enligt forskaren James Ferryman vid University of Reading som arbetar i projektet tittar systemet på beteenden som:

It looks for running in the cabin, standing near the cockpit for long periods of time, and other predetermined indicators that suggest a developing threat,” says James Ferryman of the University of Reading, UK, one of the system’s developers.

Other behaviours could include a person nervously touching their face, or sweating excessively.

Men om detta låter lite vagt försäkrar Ferryman att det är bättre än så:

Much of the computer’s ability to detect threats relies on sensitive information gleaned from security analysts in the intelligence community.

Så om jag är flygrädd samt behöver sträcka på benen för att inte få kramp så riskerar jag ändå inte att få ett oväntat sällskap av en vakt med en Taser? Skönt att veta.

Visst, jag väljer själv om jag vill flyga eller ej, och visst är det bra att försöka stoppa terrorism. Men det här projektet handlar om massövervakning för att lösa ett problem med metoder med tveksam effektivitet.

Ferryman och hans kollegor är säkert seriösa forskare som tar sitt arbete på allvar. Jag bläddrade igenom en del av de artiklar som Ferryman publicerat, och det finns en del saker som faktiskt är vettigt. Bland annat videoövervakning av parkerade flygplan. En relativt väl definierad uppgift där ett antal kameror skulle kunna ersätta en massa fysisk säkerhet (staket).

Men när jag går igenom materialet från SAFEE hittar jag inget som egentligen värderar nyttan gentemot kostnaden för passagerarna, både i form av minskad integritet och ökade kostnader för biljetter och skatt. Även om systemet aldrig kommer i praktisk användning låter projektet i sig som klart otrevligt:

Ferryman admits that his system will require thousands of tests on everyday passengers before it can be declared reliable at detecting threats.

Om nu inte detta är absurt nog har Boingboing en postning om en person som stoppats på Heathrow för att han hade en T-shirt med en bild på Transformern Optimus Prime.

En bild på en beväpnad bil-robot ansågs som en fara för säkerheten och det var bara att ta av sig tröjan eller bli arresterad. Som en läsare på BoingBoing uttryckte det:

Guess its a good thing he wasn’t wearing these boxers:

Allvarligt talat, hur mycket dumhet får det finnas? Att man förbjuder atrapper av vapen är en sak, men en T-shirt? Och jag gissar att motiveringen att Optimus Prime är god och faktiskt försöker rädda mänskligheten mot ondska inte hade hjälpt.

Ja, vi skall stoppa terrorism, men det här kan inte vara rätt sätt.

Pawal rapporterar att Migrationsverket, FRA, FMV och PTS verkar ha börjat filtrera bort Creeper. Det mest intressanta är att det verkar ske samtidigt från mer än en myndighet. Tydligen är det bara myndigheter som skall få kolla vem som gör vad på nätet.

Men att döma av Creeper-loggarna surfas det fortsatt friskt på Regeringskansliet.

Expressen har publicerat ett vad jag tycker intressant och bra debattinlägg om de hot mot vår integritet som dyker upp i jakten på illegal fildelning. Utgångspunkten för artikeln är det förslag regeringen lägger fram och som ser ut att gå mycket längre än vad EG-domstolen slagit fast behöver införas. Författarna till artikeln skriver bland annat:

Vi är bekymrade över att nätsamhällets löfte till medborgarna om en spännande demokratisering kan omintetgöras av beslutsfattare som värjer sig mot att ta del av tänkandet runt detta.

Vi är också oroade över att reglerarna tycks villiga att offra grundläggande demokratiska fri- och rättigheter för att upprätthålla gamla strukturer.

Dessa verkar på ett förbluffande lättvindigt vis acceptera generell registrering, övervakning och avlyssning av hela folkets kommunikation. Integritetsintresset är inte ens företrätt på utfrågningen.

Så här får det inte gå till. Riksdagen måste hålla en kompletterande utfrågning om nätsamhällets löften där även status quo får ifrågasättas och debatteras. Reglerarna kan inte enbart anpassa sig till dem som kan hotas av ny teknik.

Ett problem författarna tar upp är att i den utfrågning som upphovsrätt på Internet som arrangeras i dag ser ut att vara snedvriden.

När vi ser talarlistan för riksdagens “Offentliga utfrågning om Upphovsrätt på Internet” tydliggörs denna bristande förståelse för de förändrade samhällsroller som tekniken skapar. Evenemanget sänds direkt av SVT i morgon 3 april. Kulturutskottet låter hela sex organisationer tillkännage “branschernas synpunkter” för riksdagens ledamöter. Det handlar om organisationer med starka ekonomiska intressen av hårdare tag.

Två personer får framföra “konsumenternas synpunkter”. En är generalsekreterare för en statligt finansierad organisation. Den andre föreslog tillsammans med utredaren Cecilia Renfors att fildelande människor skall kunna förlora rätten att använda Internet och skrev i Expressen en artikel med titeln “Så rensar vi upp bland fildelarna”. Från Internetoperatörer och nätforskning får sammanlagt tre röster uttala sig.

Det har föreslagits att olika visionära tänkare skulle få höras men kulturutskottets kansli säger sig bara vilja bjuda in folk som “förespråkar de legala alternativen” och som “representerar någon”.

Författarna till artikeln är bland annat Jonas Bosson - Förening för en fri informationsinfrastruktur, Elza Dunkels - Umeå universitet, Eva Frölich - vd Frobbit AB, Patrik Fältström - Internetexpert i regeringens IT-råd, Oscar Swartz - Internetentreprenör, Staffan Truvé - vd på SICS och The Interactive Institute samt Dennis Töllborg - professor vid Handelshögskolan i Göteborg.

Den senaste tiden har det kommit allt fler rapporter om laptops som blivit konfiskerade eller där hårddisken blivit klonad av säkerhetskontrollen på flygplatser. De flesta av dessa händelser har skett i USA, men även i England och Sudan har detta skett.

En typ av laptop som tydligen är extra besvärlig är Apples nya Macbook Air som ställer till det för säkerhetspersonalen. Enligt TSA är det i första hand den SSD-hårddisken som inte ser ut som förväntat vid röntgenundersökningen.

C|NET har publicerat en krönika av Declan McCullagh kallad Laptop Border Guide som kommer med tips på hur du skyddar din laptop mot problem i säkerhetskontrollen.

Krönikan kommer med olika tips utifrån hur paranoid (viktigt du tar din säkerhet). Jag tycker kanske att utgångspunkten (skydda din laptop mot säkerhetskontroller) är lite fjompig, men jag tycker att guiden innehåller bra tips för att skydda din laptop generellt. Det är ju inte bara i säkerhetskontroller en laptop kan hamna i orätta händer.

Jag kan inte låta bli att dra paralleller mellan flygindustrin och film- och skivndustrin och deras försök att med olika typer av lagförslag och tekniska lösningar försöker styra, kontrollera och övervaka sina kunder. Utgångspunkten är att kunderna är misstänkta och behandlas därefter. Och detta är dessutom en affärsmöjlighet.

Jag är därför inte förvånad över att dett det dyker därför upp ett antal olika förslag på hur passagerarna skall förses med olika typer av prylar som håller koll på dom. Eftersom RFID-teknik är populärt är det inte alls förvånande att något kommit med ett förslag att sätta RFID-taggar på alla passagerare.

För problemet med laptop-datorer finns det även förslag på speciella, TSA-godkända laptopväskor. Som en kommentar på Schneiers blog påpekar:

Some company’s gonna make overpriced “TSA Approved” bags and there’s gonna be lots of buyers. Quite surely. “TSA Approved” certainly sounds like an excellent marketing tool too. This is so funny…

Det senaste förslaget är att utrusta samtliga passagerar med armband som kan avge elektriska stötar (motsvarande en tazer-pistol):

A method of providing air travel security for passengers traveling via an aircraft comprises situating a remotely activatable electric shock device on each of the passengers in position to deliver a disabling electrical shock when activated; and arming the electric shock devices for subsequent selective activation by a selectively operable remote control disposed within the aircraft.

The remotely activatable electric shock devices each have activation circuitry responsive to the activating signal transmitted from the selectively operable remote control means. The activated electric shock device is operable to deliver the disabling electrical shock to that passenger.

Är det någon mer än jag som funferar på vilken säkerhetsrisk ett sådant system utgör? Om någon tar över kontrollen till strömstötutrustningen går det antagligen att använda passagerarna som gisslan. Och vad skulle kunna hända om strömmen i utrustningen appliceras på flygplanet?

Det mest skrämmande är dock att någon antagligen tycker att detta är en bra idé…

Boing Boing TV (BBtv) har ett reportage från O’Reillys Emerging Technology-konferens som visar hur American Express nya kreditkort med inbyggt RFID-chip visar sig släppa i från sig kortnummer, namn på personen kortet är utställt till och giltighetstiden - detta utan några som helst krav på autentisering från läsaren eller andra skydd av informationen.

Minst sagt skrämmande. Skrämmande att ett företag som sysslar med krediter 2008 kan släppa en sådan här osäker produkt och skrämande att man uppenbarligen bryr sig så lite om sina kunders säkerhet.

Pablos Holman mannen i videon som demonstrerar attacken, använder en RFID-läsare han enligt egen utsago köpt på Ebay för 8 USD, så mycket är American Express kunder säkerhet värd.