Kryptoblog

Boing Boing TV (BBtv) har ett reportage från O’Reillys Emerging Technology-konferens som visar hur American Express nya kreditkort med inbyggt RFID-chip visar sig släppa i från sig kortnummer, namn på personen kortet är utställt till och giltighetstiden - detta utan några som helst krav på autentisering från läsaren eller andra skydd av informationen.

Minst sagt skrämmande. Skrämmande att ett företag som sysslar med krediter 2008 kan släppa en sådan här osäker produkt och skrämande att man uppenbarligen bryr sig så lite om sina kunders säkerhet.

Pablos Holman mannen i videon som demonstrerar attacken, använder en RFID-läsare han enligt egen utsago köpt på Ebay för 8 USD, så mycket är American Express kunder säkerhet värd.

Creeper, övervakningstjänsten skapad av Patrik Wallström har loggat att någon hos Kristdemokraterna surfat till en webbplats känd för sitt pornografiska innehåll. Creeper har fångat upp att någon med IP-adresser tillhörande Kristdemokraternas kansli har surfat till webbplatsen Knullis.

Kristdemokraternas partisekreterare Lennart Sjögren kommenterar händelsen:

Väldigt olämpligt att använda partiets datornät för den här typen av besök.

Lennart, är det inte olämpligt att surfa till Knullis över huvud taget?

Dock är det intressant och spännande att se att Creeper faktiskt fortsatt fungerar.

Integritetsskyddskommittén har lagt fram ett förslag om att införa ett skydd i grundlagen för den personliga integriteten. Riksdag och Departement har läst förslaget:

Integritetsskyddskommittén konstaterade i ett delbetänkande att lagstiftaren fäster alltför ringa vikt vid integritetsintresset när nya lagar antas. I stället har bland annat effektiviteten i brottsbekämpningen framhållits. I förra veckan justerade kommittén sitt slutförslag.

Enligt förslaget ska ett nytt stycke läggas till i regeringsformen. I 2 kapitlet där medborgarnas grundläggande fri och rättigheter, som till exempel yttrandefriheten, räknas upp vill kommittén i paragraf 6 skriva in ett skydd för integriteten.

Integritetsskyddskommitténs förslag finns i SOU 2007:22 Skyddet för den personliga integriteten.

Läs igenom kommitténs förslag och tycker du att det är ett bra förslag är det nu hög tid att börja prata med din representant i riksdagen. Det tänker jag göra.

Enligt en artikel på Metro.se har IKEA slarvat med hur dom hanterar sina kunders personliga information.

Artikeln berättar att för de kunder som använt IKEAs egna kreditkort IKEA Handa har IKEA tydligen skrivit ut både kreditkortsnummer och personnummer på kvittona. Enligt artikeln kan upp mot hundra tusen personer vara påverkade. Datainspektionens jurist Mats Björklund tror gör bedömningen att IKEA brutit mot lagen.

Att så flagrant feppla med kunders information är inte vanligt. Däremot stör jag mig närmast dagligen på hur kortnummer skrivs ut på kvitton. Standarden som finns specificerar att minst fyra siffror skall ersättas med en asterisk. Men standarden specar inte vilka fyra siffror. Det är inte ovanligt att två kvitton tillsammans gör att man får fram hela numret.

Det dök upp en intressant, men integritetsmässigt något skrämmande skärmsläckare till Mac på BoingBoing kallad SurveillanceServer.

(SurveillanceServer i Quartz Composer.)

SurveillanceServer söker på Google efter publikt tillgängliga (dvs inkopplade med publika IP-adresser) kameror levererade av Axis Communications. Ett litet script använder adresserna till kamerorna för att kontrollera om dom är aktiva eller ej.

Om dom är det plockar SurveillanceServer bilder från slumpmässigt valda aktiva kameror och använder dom som en skärmsläckare. Det är lite spooky att köra SurveillanceServer och se bilder från okända platser med okända människor blinka förbi.

I en artikel på IDG, med den härliga sensationsnyhetsingressen att Försvarets radioanstalt rasar mot Wimax, anser tydligen FRA att WiMAX är ett hot mot rikets säkerhet.

Vad det handlar om är licenser för regional radiotrafik i bandet 3.6-3.8 GHz skall auktioneras ut. Men att få en stor mängd ny trafik i detta frekvensbandet tycker inte FRA är så bra:

Detta tycker inte Försvarets radioanstalt, FRA, alls om. Frekvensbandet ligger nämligen inom det spektrum som FRA använder för att inhämta signaler från kommunikationssatelliter.

Skulle radiosändare för trådlöst bredband sättas upp betyder det att FRAs möjlighet att lyssna på satellitsignalerna försvåras eller rent av omöjliggörs. Det skriver underrättelsemyndigheten i en skrivelse till Post- och telestyrelsen, PTS.

“Bortfallet av denna trafik kommer att få negativa konsekvenser för signalspaning som stöd för svensk utrikes-, säkerhets- och försvarspolitik, däribland stödet till försvarsmakten när det gäller ‘force protection’ vid internationella insatser”, skriver generaldirektör Ingvar Åkesson i brevet.

(Ingvar Åkesson)

Att lokal radiotrafik stör ut signaler från satelliter är inte speciellt förvånande. Men det som är intressant är att se hur FRA:s argumentation krockar och dom kommer med olika budkskap beroende på vad frågan handlar om. Så här sa Ingvar Åkesson till Aktuellt angående att FRA måste få börja avlyssna trådbunden kommunikation:

-I närområdet så kan man säga att ungefär 98 procent av all telekommunikation sker i kabel, det är ytterst sällan att man har någon satellitburen kommunikation i vårt närområde, säger FRA:s generaldirektör Ingvar Åkesson.
-Så ni missar nästan allt?
-Ja, i närområdet blir det allt mer tydligt så.

Dvs ibland är problem med att avlyssna satelliter ett allvarligt hot mot rikets säkerhet, och ibland är satellitkommunikation en högst marginell företeelse. Vad det kanske handlar om är det som är makten att bestämma över hur kommunikation sker i ett modernt samhälle. Eller som IDG skriver:

Dessutom vill man (dvs FRA - JS) få ett större inflytande vid kommande auktioner för andra frekvensområden, som enligt FRA kan antas ha liknande effekter.

Jag bloggade i måndags kväll om att Aktuellt i ett inslag om uthängning av personer på Internet själva visade upp namnet på en person. Jag skickade ett mail till Aktuellts redaktion. Jag har nu fått ett kort svar från Aktuellt:

Hej.

Det var ett stort misstag och absolut inte med avsikt. Vi har bett berörda om ursäkt och frågan hanteras nu av Aktuellts ansvariga utgivare.

Aktuellt har med andra ord bekräftat att det skedde ett fel. Vi får se vad som händer i fortsättningen.

Kvällens sändning av SVT:s nyhetsprogram Aktuellt innehöll ett reportage om integriteten på Internet. Mer specifikt handlade reportaget om hur personer misstänkta för brott hängs ut med namn, bild m.m.

Reportaget inleddes med att Anna Hedenmo närmast indignerat påpekade att Aktuellt, precis som andra seriösa medier, inte publicerar namn på misstänkta, men att på Internets chattsidor och bloggar frodas uthängnings- och hämndmentaliteten.

MEN i reportaget illustreras chattsidor, bloggforum och Internetforum med en närbilder på en skärm där text från bland annat Flashback visas upp. Ett annat forum som (gissningsvis) visades upp var Fragbite. Mer exakt den här sidan.

Och tack vare dessa finfina närbilder kan man alltså mitt i bild i Aktuellts reportage om den hemska uthängningen på Internet läsa:

XXXXX YYYYY DEAD MAN WALKING

(Japp, jag har censurerat namnet. Vill du läsa får du gå till sidan själv.)

Hoppsan!

Så kan det gå. Det var väl inte så lyckat Aktuellt?

Jag har mailat Aktuellts redaktion och vad jag tror är rätt mailadress till Aktuellts ansvarige utgivare Anders Sundkvist. Vi får se vad jag får för svar.

Frågan är dock hur detta kunde ske. Var detta rent misstag i arbetet? Eller är Aktuellt så sneaky att dom gör ett reportage om uthängning, för att då få en chans att indirekt hänga ut de misstänkta för mordet på 16-åringen?

Enligt en artikel på EE Times håller USAs försvarsforskningsorganisation DARPA på att ta fram cyborginsekter som kan användas för spioneri. Exempelvis den här lilla gynnaren:

(Vet inte om det är en inbyggd reflex att stampa på kackerlackor, men den där triggar mitt stampben iaf…)

Radiostyrda djur kallade Hybrid-Insect MEMS (HI-MEMS) blir bärare av olika typer av tekniska system. Tänkbara applikationer för radiostyrda insekter är naturligtvis övervakning men även spårning, speciellt med hjälp av malar:

Moths are extraordinarily sensitive to sex attractants, so instead of giving bank robbers money treated with dye, they could use sex attractants instead,” said Easton. “Then, a moth-based HI-MEMS could find the robber by following the scent.

Att döma av artikeln verkar DARPA inte se några integritetsmässiga eller etiska problem med HI-MEMS, utan att detta är en förlängning av hur människan tidigare använt djur:

We have used horses for locomotion in wars,” according to Darpa’s description by its program manager, Amit Lal. “The HI-MEMS program is aimed to develop technology that provides more control over insect locomotion, just as saddles on horseshoes are needed for horse-locomotion control.”

Darpa cites that, historically, elephants have also been used for locomotion in wars, that pigeons have been used for sending covert messages, that canaries have been used to detect gases in coal mines, and that bees have been used to locate lands mines. Now it’s the moths and beetles turn to report for duty, just as dogs have already done.

Tekniken som sådan har förekommit i SF-litteraturen, bla av Peter F Hamilton. Men nu ser det ut att pågå ett antal konkreta projekt. Lite skrämmande är det. Fräckt, men skrämmande.

Att det är MEMS-teknik som gör det hela möjligt inser man när man ser den här bilden från Wikipedia:

Tekniken krymper och nya möjligheter öppnar sig…

(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med - så nu kommer en radda postningar med lästips.)

Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.

Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga - utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, både tekniken i sig och användningen av tekniken, övergick från i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:

During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.

When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.

Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.

Det är två saker som jag reagerar på när jag läser Ilshammars rapport. Dels hur fort omslaget från en i grunden positiv inställning till en negativ inställning gick. På några få år, från 1968 till ungefär 1972, slår attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar på är vilka som gick i frontlinjen för att värna den personliga integriteten - det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag går i frontlinjen för att inskränka integriteten med hjälp av datorer.

Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.

En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)

Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot - phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc - detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk på Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltså en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i många fall global exponering.

I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.