October 11th, 2017

Datalagring

Den svenska datalagringslagstiftningen, som våra parlamentariker gråtfärdigt blev tvingade till att införa av hemska EU, förvandlades ju blixtsnabbt till samma parlamentarikers favoritlagstiftning när EU-domstolen dömde ut den som ett oacceptabelt ingrepp i människors privatliv. Idag presenterades en utredning om “förbättringar” av lagen i en artikel på DN (Så kan svensk datalagring anpassas till EU-rättens krav).

Anpassningen som föreslås är av synnerligen begränsad art. Det framhålls direkt som själva målsättningen. Att förhands-massövervakning av icke misstänkta skulle vara fel väg att gå är otänkbart, tvärtom presenteras det explicit som att den enda tänkbara modellen är en som nära liknar dagens, men marginellt mer begränsad för att komma undan EU-domstolen.

Begränsningarna visar sig bestå i att man inte längre ska lagra kommunikation som, i stort sett, inte längre sker, nämligen telefonsamtal via fasta telefonnätet. Mobilsamtal (samt positionering, vem man ringer, när, hur länge, vart man surfar osv.) ska man fortsätta lagra.

Det här kommer leda till en intressant utveckling: yrkeskriminella kommer bli den enda målgruppen som faktiskt intresserar sig för kopparkablar och telefoner som sitter fast i väggen med en sladd. Kanske kommer till och med fast telefoni se ett plötsligt försäljningsuppsving?

Jag påminns om en gammal maffiafilm (kanske Goodfellas?), där FBI endast fick avlyssna de första 2 minuterna av telefonsamtal. Alla maffiosos började således alltid samtalen med 2 minuters kallprat om vädret etc., för att efter 2 minuter och 1 sekund, när övervakarna stängt av bandspelarna, växla över till att prata om vilken bank man skulle råna härnäst.

Det finns fler galenskaper i artikeln, t.ex. slår sig författarna för bröstet om att de vill införa en förhandsprövning innan uppgifterna lämnas ut i vissa fall. Men inte av en domstol, märk väl. En domstol har ju irriterande principer som intresseavvägning. Nej, denna förhandsprövning ska ske av åklagaren, som bara har en uppgift, att fälla den misstänkte. Är det någon som föreställer sig att en åklagare, ens en enda gång någonsin, kommer frivilligt avsäga sig potentiellt bevismaterial? Nä, trodde väl inte det…

July 19th, 2017

Transportstyrelsen

Mycket har skrivits om Transportstyrelsens hantering av sekretessklassad information. Men en sak glider man bekvämt förbi.

Transportstyrelsen hanterar miljontals personuppgifter och data om infrastruktur i totalförsvaret. Alla med ett körkort, även utländska, och de som passerar genom vägtullarna i Storstockholm registreras, liksom piloter, lokförare och flygledare.

Det innebär att det går att spåra personer med skyddad identitet, bepansrade fordon, efterlysta fordon samt var och när värdetransportbilar kör. Hur mycket tung trafik som vägar, broar och flygplatser tål finns också i datasystemen, uppgifter som är högintressanta för främmande makts militära planering.

(DN)

Vi som argumenterar mot den slentrianmässiga massinsamlingen av data om icke-misstänkta har många gånger sagt detta, i olika situationer. Nästan alla register kommer, förr eller senare och på något vis, att läcka, till någon. Antingen via hack, via slarvig outsourcing, eller via nya lagar (case in point: idag ifrågasätter ingen att polisen får tillgång till FRAs massdatainsamling, det som bedyrades aaaaldrig skulle hända när lagen klubbades igenom).

Det enda sättet att vara säker att data aldrig läcker, är att inte samla in den till att börja med. Vi måste sluta spara allt om alla bara för att det kanske är bra att ha någon gång i någon situation i framtiden.

February 21st, 2015

Superfish

Ingen lär väl ha missat de senaste dagarnas kontroverser kring Lenovos installation av den ondsinta reklamappen Superfish på en stor del av sina datorer under 2014 och 2015. Det är lätt att bli avtrubbad av alla avslöjanden om intrång (de flesta av vilka från nationsstater) i vår förväntat säkra, personliga sfär. Men denna står ändå ut som en av de värsta.

De flesta PC-leverantörer installerar olika programvaror på sina datorer, för vilka de får en ansenlig ersättning, och som drastiskt försämrar användarupplevelsen, prestandan och stabiliteten i datorn. Det är tyvärr normalt i PC-världen, speciellt i lågprissegmentet.

Men Lenovo har fått långt utöver vad någon rimligen kunde förvänta sig. Superfish, ett program Lenovo installera på vissa av sina datorer mot ersättning, är ett program som går in och lägger till egen reklam på de websidor som användarna tittar på. Ifall sidorna redan har reklam, så ersätts den med Superfishs (och sidan förlorar sin egen reklamintäkt).

Det är bara förrätten. Superfish gör dessutom detsamma på sidor som ska vara krypterade/säkrade med SSL/TLS, t.ex. internetbanker, skatteverket, eller varsomhelst där man anger sitt kreditkortsnummer. För att göra detta, så plockar den (i allt väsentligt) bort krypteringen och säkerheten helt och hållet (genom att på datorn installera ett eget s.k. rotcertifikat, med medföljande privata nyckel). Konsekvensen är att, för någon som har en påverkad Lenovo-dator, så kan vem som helt låtsas vara precis vem som helst på internet, utan att några som helst varningsklockor klämtar.

Under normala omständigheter är SSL/TLS ett säkert kommunikationssätt (undantaget frågan om organisationer som NSA), men det förutsätter att vissa aktörer, som datortillverkaren och skaparen av operativsystemet och webläsaren kan förväntas vara pålitliga och inte aktivt försöker underminera din säkerhet. I det här fallet har alltså datortillverkaren avsiktligt installerat ett förfalskat rotcertifikat, någonting som kan validera vilken annan site som helst, oavsett om det är den riktiga eller inte (dvs om det är Superfish som utger sig för att vara, t.ex., Nordea, för att lägga in reklam på din internetbank). Det är dessutom något som vem som helst kan använda för att göra detsamma, i och med att den privata nyckeln skickas med varenda påverkad Lenovodator (för att säkerheten ska fungera så måste den privata nyckeln, som namnet antyder, hållas privat, inte spridas runt på tiotusentals datorer runtom hela världen).

Vem som helst kan alltså, om du har detta Superfish-certifikat installerat på din Lenovo, utge sig för att vara din bank, eller läsa din email, eller privata facebookmeddelanden, eller vadsomhelst. Vem som helst kan alltså göra det Superfish gör, att ändra på sidorna man ser. Superfish gör det för att lägga in reklam. Någon annan kanske gör det för att ändra mottagaren av en betalning, eller för att spara undan ditt lösenord till någon tjänst.

Det mest enorma är vad detta säger om etiken inom Lenovo. Detta malware (skadlig programvara, ett vidare begrepp som innefattar såväl virus som sådant som avsiktligt placerats av någon angripare) är något som Lenovo alltså har fått betalt för att installera på sina kunders datorer, och levererat under ca ett halvår innan det upptäckts. De ekonomiska och tekniska förhandlingarna som föregått den publika utrullningen har säkerligen pågått i något år. Hundratals, kanske tusentals, personer, många av vilka i ledande positioner, har känt till detta, utan att någon har hindrat det.

Superfish är som sagt exceptionellt, i det att det är ett totalt säkerhetshål som gör användarna som har det på sin dator fullkomligt oskyddade i alla sina transaktioner på internet. Men konceptet att installera reklamprogramvara eller annan programvara som datorleverantören får betalt för, är väl etablerat. I de flesta fall leder det alltså inte till “mer” än att datorn blir långsam, instabil, och att användaren ständigt störs av popuper och liknande som att t.ex. beställa ett abonnemang till ett helt onödigt “antiviruspaket”. Om det finns någonting positivt i den här affären, så är det förhoppningen att Lenovo blir stämda så djupt in i det röda, att alla PC-tillverkare ryggar tillbaka från affärsmodellen att installera skitprogramvaror, att sälja ut sina kunder för några extra kronor från en tredje part.

För alla stackare som har Lenovodatorer, kan jag tyvärr bara ge följande råd: Om din dator är tillräckligt ny för att omfattas av garanti, försök återlämna den till säljaren. Om inte, ge den till någon som är kapabel att helt formatera om den med en ren Windows-version (någon Lenovo tyvärr gör mycket svårt).

February 18th, 2015

Provocerande

http://www.dn.se/ekonomi/banker-nekar-pengar-fran-eu-migranter/

Sven Hovmöller hjälper EU-migranter att sälja tidningar så att de ska slippa tigga på gatan. Men affärsbankernas vägran att ta emot kontanter sätter nu käppar i hjulen för arbetet. Han nekas sätta in 180.000 kronor som behövs för att kunna betala tryckerikostnaderna.

En del av skulden hamnar på våra lagstiftare, som har låtit penningtvätts- och terrorfinansieringsregelverken tappa alla former av rimliga proportioner. Men jag är ändå övertygad om att om bankerna bara ville, så skulle man kunna ordna en insättning på något vis. Det är bara det att de absolut, resolut inte vill. Tvärtom tar de varje tillfälle i akt att göra kontanter oanvändbara.

January 23rd, 2015

Finns Putin på Facebook?

– Det innebär att den omstrukturering av den svenska militära underrättelsetjänsten som gjorts från 1990-talet och framåt inte svarar mot de behov som nu finns hos underrättelseanvändarna, säger Agrell.

FRA på väg att öka spaning runt Östersjön, SvD

Nej, FRA har svårt att hinna med och ha råd med militär signalspaning mot främmande makt. Det säger ju sig självt, det kostar att massövervaka hela den (mestadels) laglydiga civila egna befolkningens all kommunikation. Man mäktar faktiskt inte med hur mycket som helst.

August 23rd, 2014

Jodå, definitivt, bankerna vill absoluuuut att vi amorterar

Dags att förnya bostadslånet hos SBAB. Inga problem att välja ny bindningstid på nätet, allting fungerar hur fint som helst… men endast så länge man väljer amorteringsfritt. Vill man göra en amortering, då måste man beställa hem blanketter (för hela förnyelseprocessen) på posten, fylla i och skicka tillbaka. Jag kommer inte bli vidare förvånad om det är helt oförklarligt hur de ska fyllas i.

Men absolut, bankerna arbetar stenhårt för att få igång en amorteringskultur hos sina kunder.

August 23rd, 2014

Sluta sug

Nog för att miljöpartisterna önskar att vi alla ska leva som före industrialiseringen, i smuts och avskräde. Men det här var ett nytt och intressant sätt att uppnå målet på, att successivt avskaffa dammsugare.

Ten days left to vacuum up a powerful cleaner

From 1 September, companies in the EU will be banned from making or importing vacuum cleaners above 1600 watts.

[…]

From 1 September 2017, all vacuum cleaners will have to be less than 900w.

 

 

July 15th, 2014

Snurrigt

Att alltså den domstol som är satt att bedöma huruvida sexuella övergrepp har begåtts mot barn, huruvida barnpornografibrott har begåtts och så vidare, och så vidare, inte får ta del ordentligt av bevismaterialet, det är ju – snurrigt.

Den synnerligen besvärliga principen att själva innehavet av barnpornografiskt material i och av sig självt skulle vara olagligt fortsätter leda till absurda konsekvenser. Nu alltså att domarna som dömer i en barnpornografirättegång blivit anmälda (av Rikskriminalpolisen) för att ha tagit del av bevismaterialet de ska basera sin dom på…

May 27th, 2014

Samtliga bankomater i landet är ur funktion

Samtliga bankomater i hela landet är ur funktion

Plötsligt skrattar folk inte åt mig fullt lika mycket för att jag har lite kontanter på mig… någon som vill låna lite cash till lämplig dagsränta? 😉

Vi har ett stopp i vår IT-miljö. Det här gäller samtliga uttagsautomater som drivs under varumärket Bankomat, alla blåa automater egentligen, säger Bankomat AB:s kund- och marknadschef Johan Nilsson.

Det är lite läskigt att det inte finns mer redundans än att ett fel, vilket som helst, kan ta ner precis hela systemet.

May 9th, 2014

Bloggkontroll

Det började 2008, när Marianne Mikko (Estland) ville införa det i EU. Här senast var det Åsa Romson (MP) som ville införa det åtminstone i Sverige.

Men Putin har hunnit före. Antar att Mikko och Romson applåderar i bakgrunden…

Russia Quietly Tightens Reins on Web With ‘Bloggers Law’

Older Posts »