Author Archives: admin

CSC-mainframen der sladrede

Posted on by

Den store sal i Retten på Frederiksberg er noget ganske særligt.
Der er nemlig et tykt lag skudsikkert glas mellem tilhørerne på den ene side og anklagere, forsvarere, nævninge, dommere og de anklagede på den anden. Der er til gengæld aflange huller i glasset – muligvis for at lyden fra salen skal kunne nå os, publikummet og journalisterne, der sidder herude.
De gange jeg har siddet der, og det er en del gange, har jeg teoretiseret over, om man mon kunne få et pistolløb gennem de huller? Om nogen mon havde tænkt over det?CSC - making it real
Når man ser gennem glasset, ser man ind på en scene: De anklagede sidder til højre, Gottfried Swartholm Warg sammen med forsvarer Luise Høj, og den 21-årige medtiltalte dansker, med navneforbud, med sin forsvarer Michael Juul Eriksen. Til venstre holder de to anklagere til: senioranklager Maria Cingari og Anders Riisager fra Statsadvokaten.
Sidstnævnte indledte første retsdag med en erklæring om, at computere for ham var som ’kryptonit for Superman’ – en udtalelse, der på mange måder blev symptomatisk for hele sagen. Vi, tilskuerne, der talte en bred flok af journalister, familie og det, man kalder it-interesserede, fnes nervøst.
Gottfried Swartholm Warg, også kaldet Anakata, blev idømt tre og et halvt års fængsel, og den 21-årige med navneforbuddet fik seks måneder.
Tre dommere og fire nævninge mente, at Warg var hovedmand bag hackerangrebet og stod for selve udførelsen af angrebet.
De fandt det samtidig bevist, at den 21-årige havde medvirket til angrebet i den indledende fase.

Med den hårde dom på tre et halvt års ubetinget fængsel til Gottfried Swartholm Warg og den helt iskolde afvisning af muligheden af, at hans computer kunne have været fjernstyret, har retten, og dermed den danske stat, delt seriøse ørefigner ud. En hidtil ustraffet 21-årig dansk mand sidder varetægtsfængslet i 17 måneder og inkasserer så seks måneders ubetinget fængsel – alene for at have deltaget i en chat-samtale. Det er i den hårde ende. Ved at undlade at gøre sikkerhedsforholdene hos databehandleren CSC, Computer Sciences Corporation, til en del af sagen har det offentlige Danmark samtidig spredt gift rundt omkring sig selv og alle os andre.

Fem måneders frit spil

Det hele begynder i februar 2012. Nogen forsøger at logge ind på en ukrypteret FTP-server tilknyttet CSC’s IBM-mainframe. Men ingen er kommet ind. Endnu. Og ingen alarmer er gået hos CSC.
Den 7. april, 2012 trænger nogen så helt ind, angiveligt via en såkaldt zeroday-sårbarhed. Dagen efter overføres et script til CSC’s mainframe, og nu har indtrængerne administratorrettigheder. Den adgang bliver brugt til at lave tre bagdøre i systemet og sætte gang i en massiv kopiering og overførsel af data fra CSC’s systemer.
Der er downloadet filer og datasæt fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet. Det er de mest følsomme data, vi overhovedet har.
De data passerer gennem servere i Cambodia, Tyskland og Iran. Den sidste “uberettigede aktivitet” sker den 28. august!
De mest højlydte advarsler kommer fra svensk politi i juni 2012. De gentager dem tre gange mere i det efterår. Ingen lytter.
Samtidig, i juni 2012, undlader CSC og Rigspolitiet at reagere på en stærkt kritisk revisionsrapport fra Deloitte.
Svensk politi anholder Gottfried Swartholm Warg i Cambodia i august 2012. Hans computere er fyldt med data fra CSC’s servere og indeholder et program, der kan simulere en mainframe magen til den, CSC bruger. Det svenske politi ringer til Danmark igen.
I februar 2013 underretter dansk politi CSC om indbruddet. CSC får først lukket den sidste smækkende bagdør 6. marts 2013 – angiveligt for ikke at forstyrre kunderne på systemet for meget.

Det amerikansk ejede firma CSC er en af den danske stats største it-leverandører. CSC har siden maj 2001 stået for al it i Folketinget og stort set alle andre funktioner i det offentlige Danmark. Det kan undre, at et så betroet firma ikke har haft bedre sikkerhed, men det har hidtil ikke været sagens kerne: Medier og myndigheder har endnu en gang valgt at fokusere på symptomerne; i dette tilfælde den meget dygtige Warg og den dansker, han har været perifert i kontakt med via en chat.
Gottfried Swartholm Warg kan, yderst teoretisk, have haft det motiv at slette data om sig selv i Schengen-registreret, hvor han stod opført som undvegen fra dommen mod Pirate Bay i sin tid. Hvad angår den 21-årige, ja så kunne det måske have været interessant for anklagerne at se, hvad der gemte sig i den krypterede del af den computer, han med fuld ret har nægtet politiet adgang til – og dermed i øvrigt til fulde har bevist, at kryptering virker.
Men det er kun forestillinger. Selve meningen og beviserne kniber det med.
Dansk politi har ikke selv har haft adgang til CSC’s systemer. CSC hyrede et helt tredje firma til at gennemgå systemerne, og det er oplysningerne fra CSC’s egen “hired gun”, der er blevet brugt i retten.

– Basalt set er sagen ligesom alle andre. Der er nogle tekniske udfordringer, men det skal jo bare køres ned til, om der er foregået noget strafbart, sagde forsvarer Michael Juul Eriksen i mit radioprogram, “Aflyttet”, efter at den 21-årige sigtede dansker havde været gennem første afhøring.

Men sådan kom det ikke til at gå: Chatten var for eksempel et andet problem. Det er den, man har dømt den 21 årige og nogen grad også Warg ud fra. Den 21-årige har ikke benægtet, at han har deltaget i den chat. Han har forklaret, at det navn, han ifølge anklageren skulle have optrådt under, “Advanced Persisitant Terrorist Threat”, ikke var hans “handle”.

Der er god grund til at være mistænksom over for den chat: Den var nemlig kun lagret som en kopieret text-fil og er et uddrag af en længere chat-samtale. Og som de to nævninge, der ikke mente Warg var skyldig, udtalte i kendelsen: “…der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte Warg, der under navnet “My Evil Twin” deltog i chatten”. To nævninge mener begge, at der er rimelig tvivl om, hvorvidt Warg er skyldig. Fire mener det modsatte, og mens Gottfried Swartholm Warg stadig er fængslet i Danmark under skærpede forhold, er sagen nu anket til landsretten. Anklagemyndigheden var tilfreds. Der blev sat præcedens. Nogen blev dømt. Hårdt.

– Borgerne er også potentielt blevet berørt og er det måske stadig. Blandt andet har Warg haft adgang til kriminalregistret, der er blevet kompromitteret, og det er i sig selv en enorm skadevirkning. Vi ved jo ikke, om der er ændret i oplysninger og straffeattester, sagde anklager Maria Cingari efter domsafsigelsen. Havde hun havde taget sine egne ord alvorligt, burde hun briste i gråd, og vi andre, os, borgerne, kræve de ansvarliges hoved på et fad.
Hvad gør vi?

Ud over de nu dømte, hvem er så de ansvarlige, der har sendt hele den danske registerkultur, grundlaget for retssamfundet, forvaltningens DNA, på en virtuel dødsrute via Iran, Tyskland, Cambodia?

Er det CSC?
Ja, Center For Cybersikkerhed (CFCS) har faktisk tildelt selskabet en forsigtig kindhest: “… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,” skriver CFCS i en hemmelig rapport, som Politiken fik indsigt i.
Hvordan den kontrol skal udføres i forhold til et stort udenlandsk firma uden danske statsansatte inden for murene – og med et dybt underbudgetteret datatilsyn, der ikke har kompetencerne – har hidtil fået lov til at stå uforklaret.
Hvis nogen har tænkt sig at lære af CSC-sagen, går de meget stille med dørene. Der er ellers nok af gode spørgsmål at tage fat på.
Det første er, om det overhovedet er en god ide at have så mange følsomme data liggende på et sted. På samme maskine. Og med adgang til internettet.
Det andet er, om det er forsvarligt at have dem liggende hos kommercielle, udenlandske firmaer, hvis logs, opdateringsrutiner og soft- og hardware vi ikke har en kinamands chance for at kontrollere.
Det tredje spørgsmål er, hvornår nogen stikker den der pistol ind gennem hullerne i det virtuelle glas, vi gemmer samfundets mest kritiske data bag, og begynder at fyre løs på må og få, så vi endegyldigt mister muligheden for at vide, om det, der står tilbage, nu er sandt eller falsk, hvis røgen nogensinde lægger sig.
Politikerne har råbt op, men alt for forsigtigt, da de selv står bag udliciteringerne, ikke tør ændre kurs, absolut intet ved om it-sikkerhed og derfor er afhængige af dyrt betalte konsulenter fra andre, udenlandske, firmaer.
Men de tror åbenbart, i ramme alvor, at man kan true sig til sikkerhed med kontrakter. De påstår igen og igen, at det kun handler om mere regulering og jura, mens de samtidig skærer ned på Datatilsynets bevillinger. Og som aben cykler syngende rundt der mellem datatilsyn, ministerier, ordensmagt og CSC, er vi nogle, der tæller ned til næste gang, det sker: Den store, endegyldige ofring af borgernes følsomme data på det naive forvaltningssjuskeris alter, der hvor man fejrer en Gud, der naturligvis aldrig vil stille sig tilfreds med et par “it-interesserede” mænd, men som vil blive ved med at kræve ind, til vi alle sammen ligger der, uden sikker viden, endnu flere syvmileskridt inde i et tvangsdigitaliseret Danmark med knuste logfiler i hjertet.

ARTIKLEN ER TIDLIGERE BRAGT I PROSABLADET HER: https://www.prosa.dk/aktuelt/prosabladet/artikel/artikel/csc-mainframen-der-sladrede/?tx_prosamag_pi1%5Bpageid%5D=5978

Din telefon er i fare – du kan intet gøre

Posted on by

(Tekst: Peter Dremstrup/Anders Kjærulff)
I 1980erne blev der oprettet en Intern protokol til kommunikation mellem netværkssystemer og på tværs af GSM-operatører. Den er oprindelig tænkt som en “walled garden”, et lukket system, hvor kun teknikere havde adgang, og derfor er den uden passwords og logons, uden autentificering.
Det var ikke noget problem før SS7 i 90’erne og 00’erne blev udvidet til også at indeholde SMS og data. Systemet får nu en smule sikkerhed – nu skal man kunne håndtere “roaming agreements” for at kunne kunne bruge det, men det tjekkes ikke hver gang og ikke i alle lande.

http://ss7map.p1sec.com/country/Denmark/

http://ss7map.p1sec.com/country/Denmark/

Adgang til SS7 kan købes hos nogle operatører for et par 100 euro, et legitimt formål er blandt andet til sms-services fra websites og lignende.
MEN.
Der er en række mildt sagt ikke legitime formål.
Har man først adgang kan man spore en hvilken som helst telefon via master og GPS.
Det gøres ved at spørge efter seneste position (det mobil tårn som enhed er forbundet til) eller ved at udnytte en funktion fra 911-kald, de skal kunne spores hurtigt, levere reel position og evt. fjernaktivere GPSen i telefonen.
Der findes allerede online services hvor man kan spore folk med et tlf-nummer – de benytter SS7.
Har man adgang til SS7 kan man også omstille en telefon, feks til en telefonsvarer, og så sende den tilbage igen, med det resultat, at telefonen er permanent aflyttet.
Det er muligt at se hvordan din telefon er sat op, men det kræver intastning af en særlig kode.
Det er PT ikke muligt at sikre sig seriøst mod overvågning via SS7.
I Danmark er kun ET af fire mobilnetværk opmærksomme på problemet.
LÆS MERE HER:Tobias Engel har undersøgt problemet grundigt – her er hans slides fra http://media.ccc.de/browse/congress/2014/name/-

Læs også vores store sikkerhedsguide her: https://aflyttet.dk/aflyttet-praesenterer-den-store-sikkerheds-og-privatlivsguide-2014/

TERRORBLOD på medie-hænder?

Posted on by

Af Anders Kjærulff

Da jeg var i lære som journalist, fortalte redaktionsekretæren mig de uskrevne regler for min lokalavis.
De, der gjaldt for retsstoffet.
Der var ikke så mange. Men de var vigtige:
Vi skrev ikke anklagedes navne, før de var blevet dømt, og kun hvis de fik over tre måneders ubetinget fængsel.
Og så var der de vedtagne tabuer.
Brandstiftelse og Pædofæli omtales højest i en-spaltere. Kun fact og ikke mere.
‘For den slags har det med at brede sig’, sagde redaktionssekretæren, og henviste til, at omtale af pyromani/pædofæli fik folk med de tendenser til at få lidt for gode ideer…
Det lokale politi var i øvrigt helt enige.
Jeg mener at tiden er kommet til, at vi udvider reglerne til også at gælde TERROR.
Som tingene udvikler sig, haster det voldsomt.
For den omtale vi villigt leverer af rædsler og menneskelige vinkler og detaljer og nærbilleder af sproglig og visuel karakter, giver med garanti rigtig mange svage sjæle virkelig gode ideer.

Men først et flash-back. Til et billede fra Paris. Det her for oven.

Fra det man (sic) kalder ‘TERROR-regimet’ i Paris, en periode med summariske henrettelser på over 40.000 mennesker, offentligt udført ved guillotine eller skydning eller hvad man nu kunne finde på.
Der var bunker af tilskuere, naturligvis, og henrettelserne var et show, der får enhver udgave af x-factor til at blegne.
Man kappede hovedet af alle mulige forskellige alt efter hvem der sad på magten og det gik udover både adel og borger og arbejder.
Hvis der var journalister tilstede dengang, hvordan ville man så have dækket det? På en anstændig måde? Giv mig bare et godt bud? Kunne man dække det?
For i dag, under dække af pænhed, utrykghed og bekymrede miner er det netop det vi gør – dækker  TERROR  som var det x-factor – og det skal vi simpelthen holde op med! NU!

Men det er svært.
For udover epidemier, pludselige spektakulære ulykker, mord og ekstreme vejrfænomener, er der fire ting, der kan få journalister til at dirre af vellyst: Folketingsvalg, Ministerrokeringer, Royale Skandaler og TERROR.
Jeg ved det, for jeg er selv journalist, og også jeg mærker denne følelse af vigtighed, uundværlighed og ikke mindst et opmærksomt publikum, når et af de fire optræder.
TERROR er ikke noget dansk ord.
Det er engelsk og betyder rædsel. Frygt og rædsel er ikke det samme. Rædsel er værre, dybere, er mange lag af frygt lagt ovenpå hinanden, gentaget, forstærket i hjernens kammer med en snert af vellyst.
Ja, vellyst. For de nervebaner, der transportere henholdsvis iskold angst og gnistrende vellyst, ligger angiveligt lige op af hinanden, det har jeg fra en forsker, der naturligt nok konkluderer, at vellysten og angsten nærer hinanden, hvilket forklarer en hel del mere, end de fleste af os har lyst til at vide, endsige er i stand til at rumme – eller drage konklusioner af.
Det er kort sagt den bedste kombination at få læsere/lyttere/seere/klik på.
Hvilket bringer mig videre til vores næste problem.
Journalister. Mig selv. Og mine.
Vi elsker forløb uden ende, uden dramaturgi og uden analyse, gerne ting, der foregår foran os, hvor det kun handler om at indsamle data løbende, til tingene når deres naturlige – og som regel ubehagelige – afslutning.
Og så kan vi tale videre, og videre bagefter, inden vi går ud og fejrer os selv på et eller andet værtshus og slår hinanden på skuldrene af bare vigtighed i presselogen…

TERROR i Paris er det perfekte eksempel. En kulmination af et længe næret vanvid.
Alle er gået i breaking news mode. Breaking er dejligt. Breaking betyder at alle går på overtid, ingen vil tjekke fakta, cheferne er på gulvet for en gangs skyld, og så skal vi alle sammen vise os. Der er BREAKING. Og vi vil så nødig gå ud af det.

Breaking er det, vi lever af, hedder det sig.

Men breaking er også det, vi dør af. Alle sammen.

Vi har brug for at holde en pause. For at stoppe op. Og tænke.
Vi har ikke brug for flere journalister, der fortæller hvad de ser på TV. Og som rapporterer fra pressemeddelelser og officielle kilder og løse rygter og fra hvad andre journalister måske har sagt på en anden kanal, på et andet tidspunkt eller lige nu.
Vi har brug for, at vi venter. Og ser sandheden, mens den er der.

Vi ved godt, der er forskel på information og viden. Men når vi går i BREAKING-mode, er information alt vi viderebringer.
I gamle dage kaldte man det for at træde vande – men det er det ikke længere. BREAKING er i dag det, som samtlige større medier konkurrerer om at gøre sig bedst med, fordi det er billigt og fordi de er gearet til det. (Måske er det sågar det eneste, vi er gearet til? Alt andet er en slags ventesal…)
Man har til lejligheden en række fagmedarbejdere med et velsmurt mundtøj og pæne jakkesæt/spadseredragter og et netværk af kommentatorer, der er i stand til at tale om stort set hvad som helst meget, meget længe.
Man har taget en form, oprindeligt som set hos CNN, men den er nu den eneste reelle form, der er….
Det er som en standret af reportere, altid klar i kulissen, sobre og tilsyneladende fornuftige i tonen, mens de forvandler det, der er vores virkelighed til et absurd teater af summariske henrettelser.

Ideen bag er simpel – det handler om, at holde publikum fast på kanalen så længe som muligt i det håb, at endelige, faktuelle oplysninger på et eller andet tidspunkt indfinder sig. Til da træder vi alle sammen ind i en verden af antagelser, rygter, gentagelser af udgangspunket, analyser af ingenting og, ikke mindst, vilde spekulationer og nye analyser på baggrund af dem.
Jeg gider ikke engang komme med eksempler.
Ingen kan alligevel huske, hvad der blev sagt i forbindelse med hele Paris-TERROR, sagen – vi stod alle sammen med åben mund og polypper og kørte tomgang mens det skete udfoldede sig skærme, der viste de samme billeder, igen og igen og igen og reportere med satellitlinks fortalte, at de ikke kunne komme nærmere end 1 kilometer på noget som helst….

Det blev et studie i angst med angst på. Af rædsel. Af TERROR i sig selv.

I manglende viden. Og i et overblik, der bevidst ødelægges for den gode, frygtfulde stemnings skyld.
Vi skal være bange. Meget bange. Og poltikerne skal gøre noget. NU, skriger vi og det gør de så, for åbne kameraer og helt og aldeles uden at tænke sig om – for midt i et hav af frygt er der ikke tid til det…
Og der er nogen, der er rigtig glade for, at det er sådan. Terroristerne.
Det er dem, der har hovedrollen. Det er dem, der kan læse om sig selv i avisen og se sig i fjernsynet.

Hvad er en terrorist? En der udfører terror, en der PÅFØRER os rædsel – en rædsel som vi, medierne, bærer frem som var det den hellige, lysende gral.
Det er det ikke. Det er andre menneskers blod.
Det fortjener mere respekt, omtanke og ikke mindst forsigtighed, end den måde vi ruller os rundt i det nu.
Og nu kan jeg allerede høre et kor af forargede politikere og kolleger råbe i kor:
‘CENSUR! Af med hans hoved!’
Men jeg har allerede tabt det, og nej, det er ikke DET jeg beder om, jeg beder ikke engang om selvcencur, for min skyld kan I tapesere hele verden til med Muhammed-tegninger og skrive frækt om Kongehuset og Prinsen på Broen og Dannebrog eller hvad I nu har lyst til.
Det er ikke det, det handler om her. Det handler om at besinde sig.
Om ikke at male fanden på væggen. Gør man det, kommer han som bekendt.

Jeg ved det er svært men, SLAP AF!
Lad os os tænke os lidt om. Lad os ikke sige noget – før vi ved noget.
Lad evt. billederne stå og ti stille, hvis der ikke er noget at sige.
Ellers spiller vi med på sangen, rædslens sang, terroristernes.
Og hvis vi ikke holder op med det, bliver det den sidste sang vi hører.

Hvor internettet bor – dokumentar af Henrik Moltke

Posted on by

‘Det startede med et simpelt spørgsmål: Hvor er internettet egentligt?
I 2010 drog den Cavling-nominerede journalist Henrik Moltke med mikrofon og optager ud for at finde ud af hvor internettet kommer fra.
Vi tænker ikke over det, men nettet er i høj grad fysisk, og bag ved stikket i væggen findes der en forunderligt verden bestående af lange kabler og mennesker, der får netværkene til at hænge sammen.
Undervejs begyndte en krybende mistanke, der skulle vise sig at stemme overens med NSA-whistlebloweren Edward Snowden hemmelige dokumenter.
Henrik Moltke kom på sporet af en række hidtil ukendte steder, hvor spioner lytter med og kigger i pakkerne’
LINK: http://www.dr.dk/p1/hvor-internettet-bor/hvor-internettet-bor

Den store sikkerheds- og privatlivs-radioguide 2014/15

Posted on by

Henrik Kramshøj lever af sikkerhed som Whitehat-hacker med eget firma, Gry Hasselbalch er aktiv indenfor Privacy og har tidligere arbejdet for medierådet for børn og unge, og Alexander Mills er gymnasielev med et særligt interesseret blik på sikkerhed i cyberspace.
fra venstre: Alexanders Mills, Gry Hasselbalch, producer Ninette Birch og Henrik Kramshøj. Nederst i billedet ses værtens computer.
I november inviterede Aflyttets Anders Kjærulff dem til at tale om sikkerhed og privatliv i to programmer med udgangspunkt en række spørgsmål sendt fra lytterne til lyt@aflyttet.dk.
Resultatet blev sendt den 28 december 2014 og den 4de januar 2015 kl. 1315 – og ligger nu til download her:
Program 1: http://arkiv.radio24syv.dk/9826383/10765436/d1e666060a24177c358bb8904a2ad187/audio/aflyttet-uge-52-2014-1-audio.mp3
PRogram 2: http://arkiv.radio24syv.dk/9826383/10775288/e4e5b1b5954ebfb26609e5856310b12e/audio/aflyttet-uge-1-2015-audio.mp3

I programmerne nævnes en række links. Vi har samlet dem her i(stort set) den rækkefølge de optræder i udsendelserne.

NB: Denne Guide er i bevægelse, på ingen måde perfekt eller færdig. Tænk dig om selv, det er altid det bedste – vi modtager også gerne gode tip – se på kontakt-siden hvordan.

PROGRAM 1:
(Shownotes ved Zissel K_M.)

Hvis man vil være mere sikker på nettet er et godt sted at starte at skifte til en anden søgemaskine end google, og panelet forslog i programmet, at det kunne være;
https://www.startpage.com/, https://duckduckgo.com/ eller
https://www.qwant.com/.

Man kan lære meget hos Electronic Frontier Foundations Surveillance self-defense guide:
https://ssd.eff.org/en
Og lærerstandens brandforsikrings guide til beskyttelse af online privatliv er heller ikke ringe: http://license2share.dk/

MAIL:
Med de klassiske mailsystemer som outlook og gmail, kan man betragte sine emails som åbne postkort, internetudbyderen kan eksempelvis læse med på alle de mails, der løber igennem deres netværk.
Men ved at kryptere sin mail, forhindre man andre i at læse med undervejs. Vores Eksperter foreslog tjenesten: https://www.neomailbox.com/, som både er nem at brug og har deres server placeret i Schweitz. Det skal dog siges at Neomailbox koster cirka 250 kroner om året.
Hvis du vil kryptere din mail, anbefaler vi openPGP, der blandt andet kan downloades her: http://www.openpgp.org/ – det er ikke ukompliceret, men klart indsatsen værd! Og husk, krypter ikke kun for din egen skyld – men også for andres…

Hvis du bruger Mac er der et meget nemt plugin til mailprogrammet – det kan hentes her: https://gpgtools.org/

CHAT:
Det kan være en fordel at bruge krypterede chat programmer.
Hvis man vil bruge programmet Tox https://tox.im behøver man ikke engang at installere et program, man skal blot downlaode en zip-fil og udveksle nøgler med dem man vil kommunikere med. Du kan læse mere om Tox her: https://wiki.tox.im/Clients
Panelet forslog desuden chatprogrammet Cryptocat, https://crypto.cat. Hvis man vil kryptere det, man sender ud på facebook eller twitter kan man bruge programmet ADIUM https://adium.im/.
Hvis du vil vide mere om sikrer chatprogrammer har Electronic Frontier Foundation(EFF) lavet en oversigt over forskelige chatprogrammers kvalitet https://www.eff.org/secure-messaging-scorecard

Kryptering:
Glenn Greenwald sagde tidligere på året:
“…Every single time somebody has said to me, ‘I don’t really worry about invasions of privacy because I don’t have anything to hide.’ I always say the same thing to them. I get out a pen, I write down my email address. I say, ‘Here’s my email address. What I want you to do when you get home is email me the passwords to all of your email accounts, not just the nice, respectable work one in your name, but all of them, because I want to be able to just troll through what it is you’re doing online, read what I want to read and publish whatever I find interesting. After all, if you’re not a bad person, if you’re doing nothing wrong, you should have nothing to hide.’ Not a single person has taken me up on that offer.”
Det er netop dette man beskytter sig i mod, når man har en krypteret harddisk.
Når man krypterer sin harddisk vil det sige, at computeren gemmer al data i en kuvert, der skal åbnes med en meget lang kode, som er nøglen til nøglen til harddisken. For at åbne for denne nøgle, bruger man sin normale kode, som man kan vælge at ændre løbende, ligesom man kan ændre andre passwords på sin computer. Det betyder at man kan have en kode på tyve tegn, mens der nedenunder er en meget stærk nøgle, der skal åbnes før harddisken bliver tilgængelig. Krypteringer kan være enormt stærke, det kan ses i forbindelse med CSC-hackersagen, hvor politiet uden held i et år forsøgte at åbne en krypteret container.
Udover at beskytte sine data, så vælger nogen også ‘solidaritets-kryptere’.
For dem kan det være en måde at signalere, at man i et demokratisk samfund har behov for retten til privatliv og en måde at sikre en virtuel forsamlingsfrihed.
Et nemt sted at starte er ved at installere et plug-in, der sørger for at hvis en hjemmeside har https, så bliver det brugt. Det kan eksempelvis være ”https everywhere”, som sørger for at hver gang der er mulighed for at der kan bruges en krypsion, så bliver den brugt, det betyder at du hele tiden er på en sikker forbindelse. https everywhere, kan downloades til din browser her: https://www.eff.org/https-everywhere

TOR:
Tor beskytter din placering, din ip-adresse og hvem du sender informationer frem og tilbage til.
For at installere Tor, går man på https://www.torproject.org og her henter man en pakke, der hedder tor-browseren. Når Tor er blevet downloadet og installeret kan man åbne den ligesom en normal browser (safari, firefox eller googlecrome). Tor adskiller sig ved at være en specielt tilpasset browser, som ikke afsløre ret meget om hvem du er. Det vil sige at alle, der downloader Tor-browseren, vil se ens ud for dem der sidder på den anden ende. Browseren er nem at starte op, men man skal være opmærksom på at den fungere med en vis hastigheds nedsættelse. Med andre ord bruger man den sjældendt til at se youtube-videoer på, men til gengæld vil det være naturligt at bruge den, hvis man er i et land hvor det ikke er så populært at tweete om premierministeren, staten eller regeringen.

Facebook indgik i 2014 et samarbejde med Tor-netværket. Det kan betyde at hvis man sidder i et krisecenter for voldsramte at man stadig kan have kontakt med sin familie og venner, uden at man afsløre hvor man befinder sig.
Tor fungerer ved at den trafik, som man vil sende bliver pakket ind. Man kan forestille sig at man tager forskelige kuverter som kommer man ind i hinanden. Det betyder at når du skal sende noget til en modtager, så sender du først kuverten til en tilfældig, der sender den videre til en anden, der sender det vider til en tredje, der sender det vider til en fjerde og til sidst ende det hos en, der sender den videre til den endelige modtageren. Men der står ikke hvem den kommer fra, på den måde så skjuler man hvor trafikken kommer fra og hvor den skal hen.
Det gør det væsentligt svære at pin-pointe hvor folk er og det gør det meget svære at lytte med i hvad folk sender frem og tilbage. Det virker via exit-notes. Exitnote er hvor de krypterede kuverter pakket ud af det tor-netværket. Vedkommende, der administrer en tor-exit-note kan lytte med på trafikken som løber igennem hans eller hendes exit-note. Derfor kan man med fordel stadigvæk bruge krypteret https, når man benytter Tor.

Krypto-party:
Et kryptoparty er et antal personer der mødes og taler om sikkerhed og udveksler programtips. Når man holder et krypto-party kan man også generere nøgler og finde nogen andre og sende krypterede mail med. I Danmark annonceres et pryptoparty som regel via twitter.
Hvis man selv vil arrangere et krypto-party er det bare at springe ud i det, man kan med fordel få hjælp fra denne håndbog https://www.cryptoparty.in/documentation/handbook

PGP-kryptering:
Det er blevet en standart for mange år siden, det hedder oprindeligt ”pretty good privacy” men ”gnu privacy guard” er mere udbrudt og er kompatibelt med PGP. GNU privacy guard er ikke svær at installere, hvis man fx vil bruge den til krypteret mail.
Man kan downloade et ekstra modul til sit postprogram, som giver mulighed for at man kan sætter et lille hak hvis man vil kryptere mailen, eller et lille hak hvis man vil skrive under på mailen. Og så kan det verificeres af modtageren når vedkommende modtager mailen, det kræver dog at man er bekendt med hinandens nøgler.
Du kan læse mere om virtuelsikkerhed og PGP-kryptering her: https://www.cpj.org/reports/2012/04/information-security.php

Program 2:

Sikkerhed på mobilen
Telefoner kan både blive hacket og stjålet, det er derfor en god idé ikke at have nogen oplysninger på sin telefon af særlig følsom karakter. Men det har vi jo.
Panelet forslår generelt at man er passende paranoid omkring hvad der ligger på den. Det en god idé ikke at have en masse free-apps, men i stedet nogen få gode, der kommer fra firmaer eller app-udviklere som man kan stole på. Appen disconnect me, hjælper med at beskytte dit privatliv gennem telefonen du kan læse mere om den her: https://disconnect.me .
Hvis man har lyst til at skjule hvor man befinder sig, kan man købe appen ”free dome” fra det finske firma F-secure. Programmet giver brugeren en perment virtuel placering, man kan vælge byer som Hong Kong, London og Amsterdam. Programmet beskytter desuden mod vira og forskelige typer angreb. Det eneste bøvl, der er med appen er at netværkerne kan blive mistænkelig, fordi man befinder mig et andet sted end man egentligt er. Du kan købe og læse mere om free dome her: http://www.f-secure.com/en/web/home_global/freedome.
De fleste apps i dag beder om adgang til mere end de har brug for, selv en simpel app som en lommelygte kan finde på at bed om adgang til alt, kontakter, mikrofon og kamara etc. Forskere har fundet ud af at, hvis de adgang til mikrofonen på en smartphone, som ligger på samme bord som en computer. Kan man ved lyden fra tastaturet eller ved lyden af CPUen, høre hvad der bliver tastet blandt andet passwords. På iPhone kan man i system indstillingerne under privatliv, indstille telefonen til at den aldrig må give apps adgang til mikrofonen. Panelet anbefaler desuden at man bruger appen clueful, der undersøger om de apps man har installeret sætter ens privatliv i fare, og hvor meget de forskelige apps ved om en. Du kan hente og læse mere om appen her: https://play.google.com/store/apps/details?id=com.bitdefender.clueful.
Hvis man er træt af Facebook Messenger appen, kan man hente appen ”Tinfoil for Facebook” https://play.google.com/store/apps/details?id=com.danvelazco.fbwrapper. Den kan stort set det samme som en almindelig facebook app, bortset fra at den lover ikke sender nogen data ud fra systemet, når den først er kommet ind. Desværre findes den kun til android.
Her kan du læse mere om appen: http://www.cnet.com/how-to/use-tinfoil-for-facebook-to-protect-your-privacy-on-android/

Læs mere om din mobil sikkerhed her: https://tacticaltech.org/security-box

Og her: https://guardianproject.info

AFLYTTET henviser iøvrigt til vores tidligere Pas-på-Dig-Selv guide – den ligger her

Slap for Digital Post: ‘juridiske vanskeligheder med nemID’

Posted on by

Softwaredudvikler og medlem af bestyrelsen af IT-politisk forening Ole Tange, kan ikke siges at mangle viden om ny teknologi. Han er heller ikke handicappet og han har masser af adgang til internettet.
Alligevel er han nu sluppet for at bruge digital post.

Det er sket ved at han af kommunen fik lov at strege et ord ud i fritagelsesformularen og erstatte det med et andet.
‘Jeg har juridiske vanskeligheder ved at skaffe den offentlige digitale signatur. (nemID)’ lyder det således nu.
Se papirene herunder:

Ole Tange fik lov at skifte et ord i en formular - og vips - fritaget for digital post

Ole Tange fik lov at skifte et ord i en formular – og vips – fritaget for digital post


Og her er kommunens kvittering
Ole Tange skriver:
‘Jeg kan ikke acceptere reglerne for at få NemID, og da NemID er frivilligt, så kan jeg naturligvis ikke tvinges til at acceptere reglerne.
Hvis jeg kunne tvinges til det, så er der ingen grund til, at jeg skal acceptere betingelserne. Jeg skal jo heller ikke acceptere at betale skat: Betaling af skat er ikke frivillig’
‘Men jeg synes tvangsdigitalisering er hul i hovedet: Hvorfor tvinge folk til at lægge deres fortrolige data i systemer, der er sikret så dårligt, at en svensk fritidshacker kan få adgang til dem? Hvor meget adgang kan en russisk mafia så ikke få, hvis de ikke er bange for at kidnappe nogle børn af centrale systemadministratorer? Eller hvad med den amerikanske ejer af virksomheden for f.eks. CSC? Er det eneste, der beskytter os mod læk, en regel om, at “Fyyh, det må I da ikke”, og som det vil være umuligt at se bliver overholdt?’
‘NemID er endnu på nordiske hænder. Men sikkerheden af NemID er alene afhængig af deres sikkerhed. Jeg så hellere en model, hvor min identitet blev skabt af mig, og underskrevet af NemID’
‘Lad digitaliseringen være tilbud, som jeg kan vælge til; og sørg for at bygge en sikkerhed, der ikke er alene er afhængig af et firma – specielt hvis det firma er udenlandsk kontrolleret.’
‘Hvis jeg i fremtiden får tillid til, at det offentlige kan beskytte mine data på forsvarlig vis, så er jeg såmænd nok med igen’, skriver altså Ole Tange.

Han vedhæfter samtidig understående link om betingelserne for oprettelse af nemID:

https://service.nemid.nu/dk-da/bestil_nemid/bestil_med_koerekort_eller_pas/index.html?execution=e2s1


Her står der:
‘Når du får et OCES-certifikat udstedt og knyttet til NemID, giver du
samtykke til:
at Nets DanID foretager opslag i CPR for at indhente dit navn og din adresse
at Nets DanID videregiver sammenhængen mellem din offentlige digitale signatur og dit cpr-nummer til den offentlige PID-tjeneste hos Digitaliseringsstyrelsen. PID-tjenesten bruges til opslag fra offentlige tjenesteudbydere for at identificere dig. En privat tjenesteudbyder kan kun få oplyst dit cpr-nummer, hvis du giver dit samtykke til det, når du logger på hos tjeneste-udbyderen
at Nets DanID foretager opslag i den offentlige PID-tjeneste for at indhente eventuelt PID-nummer fra et tidligere OCES-certifikat
at Nets DanID bruger dine personoplysninger (navn, adresse, cpr-nummer og eventuelt e-mail-adresse og mobiltelefonnummer) til udstedelse og administration af dit OCES-certifikat.’


Fritagelsesblanket til Digital Post kan findes og printes herfra(bla.): http://www.klxml.dk/KLB/Blanket/Gaelder/fd001f.pdf
Den skal afleveres hos borgerservice i din kommune.

Doubleagents and poetry?

Posted on by

Raw interview vith Axel Straschnoy (Buenos Aires, 1978, lives and works in Helsinki) – about James Jesus Angleton, editor of the avant-garde poetry journal Furioso during his years at Yale. Furioso was part of the new critique movement which held fast to the idea that a poet can mean two contradictory things at the same time.
Between 1954 and 1975, as CIA Director of Counterintelligence, he translated this idea to the world of espionage, and stated that it is therefore impossible to say who an agent is actually working for. This did not deter him from grounding the CIA to a halt in a 20-year hunt for a mole that was never found.
We also talk about Juan Pujol, a Spaniard commissioned by the German intelligence service to build an agent network in Britain during WWII. Stuck for a year in Portugal he started a secret agent network with the help of travel guide and a dictionary. He eventually became part of the british secret service and extended his “network” as far as Ceylon and Canada. Pujol is the only person to have been con decorated by both sides for his work in the war.

More about James Jesus Angleton here: https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/vol53no4/201ccunning-passages-contrived-corridors201d.html

In Danish: Dette indslag var en del af AFLYTTETs program uge 43 – du kan høre det hele her: http://arkiv.radio24syv.dk/video/10480980/aflyttet-uge-43-2014

Skal ALT være online?

Posted on by

Gæsteindlæg: Torben Andersen(in progress)
(hør Torben Andersen i Aflyttet her: http://arkiv.radio24syv.dk/video/8172709/aflyttet-uge-20-2013)

Da jeg var i Radio24syv -Aflyttet for et godt års tid siden, luftede jeg den her idé. Mest fordi jeg havde arbejdet med de nye danske “intelligente” elmålere, og slet ikke var i tvivl om at der var en værre møgsikkerhed på dem.

Men om de så havde haft über 1337 haxor sikkerhed med kvantekryptering, skulle der nok være en vej ind alligevel.

Internet of Things.
Det nye sort. Alt skal online, og det kan kun gå for langsomt.
Om 5 år vil jeg skyde på, at 1-3% af alle røg og brandalarmer i danske hjem er koblet på internettet. For så kan man jo få besked om at lortet står i flammer når man er på ferie i udlandet og intet kan stille op alligevel.
Måske sidder der endda et lille kamera i røgalarmen, som kan tilgås fra internettet også. Vældigt smart..

Alle elsker det. Især hackerne..

Mange af de “intelligente” ting der allerede er online, som hackerne begynder at få stor interesse for nu, kan ikke engang patches.
Kildekoden kan være blevet væk, nogle driverkoder kan være det man kalder binære “blops” – ingen kildekode overhovedet, eller de chipset der sidder i, kan være specialproducerede fra Broadcom, Qualcomm osv., og er lavet så billigt at selv koden er noget forbandet skrammel at patche, og det bliver ikke gjort.
Se hvordan man hacker millioner af routere på ingen tid, her: http://www.youtube.com/watch?v=stnJiPBIM6o

For nogle år siden lykkedes det også nogle whitehat hackere at få en HP printer til at selvantænde, ved at få printerhovedet til at gå amok og overophede.. og noget med en falsk firmware upgrade til Mac for noget tid siden, der fik batteriet til at blive så varmt at det brændte sammen..

Det bliver nogle kæmpe udfordringer vi går i møde med de her produkter de kommende år. Hvis ikke producenterne snart begynder at tage sikkerheden mere alvorligt, så indhenter teknologien os før eller siden, og det kan blive noget værre kaotisk noget.
Jeg har ikke særlig stor tiltro til, at vi som forbrugere begynder at tænke os en smule mere om, og enten forlange at sikkerheden bliver taget seriøst, eller simpelthen lader være med at købe for de her smarte digitale ting, vi i virkeligheden ikke har brug for, som samtidigt også bare bringer mere overvågning ind i vores hjem.
Men det bliver vi nødt til. Enten eller.

God weekend
Læs mere om hvad der sker med el-målere ligenu – her: http://thehackernews.com/2014/10/hacking-smart-electricity-meters-to-cut.html

Ulovligt at samle og dele sundhedsoplysninger uden patienters samtykke

Posted on by

AFLYTTET har siden oktober 2013 forsøgt at gøre opmærksom på, at der er problemer med indhentning af patientdata uden samtykke.
Nu ser det ud til, der er skred i tingene – herunder et gæsteindlæg ved Læge Trine Mikkelsen.


Baggrund: Som en del af den nye sundhedslov, vedtaget juni 2013, og trådt i kraft den 1. september, og seneste udmøntet i en bekendtgørelse, SKAL danske læger under mulig bødestraf diagnose-kode og indberette diagnoser på patienter til regionerne.
Flere læger, heriblandt Trine Jeppesen, har spurgt til muligheden for informeret samtykke fra patienterne, da sundhedsstyrelsen har ønsket at dele data med blandt andet Statens Serum Institut, og sælge dem til medicinalindustrien. Nye oplysninger, heriblandt et høringssvar fra Datatilsynet, gør det imidlertid klart, at det er ulovligt at dele data uden samtykke fra patienterne.
De må altså slet ikke samle oplysningerne ind.

ORDFORKLARING:
DAMD: Dansk Almen Medicinsk Database
DAK-E:De praktiserende lægers og regionernes fælles enhed for kvalitetsudvikling
DATAFANGST: Datafangst er et program, som installeres i den praktiserende læges journalsystem. Når der i klinikkens lægesystem indtastes strukturerede data, opsamler Datafangst løbende kopier af disse og sender dem til Dansk AlmenMedicinsk Database, DAMD. Det drejer sig om ICPC-diagnosekoder, medicinordinationer, ydelseskoder, laboratorieværdier, som indtastes i klinikken eller kommer ind fra eksterne laboratorier, henvisninger samt epikriser.
DSAM: Dansk Selskab for Almen Medicon

Gæsteindlæg: Trine Jeppesen

Høringssvarene til bekendtgørelsen om kodning og datafangst er blevet offentliggjort på høringsportalen.
Der er flere interessante svar, blandt andet svaret fra Datatilsynet, der i virkeligheden blot er et referat af en telefonsamtale, der er foregået mellem ministeriet og Datatilsynet. Der er 2 vigtige punkter som Datatilsynet lige har skullet minde ministeriet om i denne samtale.
Dels det faktum at DAMD kun er registreret anmeldt og godkendt som en DIABETES kvalitetsdatabase. Dels at deklarationer om alder, køn og medlemskab af fagselskaber er uforenelig med persondataloven kapitel 4 paragraf 5.

Det krævede en nærmere undersøgelse.

Det er således at den dataansvarlige for databehandlende DAMD, er Region Syd. Det kræver en forklaring.

Hvad vil det sige at være henholdsvis dataansvarlig og databehandler?

Den dataansvarlige er den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler (på hvilken måde), der må foretages behandling af oplysninger. Det er med andre ord Region Syd der afgør til hvilket formål data i DAMD må behandles.

DAK-E er databehandler. Det centrale ved begrebet databehandler er, at databehandleren blot behandler oplysninger på den dataansvarliges vegne.

Her kommer første problem

Region Syd er som dataansvarlig forpligtet til at registrere og få godkendt, hvilke data og til hvilket formål DAMD skal behandle. De er forpligtet til at anmelde dette til den overordnede myndighed Datatilsynet. Datatilsynet har i den telefonsamtale, der er refereret til i høringssvaret, kontaktet sundhedsministeriet, for at gøre dem opmærksomme på, at region Syd aldrig har fået registreret og godkendt DAMD til andet end en DIABETES database. Det vil med andre ord sige, at det eneste læger lovligt kan indberette til DAMD er diagnoser og indikatorer vedrørende diabetes. Men fordi data nu er meget mere omfattende og samtidig bruges til andre formål, end de der fremgik af den oprindelige anmeldelse til Datatilsynet, så er DAMD ikke anmeldt eller registreret lovligt. Der nævnes intet om hverken kontroldata til regionen eller videredeling af data til sundhed.dk.
Region Syd har heller ikke fulgt op på en udvidelse af kodningsforpligtelsen. Det gælder de 7 andre kodeforpligtigelser vedr. de kroniske lidelser som vi har indleveret i årevis.

DAMD indsamler og behandler altså oplysninger, som den ikke er godkendt til. Det betyder, at de data vi er forpligtet til at indberette til DAMD er ULOVLIGT indsamlet og ULOVLIGT viderebragt.

Det er i øjeblikket som udgangspunkt mindre ulovligt at være sentinelblokeret, end det er at være opkoblet.
TIDLIGERE AFLYTTET:

Andet problem:

Region Syd skal som dataansvarlig sikre, at der foreligger en skriftlig aftale med DAK-E om at behandle data. DAK-E må som databehandler nemlig kun behandle oplysninger efter instruks fra den dataansvarlige. Der er med andre ord ikke DAK-E men Region Syd, der som dataansvarlig bestemmer hvilke formål data i DAMD databasen må benyttes til og hvordan de må behandles.

Hvordan disse forhold stiller DAK-E ‘s reelle styrende kompetence over DAMD er meget ubetryggende, men et er sikkert;

Det er en konsekvens af at et virvar af forskellige myndigheder er blevet gjort ansvarlige for en mangfoldighed af databaser, som andre myndigheder så er sat til at behandle, i et fuldstændigt uigennemsigtig netværk. Oplysningerne flyder rundt og den overordnede myndighed Datatilsynet, har slet ikke viden eller overblik over, hvad der sker derude i datahavstrømmen. Der deles rundt på kryds og tværs og ingen – inklusiv Datatilsynet – har overblik over om persondataloven overholdes, fordi de har uddelegeret ansvaret til andre, der heller ikke har styr på det eller forsømmer at registrere, anmelde og få det godkendt.

Bekendtgørelsen er pga dette juridisk død. Der skal foretages en masse anmeldelser og godkendelser inden DAMD overhoved kan fungere som andet end en diabetes database. DAMD bør selv med øjeblikkelig varsel blokere for al data høst af andet en diabetes ellers optræder DAMD ulovligt.

Hvis ikke vi kommer gevaldigt op at stolene vil DAKe også lide en hurtig død når først den dataansvarlige region vågner op af sin dvale. Det er nemlig dem der bestemmer. Alt. Hvad der skal kodes, hvor det skal sendes hen, til hvilket formål og på hvilken måde.

Med DSAMs ny retsstilling i sundhedsloven, der sikre at de kan indstille til flere kodeforpligtigelser, kræver det blot at de forklarer ministeren hvad de ønsker af data til deres forskning. Da kodning og datafangst fremadrettet udelukkende er reguleret i loven og ikke i overenskomsten, skal ministeren blot sanktionere dette, hvorefter region syd kan underrettets om hvad der skal registreres og anmeldes til Datatilsynet. Bliver det godkendt her, er cirklen fuldendt. DAK-E er totalt omgået og har absolut ingen styrende magt over hvilke data der skal behandles i DAMD og til hvilke formål.
TIDLIGERE I AFLYTTET OM EMMET:

LINKS:
dr.dk: Fortrolige sundhedsdata samles ulovligt i database