Snowden på Reddit: Overvågning er regeringernes sidste chance

Posted on by

Ovenpå uddelingen af en Oscar til CITIZENFOUR deltog Edward Snowden, instruktør Laura Poitras og journalist Glen Greenwald i en AMA(Ask Me Anything) på det sociale site reddit.
Een spurgte ham, om han han troede, de fleste alligevel var ligeglade med deres privatliv?
Han svarede – og læs det hele:
‘To answer the question, I don’t. Poll after poll is confirming that, contrary to what we tend to think, people not only care, they care a lot. The problem is we feel disempowered. We feel like we can’t do anything about it, so we may as well not try.

It’s going to be a long process, but that’s starting to change. The technical community (and a special shoutout to every underpaid and overworked student out there working on this — you are the noble Atlas lifting up the globe in our wildly inequitable current system) is in a lot of way left holding the bag on this one by virtue of the nature of the problems, but that’s not all bad. 2013, for a lot of engineers and researchers, was a kind of atomic moment for computer science. Much like physics post-Manhattan project, an entire field of research that was broadly apolitical realized that work intended to improve the human condition could also be subverted to degrade it.

Politicians and the powerful have indeed got a hell of a head start on us, but equality of awareness is a powerful equalizer. In almost every jurisdiction you see officials scrambling to grab for new surveillance powers now not because they think they’re necessary — even government reports say mass surveillance doesn’t work — but because they think it’s their last chance.

Maybe I’m an idealist, but I think they’re right. In twenty years’ time, the paradigm of digital communications will have changed entirely, and so too with the norms of mass surveillance.’

Søndag nat vandt filmen om ham, CITIZENFOUR en oscar for bedste dokumentarfilm.
I den anledning genudsender vi interviewet med instruktør og journalist Laura Poitras fra november 2014, hvor hun besøgte København.

https://www.reddit.com/r/IAmA/comments/2wwdep/we_are_edward_snowden_laura_poitras_and_glenn/

GOOGLE,NSA,DOD,Singularity?

Posted on by

Full interview with journalist/author Nafeez Ahmed regarding his essay on the Highslands Forum and the connection between the CIA, Sergei Brin+Google, NSA, DOD and the Singularity Movement.
LINKS NAFEEZ ARTICLE: NafeezAhmed/how-the-cia-made-google-e836451a959e” rel=”nofollow” target=”_blank”>medium.com/@NafeezAhmed/how-th…google-e836451a959e
DANISH, EDITED, RADIOPIECE: arkiv.radio24syv.dk/photo/10877924
Interview: Anders Kjærulff

CSC-mainframen der sladrede

Posted on by

Den store sal i Retten på Frederiksberg er noget ganske særligt.
Der er nemlig et tykt lag skudsikkert glas mellem tilhørerne på den ene side og anklagere, forsvarere, nævninge, dommere og de anklagede på den anden. Der er til gengæld aflange huller i glasset – muligvis for at lyden fra salen skal kunne nå os, publikummet og journalisterne, der sidder herude.
De gange jeg har siddet der, og det er en del gange, har jeg teoretiseret over, om man mon kunne få et pistolløb gennem de huller? Om nogen mon havde tænkt over det?CSC - making it real
Når man ser gennem glasset, ser man ind på en scene: De anklagede sidder til højre, Gottfried Swartholm Warg sammen med forsvarer Luise Høj, og den 21-årige medtiltalte dansker, med navneforbud, med sin forsvarer Michael Juul Eriksen. Til venstre holder de to anklagere til: senioranklager Maria Cingari og Anders Riisager fra Statsadvokaten.
Sidstnævnte indledte første retsdag med en erklæring om, at computere for ham var som ’kryptonit for Superman’ – en udtalelse, der på mange måder blev symptomatisk for hele sagen. Vi, tilskuerne, der talte en bred flok af journalister, familie og det, man kalder it-interesserede, fnes nervøst.
Gottfried Swartholm Warg, også kaldet Anakata, blev idømt tre og et halvt års fængsel, og den 21-årige med navneforbuddet fik seks måneder.
Tre dommere og fire nævninge mente, at Warg var hovedmand bag hackerangrebet og stod for selve udførelsen af angrebet.
De fandt det samtidig bevist, at den 21-årige havde medvirket til angrebet i den indledende fase.

Med den hårde dom på tre et halvt års ubetinget fængsel til Gottfried Swartholm Warg og den helt iskolde afvisning af muligheden af, at hans computer kunne have været fjernstyret, har retten, og dermed den danske stat, delt seriøse ørefigner ud. En hidtil ustraffet 21-årig dansk mand sidder varetægtsfængslet i 17 måneder og inkasserer så seks måneders ubetinget fængsel – alene for at have deltaget i en chat-samtale. Det er i den hårde ende. Ved at undlade at gøre sikkerhedsforholdene hos databehandleren CSC, Computer Sciences Corporation, til en del af sagen har det offentlige Danmark samtidig spredt gift rundt omkring sig selv og alle os andre.

Fem måneders frit spil

Det hele begynder i februar 2012. Nogen forsøger at logge ind på en ukrypteret FTP-server tilknyttet CSC’s IBM-mainframe. Men ingen er kommet ind. Endnu. Og ingen alarmer er gået hos CSC.
Den 7. april, 2012 trænger nogen så helt ind, angiveligt via en såkaldt zeroday-sårbarhed. Dagen efter overføres et script til CSC’s mainframe, og nu har indtrængerne administratorrettigheder. Den adgang bliver brugt til at lave tre bagdøre i systemet og sætte gang i en massiv kopiering og overførsel af data fra CSC’s systemer.
Der er downloadet filer og datasæt fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet. Det er de mest følsomme data, vi overhovedet har.
De data passerer gennem servere i Cambodia, Tyskland og Iran. Den sidste “uberettigede aktivitet” sker den 28. august!
De mest højlydte advarsler kommer fra svensk politi i juni 2012. De gentager dem tre gange mere i det efterår. Ingen lytter.
Samtidig, i juni 2012, undlader CSC og Rigspolitiet at reagere på en stærkt kritisk revisionsrapport fra Deloitte.
Svensk politi anholder Gottfried Swartholm Warg i Cambodia i august 2012. Hans computere er fyldt med data fra CSC’s servere og indeholder et program, der kan simulere en mainframe magen til den, CSC bruger. Det svenske politi ringer til Danmark igen.
I februar 2013 underretter dansk politi CSC om indbruddet. CSC får først lukket den sidste smækkende bagdør 6. marts 2013 – angiveligt for ikke at forstyrre kunderne på systemet for meget.

Det amerikansk ejede firma CSC er en af den danske stats største it-leverandører. CSC har siden maj 2001 stået for al it i Folketinget og stort set alle andre funktioner i det offentlige Danmark. Det kan undre, at et så betroet firma ikke har haft bedre sikkerhed, men det har hidtil ikke været sagens kerne: Medier og myndigheder har endnu en gang valgt at fokusere på symptomerne; i dette tilfælde den meget dygtige Warg og den dansker, han har været perifert i kontakt med via en chat.
Gottfried Swartholm Warg kan, yderst teoretisk, have haft det motiv at slette data om sig selv i Schengen-registreret, hvor han stod opført som undvegen fra dommen mod Pirate Bay i sin tid. Hvad angår den 21-årige, ja så kunne det måske have været interessant for anklagerne at se, hvad der gemte sig i den krypterede del af den computer, han med fuld ret har nægtet politiet adgang til – og dermed i øvrigt til fulde har bevist, at kryptering virker.
Men det er kun forestillinger. Selve meningen og beviserne kniber det med.
Dansk politi har ikke selv har haft adgang til CSC’s systemer. CSC hyrede et helt tredje firma til at gennemgå systemerne, og det er oplysningerne fra CSC’s egen “hired gun”, der er blevet brugt i retten.

– Basalt set er sagen ligesom alle andre. Der er nogle tekniske udfordringer, men det skal jo bare køres ned til, om der er foregået noget strafbart, sagde forsvarer Michael Juul Eriksen i mit radioprogram, “Aflyttet”, efter at den 21-årige sigtede dansker havde været gennem første afhøring.

Men sådan kom det ikke til at gå: Chatten var for eksempel et andet problem. Det er den, man har dømt den 21 årige og nogen grad også Warg ud fra. Den 21-årige har ikke benægtet, at han har deltaget i den chat. Han har forklaret, at det navn, han ifølge anklageren skulle have optrådt under, “Advanced Persisitant Terrorist Threat”, ikke var hans “handle”.

Der er god grund til at være mistænksom over for den chat: Den var nemlig kun lagret som en kopieret text-fil og er et uddrag af en længere chat-samtale. Og som de to nævninge, der ikke mente Warg var skyldig, udtalte i kendelsen: “…der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte Warg, der under navnet “My Evil Twin” deltog i chatten”. To nævninge mener begge, at der er rimelig tvivl om, hvorvidt Warg er skyldig. Fire mener det modsatte, og mens Gottfried Swartholm Warg stadig er fængslet i Danmark under skærpede forhold, er sagen nu anket til landsretten. Anklagemyndigheden var tilfreds. Der blev sat præcedens. Nogen blev dømt. Hårdt.

– Borgerne er også potentielt blevet berørt og er det måske stadig. Blandt andet har Warg haft adgang til kriminalregistret, der er blevet kompromitteret, og det er i sig selv en enorm skadevirkning. Vi ved jo ikke, om der er ændret i oplysninger og straffeattester, sagde anklager Maria Cingari efter domsafsigelsen. Havde hun havde taget sine egne ord alvorligt, burde hun briste i gråd, og vi andre, os, borgerne, kræve de ansvarliges hoved på et fad.
Hvad gør vi?

Ud over de nu dømte, hvem er så de ansvarlige, der har sendt hele den danske registerkultur, grundlaget for retssamfundet, forvaltningens DNA, på en virtuel dødsrute via Iran, Tyskland, Cambodia?

Er det CSC?
Ja, Center For Cybersikkerhed (CFCS) har faktisk tildelt selskabet en forsigtig kindhest: “… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,” skriver CFCS i en hemmelig rapport, som Politiken fik indsigt i.
Hvordan den kontrol skal udføres i forhold til et stort udenlandsk firma uden danske statsansatte inden for murene – og med et dybt underbudgetteret datatilsyn, der ikke har kompetencerne – har hidtil fået lov til at stå uforklaret.
Hvis nogen har tænkt sig at lære af CSC-sagen, går de meget stille med dørene. Der er ellers nok af gode spørgsmål at tage fat på.
Det første er, om det overhovedet er en god ide at have så mange følsomme data liggende på et sted. På samme maskine. Og med adgang til internettet.
Det andet er, om det er forsvarligt at have dem liggende hos kommercielle, udenlandske firmaer, hvis logs, opdateringsrutiner og soft- og hardware vi ikke har en kinamands chance for at kontrollere.
Det tredje spørgsmål er, hvornår nogen stikker den der pistol ind gennem hullerne i det virtuelle glas, vi gemmer samfundets mest kritiske data bag, og begynder at fyre løs på må og få, så vi endegyldigt mister muligheden for at vide, om det, der står tilbage, nu er sandt eller falsk, hvis røgen nogensinde lægger sig.
Politikerne har råbt op, men alt for forsigtigt, da de selv står bag udliciteringerne, ikke tør ændre kurs, absolut intet ved om it-sikkerhed og derfor er afhængige af dyrt betalte konsulenter fra andre, udenlandske, firmaer.
Men de tror åbenbart, i ramme alvor, at man kan true sig til sikkerhed med kontrakter. De påstår igen og igen, at det kun handler om mere regulering og jura, mens de samtidig skærer ned på Datatilsynets bevillinger. Og som aben cykler syngende rundt der mellem datatilsyn, ministerier, ordensmagt og CSC, er vi nogle, der tæller ned til næste gang, det sker: Den store, endegyldige ofring af borgernes følsomme data på det naive forvaltningssjuskeris alter, der hvor man fejrer en Gud, der naturligvis aldrig vil stille sig tilfreds med et par “it-interesserede” mænd, men som vil blive ved med at kræve ind, til vi alle sammen ligger der, uden sikker viden, endnu flere syvmileskridt inde i et tvangsdigitaliseret Danmark med knuste logfiler i hjertet.

ARTIKLEN ER TIDLIGERE BRAGT I PROSABLADET HER: https://www.prosa.dk/aktuelt/prosabladet/artikel/artikel/csc-mainframen-der-sladrede/?tx_prosamag_pi1%5Bpageid%5D=5978

Din telefon er i fare – du kan intet gøre

Posted on by

(Tekst: Peter Dremstrup/Anders Kjærulff)
I 1980erne blev der oprettet en Intern protokol til kommunikation mellem netværkssystemer og på tværs af GSM-operatører. Den er oprindelig tænkt som en “walled garden”, et lukket system, hvor kun teknikere havde adgang, og derfor er den uden passwords og logons, uden autentificering.
Det var ikke noget problem før SS7 i 90’erne og 00’erne blev udvidet til også at indeholde SMS og data. Systemet får nu en smule sikkerhed – nu skal man kunne håndtere “roaming agreements” for at kunne kunne bruge det, men det tjekkes ikke hver gang og ikke i alle lande.

http://ss7map.p1sec.com/country/Denmark/

http://ss7map.p1sec.com/country/Denmark/

Adgang til SS7 kan købes hos nogle operatører for et par 100 euro, et legitimt formål er blandt andet til sms-services fra websites og lignende.
MEN.
Der er en række mildt sagt ikke legitime formål.
Har man først adgang kan man spore en hvilken som helst telefon via master og GPS.
Det gøres ved at spørge efter seneste position (det mobil tårn som enhed er forbundet til) eller ved at udnytte en funktion fra 911-kald, de skal kunne spores hurtigt, levere reel position og evt. fjernaktivere GPSen i telefonen.
Der findes allerede online services hvor man kan spore folk med et tlf-nummer – de benytter SS7.
Har man adgang til SS7 kan man også omstille en telefon, feks til en telefonsvarer, og så sende den tilbage igen, med det resultat, at telefonen er permanent aflyttet.
Det er muligt at se hvordan din telefon er sat op, men det kræver intastning af en særlig kode.
Det er PT ikke muligt at sikre sig seriøst mod overvågning via SS7.
I Danmark er kun ET af fire mobilnetværk opmærksomme på problemet.
LÆS MERE HER:Tobias Engel har undersøgt problemet grundigt – her er hans slides fra http://media.ccc.de/browse/congress/2014/name/-

Læs også vores store sikkerhedsguide her: https://aflyttet.dk/aflyttet-praesenterer-den-store-sikkerheds-og-privatlivsguide-2014/

TERRORBLOD på medie-hænder?

Posted on by

Af Anders Kjærulff

Da jeg var i lære som journalist, fortalte redaktionsekretæren mig de uskrevne regler for min lokalavis.
De, der gjaldt for retsstoffet.
Der var ikke så mange. Men de var vigtige:
Vi skrev ikke anklagedes navne, før de var blevet dømt, og kun hvis de fik over tre måneders ubetinget fængsel.
Og så var der de vedtagne tabuer.
Brandstiftelse og Pædofæli omtales højest i en-spaltere. Kun fact og ikke mere.
‘For den slags har det med at brede sig’, sagde redaktionssekretæren, og henviste til, at omtale af pyromani/pædofæli fik folk med de tendenser til at få lidt for gode ideer…
Det lokale politi var i øvrigt helt enige.
Jeg mener at tiden er kommet til, at vi udvider reglerne til også at gælde TERROR.
Som tingene udvikler sig, haster det voldsomt.
For den omtale vi villigt leverer af rædsler og menneskelige vinkler og detaljer og nærbilleder af sproglig og visuel karakter, giver med garanti rigtig mange svage sjæle virkelig gode ideer.

Men først et flash-back. Til et billede fra Paris. Det her for oven.

Fra det man (sic) kalder ‘TERROR-regimet’ i Paris, en periode med summariske henrettelser på over 40.000 mennesker, offentligt udført ved guillotine eller skydning eller hvad man nu kunne finde på.
Der var bunker af tilskuere, naturligvis, og henrettelserne var et show, der får enhver udgave af x-factor til at blegne.
Man kappede hovedet af alle mulige forskellige alt efter hvem der sad på magten og det gik udover både adel og borger og arbejder.
Hvis der var journalister tilstede dengang, hvordan ville man så have dækket det? På en anstændig måde? Giv mig bare et godt bud? Kunne man dække det?
For i dag, under dække af pænhed, utrykghed og bekymrede miner er det netop det vi gør – dækker  TERROR  som var det x-factor – og det skal vi simpelthen holde op med! NU!

Men det er svært.
For udover epidemier, pludselige spektakulære ulykker, mord og ekstreme vejrfænomener, er der fire ting, der kan få journalister til at dirre af vellyst: Folketingsvalg, Ministerrokeringer, Royale Skandaler og TERROR.
Jeg ved det, for jeg er selv journalist, og også jeg mærker denne følelse af vigtighed, uundværlighed og ikke mindst et opmærksomt publikum, når et af de fire optræder.
TERROR er ikke noget dansk ord.
Det er engelsk og betyder rædsel. Frygt og rædsel er ikke det samme. Rædsel er værre, dybere, er mange lag af frygt lagt ovenpå hinanden, gentaget, forstærket i hjernens kammer med en snert af vellyst.
Ja, vellyst. For de nervebaner, der transportere henholdsvis iskold angst og gnistrende vellyst, ligger angiveligt lige op af hinanden, det har jeg fra en forsker, der naturligt nok konkluderer, at vellysten og angsten nærer hinanden, hvilket forklarer en hel del mere, end de fleste af os har lyst til at vide, endsige er i stand til at rumme – eller drage konklusioner af.
Det er kort sagt den bedste kombination at få læsere/lyttere/seere/klik på.
Hvilket bringer mig videre til vores næste problem.
Journalister. Mig selv. Og mine.
Vi elsker forløb uden ende, uden dramaturgi og uden analyse, gerne ting, der foregår foran os, hvor det kun handler om at indsamle data løbende, til tingene når deres naturlige – og som regel ubehagelige – afslutning.
Og så kan vi tale videre, og videre bagefter, inden vi går ud og fejrer os selv på et eller andet værtshus og slår hinanden på skuldrene af bare vigtighed i presselogen…

TERROR i Paris er det perfekte eksempel. En kulmination af et længe næret vanvid.
Alle er gået i breaking news mode. Breaking er dejligt. Breaking betyder at alle går på overtid, ingen vil tjekke fakta, cheferne er på gulvet for en gangs skyld, og så skal vi alle sammen vise os. Der er BREAKING. Og vi vil så nødig gå ud af det.

Breaking er det, vi lever af, hedder det sig.

Men breaking er også det, vi dør af. Alle sammen.

Vi har brug for at holde en pause. For at stoppe op. Og tænke.
Vi har ikke brug for flere journalister, der fortæller hvad de ser på TV. Og som rapporterer fra pressemeddelelser og officielle kilder og løse rygter og fra hvad andre journalister måske har sagt på en anden kanal, på et andet tidspunkt eller lige nu.
Vi har brug for, at vi venter. Og ser sandheden, mens den er der.

Vi ved godt, der er forskel på information og viden. Men når vi går i BREAKING-mode, er information alt vi viderebringer.
I gamle dage kaldte man det for at træde vande – men det er det ikke længere. BREAKING er i dag det, som samtlige større medier konkurrerer om at gøre sig bedst med, fordi det er billigt og fordi de er gearet til det. (Måske er det sågar det eneste, vi er gearet til? Alt andet er en slags ventesal…)
Man har til lejligheden en række fagmedarbejdere med et velsmurt mundtøj og pæne jakkesæt/spadseredragter og et netværk af kommentatorer, der er i stand til at tale om stort set hvad som helst meget, meget længe.
Man har taget en form, oprindeligt som set hos CNN, men den er nu den eneste reelle form, der er….
Det er som en standret af reportere, altid klar i kulissen, sobre og tilsyneladende fornuftige i tonen, mens de forvandler det, der er vores virkelighed til et absurd teater af summariske henrettelser.

Ideen bag er simpel – det handler om, at holde publikum fast på kanalen så længe som muligt i det håb, at endelige, faktuelle oplysninger på et eller andet tidspunkt indfinder sig. Til da træder vi alle sammen ind i en verden af antagelser, rygter, gentagelser af udgangspunket, analyser af ingenting og, ikke mindst, vilde spekulationer og nye analyser på baggrund af dem.
Jeg gider ikke engang komme med eksempler.
Ingen kan alligevel huske, hvad der blev sagt i forbindelse med hele Paris-TERROR, sagen – vi stod alle sammen med åben mund og polypper og kørte tomgang mens det skete udfoldede sig skærme, der viste de samme billeder, igen og igen og igen og reportere med satellitlinks fortalte, at de ikke kunne komme nærmere end 1 kilometer på noget som helst….

Det blev et studie i angst med angst på. Af rædsel. Af TERROR i sig selv.

I manglende viden. Og i et overblik, der bevidst ødelægges for den gode, frygtfulde stemnings skyld.
Vi skal være bange. Meget bange. Og poltikerne skal gøre noget. NU, skriger vi og det gør de så, for åbne kameraer og helt og aldeles uden at tænke sig om – for midt i et hav af frygt er der ikke tid til det…
Og der er nogen, der er rigtig glade for, at det er sådan. Terroristerne.
Det er dem, der har hovedrollen. Det er dem, der kan læse om sig selv i avisen og se sig i fjernsynet.

Hvad er en terrorist? En der udfører terror, en der PÅFØRER os rædsel – en rædsel som vi, medierne, bærer frem som var det den hellige, lysende gral.
Det er det ikke. Det er andre menneskers blod.
Det fortjener mere respekt, omtanke og ikke mindst forsigtighed, end den måde vi ruller os rundt i det nu.
Og nu kan jeg allerede høre et kor af forargede politikere og kolleger råbe i kor:
‘CENSUR! Af med hans hoved!’
Men jeg har allerede tabt det, og nej, det er ikke DET jeg beder om, jeg beder ikke engang om selvcencur, for min skyld kan I tapesere hele verden til med Muhammed-tegninger og skrive frækt om Kongehuset og Prinsen på Broen og Dannebrog eller hvad I nu har lyst til.
Det er ikke det, det handler om her. Det handler om at besinde sig.
Om ikke at male fanden på væggen. Gør man det, kommer han som bekendt.

Jeg ved det er svært men, SLAP AF!
Lad os os tænke os lidt om. Lad os ikke sige noget – før vi ved noget.
Lad evt. billederne stå og ti stille, hvis der ikke er noget at sige.
Ellers spiller vi med på sangen, rædslens sang, terroristernes.
Og hvis vi ikke holder op med det, bliver det den sidste sang vi hører.

Hvor internettet bor – dokumentar af Henrik Moltke

Posted on by

‘Det startede med et simpelt spørgsmål: Hvor er internettet egentligt?
I 2010 drog den Cavling-nominerede journalist Henrik Moltke med mikrofon og optager ud for at finde ud af hvor internettet kommer fra.
Vi tænker ikke over det, men nettet er i høj grad fysisk, og bag ved stikket i væggen findes der en forunderligt verden bestående af lange kabler og mennesker, der får netværkene til at hænge sammen.
Undervejs begyndte en krybende mistanke, der skulle vise sig at stemme overens med NSA-whistlebloweren Edward Snowden hemmelige dokumenter.
Henrik Moltke kom på sporet af en række hidtil ukendte steder, hvor spioner lytter med og kigger i pakkerne’
LINK: http://www.dr.dk/p1/hvor-internettet-bor/hvor-internettet-bor

Den store sikkerheds- og privatlivs-radioguide 2014/15

Posted on by

Henrik Kramshøj lever af sikkerhed som Whitehat-hacker med eget firma, Gry Hasselbalch er aktiv indenfor Privacy og har tidligere arbejdet for medierådet for børn og unge, og Alexander Mills er gymnasielev med et særligt interesseret blik på sikkerhed i cyberspace.
fra venstre: Alexanders Mills, Gry Hasselbalch, producer Ninette Birch og Henrik Kramshøj. Nederst i billedet ses værtens computer.
I november inviterede Aflyttets Anders Kjærulff dem til at tale om sikkerhed og privatliv i to programmer med udgangspunkt en række spørgsmål sendt fra lytterne til lyt@aflyttet.dk.
Resultatet blev sendt den 28 december 2014 og den 4de januar 2015 kl. 1315 – og ligger nu til download her:
Program 1: http://arkiv.radio24syv.dk/9826383/10765436/d1e666060a24177c358bb8904a2ad187/audio/aflyttet-uge-52-2014-1-audio.mp3
PRogram 2: http://arkiv.radio24syv.dk/9826383/10775288/e4e5b1b5954ebfb26609e5856310b12e/audio/aflyttet-uge-1-2015-audio.mp3

I programmerne nævnes en række links. Vi har samlet dem her i(stort set) den rækkefølge de optræder i udsendelserne.

NB: Denne Guide er i bevægelse, på ingen måde perfekt eller færdig. Tænk dig om selv, det er altid det bedste – vi modtager også gerne gode tip – se på kontakt-siden hvordan.

PROGRAM 1:
(Shownotes ved Zissel K_M.)

Hvis man vil være mere sikker på nettet er et godt sted at starte at skifte til en anden søgemaskine end google, og panelet forslog i programmet, at det kunne være;
https://www.startpage.com/, https://duckduckgo.com/ eller
https://www.qwant.com/.

Man kan lære meget hos Electronic Frontier Foundations Surveillance self-defense guide:
https://ssd.eff.org/en
Og lærerstandens brandforsikrings guide til beskyttelse af online privatliv er heller ikke ringe: http://license2share.dk/

MAIL:
Med de klassiske mailsystemer som outlook og gmail, kan man betragte sine emails som åbne postkort, internetudbyderen kan eksempelvis læse med på alle de mails, der løber igennem deres netværk.
Men ved at kryptere sin mail, forhindre man andre i at læse med undervejs. Vores Eksperter foreslog tjenesten: https://www.neomailbox.com/, som både er nem at brug og har deres server placeret i Schweitz. Det skal dog siges at Neomailbox koster cirka 250 kroner om året.
Hvis du vil kryptere din mail, anbefaler vi openPGP, der blandt andet kan downloades her: http://www.openpgp.org/ – det er ikke ukompliceret, men klart indsatsen værd! Og husk, krypter ikke kun for din egen skyld – men også for andres…

Hvis du bruger Mac er der et meget nemt plugin til mailprogrammet – det kan hentes her: https://gpgtools.org/

CHAT:
Det kan være en fordel at bruge krypterede chat programmer.
Hvis man vil bruge programmet Tox https://tox.im behøver man ikke engang at installere et program, man skal blot downlaode en zip-fil og udveksle nøgler med dem man vil kommunikere med. Du kan læse mere om Tox her: https://wiki.tox.im/Clients
Panelet forslog desuden chatprogrammet Cryptocat, https://crypto.cat. Hvis man vil kryptere det, man sender ud på facebook eller twitter kan man bruge programmet ADIUM https://adium.im/.
Hvis du vil vide mere om sikrer chatprogrammer har Electronic Frontier Foundation(EFF) lavet en oversigt over forskelige chatprogrammers kvalitet https://www.eff.org/secure-messaging-scorecard

Kryptering:
Glenn Greenwald sagde tidligere på året:
“…Every single time somebody has said to me, ‘I don’t really worry about invasions of privacy because I don’t have anything to hide.’ I always say the same thing to them. I get out a pen, I write down my email address. I say, ‘Here’s my email address. What I want you to do when you get home is email me the passwords to all of your email accounts, not just the nice, respectable work one in your name, but all of them, because I want to be able to just troll through what it is you’re doing online, read what I want to read and publish whatever I find interesting. After all, if you’re not a bad person, if you’re doing nothing wrong, you should have nothing to hide.’ Not a single person has taken me up on that offer.”
Det er netop dette man beskytter sig i mod, når man har en krypteret harddisk.
Når man krypterer sin harddisk vil det sige, at computeren gemmer al data i en kuvert, der skal åbnes med en meget lang kode, som er nøglen til nøglen til harddisken. For at åbne for denne nøgle, bruger man sin normale kode, som man kan vælge at ændre løbende, ligesom man kan ændre andre passwords på sin computer. Det betyder at man kan have en kode på tyve tegn, mens der nedenunder er en meget stærk nøgle, der skal åbnes før harddisken bliver tilgængelig. Krypteringer kan være enormt stærke, det kan ses i forbindelse med CSC-hackersagen, hvor politiet uden held i et år forsøgte at åbne en krypteret container.
Udover at beskytte sine data, så vælger nogen også ‘solidaritets-kryptere’.
For dem kan det være en måde at signalere, at man i et demokratisk samfund har behov for retten til privatliv og en måde at sikre en virtuel forsamlingsfrihed.
Et nemt sted at starte er ved at installere et plug-in, der sørger for at hvis en hjemmeside har https, så bliver det brugt. Det kan eksempelvis være ”https everywhere”, som sørger for at hver gang der er mulighed for at der kan bruges en krypsion, så bliver den brugt, det betyder at du hele tiden er på en sikker forbindelse. https everywhere, kan downloades til din browser her: https://www.eff.org/https-everywhere

TOR:
Tor beskytter din placering, din ip-adresse og hvem du sender informationer frem og tilbage til.
For at installere Tor, går man på https://www.torproject.org og her henter man en pakke, der hedder tor-browseren. Når Tor er blevet downloadet og installeret kan man åbne den ligesom en normal browser (safari, firefox eller googlecrome). Tor adskiller sig ved at være en specielt tilpasset browser, som ikke afsløre ret meget om hvem du er. Det vil sige at alle, der downloader Tor-browseren, vil se ens ud for dem der sidder på den anden ende. Browseren er nem at starte op, men man skal være opmærksom på at den fungere med en vis hastigheds nedsættelse. Med andre ord bruger man den sjældendt til at se youtube-videoer på, men til gengæld vil det være naturligt at bruge den, hvis man er i et land hvor det ikke er så populært at tweete om premierministeren, staten eller regeringen.

Facebook indgik i 2014 et samarbejde med Tor-netværket. Det kan betyde at hvis man sidder i et krisecenter for voldsramte at man stadig kan have kontakt med sin familie og venner, uden at man afsløre hvor man befinder sig.
Tor fungerer ved at den trafik, som man vil sende bliver pakket ind. Man kan forestille sig at man tager forskelige kuverter som kommer man ind i hinanden. Det betyder at når du skal sende noget til en modtager, så sender du først kuverten til en tilfældig, der sender den videre til en anden, der sender det vider til en tredje, der sender det vider til en fjerde og til sidst ende det hos en, der sender den videre til den endelige modtageren. Men der står ikke hvem den kommer fra, på den måde så skjuler man hvor trafikken kommer fra og hvor den skal hen.
Det gør det væsentligt svære at pin-pointe hvor folk er og det gør det meget svære at lytte med i hvad folk sender frem og tilbage. Det virker via exit-notes. Exitnote er hvor de krypterede kuverter pakket ud af det tor-netværket. Vedkommende, der administrer en tor-exit-note kan lytte med på trafikken som løber igennem hans eller hendes exit-note. Derfor kan man med fordel stadigvæk bruge krypteret https, når man benytter Tor.

Krypto-party:
Et kryptoparty er et antal personer der mødes og taler om sikkerhed og udveksler programtips. Når man holder et krypto-party kan man også generere nøgler og finde nogen andre og sende krypterede mail med. I Danmark annonceres et pryptoparty som regel via twitter.
Hvis man selv vil arrangere et krypto-party er det bare at springe ud i det, man kan med fordel få hjælp fra denne håndbog https://www.cryptoparty.in/documentation/handbook

PGP-kryptering:
Det er blevet en standart for mange år siden, det hedder oprindeligt ”pretty good privacy” men ”gnu privacy guard” er mere udbrudt og er kompatibelt med PGP. GNU privacy guard er ikke svær at installere, hvis man fx vil bruge den til krypteret mail.
Man kan downloade et ekstra modul til sit postprogram, som giver mulighed for at man kan sætter et lille hak hvis man vil kryptere mailen, eller et lille hak hvis man vil skrive under på mailen. Og så kan det verificeres af modtageren når vedkommende modtager mailen, det kræver dog at man er bekendt med hinandens nøgler.
Du kan læse mere om virtuelsikkerhed og PGP-kryptering her: https://www.cpj.org/reports/2012/04/information-security.php

Program 2:

Sikkerhed på mobilen
Telefoner kan både blive hacket og stjålet, det er derfor en god idé ikke at have nogen oplysninger på sin telefon af særlig følsom karakter. Men det har vi jo.
Panelet forslår generelt at man er passende paranoid omkring hvad der ligger på den. Det en god idé ikke at have en masse free-apps, men i stedet nogen få gode, der kommer fra firmaer eller app-udviklere som man kan stole på. Appen disconnect me, hjælper med at beskytte dit privatliv gennem telefonen du kan læse mere om den her: https://disconnect.me .
Hvis man har lyst til at skjule hvor man befinder sig, kan man købe appen ”free dome” fra det finske firma F-secure. Programmet giver brugeren en perment virtuel placering, man kan vælge byer som Hong Kong, London og Amsterdam. Programmet beskytter desuden mod vira og forskelige typer angreb. Det eneste bøvl, der er med appen er at netværkerne kan blive mistænkelig, fordi man befinder mig et andet sted end man egentligt er. Du kan købe og læse mere om free dome her: http://www.f-secure.com/en/web/home_global/freedome.
De fleste apps i dag beder om adgang til mere end de har brug for, selv en simpel app som en lommelygte kan finde på at bed om adgang til alt, kontakter, mikrofon og kamara etc. Forskere har fundet ud af at, hvis de adgang til mikrofonen på en smartphone, som ligger på samme bord som en computer. Kan man ved lyden fra tastaturet eller ved lyden af CPUen, høre hvad der bliver tastet blandt andet passwords. På iPhone kan man i system indstillingerne under privatliv, indstille telefonen til at den aldrig må give apps adgang til mikrofonen. Panelet anbefaler desuden at man bruger appen clueful, der undersøger om de apps man har installeret sætter ens privatliv i fare, og hvor meget de forskelige apps ved om en. Du kan hente og læse mere om appen her: https://play.google.com/store/apps/details?id=com.bitdefender.clueful.
Hvis man er træt af Facebook Messenger appen, kan man hente appen ”Tinfoil for Facebook” https://play.google.com/store/apps/details?id=com.danvelazco.fbwrapper. Den kan stort set det samme som en almindelig facebook app, bortset fra at den lover ikke sender nogen data ud fra systemet, når den først er kommet ind. Desværre findes den kun til android.
Her kan du læse mere om appen: http://www.cnet.com/how-to/use-tinfoil-for-facebook-to-protect-your-privacy-on-android/

Læs mere om din mobil sikkerhed her: https://tacticaltech.org/security-box

Og her: https://guardianproject.info

AFLYTTET henviser iøvrigt til vores tidligere Pas-på-Dig-Selv guide – den ligger her

Slap for Digital Post: ‘juridiske vanskeligheder med nemID’

Posted on by

Softwaredudvikler og medlem af bestyrelsen af IT-politisk forening Ole Tange, kan ikke siges at mangle viden om ny teknologi. Han er heller ikke handicappet og han har masser af adgang til internettet.
Alligevel er han nu sluppet for at bruge digital post.

Det er sket ved at han af kommunen fik lov at strege et ord ud i fritagelsesformularen og erstatte det med et andet.
‘Jeg har juridiske vanskeligheder ved at skaffe den offentlige digitale signatur. (nemID)’ lyder det således nu.
Se papirene herunder:

Ole Tange fik lov at skifte et ord i en formular - og vips - fritaget for digital post

Ole Tange fik lov at skifte et ord i en formular – og vips – fritaget for digital post


Og her er kommunens kvittering
Ole Tange skriver:
‘Jeg kan ikke acceptere reglerne for at få NemID, og da NemID er frivilligt, så kan jeg naturligvis ikke tvinges til at acceptere reglerne.
Hvis jeg kunne tvinges til det, så er der ingen grund til, at jeg skal acceptere betingelserne. Jeg skal jo heller ikke acceptere at betale skat: Betaling af skat er ikke frivillig’
‘Men jeg synes tvangsdigitalisering er hul i hovedet: Hvorfor tvinge folk til at lægge deres fortrolige data i systemer, der er sikret så dårligt, at en svensk fritidshacker kan få adgang til dem? Hvor meget adgang kan en russisk mafia så ikke få, hvis de ikke er bange for at kidnappe nogle børn af centrale systemadministratorer? Eller hvad med den amerikanske ejer af virksomheden for f.eks. CSC? Er det eneste, der beskytter os mod læk, en regel om, at “Fyyh, det må I da ikke”, og som det vil være umuligt at se bliver overholdt?’
‘NemID er endnu på nordiske hænder. Men sikkerheden af NemID er alene afhængig af deres sikkerhed. Jeg så hellere en model, hvor min identitet blev skabt af mig, og underskrevet af NemID’
‘Lad digitaliseringen være tilbud, som jeg kan vælge til; og sørg for at bygge en sikkerhed, der ikke er alene er afhængig af et firma – specielt hvis det firma er udenlandsk kontrolleret.’
‘Hvis jeg i fremtiden får tillid til, at det offentlige kan beskytte mine data på forsvarlig vis, så er jeg såmænd nok med igen’, skriver altså Ole Tange.

Han vedhæfter samtidig understående link om betingelserne for oprettelse af nemID:

https://service.nemid.nu/dk-da/bestil_nemid/bestil_med_koerekort_eller_pas/index.html?execution=e2s1


Her står der:
‘Når du får et OCES-certifikat udstedt og knyttet til NemID, giver du
samtykke til:
at Nets DanID foretager opslag i CPR for at indhente dit navn og din adresse
at Nets DanID videregiver sammenhængen mellem din offentlige digitale signatur og dit cpr-nummer til den offentlige PID-tjeneste hos Digitaliseringsstyrelsen. PID-tjenesten bruges til opslag fra offentlige tjenesteudbydere for at identificere dig. En privat tjenesteudbyder kan kun få oplyst dit cpr-nummer, hvis du giver dit samtykke til det, når du logger på hos tjeneste-udbyderen
at Nets DanID foretager opslag i den offentlige PID-tjeneste for at indhente eventuelt PID-nummer fra et tidligere OCES-certifikat
at Nets DanID bruger dine personoplysninger (navn, adresse, cpr-nummer og eventuelt e-mail-adresse og mobiltelefonnummer) til udstedelse og administration af dit OCES-certifikat.’


Fritagelsesblanket til Digital Post kan findes og printes herfra(bla.): http://www.klxml.dk/KLB/Blanket/Gaelder/fd001f.pdf
Den skal afleveres hos borgerservice i din kommune.