Femte juli

Nätet till folket!

admin

Sprid budskapet om lösenordshanterare!

av

Du som följer den här nyhetsbloggen är förmodligen mer tekniskt insatt än gemene man. Du är den som hjälper dina vänner med allt från att förklara vad nätneutralitet är till att installera en ny skrivare.

Kanske har du, som jag, under minst något decennium ständigt upprepat det här mantrat för dina tekniskt mindre bevandrade vänner: Backup, backup, backup! Jag säger det hellre för många än för få gånger. Jag vill inte höra från ännu en författare att hela romanen försvunnit. ”Vadå backup?” Och den som en gång blivit bränd sprider budskapet till sina bekanta för att andra inte ska åka på samma smäll.

Numera har folk i allmänhet kommit över den digitala barnsjukdomen att inte säkerhetskopiera. En medvetenhet har spritt sig, även bland tekniska dilettanter. Och så har det ju blivit så enkelt för vanligt folk att säkerhetskopiera – Apple och andra leverantörer gör det automatiskt genom Icloud och liknande tjänster som är påkopplade per default.

Nu, mina tekniska vänner, är det dags för nästa folkkampanj: Lösenordshanterare.

Folk måste sluta använda samma lösenord överallt. Att få sitt konto hackat för tio år sedan var visserligen inte roligt, men i dag är det en närmast existentiell katastrof. Ändå fortsätter folk välja idiotlösenord – här är topplistan över läckta lösenord för 2017, sammanställd av Motherboard:

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

En lösenordshanterare slumpar fram olika lösenord för varje sajt och du kan själv välja hur långt och komplicerat lösenordet ska vara. Det enda du behöver komma ihåg är huvudlösenordet, förslagsvis en lång mening som du aldrig glömmer. Resten sköts automatiskt – du ser aldrig lösenorden!

Många lösenordshanterare kommer med plugins till webbläsare, som i idealfallet gör inloggandet både smidigt och säkert. Dock bör man vara försiktig med autofill-funktionen; såväl webbläsare som tredjepartsplugins loggar in användaren automatiskt, vilket kan utnyttjas av annonsörer. Här måste man ge kanadensiska företaget Agilebits och deras lösenordshanterare 1password respekt, eftersom de av säkerhetsskäl vägrat införa autofill trots att många användare vill ha det, enligt en talesperson:

People ask us for automatic autofill, it’s a commonly requested feature. People post on our forums saying ’your competitors have automatic autofill and you don’t. I need this feature.’ They like the idea of going to a website and just being logged in.

Men även om olyckan skulle vara framme och ett lösenord blir kidnappat genom något elakt script på någon sajt, så gör en lösenordshanterare att detta lösenord i vilket fall inte används på någon annan sajt. Princetonforskaren Gunes Acar, som författade studien om hur annonsörer kan utnyttja autofillfunktionen, säger:

I think password managers in general are a positive security feature—password reuse is a big problem. But the defaults [to autofilling] should be reconsidered, users should be in the loop.

Läs mer om studien och om 1passwords resonerande i Wireds artikel med den talande titeln: GET A PASSWORD MANAGER. NO MORE EXCUSES.

Meltdown och Spectre – så farliga är veckans säkerhetshål

av

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Iran och Kongo stänger av mobilt internet

av

Det har blivit rutin för auktoritära regimer att kväsa uppror genom att blockera internet eller delar av det. Sedan Etiopien blockerade Facebook och vissa andra sociala medier häromveckan har turen nu kommit till Iran och Kongo:

  • I Iran beordrade myndigheter i lördags internetleverantörer att stänga ner sina mobila nätverk efter att videor publicerats från demonstrationer i städerna Khorramabad, Zanjan och Ahvaz.
  • I Kongo har myndigheterna stängt av åtkomsten till mobilt internet och även SMS, sedan polis i går drabbade samman med demonstranter i huvudstaden Kinshasa.

Internet och sociala medier är vad som gör det möjligt för dissidenter att organisera sig, men ovanstående händelser visar hur sårbar denna internetbaserade organisering är om ett lands regering har makten att helt enkelt stänga av kranen.

Regeringen vill avskaffa personuppgiftslagen

av

Den 25 maj 2018 träder EUs dataskyddsförordning i kraft. Med anledning av det har den svenska regeringen i dag presenterat en lagrådsremiss som föreslår att den svenska personuppgiftslagen upphävs samma datum, och ersätts med en ny dataskyddslag.

En av nyheterna i den nya lagen är att barn från 13 års ålder ska kunna ge sitt samtycke till att deras data behandlas av till exempel sociala medier. Enligt EUs dataskyddsförordning måste en förälder ge samtycke fram till att barnet är 16 år, men denna åldersgräns får sänkas nationellt.

Regeringen vill också att myndigheter som inte följer den nya dataskyddslagen ska kunna straffas med böter, en åtgärd som EU-förordningen bara kräver för privata företag.

En mer svårtolkad förändring beskrivs så här på regeringens hemsida:

Den föreslagna lagen innehåller bland annat bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, till exempel i verksamhet som rör nationell säkerhet.

Exakt vad som menas kanske framgår i lagrådsremissen, som jag inte läst än, men visst är känslan att det där med ”nationell säkerhet” ofta används för att rättfärdiga eventuella tveksamheter?

Ministerrådets ”julklapp” till EU-medborgarna: Fri rörlighet för data

av

Europeiska unionens råd vill ta bort nationella restriktioner kring var data får lagras och behandlas: Företag och myndigheter i ett EU-land ska kunna använda molntjänster i ett annat EU-land.

Beslutet välkomnas av industrin, som kallade det ”en tidig julklapp till EU-medborgarna”.

Tyska regeringen är däremot sedan tidigare kritisk, eftersom den vill att tyska myndigheters data ska lagras och behandlas ”på tysk mark”. Dessutom sätter förslaget käppar i hjulet för det tyska ”bundescloud” som regeringen planerar för.

Nu ska rådet inleda förhandlingar med Europaparlamentet.

Dokument bekräftar: USA låg bakom svenska Pirate Bay-razzian 2006

av

Det som många känt till bekräftas nu i ett antal dokument från amerikanska myndigheter: Den svenska razzian mot fildelningssajten The Pirate Bay 2006 skedde efter påtryckningar från USA – och efter hot om att införa handelssanktioner mot Sverige.

Peter Sunde, som straffades för sin inblandning i The Pirate Bay, säger till Torrentfreak:

It’s been an open secret that the USG was behind the unlawful raid against The Pirate Bay, and exerting their power with threats against Sweden like this. It’s nice to see these documents coming up, interestingly enough from the most secretive of governments.

Han tillägger att han fortfarande väntar på att Sverige ska släppa de 747 hemligstämplade dokument som rör fallet.

Läs även IDG: Här tar USA åt sig äran för Pirate Bay-razzian

Säg hej till Sirius, Europols nya vapen mot oönskat innehåll på sociala medier

av

Europol har nu officiellt lanserat Sirius (”Shaping Internet Research Investigations Unified System”), en plattform där poliser i olika EU-länder ska kunna utbyta information om terrorism och dess bekämpning:

SIRIUS is a secure web platform for law enforcement professionals, which allows them to share knowledge, best practices and expertise in the field of internet-facilitated crime investigations, with a special focus on counter-terrorism.

Sirius är delvis en frukt av EU Internet Forum, där polis och politiker sedan december 2015 träffar representanter för sociala medier med syftet att bekämpa inte bara ”terrorisminnehåll” utan även ”hate speech”, det vill säga inte direkt olagligt utan snarare ”oönskat” innehåll. Således var även representanter för Facebook, Google, Microsoft, Twitter och Uber på plats under ”kick-offen” för Sirius i Haag, Nederländerna.

Facebook, Google och Twitter har även startat sitt eget forum, ”Global Internet Forum to Counter Terrorism” (GIFCT), där de nu använder maskininlärning för att plocka bort oönskat innehåll från sina tjänster. Facebook säger sig radera 83 procent av anmält innehåll inom en timme. Google å sin sida kommer under 2018 öka antalet personer som jobbar med att ”vidta åtgärder mot problematiskt innehåll” till 10 000.

Smaka på den siffran. Tio tusen. En hel liten armé.

Företagens engagemang ska ses i ljuset av hot om lagstiftning om de inte rensar sina sajter tillräckligt väl själva. EU-kommissionären för säkerhetsfrågor, brittiske Julian King, har i en intervju med en tysk dagstidning sagt att ”om sakerna inte utvecklar sig snabbt nog måste den europeiska lagstiftaren rycka in”. I Tyskland finns redan lagen med det krångliga namnet Netzwerkdurchsetzungsgesetz (NetzDG), som ålägger onlineplattformar miljonböter om de inte raderar visst innehåll inom 24 timmar.

USA avskaffar nätneutraliteten – rapport från omröstningen

av

Amerikanska Federal Communications Commission har just röstat för att avskaffa de skyddsåtgärder för nätneutralitet som infördes för två år sedan, under Obama-tiden då demokrater var i majoritet i FCC.

Demokratiska FCC-kommissionären Mignon Clyburn höll ett långt brandtal mot dagens beslut. Hon inledde:

I dissent from this fiercely-spun, legally-lightweight, consumer-harming, corporate-enabling Destroying Internet Freedom Order.

Och sa senare bland annat:

The results of throwing out net neutrality protections may not be felt right away. Most folks will get up tomorrow morning, get ready for work and over the next week wade through what would be hundreds of headlines.

We will grow tired of those hundreds of headlines and grow tired of hearing from endless prognosticators and quickly immerse ourselves into a sea of holiday bliss.

But what we have brought today will one day be a parent and by then, when you really wake up and see what has changed, I fear it may be too late to do anything about it, because there will be no agency empowered to address your concerns.

This item ensures that the FCC will never be able to fully grasp the harm it may have unleashed on the internet ecosystem.

Även demokraten Jessica Rosenworcel tog kraftigt avstånd från beslutet i sitt tal:

As a result of today’s misguided action, our broadband providers will get extraordinary new powers. They will have the power to block websites, the power to throttle services and the power to censor online content. They will have the right to discriminate and favor the internet traffic of companies with whom they have a pay for pay arrangement and the right to consign all others to a slow and bumpy road.

Our broadband providers will tell you they will never do these things, they say ”just trust us”. But know this: They have the technical ability and business incentive to discriminate and manipulate your internet traffic, and now this agency gives them the legal green light to go ahead and do so.

FCCs ordförande Ajit Pai avslutade med att påpeka att investeringar i bredbandsutbyggnad gått ner med 2 miljarder dollar sedan FCC införde nätneutralitetsordern 2015. Detta påverkar möjligheten att få internet på den amerikanska landsbygden, eftersom nätneutralitetsordern har strypt konkurrensen, menade han.

Mitt i Ajit Pais tal tog ledamöterna – ”on advice of security” – en kort paus.

Sedan var det dags för omröstning:

  • Demokraterna Clyburn och Rosenworcel röstade nej.
  • Republikanerna Brendan Carr och Michael O’Rielly röstade ja.
  • Ordförande Pai fällde utslagsrösten, det vill säga ja till att avskaffa nätneutraliteten i USA.

Bilden är en skärmdump från FCCs livesändning, där Mignon Clyburn håller sitt anförande.