Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Säpo kräver datalagring och trojaner

av

Samtidigt som polisens användning av hemliga tvångsmedel (avlyssning) ökar, vill Säkerhetspolisen ha mer övervakning.

I ett pressutspel pekar Säpos chef, Klas Friberg, på tre punkter.

Den kanske minst kontroversiella punkten är att ge Säkerhetspolisen rätt att ta del av uppgifter från signalspaning även under pågående förundersökning. Detta är en konsekvens av FRA-lagstiftningen, som jag aldrig riktigt lyckats förstå. Om man ändå redan bedriver signalspaning är det bara märkligt denna information – som man alltså ändå samlar in – inte får användas i pågående förundersökningar. Eller missar jag något här?

Nästa punkt är att Säpo vill att datalagringen – som EU-domstolen upphävt på grund av att den strider mot grundläggande mänskliga rättigheter – skall återupptas.

Vilket får mig att undra: Om Säpos uppgift är att försvara den svenska demokratin, varför envisas man då med att vilja ha verktyg för övervakning som EU:s högsta domstol anser vara i strid med den demokratiska rättsstatens principer?

Den tredje punkten handlar om kryptering och stats-trojaner. Säpo ogillar kryptering, eftersom den gör det svårare för dem att övervaka folk. Samtidigt är kryptering ett viktigt, ofta nödvändigt verktyg för företag, organisationer och individer.

Att skapa bakdörrar till kryptering vore att underminera säkerheten för alla, inklusive för centrala samhällsfunktioner. Det skulle öppna dörren för allehanda cyberbrottslingar och främmande stater.

Detta vill Säpo lösa genom så kallad hemlig dataavläsning, det vill säga en stats-trojan. Genom att i hemlighet installera spionprogramvara på folks datorer, plattor och telefoner vill man kunna avlyssna, övervaka och se alla filer och allt som görs på enheten. På så sätt kommer man bland annat att komma åt information när den – i okrypterat tillstånd – skrivs in eller läses.

Återigen handlar detta om ett verktyg som – när det hamnar i orätta händer, vilket det förr eller senare kommer att göra – försämrar säkerheten för alla. Det är rena drömmen för brottslingar, spioner och trollfabriker.

Säpo borde vara angeläget om att öka IT-säkerheten, inte medvetet försvaga den.

Slutligen: Det är ingen som protesterar mot att man övervakar människor som är misstänkta för brott eller som utgör en påtaglig fara för andra. Men detta måste gå att lösa utan svepande massövervakning av hela folket – och utan att underminera vårt samhälles IT-säkerhet.

/ HAX

Online-event: How Encryption Saves Lives and Fuels our Economy

av

Tisdag den 27 november håller New America’s Open Technology Institute ett event med temat: How Encryption Saves Lives and Fuels our Economy.

Crypto Wars 2.0 has gone global. For five years, advocates for strong encryption have been locked in a debate with U.S. law enforcement officials over their demands that companies build encryption backdoors into their products. Yet both here and abroad, in countries like the U.K., France, and Australia, the focus has primarily been on whether it is feasible to build a secure backdoor. But what about the potential human costs of an encryption backdoor?

Bland programpunkterna:
• The Faces Behind the Algorithms: The Real People Encryption Protects
• A Discussion on Human Rights and the International Crypto Debate
• How Encryption Backdoors Would Affect Consumers and Innovation

Här kan du läsa mer, boka in en påminnelse för att följa eventet live / titta direkt den 27 november kl 18 »

 

Europaparlamentet kräver mer övervakning

av

Hur skall EU hantera terrorismen? Den frågan har stötts och blötts i ett specialinrättat utskott i Europaparlamentet – European Parliament’s Special Committee on Terrorism, förkortat TERR. Till skillnad från parlamentets övriga utskott har TERR de flesta av sina möten bakom stängda dörrar.

Nu har man producerat en rapport. Parlamentets egna initiativrapporter är egentligen rätt meningslösa papper. De har ingen lagstiftande effekt, utan sänds helt enkelt över till EU-kommissionen och andra eventuellt intresserade för påseende. Parlamentet tycker saker, helt enkelt.

Men ibland kan en sådan rapport användas för att EU:s enda folkvalda förtroendemän (ledamöterna i parlamentet) förväntas legitimera kontroversiella saker som EU-kommissionen och medlemsstaterna i ministerrådet redan jobbar med. Vad gäller rapporten från TERR tyder mycket på att den är just ett sådant beställningsarbete.

Till exempel kan TERR-rapporten kan användas för att backa upp EU-kommissionens förslag om nätcensur, som lades fram den 12 september.

Frankrikes president, Emanuel Macron, har för övrigt redan meddelat att EU-valet nästa vår till stor del kommer att handla om att sätta koppel på internet. Även här passar TERR-rapporten väl in i pusslet.

Bland de förslag som vädras finns bland annat utökad datalagring, urholkat krypteringsskydd, utökad registrering av medborgarnas resor – och inte minst en ny, gigantisk Storebrors-databas för hela EU.

Det har lagts fram 1.519 ändringsförslag till rapporten. En del är bra, andra förfärliga. Problemet med så omfattande voteringar är att de blir fullständigt kaotiska – och därmed lätta att styra från presidiet.

I en kritisk kommentar skriver EDRi:

”The fact that the TERR Committee draft’s “spontaneously” chose to propose similar wording to what the Commission proposed is important. It means that the two rapporteurs have led the European Parliament a long way towards adopting a position that fully aligns with the terms of the proposed Terrorist content Regulation before the vast majority of Parliamentarians were aware of what the Commission was about to propose as binding legislation. If deliberate, this would be a serious attack on institutional integrity of the European Parliament.”

I oktober och november bereds TERR-rapporten i sitt hemliga specialutskott. Preliminärt väntas den komma upp till votering i Europaparlamentets plenum i december.

Även om rapporten inte är lagstiftning måste den kritiseras, helst röstas ner – då den öppnar dörren för så mycket andra Storebrors-påfund.

 

Läs mer hos EDRi: EU Parliament’s anti-terrorism draft Report raises major concerns »

Säkerhetskris hos nätjättarna

av

Nätjättarna fortsätter att dras med säkerhetsproblem.

Facebooks senaste säkerhetslucka antyder att man faktiskt inte riktigt har grepp om vad man sysslar med. I The Guardian skriver kulturkritikern Rachel Withers…

”This latest blunder also builds on our picture of Facebook as unreliable and undependable, but this time it’s because they can’t protect us, not because they won’t. The Cambridge Analytica story was shocking but unsurprising: it revealed that Facebook didn’t care about our data, except insofar as it could sell it off, packaging it up for the consumption and use of the highest bidder. (…)

But in this case, it’s not just Facebook’s callousness and carelessness that’s been revealed: it’s their incompetence. Facebook missed serious holes in their security system. People didn’t (or no longer) expect Facebook to look out for them, but they thought Facebook was smarter than this.”

Samtidigt har Google drabbats av säkerhetsproblem, som leder till att man nu kommer att stänga ner Google+.

Vad som är extra allvarligt i detta fall tycks vara att Google känt till säkerhetsluckan men låtit bli att informera användarna. Vilket ju är en taktik som aldrig håller i längden.

Engadget skriver…

”Following a massive data breach first reported on by The Wall Street Journal, Google announced today that it is shutting down its social network Google+ for consumers. The company finally admitted that Google+ never received the broad adoption or engagement with users that it had hoped for — according to a blog post, 90 percent of Google+ user sessions last for less than five seconds. In light of these newly revealed security concerns with Google+’s API, the company has opted to put it out of its misery over the next ten months rather than try and make the social network more secure.”

Lite känns det som att Google fick en anledning att stänga ner G+. Vilket är tråkigt. Även om G+ aldrig riktigt fått luft under vingarna och även om det är en rätt osexig plattform, så har det ändå varit ett alternativ. Nu knuffas än fler användare över till Facebook, där våra data inte heller är säkra.

Det är på allvar hög tid för nya decentraliserade sociala plattformar, som bygger på öppen källkod och som sätter sina användares säkerhet och privatliv i främsta rummet.

Efail

EFAIL är här – avaktivera din PGP-plugin!

av

Tyska forskare har upptäckt en sårbarhet i PGP, den 27 år gamla krypteringsstandarden för epost. På webbplatsen Efail.de presenterar de sina resultat, som i korthet går ut på att en angripare kan passa på och läsa krypterade mejl efter att användarens epostklient avkrypterat dem genom ett insticksprogram (plugin) för PGP. Rådet är därför att tillsvidare avaktivera sådana insticksprogram.

Amerikanska Electronic Frontier Foundation sammanfattar denna potentiella megafail och berättar att de själva förlitar sig på PGP i sin kommunikation – både internt och externt.

Tills sårbarheten är tätad gör man bäst i att kryptera och avkryptera manuellt, eller kommunicera över andra krypterade kanaler. OTR-krypterad XMPP-chatt är ett bra alternativ – använd gärna 5 juli-stiftelsens jabberserver!

Strava global heatmap

Data från fitnessappar kan avslöja militärer

av

Fitnessappen Strava har hamnat i blåsväder sedan det visat sig att deras globala ”heat map” visar var amerikanska soldater i krigsområden tar sin morgonjogg. Washington post förklarar hur:

In war zones and deserts in countries such as Iraq and Syria, the heat map becomes almost entirely dark — except for scattered pinpricks of activity. Zooming in on those areas brings into focus the locations and outlines of known U.S. military bases, as well as of other unknown and potentially sensitive sites — presumably because American soldiers and other personnel are using fitness trackers as they move around.

En heat map – eller värmekarta – visar vilka sträckor som är mest populära bland appens användare; ju fler som använt sin GPS för sin cykeltur eller löprunda på en viss väg, desto tydligare syns den vägen på kartan. Så här ser Stravas heat map för centrala Stockholm ut:

Strava heat map Stockholm

Strava har nu svarat på kritiken genom att be användarna i känsliga områden att göra sina aktiviteter privata – då används de inte i värmekartan nämligen. Företaget antyder också att de kan komma att samarbeta med militären:

We take the safety of our community seriously and are committed to working with military and government officials to address sensitive areas that might appear.

Slutligen tipsar Strava sina användare om en äldre bloggpost som visar hur man gör sin profil eller sina aktiviteter privata.

Kommentar

Det finns fler skäl än militära hänsyn att se över sina inställningar i GPS-appar. Skulle det till exempel vara möjligt att försäkringsbolag använder ens GPS-data i en rättegång efter en olycka för att leda i bevis att man cyklat alldeles för fort – vid olyckstillfället eller kanske i största allmänhet? Att man cyklat mot enkelriktat eller har för vana att undvika cykelbanor? Tja, vem vet. GPS-apparna är ännu i sin linda, men själv har jag som mångårig användare av just Strava sedan länge gjort min profil privat.

VPN-leverantör flyr Sydkorea inför eventuellt tillslag

av

Private Internet Access drar sig ur Sydkorea. Det meddelar den amerikanska VPN-leverantören på sin blogg.

Beslutet kommer efter att företaget fått information om att sydkoreanska myndigheter kommer att gå in i serverhallen i morgon – den 24 januari 2018 – för att spegla PIAs servrar. PIA har därför tagit servrarna ur bruk och raderat allt innehåll från dem.

Private Internet Access har tidigare dragit sig ur Ryssland för att de inte kunnat garantera sina användares integritet. Enligt en intervju med företagets vd Ted Kim följer företaget situationen i Storbritannien noggrant sedan införandet av Investigatory Powers Act 2016 – lagen som fått öknamnet ”Snooper’s Charter”.

Samtidigt i Kina

Det finns uppgifter om att Kina ska ha dragit åt snaran ytterligare kring användande av VPN-tjänster. Företag som använder VPN-tjänster måste registrera sig, annars kommer internetleverantören att blockera deras åtkomst till webben, enligt uppgifterna. Det är oklart om dessa eventuella regleringar även gäller privatpersoner.

VPN-tjänster har existerat i en juridisk gråzon i Kina. Så sent som i december 2017 fick en man som drev en VPN-tjänst fem års fängelse, men samtidigt har myndigheterna sett genom fingrarna på företag som använt VPN-tjänster.

Det har tidigare rapporterats att kinesiska internetleverantörer beordrats blockera privatpersoners användande av VPN från den 1 februari 2018.

VPN betyder Virtual Private Network och är ett sätt att undgå övervakning genom att låta ens internettrafik gå genom en server placerad i annat land, till exempel.

Transparens

Svenska 5 juli-stiftelsen, som står bakom nyhetsbloggen Femte juli, driver Integrity VPN.

India ID leak Aadhaar

Indiens ID-databas läckt – för 64 kronor

av

Indiska tidningen The Tribune lyckades få adminaccess till landets databas med över en miljard medborgares ID-uppgifter. En reporter på tidningen lyckades köpa inloggningsuppgifterna för 500 rupier, vilket motsvarar 64 kronor.

Buzzfeed spårade upp försäljaren, som berättade att han själv köpt tillgång till databasen för 6000 rupier (772 kronor). Denna summa lät honom skapa ett obegränsat antal adminkonton, som han nu höll på att sälja vidare för 500 rupier styck för att nå breakeven och förhoppningsvis börja tjäna pengar på sin investering.

Indiska regeringen gick ut och kallade The Tribunes scoop för ”fake news”:

Den här historien må vara extrem, men den visar på hur system för lagring av känsliga uppgifter aldrig är säkrare än de människor som handhar dem. På amerikanska Department of Homeland Security är det till exempel anställda (eller tidigare anställda) som står för de flesta läckorna.

Historien visar också hur ”fake news” används på ett allt mer lättvindigt sätt av regeringar som är missnöjda med vad fria medier rapporterar. Det kan vara värt att ha i bakhuvudet när demokratier som Tyskland och Frankrike vill förbjuda information de klassar som ”fake news”.

Huvudbilden är ett montage av foton av bill wegener och Marius MasalarUnsplash.

Sprid budskapet om lösenordshanterare!

av

Du som följer den här nyhetsbloggen är förmodligen mer tekniskt insatt än gemene man. Du är den som hjälper dina vänner med allt från att förklara vad nätneutralitet är till att installera en ny skrivare.

Kanske har du, som jag, under minst något decennium ständigt upprepat det här mantrat för dina tekniskt mindre bevandrade vänner: Backup, backup, backup! Jag säger det hellre för många än för få gånger. Jag vill inte höra från ännu en författare att hela romanen försvunnit. ”Vadå backup?” Och den som en gång blivit bränd sprider budskapet till sina bekanta för att andra inte ska åka på samma smäll.

Numera har folk i allmänhet kommit över den digitala barnsjukdomen att inte säkerhetskopiera. En medvetenhet har spritt sig, även bland tekniska dilettanter. Och så har det ju blivit så enkelt för vanligt folk att säkerhetskopiera – Apple och andra leverantörer gör det automatiskt genom Icloud och liknande tjänster som är påkopplade per default.

Nu, mina tekniska vänner, är det dags för nästa folkkampanj: Lösenordshanterare.

Folk måste sluta använda samma lösenord överallt. Att få sitt konto hackat för tio år sedan var visserligen inte roligt, men i dag är det en närmast existentiell katastrof. Ändå fortsätter folk välja idiotlösenord – här är topplistan över läckta lösenord för 2017, sammanställd av Motherboard:

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

En lösenordshanterare slumpar fram olika lösenord för varje sajt och du kan själv välja hur långt och komplicerat lösenordet ska vara. Det enda du behöver komma ihåg är huvudlösenordet, förslagsvis en lång mening som du aldrig glömmer. Resten sköts automatiskt – du ser aldrig lösenorden!

Många lösenordshanterare kommer med plugins till webbläsare, som i idealfallet gör inloggandet både smidigt och säkert. Dock bör man vara försiktig med autofill-funktionen; såväl webbläsare som tredjepartsplugins loggar in användaren automatiskt, vilket kan utnyttjas av annonsörer. Här måste man ge kanadensiska företaget Agilebits och deras lösenordshanterare 1password respekt, eftersom de av säkerhetsskäl vägrat införa autofill trots att många användare vill ha det, enligt en talesperson:

People ask us for automatic autofill, it’s a commonly requested feature. People post on our forums saying ’your competitors have automatic autofill and you don’t. I need this feature.’ They like the idea of going to a website and just being logged in.

Men även om olyckan skulle vara framme och ett lösenord blir kidnappat genom något elakt script på någon sajt, så gör en lösenordshanterare att detta lösenord i vilket fall inte används på någon annan sajt. Princetonforskaren Gunes Acar, som författade studien om hur annonsörer kan utnyttja autofillfunktionen, säger:

I think password managers in general are a positive security feature—password reuse is a big problem. But the defaults [to autofilling] should be reconsidered, users should be in the loop.

Läs mer om studien och om 1passwords resonerande i Wireds artikel med den talande titeln: GET A PASSWORD MANAGER. NO MORE EXCUSES.

Meltdown och Spectre – så farliga är veckans säkerhetshål

av

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.