Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

En ny, decentraliserad och Blockchain-baserad molntjänst?

av

Söker du en säker molnlösning för att lagra dina filer – som är decentraliserad, krypterad och baserad på Blockchain-teknik? Nästa år kan det bli verklighet:

»BitTorrent Inc., the owner of the popular uTorrent client, says it will launch a decentralized file-storage system across its network. Based on the open source InterPlanetary File System (IPFS), BitTorrent’s BTFS has begun testing and is expected to launch in 2020.« (…)

»While the existing BitTorrent system is already a kind of decentralized storage system, BTFS will be different. Based on the existing InterPlanetary File System (IPFS) protocol, BTFS seems destined to offer a way to store files online without the use of centralized hosting.«

Räkna med att det kommer att bli strid om saken. Politiker och myndigheter är inte roade av tanken på att människor kan göra information oåtkomlig för dem.

TorrentFreak: BitTorrent to Fork IPFS to Create Decentralized File-Storage System »

Före detta NSA-chef försvarar kryptering utan bakdörrar

av

»American security is better served with unbreakable end-to-end encryption than it would be served with one or another front door, backdoor, side door, however you want to describe it.«

Förre chefen för USA:s National Security Agency, General Michael Hayden tycks ha drabbats av eftertankens kranka blekhet. Varför tar folk sitt förnuft till fånga först efter att de de avgått?

Länk: Ex-NSA chief thinks the government is dead wrong in asking Apple for a backdoor »

Huawei-fallet pekar på behovet av fri mjukvara

av

Här kommer ett lästips: Google-Huawei case highlights the importance of free software »

»Google denies the Chinese IT giant Huawei access to Google’s proprietary components of the Android mobile operating system, which threatens IT security. This highlights the importance of free software for technology users, public bodies, and businesses.«

Säkert, öppet och säkrat mot politiska utspel. Går det att ordna?

Vilka konsekvenser får USA:s svartlistning av Huawei?

av

Den senaste utvecklingen i handelskriget mellan USA och Kina kan bli intressant – och problematisk. Computer Sweden sammanfattar…

Trumpadministrationen utdelade på onsdagen två slag mot kinesiska Huawei – då man både stoppar företaget från att köpa vital amerikansk teknik utan särskilda tillstånd och stänger ute företaget från att leverera utrustning till amerikanska telenät.

Detta är en fråga med många dimensioner. Dels handlar det om handelspolitik, eller snarare om ett handelskrig. Dels handlar det om huruvida Huawei samarbetar med kinesiska staten och därmed utgör ett säkerhetshot mot USA och andra västländer. Dels handlar det om hur detta kommer att påverka den tekniska utvecklingen. Låt oss uppehålla oss vid den sista punkten.

Till att börja med verkar det som om beslutet inte kommer att få några omedelbara konsekvenser för användarna. Android twittrar:

På sikt kommer dagens besked dock att få konsekvenser på flera olika sätt. Dels är Huawei beroende av underleverantörer i USA och Europa. Dels blir det stopp för Android i företagets framtida telefoner. Dels kan detta leda till att företaget inte kan verka på västerländska marknader. Dels kan beslutet komma att försena utbyggnaden av 5G-nätet.

Dagens Industri rapporterar:

Halvledarbolagen Intel, Qualcomm, Xilinx och Broadcom ska alla ha meddelat sina anställda att inga leveranser görs till Huawei ”tills vidare”, enligt källor till Bloomberg News. Samma beslut ska den tyska chipjätten Infineon ha tagit, enligt källor till NIkkei Asia Review.

Till Sveriges Radio säger Bengt Nordström, som är VD för telekomkonsultföretaget Northstream:

– Jag befarar att de amerikanska myndigheterna inte vet vad de sätter i rörelse. Telekomindustrin är ett tätt ekosystem, många köper från samma leverantörerna. När man gör en sådan åtgärd är det en stor risk att hela ekosystemet påverkas negativt

Uppenbart är att detta kommer att leda till en störning i den tekniska utvecklingen. Samt en balkanisering av telekommarknaden. Vilket – ur ett tekniskt perspektiv – känns väldigt onödigt.

Läs även: Huawei has immediately lost access to Android and Google »

 

Dåligt persondataskydd i socialtjänsten

av

Socialstyrelsen har idag lämnar en rapport om e-hälsa och välfärdsteknik i kommunerna 2019. Och den visar på bristande persondataskydd i den kommunala socialtjänsten.

Ur pressmeddelandet…

»De personuppgifter som hanteras av socialtjänsten är lika känsliga som de som hanteras i hälso- och sjukvården. Det kan till exempel handla om information om missbruk, om familjesituation, om fysiska och psykiska funktionshinder, om ekonomi. Därför är det mycket viktigt att enbart behöriga personer har tillgång till dem, och då krävs en så kallad stark autentisering, eller säker roll- och behörighetsidentifikation genom tvåfaktorsinloggning (exempelvis id-kort och en personlig kod). Det är emellertid endast 13 procent av kommunerna som säger att de har en stark autentisering för samtliga system som behandlar personuppgifter.«

Den bristande medvetenheten om skydd för persondata tycks genomsyra hela den svenska förvaltningen – från statliga myndigheter ner till kommunal verksamhet.

Socialstyrelsen: Bristande skydd för personuppgifter i socialtjänsten »

Nya rutiner för online-betalningar i EU

av

Den 14 september träder EU:s »Strong Customer Authentication« (SCA) i kraft. Det handlar om nya krav för onlinebetalningar, som alla företag som är verksamma online måste anpassa sig till. Guillaume Princen på TNW skriver…

SCA will require an extra layer of authentication for online payments. Where a card number and address once sufficed, customers will now be required to include at least two of the following three factors to do anything as simple as order a taxi or pay for a music streaming service. Something they know (like a password or PIN), something they own (like a token or smartphone), and something they are (like a fingerprint or biometric facial features).

Detta kommer att ställa helt nya krav på alla europeiska företag som är verksamma online – och en hel del krångel för alla användare. Syftet är att minska antalet online-bedrägerier.

Syftet må vara gott, men detta tycks komma som en överraskning för många företag och innebära att många onlineköp kommer att avbrytas – eftersom de blir för krångliga. En beräkning hävdar att detta kommer att minska omsättningen för onlinebetalningar i EU med 25%, från 600 till 450 miljarder euro per år. I den länkade artikeln hävdas också att endast en fjärdedel av alla europeiska företag är medvetna om förändringen.

Undantag kommer att gälla för betalningar under 30 euro, återkommande betalningar och betalningar till företag som kunden i förväg »vitlistat« hos sin bank.

Kommer detta att väcka lika mycket yrvaken panik som när GDPR trädde ikraft?

Länk: Your business passed the GDPR challenge — but SCA is next »

Österrike: Ny lag skall göra det möjligt att begära ut nätanvändares personuppgifter

av

Österrike är på väg att införa en lag som kan få högst oönskade konsekvenser: Plattformar och forum skall tvingas lagra detaljerad persondata om sina användare. Dessa uppgifter skall sedan kunna begäras ut – ifall myndigheter eller någon annan överväger rättsliga åtgärder mot användaren ifråga.

Det kommer alltså att räcka med att någon påstår sig överväga rättsliga åtgärder för att till exempel få ut en enskild användares namn och adress. I dessa tider av näthat, de-plattformering och politisk polarisering är det inte svårt att räkna ut vad det kan få för konsekvenser. EDRi kommenterar…

Rather than improving safety online, the resulting “chilling effect” will lead to individuals avoiding sharing their most controversial opinions on a forum that possesses their detailed personal data. In essence, this is a way of imposing self-censorship on individuals.

Vi kan redan se hur bland andra vänster- som högerextrema grupper hotar personer vars åsikter de inte delar, hur enskilda utsätts för politiskt motiverat våld och hur människors bostäder utsatts för skadegörelse och attacker. Är det verkligen klokt att underlätta sådant?

EDRi » Austria: New “responsibility” law will lead to self-censorship »

Massövervakningens verktyg i fel händer

av

Det visar sig att Kina använt sig av ett av amerikanska NSA:s spionprogram – DoublePulsar – långt innan detta blev allmänt känt genom den så kallade Shadow Brokers-läckan.

Detta är inte första gången det visat sig att spion- och övervakningsprogram hamnat i fel händer. Och det behöver inte handla om främmande makt. Det kan lika gärna vara kriminella nätverk.

Massövervakningen riskerar, ironiskt nog, att göra oss alla mindre säkra.

Tekniska detaljer finns i dessa länkar: Ars Technica » | ZDnet » | BoingBoing »

ID-krav för nätuppkoppling och resor?

av

En statlig utredning föreslår att endast av polisen utfärdade ID-kort och pass skall vara giltig ID-handling.

Korten skall lagra biometrisk information. Dessutom skall polisen använda sig av ansiktsidentifikation när ID-kort eller pass lämnas ut, för att försäkra sig om att det handlar om rätt person.

Vad man måste vara uppmärksam på är de många, små stegen mot ökad övervakning och kontroll. Att ID-handlingars biometriska information bara lagras på kortens chip kan lätt ändras. Det krävs bara ett beslut och en knapptryckning så kan denna information börja lagras centralt. Och passpolisens ansiktsigenkänning kan lika snabbt integreras i andra register.

Dessutom menar utredaren att detta ID-kort skall fungera som statlig e-legitimation för identifikation på nätet.

Här gäller det att vara vaksam. Och gärna en smula misstänksam. Även om inget konkret förslag har lagts fram, så finns det en pågående diskussion inom EU om obligatorisk identifikation när du kopplar upp dig på nätet. Här passar det nya svenska ID-kortet som hand i handske. Och liknande planer finns i andra EU-länder.

Så även om det inte finns något förslag om ID-krav vid nätuppkoppling ännu, så är det nya svenska ID-kortet ett perfekt verktyg för ett sådant system.

Hur som helst krattar ID-utredningen manegen för en framtid där du måste ha ett statligt ID-kort för att över huvud taget kunna fungera i vårt samhälle.

Och även om Schengen-samarbetet ger oss fri rörlighet inom stora delar av EU – så är det mycket som talar för att det nya ID-kortet kommer att behövas för till exempel all form av resor, för att hyra bil eller för att ta in på hotell i framtiden. Eftersom staten vill veta var du befinner dig. PNR-systemet (Passenger Name Record) finns redan och tenderar ständigt att bli allt mer omfattande.

Länkar:
• Utredning föreslår nytt statligt id-kort och e-legitimation »
• Utredningen (SOU 2019:14) som PDF »
• Mycket riktigt – staten vill slopa körkort som ID för att registrera biometri »
• Körkort föreslås ej vara giltlig ID-handling – välkommen till Kösverige »

/ HAX

Tysk säkerhetsskandal med ironisk twist

av

I Tyskland har ett antal offentliga personer, främst politiker blivit doxade. På Twitter har spridits bilder av dem från Facebook, hemliga mobilnummer, räkningar och sådant. Detta hann pågå i form av en adventskalender med en tweet varje dag under hela december månad, innan någon kom sig för att reagera.

Den 20-årige gärningsmannen är studerande och bor i sitt pojkrum hemma hos mamma och pappa. Han är nu försatt på fri fot. Vilket i sig är lite uppseendeväckande. Köpte statens högsta säkerhetsapparat verkligen förklaringen att landets ledning blivit doxad på kul, bara sådär? Håller den tyska statsförvaltningen på att utveckla humor?

Ynglingen har faktiskt medgivit ett slags politiskt motiv. Att han har doxat personer som han tycker sagt dumma saker. Sedan finns naturligtvis reservationen i att ingen från AfD blivit uthängd.

Däremot har det blivit ett himla hallå i regeringskretsar. Krismöten, presskonferenser, kraftåtgärder och muller. Av tv-nyheterna förstod jag att man nu avser att öka säkerheten. Men jag är inte riktigt säker på att det framgick hur. Eller för vem.

Kalabalik i en statsapparat som själv suger upp information om medborgarna. Som feedar amerikanska NSA & Co med astronomiska mängder insamlad data om människors kommunikationer. Och som sedan får skrivet på näsan att information läcker. Detta är närmast sedelärande.

Plötsligt dök det alltså upp en Twittrare – mitt i övervakningsstaten – som hann lägga ut lite privata data om överheten. Merkels senaste räkning från Amazon, kanske. Och säkert en hel del rätt känsliga saker.

Detta har varit huvudnyhet på tyska tv-nyheterna i flera dagar. Men ironin tycks än så länge ha gått journalistkåren förbi. Och tanken är ju faktiskt att folket skall veta allt om makten. Om överheten inte har något att dölja – då har den enligt sitt eget sätt att resonera inte heller något att frukta. Eller hur?

Men vad staten vet om medborgarna, det är allt för få bekymrade över. (Och då bor jag ändå i Tyskland, där det faktiskt finns en ideologiskt driven och rättighetsmedveten nätfrihetsrörelse.)

Samtidigt växer övervakningen av folket över tid, i takt med teknikhopp och politiska initiativ. Frågan medborgarna förr eller senare bör ställa sig är om de verkligen är redo att utelämna sig helt, inför överhetens granskande ögon.

Detta gäller ju inte bara Tyskland, utan nästan alla länder. Inte minst Sverige. Är det någon som över huvud taget har en helhetsbild av den svenska övervakningsstatens totala verksamhet och verktyg?

Hela historien om Twitter-doxaren, på engelska, med detaljer, hittar du hos The Local.de.

/ HAX