Femte juli – Sida 146

HAX: Hemlig dataavläsning – låt er inte luras!

1 december 2017 av Henrik Alexandersson

Så har då utredningen om hemlig dataavläsning presenterats. Den föreslår att myndigheterna skall få installera spionprogram på folks datorer, plattor och telefoner. Med stor sannolikhet kommer regeringens proposition att ligga mycket nära utredarens förslag.

Det sägs att detta mycket integritetskränkande verktyg bara skall få användas för att bekämpa allvarlig brottslighet. Känns det igen? Det sa man om datalagringen också – som sedan kom att användas till exempel för att jaga fildelare och för att låta skattemyndigheterna snoka i folks privatliv.

Ger man staten sådana här verktyg – då är det inte en fråga om ifall utan när ändamålsglidningen kommer att ske.

Den lilla debatt som alls förekommit i media har mest handlat om detaljer. Men – vad jag har kunnat se – har den inte alls berört den stora frågan: Att det är en dålig idé att skapa bakdörrar som undergräver allas vår it-säkerhet.

Vi har redan sett hur sådana verktyg har hamnat i orätta händer efter att ha läckts från amerikanska myndigheter. Även om Sverige skulle ta fram en helt egen ”statstrojan” är det – återigen – inte en fråga om om utan när den läcker och hamnar i händerna på till exempel kriminella och främmande makt.

Dessutom bygger sådana här verktyg så gott som alltid på sårbarheter och säkerhetsluckor som är kända eller på väg att bli kända. Vilket innebär att andra mycket väl kan komma att utnyttja den bakdörr till våra datorer som politikerna nu vill öppna.

Svenska staten håller med andra ord på att bli ett hot mot svensk it-säkerhet.

Slutligen kan man konstatera att en proposition från regeringen i denna fråga kommer att bli ännu ett svek från (regeringspartiet) Miljöpartiet i integritetsfrågorna. Dess svek är nu totalt.

Låt oss se till att få upp en debatt om hemlig dataavläsning på banan så snart som möjligt – medan det fortfarande är möjligt att påverka med sakliga argument och innan positionerna blir alltför låsta.

Och vill regeringen och övervakningspartierna ha en integritetsdebatt lagom till valåret 2018 – då ska de också få en.

Battle stations!

/HAX

Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 19 november 2017. Bilden togs under en tågresa till Prag 2016. Foto: TE.

Apple tätar galen säkerhetsläcka

30 november 2017 av admin

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?

— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Imagine a locked door, but if you just keep trying the handle, it says "oh well" and lets you in without a key. https://t.co/KBW4qntMdA

— Edward Snowden (@Snowden) November 28, 2017

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.

USA åtalar kinesiska hackare

28 november 2017 av admin

I all korthet men relaterat till förra veckans nyhet om att USA har ett åtal mot en iransk hackare i Iran:

Gizmodo: DOJ Indicts Three Chinese Nationals For Allegedly Hacking Siemens, Trimble, and Moody’s

Pornhub kan få monopol på att kontrollera porrsurfande britters ålder (och därmed identitet)

27 november 2017 av admin

Missa inte Engadgets djupartikel om företaget Mindgeek, som kan komma att få monopol på den ålderskontroll som Storbritannien håller på att införa för besökare av porrsajter, och som är en del av Digital Economy Bill.

Ålderskontrollen har kritiserats för att den i praktiken är omöjlig att genomföra utan att samtidigt ta reda på vem ”ägaren av åldern” är. Storbritannien kan alltså komma att registrera sina invånares porrvanor. Och som det ser ut nu kommer detta ske genom det privata företaget Mindgeek, som äger världens två största porrsajter: Pornhub och Youporn.

Engadget summerar:

The fact that Mindgeek may be entrusted with the deepest, darkest secrets of millions of Britons shouldn’t be taken lightly.

Förutom den ideologiska aspekten kommer kritik från Mindgeeks konkurrenter, som är rädda att behöva betala en ”mindgeekskatt” till denna monopolaktör.

Och eftersom ålderskontrollen troligtvis kommer ske via kreditkort (eftersom man måste vara myndig för att ha ett sådant) varnar säkerhetsexperter för faran med att vänja befolkningen vid att lämna ifrån sig sina kreditkortsuppgifter lite här och var på nätet.

Macanvändare, varning för Proton!

24 november 2017 av admin

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

USA vill ställa man i Iran inför rätta för att ha hotat lägga ut spoilers till Game of Thrones

23 november 2017 av admin

En 29-årig man i Iran hackade sig in i amerikanska tevekanalen HBOs nätverk och hittade information om handlingen i teveserier, bland andra ”Game of Thrones” och ”Curb Your Enthusiasm”, som inte sänts klart än. Han krävde företaget på 6 miljoner dollar i bitcoin, annars skulle han lägga ut spoilers på nätet.

Nu drar amerikanska åklagare mannen inför rätta, skriver Techcrunch.

USA kan förstås inte göra vad de vill med utländska medborgare i utlandet, så åtalet ska kanske ses symboliskt. Kanske är det amerikansk frustration som avspeglas i det frodiga språkbruket i åtalet.

FBI uttalar sig så här om 29-åringen:

In the simplest of terms, he lurked in the alleyways of the Internet, identified the vulnerabilities of his victim, and pickpocketed their information from thousands of miles away. After he had successfully identified their proprietary secrets, he held their future for ransom. Today’s charges show that international cybercriminals are never beyond the reach of U.S. laws.

Och åklagaren säger så här:

Mesri now stands charged with federal crimes, and although not arrested today, he will forever have to look over his shoulder until he is made to face justice.

Åklagaren fortsätter:

American ingenuity and creativity is to be cultivated and celebrated — not hacked, stolen, and held for ransom. For hackers who test our resolve in protecting our intellectual property — even those hiding behind keyboards in countries far away — eventually, winter will come.

Det kan i sammanhanget vara intressant att veta hur den 29-årige iraniern tog sig in i HBOs system. Det ska ha skett via de anställda på kanalen, vars privata konton iraniern hackade.

Amerikansk ”genialitet och kreativitet” ska givetvis ”odlas och hyllas”, som åklagaren skriver – just ”Curb Your Enthusiasm” (”Simma lugnt, Larry”) tillhör mina egna absoluta favoriter bland teveserier.

Men kanske bör företag som vill behålla sina hemligheter i fred inte bara lita till polis och åklagare (som i åtalet nämner, ”for informational purposes only”, att maxstraffet för överföringsbedrägeri är 20 års fängelse) – utan också se över sina anställdas säkerhetsrutiner.

Uber betalade utpressare 100 000 dollar för att hålla tyst om 57 miljoner läckta användarkonton

22 november 2017 av admin

I oktober 2016 lyckades hackare få tillgång till uppgifter om 57 miljoner användare av det amerikanska företaget Ubers app för samåkning.

Bland uppgifterna fanns användarnas namn, mejladresser, telefonnummer och i vissa fall även information om körkort och registreringsnummer, eftersom 7 miljoner konton tillhörde förare.

Hackarna kontaktade Uber och begärde 100 000 dollar för att inte läcka uppgifterna.

Nu har det visat sig att Uber gick med på kravet, rapporterar Bloomberg. Dåvarande vd Travis Kalanick lät Ubers säkerhetsavdelning förhandla med hackarna, som företaget nu antar har raderat alla uppgifter.

Nuvarande vd Dara Khosrowshahi skriver i ett uttalande:

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Den där sista meningen är intressant. Menar Uber alltså att 57 miljoner konton kan läcka utan att företagets infrastruktur anses knäckt? Det är kanske dags att börja inkludera molntjänster från tredje part i begreppet, annars betyder det ju ingenting.

Ubers säkerhetschef Joe Sullivan sparkades när händelsen uppdagades.

EU-utskott skrotar censurmaskinen

21 november 2017 av admin

I går röstade Europaparlamentets utskott Libe (för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) om det kritiserade Upphovsrättsdirektivet.

I det yttrande som Libe röstade igenom är uppladdningsfiltret i artikel 13 struket, skriver Edri.

Detta filter skulle ha tvingat EUs onlinetjänsteleverantörer att filtrera allt som användarna laddar upp – filtret har därför i debatten kallats ”censurmaskinen”.

Vi har den polske parlamentarikern Michał Boni att tacka för arbetet med att ta fram ett förslag utan censurmaskin.

Huvudutskott för Upphovsrättsdirektivet är Juri (utskottet för rättsliga frågor). De ska rösta om ett yttrande den 25 januari 2018.

Tyskland förbjuder smarta klockor för barn

19 november 2017 av admin

Tyska Bundesnetzagentur har förbjudit smarta klockor för barn, rapporterar Techcrunch:

Germany’s Federal Network Agency (Bundesnetzagentur) issued a blanket ban on smartwatches aimed at children this week — and asked parents who’d already purchased such a device to destroy them, for good measure.

Anledningen är att sådana klockor och andra ”wearables” kan användas för att spionera på barnen.

Sverige får sin första statstrojan

16 november 2017 av admin

I dag presenterade regeringens särskilda utredare Petra Lundh delbetänkandet Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet.

Utredaren föreslår att Sverige inför en tidsbegränsad lag som tillåter ”hemlig dataavläsning”.

Regeringen förklarar vad som menas:

Med hemlig dataavläsning kan man med hjälp av tekniska hjälpmedel, till exempel programvara, i hemlighet läsa meddelanden som skickas till eller från exempelvis mobiltelefoner. Det är redan i dag tillåtet att samla in sådan information men inte alltid möjligt på grund av bland annat kryptering.

I klartext innebär detta att regeringen vill komma runt Whatsapps och andra meddelandeappars end-to-end-kryptering. Eftersom det inte är något alternativ att knäcka krypteringen återstår bara för staten att läsa meddelandena på de berördas telefoner innan de krypterats och efter att de avkrypterats.

Tyskarna har gett tekniken namnet ”statstrojan” – tyska underrättelsetjänsten BND satsade under förra året 150 miljoner euro på att försöka komma runt krypteringen i meddelandeappar, något vi berättade om i 5 juli-poddens avsnitt 31.

Och belgarna gav nyligen Big Brother-priset 2017 till ”den europeiska trenden state hacking”.

Säga vad man vill om Sveriges justitie- och inrikesminister Morgan Johansson, men han är i alla fall väldigt trendig.