Archive for maj, 2009

Jag har några idéer om åtgärder.

2009/05/28

Beatrice Ask och Hans Wallmark har skrivit en debattartikel med titeln ”Möjligheter och problem med nätet”. Tyvärr så hittar jag inte så mycket om möjligheterna med nätet på den, däremot hittar jag farorna.

Ett område som börjar bli särskilt problematisk är nätförsäljningen av droger och olagliga preparat. Det kan handla om förfalskade mediciner som i bästa fall saknar effekt och som i sämsta fall innehåller skadliga och farliga substanser.

Här finns steroider som kan vara tillåtna i ett annat EU-land och som med hjälp av svenska hemsidor saluförs här. Sedan skickas varorna per post. Det handlar också om försäljning av allt från cannabis till kokain och hasch.

Om nu de illegala substanserna skickas per post så är det väl inte nätet som är problemet? Det är bara ett nytt sätt att saluföra det på. Att släcka ner sajterna kommer inte lösa problemet eftersom de som driver sådana sajter är vana vid just detta och har en vana att flytta till olika servrar. Sannolikt så har man tillgång till flera servrar från början där man speglar webbsajten.

Hursomhelst, så är jag väldigt nyfiken på vad Ask och Wallmark tycker att man ska göra åt postens distribution av droger. Jag håller med dem om att det är trist att postväsendet används som distributionstjänst för illegala substanser helt okontrollerat, men det verkar som att de inte riktigt vet hur de ska lösa det eftersom de inte skriver det i sin artikel.

Mitt förslag är att man placerar narkotikahundar på alla postterminaler som får sniffa runt bland brev och paket. Vidare så föreslår jag att man genomlyser samtliga försändelser och sorterar ut alla som verkar innehålla tabletter, pulver, fröer, svampar eller blad. Dessa utsorterade försändelser öppnas sedan på lämpligt sätt och undersöks av SKL, om det visar sig att innehållet är illegala substanser så efterforskas källa och slutdestination och lämpliga åtgärder vidtas. Man kan t.ex. skicka ett brev till mottagaren med texten ”Följande preparat är illegalt och får ej införas i Sverige, din försändelse är destruerad. Sluta genast upp med dumheterna och ha en fortsatt trevlig dag!”.
Om försändelsen visar sig innehålla legalt material så kan man antingen återförsluta den på ett snyggt sätt och skicka den vidare, eller så bifogar man ett meddelande om att innnehållet är kontrollerat och godkänt.

Detta är antagligen många gånger mer effektivt än att heltidssysselsätta it-roteln med att spåra upp och släcka ner försäljningssidorna på nätet. Antagligen är det mer kostnadseffektivt också.
Brott som begås i världen utanför internet ska bekämpas i världen utanför internet.

Piratpartiet säger att det allt annat övergripande är friheten på nätet. Då finns det anledning att just ställa frågor om det innebär en total brist på begränsningar? Hur är det med narkotika på nätet? Ses det som ett problem att det finns rena marknadsplatser för kokain och hasch på nätet? Kan partiet tänka sig att något görs åt de kapitalrörelser som göder kriminella nätverk?

Visst kan Piratpartiet tänka sig att något görs åt de kapitalrörelser som göder kriminella nätverk, man kan tillexempel låta rättsvårdande myndigheter jaga de som driver tjänsterna och ställa dem inför rätta. Om personerna inte befinner sig i Sverige så kan antagligen lokala myndigheter lösa problemet. Att endast rikta in sig på sajterna är totalt meningslöst om personerna bakom inte tas omhand.
Censur har aldrig minskat brottslighet, censur har bara gjort att brottsligheten har dolt sig bättre och flyttat runt mera för att försvåra åtgärder.
Det är bara att titta på historian så ser man gott om exempel på underjordiska rörelser som gjort just detta, och nätet bjuder på gott om sådana möjligheter.

Rasmus har en spaning om artikeln.

(Intressant)

Annonser

Säkerhetsteater

2009/05/26

Jag har tidigare skrivit om den brittiska undersökningen som konstaterar att övervakningskameror inte innebär färre brott (ska leta fram mitt inlägg senare), nu kommer även en svensk undersökning, utförd i Landskrona, som kommer fram till samma slutsats.

Det övervakningskamerorna i praktiken medför är en ökad känsla av trygghet. Och en ökad känsla av trygghet är tyvärr att invagga folk i en falsk känsla av säkerhet enligt mig.

Hur kommer det sig då att kamerorna egentligen inte medför någon egentlig effekt på brottsligheten? Undersökningen verkar i första hand ha riktat in sig på kameror i utomhusmiljöer, alltså inte kameror inne i affärer och liknande), och där kan en viss del av förklaringen finnas.

Majoriteten av brotten i utomhusmiljöer är våldsbrott, skadegörelse och stölder.
Många våldsbrott i sådana miljöer utförs av personer som är berusade och min gissning är att majoriteten av all skadegörelse utförs av berusade personer (denna rapporten från brå gör det troligt att det är så). En berusad person bryr sig sannolikt inte om att platsen är kamera-övervakad eftersom en berusad person inte agerar speciellt klartänkt.
När det gäller personrån så ligger det i angriparens intresse att inte identifieras av offret, alltså spelar kameraövervakning mindre roll i dessa fallen också, alternativt så handlar det om personer som behöver pengar för att finansiera missbruk och även där är sannolikheten nära noll att man bryr sig om en kamera.
Detsamma kan sägas gälla stölder ur fordon, många gånger är det personer som behöver snabba pengar till ett missbruk.

Tyvärr är det inte bara kameror som innebär en känsla av trygghet utan att egentligen tillföra någon säkerhet, andra exempel är många av de åtgärderna som vidtogs efter elfte september. Ett exempel på detta är att man ska hägna in och övervaka hamnar därför att försvåra för terrorister, en vän till mig kommenterade det med ”Fånerier”. Ett stängsel kan klippas upp eller klättras över, och det är väldigt få hamnar som är så små att man effektivt kan övervaka hela området vid varje givet tillfälle.

Andra exempel är de flesta övervakningssystem som implementeras i stor skala, praktexemplet är Amerikanska ECHELON som i princip är det FRA vill ha i större skala. Efter elfte september gick man ut med att man hade snappat upp trafik som faktiskt hade kunnat kanske inte förhindra attacken, men att minimera skadorna, problemet var att den trafiken drunknade i all annan trafik så man missade den och upptäckte det först i efterspelet.

Om jag zoomar in till mitt intresseområde, it-säkerhet, så finns det en ”regel” som säger att en falsk känsla av säkerhet är värre än ingen säkerhet alls.
Om man tror att man är säker så vidtar man inga åtgärder för att skydda sig, och man testar inte sina skydd ordentligt, vet man om att man inte är säker så blir man per automatik försiktigare och man vidtar åtgärder för att skydda sig och man letar aktivt efter tänkbara angreppsvägar.

Svaret på problemen med brottslighet, vilken sort det än är, är inte mer övervakning. Det är ökad närvaro och ökad synlighet av rättsvårdande myndigheter.

(Intressant)

Glöm inte handduken!

2009/05/25

Idag är det Towel Day för att hedra minnet av Douglas Adams. Så leta fram din favorithandduk (nej, den behöver inte vara ren) och bär den under armen, eller på valfritt annat sätt, resten av dagen och visa att även du är en liftare.

Sagor från Livbåten
och Mary uppmärksammar också denna högtidsdag.

(Intressant)

Världen vore säkrare om människor slutade vara naiva

2009/05/22

Okej, jag erkänner att rubriken är taskig mot alla. Men jag tycker ändå att de flesta människor är lite för lättlurade för sitt eget bästa, för att ta ett aktuellt exempel:
Telefonen ringer klockan tre på natten, du svarar yrvaket och en person i andra ändan presenterar sig som en banktjänsteman från Swedbank. Personen hänvisar, antagligen, till något obskyrt fel eller problem och säger sig behöva personuppgifter och liknande för att felet ska kunna åtgärdas. Nu vet jag inte hur många personer som faktiskt kommer att uppge uppgifterna, men av tidigare erfarenheter kan jag tänka mig att sannolikheten att personen gör det är hyfsat hög.

Det jag finner en smula intressant är den totala avsaknaden av kritiskt tänkande, visst du är yrvaken, men ändå. Hur många personer jobbar nattskift på bankerna?
Möjligen it-tekniker som ska åtgärda något urakut fel. Sannolikheten att en av dem sätter sig och ringer upp kunder känns tämligen låg.
Och om vi nu antar att det faktiskt är ett fel som kräver uppgifter från kunden, så har de flesta seriösa företag hyfsen att ringa upp under kontorstid eller mellan 16 och 21.
Nu är det ju dock så att de uppgifterna ”banken” frågar efter är av den arten att de aldrig, om banken är seriös, ska överföras över ett osäkert medium. Telefoni är ett osäkert medium, alltså kan man anta att om banken behöver uppgifterna så kommer de att kontakta dig och be dig besöka banken personligen för att lösa problemet.

Är detta något nytt egentligen?
Svaret är tyvärr nej, social engineering har förekommit bland databrottslingar ungefär lika länge som det funnits datakriminalitet. De flesta användare som kontaktas av någon som uppger sig arbeta på it-avdelningen kommer att uppge användarnamn och lösenord utan en tanke på att det mycket väl kan vara någon utomstående som ringer eller mejlar.

Båda dessa angreppsvägar lyckas därför att majoriteten av befolkningen för det första antar att andra människor är goda och inte ljuger. Kritiskt tänkande är de flesta duktiga på när de läser saker, eller får höra saker som upplevs som fakta. Men så fort någon utger sig för att vara tjänsteman eller liknande så antar vi att personen talar sanning utan att kontrollera hur det verkligen ligger till.

För att återgå till den uppringande banken ovan, i princip det enda man kan göra på en bank utan att legitimera sig är att sätta in pengar. För att ta ut pengar krävs någonting du har (kort) och någonting du vet (pinkod), och om man tar ut pengar över disk krävs en id-handling och underskrift. Personen som ringer upp kan inte säga att ifall det är rätt person han eller hon talar med, redan där bör varningsklockorna ringa enligt mig, och omvänt gäller att den uppringde inte kan verifiera att personen som ringer upp är den han eller hon utger sig för att vara.

Sedan har vi det där med spam och annan skit på nätet.
Jag vet inte hur många gånger jag har hört att personen har båda antivirusprogram och brandvägg, för att sedan upptäcka att programen inte är uppdaterade.
Ett ouppdaterat skyddsprogram är sämre än inget skydd alls enligt mig, eftersom användaren tror att hon är säker.
Till detta kommer att de flesta personerna bara klickar på ”Tillåt”-knappen såfort en ruta dyker upp som frågar ifall ett visst program ska få ansluta till internet, samma sak gäller när en ruta ploppar upp som säger att ett visst program har ändrats (och med alla automatiska uppdateringar är det ganska svårt att veta när ett program har uppdaterats). Helt plötsligt är vi tillbaka vid naiviteten, men tyvärr finns det så många olika program som kräver nätverksåtkomst och många gånger är det svårt att avgöra om ett visst program verkligen behöver åtkomst till nätet.
Antivirusprogramen är en avdelning för sig, tro inte att du är säker bara för att du har ett uppdaterat antivirusprogram!

För det första så kommer det nya virus varje dag, och för det andra så modifieras gamla ständigt. Antivirusprogramen använder sig av signaturer och letar efter kodsnuttar som finns i databasen, modifierar man ett virus så kommer signaturen inte att hittas och då släpps viruset in. Man kan generellt säga att från det att ett virus börjar spridas tills det finns med i antivirusprogrammets signaturlista kan det ta allt från några timmar till veckor beroende på en massa faktorer.
De flesta antivirusprogram har idag sökalgoritmer som försöker hitta virus som inte finns i signaturlistan genom att titta på funktioner och beteende. Tyvärr så verkar dessa metoderna inte vara helt tillförlitliga.

Hur ska man skydda sig då?
Sunt förnuft och paranoia är det första, räkna inte med att någon vill dig väl och ett erbjudande som är för bra för att vara sant är antagligen falskt.
Försiktighet är en dygd, klicka inte tanklöst på allt som dyker upp. Stanna upp och tänk till innan!
Uppdaterade program är nästa, och här menar jag alla program inklusive skyddsprogram.
Installera en reklamblockerare i webbläsaren, t.ex. ABP för Firefox. En hel del skadlig kod kommer via reklambanners idag, som ett plus slipper du dessutom all reklam.
Utnyttja spamfiltrena i mejlprogramen. Gör du det så samlas majoriteten av all spam i en särskild mapp som du kan kika i med jämna mellanrum. I nio fall av tio kan man avgöra ifall det är ett spam bara genom att titta på ämnesraden, till och från-raderna brukar också ge ledtrådar. Alltså behöver du i princip aldrig öppna ett spam för att avgöra ifall det är spam!
Det tar lite tid och en del pillande för att få ett spamfilter att fungera, men det är värt tiden. Och glöm inte att läsa igenom hur spamfiltret funkar och arbetar, det kommer spara dig en massa irritation och besvär.

Och slutligen så återupprepar jag det jag sagt ovan; sluta vara naiv, det straffar sig.

(Intressant)

Uppdatering: Swedbank har tydligen bemanning dygnet runt som övervakar transaktioner för att kunna upptäcka mystiska transaktioner och de ringer tydligen upp kunden ifall de upptäcker något konstigt.

Gmails spamfilter

2009/05/19

Det finns väldigt mycket olika saker jag skulle kunna skriva om, men jag har inte tid med bloggandet just nu och det verkar som att andra sköter omvärldskommenteringen bättre.

Men jag kan inte låta bli att konstatera att jag har fått ovanligt mycket spam i min inkorg på Gmail den senaste veckan. Tidigare har jag haft något enstaka spam i inboxen per månad, nu ligger jag på ett par tre om dagen som inte hamnar i spam-mappen.

En snabb koll av de som inte fastnat i filtret avslöjar inget nytt trix för att kringgå filtreringen, snarare tvärtom. Total avsaknad av nya trix.

Hursomhelst så finner jag det mycket mystiskt och mycket märkligt, gmails spamfilter har tidigare varit lika effektivt som Spamassassin var för mig innan jag skaffade gmail. Nu är det under all kritik enligt mig.

Varför jag älskar "mina" pirater

2009/05/16

Jag nöjer mig med att konstatera att ”vi” är ganska duktiga på att synas…
Bilden är från Smålandsposten och deras notis om Fikatävlingen i Växjö, tilläggas kan att vi bytte flygblad med de som reklamade för den igår. Det var också lite roligt.

Lite synd att jag inte kunde haka på, men sånt är livet.

Ipred och avstängning

2009/05/14

Läser att svenska universitet stänger av misstänkta fildelare från nätet SUNET. Och det verkar ske på ungefär samma sätt som franska HADOPI kommer att fungera, två brev från upphovsrättsinnehavare och du stängs av.

Det skrämmande i hela historien är att universiteten inte gör någon utredning ifall studenten faktiskt har gjort sig skyldig till illegal fildelning! Efter två brev så klipps sladden, oavsett om studenten är skyldig eller ej. Sedan har vi återigen hela rättssäkerhetsaspekten, man väljer att lyssna på privata aktörer och agerar utifrån deras uppgifter utan yttrande från den misstänkte.

En student idag utan internetuppkoppling är extremt handikappad, majoriteten av kommunikation mellan student, skola och andra studenter sker via nätet och en stor del av informationsinhämtningen sker över nätet. Men det är ju bara att följa lagen så slipper man att bli avstängd, säger vän av ordning då.

Och det är där problemet ligger, eftersom ingen utredning sker så vet man inte om studenten har brutit mot lagen!

Agerandet är felaktigt från början till slut enligt mig, privata aktörer ska aldrig någonsin ha beslutanderätt över sånt här oavsett vad det gäller.

I tidningen Affärsvärlden kan man idag läsa att Tingsrätten förbjuder Ephone att förstöra abbonentuppgifterna som rör det första Ipred-fallet. Nu tror jag inte att detta förbudet har någon praktisk effekt, ip-nummret har varit känt sedan ansökan om informationsföreläggandet kom in och har varit med i de flesta artiklarna om fallet. Min gissning är att man kan genomföra en komplett it-forensisk undersökning av servern och man kommer inte hitta minsta spår av upphovsrättsskyddat material. Om följande Ipred-mål kommer följa samma tempo som det första så tror jag att man lugnt kan fortsätta ladda ned eftersom man har tämligen gott om tid på sig att radera eventuella filer om man får nys om att en ansökan har inkommit.

(Intressant)

UPPDATERING: Leif Nixon nyanserar artikeln som SR hade något, dels i kommentarerna nedan och dels på Tankar från Rooten. Enligt honom handlar det inte om total avstängning, vilket man kunde anta utifrån artikeln på SR utan det handlade om avstängning medans man utredde ärendet.

SvD rapporterar om läget i Uppsala.

Det sluttande planets logik

2009/05/12

Herr Sarkozy verkar få sin vilja igenom när det kommer till att stänga av fildelare från Internet. Och avstängningshysterin verkar sprida sig, även britterna diskuterar en liknande lösning på fildelningsproblematiken.

Var kommer det sluttande planets logik in i detta kan man undra?
Jo, dessa lagförslagen tyder på att upphovsrättsindustrin aldrig kommer att nöja sig. Man bad om och fick Ipred, men det räcker tydligen inte. Industrin kommer sannolikt inte nöja sig förrän de kan kontrollera alla former av kommunikation som eventuellt kan bära upphovsrättsskyddat material.

Problemet som förespråkarna bortser ifrån är att man i princip handikappar en människa om man tar hennes internetuppkoppling idag. Faktum är att man nästan blir bestraffad eftersom många tjänster som man tidigare utförde ansikte mot ansikte numer kostar extra om man inte utför dem på internet.
Till detta kan vi dessutom lägga ALL kritik som riktats mot Ipred. Bara för att ett visst ip-nummer laddar hem illegalt material så finns det inga bevis för att det är personen som står som innehavare som begår brottet för att nämna ett av argumenten emot.

Ett annat argument är att det inte bara är den enskilde fildelaren som drabbas, utom alla som använder den aktuella uppkopplingen. Kort sagt, en familjemedlem laddar hem saker, hela familjen drabbas av straffet. Den som tycker det är proportionerligt räcker upp en hand.
I normala fall kallas det kollektiv bestraffning.

Men det som jag anser talar mest emot sådana här förslag är fortfarande att man begränsar individens rätt (ja, det är en rättighet; artikel19) att införskaffa kunskap och information av olika slag.

Kriget mot fildelningen har tagit oroande proportioner, om det fortsätter i samma stil som det har gör nu så är det inte statens övervakning vi behöver oroa oss för. Det är upphovsrättsindustrins övervakning och censur som kommer skapa storebrorssamhället… Hotet mot demokratin verkar inte komma från staten, vilket vi har befarat, den kommer från upphovsrättsindustrin.

Intressant

Remissinstanserna om datalagringsdirektivet

2009/05/12

Henrik Alexandersson har en sammanställning över de kritiska remissvaren om teledatalagringsdirektivet som är mycket läsvärd.

Det blir nästan lite komiskt genom citeringarna eftersom det är sågning efter sågning, och jag kunde inte låta bli att skratta när jag läste Henriks avslutning som i mitt tycke är klockren:

Polisen, Säpo, Åklagarmyndigheten, Skatteverket, Ekobrottsmyndigheten, Antipiratbyrån, IFPI med flera hoppar dock upp och ner av glädje.

På det hela taget tycker jag att direktivet är läskigt, visst lagras mycket av det som ska lagras enligt lagen redan idag av operatörerna. Men LEK säger att man endast får lagra uppgifterna tills de inte längre fyller någon funktion (det är detta Bahnhof, Tele2 mfl. ”utnyttjar” mot Ipred). En sak i direktivet som fortfarande ger mig kalla kårar är att det inte verkar vara helt klarlagt om internetleverantörer kan vägra att lämna ut uppgifter till APB och Ifpi trots att man lagrar dem?

Resonemanget går att datalagringsdirektivet säger att vissa uppgifter ska lagras under en bestämd tid för att underlätta utredning av grov brottslighet, dessa uppgifter är uppgifter som APB&co. kan kräva ut genom Ipred. Alltså har vi i praktiken en lag som skapats för att utreda grov brottslighet, men som används för att utreda fildelning (som enligt lagen inte är något grovt brott hur mycket APB än vill ha det till det).
Å andra sidan så kanske internetleverantörerna kan vägra att lämna ut uppgifterna genom att hänvisa till att man endast lagrar dem för att rättsvårdande myndigheter ska kunna utreda grova brott.

Förvirringen är total.

Nåt bra från EU?

2009/05/12

EU-Kommissionen har utarbetat ett lagförslag som går ut på att mjukvaruföretagen ska hållas ansvariga för kvalitén på program som de släpper.
Förslaget är inte helt olikt de krav som ställs på tillexempel elektrisk utrustning, det vill säga att produkten ska vara säker under normal användning. I fallet med program borde detta innebära att man innan en produkt släpps ska testa den så långt som möjligt för att finna buggar och säkerhetshål. Jag skulle även tro att lagförslaget tar upp saker som att kostsamma driftstopp som kan härledas till programfel som kunde åtgärdats innan release kan lastas på utvecklaren, men jag vet inte.

Naturligtvis så ställer sig BSA emot detta eftersom det ställer orimliga krav på utvecklaren. Jag håller inte med i det, idag släpps det programvaror som håller en undermålig kvalité framförallt ur säkerhetssynpunkt i en rasande takt. Och som konsument är man utelämnad till take-it-or-leave-it, visst alla problem kan inte fixas innan releasen det är jag medveten om. Men i många fall är det första man får göra en uppdatering av programmet efter installation därför att en hög buggar har hittats under en vecka.

När det kommer till uppdateringar i största allmänhet skulle en sån här lag sannolikt dessutom tvinga fram att kritiska patchar släpps snabbare än vad de gör nu, Microsoft kör ju med sina patch-torsdagar och det verkar bara vara i extremfall som man frångår den policyn. Detta gör att man kan köra med ett sårbart system under en längre tid trots att säkerhetshålet är känt.
Men om producenten blir ansvarig för vad deras kod ställer till med så tror jag att det kommer pusha fram bättre program, och inte vilket BSA’s talesman säger; hämma utvecklingen.

Intressant