Archive for augusti, 2009

Första funderingarna kring spotify

2009/08/29

Fick en invite till Spotify idag från en fd. klasskamrat så nu kan även jag använda Spotify (tack Lisa :D).
Hursomhelst så har jag börjat bekanta mig med Spotify nu och än så länge fungerar det bra för min del.

Det enda jag finner en smula irriterande är att jag inte kan lägga till lokala filer i playlisten. All musik finns inte på Spotify, som de flesta har märkt, och det vore trevligt med en funktion som lät mig skapa en spellista som dels innehöll musik från Spotify och dels musik som jag har lokalt (som inte finns på Spotify).
Som det är nu får jag göra ett val mellan att lyssna på musik från spotify eller lyssna på musik som jag hade sedan tidigare (om den inte finns på Spotify).

Jag gillar tanken med Spotify av flera anledningar, och programmet funkar hittills bra för min del. Det enda jag saknar är som sagt funktionen att lägga till lokala filer i playlisten… Och stöd för Linux utan att behöva använda Wine…

Annonser

Att avlyssna Skype och GSM

2009/08/29

Internettelefoniprogrammet Skype sägs vara mycket svårt att avlyssna, till skillnad från vanliga telefoner, pågrund av inbyggd kryptering. Exakt hur stark krypteringen är råder det lite delade meningar om eftersom Skype bygger på sluten källkod.
Det har gjorts oberoende tester av säkerheten i Skype som pekar åt att säkerheten är tillräckligt hög.
Jag är dock lite skeptisk till ryktena om att både NSA och tyska myndigheter har problem med Skype, mest för att de går ut med det offentligt.

I vilket fall som helst finns det nu en väg att avlyssna Skype-samtal. Jag vill dock inte påstå att denna metoden är någon nyhet, att man kan avlyssna skyddade förbindelser genom att angripa ändpunkterna är något som praktiserats så länge skyddade förbindelser har använts i princip.

En sånhär trojan skulle med ganska enkla medel kunna användas för att avlyssna godtyckligt program för ljudöverföring (t.ex. Ventrilo) eftersom man istället för att programmera mot programmet man vill avlyssna programmera mot operativsystemets ljudsystem direkt. Det vill säga att man inte avlyssnar Skype eller Ventrilo utan man avlyssnar det som kommer in genom mikrofoningången och det som kommer ut ur högtalarutgången.
Efter ett sådant ingrepp skulle trojanen kunna användas för att avlyssna vilka ljud som helst som fångas upp av datorns mikrofon.

Mot denna typ av angrepp hjälper inte kryptering eftersom angreppet sker före kryptering och efter dekryptering. Frågan är hur man ska skydda sig mot ett ev. angrepp?
En variant skulle vara att man kör Skype från en dator som startas och körs från en live-skiva en annan skulle vara att man bygger ett system där krypteringen sköts i hårdvara istället för i mjukvara (problemen med det upplägget kan nog de flesta inse).

Hursomhelst så kan jag tipsa om ett litet program som jag själv använt vid några tillfällen för att spela in konversationer över Skype; nämligen MP3 Skype Recorder. Ganska praktiskt att ha om man behöver ta anteckningar från en konversation eller liknande.

Juristen skriver lite om Skype-trojanen.

På samma linje finns det nu ett Open Sourceprojekt för att knäcka krypteringen i GSM-telefoner(A5). A5 har varit knäckt under lång tid, här finns en postning från 1994 om a5/1 (tror jag) och om dess säkerhetsbrister där den största är att den effektiva nyckellängden är som mest 40bitar (fem tecken).
Tekniken som används för att knäcka GSM i opensourceprojektet är en vidareutveckling av konceptet som tyskarna i THC plockade fram under 2008 och bygger på rainbowtables.
För en mer eller mindre full lista över attacker mot A5 hänvisas till engelska Wikipedias artikel, där man även kan läsa om hur algoritmen fungerar. En intressant detalj i hela historien är att A5/2 är svagare än föregångaren A5/1 pågrund av exportrestriktioner.
Kryptoblog har en intressant artikel om säkerheten både i GSM och UTMS.
Kryptera.se skriver också om det aktuella projektet.

Intressant

Analogt lås på digitalt minne

2009/08/19

Via NyTeknik hittade jag fram till ett sött litet ”hänglås” till usb-minnen.
Tanken med låset är att man ska ersätta den vanliga ”huven” över usb-kontakten med låset så att någon som inte kan kombinationen hindras från att stoppa in minnet i en dator. Ganska smart tanke, men jag tycker att tillverkaren överdriver säkerheten som erbjuds en aning:

Flash drive padlocks secure your data. A must-have for every office computer user, especially civil servants! This simple but effective device secures to the end of any standard USB memory stick. So if the stick falls into the wrong hands, your files and personal data will be protected by your own secret 3-digit code.

Jag vill mer påstå att låset skyddar mot nyfikna ögon, ungefär som låsen som brukar sitta på portföljer.
Ett tresiffrigt kombinationslås erbjuder ingen större säkerhet egentligen, några timmar ensam med låset borde räcka för att knäcka det för hand. Och när väl kombinationen är knäckt finns det inget som säger att någon har knäckt den.

Än värre är det om minnet stjäls, då erbjuder låset ur min synvinkel inget skydd alls. Om personen som stjäl minnet är ute efter den lagrade datan på minnet, så är det sannolikt enklare att antingen angripa låset med våld (såga upp det till exempel) eller så struntar man helt och hållet i låset och öppnar upp själva minnespinnen. Sen handlar det om flinka fingrar, en lödkolv och några sladdar så är problemet löst.
Görs detta snyggt så kan man sedan återlämna minnet utan att ägaren märker att någon läst av det.

Summa summarum; mot nyfikna ögon och som lite rolig pryl funkar detta låset bra. Jag skulle tillochmed kunna tänka mig att köpa ett bara för att det är lite kul att ha.
Mot angrepp från personer som verkligen vill komma åt innehållet på minnespinnen är detta låset i stort sett meningslöst. Det enda som skyddar då är ifall datat är krypterat och eventuella säkerhetsfinesser i själva minnespinnen. Finns några exempel på säkra minnespinnar som är väldigt svåra att manipulera utan att förstöra innehållet i minnet.

(Intressant)

Förfalskning av DNA-bevis, och lite annat på samma tema

2009/08/19

En grupp Israeliska forskare har lyckats med konststycket att förfalska DNA-spår. Eller mer konkret, man har lyckats att lämna blod- och salivprov som innehåller DNA som pekar ut någon annan än personen som lämnade spåret (om jag uppfattade det hela rätt).

Faller då DNA-bevisning platt till marken iochmed detta?
Nej, möjligen så tar man hänsyn till det vid en bevisvärdering, men totalt värdelösa är inte DNA-spår.

En annan (rätt gammal) artikel på ungefär samma tema (problem med DNA-bevis) tar upp DNA-bevis och födelsedagsparadoxen. Födelsedagsparadoxen går i korthet ut på att man behöver samla färre personer än vad man tror för att finna två som har samma födelsedag (i en grupp om 23 slumpmässigt utvalda personer så är det större sannolikhet än 50% att minst två personer fyller år samma dag på året).
Ungefär samma resonemang förs i essän, fast applicerat på databaser med DNA-profiler.

Misstänkt beteende och misstänkta filer

2009/08/04

Fritänk hade en bloggdiskussion med Mark Klamberg om effektiviteten i övervakningslagarna i allmänhet och FRA-lagen i synnerhet. En sammanfattning av diskussionen finns här.

Nu ska jag inte gå in på det som diskuterades direkt, utan jag tänkte rikta in mig på en sak som kom upp i någon av kommentartrådarna. Det som kom upp var Tullens möjlighet i vissa länder (USA har det implementerat vad jag vet, och det finns signaler som tyder på att det kommer bli aktuellt i EU också) att genomsöka datorer och lagringsmedia.

En dator idag ger i princip tillgång till en människas hela liv, vi lagrar mejl (både privata och ”officiella”), bilder, kalendrar, dagböcker och jag vet inte allt som tidigare har varit saker som man förvarat i fickan och i skrivbordslådor. Många av dessa sakerna är sådant man vill behålla för sig själv eller inom en starkt begränsad krets, inte för att de är hemliga utan för att de är privata.

Till de privata delarna kan man lägga affärsmässiga handlingar, sådant som rör ens arbete. Bland dessa uppgifterna kan finnas sådant som är hemligt (offerter, ritningar etc), men det kan även finnas saker som inte är direkt hemliga samtidigt som de inte är ”allmän egendom” som tillexempel adressregister och liknande.

Jag har funderat en del över vad syftet med att ge tullen möjlighet att gå igenom en dator vid en gränspassage egentligen är. Vi har det vanliga tjafset om barnporr och terrorister, men jag tror inte på det (som vanligt). Alla som någon gång har letat efter en försvunnen fil på sin dator vet hur frustrerande det är, men många gånger kan man gissa på filnamn, filändelsen brukar man ha klart för sig och många gånger kan man begränsa sökningen till filer inom ett visst tidsspektrum.
Hur ska man som Tullare kunna hitta barnporr i en laptop på en flygplats? Jag kan bara komma på lösningen att manuellt gå igenom alla bild- och filmfiler på datorn. Sen tillkommer det att bilderna kan ligga inbäddade i dokument eller mejl, alltså får man gå igenom dem också.
Detsamma kan sägas om terroristplaner och annat. Uppgiften är i princip omöjlig från början om man inte har tid och resurserna till det. Tid har man inte eftersom ett genomsök ska gå snabbt, alternativet är att beslagta datorn och släppa resenären eller att göra en diskavbild och gå igenom den senare. Ingen av varianterna är bra eftersom resenären då kan försvinna (personen kan ha rest med falskt pass t.ex.).

Om vi istället antar att hårddisken, och eventuella andra lagringsmedier, är krypterade. Hur kommer tullen då att agera?
Det naturliga är att man begär att få krypteringsnyckeln, men vad händer om resenären vägrar uppge den av en eller annan anledning? Faktum är att det kan vara så att resenären inte kan uppge krypteringsnyckeln.
Redan själva handlingen att kryptera disken kan ses som misstänkt, att man sedan inte kan berätta hur man låser upp krypteringen stärker misstanken väsentligt. Personen i fråga har uppenbarligen något att dölja, och det han döljer är av sådan art att han inte vill att någon ska se det.

Frågan är om det antagandet är sant.
Att kryptera hårddisken på en bärbar dator ser jag som en sund inställning eftersom bärbara datorer är stöldbegärliga och, som sagts ovan, så innehåller våra datorer våra privatliv och ibland direkt farliga uppgifter. Genom att kryptera disken har man i alla fall försökt skydda dessa sakerna ifall datorn blir stulen. I det optimala fallet försvinner datorn, men informationen kommer inte i orätta händer.
Att vägra dekryptera disken för att någon utomstående vill det ser jag också som en vettig inställning, man vill inte att någon utomstående ska gå igenom ens liv.
Detta kan jämföras med hur kränkande många upplever det att få sin post öppnad eller sin dagbok läst av utomstående personer.
En annan anledning till vägran kan vara att man har affärskritiska data eller hemliga uppgifter på datorn och man vill inte ta risken att dessa kommer på vift efter en genomsökning.

I en del fall kan jag dessutom se att man vägrar därför att det man har på datorn kan leda till misstankar, även om materialet inte är olagligt.
Om man tar min laptop som exempel så finns där verktyg för att kommunicera anonymt (TORoch Mixmaster), verktyg för att genomföra portscanningar och identifiera körande tjänster, verktyg för att identifiera operativsystem (aktivt och passivt) över nätverk och ett antal verktyg för att leta efter sårbarheter och i vissa fall utnyttja dem.
Bara genom att titta igenom programlistan så kan man snabbt konstatera att jag är en rejält skum typ som begår it-relaterade brott, mest för att jag har verktyg för att bryta mig in i datorer och förmåga att kommunicera anonymt.

Återigen är frågan om detta antagandet är sant. Det kan vara så att jag arbetar som säkerhetskonsult och endast använder verktygen mot företag som anlitar mig för att testa sin säkerhet, det kan även vara så att jag använder verktygen för att testa min egen it-säkerhet rent privat. Oavsett fall så finns det inget som säger att verktygen används i brottsliga syften. Men en person som går igenom min dator kan aldrig konstatera detta endast genom att titta på vad jag har på disken, däremot kan personen dra en personlig slutsats och agera efter den. Nu vet jag inte hur rättsläget ser ut på denna punkten i Sverige, men jag skulle gissa att man utifrån verktygen i alla fall skulle kunna göra en anmälan om förberedelse till dataintrång.

Jag ställer återigen frågan; vad är syftet med att ge tullen möjlighet att genomsöka datorer?
Vilka risker finns det för oss som anser att vi inte vill släppa iväg personlig information hursomhelst?
Vilka risker finns det med själva genomsökningen?
Hur effektivt antar man att det är?
Finns naturligtvis fler frågor man kan ställa, men min uppfattning är rätt klar. Ett genomsök av en dator, utan brottsmisstanke, kommer skapa fler problem än det löser.
Det är en skillnad mellan att polisen knackar på dörren efter ett tips och beslagtar datorn och att tullen gör det vid en gränspassage för att man inte kan uppge krypteringsnyckeln till disken. Frågan är också vilka resurser man kan lägga på att genomsöka disken, även om den är okrypterad.

Intressant

Trygg ute och trygg inne

2009/08/04

Generellt sett brukar övervakning motiveras med att man vill öka tryggheten, förhindra brott eller göra det enklare att i efterhand lösa brott.

Att de flesta våldsbrotten sker inom hemmets fyra väggar borde inte komma som någon större överraskning för någon, alltså är det helt logiskt av brittiska myndigheter att komma med förslaget att installera kameraövervakning hos landets ”värsta” familjer.

Målet med övervakningsinsatsen är, vad jag kan utläsa, att minska ungdomsbrottsligheten genom att se till ”that children attend school, go to bed on time and eat proper meals.”. Förutom övervakningen med kamera kommer även privata säkerhetsvakter att göra hembseök med jämna mellanrum.

Att Storbritannien är Europeisk mästare i kameraövervakning är inte direkt någon nyhet, men detta förslaget tycker jag är direkt otäckt. Att kameraövervakas i offentliga miljöer kan jag ha viss förståelse för (även om det finns studier som pekar på att det är ineffektivt till stora delar), men att övervaka någon i sitt eget hem är att ta ett steg för mycket. När man tittar på syftet så framstår konceptet dessutom som dödfött, för att verkligen kontrollera att barnen går till skolan krävs det att man följer dem från hemmet till skolsalen.
Då är det antagligen enklare att sätta kameror i skolsalen. Läggtider varierar kraftigt från person till person, och det gäller även barn. Man kan dra generella riktlinjer för en lämplig tidpunkt för att personen ska få den mängden sömn en genomsnittsperson vid en viss ålder behöver. Men som sagt; det handlar om genomsnitt.
Och slutligen för att kontrollera ifall barnen får ordentliga mål mat så är det nog effektivare att övervaka vad föräldrarna handlar i affären.

Nästa fråga är om det löser problemet? Min spontana tanke är att man inte gör det, av flera anledningar. Personer som hamnar i brottslighet gör det ofta av en anledning, ungdomar som drar runt på stan gör det av en anledning. Man kan inte övervaka bort problem hos personen eller i familjen, man måste gå till problemens kärna och lösa dem.

Projo har en fundering över hur man rent praktiskt ska sköta bevakningen av 20000 hem. Min gissning är att man kommer lösa det på samma sätt som man gjort med trafikbevakningen. En, eller flera, övervakningscentraler där man har ”videoväggar” och ett antal operatörer som i realtid övervakar varsin grupp av skärmar. Detta kan kombineras med att varje skärm är kopplat till ett visst antal hem och att man växlar hem i fasta intervaller, om inte operatören väljer att låsa för att det händer något.

Man får alltså en form av panopticon, individerna vet att de kanske är övervakade men de kan inte vara säkra på det. Alltså sköter man sig, därför att man inte vågar chansa.
Hursomhelst så är inte teorin intressant, det som är intressant är om det funkar i praktiken. Och det tror jag inte att det gör, faktum är att jag anser detta vara en genomkorkad idé från början till slut.
Om någon skulle få för sig att installera kameror i mitt hem ”för mitt eget bästa” så skulle jag omgående hitta på något för att lura systemet. En skrämmande väg är det man slagit in på…
Jag ställer återigen frågan om ökad övervakning ger ökad trygghet, precis som fritänk gör. Mitt svar är nej, man ökar känslan av trygghet men tryggheten i sig ökar inte.

Andra kommenterar
ProjO (igen)
Lidholm
Janne (har dessutom en förklaring av antisocialt beteende)
Emma
Mary
Karl Sigfrid
HAX

Intressant