Archive for februari, 2011

Radioleaks

2011/02/15

Sveriges Radio sjösätter nu tjänsten radioleaks som i korthet ska erbjuda en anonym och krypterad kommunikationskanal till en liten grupp undersökande journalister på Sveriges Radio.

Jag tycker initiativet är bra, men samtidigt så är det några frågor som artikeln inte ger svar på; nämligen hur ser skyddsmekanismerna ut?
”Anonymt” är i detta fallet lite vanskligt att säga eftersom man inte ger svar på från vems synvinkel kommunikationen är anonym; är tanken att man ska skapa en krypterad tunnel till en proxy, som anonymiserar avsändaren, hos SR?
I så fall kan man från utsidan se kommunikationen till SR, men innanför proxyn kan man inte identifiera personen som skickar infon.

Eller är tanken att man ska drifta någon form av hidden-service som t.ex. Wikileaks gör så att avsändaren behöver utnyttja t.ex. TOR för kontakten.

Spontant gissar jag att det är det senare alternativet, i en eller annan form, som kommer användas eftersom det knappast är journalisterna som utgör hotet för en whistleblower. Men det är svårt att vara säker, mest för att det är lätt att tänka rätt men göra fel.

Vi och dom

2011/02/11

Det är rätt spännande att man i de upplysta västerländska demokratierna kritiserar diktaturer för att övervaka och blockera informationsflöden, och är ganska kvicka till att rikta kritik när det kommer fram att inhemska företag har sålt utrustning för dessa ändamål till nyss nämnda diktaturer när man själv beställer samma utrustning av samma tillverkare…

Det är också rätt spännande att man kommer på att man ska stödja de personerna i diktaturerna som kringgår nyss nämnda utrustning på olika sätt, när man på hemmaplan mer eller mindre öppet kritiserar folk som använder samma metoder i det fria västerlandet, utan att för en sekund tänka på att utan de i det fria västerlandet som använder dessa metoder så hade personerna i diktaturerna inte kunna undgå övervakningen.

Och jag är väldigt nyfiken, nu när vi ska stödja dessa som kringgår filter och övervakning, vilka garantier finns det för att deras trafik till bryggnoden och från utgångsnoder (i det svarta nätet) inte kartläggs och säljs vidare för att tillslut hamna hos diktaturen igen (i mer eller mindre identifierbart skick)?

…och betänk; det är grova brottslingar och (antagligen) terrorister ur diktaturernas synvinkel som använder dessa metoder…

Data i molnet

2011/02/02

Jag kunde faktiskt inte låta bli att skratta till imorse när jag hörde att man kallade svenska företag för ”blåögda” när det gäller att lagra data i molnet.

Visst jag kan förstå att molnlagringen är frestande eftersom man slipper en massa tråkiga (och kostsamma) delar i företaget såsom egna servrar, lagringsutrymme (både för direkt lagring och för backuper) o.s.v.
Men samtidigt blir jag extremt förvånad över att det kommer som en nyhet att data som lagras i molnet ev. kan kommas åt av andra än kunden.

Det tyder på en rejält bristande insikt i hur saker och ting fungerar i verkligheten, t.ex. att den som har fysisk tillgång till en maskin i princip alltid har tillgång till data som lagrats på den. Då spelar det ingen roll hur säker överföringen mellan kund och lagringsplats är eftersom den länken är irrelevant i sammanhanget.

Och överföringen i sig är problematisk; står servrarna i nåt annat land så kan man räkna kallt med att uppgifterna fångas upp av mellanliggande säkerhetstjänster (Hej FRA!), och i en del av dessa fallen så kan det vara så att den skyddade överföringen inte alls är skyddad p.g.a. lagar som kräver att staten ska ha tillgång till kryptonycklar etc.

Andra problem som kan finnas med molntjänsterna är det Datainspektionen verkar oroa sig för; att uppgifter som raderas inte alls raderas. Och detta kan jag också se som ett problem; driftar man servrar med känsliga uppgifter själv, då kan man kontrollera att raderingen utförs på relevanta ställen och när lagringsmediet byts så kan man själv tillse att destruering verkligen sker.
Finns datat i molnet så försvinner i princip dessa säkerhetsmekanismerna också.

Nejmen oj! Mer övervakning!

2011/02/01

Och nu ska vi även lagra uppgifter om vem som flyger vart och när. Anledningen är som vanligt grov brottslighet och terrorism…

I artikeln nämns specifikt skyddet för den personliga integriteten; ”till exempel ska uppgifterna göras anonyma efter en månad.”
Men uppgifterna får sparas i maximalt fem år!

Två snabba frågor; vad är poängen med att spara anonymiserade uppgifter i (maximalt) fyra år och elva månader? Och om man nu kan använda de anonymiserade uppgifterna för att utreda brott efter den där första månaden, hur bra är då anonymiseringen egentligen?

Visst, jag inser att såna här uppgifter kan ha viss nytta vid utredningar men frågan är om den förmågan att hämta ut dem redan finns (precis som i fallet med trafikuppgifter hos telefoni- och internetleverantörer).

1984 – snart i ett land nära dig