Category Archives: datasäkerhet

Akta dig för kameraövervakning


Posted by Anders S Lindbäck

johnny_automatic_surveillance_cameraNär austrialiens största kasino såg över sin säkerhet så bestämde de för att införa kameraövervakning för att hitta brottslingar. Vad de inte insåg var att kameraövervakningen kunde även användas av brottslingar för att vinna pengar från kasionot. Genom att stjäla video-signalen från kasinots kameror så kunde en kumpan övervaka vad som skedde på bordet och till en storspelare tala om för hur denne skulle spela för att vinna. Det ledde till att en storspelare svindlade kasino på 212 miljoner | Utrikes | SvD.

Så när du inför övervakning av andra tänkt på hur den informationen kan användas. Anta att någon kan stjäla din information och fråga dig vad som då händer. Se till att en brottsling inte kan avslöja information som gör att du kan allvarligt skadas om den kommer i fel händer. För då kontrollerar du egentligen inte andra utan du kontrollerar dig själv och medverkar till att känslig information kan spridas till andra.

Tänk på hur du förvarar denna hemliga information. Tänk på hur du överför denna hemliga information internt. Tänk på alla de sätt som någon utomstående kan komma över informationen och fråga dig sedan. Har du verklige tillräckligt säkerhet för att spara så känsliga information om dig själv ?

Tänk bara på Watergateskandalen. Nixon avslöjades delvis av sin egna övervakning av vad som skedde i vita huset. Men inte kanske för vad som spelades in utan för vad som inte spelades in. Man kan nämligen inte bara stänga av övervakning när man skall diskutera känsliga frågor – för det leder till att man ger information om att man skall tala om känsliga och potentiellt olagliga aktiviteter. Dessutom så leder det till intressanta frågeställningar – vad var det som diskuterades när övervakningen är avstängd ?

Själva avsaknaden av övervakning blir därmed anklagelser om brott. Det finns därför egentligen bara ett sätt att lösa hela problematiken och det är att inte övervaka öht.
Då slipper man väldigt många problem. Samt ser till sina egen och andras personliga integritet.

Måste man ha kameraövervakning så räcker det egentligen att övervaka vid alla in och utgångar från en lokal. För givet att man vet alla som befinner sig i lokalen så är det enkelt att se vem som är den person som smyger sig in i en parkeringsgarage och stjäl en bil.

I BRÅs rapport om kameraövervakning så noterade man att där kameraövervakning gav bra resultat var just parkeringsgarage. Just detta för att de har få in och utgångar och att dessa är ofta lätta att övervaka. Ingen kan ta sin in i utan att hamna på bild.

För öppna platser där folk kan röra sig fritt fungerar kameraövervakning dåligt – där är det bättre med andra åtgärder som att ta bort trånga och insynsskyddade delar av området så att folk på avstånd kan bli betraktade och därmed andra kan se om någon utsätts för brott. Starka lampor på kvällen håller brottslingarna borta för de gillar inte att bli sedda av potentiella vittnen i en rättegång.

I ett kasino bör absolut inte införa kameraövervakning som gör att man kan se bankens eller en spelare kort; speciellt inte så att om någon kommer över de kan användas för att se om man har en vinnande hand eller ej.

Övervaka mindre och övervaka smartare och tänk på att allting kamerorna ser, kan potentiellt även brottslingarna se. Detta gäller inte bara för kameraövervakning utan all övervakning. Vill du att dina värsta fiender inte skall komma över informationen så är enda säkra sättet att inte spara den alls.


Bank-appar är säkerhetsproblem


Posted by Anders S Lindbäck

Datainspektionen har undersökt bankernas bankappar och kommer nu med en Varning för osäkra bankappar – DN.SE.

Bankernas bankappar har väldigt dålig säkerhet och kräver endast personnummer och pinkod. Det ger väldigt liten säkerhet och det faktum att man då kan komma åt att se alla lån, betalningar och ekonomiska transaktioner på kontona via apparna gör att de idag är dåligt byggda.

Jag förstår inte riktigt vad bankerna tänkte på när de godkände sådana dåliga IT system för att säkerställa bankkundernas säkerhet. Bankerna valde en gång i tiden att införa en kort 4-siffrig pinkod – och det lider de av än och har ännu inte gjort något för att rätta till det problemet. Det är tyvärr lätt hänt att någon kikar vad en person gör och då kan uppfatta de 4 siffror som ingår i pinkoden.

Bankerna har till 21 december på sig att inkomma med svar till Datainspektionen om vad de tänker göra för att förbättra situationen.


Brå: Databasläckorna ökar stort


Posted by Anders S Lindbäck

Enligt Brottsförebyggande rådet BRÅ så är det ökande intrång i olika databaser en brottslighet som ökar kraftigt – Ekot. Här är det många fall av personer med tillgång till databasen som använder den för helt egna andamål. Rena integritetsbrotten där personer tar ut information de inte har rätt till. T.ex. poliser som kollar upp bekanta i belastningsregistret eller sjukvårdspersonal som går in i patientjournaler de inte har med att göra.

Mest ökar bedrägerierna där man använder sig av Internet. Många har kommit på att de på pryltorg kan saluföra varor som inte existerar och lura godtrogna köpare att betala i förskott och sedan aldrig leverera varan.

Hade det funnit bättre betaltjänster för nätet med escrow-möjligheter(*) så hade de senare typen av databrott aldrig skett. Tyvärr är det något som inte finns per default för privatpersioner idag och är något som skulle behövas i betalsystemet så att alla enkelt kan använda sig av det. Det finns idag väldigt litet ekonomisk insitament för att bankerna skall tillhanda hålla denna typ av tjänst utan att ta rejält betalt för den. Här behöver förmodligen staten gripa in och lösa problematiken för att inte bli överbelamrad med denna typ av brott i domstolarna.

När det gäller accessbrotten i databaserna så finns det egentligen ingen bra lösning. Så fort man ger människor möjlighet att titta på vilket data som helst i en databas så kommer det finnas människor som utnyttjar detta. Det bästa sättet är att man då helt enkelt inte skapar stora databaser där tiotusentals eller hundratusentals personer måste kunna gå in i titta i. Dessa databaser är rena lagbrotten som bara väntar på att hända.

*) escrow innebär att en tredje part behåller betalningen tills det att båda parterna är överens och så länge parterna inte är överens så stannar pengarna hos den tredje parten. Det gör att man kan lägga in pengarna i escrow och så när man får varan kan man släppa loss betalningen till säljaren.


Ge Datainspektionen ansvar för integritetsfrågorna


Posted by Anders S Lindbäck

I dagens tidningar kan man ta del av den kritik som Datainspektionen ger mot regeringens förslag om att låta polisen ta del av FRA-spaningarna på nätet. Datainspektionen anser att det inte är klarlagt att rikspolisen har behov av att få del av spaningarna enligt FRA-lagen.

Idag är integritetfrågorna delade på många myndigheter. PTS har hand om kak-lagen. Konsumentverket har hand om SPAM-lagen och datainspektionen har hand om personuppgiftslagen. Jag anser att det blir svårt för så många olika myndigheter att ha hand om integritetfrågor och att alla kan inte vara lika duktiga på dem. Jag skulle därför gärna se att man då inför en övergripande ansvar för dessa frågorna till datainspektionen.

Sedan har vi även MSB som har ett övergripande säkerhetsansvar utifrån Sverige militära behov och Finansinspektionen som övervakar bankerna som idag är på väg att bli IT-företag där det mesta av aktiviteterna sker via nätet. Till det så har då FRA ansvaret för signalspaning och polisen skall beivra brott på nätet.

Sverige IT behov sköts av en mängd olika myndigheter och det finns idag ingen med samlat IT-ansvar. Jo det finns en person med det ansvaret. Sverige IT-minister Anna-Karin Hatt. Men hon är ingen IT-expert utan en politiker.

Vi har tyvärr på senare tid sett hur man från riksdagens sida kommit med en mängd lagar som innebär massövervakning av alla i Sverige och även de vars trafik bara korsar Sveriges gränser. Datalagringsdirektivet som sköts upp på ett år kommer den 21 mars att röstas igenom i riksdagen med mening att börja gälla redan 1 maj.

Vi i Piratpartiet ogillar skarp den utveckling som sker inom IT-området och vart det leder i slutändan. Det vore därför – enligt mig – bättre om alla frågor gällande personlig integritet på Internet samlades inom en myndighet så att man får ett helhetssyn i frågorna.


PUL och patientdata – den allmänna rättsuppfattningen


Posted by Anders S Lindbäck

DI: Karolinska har olaglig personuppgiftshantering – DN.SE.

Take Care systemet skall därför uppdateras så att det bättre följer lagarna. Jag har länge varit bekymrad över hur väl de olika journalsystemet följer de svenska lagarna och hur väl de skyddar patienternas personliga information. Tycker att detta är något sjukhusen borde ha bättre koll på när de upphandlar IT-system för vården.

Varför fanns inte detta kravet med och en kontroll att man uppfyller detta kravet då systemet upphandlades eller då lagarna ändrades ? För det är faktiskt sjukhusets uppgift att se till att de följer lagarna. Det är även systemleverantörernas uppgift att hänga med i lagstiftningen och se till att deras system faktiskt följer lagarna.

Vad är det som går så fel i svenska samhället att man ofta ser att det är kontrollorganen som måste säga till för att data skall hanteras korrekt ? Är det myndigheterna som inte följer vilka nya lagar som stiftas på sitt område. Är det regeringen som inte klarar av att informera om de nya lagarna. Är det socialstyrelsen som inte ger tillräckligt information till sjukhusen. Vet inte, men hade inte Datainspektionen sagt ifrån så hade man förmodligen fortsatt att köra på utan att bry sig om lagen.

Vi har sett hur FRA-lagen har misshandlats och missbrukats av FRA. Även där har datainspektionen varit framme och påpekat de stora problem FRA har haft med sin verksamhet.

Inom Säpo har man haft liknande problem och där har politikerna i stället valt att ändra lagen så SÄPO kan fortsätta som de gjort tidigare. I fallet med säpo så fick ingen skulden för man ansåg att Säkerhetspolisen inte var kompetenta nog att följa lagarna. Tyvärr gäller även detsamma den vanliga polisen också. Hur skall vi vanliga klara av att följa lagen när inte ens polisen gör det ?

Men även staterna i EU klarar inte av att följa sina egna EU-direktiv. Man har inte följt datalagringsdirektivet och inrapporterat information om hur ofta som data har tagits ut ur lagringen årligen som de måste enligt datalagringsdirektivet. Varför för EU länderna bryta mot lagarna men inte dess medborgare ? EU kommissionären Cecilia Malmström sitter därmed löst för att hon inte fått länderna att följa direktivet. Nu har direktivet i många länder förklarats olagligt med hänvisning till lagtexter som kommit pga Lissabonfördraget med krav på mänskliga rättigheter och i andra länder så har det inte ens införts i lagarna (t.ex. Sverige). Så kanske man borde lägga ner datalagringsdirektivet – för uppföljningen visar ju på att länderna inte följer direktivet själva.

På hur många andra ställen i landet finns det myndigheter som bryter mot lagen och inte bryr sig om att så sker. På hur många andra stället sker det övergrepp mot lagarna och dess intentioner för att man alltid har gjort så som man gör och inte inser hur olagligt det är ?


Datorspel: Fiktivt våld gör forskare aggressiva


Posted by Anders S Lindbäck

Datorspel: Fiktivt våld gör forskare aggressiva nominerar jag härmed till en av de bästa retoriska sågningarna på mycket längre.

På ett utmärkt sätt så får ‘forskarna’ på pälsen så det gnistrar om det.

Mest synd i hela debatten är det nog om Karolinska institutet som tydligen hyser aggressiva forskare. Kanske dags att titta på att tvinga forskare att i stället utöva fiktivt våld så de blir mindre aggressiva ? :)


Tieto-krachen: Hade funkat i Linux


Posted by Anders S Lindbäck

Nu börjar det komma fram uppgifter som talar om varför det blev problem i Tietos moln. Det visar sig att de använde backuper som inte fungerade i operativsystemet. Så när diskarna kraschade och de skulle återställa från backup så fick Tieto – blåskärmar och kraschade band – IDG.se.

Backup-programvaran var inte kompatibel och fungerade i den version av Windows 2008 de körde på. De fick då blåskärmar när de försökte återställa. Det är ett problem som kunnat åtgärdas om man från början inte installerat datorprogram som inte var kompatibla med varandra.

Hade de kört Ubuntu Linux så hade den beroendehantering som finns för programvara varnat om att backup-programmet inte var kompatibelt med det installerade programbiblioteken och försökt lösa problemet. Hade det inte gått så hade programmet inte installerats. Då hade man fått en mycket tidig och klar varning om att det hela inte fungerande tekniskt.

Nu är det inte på något sätt klarlagt vem som fattade besluten om att uppgradera och varför de installerade inkompatibla datorprogram/system. Men någon har sjabblat på något sätt då detta kunnat hända. Med Linux hade de ansvarig för Tieto inte kunnat skjuta problemet under mattan och ignorera det för då hade IT-systemet klagat direkt. Nu verkar man ha installera back-up programvara i ett operativsystem det inte fungerade med.

Noterar även att många hade stora skadestånd som blev aktuella om upptiden för Tietos system var under 95.9% – för den som kan räkna så innebär det att systemet kan vara nere 2 veckor innan då detta skadestånd var aktuellt på årsbasis. Nu är dock denna siffra på kvartalsbasis så skadeståndet verkar betalas ut.


Apoteket, Bilprovningen, Regeringskansliet och Tieto


Posted by Anders S Lindbäck

I helgen kunde kunderna inte längre få ut sina recept. Idag går det inte att tider hos bilprovningen. Det är så att Tietos hårdvarufel slår ut Bilprovningen.

Tyvärr är alla väldigt inkommunikativa om vad, varför och hur detta problem uppkommit och hur länge det tar innan det är avklarat. I dagens samhälle så har vi blivit väldigt beroende av att IT-systemen fungerar och inte går ner. Går it-systemen ner så kan det allvarligt påverka viktiga samhällsfunktioner som t.ex. möjligheten för svenskar att få ut de mediciner det behöver.

Turligt nog så är apotekssystemet privatiserat så de privata alternativen till statliga Apoteket har kunnat sälja mediciner till de sjuka. Att undvika att ett enskilt fel kan påverka ett helt system är någonting bra. Det är en orsak till varför monopol är sämre än system med konkurrens där konsumenterna har ett val.


SPAM brev från bedragare som låtsas vara bank


Posted by Anders S Lindbäck

Du kanske har hört talas om dem. Men hur ser de egentligen ut och är det lätt att råka ut för dem. Nu kan du se själv då jag väljer och publicera ett SPAM-brev från en bedragare.

Bдste kund

Fцlj instruktionerna nedan.

Klicka pе den genererade lдnken nedan fцr att slutfцra ditt konto verifiering.

https://www.avanza.se/aza/login/login.jsp ?uniqueid=38010293&cliente?verify=49-1023

Om du misslyckas med att slutfцra verifieringsprocessen ditt online-konto kommer att vara tillfдlligt avbrytas.

Tack
Avanza Bank

Som synes så är det inte korrekt svenska. ÅÄÖ är felaktiga. Dessutom så avslöjas det hela genom att följande finns i headers:

Message-ID: <20111114080156.CA8A4CD011C@webmail.bercaglobalaccess.com>

Det verkar vara så att SPAM-brevet är skickat från en kapad windows-dator som blivit en spam-robot och skickat ut SPAM åt bedragare.

Ett annat sätt som visar på att det inte är från Avanza är att länken man skall klicka på går till:

http://213.191.228.230/avanza/

Denna IP-adress tillhör via http://www.ip-adress.com/ip_tracer/213.191.228.230 en ISP på Irland:

213.191.228.230 IP address location & more:
IP address [?]: 213.191.228.230 [Whois] [Reverse IP]
IP country code: IE
IP address country: ip address flagIreland
IP address state: Tipperary
IP address city: Thurles
IP address latitude: 52.6819
IP address longitude: -7.8022
ISP of this IP [?]: Telefonica O2 Ireland Limited
Organization: O2 Ireland
Local time in Ireland: 2011-11-14 11:47

Skall vi gissa att den siten inte är uppe länge till ?

Siten är blockerad som en webbbedrägeri. Men klickar man förbi det så kommer man till en webbplats som är trasig. Det intressanta är att den webbplatsen pekar fortfarande på Avanzas webbplats och hämtar bilder från den.

https://www.avanza.se/aza/images/ikon_skriv_ut.gif

https://www.avanza.se/aza/images/nav_avanza_sb.gif

Däremot så ser webbplatsen helt trasig ut – och det beror nog på att webbplatsen hämtar css från avanzas egna webbplats men att de därifrån spärrat utskicket av filen pga referer-url. Men de har missat och göra det från https-webbplatsen.

Ja ja. De som gjort det hela har lyckats göra ett antal allvarliga fel som gör att det går enkelt att se om man är IT-expert som jag. Men vanliga människor kan utan större it-kunskap kan då råka illa ut om de väljer och följa länken och prova att logga in – för då kommer bedragarna över deras namn/lösenord och kan använda dem för att logga in på webbplatsen och manipulera aktiekurserna för egen vinnings skull.

Så vad bedragarna gjort är att de skapat en webbplats där de kopierat förstasidan från avanzans hemsida samt ändrat så när något försöker logga in så sparar de användardnamn och lösenordet så de själva kan logga in på den riktiga webbplatsen. Sedan har de köpt spam-utskick av någon zombiebätverkägare som då spammat det falska brevet till svenska epostadresser.

Tog inte många timmar och fixa till. Lite mera jobba och med någon som kan svenska i gruppen så hade det kanske gått mycket bättre för dem att lyckats lura kunderan att avslöja sin kontoinformation.

PS Om denna siten hade varit en barnporrsite så hade den lagt in i polisens barnporrfilter och varit uppe i ett halvår för polisen hade inte gjort något mera. Nu är det en ekonomisk site som borde vara nerstängd inom några timmar.