FRA del av NSAs PRISM – kallas SARDINE

Prism

FRA är idag en viktig länk i det internationella nätverk som utgörs av PRISM. Där ett antal länder förutom USA medverkar med accesspunkter för USA att tappa av kommunikation från Internet. Sverige pekas ut som NSA:s hemliga nyckelpartner – Metro. Allt tyder på att FRA-lagen skapades som en del av USA säkerhetstjänst NSA projekt PRISM som går ut på att kopiera all kommunikation på Internet.

FRA skall vara den del som kallades SARDINE. Gissar att det är för att man främst är intresserad att övervaka den trafik som går över östersjön från ryssland vidare ut i Europa via Sverige.

FRA vill inte kommentera uppgifterna till SVT.

NSA knäckte kryptering på internet – Metro. Det avslöjas även att NSA jobbat via säkerhetsföretag och försämrat deras säkerhet i deras produkter för att se till att de kan klara av att dekryptera i praktiken nästan all information som skickas på Internet.
Med NSAs bakdörrar så undrar jag – vilka andra nationer har underrättelsetjänster som gör exakt detsamma ?

I USA har Obama tillsatt en sk Sanningskommission ska granska NSA – NyTeknik. Men jag är personligen inte alls säker på att den på något sätt kommer avslöja sanningen om vad som sker på NSA. USA har mycket att vinna på att nertona vad som verkligen har skett med de 300 miljarder man varje år satsar på att övervaka Internet.

För när allt kommer omkring. Inte åkte Obama till Sverige för att äta middag med de nordiska ministrarna utan för att säkerställa att Fredrik och Carl fortsätter och vara snälla hundar som går sin husses ärenden.

Farmor Gun påminner om detta fina citat från Obama som hon läste från inlägg i Sundsvalls tidning

”Vi förlorar oss själva när vi kompromissar med de ideal vi vill försvara”

— Obama när han tog emot priset där i Oslo.

viaFarmor Gun i Norrtälje: Ideal värda att försvara i en demokrati..

President Obama, Carl B och Fredrik R. Alla är de förlorade barn som leker världsförbättrare utan att inse att vad de gör är att de förstör de demokratiska länderna de brukar föra fram som föredömen.


USA underättelsetjänst infekterade 85000 datorer

PrismDet visar sig att USA hackade andras länders nätverk i 231 offensiva cyberoperationer och 85 000 datorer hackades då man distribuerade skadlig kod till andra datorer.

Det finns idag inga regler hur hackadet av andras datorer skall klassas och det ses idag som spionere snarare än krigshandlingar. Spioneri är egentligen krigshandlingar men kanske snarare en del av någon sorts tyst krig man inte talar om.

Det är sedan tidigare känt att Microsoft informerar NSA tidigt när de har identifierat ett säkerhetshål så NSA kan då använda dessa kunskaper för att hacka sig in i främmande makters datorer. Ibland har Microsoft varit väldigt långsamma på att uppdatera säkerhetshål. Kan det ha varit för att då hjälpa NSA och låta dem få mer tid på sig att infektera främmande makts känsliga datoer och bryta sig in ?

En sak är säkert givet detta. Man kan inte idag använda Microsoft eller annan stängd programvara från USA i sin dator utan att samtidigt inse att datorn har ingen säkerhet – NSA kan komma över säkerhetshål och bryta sig in i datorn.

Piratpartiet har tagit en aggressiv ståndpunkt att svenska offentliga sektorn skall byta till öppen källkod innan 2025. Det är tydligt att så måste ske för att säkerställa offentliga sektorns möjlighet att kontrollera allas integritet och skydda hemliga data från att stjälas av USAs säkerhetstjänster.

Nu betyder detta att inte även andra länders säkerhetstjänster använder sig av samma säkerhetshål och använder detta för att komma åt hemliga uppgifter kan USAs säkerhetstjänst komma åt dem så vore det i andra länders mål att kunna stjäla dessa säkerhetshål från USA så att även det landets säkerhetstjänst får reda på informationen och kan utnyttja den för sitt lands säkerhetstjänst. Microsoft outsourcar mycket av sin utveckling till t.ex. indien och frågan är hur mycket av säkerhetsbuggarna då sprids vidare till andra länder. Kan man vara säker att dessa inte sprids till Kina Ryssland etc ?

Dessutom så måste man fråga sig om det är så att NSA skulle be Microsoft eller något annat amerikansk IT-företag att införa en liten bugg i sitt system så de kunde hacka de system som använder den koden ? Givet vad vi vet om PRISM så är risken stor att sådant kanske sker redan idag…

Nu kanske en del av er tänker detta kommer aldrig ske i Sverige att svenska säkehetstjänster kan be ett it-företag att bugga sin programvara så svenska underrättelsetjänsten kan hacka en datorer. Tänk igen för regeringen har nyss kommit med ett lagförslag som ger myndigheter rätt att tvinga personer att tala om hur man kommer åt data i ett datacenter. Vad skall en enskild it-tekniker göra om hen får en sådan begäran ?

Det finns idag inga internationella avtal om krav på förbud för cyberkrig – borde det kanske finnas det ?

PS HAX har även de uppmärksammat den svenska lagen och Christian Engström skriver om hemliga spioner i datorhallerna.


Estlands kod för röstverifiering

Estland har släppt sin kod för e-röstning på nätet så man kan läsa den. Här är koden för att analysera en röst och kontrollera att den är korrekt så ingen skrivit egen klient som skickar konstiga data till servern.

def analyze(ik, vote, votebox):

# TODO: implement security checks
# such as verifying the correct size
# of the encrypted vote

return []

Effektiv kod. Snabbt går kollen. Men den hittar nog inte så många säkerhetsproblem….

Detta är alltså den officiella koden som släppts på Github

Du kan själv se den på:

https://github.com/vvk-ehk/evalimine/blob/master/ivote-server/hes/vote_analyzer.py

E-omröstning ? Nej tack!


Microsofts intima samarbete med NSA

nsainsideVisselblåsarens Edward Snowdens avslöjande sipprar sakta ut men man hinner knappt reagera på en sak före en ännu värre dyker upp.. Det senaste är att Microsoft tillåter agenter spionera på Skype – NyTeknik. T.ex. så hade NSA tredubblat sin förmåga att övervaka videosamtal över Skype 9 månader efter att Microsoft köpte företaget.

Microsoft hade inte behövt gå med på dessa begäran. De kunde ha motsatt sig det hela och t.o.m. gått till domstol och hävdat att de inte borde tvingas till detta. Men uppenbarligen har man inget gjort mycket för att skydda sina kunders privata data.

Sammanfattning av vad Microsoft har gjort fär att hjälpa USA underrättelsetjänster att ta del av sina kunders privata data:

  • Microsoft har hjälp NSA att kringgå sin kryptering då NSA var orolig att de inte kunde inhämta web-chattar.
  • NSA fick tillgång till eposten från outlook.com och hotmail innan den krypterades när den skickades krypterad
  • Microsoft arbetade med NSA så det fick enklare tillgång till molntjänsten SkyDrivs med 250 miljoner användare världen över
  • Microsoft samarbetade med FBIs Data Intercept UNit för att hjälpa dem att förstår hur användare använde sig av epost-aliases.
  • Data inhämtade via PRISM delas rutinmässigt med både CIA och FBI.
  • Microsoft delade med sig av säkerhetsluckor till NSA i god tid innan de skickade ut patchar som löste preblemet – vilket gör det möjligt för NSA att göra datorinbrott mha dessa säkerhetshål.

Data i Microsoft Skydrive spred alltså till andra. Personliga brev, hemliga företagskonversationer spreds till andra.

Det har även tidigare ibland varit en del som klagat på att Microsoft varit sena att åtgärda säkerhetsbuggar i sitt system så att de som funnit dem valt att sprida information fritt innan Microsoft kommit med en säkerhetspatch som fixar buggen. Man kan fråga sig om NSA påverkat Microsoft och därmed fått företaget att senarelägga patchar för att kunna utnyttja någon bugg och begå datorspionage mot främmande makt ?

Sverige riksdag kör idag uteslutande programvaror från Microsoft. Det företag som i sin spelkonsol vill sätta en kamera som alltid spionerar på dig. Samtidigt har vi en utrikesminister som vägrar säga något ont ord om att en stor främmande makt spionerar på sverige och förmodligen stjäl våra företagshemligheter vilket gör att vi förlorar jobb.

Dags att byta till öppen källkod – det är den enda som verkar vara utan säkerhetsproblem.


FRA fortsätter sin olagliga verksamhet

Den verksamhet som FRA bedriver kan inte kallas annat än olagligt. Gång på gång så kommer uppgifter om att FRA inte följer lagen. Men gång på gång så är det ingen som åker dit för lagbrotten. Datainspektionen (DI) har ett flertal gånger nu påpekat att det sätt som FRA bedriver sin verksamhet är inte enlig sveriges rikes lagar. SIUN – statens inspekti0on för underrättelseverksamhet – har nu för nionde gången påpekat att FRA inte gör det de förväntas göra och FRA prickas för olaglig lagring – NyTeknik.

Senaste fick de kritik av Datainspektionen för att deras intrångdetekteringsystem TDV inte har stöd i lagen för vad det gör. FRA vill skicka data från signalspaning och TDV och samköra dessa – något DI anser inte får göra.

TDV – tekniskt detektering och varningssystem – är ett system för att avslöja it-attacker mot statliga myndigheter genom att övervaka en myndighets datatrafik. TDV kan t.ex. läsa eposten till en myndighet.

Riksdagen är tyst. Ingen vågar bråka om att FRA gång på gång på gång faktisk inte klarar av att följa svenska lagarna. Det behövs en parlamentarisk utredning som tittar på hur man ser till att FRA faktisk följer lagen. Förhoppningsvis skulle en sådan undersökning faktiskt komma till det rätta beslutet. FRA är inte kompetent nog att följa lagar som FRA-lagen och bör därmed tas ifrån dessa möjligheter lagen innebär. Låt oss avskaffa FRA-lagen!


Akta dig för kameraövervakning

johnny_automatic_surveillance_cameraNär austrialiens största kasino såg över sin säkerhet så bestämde de för att införa kameraövervakning för att hitta brottslingar. Vad de inte insåg var att kameraövervakningen kunde även användas av brottslingar för att vinna pengar från kasionot. Genom att stjäla video-signalen från kasinots kameror så kunde en kumpan övervaka vad som skedde på bordet och till en storspelare tala om för hur denne skulle spela för att vinna. Det ledde till att en storspelare svindlade kasino på 212 miljoner | Utrikes | SvD.

Så när du inför övervakning av andra tänkt på hur den informationen kan användas. Anta att någon kan stjäla din information och fråga dig vad som då händer. Se till att en brottsling inte kan avslöja information som gör att du kan allvarligt skadas om den kommer i fel händer. För då kontrollerar du egentligen inte andra utan du kontrollerar dig själv och medverkar till att känslig information kan spridas till andra.

Tänk på hur du förvarar denna hemliga information. Tänk på hur du överför denna hemliga information internt. Tänk på alla de sätt som någon utomstående kan komma över informationen och fråga dig sedan. Har du verklige tillräckligt säkerhet för att spara så känsliga information om dig själv ?

Tänk bara på Watergateskandalen. Nixon avslöjades delvis av sin egna övervakning av vad som skedde i vita huset. Men inte kanske för vad som spelades in utan för vad som inte spelades in. Man kan nämligen inte bara stänga av övervakning när man skall diskutera känsliga frågor – för det leder till att man ger information om att man skall tala om känsliga och potentiellt olagliga aktiviteter. Dessutom så leder det till intressanta frågeställningar – vad var det som diskuterades när övervakningen är avstängd ?

Själva avsaknaden av övervakning blir därmed anklagelser om brott. Det finns därför egentligen bara ett sätt att lösa hela problematiken och det är att inte övervaka öht.
Då slipper man väldigt många problem. Samt ser till sina egen och andras personliga integritet.

Måste man ha kameraövervakning så räcker det egentligen att övervaka vid alla in och utgångar från en lokal. För givet att man vet alla som befinner sig i lokalen så är det enkelt att se vem som är den person som smyger sig in i en parkeringsgarage och stjäl en bil.

I BRÅs rapport om kameraövervakning så noterade man att där kameraövervakning gav bra resultat var just parkeringsgarage. Just detta för att de har få in och utgångar och att dessa är ofta lätta att övervaka. Ingen kan ta sin in i utan att hamna på bild.

För öppna platser där folk kan röra sig fritt fungerar kameraövervakning dåligt – där är det bättre med andra åtgärder som att ta bort trånga och insynsskyddade delar av området så att folk på avstånd kan bli betraktade och därmed andra kan se om någon utsätts för brott. Starka lampor på kvällen håller brottslingarna borta för de gillar inte att bli sedda av potentiella vittnen i en rättegång.

I ett kasino bör absolut inte införa kameraövervakning som gör att man kan se bankens eller en spelare kort; speciellt inte så att om någon kommer över de kan användas för att se om man har en vinnande hand eller ej.

Övervaka mindre och övervaka smartare och tänk på att allting kamerorna ser, kan potentiellt även brottslingarna se. Detta gäller inte bara för kameraövervakning utan all övervakning. Vill du att dina värsta fiender inte skall komma över informationen så är enda säkra sättet att inte spara den alls.


Bank-appar är säkerhetsproblem

Datainspektionen har undersökt bankernas bankappar och kommer nu med en Varning för osäkra bankappar – DN.SE.

Bankernas bankappar har väldigt dålig säkerhet och kräver endast personnummer och pinkod. Det ger väldigt liten säkerhet och det faktum att man då kan komma åt att se alla lån, betalningar och ekonomiska transaktioner på kontona via apparna gör att de idag är dåligt byggda.

Jag förstår inte riktigt vad bankerna tänkte på när de godkände sådana dåliga IT system för att säkerställa bankkundernas säkerhet. Bankerna valde en gång i tiden att införa en kort 4-siffrig pinkod – och det lider de av än och har ännu inte gjort något för att rätta till det problemet. Det är tyvärr lätt hänt att någon kikar vad en person gör och då kan uppfatta de 4 siffror som ingår i pinkoden.

Bankerna har till 21 december på sig att inkomma med svar till Datainspektionen om vad de tänker göra för att förbättra situationen.


Brå: Databasläckorna ökar stort

Enligt Brottsförebyggande rådet BRÅ så är det ökande intrång i olika databaser en brottslighet som ökar kraftigt – Ekot. Här är det många fall av personer med tillgång till databasen som använder den för helt egna andamål. Rena integritetsbrotten där personer tar ut information de inte har rätt till. T.ex. poliser som kollar upp bekanta i belastningsregistret eller sjukvårdspersonal som går in i patientjournaler de inte har med att göra.

Mest ökar bedrägerierna där man använder sig av Internet. Många har kommit på att de på pryltorg kan saluföra varor som inte existerar och lura godtrogna köpare att betala i förskott och sedan aldrig leverera varan.

Hade det funnit bättre betaltjänster för nätet med escrow-möjligheter(*) så hade de senare typen av databrott aldrig skett. Tyvärr är det något som inte finns per default för privatpersioner idag och är något som skulle behövas i betalsystemet så att alla enkelt kan använda sig av det. Det finns idag väldigt litet ekonomisk insitament för att bankerna skall tillhanda hålla denna typ av tjänst utan att ta rejält betalt för den. Här behöver förmodligen staten gripa in och lösa problematiken för att inte bli överbelamrad med denna typ av brott i domstolarna.

När det gäller accessbrotten i databaserna så finns det egentligen ingen bra lösning. Så fort man ger människor möjlighet att titta på vilket data som helst i en databas så kommer det finnas människor som utnyttjar detta. Det bästa sättet är att man då helt enkelt inte skapar stora databaser där tiotusentals eller hundratusentals personer måste kunna gå in i titta i. Dessa databaser är rena lagbrotten som bara väntar på att hända.

*) escrow innebär att en tredje part behåller betalningen tills det att båda parterna är överens och så länge parterna inte är överens så stannar pengarna hos den tredje parten. Det gör att man kan lägga in pengarna i escrow och så när man får varan kan man släppa loss betalningen till säljaren.


Ge Datainspektionen ansvar för integritetsfrågorna

I dagens tidningar kan man ta del av den kritik som Datainspektionen ger mot regeringens förslag om att låta polisen ta del av FRA-spaningarna på nätet. Datainspektionen anser att det inte är klarlagt att rikspolisen har behov av att få del av spaningarna enligt FRA-lagen.

Idag är integritetfrågorna delade på många myndigheter. PTS har hand om kak-lagen. Konsumentverket har hand om SPAM-lagen och datainspektionen har hand om personuppgiftslagen. Jag anser att det blir svårt för så många olika myndigheter att ha hand om integritetfrågor och att alla kan inte vara lika duktiga på dem. Jag skulle därför gärna se att man då inför en övergripande ansvar för dessa frågorna till datainspektionen.

Sedan har vi även MSB som har ett övergripande säkerhetsansvar utifrån Sverige militära behov och Finansinspektionen som övervakar bankerna som idag är på väg att bli IT-företag där det mesta av aktiviteterna sker via nätet. Till det så har då FRA ansvaret för signalspaning och polisen skall beivra brott på nätet.

Sverige IT behov sköts av en mängd olika myndigheter och det finns idag ingen med samlat IT-ansvar. Jo det finns en person med det ansvaret. Sverige IT-minister Anna-Karin Hatt. Men hon är ingen IT-expert utan en politiker.

Vi har tyvärr på senare tid sett hur man från riksdagens sida kommit med en mängd lagar som innebär massövervakning av alla i Sverige och även de vars trafik bara korsar Sveriges gränser. Datalagringsdirektivet som sköts upp på ett år kommer den 21 mars att röstas igenom i riksdagen med mening att börja gälla redan 1 maj.

Vi i Piratpartiet ogillar skarp den utveckling som sker inom IT-området och vart det leder i slutändan. Det vore därför – enligt mig – bättre om alla frågor gällande personlig integritet på Internet samlades inom en myndighet så att man får ett helhetssyn i frågorna.