Biometri är snake oil

Det finns de som tror på att biometri skall vara lösningen på passorden. Så är inte fallet. Det går att via ett fotografi avläsa både fingeravtryck och iris. Genom att läsa informationen i fotografiet kan man skapa avbildningar som kan lura en avläsare.

Nackdelen med biometri är att när den väl är snodd så finns det ingen möjlighete att byta ut den. Passord kan man byta när någon stjäl ens gamla. Men vem byter ut sitt öga eller sina fingrar för att någon tar ett fotografi som visar hur de ser ut ?

Han har tidigare bland annat lyckats återskapa förre finansministern Wolfgang Schäubles fingeravtryck från ett glas han nuddat.

via Hackare kan kapa ditt fingeravtryck – DN.SE.

Våra fingeravtryck lämnar vi hela tiden. De är inte speciellt bra som bevis för att man är vem man är. Det går att gå runt sådana enkla försök till skydd.

Det är tyvärr för många som ser IT som magi och tror att man med datorer kan göra vad som helst. Sanningen är att datorer är dumma och de gör bara det man säger åt dem.

De borde se fler filmer med avancerande inbrottskupper där inbrottstjuvarna går förbi dessa datorers inbrottskydd och stjäl det de vill komma åt. Gjorde de det så hade de insett att det finns många sätt att gå runt biometri. Ett blodigt sätt är att ta en tång och knipsa av tummen för att komma åt fingeravtrycket.


FRA talar osanning

Vår kärnverksamhet har vi på helt avskilda nätverk som inte har någon som helst koppling till internet. Men det är ju ändå inte alls särskilt bra att ha en sårbarhet. Någon informationsförlust bör inte kunna ske, men det skulle kanske gå att förstöra saker, säger Fredrik Wallin.

via FRA:s system sårbart för dataintrång – DN.SE.

FRA-lagen innebär att FRA skannar av Internet och lagrar data därifrån. Hur görs det utan access till Internet ?

Magi ?

Man vet aldrig vad för virus och andra bakdörrar som FRA skanning av internet kan föra med sig. Och finns nätverk in till FRA så finns även nätverk ut från FRA.

Avskaffa FRA-lagen.


FRA:s system sårbart för dataintrång – DN.SE

”Försvarets radioanstalt FRA har en allvarlig säkerhetslucka som gör att utomstående skulle kunna hacka sig in hos myndigheten.”

via FRA:s system sårbart för dataintrång – DN.SE.

Frågan är vilka andra som idag har olagligt öppnat upp FRA-shoppen och snattat information från FRAs lagring av Svenska Internet.

Stoppa FRA lagen!


NSA spionerar i alla Lumialurar ?

Tidigare har det framkommit uppgifter på att NSA har bakdörrar i iPhones och nu kommer information om att NSA har bakdörrar i Microsofts Windows Phones baserade Lumia-lurar:

Information som skickas kan vara exempelvis telefonens position, sms, kontakter och användardata från webbläsaren.Uppgifterna är extra känsliga i Finland, eftersom många av de högsta politikerna självklart använder mobiler från landets stora tillverkare Nokia.

via NSA kan ha genväg in i Lumialurar | Nyheter | SvD.

Det är bara ett av alla de spioneriavslöjandet som gjorts sedan i Juni förra året då Edwards Snowdens avslöjanden om NSA började sippra ut.


Databaser läcker alltid

Detta är inget konstigt. Så sker ofta. Det man bör göra är att regelbundet gå igenom allas access och kontrollera att den är korrekt. Man bör även då kolla över systemet och se hur man kan missbruka det och stoppa missbruk. För sanningen är att stora databaser läcker alltid.

Såväl personakter som journalanteckningar och beslut om utbetalningar av ekonomiskt bistånd hanteras i Stockholms stads it-register Paraplysystemet. Trots det visar en konsultrapport beställd av Stadsrevisionen att systemet har allvarliga säkerhetsbrister – som på vissa punkter måste åtgärdas ”omgående”.

via IT-register läcker känsliga uppgifter | Inrikes | SvD.

I grunden handlar det om integriteten för de personer som finns i databasen. Det är viktig och skydda deras privatliv. Men även för att förhindra att brott sker.

Vi i Piratpartiet brukar ofta påpeka att databaser läcker och att man måste skapa dem på ett säkert sätt och bästa sättet – enligt mig – är att inte skapa dem alls om det går. Dela ut informationen på annat sätt än att skapa en stor databas där man lägger all information så alla kan komma åt den.


Sverige avslöjade spionage i Finland

Det var i torsdags som det finländska utrikesministeriet meddelade att det i mellan tre och fyra år har varit utsatt för ett stort dataintrång som avslöjades i våras. Enligt Helsingin Sanomat var det Sverige som upptäckte det.

via Sverige avslöjade spionage i Finland – Nyheter (Ekot) | Sveriges Radio.

I Sverige har vi FRA-lagen. Enligt den så skall FRA söka på Internet och spionera på andra länder. Bland de som FRA skall spionera på ingår då den finska regeringen. Andra som FRA kan spionera på är t.ex. Tyskland och dess förbundskansler Angela Merkel, Danmark, Norge Ryssland Estland, Lettland, Lituauen, Åland, Island, England och USA.


Timing och det trasiga Internet

PrismTrots att media varit fulla med trovärdiga uppgifter på att FRA och NSA haft djupt samarbete och trots att SIUN kritiserat FRA ofta så har försvarsministern mage att hävda att

– Jag utgår från att FRA följer lagen, säger hon i en intervju med Sydsvenskan

Försvarsministern om FRA – Sverige – Sydsvenskan-Nyheter Dygnet Runt.

Hur kan försvarsministern med fullt allvar påstå att FRA följer lagen när hon uppenbarligen vet om att FRA många gånger tidigare inte gjorts så ? Kan det ha varit för att hon vill återställa förtroendet för FRA genom att säga att hon tror på det. Dvs offra sitt eget förtroende för att återställa en del människors förtroende för FRA ?

FRA och NSA och övervakning som helhet har även diskuterats i EU. På LIBRE utfrågningen kom fram en massa ofördelaktiga om hur NSA kringgått säkerheten på Internet genom att få in bakdörrar i säkerhetstandarder och säkerhetsprogram dvs äldigt viktig information för allmänheten. Därför valde de stora partigrupperna att hålla en hemligt möte med kommissionen där inget om vad som sades fick sägas till allmänheten. Vad sades då på mötet:

Kommissionen berättade ingenting hemligt som inte redan var känt, och sa knappt något annat nytt heller.

Vad EU-kommissionen sa på den hemliga utfrågningen #EPinquiry idag | Christian Engström, Pirate MEP.

Varför hölls mötet hemligt givet att EU fått mycket kritik för att den hemligstämplar helt i onödan och varför sade man inget nytt så hemligstämpeln var onödig ? Kanske för att någon efteråt till tidningar hoppades kunna påstå att det under den hemliga överläggningen framkommit ny information som visar på att tidigare tidningsuppgifter inte alls var så allvarliga som de det påstods. Dvs kunna ljuga för tidningarna och påstå det sagts mer på mötet än det gjorts ? När möten är hemliga så kan ju deltagarna påstå vad som helst om det som sagts på mötet. Andra som deltagit på mötet kan ju inte dementera vad som sagt och inte sagt pga hemligstämpeln.

För bara några dagar sedan såg sig socialdemokraterna tvingade att även de visa sin störa vördnad för FRA och säga att de står bakom FRA och inte vill förändra den. Inför valet 2010 så ville sossarna utreda FRA och ändra lagen.

Sanningen är nog snarare att sossarna aldrig tänkt sig stoppa FRA-lagen utan egentligen i verkligheten stått bakom den hela tiden. För om man haft minst tveksamhet tidigare så borde man verkligen vilja förändra lagen nu när alla avslöjanden kommit Men nej det vill inte sossarna längre. Detta trots att det visat sig att FRA då överträtt sina befogenheter och samarbetat djupare med NSA än vad som tidigare var känt.

Nu när FRA- och Prismfrågorna är som mest aktiva på länge går Socialdemokraternas rättspolitiske talesperson, Morgan Johansson, ut och berättar att de gillar FRA och vill behålla den hårt kritiserade lagen.

Lakes lakonismer: Sossarnas timing och fingertopskänsla – Med örat mot rälsen.

Kanske lite fel tidpunkt att visa sin stora aktning för FRA ?

Alla tre misslyckades uppdrag att försöka gjuta in lite stöd för FRA och underättelsetjänsterna. Precis samtidigt som dessa visar sig vara agera på sätt som många finner är ännu värre, än de värsta farhågorna.

Genom NSA sätt att arbeta och försvaga kryptering via medverkan i standardiserringsorganisationer och genom att få in bakdörrar hos IT-företag i deras implementeringar av säkerhetslösningar så är hela säkerhetbranschen på Internet i uppror. För man inser att inget säkerhetslösning är säker – speciellt inte de som idag används. Idag är det så att frågan bland de som håller på med säkerhet är – vem kan man lite på ? Vilka krypteringar är verkligen säkra.

Detta är verkligen inte rätt tidpunkt och försvara FRA och NSA – för ingen som vet någonting om IT-säkerhet tror på dem – alla vet att säkerheten på Internet är trasig och behöver lagas.

PS Det finns faktiskt en som visat sig som många tror på när det gäller epostsäkerhet och det är Gnu Privacy Guard GPG – en implementering av OpenPGP och som även är fri och öppen programvara. Det är en säkerhetslösning som många försökt bryta men ingen har lyckats. Dessa typer av kryptering har hela tiden motarbetats av NSA och liknande till förmån för S/MIME – och många tror det beror på att den är säkrare och svårare att avkryptera för NSA då det inte går att få in bakdörrar den vägen.


Estlands kod för röstverifiering

Estland har släppt sin kod för e-röstning på nätet så man kan läsa den. Här är koden för att analysera en röst och kontrollera att den är korrekt så ingen skrivit egen klient som skickar konstiga data till servern.

def analyze(ik, vote, votebox):

# TODO: implement security checks
# such as verifying the correct size
# of the encrypted vote

return []

Effektiv kod. Snabbt går kollen. Men den hittar nog inte så många säkerhetsproblem….

Detta är alltså den officiella koden som släppts på Github

Du kan själv se den på:

https://github.com/vvk-ehk/evalimine/blob/master/ivote-server/hes/vote_analyzer.py

E-omröstning ? Nej tack!


Microsofts intima samarbete med NSA

nsainsideVisselblåsarens Edward Snowdens avslöjande sipprar sakta ut men man hinner knappt reagera på en sak före en ännu värre dyker upp.. Det senaste är att Microsoft tillåter agenter spionera på Skype – NyTeknik. T.ex. så hade NSA tredubblat sin förmåga att övervaka videosamtal över Skype 9 månader efter att Microsoft köpte företaget.

Microsoft hade inte behövt gå med på dessa begäran. De kunde ha motsatt sig det hela och t.o.m. gått till domstol och hävdat att de inte borde tvingas till detta. Men uppenbarligen har man inget gjort mycket för att skydda sina kunders privata data.

Sammanfattning av vad Microsoft har gjort fär att hjälpa USA underrättelsetjänster att ta del av sina kunders privata data:

  • Microsoft har hjälp NSA att kringgå sin kryptering då NSA var orolig att de inte kunde inhämta web-chattar.
  • NSA fick tillgång till eposten från outlook.com och hotmail innan den krypterades när den skickades krypterad
  • Microsoft arbetade med NSA så det fick enklare tillgång till molntjänsten SkyDrivs med 250 miljoner användare världen över
  • Microsoft samarbetade med FBIs Data Intercept UNit för att hjälpa dem att förstår hur användare använde sig av epost-aliases.
  • Data inhämtade via PRISM delas rutinmässigt med både CIA och FBI.
  • Microsoft delade med sig av säkerhetsluckor till NSA i god tid innan de skickade ut patchar som löste preblemet – vilket gör det möjligt för NSA att göra datorinbrott mha dessa säkerhetshål.

Data i Microsoft Skydrive spred alltså till andra. Personliga brev, hemliga företagskonversationer spreds till andra.

Det har även tidigare ibland varit en del som klagat på att Microsoft varit sena att åtgärda säkerhetsbuggar i sitt system så att de som funnit dem valt att sprida information fritt innan Microsoft kommit med en säkerhetspatch som fixar buggen. Man kan fråga sig om NSA påverkat Microsoft och därmed fått företaget att senarelägga patchar för att kunna utnyttja någon bugg och begå datorspionage mot främmande makt ?

Sverige riksdag kör idag uteslutande programvaror från Microsoft. Det företag som i sin spelkonsol vill sätta en kamera som alltid spionerar på dig. Samtidigt har vi en utrikesminister som vägrar säga något ont ord om att en stor främmande makt spionerar på sverige och förmodligen stjäl våra företagshemligheter vilket gör att vi förlorar jobb.

Dags att byta till öppen källkod – det är den enda som verkar vara utan säkerhetsproblem.


FRA fortsätter sin olagliga verksamhet

Den verksamhet som FRA bedriver kan inte kallas annat än olagligt. Gång på gång så kommer uppgifter om att FRA inte följer lagen. Men gång på gång så är det ingen som åker dit för lagbrotten. Datainspektionen (DI) har ett flertal gånger nu påpekat att det sätt som FRA bedriver sin verksamhet är inte enlig sveriges rikes lagar. SIUN – statens inspekti0on för underrättelseverksamhet – har nu för nionde gången påpekat att FRA inte gör det de förväntas göra och FRA prickas för olaglig lagring – NyTeknik.

Senaste fick de kritik av Datainspektionen för att deras intrångdetekteringsystem TDV inte har stöd i lagen för vad det gör. FRA vill skicka data från signalspaning och TDV och samköra dessa – något DI anser inte får göra.

TDV – tekniskt detektering och varningssystem – är ett system för att avslöja it-attacker mot statliga myndigheter genom att övervaka en myndighets datatrafik. TDV kan t.ex. läsa eposten till en myndighet.

Riksdagen är tyst. Ingen vågar bråka om att FRA gång på gång på gång faktisk inte klarar av att följa svenska lagarna. Det behövs en parlamentarisk utredning som tittar på hur man ser till att FRA faktisk följer lagen. Förhoppningsvis skulle en sådan undersökning faktiskt komma till det rätta beslutet. FRA är inte kompetent nog att följa lagar som FRA-lagen och bör därmed tas ifrån dessa möjligheter lagen innebär. Låt oss avskaffa FRA-lagen!