Häromdagen bloggade jag ju om Assa Abloys pinsamt lättöppnade lås. Fast nu har jag upptäckt deras PR-slogan:
Assa Abloy - the Global Leader in Door Opening Solutions
Ah. Jag som trodde att det handlade om att hålla dörrarna stängda. Så fel man kan ha.
onsdag, december 31, 2008
tisdag, december 30, 2008
The Internet is not completely broken
OK, det här var relativt otäckt. Presentationen på CCC som jag bloggade om tidigare idag visade hur man kan skaffa sig ett förfalskat CA-certifikat som man sedan kan använda för att utfärda godtyckliga falska certifikat.
Vad betyder det här, då? Jo, det öppnar för möjligheten att göra man-in-the-middle-attacker mot godtycklig https-website. (Vilket demonstrerades live på konferensen.) Kan en attackerare komma åt din Internetförbindelse (till exempel genom att sätta upp en fejkad WLAN-basstation på en flygplats eller järnvägsstation) kan attackeraren enkelt läsa all din krypterade webtrafik.
Problemet är att alla de stora webläsarna per default litar på ett antal certifikatutfärdare (CA:er) som
fortfarande använder md5-baserade certifikat, trots att det varit känt sedan 2004 att det finns problem med md5-algoritmen.
Teorin bakom den här attacken har varit känd sedan 2007, men det här är första gången en attack faktiskt demonstreras i praktiken. Det krävs relativt mycket CPU-kraft för att utföra den - den här gruppen använde ett kluster av 200 Playstation 3 - men det ligger inte på något sätt utanför det rimligas gräns för en motiverad attackerare. Författarna nämner att det skulle kosta $20000 att utföra attacken med hjälp av Amazon EC2.
Alla återstående md5-CA:er ska dock gå över till sha-1 "really, really soon", och då kommer just den här attacken inte längre att fungera. Eller som författarna säger:
No need to panic, the Internet is not completely broken.
Vad betyder det här, då? Jo, det öppnar för möjligheten att göra man-in-the-middle-attacker mot godtycklig https-website. (Vilket demonstrerades live på konferensen.) Kan en attackerare komma åt din Internetförbindelse (till exempel genom att sätta upp en fejkad WLAN-basstation på en flygplats eller järnvägsstation) kan attackeraren enkelt läsa all din krypterade webtrafik.
Problemet är att alla de stora webläsarna per default litar på ett antal certifikatutfärdare (CA:er) som
fortfarande använder md5-baserade certifikat, trots att det varit känt sedan 2004 att det finns problem med md5-algoritmen.
Teorin bakom den här attacken har varit känd sedan 2007, men det här är första gången en attack faktiskt demonstreras i praktiken. Det krävs relativt mycket CPU-kraft för att utföra den - den här gruppen använde ett kluster av 200 Playstation 3 - men det ligger inte på något sätt utanför det rimligas gräns för en motiverad attackerare. Författarna nämner att det skulle kosta $20000 att utföra attacken med hjälp av Amazon EC2.
Alla återstående md5-CA:er ska dock gå över till sha-1 "really, really soon", och då kommer just den här attacken inte längre att fungera. Eller som författarna säger:
No need to panic, the Internet is not completely broken.
Säkerhetsmardröm på väg?
Under dagen kommer det att hållas ett föredrag på CCC-konferensen i Berlin som hittills omgivits av mycket hysch-hysch.
Nu visar det sig att föredragets titel är "MD5 considered harmful today: Creating a rogue CA certificate". Det här har potential att bli riktigt dåligt.
Nu visar det sig att föredragets titel är "MD5 considered harmful today: Creating a rogue CA certificate". Det här har potential att bli riktigt dåligt.
måndag, december 29, 2008
Den där promemorian
Åter till grottekvarnen efter julandet för att mala fram nya blogginlägg. Jag har bläddrat en del i den omtalade promemorian från försvarsdepartementet, a.k.a. FRA 2.0, och jag har ett par kommentarer.
Om att få och att kunna
På sidan 42 kan man läsa:
Men vi ska vara rättvisa. Promemorian har ju faktiskt kommit till bland annat för att minska just det här problemet. Vi klagade i somras på att hela trafikflödet i alla fibrer skulle gå i kopia till FRA, men med den här förslaget är så inte längre fallet. FRA ska nu bara få tillgång till vissa domstolsbeslutade signalbärare (vad nu det är), och det är naturligtvis en viss förbättring.
Närmare bestämt ser processen ut så här:
Jag tror att det här är avsiktligt; bestämmelserna ska ju gå att tillämpa på alla varianter av elektronisk kommunikation under många år, och det är långt från säkert att operationen "fysisk inkoppling av signalbärare" har någon meningsfull tolkning i alla tänkbara kommunikationsformer. Men det är frustrerande att man talar om vikten att skilja mellan att få och att kunna, och sedan inte lyckas vara tydlig på den punkten.
Granularitet
I augusti spånade jag på vad man skulle kunna göra för att få en acceptabel FRA-lag. Då tänkte jag mig att man kunde knyta en viss begränsad mängd noder (IP-adresser, telefonnummer eller motsvarande) till varje inriktning och låta FRA begära ut den och endast den trafiken från operatörerna. Men det tycker inte försvarsdepartementet är acceptabelt. Från sidan 43:
Istället väljer man att lägga tillståndsgivningen på en högre granularitetsnivå, nämligen den redan omtalade signalbäraren. Tyvärr går det inte riktigt att utröna vad en signalbärare är. Man kan ha nånting i stil med våglängdskanaler i åtanke - då rör det i dagsläget sig om förbindelser på typiskt 1-10 Gbps, eller det kan röra sig om hela fibrer - då handlar det om tiotals gånger mer data som avlyssnas.
Att inte ens möjligheten att ge tillstånd med snävare omfattning finns är besynnerligt. Det handlar kanske inte längre om att FRA får tillgång till hela trafikströmmen, men de får definitivt tillgång till mycket stora datamängder.
Birgitta Ohlsson ska ha sagt att "ska man ha en FRA-lag är det här ett helt okey förslag". Nej, Birgitta, det här är inte OK. Det duger inte.
Så långt tekniken. Mark Klamberg har skrivit om den mer juridiska sidan av förslaget, och Scaber Nestor analyserar också.
Om att få och att kunna
På sidan 42 kan man läsa:
Vid diskussion om hur en lagreglering av signalspaning mot trafik som förmedlas i tråd bör utformas, är det nödvändigt att hålla isär teknisk åtkomst och rättslig åtkomstmöjlighet. Som beskrivits ovan har Försvarets radioanstalt endast laglig rätt att för tydligt angivna syften få tillgång till en bråkdel av den samlade trafiken. Detta måste skiljas från den tekniska lösningen på hur signalspaning i tråd möjliggörs. Regleringen av den tekniska åtkomsten innebär som beskrivits ovan att de operatörer som äger tråd i vilken signaler förs i tråd över Sveriges gräns ska överföra trafiken till Försvarets radioanstalt via samverkanspunkter. Enligt den beslutade lagen skulle Försvarets radioanstalt alltså i teknisk mening få tillgång till en mängd trafik som myndigheten varken får eller har något intresse av att inhämta, däribland sådan inhemsk trafik som förmedlas via andra länder. Den teoretiska tekniska åtkomstmöjligheten innebär emellertid inte en rätt för myndigheten att tillgodogöra sig informationen.Eller för att sammanfatta:
Visst, FRA kan avlyssna stora mängder trafik, men det får de ju inte.Jag håller med att det är viktigt att skilja på vad FRA kan göra och vad de får göra; det har debatterats flitigt under hösten och sommaren. Men stycket ovan är helt bakvänt. Problemet är det här:
Visst, FRA får inte avlyssna mer än en minimal bråkdel av trafiken, men det kan de ju.Som gammal datornörd ger jag inte mycket för mjukvarubegränsningar i form av rättsliga regler - de kan så lätt ändras eller kringgås. Vi behöver hårdvarubegränsningar i form av tekniska restriktioner på vad som fysiskt går att åstadkomma med systemet.
Men vi ska vara rättvisa. Promemorian har ju faktiskt kommit till bland annat för att minska just det här problemet. Vi klagade i somras på att hela trafikflödet i alla fibrer skulle gå i kopia till FRA, men med den här förslaget är så inte längre fallet. FRA ska nu bara få tillgång till vissa domstolsbeslutade signalbärare (vad nu det är), och det är naturligtvis en viss förbättring.
Närmare bestämt ser processen ut så här:
- Vissa myndigheter ger FRA en inriktning för sin signalspaning ("Leta efter det här, tack!")
- FRA utarbetar en ansökan ("För att uppfylla inriktning X vill vi söka genom trafiken i signalbärare A, B och C med hjälp av sökbegrepp av kategorierna P och Q.") och skickar den till Försvarsunderrättelsedomstolen (låt oss kalla den FUD).
- FUD avgör om ansökan är korrekt och rimlig, och om ansökan beviljas så
- ger FUD i uppdrag till Försvarets underrättelsenämnd (FUN, som dock "bör ges ett namn som bättre beskriver dess roll" (s. 107)) att verkställa beslutet att ge FRA tillgång till signalbärarna A, B och C.
Jag tror att det här är avsiktligt; bestämmelserna ska ju gå att tillämpa på alla varianter av elektronisk kommunikation under många år, och det är långt från säkert att operationen "fysisk inkoppling av signalbärare" har någon meningsfull tolkning i alla tänkbara kommunikationsformer. Men det är frustrerande att man talar om vikten att skilja mellan att få och att kunna, och sedan inte lyckas vara tydlig på den punkten.
Granularitet
I augusti spånade jag på vad man skulle kunna göra för att få en acceptabel FRA-lag. Då tänkte jag mig att man kunde knyta en viss begränsad mängd noder (IP-adresser, telefonnummer eller motsvarande) till varje inriktning och låta FRA begära ut den och endast den trafiken från operatörerna. Men det tycker inte försvarsdepartementet är acceptabelt. Från sidan 43:
Eftersom verksamheten tar sikte på företeelser, uttryckligen inte får fokusera på enskilda individer och dessutom handlar om att söka efter det på förhand okända, är det inte möjligt att begränsa inhämtningen till i förväg fastställda enskilda teleabonnemang eller motsvarande."Söka efter det på förhand okända". Varför inte skriva "Vända ut och in på oskyldig trafik i jakt på något som ser misstänkt ut"? Om man har så dålig uppfattning om vad man letar efter att man inte kan göra en grov uppskattning av var den ena ändpunkten befinner sig kan det ifrågasättas om spaningen verkligen bör genomföras.
Istället väljer man att lägga tillståndsgivningen på en högre granularitetsnivå, nämligen den redan omtalade signalbäraren. Tyvärr går det inte riktigt att utröna vad en signalbärare är. Man kan ha nånting i stil med våglängdskanaler i åtanke - då rör det i dagsläget sig om förbindelser på typiskt 1-10 Gbps, eller det kan röra sig om hela fibrer - då handlar det om tiotals gånger mer data som avlyssnas.
Att inte ens möjligheten att ge tillstånd med snävare omfattning finns är besynnerligt. Det handlar kanske inte längre om att FRA får tillgång till hela trafikströmmen, men de får definitivt tillgång till mycket stora datamängder.
Birgitta Ohlsson ska ha sagt att "ska man ha en FRA-lag är det här ett helt okey förslag". Nej, Birgitta, det här är inte OK. Det duger inte.
Så långt tekniken. Mark Klamberg har skrivit om den mer juridiska sidan av förslaget, och Scaber Nestor analyserar också.
måndag, december 22, 2008
Ord, ord, ord
Det är viktigt att förstå de tekniska detaljerna när man bedömer ett dokument som promemorian försvarsdepartementet släppte idag (Ja, vad heter dokumentet, egentligen? Det finns ingen titelsida i PDF:en, och i sidhuvudet står det bara "Ds 2008:" där det borde stå ett dokumentnummer...).
En av de stora poängerna med dokumentet är att FRA inte ska få fysisk tillgång till hela trafikflödet, utan bara till vissa utvalda delar av det. I de ökända 15 punkterna talade man om att FRA skulle få tillstånd att avlyssna vissa "trafikstråk". I promemorian talar man istället om "signalbärare", en abstrakt term som det knappast finns någon allmänt vedertagen entydig definition av. Det är alltså upp till promemorian att definiera vad som menas med "signalbärare" i det här sammanhanget. Man skriver:
Vad är en signalbärare i den här kontexten? En fiber eller en våglängdskanal? Det kanske låter som en petimätrig teknisk detalj, men det skiljer en storleksordning i mängden data som FRA får tillgång till, beroende på om det är fibrer eller våglängdskanaler vi talar om. Om vi tittar på de kursiverade meningarna i citatet ovan så får jag inte riktigt ihop det. "Det finns en eller flera signalbärare i en tråd eller kabel" låter ju väldigt mycket som om det är nånting i stil med våglängdskanaler man har i åtanke, men "en enskild fiber [är] signalbärare för en eller flera optiska signaler" låter å andra sidan som om det är hela fibrer man tänker på.
Gah. Jag lutar åt det förra alternativet, att det är våglängdskanaler man siktar på, men tänk så mycket enklare det hade kunnat bli om man kommit med ett konkret, illustrativt exempel.
En av de stora poängerna med dokumentet är att FRA inte ska få fysisk tillgång till hela trafikflödet, utan bara till vissa utvalda delar av det. I de ökända 15 punkterna talade man om att FRA skulle få tillstånd att avlyssna vissa "trafikstråk". I promemorian talar man istället om "signalbärare", en abstrakt term som det knappast finns någon allmänt vedertagen entydig definition av. Det är alltså upp till promemorian att definiera vad som menas med "signalbärare" i det här sammanhanget. Man skriver:
En ansökan och ett beslut om tillgång till en viss eller vissa signalbärare måste avse en tydligt identifierbar enhet, så att det inte kan råda någon tvekan om vilken omfattning ett tillståndsbeslut har. Avgränsningen av vad som ska omfattas av prövningen är alltså av stor betydelse. Med signalbärare avses det medium som används för att överföra en eller flera signaler. På motsvarande sätt som en koppartråd är signalbärare för en eller flera elektriska signaler, är en enskild fiber signalbärare för en eller flera optiska signaler. En signalbärare har alltid en fysisk utbredning från en geografisk plats till en annan. Det finns enOK, vad betyder det här, egentligen? Idag används normalt sett optisk fiber för tele- och datakommunikation, där varje enskild fiber kan innehålla en rad våglängdskanaler som var och en kan ses som en helt separat förbindelse mellan fiberns ändpunkter. (Jag har skrivit utförligt om det här tidigare.)
eller flera signalbärare i en tråd eller kabel, men signalbäraren är det minsta fysiska medium genom vilket signalerna kan överföras. En tydlig avgränsning av ett i teknisk mening klart identifierbart objekt kan därför inte åstadkommas med högre precision.
[Min kursivering]
Vad är en signalbärare i den här kontexten? En fiber eller en våglängdskanal? Det kanske låter som en petimätrig teknisk detalj, men det skiljer en storleksordning i mängden data som FRA får tillgång till, beroende på om det är fibrer eller våglängdskanaler vi talar om. Om vi tittar på de kursiverade meningarna i citatet ovan så får jag inte riktigt ihop det. "Det finns en eller flera signalbärare i en tråd eller kabel" låter ju väldigt mycket som om det är nånting i stil med våglängdskanaler man har i åtanke, men "en enskild fiber [är] signalbärare för en eller flera optiska signaler" låter å andra sidan som om det är hela fibrer man tänker på.
Gah. Jag lutar åt det förra alternativet, att det är våglängdskanaler man siktar på, men tänk så mycket enklare det hade kunnat bli om man kommit med ett konkret, illustrativt exempel.
FRA 2.0 på remiss
Försvarsdepartementet släppte idag en promemoria som beskriver "FRA 2.0", dvs FRA-lagen efter införandet av de 15 punkterna från i höstas. Två dagar före julafton. Känns bekant. Nån som vet hur lång remisstiden är den här gången?
Jag noterar att man inte längre talar om trafikstråk, utan om "signalbärare". Vad nu det är. Jag återkommer när jag hunnit tränga in lite mer i promemorians kapitel 5.
Jag noterar att man inte längre talar om trafikstråk, utan om "signalbärare". Vad nu det är. Jag återkommer när jag hunnit tränga in lite mer i promemorians kapitel 5.
fredag, december 19, 2008
När genus blev ett fult ord
Tanja Bergkvist har uppenbarligen läst en gammal DN-artikel där doktoranden Eva Ärlemalm-Hagsér intervjuades, och tände på alla cylindrar. I en debattartikel på SvD:s Brännpunkt skriver Bergkvist
Själv blir jag mest lite trött över att debatten måste vara så polariserad. Jag önskar att Tanja och Pär kunde läsa den här artikeln i Aftonbladet och tagga ner lite grann.
Ja, det går lite över styr ibland. Nej, jag tycker inte att det är vettigt att förbjuda rosa kläder, plocka bort klätterställningar eller skriva om texten i barnvisor för att könskvotera huvudpersonerna.
Men det betyder inte att allt som innehåller ordet "genus" måste vara trams.
Jag tycker att det är bra om förskolelärare faktiskt självkritiskt reflekterar över hur de behandlar barnen. Oavsett om det handlar om konflikthantering, hur man gör när barngruppen kommer från många olika länder, vad man gör för att trösta ett barn när det slagit sig, eller om det nu råkar handla om hur man behandlar pojkar och flickor. För det förekommer alldeles för mycket slentriantänkande om att "pojkar är si" och "flickor är så".
Jag vill inte att min son automatiskt ska sorteras in i ett fack som det står "pojke" på. Jag vill att han ska ha ett alldeles eget fack som det står "Erik" på.
Det är en skam för alla sunda feminister när sådana vanvettiga teorier förs fram som sanning för att i ett nästa skede omvandlas till allmänna påbud.och
Flera studier visar att de olika roller vi tar på oss är genetiskt betingade, ett biologiskt faktum, något naturen sett till att gynna under tusentals år av evolution – troligen för att vi ska överleva.Hon har uppenbarligen svårt att acceptera något som helst genustänkande i förskolan. Pär Ström går också igång och pratar om "genustrams".
Själv blir jag mest lite trött över att debatten måste vara så polariserad. Jag önskar att Tanja och Pär kunde läsa den här artikeln i Aftonbladet och tagga ner lite grann.
Ja, det går lite över styr ibland. Nej, jag tycker inte att det är vettigt att förbjuda rosa kläder, plocka bort klätterställningar eller skriva om texten i barnvisor för att könskvotera huvudpersonerna.
Men det betyder inte att allt som innehåller ordet "genus" måste vara trams.
Jag tycker att det är bra om förskolelärare faktiskt självkritiskt reflekterar över hur de behandlar barnen. Oavsett om det handlar om konflikthantering, hur man gör när barngruppen kommer från många olika länder, vad man gör för att trösta ett barn när det slagit sig, eller om det nu råkar handla om hur man behandlar pojkar och flickor. För det förekommer alldeles för mycket slentriantänkande om att "pojkar är si" och "flickor är så".
Jag vill inte att min son automatiskt ska sorteras in i ett fack som det står "pojke" på. Jag vill att han ska ha ett alldeles eget fack som det står "Erik" på.
torsdag, december 18, 2008
Öppen säkerhet
Jag lyssnade igår på Studio Ett, som handlade om skimning. De tog naturligtvis upp fallet från häromdagen, när falska kortterminaler hittades på Toys'R'Us i Malmö och Stockholm, och det slog mig hur Toys'R'Us gjorde allting rätt. Så fort de hittade den första terminalen kontaktades internrevisionen, som omedelbart anmälde det inträffade till polisen och kortföretaget. En beskrivning av den falska terminalen skickades ut till alla butiker, varvid terminalen i Stockholm upptäcktes. Man vidtog den beundransvärt lågteknologiska motåtgärden att klistra alla sina terminaler fulla med klistermärken, så att det inte enkelt går att byta ut dem utan att det upptäcks.
Det man framförallt inte gjorde var att lägga locket på. Man berättade öppet för pressen och polisen vad som hänt och vad man gjorde. Det är lovvärt. Det inger förtroende.
Man kan jämföra det med hur ASSA hanterade säkerhetsproblemen med sitt 2000 Evo-lås. De visste att det fanns ett sätt att öppna låset utan åverkan på några sekunder (eventuellt var det till och med en avsiktlig brist, för att låssmeder skulle kunna öppna låset). De visste i flera månader att kunskapen om det här var på vift. De gjorde ingenting. I godan ro fortsatte de sälja låsen. Inte förrän en video som visar hur man öppnar låset lades upp på YouTube reagerade de, genom att stoppa försäljningen av låset, samt att se till att videon försvann från YouTube. (Som om det skulle hjälpa - den var redan spridd över hela Internet.) Och sedan förnekade de allt ansvar.
Det var ingen bra strategi. ASSA kölhalades i pressen, det planerades en grupptalan mot företaget, och till slut fick de backa. Nu kan alla utsatta kunder gratis få ett L-järn, som mycket enkelt skyddar mot problemet.
Hur svårt hade det varit att göra rätt från början?
Säkerhetsproblem och säkerhetsincidenter kan inte hanteras genom att lägga på locket. Utan öppen och effektiv kommunikation går det inte att göra nånting åt dem.
Jag känner till en lång rad dataintrång där offren inte vill göra polisanmälan, för de tror att det leder till negativ publicitet. Ibland har intrången varit allvarliga och lett till stora ekonomiska förluster, men inte ens när man haft en hygglig idé om gärningsmannens identitet har man velat polisanmäla. Varpå gärningsmannen har kunnat fortsätta med sin verksamhet mot nya offer. Det är... suboptimalt och inte så lite frustrerande.
Så all cred till Toys'R'Us. De gjorde rätt.
Det man framförallt inte gjorde var att lägga locket på. Man berättade öppet för pressen och polisen vad som hänt och vad man gjorde. Det är lovvärt. Det inger förtroende.
Man kan jämföra det med hur ASSA hanterade säkerhetsproblemen med sitt 2000 Evo-lås. De visste att det fanns ett sätt att öppna låset utan åverkan på några sekunder (eventuellt var det till och med en avsiktlig brist, för att låssmeder skulle kunna öppna låset). De visste i flera månader att kunskapen om det här var på vift. De gjorde ingenting. I godan ro fortsatte de sälja låsen. Inte förrän en video som visar hur man öppnar låset lades upp på YouTube reagerade de, genom att stoppa försäljningen av låset, samt att se till att videon försvann från YouTube. (Som om det skulle hjälpa - den var redan spridd över hela Internet.) Och sedan förnekade de allt ansvar.
Det var ingen bra strategi. ASSA kölhalades i pressen, det planerades en grupptalan mot företaget, och till slut fick de backa. Nu kan alla utsatta kunder gratis få ett L-järn, som mycket enkelt skyddar mot problemet.
Hur svårt hade det varit att göra rätt från början?
Säkerhetsproblem och säkerhetsincidenter kan inte hanteras genom att lägga på locket. Utan öppen och effektiv kommunikation går det inte att göra nånting åt dem.
Jag känner till en lång rad dataintrång där offren inte vill göra polisanmälan, för de tror att det leder till negativ publicitet. Ibland har intrången varit allvarliga och lett till stora ekonomiska förluster, men inte ens när man haft en hygglig idé om gärningsmannens identitet har man velat polisanmäla. Varpå gärningsmannen har kunnat fortsätta med sin verksamhet mot nya offer. Det är... suboptimalt och inte så lite frustrerande.
Så all cred till Toys'R'Us. De gjorde rätt.
onsdag, december 17, 2008
Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse
Microsoft kommer att släppa en out-of-band-patch för Internet Explorer under dagen, det vill säga en högprioriterad säkerhetsuppdatering som trycks ut direkt istället för att följa det normala månatliga uppdateringsschemat. Orsaken är ett nyupptäckt säkerhetshål i nästan alla IE-versioner som snabbt börjat användas för storskaliga attacker.
Dessutom har det precis kommit ut en uppdatering av Firefox som täpper till flera säkerhetshål.
Säkerhetshål överallt som vanligt alltså. Så spelar det någon roll, säkerhetsmässigt, vilken webläsare man använder? Jo, faktiskt.
Jag är gudskelov till största delen förskonad från att behöva klafsa omkring i det tröstlösa träsket som Windows-säkerhetsvärlden är, men jag kan dela med mig av Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse:
Sedan finns det naturligtvis andra saker att göra också, som att se till att ha ett uppdaterat antivirusprogram och att inte öppna länkar och bilagor som kommer via mail utan att tänka efter först. Listan kan göras lång.
Men börja med Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse.
Dessutom har det precis kommit ut en uppdatering av Firefox som täpper till flera säkerhetshål.
Säkerhetshål överallt som vanligt alltså. Så spelar det någon roll, säkerhetsmässigt, vilken webläsare man använder? Jo, faktiskt.
Jag är gudskelov till största delen förskonad från att behöva klafsa omkring i det tröstlösa träsket som Windows-säkerhetsvärlden är, men jag kan dela med mig av Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse:
- Uppdatera slaviskt. Slå på automatiska uppdateringar så att du slipper behöva komma ihåg att uppdatera manuellt.
- Använd en annan webläsare än Internet Explorer. Firefox, Opera, Safari, Chrome, vad som helst, bara det inte är IE.
Sedan finns det naturligtvis andra saker att göra också, som att se till att ha ett uppdaterat antivirusprogram och att inte öppna länkar och bilagor som kommer via mail utan att tänka efter först. Listan kan göras lång.
Men börja med Nixons Patenterade Tvåpunktslista för en Säkrare Windows-upplevelse.
Ordlös
Regeringen får Hasse att tänka på dikten "First they came...".
Vilket får mig att tänka på vad Peter Ellis skrev i alt.fan.pratchett:
Vilket får mig att tänka på vad Peter Ellis skrev i alt.fan.pratchett:
First they came for the verbs, and I said nothing because verbing weirds language. Then they arrival for the nouns, and I speech nothing because I no verbs.
måndag, december 15, 2008
Skäms!
Sverige brukar berömma sig av att vara en västlig demokrati, och har också skaffat sig den fulla uppsättningen grundlagsskyddade rättigheter som sådana brukar hålla sig med. Ni vet, åsiktsfrihet, yttrandefrihet, religionsfrihet, informationsfrihet, och sånt där.
De här rättigheterna är inte absoluta. Även om vi i princip har yttrandefrihet kan man ändå åka dit för förtal eller hets mot folkgrupp om man säger fel saker. Och även om vi i princip har informationsfrihet, det vill säga rätten att inhämta och motta upplysningar samt att i övrigt ta del av andras yttranden, så kan den friheten inskränkas i syfte att förebygga och beivra brott.
Men att införa obligatorisk censur av Internet, att åsidosätta den grundlagsskyddade informationsfriheten, för ett litet skitbrott som olovlig lotteriverksamhet?! Har Margareta Winberg förlorat all vett och sans?
Det här är fullkomligt oproportionerligt. Det här är skamligt.
De här rättigheterna är inte absoluta. Även om vi i princip har yttrandefrihet kan man ändå åka dit för förtal eller hets mot folkgrupp om man säger fel saker. Och även om vi i princip har informationsfrihet, det vill säga rätten att inhämta och motta upplysningar samt att i övrigt ta del av andras yttranden, så kan den friheten inskränkas i syfte att förebygga och beivra brott.
Men att införa obligatorisk censur av Internet, att åsidosätta den grundlagsskyddade informationsfriheten, för ett litet skitbrott som olovlig lotteriverksamhet?! Har Margareta Winberg förlorat all vett och sans?
Det här är fullkomligt oproportionerligt. Det här är skamligt.
De är inte kloka på en fläck!
Idag presenteras slutsatserna av utredningen "En framtida spelreglering" (SOU 2008:124). I sammanfattningen kan man läsa
Jag är stum av tystnad, som den bevingade repliken lyder.
De snabba och stora förändringarna av spelmarknaden till följd av framför allt det gränslösa spelet över Internet har väckt frågor om hur en spelreglering kan upprätthållas och bör se ut. I Spelutredningens uppdrag har ingåttOch vad föreslår man? Jo, bland mycket annat att
- att föreslå en uppstramning och modernisering av spelregleringen i syfte att stärka de allmänna skyddssyftena som svensk spelreglering bygger på,
- att kartlägga i vilken utsträckning vissa spel kan anses framkalla spelberoende och att de mest problematiska spelen endast ska kunna bedrivas i strikt reglerade former, och
- att bedöma om det av EG-rättsliga, tekniska eller andra skäl inte är möjligt att strama upp nuvarande regelverk och i så fall föreslå ett delvis nytt system som också inbegriper andra aktörer än befintliga.
Det vill säga statligt påtvingad Internetcensur. Jag vet faktiskt inte vad jag ska säga.
- Det införs förbud mot förmedling av insatser avseende otillåtna lotterier och förbud mot förmedling av kommunikation till IP-adresser och domännamn för ett sådant lotteri.
Jag är stum av tystnad, som den bevingade repliken lyder.
A rose, by any other name
Leif är inte nödvändigtvis det enklaste namnet att ha i internationella sammanhang. För ett tag sedan deltog jag i ett telefonmöte med några personer utspridda över världen, som jag mest hade haft mailkontakt med tidigare.
Fransmannen som ledde mötet välkomnade mig med ett "Hi, Liff", varpå en av tyskarna replikerade "Oh, I thought it was pronounced 'Lajf'". Jag förklarade "Well, actually it's 'Leif'.".
Då lyckades amerikanen till slut ansluta till mötet, och hälsade på mig med ett "Hi, Liif!".
Fransmannen som ledde mötet välkomnade mig med ett "Hi, Liff", varpå en av tyskarna replikerade "Oh, I thought it was pronounced 'Lajf'". Jag förklarade "Well, actually it's 'Leif'.".
Då lyckades amerikanen till slut ansluta till mötet, och hälsade på mig med ett "Hi, Liif!".
lördag, december 13, 2008
Nu fånar du dig bara, Marcus
Marcus Svensson på Smålandsposten, som i somras profilerade sig som landets ende ledarskribent som var positiv till FRA-lagen, kommer nu ut som trafikdatalagringskramare.
Egentligen väntade jag bara på att någon skulle argumentera att det bara är bra att hanteringen av trafikdataloggar regleras. Kanske skulle jag ha skrivit ett premptive strike-inlägg.
Marcus, det stämmer att mycket av datat som omfattas av lagringsdirektivet av vällovliga syften redan samlas in och loggas av operatörerna. Telefonoperatörerna vill naturligtvis kunna fakturera sina kunder, och den som driver en mail-server vill logga trafiken för felsökning och driftstatistik. Visst, loggarna finns där. De raderas normalt sett snabbt, men informationen finns en begränsad tid.
Men att lagstadga om att loggarna måste sparas och göras tillgängliga i standardformat, ja, att till och med reglera att operatörerna måste ha personal tillgänglig dygnet runt för att lämna ut uppgifter, gör de här loggarna ojämförligt mycket mer lättillgängliga för staten.
Att hävda att det här skulle vara bra för den personliga integriteten är bara... fånigt.
Egentligen väntade jag bara på att någon skulle argumentera att det bara är bra att hanteringen av trafikdataloggar regleras. Kanske skulle jag ha skrivit ett premptive strike-inlägg.
Marcus, det stämmer att mycket av datat som omfattas av lagringsdirektivet av vällovliga syften redan samlas in och loggas av operatörerna. Telefonoperatörerna vill naturligtvis kunna fakturera sina kunder, och den som driver en mail-server vill logga trafiken för felsökning och driftstatistik. Visst, loggarna finns där. De raderas normalt sett snabbt, men informationen finns en begränsad tid.
Men att lagstadga om att loggarna måste sparas och göras tillgängliga i standardformat, ja, att till och med reglera att operatörerna måste ha personal tillgänglig dygnet runt för att lämna ut uppgifter, gör de här loggarna ojämförligt mycket mer lättillgängliga för staten.
Att hävda att det här skulle vara bra för den personliga integriteten är bara... fånigt.
Elektronisk fotboja
Rick Falkvinge kallar lagen om trafikdatalagring för fotspårslagen. Det tycker jag är ett lite för gulligt namn.
Jag skulle snarare vilja kalla den för lagen om elektronisk fotboja. För så är det ju. Hela Sveriges befolkning ska förses med en elektronisk fotboja, så att alla deras elektroniska förehavanden ska kunna analyseras i efterhand.
För att få en fysisk fotboja måste man vara dömd till fängelsestraff. För att få en elektronisk fotboja behöver man inte ha gjort någonting.
Jag skulle snarare vilja kalla den för lagen om elektronisk fotboja. För så är det ju. Hela Sveriges befolkning ska förses med en elektronisk fotboja, så att alla deras elektroniska förehavanden ska kunna analyseras i efterhand.
För att få en fysisk fotboja måste man vara dömd till fängelsestraff. För att få en elektronisk fotboja behöver man inte ha gjort någonting.
fredag, december 12, 2008
Problemen med direktivet
Patrik Fältström (som ju vet vad han pratar om) tar upp ett antal besvärande punkter vad gäller trafikdatalagringsdirektivet. Mycket intressant.
De små stegens tyranni
I dagens SvD finns en artikel som väl får räknas som startskottet för diskussionen om nästa repressiva lag som är på väg.
Hänger ni med? Först var det FRA-lagen, sedan IPRED och nu är det EU:s trafikdatalagringsdirektiv det handlar om, eller "Lagring av trafikuppgifter för brottsbekämpning", som den svenska utredningen heter. (Och som ett litet förhandstips är det IPRED2 och ACTA som kommer härnäst på agendan.)
Och vad handlar det om nu då? Jo, att varenda telefonsamtal, SMS och e-mail (och andra former av elektronisk kommunikation) ska registreras och att tidpunkt, avsändare, mottagare och i förekommande fall geografisk position ska lagras för polisens bruk i ett halvt till två år. Eller som det står i sammanfattningen av utredningen:
Nu ska man visserligen ha i åtanke att vad gäller telefoni lagras de här uppgifterna redan för faktureringsändamål, och polisen kan begära ut dem. Det finns dock idag inga garantier för hur länge uppgifterna finns tillgängliga eftersom operatörerna inte sparar dem längre än vad som är absolut nödvändigt för faktureringen (jag tror inte ens att de får spara dem längre än så - kan någon upplysa mig på den punkten?); med det här direktivet åläggs operatörerna att spara uppgifterna en viss minimitid.
Den stora nyheten är att den här övervakningen ska utökas från telefonins värld till att omfatta all elektronisk kommunikation; IP-telefoni, mail, ja, till och med handlingen att överhuvudtaget accessa Internet ska loggas och lagras.
Det här är naturligtvis fullständigt barockt. Jag tror inte att jag kan uttrycka det bättre än utredningen själv gör:
Nej, jag kommer inte att rösta på socialdemokraterna i nästa val.
Hänger ni med? Först var det FRA-lagen, sedan IPRED och nu är det EU:s trafikdatalagringsdirektiv det handlar om, eller "Lagring av trafikuppgifter för brottsbekämpning", som den svenska utredningen heter. (Och som ett litet förhandstips är det IPRED2 och ACTA som kommer härnäst på agendan.)
Och vad handlar det om nu då? Jo, att varenda telefonsamtal, SMS och e-mail (och andra former av elektronisk kommunikation) ska registreras och att tidpunkt, avsändare, mottagare och i förekommande fall geografisk position ska lagras för polisens bruk i ett halvt till två år. Eller som det står i sammanfattningen av utredningen:
Lagring av trafikdata innebär att uppgifter som ger upplysning om vilka som kommunicerade med varandra, när och var det skedde samt vilken typ av kommunikationslösning som användes, ska lagras.Hej och hå.
Nu ska man visserligen ha i åtanke att vad gäller telefoni lagras de här uppgifterna redan för faktureringsändamål, och polisen kan begära ut dem. Det finns dock idag inga garantier för hur länge uppgifterna finns tillgängliga eftersom operatörerna inte sparar dem längre än vad som är absolut nödvändigt för faktureringen (jag tror inte ens att de får spara dem längre än så - kan någon upplysa mig på den punkten?); med det här direktivet åläggs operatörerna att spara uppgifterna en viss minimitid.
Den stora nyheten är att den här övervakningen ska utökas från telefonins värld till att omfatta all elektronisk kommunikation; IP-telefoni, mail, ja, till och med handlingen att överhuvudtaget accessa Internet ska loggas och lagras.
Det här är naturligtvis fullständigt barockt. Jag tror inte att jag kan uttrycka det bättre än utredningen själv gör:
En utgångspunkt för våra resonemang är att en generell lagring av trafikuppgifter i den omfattning som direktivet förutsätter påverkar både enskildas upplevelse av att få sin privata sfär inskränkt och integritetsskyddet för medborgarna i allmänhet. Intrånget i integriteten sker enligt vår mening redan genom att det allmänna säkrar tillgången till trafikuppgifterna genom lagringen.Och det som gör det här extra plågsamt är att EU-direktivet kom till på ett svenskt initiativ. Det var Thomas Bodström som lade ner mycken möda på att driva genom det. Och han har mage att vara stolt över det. Kräk.
Nej, jag kommer inte att rösta på socialdemokraterna i nästa val.
onsdag, december 10, 2008
0-day i.... Word Pad
SITIC varnar för en 0-day exploit i Word Pad. Det låter ju nästan som ett skämt, men det kan dyka upp säkerhetshål i de mest triviala komponenter...
The door is visst alarmed
För några dagar sedan var det återigen lilla julafton när det nya numret av Språktidningen kom i brevlådan.
Men så kom jag till avdelningen "Questions & Answers" som besvarar läsarfrågor om engelska, och på frågan om huruvida "The door is alarmed" är en korrekt översättning av "Dörren är larmad" svarar Magnus Levin, lektor vid Växjö universitet, nej.
Men det heter ju så! Uttrycket används både i USA och Storbritannien. Det är måhända en ganska sentida konstruktion, men en snabb googling visar att den är väl etablerad.
Vem kan man nu lita på, när till och med Språktidningen har fel?
Men så kom jag till avdelningen "Questions & Answers" som besvarar läsarfrågor om engelska, och på frågan om huruvida "The door is alarmed" är en korrekt översättning av "Dörren är larmad" svarar Magnus Levin, lektor vid Växjö universitet, nej.
Men det heter ju så! Uttrycket används både i USA och Storbritannien. Det är måhända en ganska sentida konstruktion, men en snabb googling visar att den är väl etablerad.
Vem kan man nu lita på, när till och med Språktidningen har fel?
Dagens halvobskyra referens
Det har ju diskuterats vad det rödgröna samarbetet bör heta. Nå, om det nödvändigt blir brunt av att blanda rött och grönt, och om de är motståndare till alliansen, så är det självklara namnet naturligtvis browncoats.
tisdag, december 09, 2008
Ångest är min arvedel
Dexion har en fin färganalys av utbudet på partimarknaden. Jag håller med; vad i hela friden ska man rösta på i nästa val?
Jag fick första valpropagandan igår; ett direktadresserat reklamutskick från Betty Malmberg, moderat riksdagsledamot på östgötabänken. Hon berättade om sina kärnfrågor, mest skolan och förskolan. Vad hon tycker om att staten ska avlyssna all min gränsöverskridande kommunikation fick jag däremot inte veta.
[Uppdaterat: Malmberg heter hon, inget annat]
Jag fick första valpropagandan igår; ett direktadresserat reklamutskick från Betty Malmberg, moderat riksdagsledamot på östgötabänken. Hon berättade om sina kärnfrågor, mest skolan och förskolan. Vad hon tycker om att staten ska avlyssna all min gränsöverskridande kommunikation fick jag däremot inte veta.
[Uppdaterat: Malmberg heter hon, inget annat]
onsdag, december 03, 2008
Dålig vecka för SAS
Efter att ha en av sina Airbus A340 stående i Bangkok i en vecka på grund av oroligheterna lyckas SAS flyga hem det, bara för att få ta det ur trafik igen på grund av ett misstänkt kulhål. Och eftersom SAS' sju A340 och fyra A330 bara precis räcker för att upprätthålla trafiken på de interkontinentala destinationerna berör det här inte bara Bangkok-trafiken, utan det ställer till det i hela SAS' nät.
Dessutom har SAS haft en A330 stående flera dagar i Trondheim efter en nödlandning när kaptenen ska ha deklarerat mayday på grund av motorproblem (jag tror faktiskt att det här räknas som en äkta nödlandning, inte en säkerhetslandning - som det nästan alltid rör sig om när pressen rapporterar om "nödlandningar").
Det här innebär minst en interkontinental flight inställd varje dag för SAS. Tur att jag inte har några resor inplanerade...
Dessutom har SAS haft en A330 stående flera dagar i Trondheim efter en nödlandning när kaptenen ska ha deklarerat mayday på grund av motorproblem (jag tror faktiskt att det här räknas som en äkta nödlandning, inte en säkerhetslandning - som det nästan alltid rör sig om när pressen rapporterar om "nödlandningar").
Det här innebär minst en interkontinental flight inställd varje dag för SAS. Tur att jag inte har några resor inplanerade...
Prenumerera på:
Inlägg (Atom)