DNS Privacy – krypterad DNS

I en serie poster tänkte jag nu framöver posta lite mer renskrivna texter om DNS från mina anteckningar på olika internet-konferenser. Jag hoppas detta kan vara till glädje för någon som är intresserad av vad som händer i DNS-världen.

DNS har funnits i drift i över 25 år. Det är bara under de senaste 15 åren som säkerhet i protokollet diskuterats, och 2005 gick RFC:erna för DNSSEC genom IETF. Men kravet i protokollet för att skydda den personliga integriteten har aldrig funnits – förrän under det senaste året.

Med anledning av Edward Snowdens avslöjanden så har IETF sakta börjat se över de protokoll som IETF i någon form ansvarar för, och med publiceringen av RFC 6973, “Privacy Considerations for Internet Protocols” så kan man säga att arbetet satt igång på allvar. Inom IETF har man också satt upp en mailinglista för att diskutera “pervasive surveillance” med ett lite bredare perspektiv, perpass@ietf.org.

Gamla protokoll designades i en annan tidsålder, innan övervakning var på agendan. Dessa protokoll läcker mycket för mycket metadata (och data). Men det finns många begränsningar i dessa protokoll som kan förhindra eller försvåra att man gör tillägg för att gynna den personliga integriteten såsom latency, stabilitet och att protokollen blivit universella.

En DNS-fråga avslöjar vem som frågar, och vad som frågas efter. Detta underminerar säkerheten i andra protokoll, som till exempel HTTPS. Vad finns då i qname-delen av en DNS-fråga? “www.political-party.example”, eller “_bittorrent-tracker._tcp.domain.example” – MPAA kan vara intresserade. “le-pc-de-pascal.domain.example” – personlig information, eller t.ex. PGP-nycklar i DNS. Helt enkelt saker som avslöjar saker om ditt internet-beteende som de protokoll du använder dig av normalt kanske skyddar – men där informationen skickas i klartext i DNS. Detta beteende i DNS vill man ju ändra på.

Vi behöver en lösning för att skydda informationen “on the wire” och “på servern”. Resolvrar kan också läcka information genom t.ex. sysadmins, och en cache innehåller också all denna information i klartext. Att skydda DNS-informationen på protokollnivå kräver dock ändå olika lösningar, en för att skydda klient-kommunikationen mot en resolver, och en annan för att skydda kommunikationen från en resolver till auktoritativa namnservrar.

Från att ha diskuterats på perpass flyttade diskussionen till dnsop, och nu är flyttad till en egen dnsprivacy-lista. Det finns en möjlig lösning implementerad (men inga andra), DNSoverTLSoverTCP. Ingen officiell working group ännu, men vem som helst kan ändå posta förslag till IETF.

Problem statement: draft-bortzmeyer-dnsop-dns-privacy – problemet behöver dokumenteras innan man kan lösa det…

Minimizing the qname – fulla frågenamnet behöver inte skickas till auktoritativa namnservrar högre upp i hierarkin. Detta går att implementera i Unbound och BIND, men ingen har gjort det ännu. Påverkar DNS-OARC och DITL, eftersom informationen att göra forskning på minskar. Vilket ju också är lite av poängen…

Tyvärr förekommer det alldeles för lite diskussion om dessa förslag på listorna, och intresset verkar lågt (trots riktigt stora möten på IETF). Att förändra DNS är också väldigt svårt.

Efter förra helgens DNS-OARC-möte skickade Paul Vixie ett mail till IETF:s dnsop-arbetsgrupp och uttalat sitt stöd för minimering av innehållet i frågorna, så det arbetet kanske tar lite fart igen.

21
May 2014
POSTED BY
DISCUSSION 0 Comments
TAGS

FRA:s gamla superdator

Jag upptäckte precis att Youtube äntligen processat mitt gamla klipp från Rapports inslag om FRA:s nyinköpta superdator. Men nu är den ju några år gammal, och ligger “bara” på 67:e plats på världens snabbaste superdatorer.

12
Apr 2011
POSTED BY
DISCUSSION 0 Comments
TAGS

Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs. Ett annat vanligt argument är att det är dyrt. Det är det inte. Ifall man inte tycker att gratis är dyrt.

Jag vill gärna föregå med gott exempel, men tyvärr är det lite svårt. Helst av allt vill jag göra en 302 redirect från HTTP till HTTPS på alla mina webbplatser, men den enda jag har lyckats göra det med gott resultat på är vic20.blipp.com. Både blipp.com och gnuheter.com har jag slagit på SSL för. Problemet där beskrivs på engelska som “origin poisioning“. Som bloggare använder man gärna resurser på andra webbplatser, och dessa andra webbplatser saknar tyvärr ofta stöd för SSL. Vilket innebär att om man surfar till den här bloggen, pawal.blipp.com över SSL så får man inte det skinande fina hänglåset som markör som visar att sajten man surfar till är säker. Jag använder nämligen resurser hos exempelvis Flickr för att hämta några bilder. Flickr har inte stöd för SSL.

Men för att komma en liten bit på vägen så har jag för er som vill köra SSL hela vägen, sett till att ha stöd för det på Creeper. Så om man länkar till bilden med “https” istället, så funkar det bra. Jag har lagt till detta som en liten instruktion på howto-sidan för Creeper. Så ni som kör Creeper och läser detta, kan ni prova att byta ut era länkar? Då kan jag se om det blir något problem med att köra det på min sida. Det borde som sagt inte krävas särskilt mycket extra CPU för detta, och jag har en hel del CPU över om det ändå skulle göra det.

För är det så att du fortfarande länkar osäkra resurser på din webbsida så kan den som vill avlyssna trafiken hos läsaren fortfarande se vilka sidor användaren är inne på, även om inte klartexten på sajten går att läsa. Jag tycker att vi kan höja kvaliteten på den svenska webben nu, och göra läsaren lite extra trygg. Inte minst så att datalagringsdirektivet blir ännu lite mer tandlöst. För varför konstra med nya krypton och p2p-nät, när vi inte ens lyckas skydda den befintliga infrastrukturen med de verktyg som faktiskt finns tillgängliga?

(Certifikat som fungerar helt gratis hittar du bl.a. hos startssl.com.)

16
Mar 2011
POSTED BY
DISCUSSION 5 Comments
TAGS

När DNS ljuger

Man kan väl minst sagt konstatera att DNS hamnat i fokus den senaste veckan, inte minst i ljuset av Verisigns ompekningar av ett större antal domäner, men också Wikileaks problem med att vara tillgängliga. Senast ut med Wikileaks är att deras DNS-tjänst som sköttes av EveryDNS plockade bort wikileaks.org från sina namnservrar. Anledningen är att namnservrarna utsattes för en DDoS-attack, vilket skulle få nästan vilken leverantör som helst att ta bort det domännamn som är orsaken till problemet, eftersom detta går ut över alla andra kunder.

Företaget Renesys, känt för sina rapporter om olika aspekter av Internet, mer eller mindre bra, har i en bloggpost skissat på ett litet betygssystem för hur DNS hanteras i olika länder. Vi vet ju att man från operatörshåll i Sverige filtrerar visst innehåll. Så hur illa är detta i Renesys betygssystem? Först listar jag detta betygsystem här:

★★★★★

Entirely safe. Providers in this country respect DNS integrity and never rewrite DNS responses. Even if you mistype a domain, you get an obvious non-existent domain (NXDOMAIN) error message and not an advertisement. When asking questions you always receive the intended answers.

★★★★

Mostly safe. Providers in this country are allowed to rewrite queries to unknown domains to make money, but otherwise they leave DNS alone.

★★★

Use caution. In this country, DNS providers may be required to modify the recursive resolver responses in order to enforce local content laws.

★★

Strong caution. In this country, ISPs may be required to modify the recursive resolver responses in flight in order to enforce local content laws. In other words, ISPs listen in on your requests and alter the responses, no matter which server you query.

Danger. In this country, root server responses as well as recursive responses may be modified in flight, without warning, by any infrastructure providers.

Så var hamnar Sverige på betygsskalan? Den filtrering som görs sker ju på frivillig basis, men där Rikskriminalen tar fram blocklistorna. Dessa blocklistor är dock inte offentliga. Jag skulle nog påstå att Sverige får ★★★★. Men detta kan ju snabbt ändras. Vi har ju inga lagar om att innehåll måste blockeras av operatörerna genom DNS.

Men som vanligt, kör din egen DNS om du inte litar på hur andra gör. Och använd DNSSEC för att detektera omskrivningar av DNS-svar. Vid DNSSEC-validering måste man dessvärre signera sina domäner med DNSSEC, och till en utbredd användning här har vi en bit kvar.

03
Dec 2010
POSTED BY
POSTED IN DNS Säkerhet
DISCUSSION 3 Comments
TAGS

Lathet och OpenID

Jag ville ha en OpenID-inloggning. En egen. Detta har dröjt ett tag, eftersom jag inte har orkat leta efter vettiga implementationer av en OpenID-server. Och så har naturligtvis andra saker prioriterats.

Men idag fick jag ork att leta lite efter om det fanns några genvägar. Och jag ville inte använda lösenord, utan hellre klient-certifikat från cacert.org. Så vid en snabb sökning så hittade jag tjänsten certifi.ca som just enbart är en OpenID-provider för folk med cacert. Prima. Men jag ville ju inte egentligen knyta upp mig mot deras tjänst, utan ta höjd för att köra på egen hand framöver. Så vad jag gjorde var att skaffa konto hos certifi.ca, och sedan så la jag till följande på min blipp.com-domän:

<link rel="openid.server" href="http://certifi.ca/_serve" />
<link rel="openid.delegate" href="http://certifi.ca/pawal" />

Det innebär att jag numera kan använda blipp.com som ett OpenID, men styra själv vilken OpenID-provider jag vill använda. Och jag har testat detta mot lite allt möjligt, bland annat slashdot.org och dopplr.com. Båda dessa tjänster stöder dessutom att man i efterhand kan knyta sitt OpenID mot sitt befintliga konto.

26
Jan 2010
POSTED BY
DISCUSSION 0 Comments
TAGS

Nostalgi-varning

Jag grävde lite i mina arkiv, och hittade detta lilla citatklipp från sommaren 1994. Den borde vara lika klassisk som Ines Uusmans Internet-fluga. Det är Kerstin Hallert som intervjuar Anitha Bondestam, dåvarande generaldirektör för Datainspektionen. Förutom nedanstående har jag förträngt helt vad artikeln i övrigt handlade om.

                När vi skiljs uppmanar hon mig att aldrig
                någonsin köpa ett modem till barn.
                - Ungarna vill bara ta sig in i andra
                datasystem. Vi ska inte uppmuntra hackers.
                Tro mig, det är vad modemem står för.
                Eller som vi säger på datainspektionen:
                Köper du modem skaffar du problem.
23
Oct 2009
POSTED BY
DISCUSSION 5 Comments
TAGS

Den flyktiga konversationen på väg att dö

I takt med att övervakningssamhället är på frammarsch bör man kanske titta åt det andra hållet och titta på hur man själv sköter sin dagliga kommunikation. Om man också tittar lite bakåt så märker man snabbt att sättat man konverserar på idag mer och mer blir av sådan art att man efteråt kan gå tillbaka och se vad som sades, till exempel som SMS, e-post eller bloggkommentarer. Detta är inte krypterad information, som jag tidigare försökt argumentera runt här, utan på olika sätt lagrad och lätt åtkomlig information. Även om den inte är publik så krävs det inte mycket för att få exempelvis ett rättsväsende att få tillgång till den informationen vid en utredning.

På 80-talet hade jag på sin höjd en mängd data lagrat utspritt på ett antal BBS:er, i anteckningsböcker och på floppydiskar. Nu har jag mängder av information i min e-post, både lokalt och på server, i min telefon, på Twitter/Jaiku/Facebook/Linkedin, Flickr, Youtube, Google, hos min mobiloperatör, bredbandsleverantör, mitt kreditkort registreras varje gång jag köper saker, Paypal, Jabber-loggar, och så vidare i all oändlighet. Och mer blir det ju mer konversationer och transaktioner som sker elektroniskt. Det man betalar för i bekvämlighet sker på bekostnad av den personliga integriteten. Till skillnad från nästan alla konversationer jag hade på 80-talet nu, lagras de konversationer jag har idag på olika sätt. Undantaget är i stort sett telefonsamtal och möten ansikte mot ansikte. Nackdelen med den senare sortens möten är att jag måste föra mötesanteckningar, men det är oftast något jag står ut med… (Jag har ett heldagsmöte som jag har antecknat på papper just nu! Alldeles för primitivt för att jag ska kunna maila ut det, eller blogga om i det stadiet…)

Sedan finns det alltid folk som hävdar att det är svårt att bevisa sådan informations härkomst, men den synpunkten är oftast helt irrelevant. Det är lite som att sitta hemma med en Smith & Wesson 357 och på en rättegång sitta och undra hur i allsindar den kom dit. Det är sällan det är sådana saker används som ett helt ensamt bevis.

Kryptering är bara ett sätt att skydda sig, men idag är jag säker på att du bara krypterar dina kommunikationsförbindelser, inte datat som lagras både hos dig och den du kommunicerar med.

Jag kan väl bara kort nöja mig med att hålla med Bruce Schneier om det han skriver i senaste numret av Crypto-gram, “ephemeral conversation is dying”. Detta faktum spelar ingen som helst roll vid införandet (eller inte) av IPRED-direktivet eller FRA-lagar.

15
Dec 2008
POSTED BY
POSTED IN Integritet Säkerhet
DISCUSSION 2 Comments
TAGS

Nationell Internet-trafik

FradarAlla är väl vid det här laget osäkra på om deras dagliga Internet-trafik färdas över landets gränser. FRA vill ju som bekant lyssna på sådan trafik, för att göra det FRA brukar göra, också i kabel.

Jag noterade att det finns en ny plugin till Firefox som heter Fradar. Den visar användaren ifall trafiken passerar landets gränser. Fiffigt. Men det finns flera problem här. En sak är det som Patrik Fältström skriver i sin blogg, det är svårt att säga vad som är svenskt. En annan är att jag inte hittar källkoden till Fradar. Den är inte publicerad genom korrekta Firefox-kanaler, så koden är inte granskad av den tredje parten heller.

Men det är en rolig idé. Hur kommer jag igång med att skriva en Firefox-plugin? Det kan ju vara trevligt att se om man är övervakad av Creeper när man är ute och surfar, till exempel.

26
Aug 2008
POSTED BY
DISCUSSION 7 Comments
TAGS

Piratpartiet borde kryptera, inte skrika varg

Visst, jag tycker också att “FRA-lagen” är hemsk på många sätt. Men Piratpartiet försöker av visserligen uppenbara anledningar skrämma upp allmänheten istället för att utbilda den. De dömer ut hela riksdagen istället för att lära ut hur man gör för att kryptera informationsutbyte. De sörjer svarta måndagar istället för att slå på kryptering på hemsidan och e-post (HTTPS respektive StartTLS) för piratpartiet.se. Från min horisont försöker de primärt att skaffa sig medlemmar istället för att se till att FRA inte kan avlyssna dem.

Normalt är jag inte särskilt politisk, men se det här som en teknisk uppmaning att kryptera din kommunikation istället. Så småningom kanske jag själv tillhandahåller alla mina tjänster krypterade, men StartTLS kör jag åtminstone för min e-post.

23
Jun 2008
POSTED BY
POSTED IN Politik Säkerhet
DISCUSSION 30 Comments
TAGS

Hitta deras fingeravtryck

Vem blir först med att lyckas ta en kopia av Tomas Bodströms eller Beatrice Asks fingeravtryck?

Detta apropå vad CCC nu hittat på. Och så här gör man sen för att fejka fingeravtryck.

30
Mar 2008
POSTED BY
DISCUSSION 1 Comment
TAGS

Bibelstudier

Nej, jag har inte gått och blivit kristen. Men vid en diskussion om övervakning för ett par helger sedan så var jag faktiskt tvungen att referera till bibeln. Först en kort bakgrund.

Diskussionen handlade om övervakning, och i synnerhet kameraövervakning. Kameraövervakning är dyrt och svårt, och kräver en massa resurser i form av personal och utrustning. När man “rör sig på Internet” är man övervakad konstant, allt man gör loggas någonstans, och man kan räkna kallt med att någon underrättelsetjänst i något land också loggar och analyserar ens beteende. Allt mer man gör händer på nätet. Tillbaka i verkligheten så loggas nästan ingenting. Ens kreditkortstransaktioner loggas naturligtvis, och SL ska minsann logga ens rörelser i kollektivtrafiken.

Så slutklämmen då? Jo, varför ska inte alla helt enkelt bara låta alla medborgare ha ett RFID-chip, så man kan ha konstant övervakning av ens rörelser? Man kan ju dessutom låta RFID-chippet innehålla information om blodgrupp, hemadress och kontaktuppgifter osv., ifall man t.ex. skulle råka ut för en olycka. Det skulle kunna spara mycket pengar åt samhället. Dessutom kan man, med rätt infrastruktur på plats, dessutom förneka att man var på ett ställe vid ett visst tillfälle om nu det skulle ifrågasättas.

Diskussionen dog dock lite när jag nämnde att denna tanke finns i bibeln. Närmare bestämt i Uppenbarelseboken, kapitel 13 vers 16 och 17.

Vilddjuret krävde att alla – stora och små, rika och fattiga, slavar och fria – skulle bära ett tecken på högra handen eller på pannan.

Och ingen kunde få arbete eller köpa något utan att ha vilddjurets märke som ett tillståndsbevis. Märket var antingen vilddjurets namn, eller det tal som står i stället för dess namn.

Vi kan avsluta med den mer kända vers nummer 18:

Detta är en hemlighet, som kräver noggrann eftertanke för att avslöjas. De som har förstånd och insikt kan räkna ut vilddjurets tal: det är en människas tal, och talet är 666.

Faktum är att detta stycke i bibeln uppmärksammade mig när jag läste en bok av Robert Rankin, East Of Ealing. Den publicerades 1984, och själva grundhandlingen cirkulerar förstås om övervakning och denna typ av märkning, förstås. Bankerna i England kräver plötsligt att man måste ha en märkning i form av en EAN-kod i pannan eller på handen. Detta låter lite RFID om man snabbspolar fram till idag. Och så avlägset är det ju inte. Sådant experimenteras det ju med ganska friskt just nu. Alla har väl hört talas om VIP-kunderna på den där baren i Barcelona som gjort just detta för att de ska kunna få kreditnota i baren.

Men istället för att diskutera integritet kanske man ska styra debatten om hur man faktiskt vill att framtiden ska se ut, när övervakningen kommer att vara ett faktum. Jag har hört väldigt få diskutera detta. Inte ens de flesta framtidsböcker som diskuterar singulariteten och virtuella världar diskuterar man särskilt mycket integritet. Fast jag har när jag tänker efter inte en aning om hur World of Warcrafts integritets-policy ser ut, antagligen är den mer skrämmande än våra bankers policy som de har när de hanterar våra pengar.

07
Dec 2007
POSTED BY
POSTED IN Integritet Säkerhet
DISCUSSION 3 Comments
TAGS

En riktigt bra CAPTCHa

Jag har tidigare skrivit om CuteoverloadCAPTCHA, men det här var faktiskt om inte roligare, så riktigt nyttigt: reCAPTCHA. Stoppa spam, läs böcker. reCAPTCHA skapades av Carnegie Mellon University för att kunna hjälpa till med inscanning av böcker. Det fiffiga är alltså att de ord man skriver in är sådana som misslyckades, så man hjälper till att rätta till dessa ord så att inscanningen blir korrekt. En riktigt konstruktiv lösning på ett destruktivt problem, spam.

25
May 2007
POSTED BY
POSTED IN Mjukvara Säkerhet Spam
DISCUSSION 0 Comments
TAGS

Instabil webb

Stormen GudrunPopulära webplatser tvingas att köra tyngre och tyngre hårdvara för att klara den med tiden ökande last de utsätts för. Webbplatser som normalt sett har en ganska låg last som till exempel krisberedskapsmyndigheten.se sänks lätt om lasten någon dag skulle bli hög, säg att de skulle öva en kris eller så… (Javisstja, precis det hände ju nu i veckan.)

Eller säg till exempel att Sverige skulle hamna i politiskt blåsväder. Hur många av våra myndighetssajter skulle stå pall då? Ytterligare ett exempel på sänkta sajter hittar vi nu i Estland då ryssarna blivit lite förgrymmade på esterna på grund av en staty. Ryssarna är ett kreativt nätfolk, så de passar ju naturligtvis på att attackera de stackars esternas webbplatser, F-Secure rapporterar om detta.

Mycket av detta beror på hur webben är uppbyggd. Slashdot-effekten drabbar förr eller senare den minsta lilla okända webbplats, och den blir under tiden det inträffar, helt oanvändbar för alla. Jag har själv flera gånger utsatts för stor trafik, och det är väldigt svårt att värja sig. Enda lösningen är idag att ha tillräckligt med kapacitet och hårdvara för att hantera mycket trafik. Har man en liten icke-kritisk webbplats är det onödigt att spendera dessa pengar. Snålar man och kör hos ett billigt webbhotell finns det inte heller några garantier för att allt ska fungera. Men mycket går genom att göra sin arkitektur rätt också, så att man inte blir helt sänkt när stormen kommer. Tyvärr är det väldigt få för svenska medborgare kritiska webbplatser som är byggda på det sättet. KBM om några borde se till att det fungerar nästa gång, vilket borde vara deras lärdom den senaste veckan.

Den här lilla bloggen klarar nog inte ens en vindpust, men det är ju å andra sidan bara jag som svamlar.

Uppdatering: Nu rapporterar även dn.se om estlänningarnas nätproblem.

28
Apr 2007
POSTED BY
POSTED IN Hårdvara Säkerhet
DISCUSSION 3 Comments
TAGS

Ännu mer Nordea-phishing!

Nyss fick jag det snyggaste Nordea-fisket hittills:

Nordea

Webbsajten var snyggt uppsatt på en .hk-adress med korrekt språk, fina hjälptexter osv.

Kan inte Nordea skärpa till sig snart och ta bort de fullständigt värdelösa engångskoderna?

15
Mar 2007
POSTED BY
POSTED IN Säkerhet Spam
DISCUSSION 10 Comments
TAGS

FRA-förslaget tillfälligt stoppat

Det ser ut som om Socialdemokraterna backar en aning från sitt Bodström-samhälle nu när de sitter i opposition. Vilket kanske tycks aningen märkligt med tanke på vilka lagförslag de själva drivit.

I väntan på att lagen klubbas igenom, snart eller om ett år, kan man finslipa sina listor med “farliga ord” som man kan använda för att förvirra de som ska sköta avlyssningen. Jan Garefelt har påbörjat listan i form av en javascript-generator med farliga ord. Själv funderar jag på hur man bäst fixar till sin M-x spook för svenska förhållanden. Man ska självklart också se till att man kan kryptera sin Internet-aktivitet.

Exempel från M-x spook: Freeh Peking domestic disruption White Water Perl-RSA BROMURE Blowfish Kh-11 PLO kibo investigation covert video radar colonel Comirex

12
Mar 2007
POSTED BY
DISCUSSION 1 Comment
TAGS

Imorgon smäller det

Den nu väl omskrivna avlyssningslagen som ger FRA befogenheter att avlyssna Internet-trafik ska regeringen imorgon besluta om. Ekot passade i morse på att rapportera om att svensk inhemsk trafik kan gå via utlandet. Det är inte så konstigt, utan fullt normalt. Det är naivt att tro att det svenska Internet är helylle-svenskt. På grund av märkliga peering-avtal (svenska operatörer emellan) och annat kan bästa vägen vara att skicka dina små paket via Amsterdam eller London.

Sveriges Television hakar på och rapporterar om samma sak, trots att de själva fortfarande explicit skickar sin e-post utomlands.

FRA i sin tur försvarar sig med att de minsann kan vara duktiga och skilja mellan svensk trafik mellan en svensk och en annan svensk (som båda befinner sig i Sverige), går att skilja från trafik mellan en svensk och någon i utlandet. Rent nys. De kan möjligen skilja på språk eller avgöra om det de avlyssnar är en mp3:a, Youtube-ström eller ett krypterat mail.

Finnarna hakar också på och är tveksamma till det svenska lagförslaget. Men finnarna är åas också naiva och tror att man kan lagstifta om att Internet-trafik inte avlyssnas. Tror de verkligen att GCHQ inte avlyssnar finnarnas trafik om den skickas till, eller via London?

Men det är klart att svenskarna ska ha samma möjlighet att avlyssna svenskar som utländsk säkerhetstjänst. Eller hur?

07
Mar 2007
POSTED BY
DISCUSSION 0 Comments
TAGS

Uppföljning av SVT och FRA-postningen

Sedan i förrgår då jag postade SVT skickar sin e-post utomlands har det hänt en del. TT skickade ut det som en nyhet, och nyheten publicerades i väldigt många landsortstidningar.

Nu skriver Politikerbloggen att Svenska Journalistförbundet vädjar till Riksdagen om att stoppa den omstridda lagstiftningen.

En annan bloggare, Calle Lidström, har grävt vidare och funnit att en massa andra journalister även de får sin post spridd över gränsen.

Dessutom ryktas det att SVT-anställda inte får kryptera sin e-post av säkerhetsskäl. Antagligen tycker SVT:s IT-avdelning att det blir svårare att scanna e-posten efter virus eller annat skadligt innehåll då. Är det bättre än ett bra källskydd?

23
Feb 2007
POSTED BY
DISCUSSION 3 Comments
TAGS

SVT skickar sin e-post utomlands

Rubriken kanske inte är så uppseendeväckande vid första anblicken. Men det borde den vara. Skickar någon ett litet mail till SVT, kanske med tips om en het nyhet eller liknande, så skickas det nämligen en sväng via Westerham, Kent i England, efter att ha passerat London en sväng. Mottagare av e-posten är emailfiltering.co.uk, ett företag som säljer hantering av e-post.

svt.se.    2581    IN MX 10    mx1-svt-se.emailfiltering.com.
svt.se.    2581    IN MX 20    mx2-svt-se.emailfiltering.com.
svt.se.    2581    IN MX 30    mx3-svt-se.emailfiltering.com.

I ljuset av diverse FRA-diskussioner om avlyssning osv, blir det extra bekymmersamt eftersom tyngdpunkten kommer att ligga på trafik som går utanför Sveriges gränser. Extra grädde på moset får man eftersom trafiken till svt.se numera också kan avlyssnas av utländsk underrättelsetjänst.

Nu är det så att man normalt sett inte vet vilken väg trafiken mellan två datorer tar, men när man explicit skickar okrypterad e-post via utlandet har man knappast tänkt på någon personlig integritet alls. Slutsatsen man lätt drar av detta är att man borde kryptera all e-post som är det minsta känslig. Det har vi vetat länge, men risken för att bli avlyssnad inom Sverige har ju hittills varit relativt begränsad.

Uppdatering: TT rapporterar via SVD, GP och hd.se om detta.

21
Feb 2007
POSTED BY
DISCUSSION 31 Comments
TAGS

Fin grafik över spridningen av Storm-masken

I slutet av den här veckan stormade det i mellan-Europa. Samtidigt var det någon som spred ett virus kallat Storm Worm, eller Small.dam. Jag blev lite avundsjuk på F-Secures visualisering på spridningen av Small.dam:

(Samtidigt ville jag testa att publicera en liten Youtube-film.)

21
Jan 2007
POSTED BY
DISCUSSION 0 Comments
TAGS

Windows vs Linux

Richard Stiennon har på sin blogg postat väldigt klargörande bilder till varför Linux är lättare att göra säkert än Windows.

Detta är systemanropen till en Apache webbserver när den levererar en bild som svar på ett HTTP-anrop.

Och detta är en bild på när en IIS gör samma sak i en Windows Server.

Why Windows is less secure than Linux

19
Dec 2006
POSTED BY
DISCUSSION 0 Comments
TAGS