Vem blir först med att lyckas ta en kopia av Tomas Bodströms eller Beatrice Asks fingeravtryck?

Detta apropå vad CCC nu hittat på. Och så här gör man sen för att fejka fingeravtryck.

Nej, jag har inte gått och blivit kristen. Men vid en diskussion om övervakning för ett par helger sedan så var jag faktiskt tvungen att referera till bibeln. Först en kort bakgrund.

Diskussionen handlade om övervakning, och i synnerhet kameraövervakning. Kameraövervakning är dyrt och svårt, och kräver en massa resurser i form av personal och utrustning. När man “rör sig på Internet” är man övervakad konstant, allt man gör loggas någonstans, och man kan räkna kallt med att någon underrättelsetjänst i något land också loggar och analyserar ens beteende. Allt mer man gör händer på nätet. Tillbaka i verkligheten så loggas nästan ingenting. Ens kreditkortstransaktioner loggas naturligtvis, och SL ska minsann logga ens rörelser i kollektivtrafiken.

Så slutklämmen då? Jo, varför ska inte alla helt enkelt bara låta alla medborgare ha ett RFID-chip, så man kan ha konstant övervakning av ens rörelser? Man kan ju dessutom låta RFID-chippet innehålla information om blodgrupp, hemadress och kontaktuppgifter osv., ifall man t.ex. skulle råka ut för en olycka. Det skulle kunna spara mycket pengar åt samhället. Dessutom kan man, med rätt infrastruktur på plats, dessutom förneka att man var på ett ställe vid ett visst tillfälle om nu det skulle ifrågasättas.

Diskussionen dog dock lite när jag nämnde att denna tanke finns i bibeln. Närmare bestämt i Uppenbarelseboken, kapitel 13 vers 16 och 17.

Vilddjuret krävde att alla - stora och små, rika och fattiga, slavar och fria - skulle bära ett tecken på högra handen eller på pannan.

Och ingen kunde få arbete eller köpa något utan att ha vilddjurets märke som ett tillståndsbevis. Märket var antingen vilddjurets namn, eller det tal som står i stället för dess namn.

Vi kan avsluta med den mer kända vers nummer 18:

Detta är en hemlighet, som kräver noggrann eftertanke för att avslöjas. De som har förstånd och insikt kan räkna ut vilddjurets tal: det är en människas tal, och talet är 666.

Faktum är att detta stycke i bibeln uppmärksammade mig när jag läste en bok av Robert Rankin, East Of Ealing. Den publicerades 1984, och själva grundhandlingen cirkulerar förstås om övervakning och denna typ av märkning, förstås. Bankerna i England kräver plötsligt att man måste ha en märkning i form av en EAN-kod i pannan eller på handen. Detta låter lite RFID om man snabbspolar fram till idag. Och så avlägset är det ju inte. Sådant experimenteras det ju med ganska friskt just nu. Alla har väl hört talas om VIP-kunderna på den där baren i Barcelona som gjort just detta för att de ska kunna få kreditnota i baren.

Men istället för att diskutera integritet kanske man ska styra debatten om hur man faktiskt vill att framtiden ska se ut, när övervakningen kommer att vara ett faktum. Jag har hört väldigt få diskutera detta. Inte ens de flesta framtidsböcker som diskuterar singulariteten och virtuella världar diskuterar särskilt mycket integritet. Fast jag har när jag tänker efter inte en aning om hur World of Warcrafts integritets-policy ser ut, antagligen är den mer skrämmande än våra bankers policy som de har när de hanterar våra pengar.

Jag har tidigare skrivit om CuteoverloadCAPTCHA, men det här var faktiskt om inte roligare, så riktigt nyttigt: reCAPTCHA. Stoppa spam, läs böcker. reCAPTCHA skapades av Carnegie Mellon University för att kunna hjälpa till med inscanning av böcker. Det fiffiga är alltså att de ord man skriver in är sådana som misslyckades, så man hjälper till att rätta till dessa ord så att inscanningen blir korrekt. En riktigt konstruktiv lösning på ett destruktivt problem, spam.

Populära webplatser tvingas att köra tyngre och tyngre hårdvara för att klara den med tiden ökande last de utsätts för. Webbplatser som normalt sett har en ganska låg last som till exempel krisberedskapsmyndigheten.se sänks lätt om lasten någon dag skulle bli hög, säg att de skulle öva en kris eller så… (Javisstja, precis det hände ju nu i veckan.)

Eller säg till exempel att Sverige skulle hamna i politiskt blåsväder. Hur många av våra myndighetssajter skulle stå pall då? Ytterligare ett exempel på sänkta sajter hittar vi nu i Estland då ryssarna blivit lite förgrymmade på esterna på grund av en staty. Ryssarna är ett kreativt nätfolk, så de passar ju naturligtvis på att attackera de stackars esternas webbplatser, F-Secure rapporterar om detta.

Mycket av detta beror på hur webben är uppbyggd. Slashdot-effekten drabbar förr eller senare den minsta lilla okända webbplats, och den blir under tiden det inträffar, helt oanvändbar för alla. Jag har själv flera gånger utsatts för stor trafik, och det är väldigt svårt att värja sig. Enda lösningen är idag att ha tillräckligt med kapacitet och hårdvara för att hantera mycket trafik. Har man en liten icke-kritisk webbplats är det onödigt att spendera dessa pengar. Snålar man och kör hos ett billigt webbhotell finns det inte heller några garantier för att allt ska fungera. Men mycket går genom att göra sin arkitektur rätt också, så att man inte blir helt sänkt när stormen kommer. Tyvärr är det väldigt få för svenska medborgare kritiska webbplatser som är byggda på det sättet. KBM om några borde se till att det fungerar nästa gång, vilket borde vara deras lärdom den senaste veckan.

Den här lilla bloggen klarar nog inte ens en vindpust, men det är ju å andra sidan bara jag som svamlar.

Uppdatering: Nu rapporterar även dn.se om estlänningarnas nätproblem.

Nyss fick jag det snyggaste Nordea-fisket hittills:

Webbsajten var snyggt uppsatt på en .hk-adress med korrekt språk, fina hjälptexter osv.

Kan inte Nordea skärpa till sig snart och ta bort de fullständigt värdelösa engångskoderna?

Det ser ut som om Socialdemokraterna backar en aning från sitt Bodström-samhälle nu när de sitter i opposition. Vilket kanske tycks aningen märkligt med tanke på vilka lagförslag de själva drivit.

I väntan på att lagen klubbas igenom, snart eller om ett år, kan man finslipa sina listor med “farliga ord” som man kan använda för att förvirra de som ska sköta avlyssningen. Jan Garefelt har påbörjat listan i form av en javascript-generator med farliga ord. Själv funderar jag på hur man bäst fixar till sin M-x spook för svenska förhållanden. Man ska självklart också se till att man kan kryptera sin Internet-aktivitet.

• DN: S säger nej till avlyssningslag
• SvD: S säger nej till avlyssningslag

Exempel från M-x spook: Freeh Peking domestic disruption White Water Perl-RSA BROMURE Blowfish Kh-11 PLO kibo investigation covert video radar colonel Comirex

Den nu väl omskrivna avlyssningslagen som ger FRA befogenheter att avlyssna Internet-trafik ska regeringen imorgon besluta om. Ekot passade i morse på att rapportera om att svensk inhemsk trafik kan gå via utlandet. Det är inte så konstigt, utan fullt normalt. Det är naivt att tro att det svenska Internet är helylle-svenskt. På grund av märkliga peering-avtal (svenska operatörer emellan) och annat kan bästa vägen vara att skicka dina små paket via Amsterdam eller London.

Sveriges Television hakar på och rapporterar om samma sak, trots att de själva fortfarande explicit skickar sin e-post utomlands.

FRA i sin tur försvarar sig med att de minsann kan vara duktiga och skilja mellan svensk trafik mellan en svensk och en annan svensk (som båda befinner sig i Sverige), går att skilja från trafik mellan en svensk och någon i utlandet. Rent nys. De kan möjligen skilja på språk eller avgöra om det de avlyssnar är en mp3:a, Youtube-ström eller ett krypterat mail.

Finnarna hakar också på och är tveksamma till det svenska lagförslaget. Men finnarna är åas också naiva och tror att man kan lagstifta om att Internet-trafik inte avlyssnas. Tror de verkligen att GCHQ inte avlyssnar finnarnas trafik om den skickas till, eller via London?

Men det är klart att svenskarna ska ha samma möjlighet att avlyssna svenskar som utländsk säkerhetstjänst. Eller hur?

Sedan i förrgår då jag postade SVT skickar sin e-post utomlands har det hänt en del. TT skickade ut det som en nyhet, och nyheten publicerades i väldigt många landsortstidningar.

Nu skriver Politikerbloggen att Svenska Journalistförbundet vädjar till Riksdagen om att stoppa den omstridda lagstiftningen.

En annan bloggare, Calle Lidström, har grävt vidare och funnit att en massa andra journalister även de får sin post spridd över gränsen.

Dessutom ryktas det att SVT-anställda inte får kryptera sin e-post av säkerhetsskäl. Antagligen tycker SVT:s IT-avdelning att det blir svårare att scanna e-posten efter virus eller annat skadligt innehåll då. Är det bättre än ett bra källskydd?

Rubriken kanske inte är så uppseendeväckande vid första anblicken. Men det borde den vara. Skickar någon ett litet mail till SVT, kanske med tips om en het nyhet eller liknande, så skickas det nämligen en sväng via Westerham, Kent i England, efter att ha passerat London en sväng. Mottagare av e-posten är emailfiltering.co.uk, ett företag som säljer hantering av e-post.

svt.se.    2581    IN MX 10    mx1-svt-se.emailfiltering.com.
svt.se.    2581    IN MX 20    mx2-svt-se.emailfiltering.com.
svt.se.    2581    IN MX 30    mx3-svt-se.emailfiltering.com.

I ljuset av diverse FRA-diskussioner om avlyssning osv, blir det extra bekymmersamt eftersom tyngdpunkten kommer att ligga på trafik som går utanför Sveriges gränser. Extra grädde på moset får man eftersom trafiken till svt.se numera också kan avlyssnas av utländsk underrättelsetjänst.

Nu är det så att man normalt sett inte vet vilken väg trafiken mellan två datorer tar, men när man explicit skickar okrypterad e-post via utlandet har man knappast tänkt på någon personlig integritet alls. Slutsatsen man lätt drar av detta är att man borde kryptera all e-post som är det minsta känslig. Det har vi vetat länge, men risken för att bli avlyssnad inom Sverige har ju hittills varit relativt begränsad.

Uppdatering: TT rapporterar via SVD, GP och hd.se om detta.

I slutet av den här veckan stormade det i mellan-Europa. Samtidigt var det någon som spred ett virus kallat Storm Worm, eller Small.dam. Jag blev lite avundsjuk på F-Secures visualisering på spridningen av Small.dam:

(Samtidigt ville jag testa att publicera en liten Youtube-film.)

Richard Stiennon har på sin blogg postat väldigt klargörande bilder till varför Linux är lättare att göra säkert än Windows.

Detta är systemanropen till en Apache webbserver när den levererar en bild som svar på ett HTTP-anrop.

Och detta är en bild på när en IIS gör samma sak i en Windows Server.

• Why Windows is less secure than Linux

Ännu en gång har svenska Nordea utsatts för en phishing-attack. Ett mail som skickas till svenskar och som förhoppningsvis har konto hos Nordea.

För Nordea har sommar 2006 blivit en av de mest fulla med illegala operationer. Det blir allt oftare att den konfidentiella informationen om våra kunder intresserar svindlare. Det är rätt många som vänder sig till oss för att vi skyddar deras konto mot förlust av pengar.

Syftet är att lura av Nordeas kunder deras skraplottslösenord och inloggningsnamn.

Det här är en tydlig fingervisning till att Nordea har alldeles för dålig grundsäkerhet. Det är nämligen så att det är fullt möjligt att utföra dessa typer av attacker mot Nordeas kunder. Undra på att det då händer just Nordea, och inte andra svenska storbanker. Svenska banker har i allmänhet något bättre säkerhet i form av andra typer av autentiseringsmetoder.

Problemet med Nordeas autentisering av kunder mot banken är att de förlitar sig på enkla koder som har lång giltighetstid. Det är enkelt för den som kommer över lösenorden att långt senare använda sig av dem.

Jag måste här också tyvärr ännu en gång såga svensk journalistik. Varför kritiseras inte Nordeas säkerhet? Inte i en enda publicerad artikel har jag hittat något om autentiseringssystemet… Nordea försöker låtsas som om det regnar, och till IDG påstår Boo Ehlin att det beror på att Nordea är störst i Norden. Varför har inte ens IT-journalister koll på läget? Jag kan nästan förstå att inte DN eller Aftonbladet har det, men nu får faktiskt IT-pressen ta sig i kragen.

Nu har jag inte kört Windows på många år. Men jag upphör aldrig att förvånas över Microsofts påhittighet vad gäller säkerhet. Många är historierna om Microsofts storsatsningar på just säkerhet, och eftersom jag är lätt intresserad av just säkerhet så vill man ju hålla lite koll på vad världens mest populära applikationer kan och gör. Men veckans Microsoft-rekommendation fick mig att bli alldeles fnittrig, och det har inget med alkohol att göra.

Microsoft rekommenderar att man ska köra Word i felsäkert läge (”safe mode”). Word har nämligen “drabbats” (by design kan man väl förmoda) av någon form av sårbarhet som har föranlett Microsoft att ge ut en rekommendation, Microsoft Security Advisory (919637). Men för att drabbas måste man öppna Word med ett dokument innehållandes elakheter. Om man tänker efter lite kan man ju undra varför Word normalt körs i det så oerhört osäkra läget, om det nu finns ett säkert läge.

Jag ser fram emot den dagen då MSN-bloggskribenterna varnas för att skriva blogginlägg i “osäkert läge”. En känsla av trygghet infinner sig åtminstone när jag läser att Microsoft fortsätter att utreda sårbarheten.