MAC-adresser är personuppgifter?

Den här artikeln är skriven till ett annat forum och är skriven för DFRI:s räkning, men publicerades aldrig.

En mobiltelefon med Wifi påslagen skickar ut en unik signal som går att avlyssna med enkel utrustning. Några som lyssnar på dessa signaler är Bumbee Labs, som byggt ett system kallat IOPS. Syftet med systemet är att mäta rörelsemönster i stadskärnor, och just nu testas det i Västerås och Borås.

iops01

I systemet sparas telefonens unika identitet, den så kallade MAC-adressen, samt vilka platser den befunnit sig på och vid vilken tidpunkt.  Bumbee Labs hävdar att de inte sparar telefonens MAC-adress, utan bara en kod som motsvarar den, och att det inte går att räkna ut i efterhand vilken MAC-adress koden motsvarar.

Forskning visar dock att det lätt går att göra baklängesberäkningar för att ta reda på vilken MAC-adress som koden motsvarar.  Men egentligen spelar det ingen roll. Genom att över tid titta på hur en telefon rör sig går det ändå att lista ut vilken individ som äger den, oavsett om MAC-adressen är tydligt utskriven eller bara motsvaras av en kod.

Det är också möjligt att missbruka systemet åt andra hållet. Genom att själv ta reda på en persons MAC-adress och se vilken kod den motsvarar i systemet kan man i datan sedan följa hur personen, tidigare eller i framtiden, rör sig.

Att avidentifiera data är med andra ord ingen lätt uppgift. Tyvärr har Bumbee Labs hittills inte gett oss någon information som tyder på att de lyckats. Tvärtom har flera av deras uttalanden fått oss att tvivla på att de förstår det grundläggande problemet.

När nu systemet byggs ut i stadskärnorna och efterfrågas av fler städer, skapas alltså en gigantisk databas över inidviders nationella rörelsemönster.

Vi tror inte att Bumbee Labs har för avsikt att övervaka individer, men det blir ändå konsekvensen av systemet. Faktum är att alla typer av storskalig datainsamling kan användas för att kartlägga individer om inte all data är helt avidentifierad.

Vi anser inte att det är fel i sig att samla in statistik över besöksströmmar, men insamlandet måste ske på ett sätt som inte kränker människors grundläggande rätt till integritet.

Vi anser också att ett minimikrav på ett sådant system är transparens, där alla som vistas i områden där kartläggningar pågår kan ta del av den tekniska lösningen, källkod till systemet, databasinnehåll och den statistik som tas fram. Utan dessa möjligheter kan vi inte veta om systemet faktiskt lever upp till att skydda vår integritet. Istället är vi hänvisade till uppgifter från företaget som ligger bakom.

Vår förhoppning är även att MAC-adresser, likt IP-adresser, som lagras på det här sättet klassas som personuppgifter och behandlas därefter. Allra minst ska det finnas tydliga skyltar om att MAC-adresserna samlas in, i likhet med vad som gäller för övervakningskameror.Något som är trivialt att bygga ut IOPS-systemet med är att fånga upp fler av de signaler som läcker ut samma väg som MAC-adressen. Många telefoner sänder också ut så kallade SSID:s för att snabbt koppla upp sig till nät kan vara tillgängliga. Dessa SSID:s kan avslöja var personen bor, vilket hotell man bott på och personens arbetsplats. Detta har demonstrerats i system som Snoopy och CreepyDOL.  Dessa system kopplar effektivt ihop mobiltelefoninnehavarens MAC-adress med andra databaser, och kan därmed med lite tur lätt identifiera en individs hemvist. Det är trivialt för Bumbee Labs att bygga ut IOPS med den här typen av funktionalitet. MAC-adressen blir en effektiv länk mot andra databaser som effektivt kan identifiera individer. Det är också lätt för andra som spanar efter en MAC-adress – arbetsgivare, polis eller kriminella organisationer – att fråga Bumbee Labs om rörelsemönster för en viss mobiltelefon. Särskilt problematiskt blir detta då de inte redovisar hur företaget skyddar sin databas eller hur länge de sparar data om din telefons rörelsemönster.

30
Jan 2015
POSTED BY
DISCUSSION 1 Comment

DNS Privacy – krypterad DNS

I en serie poster tänkte jag nu framöver posta lite mer renskrivna texter om DNS från mina anteckningar på olika internet-konferenser. Jag hoppas detta kan vara till glädje för någon som är intresserad av vad som händer i DNS-världen.

DNS har funnits i drift i över 25 år. Det är bara under de senaste 15 åren som säkerhet i protokollet diskuterats, och 2005 gick RFC:erna för DNSSEC genom IETF. Men kravet i protokollet för att skydda den personliga integriteten har aldrig funnits – förrän under det senaste året.

Med anledning av Edward Snowdens avslöjanden så har IETF sakta börjat se över de protokoll som IETF i någon form ansvarar för, och med publiceringen av RFC 6973, “Privacy Considerations for Internet Protocols” så kan man säga att arbetet satt igång på allvar. Inom IETF har man också satt upp en mailinglista för att diskutera “pervasive surveillance” med ett lite bredare perspektiv, perpass@ietf.org.

Gamla protokoll designades i en annan tidsålder, innan övervakning var på agendan. Dessa protokoll läcker mycket för mycket metadata (och data). Men det finns många begränsningar i dessa protokoll som kan förhindra eller försvåra att man gör tillägg för att gynna den personliga integriteten såsom latency, stabilitet och att protokollen blivit universella.

En DNS-fråga avslöjar vem som frågar, och vad som frågas efter. Detta underminerar säkerheten i andra protokoll, som till exempel HTTPS. Vad finns då i qname-delen av en DNS-fråga? “www.political-party.example”, eller “_bittorrent-tracker._tcp.domain.example” – MPAA kan vara intresserade. “le-pc-de-pascal.domain.example” – personlig information, eller t.ex. PGP-nycklar i DNS. Helt enkelt saker som avslöjar saker om ditt internet-beteende som de protokoll du använder dig av normalt kanske skyddar – men där informationen skickas i klartext i DNS. Detta beteende i DNS vill man ju ändra på.

Vi behöver en lösning för att skydda informationen “on the wire” och “på servern”. Resolvrar kan också läcka information genom t.ex. sysadmins, och en cache innehåller också all denna information i klartext. Att skydda DNS-informationen på protokollnivå kräver dock ändå olika lösningar, en för att skydda klient-kommunikationen mot en resolver, och en annan för att skydda kommunikationen från en resolver till auktoritativa namnservrar.

Från att ha diskuterats på perpass flyttade diskussionen till dnsop, och nu är flyttad till en egen dnsprivacy-lista. Det finns en möjlig lösning implementerad (men inga andra), DNSoverTLSoverTCP. Ingen officiell working group ännu, men vem som helst kan ändå posta förslag till IETF.

Problem statement: draft-bortzmeyer-dnsop-dns-privacy – problemet behöver dokumenteras innan man kan lösa det…

Minimizing the qname – fulla frågenamnet behöver inte skickas till auktoritativa namnservrar högre upp i hierarkin. Detta går att implementera i Unbound och BIND, men ingen har gjort det ännu. Påverkar DNS-OARC och DITL, eftersom informationen att göra forskning på minskar. Vilket ju också är lite av poängen…

Tyvärr förekommer det alldeles för lite diskussion om dessa förslag på listorna, och intresset verkar lågt (trots riktigt stora möten på IETF). Att förändra DNS är också väldigt svårt.

Efter förra helgens DNS-OARC-möte skickade Paul Vixie ett mail till IETF:s dnsop-arbetsgrupp och uttalat sitt stöd för minimering av innehållet i frågorna, så det arbetet kanske tar lite fart igen.

21
May 2014
POSTED BY
DISCUSSION 0 Comments
TAGS

Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs. Ett annat vanligt argument är att det är dyrt. Det är det inte. Ifall man inte tycker att gratis är dyrt.

Jag vill gärna föregå med gott exempel, men tyvärr är det lite svårt. Helst av allt vill jag göra en 302 redirect från HTTP till HTTPS på alla mina webbplatser, men den enda jag har lyckats göra det med gott resultat på är vic20.blipp.com. Både blipp.com och gnuheter.com har jag slagit på SSL för. Problemet där beskrivs på engelska som “origin poisioning“. Som bloggare använder man gärna resurser på andra webbplatser, och dessa andra webbplatser saknar tyvärr ofta stöd för SSL. Vilket innebär att om man surfar till den här bloggen, pawal.blipp.com över SSL så får man inte det skinande fina hänglåset som markör som visar att sajten man surfar till är säker. Jag använder nämligen resurser hos exempelvis Flickr för att hämta några bilder. Flickr har inte stöd för SSL.

Men för att komma en liten bit på vägen så har jag för er som vill köra SSL hela vägen, sett till att ha stöd för det på Creeper. Så om man länkar till bilden med “https” istället, så funkar det bra. Jag har lagt till detta som en liten instruktion på howto-sidan för Creeper. Så ni som kör Creeper och läser detta, kan ni prova att byta ut era länkar? Då kan jag se om det blir något problem med att köra det på min sida. Det borde som sagt inte krävas särskilt mycket extra CPU för detta, och jag har en hel del CPU över om det ändå skulle göra det.

För är det så att du fortfarande länkar osäkra resurser på din webbsida så kan den som vill avlyssna trafiken hos läsaren fortfarande se vilka sidor användaren är inne på, även om inte klartexten på sajten går att läsa. Jag tycker att vi kan höja kvaliteten på den svenska webben nu, och göra läsaren lite extra trygg. Inte minst så att datalagringsdirektivet blir ännu lite mer tandlöst. För varför konstra med nya krypton och p2p-nät, när vi inte ens lyckas skydda den befintliga infrastrukturen med de verktyg som faktiskt finns tillgängliga?

(Certifikat som fungerar helt gratis hittar du bl.a. hos startssl.com.)

16
Mar 2011
POSTED BY
DISCUSSION 5 Comments
TAGS

Den flyktiga konversationen på väg att dö

I takt med att övervakningssamhället är på frammarsch bör man kanske titta åt det andra hållet och titta på hur man själv sköter sin dagliga kommunikation. Om man också tittar lite bakåt så märker man snabbt att sättat man konverserar på idag mer och mer blir av sådan art att man efteråt kan gå tillbaka och se vad som sades, till exempel som SMS, e-post eller bloggkommentarer. Detta är inte krypterad information, som jag tidigare försökt argumentera runt här, utan på olika sätt lagrad och lätt åtkomlig information. Även om den inte är publik så krävs det inte mycket för att få exempelvis ett rättsväsende att få tillgång till den informationen vid en utredning.

På 80-talet hade jag på sin höjd en mängd data lagrat utspritt på ett antal BBS:er, i anteckningsböcker och på floppydiskar. Nu har jag mängder av information i min e-post, både lokalt och på server, i min telefon, på Twitter/Jaiku/Facebook/Linkedin, Flickr, Youtube, Google, hos min mobiloperatör, bredbandsleverantör, mitt kreditkort registreras varje gång jag köper saker, Paypal, Jabber-loggar, och så vidare i all oändlighet. Och mer blir det ju mer konversationer och transaktioner som sker elektroniskt. Det man betalar för i bekvämlighet sker på bekostnad av den personliga integriteten. Till skillnad från nästan alla konversationer jag hade på 80-talet nu, lagras de konversationer jag har idag på olika sätt. Undantaget är i stort sett telefonsamtal och möten ansikte mot ansikte. Nackdelen med den senare sortens möten är att jag måste föra mötesanteckningar, men det är oftast något jag står ut med… (Jag har ett heldagsmöte som jag har antecknat på papper just nu! Alldeles för primitivt för att jag ska kunna maila ut det, eller blogga om i det stadiet…)

Sedan finns det alltid folk som hävdar att det är svårt att bevisa sådan informations härkomst, men den synpunkten är oftast helt irrelevant. Det är lite som att sitta hemma med en Smith & Wesson 357 och på en rättegång sitta och undra hur i allsindar den kom dit. Det är sällan det är sådana saker används som ett helt ensamt bevis.

Kryptering är bara ett sätt att skydda sig, men idag är jag säker på att du bara krypterar dina kommunikationsförbindelser, inte datat som lagras både hos dig och den du kommunicerar med.

Jag kan väl bara kort nöja mig med att hålla med Bruce Schneier om det han skriver i senaste numret av Crypto-gram, “ephemeral conversation is dying”. Detta faktum spelar ingen som helst roll vid införandet (eller inte) av IPRED-direktivet eller FRA-lagar.

15
Dec 2008
POSTED BY
POSTED IN Integritet Säkerhet
DISCUSSION 2 Comments
TAGS

Mediacreeper får upp farten

Jag har följt Christopher Isenes arbete med MediaCreeper, och gillar idén. Precis som Creeper så funkar MediaCreeper genom att man länkar in en bild på sin webbsajt, skillnaden är att man med MediaCreeper övervakar “gammelmedia” istället för myndigheter.

Nu tror jag att journalister surfar omkring på bloggar och obskyra webbsajter i något högre grad än myndigheter, och det är lättare att försvara varför journalister surfar runt på de mest märkliga ställen på nätet. Det är till och med så att man borde uppmuntra beteendet!

Så här ser bilden för MediaCreeper ut:

Så grattis alla journalister som fastnar i MediaCreepers nät, ni tycks ju inte bara läsa pressmeddelanden och gå på mässor. Eller vad ni gör när ni inte surfar på nätet. :-)

17
Nov 2008
POSTED BY
DISCUSSION 1 Comment
TAGS

Utlandstvätt av e-post allvarligare

Som jag avslöjade i februari förra året så skickar bland andra Sveriges Television sin e-post till utlandet, mer specifikt Storbritannien, för spamtvätt och annat. Idag läser jag på Slashdot att man i Storbritannien vill lagra all e-post inom ramen för The Communications Data Bill (2008).

Hur kul känns det att jobba som journalist på Sveriges Television med denna vetskap? Det hände ingenting hos SVT sedan detta kom ut i media.

16
Oct 2008
POSTED BY
DISCUSSION 3 Comments
TAGS

Maktbasen och sociogram

Den svenska bloggosfären har yrvaket upptäckt något som kallas för sociogram. Redan i min bloggpost från 2006, Upp och ner med sociala nätverk pekade jag på ett helt underbart användningsområde, nämligen Greenpeace kartläggning av oljepengarna och dess koppling till intresseorganisationer och politiker i USA, ExxonSecrets.

Nu har NRK (den norska motsvarigheten till Sveriges Radio) gjort något liknande, de har gjort en fin visualisering av norska politiker och dess intressen i olika företag. Den tjänsten kallar de för Maktbasen.

Maktbasen

När tar några svenskar och gör en liknande kartläggning?

01
Oct 2008
POSTED BY
DISCUSSION 1 Comment
TAGS

Nationell Internet-trafik

FradarAlla är väl vid det här laget osäkra på om deras dagliga Internet-trafik färdas över landets gränser. FRA vill ju som bekant lyssna på sådan trafik, för att göra det FRA brukar göra, också i kabel.

Jag noterade att det finns en ny plugin till Firefox som heter Fradar. Den visar användaren ifall trafiken passerar landets gränser. Fiffigt. Men det finns flera problem här. En sak är det som Patrik Fältström skriver i sin blogg, det är svårt att säga vad som är svenskt. En annan är att jag inte hittar källkoden till Fradar. Den är inte publicerad genom korrekta Firefox-kanaler, så koden är inte granskad av den tredje parten heller.

Men det är en rolig idé. Hur kommer jag igång med att skriva en Firefox-plugin? Det kan ju vara trevligt att se om man är övervakad av Creeper när man är ute och surfar, till exempel.

26
Aug 2008
POSTED BY
DISCUSSION 7 Comments
TAGS

Kanske dags att bli neutrala igen?

Dagens avslöjande om att Ryssland är målet för FRA:s signalspaning har jag väntat länge på (DN skriver samma sak). Tidigare har det bara förekommit som vaga spekulationer, men nu börjar det bubbla lite mer. Det är nämligen här kärnan i frågan om en FRA-lagstiftning ligger, tycker jag. Varför ska vi signalspana i kabel på det här sättet?

När uppsatta militärer säger att man inte är ute efter svenska privatpersoner, utan behöver signalspaningen för att skydda sig mot missiler i Afghanistan är man nämligen helt ärlig. Utan signalspaning mot Ryssland får vi nämligen inga underättelser från USA, och dessa underättelser behövs verkligen om vi ska ha svenska militärer utomlands. Nu kan man ju fråga sig om Sverige är militärt neutrala eller inte. Nä, knappast. Vi har bara fortsatt med signalspaning och samarbete med USA i en rak linje från Catalinaaffären och framåt (och tidigare än så egentligen).

Vi kanske ska syna samarbetet med USA i sömmarna? Hur hårt allierade är vi med USA egentligen? Vi har ju en lång rad incidenter som har med ett sådant samarbete att göra. Jag tänker närmast på det hårt kritiserade utlämnandet av två egyptier 2001 där Sverige fick oväntad hjälp av CIA.

Uppdatering: FRA-chefen bekräftar hemligt utbyte av uppgifter

09
Jul 2008
POSTED BY
POSTED IN Integritet Politik
DISCUSSION 2 Comments
TAGS

Resultat av Creeper-enkäten

Nu har det inte inkommit något svar alls på ett tag, och folk har väl gått på semester för länge sedan. Så då är det väl lika bra att bita i det sura äpplet och titta på de svar som inkommit. Totalt 46 personer har svarat på enkäten. Om man ska ta och presentera resultatet så blir det väl per fråga…

Hur väl tycker du att Creeper fungerat generellt?

Högsta värdet var 5, och i snitt tyckte ni 4,15, det vill säga att Creeper fungerat bra.

Tycker du att Creeper kan förbättras?

Här betyder högsta värdet 5 att allt borde göras om och 1 att allt är bra som det är. Snittet var 2,83, i stort sett att det fungerar bra, men att det borde göras lite finslipningar. Ni som svarat 4 eller 5 här, vad ska göras bättre?

Tror du att Creeper haft någon politisk påverkan?

5 betyder stor politisk påverkan, 1 ingen alls. Snittet var 3,07. Själv tror jag inte att det funnits någon politisk påverkan alls, utan det är “gammelmedia” som hakat på ibland och mest pratat etik och moral på arbetsplatsen. Att vissa arbetsplatser varit myndigheter tycks dock vara viktigt, men att övervakning skulle varit något negativt har jag inte hört.

Använder du Creepers RSS-flöden?

Två personer som svarat på enkäten använder Creepers RSS-flöden. Är de dåligt markerade? Högst upp på varje sida på Creeper finns en länk till RSS-flödet för just den sajten eller myndigheten. Det kanske kan göras ännu tydligare?

Tycker du att Creeper ska bevaka fler?

En person tycker inte att Creeper ska utvidga sin övervakning. Resterande fördelas lika på “vet inte” och “nej”.

Om ovanstående är ja eller nej, vilka ska bevakas eller inte bevakas?

Den vanligaste åsikten här är att Creeper ska övervaka samtliga organisationer som betalas av offentliga medel, ända ner på kommunal nivå. Det här tycker jag är tveksamt av flera anledningar. I många verksamheter är det individer som inte arbetar offentligt som använder datorer för internetåtkomst, till exempel bibiotek, arbetsförmedlingar och skolor. Detta gör att ett resultat från en sådan övervakning både blir etiskt ointressant, men även helt irrelevant för Creeper (vars syfte inte är att övervaka Svenne Banan).

Andra grupper som ni tycker att Creeper ska bevaka är lobbyister, enskilda politiker, tankesmedjor och medier. Flera vill också att Creeper har bättre täckning på flera och större webbplatser. Men det sista rår jag inte riktigt över, det är ju upp till innehavaren av webbplatsen att använda Creeper.

Vilken övrig övervakning av offentliganställda tycker du behövs?

Svaren på denna blev ungefär som i föregående fråga, men med ett lite mer specificerat innehåll. Övervakning av politikers hemmanät, automatisk analys av offentliga dokument och att övervakning ska ske med bild och ljud. Här har ju Creeper lite kvar att göra. :-)

Hur väl tycker du att Gammelmedia sköter sin bevakning av makten?

1 är dåligt, 5 är mycket bra. Medel på denna är 1,46. En sågning. Men det var väl inte helt oväntat heller.

Hur väl tror du att FRA kommer att sköta sin övervakning av dig?

1 är dåligt, 5 är mycket bra. Medelvärdet blev 2,61. Det lustiga är att svaren pendlade mellan extremvärdena 1 och 5. Kanske för att “dåligt” betyder bra, och att “mycket bra” betyder att man är rädd att FRA kommer att övervaka alla mycket bra. Jag vet inte.

Tror du att övervakning generellt kommer att öka eller minska inom de närmaste tio åren?

Två av svaren var “varken eller” och “vet inte”, resten var homogent “öka”. Så, om alla tror att övervakning generellt kommer att öka, varför borde vi inte anpassa lagar och regler efter detta? Att stoppa den generella övervakningstrenden verkar ju ingen tro på. I ett blogginlägg från december skriver jag detta:

Men istället för att diskutera integritet kanske man ska styra debatten om hur man faktiskt vill att framtiden ska se ut, när övervakningen kommer att vara ett faktum. Jag har hört väldigt få diskutera detta. Inte ens de flesta framtidsböcker som diskuterar singulariteten och virtuella världar diskuterar man särskilt mycket integritet.

Jag tror fortfarande att det är värt att diskutera.

07
Jul 2008
POSTED BY
DISCUSSION 2 Comments
TAGS

Vad tycker du om Creeper?

Jag beslöt mig att fråga er alla vad ni tycker om Creeper. Så jag gjorde en enkät som ni kan få fylla i. Kommentera gärna enkäten nedan, och du hittar enkäten på gnuheter.com/creeper/survey.php.

Publicering av enkätresultatet sker när det inkommit tillräckligt många svar för att få ett vettigt underlag.

15
Jun 2008
POSTED BY
DISCUSSION 2 Comments
TAGS

Creeper bortfiltrerad?

Det verkar som om Creeper blivit bortfiltrerat. Det är över en vecka sedan jag sett trafik komma från Migrationsverket, FRA, FMV eller PTS.

Man kan ju tro att det är så att våra myndigheter inte vill känna sig övervakade längre. Och att de gemensamt på någon myndighetsnivå fattat ett kollektivt beslut att det är ok att filtrera bort “vissa saker” i sina brandväggar. Detta kommer ju mycket lägligt också när man kan konstatera att FRA kommer att få sin efterlängtade avlyssningslag.

21
Apr 2008
POSTED BY
DISCUSSION 15 Comments
TAGS

Hitta deras fingeravtryck

Vem blir först med att lyckas ta en kopia av Tomas Bodströms eller Beatrice Asks fingeravtryck?

Detta apropå vad CCC nu hittat på. Och så här gör man sen för att fejka fingeravtryck.

30
Mar 2008
POSTED BY
DISCUSSION 1 Comment
TAGS

Att dölja eller inte

Det är väl få vid det här laget som undgått nyheten om att Kristdemokraterna surfar porr. Expressen var först ut följt av di.se, och sedan körde dn.se en notis utan att nämna vare sig Creeper eller Gnuheter.

Det har skrivits mycket förut om Creeper, i midsomras skrev Aftonbladet om Creeper och porrsurfning också, TechWorld Säkerhet har skrivit flera gånger, och till och med Ekot rapporterade i somras. Men det var inte det som var det intressanta, utan det som dök upp när jag tittade på det som trillade in på Creeper idag.

I samband med denna “porrskandal” så började plötsligt Moderaterna att dölja sina surfvanor. Tanken som slog mig var att jag instinktivt blev väldigt misstänksam och undrade var de surfade nu, och varför de vill dölja det. Är det så att Moderaterna bytt åsikt och nu tycker illa om Övervakning. Knappast, men de tycker nog att det är väldigt olustigt att själva bli övervakade. Dvs, Creeper kanske gör sitt jobb och utgör någon form av subversiv åsiktskampanj, utan att jag själv behöver göra det.

18
Jan 2008
POSTED BY
DISCUSSION 11 Comments
TAGS

Bibelstudier

Nej, jag har inte gått och blivit kristen. Men vid en diskussion om övervakning för ett par helger sedan så var jag faktiskt tvungen att referera till bibeln. Först en kort bakgrund.

Diskussionen handlade om övervakning, och i synnerhet kameraövervakning. Kameraövervakning är dyrt och svårt, och kräver en massa resurser i form av personal och utrustning. När man “rör sig på Internet” är man övervakad konstant, allt man gör loggas någonstans, och man kan räkna kallt med att någon underrättelsetjänst i något land också loggar och analyserar ens beteende. Allt mer man gör händer på nätet. Tillbaka i verkligheten så loggas nästan ingenting. Ens kreditkortstransaktioner loggas naturligtvis, och SL ska minsann logga ens rörelser i kollektivtrafiken.

Så slutklämmen då? Jo, varför ska inte alla helt enkelt bara låta alla medborgare ha ett RFID-chip, så man kan ha konstant övervakning av ens rörelser? Man kan ju dessutom låta RFID-chippet innehålla information om blodgrupp, hemadress och kontaktuppgifter osv., ifall man t.ex. skulle råka ut för en olycka. Det skulle kunna spara mycket pengar åt samhället. Dessutom kan man, med rätt infrastruktur på plats, dessutom förneka att man var på ett ställe vid ett visst tillfälle om nu det skulle ifrågasättas.

Diskussionen dog dock lite när jag nämnde att denna tanke finns i bibeln. Närmare bestämt i Uppenbarelseboken, kapitel 13 vers 16 och 17.

Vilddjuret krävde att alla – stora och små, rika och fattiga, slavar och fria – skulle bära ett tecken på högra handen eller på pannan.

Och ingen kunde få arbete eller köpa något utan att ha vilddjurets märke som ett tillståndsbevis. Märket var antingen vilddjurets namn, eller det tal som står i stället för dess namn.

Vi kan avsluta med den mer kända vers nummer 18:

Detta är en hemlighet, som kräver noggrann eftertanke för att avslöjas. De som har förstånd och insikt kan räkna ut vilddjurets tal: det är en människas tal, och talet är 666.

Faktum är att detta stycke i bibeln uppmärksammade mig när jag läste en bok av Robert Rankin, East Of Ealing. Den publicerades 1984, och själva grundhandlingen cirkulerar förstås om övervakning och denna typ av märkning, förstås. Bankerna i England kräver plötsligt att man måste ha en märkning i form av en EAN-kod i pannan eller på handen. Detta låter lite RFID om man snabbspolar fram till idag. Och så avlägset är det ju inte. Sådant experimenteras det ju med ganska friskt just nu. Alla har väl hört talas om VIP-kunderna på den där baren i Barcelona som gjort just detta för att de ska kunna få kreditnota i baren.

Men istället för att diskutera integritet kanske man ska styra debatten om hur man faktiskt vill att framtiden ska se ut, när övervakningen kommer att vara ett faktum. Jag har hört väldigt få diskutera detta. Inte ens de flesta framtidsböcker som diskuterar singulariteten och virtuella världar diskuterar man särskilt mycket integritet. Fast jag har när jag tänker efter inte en aning om hur World of Warcrafts integritets-policy ser ut, antagligen är den mer skrämmande än våra bankers policy som de har när de hanterar våra pengar.

07
Dec 2007
POSTED BY
POSTED IN Integritet Säkerhet
DISCUSSION 3 Comments
TAGS

Vad har jag nu ställt till med?

När jag skapade Creeper var inte mitt syfta att diskutera etik och moral på arbetsplatsen, utan att försöka höja nivån på debatten om övervakning. Nu har det slumpat sig som så att Creeper har listat ut att diverse myndigheter och regeringspersonal har surfat på porrsajter, vilket tyvärr bara har lett till en diskussion om hurivida det är ok att surfa porr på arbetstid eller på för statligt medel inköpta datorer.

För att slippa se porrsurfning på Creeper har nu IT-personalen (tillsammans med socialminister Göran Hägglund) tagit på sig propellermössorna och tänkt till ordentligt. Så nu gott folk så slipper de 6000 datorerna och dess användare slippa se sig själva på Creeper, utan istället får de inte alls surfa till konstiga webbsidor. Det har nämligen installerats ett URL-filter på regeringskansliets nätverk. Göran Hägglund säger detta till DN:

– Det ska inte förekomma att personer i regeringskansliet avsiktligt eller oavsiktligt hamnar på olämpliga sidor, säger han och påpekar att han verkligen inte ser ett begränsat surfandet som någon frihetskränkning.

Nej, olämpliga webbsidor vore olämpligt att hamna på. Särskilt när det kan ses av andra vilka webbsidor de besökt. Samtidigt borde det verkligen vara så att folk som stiftar lagar borde veta vad de stiftar lagar om, och fritt kunna tillgodogöra sig den informationen på nätet, så censur borde ligga riktigt långt borta.

Mer censur på arbetsplatser var ju inte direkt det jag hade tänkt mig skulle vara resultatet av Creeper. Min åsikt om detta är snarare att om personalen har svårt att låta bli att surfa porr på arbetstid kanske de skulle ges några mer intressanta arbetsuppgifter eller annan hjälp. Inte helt förhindras att surfa till en stor mängd webbsajter. Vidare undrar jag hur dessa spärrar fungerar, någon på Regeringskansliet surfade ju porr så sent som i förrgår.

Tyvärr kommer vi in på en diskussion som jag skulle vilja slippa. För hände med diskussionen om övervakning?

• DN.se: Inget porrsurfande på regeringsdator

02
Sep 2007
POSTED BY
DISCUSSION 3 Comments
TAGS

Tysk Creeper – uberwach.de

Nu har den tyska versionen av Creeper lanserats av Dirk Adler, uberwach.de.

15
May 2007
POSTED BY
DISCUSSION 0 Comments
TAGS

Creeper – efter en vecka

En liten statusrapport kan vara på sin plats efter att Creeper varit i publik drift en vecka. Några saker som är intressanta. Ett antal webbsajter har lagt upp den lilla Creeper-bilden på sina webbsidor, och det börjar bli dags att göra någon form av statistikfunktion.

Några iakttagelser – jag trodde t.ex. inte att swebits.org (som för övrigt verkar ha riktigt mycket trafik) skulle ha några myndighetsbesökare, men idag visade det sig att någon på FRA verkar ha konto där. Jag trodde inte heller att så många offentliganställda läser bloggar av den mest skiftande karaktär, har de inget annat att göra?

Ett par användare har bidragit med IP-adresser, men det finns nog en hel del kvar att fylla på med. Jag saknar Folkpartiet t.ex. – eller surfar de bara genom Socialdemokraternas nät numera? Några tycker dock att man inte ska övervaka partier. Men om man vill ha någon form av opinionsbildning så är det väl just politiker man ska trycka lite extra på?

En reporter från SR ringde upp mig och gjorde en intervju, jag vet dock inte om den sänts. Tomas Gilså på sakerhet.idg.se skrev en liten notis, Creeper ska övervaka makten.

Jag tror att en tysk version, uberwach.de snart kommer att släppas.

13
May 2007
POSTED BY
DISCUSSION 12 Comments
TAGS

Creeper – den lilla övervakaren

Nu lanserar jag min lilla tjänst Creeper. Tanken är att försöka övervaka våra myndigheter som en lillebror som kollar vad storebror har för sig på vårt svenska Internet.

Övervakningen sker genom att du på dina egna webbsidor länkar en bild. Denna bild möjliggör att Creeper kan ta den information som en hämtning av denna bild ger, som att titta på vilken IP-adress förfrågningen kommer ifrån och den hänvisning som gör att hämtningen av bilden sker.

Jag har kört den som test ett litet tag, och den har gett lite kul resultat. Synd bara att FRA döljer sin referrer. Om du vill sätta igång och delta i lillebrorsövervakningen kan du också lägga in bilden på din blogg.

Tycker du att det saknas IP-adresser kontakta mig gärna på pawal@blipp.com eller kommentera här nedan.

06
May 2007
POSTED BY
DISCUSSION 28 Comments
TAGS

Vill du veta vad FRA läser för bloggar?

Titeln kan bli sann. Tanken slog mig när jag såg att FRA, eller åtminstone IP-adressen 194.18.171.253, besökt min blogg. Det hela vore faktiskt ganska enkelt.
 
Tänk dig att jag sätter upp en webbserver som tar emot statistikanrop i stil med vilket statistikverktyg som helst som folk använder idag. Tänk dig vidare att de flesta svenska bloggar använder detta statistikverktyg utöver sina vanliga topplistegrejer. Nu skulle vi kunna filtrera ut de intressanta IP-adresserna från den insamlade statistiken tillsammans med de besökta webbsidorna och presentera på en webbsida. På så sätt kan vi avslöja vilka bloggar som FRA besöker, eller andra intressanta myndigheter som PTS.

Vill vi det? Lillebror kan se dig också.

20
Mar 2007
POSTED BY
POSTED IN Integritet Politik
DISCUSSION 7 Comments
TAGS