Integritet

MAC-adresser är personuppgifter?

Den här artikeln är skriven till ett annat forum och är skriven för DFRI:s räkning, men publicerades aldrig. En mobiltelefon med Wifi påslagen skickar ut en unik signal som går att avlyssna med enkel utrustning. Några som lyssnar på dessa signaler är Bumbee Labs, som byggt ett system kallat IOPS. Syftet med systemet är att mäta rörelsemönster i stadskärnor, och just nu testas det i Västerås och Borås. IOPS antenn I systemet sparas telefonens unika identitet, den så kallade MAC-adressen, samt vilka platser den befunnit sig på och vid vilken tidpunkt.

DNS Privacy - krypterad DNS

I en serie poster tänkte jag nu framöver posta lite mer renskrivna texter om DNS från mina anteckningar på olika internet-konferenser. Jag hoppas detta kan vara till glädje för någon som är intresserad av vad som händer i DNS-världen. DNS har funnits i drift i över 25 år. Det är bara under de senaste 15 åren som säkerhet i protokollet diskuterats, och 2005 gick RFC:erna för DNSSEC genom IETF. Men kravet i protokollet för att skydda den personliga integriteten har aldrig funnits - förrän under det senaste året.

Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs.

Den flyktiga konversationen på väg att dö

I takt med att övervakningssamhället är på frammarsch bör man kanske titta åt det andra hållet och titta på hur man själv sköter sin dagliga kommunikation. Om man också tittar lite bakåt så märker man snabbt att sättat man konverserar på idag mer och mer blir av sådan art att man efteråt kan gå tillbaka och se vad som sades, till exempel som SMS, e-post eller bloggkommentarer. Detta är inte krypterad information, som jag tidigare försökt argumentera runt här, utan på olika sätt lagrad och lätt åtkomlig information.

MediaCreeper får upp farten

Jag har följt Christopher Isenes arbete med MediaCreeper, och gillar idén. Precis som Creeper så funkar MediaCreeper genom att man länkar in en bild på sin webbsajt, skillnaden är att man med MediaCreeper övervakar “gammelmedia” istället för myndigheter. Nu tror jag att journalister surfar omkring på bloggar och obskyra webbsajter i något högre grad än myndigheter, och det är lättare att försvara varför journalister surfar runt på de mest märkliga ställen på nätet.

Utlandstvätt av e-post allvarligare

Som jag avslöjade i februari förra året så skickar bland andra Sveriges Television sin e-post till utlandet, mer specifikt Storbritannien, för spamtvätt och annat. Idag läser jag på Slashdot att man i Storbritannien vill lagra all e-post inom ramen för The Communications Data Bill (2008). Hur kul känns det att jobba som journalist på Sveriges Television med denna vetskap? Det hände ingenting hos SVT sedan detta kom ut i media.

Maktbasen och sociogram

Den svenska bloggosfären har yrvaket upptäckt något som kallas för sociogram. Redan i min bloggpost från 2006, Upp och ner med sociala nätverk pekade jag på ett helt underbart användningsområde, nämligen Greenpeace kartläggning av oljepengarna och dess koppling till intresseorganisationer och politiker i USA, ExxonSecrets. Nu har NRK (den norska motsvarigheten till Sveriges Radio) gjort något liknande, de har gjort en fin visualisering av norska politiker och dess intressen i olika företag.

Nationell Internet-trafik

Alla är väl vid det här laget osäkra på om deras dagliga Internet-trafik färdas över landets gränser. FRA vill ju som bekant lyssna på sådan trafik, för att göra det FRA brukar göra, också i kabel. Jag noterade att det finns en ny plugin till Firefox som heter Fradar. Den visar användaren ifall trafiken passerar landets gränser. Fiffigt. Men det finns flera problem här. En sak är det som Patrik Fältström skriver i sin blogg, det är svårt att säga vad som är svenskt.

Kanske dags att bli neutrala igen?

Dagens avslöjande om att Ryssland är målet för FRA:s signalspaning har jag väntat länge på (DN skriver samma sak). Tidigare har det bara förekommit som vaga spekulationer, men nu börjar det bubbla lite mer. Det är nämligen här kärnan i frågan om en FRA-lagstiftning ligger, tycker jag. Varför ska vi signalspana i kabel på det här sättet? När uppsatta militärer säger att man inte är ute efter svenska privatpersoner, utan behöver signalspaningen för att skydda sig mot missiler i Afghanistan är man nämligen helt ärlig.

Resultat av Creeper-enkäten

Nu har det inte inkommit något svar alls på ett tag, och folk har väl gått på semester för länge sedan. Så då är det väl lika bra att bita i det sura äpplet och titta på de svar som inkommit. Totalt 46 personer har svarat på enkäten. Om man ska ta och presentera resultatet så blir det väl per fråga… Hur väl tycker du att Creeper fungerat generellt? Högsta värdet var 5, och i snitt tyckte ni 4,15, det vill säga att Creeper fungerat bra.

Vad tycker du om Creeper?

Jag beslöt mig att fråga er alla vad ni tycker om Creeper. Så jag gjorde en enkät som ni kan få fylla i. Kommentera gärna enkäten nedan, och du hittar enkäten på gnuheter.com/creeper/survey.php. Publicering av enkätresultatet sker när det inkommit tillräckligt många svar för att få ett vettigt underlag.

Creeper bortfiltrerad?

Det verkar som om Creeper blivit bortfiltrerat. Det är över en vecka sedan jag sett trafik komma från Migrationsverket, FRA, FMV eller PTS.Man kan ju tro att det är så att våra myndigheter inte vill känna sig övervakade längre. Och att de gemensamt på någon myndighetsnivå fattat ett kollektivt beslut att det är ok att filtrera bort “vissa saker” i sina brandväggar. Detta kommer ju mycket lägligt också när man kan konstatera att FRA kommer att få sin efterlängtade avlyssningslag.

Att dölja eller inte

Det är väl få vid det här laget som undgått nyheten om att Kristdemokraterna surfar porr. Expressen var först ut följt av di.se, och sedan körde dn.se en notis utan att nämna vare sig Creeper eller Gnuheter. Det har skrivits mycket förut om Creeper, i midsomras skrev Aftonbladet om Creeper och porrsurfning också, TechWorld Säkerhet har skrivit flera gånger, och till och med Ekot rapporterade i somras. Men det var inte det som var det intressanta, utan det som dök upp när jag tittade på det som trillade in på Creeper idag.

Bibelstudier

Nej, jag har inte gått och blivit kristen. Men vid en diskussion om övervakning för ett par helger sedan så var jag faktiskt tvungen att referera till bibeln. Först en kort bakgrund. Diskussionen handlade om övervakning, och i synnerhet kameraövervakning. Kameraövervakning är dyrt och svårt, och kräver en massa resurser i form av personal och utrustning. När man “rör sig på Internet” är man övervakad konstant, allt man gör loggas någonstans, och man kan räkna kallt med att någon underrättelsetjänst i något land också loggar och analyserar ens beteende.

Vad har jag nu ställt till med?

När jag skapade Creeper var inte mitt syfta att diskutera etik och moral på arbetsplatsen, utan att försöka höja nivån på debatten om övervakning. Nu har det slumpat sig som så att Creeper har listat ut att diverse myndigheter och regeringspersonal har surfat på porrsajter, vilket tyvärr bara har lett till en diskussion om hurivida det är ok att surfa porr på arbetstid eller på för statligt medel inköpta datorer.

Creeper - efter en vecka

En liten statusrapport kan vara på sin plats efter att Creeper varit i publik drift en vecka. Några saker som är intressanta. Ett antal webbsajter har lagt upp den lilla Creeper-bilden på sina webbsidor, och det börjar bli dags att göra någon form av statistikfunktion. Några iakttagelser - jag trodde t.ex. inte att swebits.org (som för övrigt verkar ha riktigt mycket trafik) skulle ha några myndighetsbesökare, men idag visade det sig att någon på FRA verkar ha konto där.

Creeper – den lilla övervakaren

Nu lanserar jag min lilla tjänst Creeper. Tanken är att försöka övervaka våra myndigheter som en lillebror som kollar vad storebror har för sig på vårt svenska Internet. Övervakningen sker genom att du på dina egna webbsidor länkar en bild. Denna bild möjliggör att Creeper kan ta den information som en hämtning av denna bild ger, som att titta på vilken IP-adress förfrågningen kommer ifrån och den hänvisning som gör att hämtningen av bilden sker.

Vill du veta vad FRA läser för bloggar?

Titeln kan bli sann. Tanken slog mig när jag såg att FRA, eller åtminstone IP-adressen 194.18.171.253, besökt min blogg. Det hela vore faktiskt ganska enkelt. Tänk dig att jag sätter upp en webbserver som tar emot statistikanrop i stil med vilket statistikverktyg som helst som folk använder idag. Tänk dig vidare att de flesta svenska bloggar använder detta statistikverktyg utöver sina vanliga topplistegrejer. Nu skulle vi kunna filtrera ut de intressanta IP-adresserna från den insamlade statistiken tillsammans med de besökta webbsidorna och presentera på en webbsida.

FRA-förslaget tillfälligt stoppat

Det ser ut som om Socialdemokraterna backar en aning från sitt Bodström-samhälle nu när de sitter i opposition. Vilket kanske tycks aningen märkligt med tanke på vilka lagförslag de själva drivit. I väntan på att lagen klubbas igenom, snart eller om ett år, kan man finslipa sina listor med “farliga ord” som man kan använda för att förvirra de som ska sköta avlyssningen. Jan Garefelt har påbörjat listan i form av en javascript-generator med farliga ord.

Imorgon smäller det

Den nu väl omskrivna avlyssningslagen som ger FRA befogenheter att avlyssna Internet-trafik ska regeringen imorgon besluta om. Ekot passade i morse på att rapportera om att svensk inhemsk trafik kan gå via utlandet. Det är inte så konstigt, utan fullt normalt. Det är naivt att tro att det svenska Internet är helylle-svenskt. På grund av märkliga peering-avtal (svenska operatörer emellan) och annat kan bästa vägen vara att skicka dina små paket via Amsterdam eller London.

Uppföljning av SVT och FRA-postningen

Sedan i förrgår då jag postade SVT skickar sin e-post utomlands har det hänt en del. TT skickade ut det som en nyhet, och nyheten publicerades i väldigt många landsortstidningar. Nu skriver Politikerbloggen att Svenska Journalistförbundet vädjar till Riksdagen om att stoppa den omstridda lagstiftningen. En annan bloggare, Calle Lidström, har grävt vidare och funnit att en massa andra journalister även de får sin post spridd över gränsen. Dessutom ryktas det att SVT-anställda inte får kryptera sin e-post av säkerhetsskäl.

SVT skickar sin e-post utomlands

Rubriken kanske inte är så uppseendeväckande vid första anblicken. Men det borde den vara. Skickar någon ett litet mail till SVT, kanske med tips om en het nyhet eller liknande, så skickas det nämligen en sväng via Westerham, Kent i England, efter att ha passerat London en sväng. Mottagare av e-posten är emailfiltering.co.uk, ett företag som säljer hantering av e-post. svt.se. 2581 IN MX 10 mx1-svt-se.emailfiltering.com. svt.se. 2581 IN MX 20 mx2-svt-se.

Att lita på anonymitet

Det är en bra idé att kunna vara anonym på nätet. Det finns många anledningar till att kunna vara anonym, man kanske vill avslöja skumraskaffärer, diskutera känsliga personliga problem eller mycket annat. Anonymitet har naturligtvis även Piratpartiet förstått, och, enligt egen uppgift, lanserat tjänsten Relakks för att kunna erbjuda anonym surfning på nätet. Men det finns ett par märkligheter här. Vem står bakom Relakks AB? Piratpartiet? Enligt Whois för domännamnet relakks.

En snigel i pannan hos Bodström

USA:s regering måste ha lyckats skapa en ordentlig snigel i pannan på Thomas Bodström. UNT via TT meddelar att USA får insyn i Europas datalagring. Om det är beslutat vet jag inte, men vad håller Bodström på med? Enligt det mötesprotokoll som notisen handlar om ska USA få tillgång till all lagrad data- och telekomtrafik. Försöker han se hur långt storebrorssamhället kan gå som personligt experiment, eller har USA:s regering det mest bisarra hållhakar på Sverige?

Upp och ner med sociala nätverk

Redan med den gamla idén om Six Degrees satt i praktiken med en sajt med samma namn så tyckte jag att visualisering av sociala nätverk är en väldigt tuff och skrämmande idé. Jag blev aldrig medlem på riktigt på Six Degrees, endast som en påhittad användare som en ensam okopplad nod i nätverket. Numera är jag deltagare på några sådana sociala nätverkssajter, men jag har svårt att komma på något vettigt jag skulle vilja använda dem till.

eID och den eviga förvirringen

Vi har sedan i oktober förra året ett nytt nationellt identitetskort i Sverige, det så kallade NIDEL-kortet. Detta kort gäller, förutom som ID-kort, även som ett pass man kan använda inom Schengen-området. I NIDEL-kortet finns även ett så kallat smart kort man skulle kunna använda för att lagra certifikat i. Men man gjorde bara 90 procent av jobbet, och lät bli att stoppa in några sådana. Min morgon idag började med den IT-politiska strategigruppens hearing om eID.

Cookie-lagstiftningen och data retention

Enligt lagen om elektronisk kommunikation som trädde i kraft 2003 måste alla som besöker en webbplats få information om ifall webbplatsen ger dig cookies, vad dessa används till och hur man kan undvika dem. Jättebra lag, eller nåt. Allt om dessa cookie-krumbukter kan läsas hos PTS under rubriken Vad säger lagen om cookies och andra frågor och svar. Lustigt nu att samma regering propagerat för lagring av trafikdata, och att EU dessutom godtagit det taffliga förslaget.

Bjässen Google

Visst låter namnet som namnet på en bjässe från sagan? Logotypen ser lagom oskyldig ut också, och visst är det en utmärkt söktjänst. Men Google börjar svälla över alla bräddar, och sikta in sig på en allt bredare marknad. Kevin Kellehers artikel i Wired, Who’s Afraid of Google? Everyone. skrapar nog bara på ytan. Cringelys två senaste artiklar, Google-Mart och The Google Box ligger nog närmare sanningen, med en bild av ett parallellt Internet som bara Google har makten över.