Sikkerhedsguru: Kriminelle vil nyde godt af ny lov om øget overvågning

11 kommentarer.  Hop til debatten
Det amerikanske forbundspoliti vil gøre det lettere at overvåge personer på internettet. Men sikkerhedsguruen Bruce Schneier advarer om, at det ud over at blive en bekostelig affærer for virksomheder også vil gøre internettet mere usikkert.
31. maj 2013 kl. 12:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det skal være lettere at overvåge personer på internettet. I hvert fald hvis det står til det amerikanske forbundspoliti FBI, der ønsker en ny lov vedtaget, som ifølge dem selv vil lade dem bevare status quo, skriver sikkerhedsguruen Bruce Schneier på sin blog..

Men Bruce Schneier advarer samtidig om, at den nye lov vil være godt nyt for kriminelle. Ifølge ham vil konsekvensen være mindre sikre internetprodukter, være en bekostelig affære for virksomheder og samtidig lade regeringer udspionere deres egne borgere, alt imens det ikke vil have den store effekt mod kriminelle og terrorister.

Udfordringen for mange sikkerhedstjenester, der ønsker at overvåge borgerne er, at det er betydeligt nemmere at overvåge en telefonlinje end det er at overvåge kommunikationen i VoIP-klienter som Skype. Derfor vil FBI ifølge Bruce Schneier kunne overvåge alt - lige fra det mulige til det umulige.

Han argumenterer for, at e-mail-tjeneste som Googles populære Gmail vil være relativt nem at overvåge - blandt andet fordi Google har en lang række personer, der kan hjælpe myndigheder, og fordi data ligger på Googles egne servere. Omvendt vil det være umuligt på krypterede tjenester som Silent Circle, hvor opkaldet krypteres fra én computer til en anden og hvor der derfor ikke er et centralt punkt at overvåge fra.

Artiklen fortsætter efter annoncen

Ifølge FBI’s forslag skal tjenester som sidstnævnte derfor have en bagdør i softwaren. Hvis virksomheder ikke ønsker at implementere dette, vil det modtage dagbøder på over 140.000 kroner, indtil det er implementeret.

Det er ifølge Bruce Schneier umuligt, at FBI vil være de eneste, der vil kunne udnytte sådan en bagdør. Enten bygger man et system, der er lavet så sikkert som muligt og beskyttet mod aflytning, eller også er systemerne bevidst gjort svage for at kunne udnytte sårbarheder. Det er ikke en både-og-beslutning, som FBI lægger op til, det er enten-eller.

Læs hele Bruce Schneiers analyse af FBI’s ønske om en ny lov på Foreignpolicy.com

11 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
31. maj 2013 kl. 13:54

Skal internettets OpenSource projekter have dagbøder? Det kommer jo ikke til at ske. Bliver det her en realitet så flyttes al min kommunikation over på et netværk hvor jeg selv kan kontrollere for bagdøre.

4
31. maj 2013 kl. 15:16

Skal internettets OpenSource projekter have dagbøder? Det kommer jo ikke til at ske. Bliver det her en realitet så flyttes al min kommunikation over på et netværk hvor jeg selv kan kontrollere for bagdøre.

De IT-kynding og de dygtige kriminelle skal nok klare sig. De kan køre deres egne servere med deres egen kryptering.

Den almindelige uskyldige borger ("den lille mand" m/k) må bruge de kommercielle kommunikationsløsninger, og her står staterne i kø for at overvåge borgerne. Her et eksempel hvor Indien vil have Skype servere stående i Indien så de kan angribe borgerne uden Microsoft's hjælphttp://articles.timesofindia.indiatimes.com/2013-05-20/infrastructure/39391625_1_internet-telephony-law-enforcement-servers

RIM har lavet aftaler med Indien og Bahrain (eller et andet arabisk land) om at overvåge Blackberry brugerne.

5
31. maj 2013 kl. 19:19

Den almindelige uskyldige borger ("den lille mand" m/k) må bruge de kommercielle kommunikationsløsninger

Helt forkert. Opensource er bestemt ikke kun for nørder, brugervenligheden bliver bedre for hver dag der går. Så "den lille mand m/k" kan sagtens anvende åbne løsninger.

6
31. maj 2013 kl. 19:33

Opensource er bestemt ikke kun for nørder, brugervenligheden bliver bedre for hver dag der går.

Det er ikke nok at løsningerne er baseret på open source. Hvis der er virksomheder involveret i din valgte kommunikationsløsning, kan staten pålægge disse virksomheder nogle pligter, for eksempel at de skal kunne aflytte din kommunikation. Så må de modificere deres software, så aflytning er mulig.

Eksempel: Hvis din mail hostes af en virksomhed (som Google eller Microsoft), kan staten nemt læse dine mails uden at du bliver orienteret om det. Hvis du vil undgå den risiko, er du nødt til at køre din egen mail server. Helst med en mail server som står fysisk på din bopæl. Alternativt med fuld diskkryptering.

8
31. maj 2013 kl. 22:31

Hvis din mail hostes af en virksomhed (som Google eller Microsoft), kan staten nemt læse dine mails uden at du bliver orienteret om det. Hvis du vil undgå den risiko, er du nødt til at køre din egen mail server.

Det hjælper ikke med egen mailserver, hvis dem du kommunikere med bliver overvåget. Email på nettet er at sammenligne med postkort; dem der får det i hånden kan læse og kopiere det.

Hvis man kryptere sin mail, og den ene part bruger Google og den anden Microsoft, så er der ingen problemer. Hverken CIA eller FE kan få fat i indholdet (medmindre din krypteringssoftware har en bagdør (og så håber jeg ikke du er ansat i det danske Udenrigsministerium)).

Jeg hørte et rygte om at danske ambasader rent faktisk havde benyttet TOR-netværk til SMTP-kommunikation, og da CIA har en masse TOR-exit-nodes, så opsnappede de klartekst kommunikation imellem danske ambassader og UM. Om det er sandt eller ej, er ikke så vigitgt, jeg vil bare fremhæve at det er vigtigt man ved hvad man kan bruge TOR til, og hvad det ikke duer til.

Og hvad angår kryptering, så skal man selv skabe og opbevare sin "private key". Det er ikke noget man skal lade NemID, FE eller PET opbevare. Hvis de opbevarer den, er det en "bagdør".

11
4. juni 2013 kl. 17:57

Jeg hørte et rygte om at danske ambasader rent faktisk havde benyttet TOR-netværk til SMTP-kommunikation, og da CIA har en masse TOR-exit-nodes, så opsnappede de klartekst kommunikation imellem danske ambassader og UM.

Jeg ved ikke med danske ambassader, men det er helt klart en brugsituation som TOR er specielt velegnet til - så det giver god mening.

Specielt kendt er sagen med Dan Egerstad, svensk sikkerhedskonsulent som opsnappede i 1000vis af brugerids og koder fra ambassader. Så brug TOR, men husk sikre protokoller, eller i det mindste GPG/OpenPGP

7
31. maj 2013 kl. 20:00

Det er ikke nok at løsningerne er baseret på open source. Hvis der er virksomheder involveret i din valgte kommunikationsløsning, kan staten pålægge disse virksomheder nogle pligter, for eksempel at de skal kunne aflytte din kommunikation. Så må de modificere deres software, så aflytning er mulig.

Så er det om at vælge løsninger der ikke involverer virksomheder. Eks. en peer to peer baseret løsning som ikke kræver en server, men forbinder ende til ende. Den slags findes nu. Og tiltag som dette vil formentligt betyde at de bliver bedre og nemmere at bruge.

3
31. maj 2013 kl. 15:01

Mit håb: Man hoster dem vil udenfor USA.... Så må man give dagbøderne til "importørene" - dvs. brugerne.

I praksis kan vi desværre se, at man udenfor USA underligger sig reglerne derovre, da USA er så dominerenede på nettet. Helt tilbage til dengang de forsøgte at forbyde eksport af krypteringssoftware, optstod der jo ikke alternativer udenfor, f.eks. i Europa. Man blev ved med at være afhængig af software med meget svag kryptering indbygget.

10
4. juni 2013 kl. 17:53

I praksis kan vi desværre se, at man udenfor USA underligger sig reglerne derovre, da USA er så dominerenede på nettet. Helt tilbage til dengang de forsøgte at forbyde eksport af krypteringssoftware, optstod der jo ikke alternativer udenfor, f.eks. i Europa. Man blev ved med at være afhængig af software med meget svag kryptering indbygget.

Lars Lundin har allerede sagt det, og jeg er helt enig. Det passer simpelthen ikke den påstand.

Specielt tyske virksomheder har nydt godt af USA's tåbeligheder med hensyn til eksport af krypteringsprogrammer. Jeg var selv i et firma underlagt ITAR regulations, se http://en.wikipedia.org/wiki/International_Traffic_in_Arms_Regulations og det var en ynk at se hvordan det i praksis blev håndteret. Ja, alle skulle sige ja til at have læst og vi måtte ikke eksportere (direkte) til Irak og den slags, men helt ærligt. Allerede dengang kunne man jo på en diskette overføre 1.44Mb og det kan der altså være en del kryptokode på.

UDOVER at alle kunne bruge FTP-SMTP gateways som hentede kryptokode med FTP indenfor USA grænser og sendte via SMTP, eller gøre som andre projekter hvor man printede kode og scannede på den anden side af grænsen.

Selv foretrækker jeg gerne kryptosoftware fra Tyskland, eller bedre endnu open source software.