Nyd ferien mens I kan

Nu hvor vi har haft tid til at sunde os ovenpå PRISM afsløringerne er det blevet tid til at genoverveje IT-sikkerheds filosofien rundt omkring og man må sige at landskabet er forandret.

Det er f.eks relativt sjældent at jeg kan stille mig 100% bag noget John C. Dvorak har ment, men idag vil jeg gøre en undtagelse: Stol ikke på Microsoft

Der er mange ting vi ikke ved endnu, men en interesserer mig særligt: Tjener de store USAnske IT-firmaer faktisk penge på PRISM ?

Er Amazons 'cloud' priser lave fordi NSA giver tilskud ?

Er USAnske Tier-1 og -2 netværk billigere fordi NSA betaler godt for at kunne aflystte andre landes interne traffik ?

Hvor er vi henne med "ikke-USAnske" men globalt dækkende netværk som Telia ? Bliver de betalt af NSA for at aflytte ?

Hvad med TDC, CSC og andre udenlandsk ejede IT-mastodonter på dansk jord ?

Ud over loyalitets og spionage spørgsmålene, er der også tale om konkurrenceforvridning på et koldkrigs-agtigt niveau og det burde få EU helt op i det røde felt.

Vi bliver også nødt til at genvurdere hvad prisen egentlig er ved "cloud" og om vi i virkeligheden har pantsat os selv ?

Der er folk i hardware-branchen der forventer et rigtig godt efterårssalg, de forventer at ting bliver hevet hjem fra skyen.

Nyd ferien, det bliver et hårdt efterår...

phk

Kommentarer (64)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Martin Kofoed

Tiderne har vist aldrig været gunstigere til at starte en dansk/nordisk OpenStack-shop op, eventuelt med serverpark placeret på Island for billig strøm. Efterhånden behøver man ikke engang selv reklamere for fordelene ved en sådan service på nordisk jord. Tak, PRISM!

Er der nogen, som er på? :)

  • 8
  • 0
#6 Deleted User

Artiklen handler om den korporative statmagts egen kriminalitet i det digitale overvågningssamfund. Tillader vi disse værktøjer uden at gøre modstand, fraskriver vi os i høj grad muligheden for at udfordre den i tilfælde af magtmisbrug - og det vil formentlig ske oftere og oftere. Selvfølgelig er det relevant at diskutere.

  • 4
  • 0
#9 David Nielsen

Jeg har set hardware der kan gøre det. Noget af det er dansk produceret.

Har du en NDA med det firma? eller hvorfor ikke nævne dem ved navn som eksempel?

Iøvrigt så forstår jeg ikke hvorfor US vil sniffe så meget (begrundelsen med terror falder til jorden synes jeg når man ved at de filtrerer bittorrent trafik fra - hvor svært er det lige at maskere sin trafik som det?)...... og US er jo også kendt for at tale filmindustriens sag (hollywood) - så hvorfor filtrere bittorrent fra hvis det er for at hjælpe US firmaer?

  • 1
  • 4
#11 Poul-Henning Kamp Blogger

Iøvrigt så forstår jeg ikke hvorfor US vil sniffe så meget (begrundelsen med terror falder til jorden synes jeg når man ved at de filtrerer bittorrent trafik fra

Hvad får dig til at tro at de sorterer bittorrent trafik fra ?

Dem der hørte Richard Claytons keynote til EuroBSDcon2007 vil erindre at noget tyder på at en stor procentdel af alle TOR-Nodes befinder sig i det nordøstlige USA...

  • 7
  • 1
#13 Kristian Rastrup

Gad vide om US Justice Departments krig mod megaupload og bittorrent trackers er en del af overvågningen: "Lad os få lukket for de dele vi ikke kan overvåge, vi kan altid sige at det er på grund af piratkopiering."

Jeg opdagede i øvrigt en sjov feature i Windows 8 bitlocker. Man bliver pænt spurgt: "Vil du gemme din hemmelige nøgle på hard disken, en usb nøgle eller under din Windows Live konto?". Den sidste er ny siden Windows 7 og giver meget mere mening når man ved der er fri adgang for NSA til alt man har under Windows Live.

  • 11
  • 0
#14 Uffe Seerup

For os handler det om at undgå spionage

Hvis du er oprigtigt bekymret for spionage (og jeg ville være enig i den bekymring), hvorfor afsporer du så selv diskussionen ved at score billige mod Microsoft? Der er foreløbigt intet andet end uansvarlig spekulation som peger på at Microsoft skulle have været engageret i tit-for-tat eller at tillade fri og uhindret adgang for NSA brugeres data uden dommerkendelser. Og hvorfor udelader du Google?

Både ved at pege fingre i retning af ét selskab og ved at udelade andre gør du diskussionen til et fanboy krig hvor du uvilkårligt kommer til at stå som en deltager.

Det virkelige problem er jo amerikansk lovgivning som efterlader alle ikke-amerikanere retsløse, og amerikanske bordere delvist retsløse pga. den hemmelige FISA domstol.

Vi SKAL være bekymrede for overvågning, men det er altså NSA som overvåger og spionerer og ikke Microsoft, Amazon m.fl. Når du har dokumentation for at Microsoft har opnået noget eller er blevet betalt for at gå længere end den amerikanske lovgivning kræver er det værd at debattere. Men som det står nu er dét kun uansvarlig spekulation, som virksomhederne ikke engang kan imødegå pga.... lovgivningen.

PHK, du gør debatten dum og øger sandsynligheden for at den ender i mudderkastning som ingen interesse har for udenforstående.

Hvis du virkelig var bekymret for NSA/USAs overvågning ville du fokusere på debatten om lovgivningen og vores retsstilling i stedet for at benytte skandalen til at "settle scores". Som fx. den Estiske præsident: http://www.zdnet.com/after-prism-europe-has-to-move-to-its-own-clouds-sa...

  • 6
  • 16
#15 Thomas Dynesen

er at der ikke er flere der råber op om de kommercielle problemer. Det er efterhånden en del år siden at en af NSA opsnappet intern Airbus mail med detaljer om et tilbud blev videregivet til Boing der så kunne underbyde. Efterfølgende fik Airbus så installeret krypteret mail. Så nu må vi jo håbe for dem at de ikke har valgt en USA'nsk leverandør af dette. Da Tvind sagen kørte kunne man jo forstå at de havde købt en god løsning, da PET (formodentlig med hjælp fra vennerne i NSA) ikke kunne knække den. For lige at tjekke hvad det mon kostede at få sådan en løsning gik jeg ind på deres hjemmeside. Dér blev jeg så omdirigeret. Det tyske firma var lige for nyligt blevet opkøbt af et USA'nsk! Så var prisen lige meget. Findes der overhovedet leverandører af sådanne løsninger der ikke er kontrolleret af USA'nske interesser længere?

  • 2
  • 0
#17 ab ab

Hvad får dig til at tro at de sorterer bittorrent trafik fra ?

Fra Guardians beskrivelse af GCHQ's Tempora-program:

The processing centres apply a series of sophisticated computer programmes in order to filter the material through what is known as MVR – massive volume reduction. The first filter immediately rejects high-volume, low-value traffic, such as peer-to-peer downloads, which reduces the volume by about 30%.

Kilde: http://www.guardian.co.uk/uk/2013/jun/21/gchq-cables-secret-world-commun...

  • 4
  • 0
#18 Kenn Nielsen

men det er altså NSA som overvåger og spionerer og ikke Microsoft, Amazon m.fl.

Men det er kunderne hos "Microsoft, Amazon m.fl." der bliver spioneret imod. Og det er disse kunder hos som bliver bildt ind - af netop "Microsoft, Amazon m.fl." - at deres data er 'sikre'. Her må man sige at "Microsoft, Amazon m.fl." er i 'ond tro'.

Når du har dokumentation for at Microsoft har opnået noget eller er blevet betalt for at gå længere end den amerikanske lovgivning kræver så er det værd at debattere. Men som det står nu er dét kun uansvarlig spekulation, som virksomhederne ikke engang kan imødegå pga.... lovgivningen.

Så du mener altså at non-profit-spionage er helt i orden.

Dét er jo også en holdning at have....

K

  • 10
  • 0
#20 Jesper Louis Andersen

Og alle går stadig i panik over 10 powerpoint slides ,jeg vil gerne se det hardware der kan realtime scanne alt og gemmen det igen.

Det kan man godt lave. Du tager bare passende antal FPGA'er og sætter dem i en parallel konfiguration og smider så lige en bunke SSD'er oveni. Hvis bare du spreder data ud i parallel hurtig nok, så kan det lade sig gøre at undersøge stort set alt trafik. Det er 100 gange bedre hvis du kan smide visse data væk tidligt i forløbet, for så kan du gå målrettet efter data der er interessant.

  • 5
  • 0
#21 Uffe Seerup

Og det er disse kunder hos som bliver bildt ind - af netop "Microsoft, Amazon m.fl." - at deres data er 'sikre'.

Fin stråmand. Så kan du senere definere hvad du mener med "sikre".

Sagen er, kundernes data ligger så sikkert som det kan under lovgivningen.

Microsoft, Google, Amazon, Red Hat garanterer IKKE at de ikke vil udlevere data myndigheder når disse har lovlige krav på det. Tværtimod de siger helt åbent og ærligt at de vil udlevere data hvis der er lovlige krav om det.

Du bliver ikke bildt noget ind. Det er udtrykkeligt undtaget i alle deres license agreements. Tag fx. Google (http://www.google.com/intl/en/policies/privacy/) vedr. "Information we share":

"We will share personal information with ... disclosure of the information is reasonably necessary to: meet any applicable law, regulation, legal process or enforceable governmental request..."

Det store problem er, at vi er mange som mistænker at det i USA er lovligt at overvåge ALLE udenlandske statsborgere, og at de begrænsninger der er på overvågning i USA ikke gælder for udenlandske borgere og virksomheder.

Dermed er det et problem med ALLE tjenester som er baseret i USA (og måske endda med alle tjenester som udbydes af virksomheder som er noteret i USA - dvs selvom cloud tjenesten som fx. hos Microsoft vælges fra Irland eller Holland).

Det er ikke et problem med enkelt virksomheder, og du løser det ikke ved at købe services hos et andet amerikanst noteret selskab.

  • 3
  • 9
#24 Poul-Henning Kamp Blogger

Har NSA iøvrigt kode i Freebsd/"trustedbsd"? ;-)

De er mig bekendt med ind over en masse af DARPAs arbejde, så det har de formodentlig.

Det kode jeg har set fra NSA er utroligt kompetent skrevet.

Konsensus rundt omkring er at når noget kommer ud af fordøren hos NSA, artikler i journaler, open-source contributions og den slags, så er de formodentlig 100% OK, fordi NSA ikke vil tabe ansigt.

Det er når ting kommer ud af bagdøren vi har balladen...

  • 12
  • 1
#25 Poul-Henning Kamp Blogger

Hvad er dine indtryk, er det komplet paranoia, og hvordan ser det ud i BSD-land?

Det er forkert at køre udenom entropy-poolen, men det er næppe et sikkerhedsproblem med mindre du prøver at styre centrifuger eller beregne faststof-fysik under højt tryk og/eller temperatur.

Folk der har kigget på dem, siger at der er mindst 10% af en nutidig Intel/AMD CPU der ikke kan aktiveres med kendte instruktioner og offentligt tilgængelig mikrokode.

  • 7
  • 1
#27 Kenn Nielsen

For os handler det om at undgå spionage, som vi ikke har nogen chance for at stoppe med politik, love eller retssager.

Her er jeg ganske enig, men så bliver jeg lidt forvirret:

Det er forkert at køre udenom entropy-poolen, men det er næppe et sikkerhedsproblem med mindre du prøver at styre centrifuger eller beregne faststof-fysik under højt tryk og/eller temperatur.

Her virker det som om du mener at der er 'nok' sikkerhed hvis man blot afholder sig fra bestemte uønskede emner..

Men..vi kan jo ikke regne med fortrolighed baseret på emne.

Derfor er det vel et problem hvis vi ikke har muligheden for korrekt sikkerhed på grund af bevidst fejlbehæftede funktioner.

K

  • 0
  • 0
#29 Morten Wittrock

Altså hele systemet ville jo være fuldstændig værdiløst, hvis man kunne omgå overvågningen vha. p2p-netværk, så mon ikke man kan konkludere, at der kun sorteres p2p-trafik fra, der allerede én gang er identificeret som Iron Man 3, der hentes for 200000. gang. Det er i hvert fald "high-volume, low-value traffic".

  • 0
  • 2
#30 Kenn Nielsen

Det var et forsøg på at indikere at der er behov for forskellige niveauer af paranoia, afhængig af hvor meget man pisser USA af...

Og cirka sådan var det også opfattet, men hvor jeg ikke har noget imod at Uncle SAM forsøger at 'regulere' ved at opnå adgang når han er pisset af, så mener jeg ikke han har ret til at kunne vade lige ind i dagligstuen, for 'lige at checke' nårsomhelst det passer ham.

Jeg mener det skal gøres så svært som muligt for Uncle SAM og andre, at det kun er ved større konkrete mistanker at det anses som 'besværet værd' at checke.

Og det kræver jo at krypteringsstakken ikke er pillet ved.

K

  • 2
  • 0
#31 Jørgen Larsen

Der er tilsyneladende udbredt enighed om, at det er på tide at 'genoverveje IT-sikkerheds filosofien'. Den udvikling skal vi tydeligvis IKKE forvente kommer fra det politiske establishment, der er mere optaget af, at beskytte lovgivningsprocessen mod offentlighedens nysgerrige øjne.

Hvad jeg mangler er konkrete, let forståelige krav, der kan mobilisere befolkningen. Hvis ikke, så er det kun et spørgsmål om tid før det 'frie' samfund er en saga og det digitale diktatur en realitet. Et sådant samfund ønsker jeg ikke for min datter. Jeg er så naiv, at jeg tror det gælder mange andre. Hvor starter vi ....?

  • 5
  • 0
#32 David Nielsen

Altså hele systemet ville jo være fuldstændig værdiløst, hvis man kunne omgå overvågningen vha. p2p-netværk, så mon ikke man kan konkludere, at der kun sorteres p2p-trafik fra, der allerede én gang er identificeret som Iron Man 3, der hentes for 200000. gang. Det er i hvert fald "high-volume, low-value traffic"

hvad så hvis man først sender det andet indhold 4/5 dele henne i ironman 3 overførselen...

tror altså ret meget at systemet er værdiløst til terrorist-bekæmpelse... (til andre formål kan det formentlig være helt fint)

  • 2
  • 0
#34 ab ab

Altså hele systemet ville jo være fuldstændig værdiløst, hvis man kunne omgå overvågningen vha. p2p-netværk, så mon ikke man kan konkludere, at der kun sorteres p2p-trafik fra, der allerede én gang er identificeret som Iron Man 3, der hentes for 200000. gang.

Hvis du vil blive klogere på det, kan du jo tage udgangspunkt i oplysningen om, at deres p2p-filter skærer 30 pct. af trafikken fra og så sammenholde den med troværdige statistikker for hvor stor en andel af den samlede trafik, denne type indhold normalt udgør.

Ifølge denne prognose fra Cisco udgør fildelings-trafik 21 pct. af den samlede "consumer"-trafik på nettet i 2013: http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/...

Derudover er det en smule svært at forestille sig, at GCHQ skulle have et antal medarbejdere beskæftiget med at beregne checksums på diverse rippede udgaver af premierefilm med henblik på at blackliste disse. Men den slags oplysninger kan man givetvis købe sig til / kræve udleveret ude i byen.

  • 0
  • 0
#38 David Nielsen

Hele humlen ved Bit Torrent er jo netop, at klienten skal kunne genkende de enkelte stumper, du modtager, og sætte dem sammen igen, vel vidende at hvad du står med er den fil, du forventer. Der er hashing helt central.

ja, det er jeg med paa... men transporten er encrypted... lidt ala ssl forbindelser mellem peers... (dog svagere "encryption")

det er formentlig forholdsvis hurtigt at bryde det - men nok ikke i realtime... og saa skal det ind i deres backend til storage og decryptes... - og store/delete er nok en dyr process mht. fragmentering.....

  • 0
  • 0
#39 Jesper Louis Andersen

det er formentlig forholdsvis hurtigt at bryde det - men nok ikke i realtime... og saa skal det ind i deres backend til storage og decryptes... - og store/delete er nok en dyr process mht. fragmentering.....

Givet jeg har implementeret et par BitTorrent-klienter gennem tiden: Protocol Encryption (PE) har til formål at lave obfuscation af strømmen så det er sværere at detektere det som BitTorrent trafik a priori. Ideen er at gøre det svært at lave traffic engineering på strømmen som mange ISPer gør for at styre deres båndbredde.

Sikkerheden er ikke specielt høj.. 60-68 bits og det må siges at den confidentiality der opnås er temmelig begrænset. Men du kan ikke længere snappe infohashen headeren og dermed er det sværere at byde på hvad der overføres. Typisk kan du alligevel lave TE ved at detektere mønsteret i hvordan der kommunikeres fordi der ikke gøres noget for at stoppe informationsteori-angreb og side-channel leaks.

Hvis NSA lytter med på BitTorrent trafik, så gør de det gennem trackeren. De scraper bare isohunt/tpb og gemmer infohashes for alle filer. Så henter de dem som en klient og gemmer indholdet på en disk i Utah. Det har også den fordel at du hurtigt kan scanne en harddisk og matche op mod kendte checksums på filer og så undlade at kigge på dem. Med andre ord kan du hurtigt finde unikke filer på en disk og det kan være meget rart hvis du er igang med at finde ud af hvad en harddisk indeholder.

Det smukke i hashes er at du har så mange muligheder for hurtigt at afgøre om disken har interessant materiale: Bloom filters, hash tries, ... og det kan du gemme på en almindelig laptop uden at afsløre for meget om hvad det er du gemmer.

Når man kigger på datacenteret i Utah og dets størrelse, så kan man godt lave et gæt på hvor meget data de kan gemme der. Og det er ikke småting. Så det er relativt sandsynligt at de har en art "dropbox klon" hvor de forsøger at indexere alt verdens data på kryds og tværs.

  • 3
  • 0
#40 John Andersen

Måske får man lidt mere med i købet end forventet med en Chromebook? Hvis Google er i lommen på - eller måske rettere: har hænderne i lommen på - NSA, så er det jo alletiders instrument til indhentning af information fra intetanende brugere?

  • 1
  • 0
#41 Jesper Ravn

Microsoft prøver at lave damage control via nedenstående link. Håber det lykkes for dem. Med alle de lækkede dokumenter, har jeg ikke fantasi til, at de skulle lyve eller prøve at manipulere yderligere i den nuværende situation.

Statement from Microsoft about response to government demands for customer data http://www.microsoft.com/en-us/news/Press/2013/Jul13/07-11statement.aspx

Responding to government legal demands for customer data https://blogs.technet.com/b/microsoft_on_the_issues/archive/2013/07/16/r...

  • 1
  • 1
#42 Donald Axel

Der er statistisk sandsynlighed for, at MS og andre store firmaer enten forsvinder eller bliver splittet op og ændrer karakter. MS har ændret karakter, men har været i den position, at de kunne være bagefter uden at tabe markedsandele - indtil nu. De har fornyet sig med produkter, som alle peger i retning af markedsdominans. Der er stof nok at analysere og forstå. Om der så går 2 år eller 20 år før MS er noget andet end pengeopkræver for Gate's fond, det kan andre måske sige ud fra detailleret viden.

  • 0
  • 1
#43 Jesper Lund Stocholm Blogger

Der er mange ting vi ikke ved endnu, men en interesserer mig særligt: Tjener de store USAnske IT-firmaer faktisk penge på PRISM ?

Er Amazons 'cloud' priser lave fordi NSA giver tilskud ?

Er USAnske Tier-1 og -2 netværk billigere fordi NSA betaler godt for at kunne aflystte andre landes interne traffik ?

Hvor er vi henne med "ikke-USAnske" men globalt dækkende netværk som Telia ? Bliver de betalt af NSA for at aflytte ?

Hvad med TDC, CSC og andre udenlandsk ejede IT-mastodonter på dansk jord ?

Reelt synes det ikke sandsynligt, at NSA skulle betale penge for data - det virker som om, at det er langt nemmere at få data udleveret ad rettens vej ... helt gratis. Men dine pointer er da interessante - om ikke i monetær art men måske mere i retning af "venlige relationer". Det er da også et åbent spørgsmål, om det bette klaps over nallerne, som Google fik af FTC efter at have brugt 122 millioner dollars på at drive lobbyvirksomhed specifikt rettet imod FTC i processen, reelt var indirekte betaling for at NSA fik forbedrede muligheder for at følge med i Googles brugeres gøren og laden på GMail, Google Apps og søgninger på google.com .

Dermed slipper NSA for at skulle have penge op af lommen, og Google slipper for at skulle lave om i den måde de driver forretning på.

Win/win?

Eller: hvor meget betaler Google PHK for konsekvent at angribe Googles konkurrenter men aldrig selv at nævne Google ved navn?

  • 1
  • 3
#44 Jesper Lund Stocholm Blogger

Måske får man lidt mere med i købet end forventet med en Chromebook? Hvis Google er i lommen på - eller måske rettere: har hænderne i lommen på - NSA, så er det jo alletiders instrument til indhentning af information fra intetanende brugere?

Mig bekendt har der ikke været lækket dokumenter, der fortæller, at NSA har fået indbygget bagdøre i klientsoftware som Chromebook, Google Chrome eller Microsoft Office/Windows for den sags skyld. NSA har fået adgang til firmaernes sky-services ... og det er jo selvfølgelig træls nok i sig selv.

  • 0
  • 2
#45 Claus Jacobsen

kunne de så ikke alligevel implementere en eller anden form for antivirusscanning eller lignende funktion? Hvad enten det er powerpoints der ligger i en dropbox eller skydrive eller lignende. så kunne det da være rart hvis de så også brugte regnekraften til noget "fornuftigt" (som et lille plaster på såret over at de får lov at rode i undertøjsskuffen) Jeg støtter ikke op om ideen bag, men kan sagtens se at for en "institution" som ikke kender fjendebilledet (for det kender man jo reelt ikke i dag) så er man nødt til at skyde gråspurve med tykke bertha for at forsøge at finde dem.

  • 0
  • 1
#47 Claus Jacobsen

i henhold til dansk lov er det ikke tilladt at dublere de oplysninger til et amerikansk site. (what happens in denmark stays in denmark.) Derfor har MS og en lang række (incl csc) andre af de store "sky" spillere datacentre i de lande som har specifikt restriktive lovgivninger omkring transport af data over landegrænser.Vi er ikke de eneste der har den holdning dog - der er rent faktisk en del rundt om i europa som heller ikke lige har lyst til at have data flyvende over grænserne. Kunne da tænke mig det var lidt interessant hvis de schweiziske banker fik taget backup i USA :D

  • 0
  • 0
#49 Jesper Lund Stocholm Blogger

@Jesper Lund Stocholm - perfid, uværdig og helt unødvendig kommentar.

Tjoeh ... jeg må indrømme, at jeg har savnet dig ved min side de utallige gange jeg har fået samme eller tilsvarende svada hældt i hovedet af PHK og andre ... det skyldes måske, at kritik af PHK er "off limits" ... hvad ved jeg.

Hvis du virkeligt mener, hvad du siger, så synes jeg du skal starte med at gå efter PHK alle de gange han har givet mig sådan en "perfid, uværdig og helt unødvendig kommentar." Så kan vi bagefter snakke om, hvorvidt jeg skal undskylde ovenstående eller ej. Alt andet vil jo være hykleri. Det er jo ikke ligefrem fordi du er ny bruger på Version2, Jørgen.

Mig bekendt er Google et amerikansk selskab og altså indirekte nævnt.

Og dette er præcist min pointe - PHK nævner aldrig Google ved navn - kun deres konkurrenter. Sidste gang han var ude med riven forsøgte han først at (bort)forklare med noget halvkvædet ævl om at Google vist engang havde udgivet noget OSS ... men erkendte senere, at grunden til at han ikke nævner Google er, at Microsoft har pisset ham mere af end Google har.

Men seriøst - PHK er jo integriteten selv ... jeg nægter at tro, at han skulle være så lille et menneske - der må stikke noget mere under.

Måske er Google begyndt at spytte penge i Varnish? Det ville jo forklare opførslen - men bider jo ikke den hånd, der fodrer én.

  • 1
  • 4
#51 Jørgen Larsen

@Jesper Lund Stocholm - Du har garanteret allerede lært det i skolegården. Argumentet om, at de andre også laver ulykker er ikke en undskyldning for dig. Det er, hvis jeg må være så fri, en lidt barnlig opførsel.

Det interessante er i hvilket omfang Microsoft, Facebook, Google m.fl. er en integreret del af PRISM overvågningen og ikke mindst, hvad vi skal stille op med den situation. Hvis Du har et bud på det, så hører jeg den meget gerne. Men personfnidder, nej tak - det er komplet uinteressant.

  • 3
  • 0
#52 Jesper Lund Stocholm Blogger

@Jesper Lund Stocholm - Du har garanteret allerede lært det i skolegården. Argumentet om, at de andre også laver ulykker er ikke en undskyldning for dig. Det er, hvis jeg må være så fri, en lidt barnlig opførsel.

Så læser du ikke, hvad jeg skriver. Jeg siger ikke, at fordi PHK har beskyldt mig for at få penge fra Microsoft for at sige, hvad jeg siger, så kan jeg gøre det samme imod ham.

Jeg siger, at fordi lige netop PHK har en enorm historik i at beskylde folk for at få penge fra Microsoft, hvis de eksempelvis ikke udelukkende tilbeder bygningerne i Mountain View, så er det hyklerisk, når du eksempelvis aldrig har påpeget dette overfor PHK men går efter mig, når jeg tager mig den frihed at så tvivl om PHKs integritet.

  • 0
  • 3
#53 Jørgen Larsen

@Jesper Lund Stocholm - Kunne det tænkes at det skyldes, at jeg aldrig har læst en sådan kommentar (hvilket jo som bekendt ikke er det samme som den aldrig er fremsat)? Jeg nævner det blot fordi det synes at være en mulighed Du tilsyneladende udelukker.

Når det er sagt, så kan jeg altså ikke se, at mit angivelig hykleri fritager dig? At jeg opfører mig dårligt gør ikke din bedre, vel? Men siden Du synes at være i tvivl. Efter min opfattelse, så bør man - uanset HVEM der fremsætter dem - afholde sig fra den slags personfnidder.

Kan vi nu forsøge at sparke til bolden og ikke til manden? Hvad er dit bud på indholdet i det PHK skriver?

  • 3
  • 0
#54 Jesper Lund Stocholm Blogger

Kan vi nu forsøge at sparke til bolden og ikke til manden? Hvad er dit bud på indholdet i det PHK skriver?

Jeg er ikke med på den hysteri-vogn PHK forsøger at sparke igang - jeg tror ikke på, at NSA betaler for at få adgang til at lytte med.

Med hensyn til konsekvenserne af afsløringerne, så synes jeg det kommer meget an på, hvem man er. Som privatperson er jeg godt og grundigt sovset ind i Googles tjenester - og selvom jeg teknisk set nok kunne bikse mig ud af at lave noget tilsvarende på min egen hardware (mail, web-docs etc), så er jeg ikke villig til at bytte den "convenience" jeg får fra Googles produkter med hvad jeg selv kunne lave - selvom jeg ville kunne opnå fuld kontrol med mine data, emails etc. Jeg er ærligt talt også - som privatperson - ret ligeglad med, om NSA lytter med på hvad jeg skriver til min kone om.

For virksomheder vil det sikkert betyde ændringer - i hvert fald for de større af dem. Man kan sige, at de nu er nødt til at forholde sig til nogle spørgsmål som de ret beset burde have tænkt over tidligere. Jeg skrev tidligere, at flere af de kunder jeg har været ved har haft politikker omkring, hvad der måtte være i skyen (tanker om erhvervelse af patenter etc). Andre har ikke. En kunde jeg har været ved tidligere er lige skiftet til Office365, og hele deres mailsystem ligger dermed nu i Microsofts sky. Det få dem til at overveje, om de eventuelt skulle flytte deres mailsystem tilbage til matriklen. Microsoft sælger jo Office365 bla. med netop begrundelsen at man kan have noget af det liggende hos sig selv - så det er oplagt. Udfordringen er jo, at mange har opfattet "interne mails" som netop dette - "interne" og den opfattelse må mange naturligvis revurdere. Også kunder af Google Apps (hvor alt naturligt nok ligger i Googles sky) må spørge sig selv, om det stadig er en god idé. Eksempelvis kan det nu virke en smule underligt, at et medie som Berlingske bruger Google Apps og GMail (selvom Berlingske nok retfærdigvis nok kun er maginalt interessant for NSA ifht en ny "Watergate skandale").

Så jeg er enig med PHK i, at vi vil se virksomheder, der flytter deres data tilbage på egen hardware.

Jeg har ingen grund til at tvivle på, at virksomheder som Microsoft og Google ikke udleverer data til NSA i "bulk" - men kun data for specifikke brugere, så jeg er relativt fortrøstningsfuld overfor om jeg skulle fange NSAs interesse. Mere speget bliver det jo naturligvis for virksomheder og den kommunikation som deres ansatte gør med hinanden ("interne" mails"), for hvis deres data er lagt i Googles sky og én af deres ansatte i fritiden gør noget dumt og fanger NSAs opmærksomhed ... får vi så et nyt Airbus/Boing-mareridt?

  • 2
  • 0
#55 Jørgen Larsen

@Jesper Lund Stocholm - Først og fremmest tak for det udførlige svar.

Jeg har nok ikke helt den samme tillid til de nævnte virksomheder. Det er en enorm magt, som står til disposition for NSA. Efterretningstjenesterne har aldrig holdt sig tilbage for at udnytte menneskelige svagheder - tror heller ikke det vil være tilfældet i fremtiden. Indsigt, viden og pression mod udvalgte nøglepersoner vil være et effektivt våben.

Hvis vores amerikanske 'venner' kan udfolde så mange anstrengelser mod EU, hvad skulle afholde dem fra at gøre det samme mod Danmark? Frygten for, at vi med vores utrolige kompetencer skulle afsløre dem? Næppe.

Men det er vel mere alvorligt, end som så. For selv om virksomhederne hiver data tilbage til eget hardware, så er det næppe nok.

Kan vi OVERHOVEDET tillade, at der bliver brugt closed software i den offentlige sektor?

Kan vi OVERHOVEDET tillade, at data udliciteres til private ( og i særdeleshed amerikanske) virksomheder?

Ovenstående er i hvert tilfælde nogle af de spørgsmål vi bør stille os selv. Men nu handler det jo IKKE kun om os mod USA. Der er meget som tyder på, at Tyskland, England m.fl. har været aktive deltager og leverandører i dette PRISM system. Det handler jo mindst lige så meget om, at vi overvåges mere og mere af vores eget statsapparat UDEN vi har en kinamands chance for at se, hvad der foregår.

Er vi i overhængende fare for et digital baseret diktatur, næppe. Men vi har lagt de første grundsten.

  • 3
  • 0
#56 Jesper Lund

Jeg har ingen grund til at tvivle på, at virksomheder som Microsoft og Google ikke udleverer data til NSA i "bulk" - men kun data for specifikke brugere [...]

Når vi taler om ikke US-personer, giver USAs lovgivning, specielt FISA 702, mulighed for at NSA kan få udleveret data "in bulk", hvis NSA ønsker dette.

Det er kun for US-personer at myndighederne skal indsnævre deres anmodninger til en konkret person.

  • 4
  • 0
#57 Poul-Henning Kamp Blogger

Jeg er ikke med på den hysteri-vogn PHK forsøger at sparke igang - jeg tror ikke på, at NSA betaler for at få adgang til at lytte med.

Jamen tillykke med din faktastridige holdning.

Vi ved de betaler for alle "wiretaps", for det har deres Højesteret besluttet at "law-enforcement" skal når de pålægger private firmaer byrder.

Præcist hvor kreativt det bliver fortolket, eller hvad taksterne er for andet end almindelige kriminalsags-aflytning, ved vi derimod ikke.

  • 4
  • 0
#58 Jesper Lund Stocholm Blogger

Vi ved de betaler for alle "wiretaps", for det har deres Højesteret besluttet at "law-enforcement" skal når de pålægger private firmaer byrder.

Men så snakker vi om to forskellige ting. Det synes ganske rimeligt, at staten i et vist omfang kompenserer virksomhederne, hvis de pålægges byrder - jeg formoder, at kompensationen er nogenlunde svarende til de udgifter virksomhederne har. Jeg tvivler på, at staten (her: USA) betaler mere end hvad de skønnede omkostninger er. At den amerikanske Højesteret skulle have tilladt endsige sanktioneret dette synes usandsynligt.

Men hvis salgspriserne for virksomhedernes services bliver (langt) mindre, hvis de er pålagt overvågning, så er det jo ikke det vi snakker om. Så snakker vi om, at NSA enten betaler meget mere for overvågning end det koster virksomhederne, eller også snakker vi om, at NSA går til virksomhederne med følgende besked:

I har to valg:

1) Vi tropper op med en dommerkendelse (eller lignende) og tvinger jer til at give os de specificerede data - hvad dette så medfører af udgifter til papirarbejde, advokater og lignende ... eller 2) Vi giver jer 50 millioner dollars og så giver I os alle de data vi gerne vil have.

Jeg tror ikke på den sidste - og springer dermed ikke på din hysterivogn.

  • 1
  • 1
#59 Jesper Lund Stocholm Blogger

Jeg har nok ikke helt den samme tillid til de nævnte virksomheder.

"Tillid" forstået på den måde, at virksomhederne opfører sig som de nu engang skal og bør som aktieselskaber. Dette betyder bla. andet,

  • at firmaer som Google, Microsoft og Apple forsøger at maksimere deres profit
  • at firmaer som Microsoft, Google overholder gældende love - og reagerer korrekt på henstillinger fra politi, efterretningsvæsen etc
  • at firmaer som Apple, Google og Microsoft ikke spilder deres penge - så når Yahoo! eksempelvis trækker NSA i retten for at undgå at skulle udlevere data (og taber), så spilder Apple ikke deres aktionærers penge ved at anlægge en identisk retssag
  • 0
  • 2
#60 Casper Jensen

Jesper Lund Stocholm,

jeg kan ikke se hysteri nogen steder. Jeg kan se en mand der påpeger nogle mulige scenarier.. så kan jeg se anden mand der ikke er enig.

Hvor i lægger hysteriet?

Der bliver skrevet i et indlæg læggere opppe at der har været en sag hvor NSA har opsnappet et bud fra Airbus og lækket det til Boing så de kunne vinde en ordre.

Jeg ved ikke lige om det er sandt eller ej, men ingen her har skrevet det er forkert så mon ikke det passer. I så fald er der jo precedes for at NSA bruger sin information til skabe unfair konkurrence i USA farvør..

Jeg synes der er godt grund til at PHK løfte sine bekymringer og jeg synes da ikke han eller andre lyder hysteriske.

Jesper, sæt mig lige på plads :)

  • 0
  • 0
#62 Poul-Henning Kamp Blogger

Jeg tvivler på, at staten (her: USA) betaler mere end hvad de skønnede omkostninger er. At den amerikanske Højesteret skulle have tilladt endsige sanktioneret dette synes usandsynligt.

Du burde studere hvordan alt hvad der bare emmer lidt af "forsvar" og "landets sikkerhed" forgår i USA...

Jo, der kan sagtens blive betalt mere end tingene koster, (ikke mindst på grund af rå inkompetence) og der kan sagtens blive lavet alle mulige studehandler uden at Højesteret bliver spurgt.

I dette tilfælde ved vi at den juridiske "godkendelse" er sket i hemmelighed, med kun USAs regering som part i forhandlingen, ikke nogen udpeget "stråmand" for den anden part og dommerne bliver enevældigt udpeget af præsidenten for Højesteret, uden nogen som helst offentlig eller politisk kontrol.

I det miljø kunne det være meget tænkeligt at Microsoft har fået et tilbud der lyder "I køber Skype og giver os adgang, formedelst XXX mio$ om året" hvor XXX er et meget stort tal, fordi den "intelligence" der forventes at kunne indhentes "har meget høj værdi".

I den situation kan NSA tillade sig at prissætte efter "avoided cost" modellen: "Hvad ville det ellers koste af aflytte Skype" og så er en pris på 2- eller 3-ciffrede millioner pludselig småpenge at betale.

  • 1
  • 0
#63 Jens Hansen

Reelt synes det ikke sandsynligt, at NSA skulle betale penge for data - det virker som om, at det er langt nemmere at få data udleveret ad rettens vej ... helt gratis. Men dine pointer er da interessante - om ikke i monetær art men måske mere i retning af "venlige relationer".

Den tidligere CEO for Qwest har afsløret, at NSA har brugt i størrelsesordenen af 2 milliarder USD på at involvere de førende amerikanske internet- og mobiltelefoni-udbydere i et 'infrastruktur-program' ved navn 'Groundbreaker'. Direktøren afslørede ved samme lejlighed, at NSA koblede udbydernes vilje til at samarbejde om at etablere wiretap-adgang sammen med muligheden for at modtage betaling for at deltage i Groundbreaker-programmet:

http://dailycaller.com/2013/06/13/jailed-qwest-ceo-claimed-that-nsa-reta...

at firmaer som Apple, Google og Microsoft ikke spilder deres penge - så når Yahoo! eksempelvis trækker NSA i retten for at undgå at skulle udlevere data (og taber), så spilder Apple ikke deres aktionærers penge ved at anlægge en identisk retssag

Det har været umuligt for firmaerne at undgå at spilde penge på redundante retssager, da overdragelsen af disse National Security Letters per definition er hemmelige ligesom eventuelle retssager afledt af dem er det. Med andre ord har det været op til de enkelte it-firmaers samvittighed om de ville tage en retssag på det eller ej og her må man konstatere, at Yahoo var villige til at kæmpe for deres brugeres privatliv, mens Microsoft omvendt var villige til at bukke sig over baglæns for på forhånd at kompromittere deres brugeres sikkerhed - hvis Snowdens oplysninger ellers står til troende.

  • 0
  • 0
#64 Jesper Lund Stocholm Blogger

Du burde studere hvordan alt hvad der bare emmer lidt af "forsvar" og "landets sikkerhed" forgår i USA...

Jojo ... men det er jo heldigvis ikke sådan (længere), at bare man siger "terror", så er pengekassen uendelig stor i USA. På samme vis er NSAs budgetter til overvågning heller ikke uendeligt store (omend de ganske vist er meget store).

Det er ikke det samme som at det ikke sker - jeg vil bare gerne have lidt mere håndfaste beviser end dine konspirationsteorier.

I det miljø kunne det være meget tænkeligt at Microsoft har fået et tilbud der lyder "I køber Skype og giver os adgang, formedelst XXX mio$ om året" hvor XXX er et meget stort tal, fordi den "intelligence" der forventes at kunne indhentes "har meget høj værdi".

Ja, eller at NSA sagde til Google, at

Nu kan vi jo se, at I allerede har brugt 122 millioner (!) på at påvirke FTC i deres undersøgelse af jeres dominans og imellem os, så er de klar til at smadre jeres forretning. Hvad nu hvis vi snakker med dem og får dem til at ændre deres holdning - så vil vi gerne have live feed af jeres brugeres data på søgninger, emails og chat.

Man kan forestille sig meget. Tænk et øjeblik over, hvor meget værdien for NSA ville være at få adgang til data om alle søgninger på Google?

  • 0
  • 0
#65 Jesper Lund Stocholm Blogger

Direktøren afslørede ved samme lejlighed

Det rette ord er vel "påstået", er det ikke?

her må man konstatere, at Yahoo var villige til at kæmpe for deres brugeres privatliv

Jeps - af de 9 virksomheder som nævnes på den famøse PowerPoint slide, er det kun Yahoo!, der mig bekendt strittede imod. Også Google og alle deres advikater har åbenbart vurderet, at det ikke nyttede at trække NSA i retten.

Hvis ens advokater vurderer, at NSAs ønske om deltagelse i fx PRISM vil holde i retten, så er det spild af penge at ignorere det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere