Hvis du installerer en app som Signal på en Android enhed, må du stole på både udvikleren af Signal og på Google (og alle andre som har leveret software og hardwarekomponenter) . En app som Signal er nemlig nødt til at vise beskederne i klartekst på skærmen. Så uanset hvor godt dataoverførslen er krypteret, må du stadig stole på at telefonen (Google) ikke sender et screenshot el lign. til ‘the bad guys’. Sorry..
Er jeg den eneste der undrer sig over at advokater og andre professionelle sagsbehandlere igennem 27 år tilsyneladende har fået udleveret personoplysninger på personer der slet ikke er tilknyttet sagerne, uden at nogen har rapporteret en bug? Har man ikke nærlæst de udleverede data? Eller er alle bug-rapporter blevet ignoreret? Eller hvad? Samme undren havde jeg med teledata, hvor de mistænkte ifølge de udleverede data havde bevæget sig rundt midt ude på havet. Var der ingen der rapporterede en fejl? Hvorfor ikke?
“Kun programmøren ved hvad hans software gør”. Det er jo egentligt rigtigt nok. Man skal huske at der altid er mange flere programmører involveret i eksekveringen af et program end de fleste gør sig klart. Der er mikrokode i cpu’en. Noget af det kan endda ikke skiftes ud hvis det viser sig at det indeholder en usikkerhed. Så er der bios. Og operativsystemet. Der er kode i harddiske. Og der skal installeres drivere til diverse komponenter. Næsten alle programmer indeholder biblioteker fra diverse tredjeparter. Og det hele skal kompileres og linkes med værktøjer som i princippet kan snige deres egen kode med i pakken. Så der er angrebspunkter nok at tage af. Og hvis programmøren kan garantere at hans program er 100% sikkert, har han sikkert bare lukket øjnene..
Det er meget let at forestille sig et apparat som har en bootloader der tjekker signaturen på firmwaren (eller en anden vigtig fil) under opstartsprocessen. Hvis et certifikat er udløbet kommer apparatet aldrig op og køre. Hvis man loader en ny firmware skal den være signeret med et certifikat som Bootloaderen kender og som ikke er forældet. Men hvis alle rodcertifikater som bootloaderen understøtter er udløbne, er man doomed.
Glem ikke at mange brugere frivilligt har installeret et eller flere plugins i deres browser som indsamler alle de url’s som de besøger til brug for statistik og/eller videresalg. Det være sig Avast, WOT eller andre ‘sikkerheds’-plugins. Der har tidligere været flere artikler om det på Version2. Så derfor må en ‘hemmelig’ url ALDRIG stå alene som en sikkerhedsmekanisme.
Som forsvarsadvokat har man jo nok ikke haft den store motivation til at anfægte et bevis der siger at den sigtede har befundet sig i Adenbugten på tidspunktet for den forbrydelse man er anklaget for. Og hvis de har lagt mærke til problemet har de jo nok kunnet hjælpe deres klient bedst ved at tie stille. Så det er nok blandt anklagerne man skal lede efter dem der virkeligt kunne have fået noget ud af at være mere omhyggelig..
Når du bruger Chrome browseren stoler du allerede på at Google ikke indsamler hvert eneste URL du besøger. Hvis de ville indsamle data om hvad du kigger på kunne de jo bare gøre det direkte i browseren. Så får de også hele stien med i stedet for kun domænet.
10.000 sager, og der er ikke en eneste efterforsker eller forsvarer der har undret sig over at en mast er placeret på en ulogisk position, fx ude i vandet, midt på en parkeringsplads eller en vej eller oven på en villa? Måske er det ikke koordinaterne på masterne der har været forkert? Måske er der snarere byttet om på mastenumrene?
Behovene er forskellige. Et webkamera eller en temperatursensor, tyverialarm eller lignende har du måske behov for at kunne tilgå når du ikke er hjemme, men de har ikke noget behov for at tale med andre enheder på hjemmenetværket. Et tv/tvbox, etc, har måske behov for at tilgå nettet for at streame video imens apparatet benyttes. Mange enheder vil have behov for at downloade sw opdateringer.
Jeg Undgår så vidt muligt IoT enheder. Men når de er absolut nødvendige får de lov til at komme på min routers gæste-netværk, hvor enhederne ikke kan se hinanden eller tale sammen, men kun får adgang ud på nettet. Det løser dog ikke alle problemer men hjælper nok lidt.
Er det ikke relevant at spørge hvem der har udleveret disse ulovlige data til kommunerne? Kommunerne burde vel slet ikke have haft adgang til dem i ikke-anonymiseret form. Efter GDPR træder i kraft gælder retten til at blive glemt vel også disse data. Hvis data incl. personnummer er givet videre til forskning eller diverse medarbejdere, er der forhåbentligt nogen der får travlt. I hvert fald bør de mærke konsekvenserne hvis persondata dukker op igen efter at de er blevet ‘slettet’.
En GPS modtager er da overflødig på en fastmonteret installation. Positionen er jo bare en konstant som man kan lægge i en database eller konfigurationsfil.
Det er faktisk interessant at udregne energiforbrug pr betaling i stedet for pr bitcoin. Som jeg forstår det blive energien fortrinsvis brugt til at udvinde bitcoins, hvorimod betalingerne ikke kræver det store. Så jo mere valutaen bliver brugt i praksis des lavere bliver energiforbruget pr betaling. Men hvis energiforbruget pr betaling er urealistisk højt i forhold til andre valutaer, kan man diskutere om valutaens eksistens kan begrundes med et praktisk behov, eller om den primært bliver udvundet for sin egen skyld. Altså med spekulation for øje.
Din private samtale med personen du mødte på hotellet er lige blevet gemt i skyen. Alt hvad du har sagt bliver nu husket til evig tid... ;-)
Der findes i dag regler om offentligt ansattes tavshedspligt. Der kan uddeles bøder eller fængsel op til 2 år for overtrædelser. Er der nogen der ved om disse paragraffer kan bruges til at komme efter en ansat som fx har sendt en mail til den forkerte medtager? Eller sendt persondata til en databehandler uden at de nødvendige papirer er i orden? Bøder til ansatte må antages at skabe et stort pres indefra for at få tingene fixet...
Det er ikke sikkert at denne metode skal bruges som bevis i retssalene. Politiet kan jo tænkes at bruge metoden til at identificere forbryderen, hvorefter der indsamles "gammeldags" beviser. Så eksponerer man ikke sit nye værktøj.
Det ville være interessant, men sikkert også meget sværere, at undersøge om det er den kriminelle adfærd der er skyld i forskellene i ansigtstrækkene, eller om mennesker med bestemte (medfødte?) ansigtstræk er mere tilbøjelige til at begå kriminelle handlinger. Og om en person der forlader en kriminel løbebane evt. ændrer ansigtstræk. Men psykologerne er sikkert allerede i gang...
Man kunne jo også slukke for telefonen og andre elektroniske enheder hvis man laver ting der har behov for ekstra høj sikkerhed...
Jeg tror at nogen herinde glemmer hvad en browserhistorik egentligt er: En samling af url'er du tidligere har besøgt. Sandsynligvis også påstemplet med dato og tid. Hvordan kan forskerne så afsløre så meget om den enkelte? Mit gæt er at de ikke blot har analyseret url'et, men også set på hvad der gemmer sig bag linket, altså 'klikket' på det. Og hvad kan man så finde? Mange tjenester sender såkaldte 'private' links til deres brugere. Fx får du et link på e-mail, hvis du har glemt dit password til en hjemmeside. Når du klikker på det kommer du måske til en side ser viser dit brugernavn eller e-mail og beder dig indtaste et ny password. Eller, "velkommen som ny bruger, klik her for at bekræfte din e-mail". Hvis sikkerheden ikke er helt i top, kan disse data måske stadig vises flere måneder efter at linket er udsendt. Andre 'private' links kunne være til fildelingstjenesten, hvor din ven har lagt en fil der var for stor til at sende på e-mail. (Årsregnskabet til virksomheden, kundelisten, eller...) Og du behøver måske ikke at registere dig for at downloade filen. Det er sikkert nok, for det er jo kun dig der har linket, ikke? Eller dit arbejde der er så venlige at sende dig et 'privat' link hvor du kan se din lønseddel. Mulighederne er uendelige. Selv om mange tjenester er sikre at benytte, hvad tror du der ville komme frem hvis man loadede dine sidste 100.000 klik igen? Og så er der selvfølgelig de links der indeholder e-mail eller anden privat information i klar tekst.
Daniel Lindholm