Computer Sikkerhed: Game Over (play again ?)
Vi er i store træk nået til hvor computersikkerhed og i særdeleshed privacy er ikke existerende for flertallet af befolkningen.
Ud over deciderede kriminelle, er modstanderne også firmaer som Google og Apple hvis forretningsmodeller er centreret omkring målrettet annoncering. Dertil kommer teleselskaber der gerne vil tjene penge på "value-add", butikskæder der gerne vil lave "market surveys" og politikere der gerne vil reducere de offentlige udgifter ved digital selvbetjening, politistyrker der febrilsk prøver at opretholde deres voldsmonopol (og i visse tilfælde justificere deres overgreb og lovovertrædelser).
"Hvis du ikke betaler for en service, er det dig der er varen" som det er blevet udtrykt, og manner der bliver langet varer over disken, seneste er hele Israels personregister blevet solgt billigt, inklusive stamtavler og hele svineriet.
I lyset af den indlysende katastrofale overpopulation af Homo-Sapiens kan man naturligvis anlægge den kyniske holdning at nogen skal jo malke flokken, men det er temmelig langt fra de idealer vores bedsteforældre skrev ind i FNs menneskerettigheder.
Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.
Situationen er strategisk set ikke helt ulig den situation Niels Bohr analyserede i sit berømte brev til FN og løsningen er muligvis den samme: Tag værdien ud af magtmidlet.
Leg lidt med følgende tanke:
Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.
I stedet for at forsøge at opretholde illusionen om at vi har et privatliv, kaster vi os bevidst ud i et panoptikon og tilpasser vores opførsel derefter.
Det løser mange problemer der idag skyldes hemmeligholdelse af information for dem der kan verificere dem.
F.eks kan alle se om direktøren der render af pladsen for at "bruge mere tid med familien" eller af "helbredsmæssige årsager" løj.
Sorte penge, moms og Skattesnyd ? Held og lykke med det, når alle fra din jaloux svoger til naboen kan se hvad du betaler.
Løndiskriminering ? Jeg giver det 20min, max.
Er din cykel blevet stjålet ? Check selv overvågningskameraet for at se hvem der har gjort det.
Kører direktørbilen foran som en idiot ? Slå nummerpladen op, ring til dem og tilbyd dem en video...
Tager teenageren ikke telefonen ? Eller er din telefon blevet stjålet ? Check teleselskabets database for at finde ud af hvor den er henne.
Hvorledes vi indretter vores samfund er for os selv at beslutte og nu hvor vi i vores dårskab har lukket denne ånd ud af flasken, uden nogen realitisk chance for at få den proppet tilbage, bør vi overveje om vi istedet kunne få den til at arbejde for os.
Alternativet er at vi står i præcis sammen situation med vores privacy, uden at høste en eneste af de mulige fordele.
phk
PS: En eller anden, check lige om Stephan Engberg stadig trækker vejret :-)
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
for det første vil det medføre misbrug og for det andet vil det voldsomt reducere værdien af de opsamlede data og derfor vil det økonomiske encitament formindskes ved at opbygge databaser.
Så kan man arguementere at det er en god ting og der vil blive færre databaser, men desvære overser det argument at der er en masse databaser der skal opbygges for at samfundet fungere (og virksomhedder fungere).
Hvis adgangen til dem ikke blev reguleret af en centraladministration så ville de blive misbrugt.
Det er lidt som når republikanere i USA argumentere for at den bedste måde at løse problemerne ved at den føderale stat ikke fungere som de gerne vil ha det, er at afskaffe den og demokratiet i samme pennestrøg...
Det er et falskt argument som cherrypicker i virkeligheden for at opnå relevans. Privatlivets fred er en af retstatens grundpiller og selv om det kan kompromiteres så gør det at det er ulovligt at forbryde sig mod den at langt de fleste afholder sig fra at gøre det. Inklusive myndighederne, specielt i form af den udøvende magt.
Desuden gør det meget nemmere at bevise at der er kriminele intentioner bag ved fx at en politiassistent slår op i strafferegistret for at se om hans søsters nye kæreste har en fortid hos politiet, eller når en skattefuldmægtig slår op i en tilfældig borgers skatteforhold. De manglede autoritation så derfor var det ulovlig adgang.
Desuden så er der informationer som aldrig kan tåle dagens lys... fx en liste over beskyttede addresser... navne og addresser på specialstyrkernes familier. Databasen over hvem der har fået taget en HIV test eller databasen over de mails du sender til din advokat når du modtager et krav fra skat som de ikke er beretiget til ? Hvem du har ringet til og hvornår ? Hvor du har brugt dit kredit kort og til hvad ? Om du har sukkersyge eller kræft eller en genetisk disposition til at få en af de to ? det vil forsikringsselskaberne sikkert være intresteret i at få...
Det er ikke et tankeeksperiment det er bare ren idioti både praktisk og juridisk. Ja der er folk der bliver hacket og ja der er databaser der bliver kompromiteret, men at komme fra at det er et problem som der findes relativt fornuftige løsninger på (lovkrav om inspektion fra et databasetilsyn når man opbevare data i databaser om folk fra Danmark, på samme måde vi stiller krav til importerede fødevare) til at sige "hey ville det ikke bare være nemmere at afskaffe konceptet privatliv"
Evt. den løsning som sundhed.dk har for læger der har lidt for lange øjne og ser på andre end deres egne patienter... der sendes der et faktisk brev til patienten om at læge X (som ikke er din egen læge) har tilgået dine fx. lab prøvesvar. Det er i særdeleshed enkelt at fuske for der er mange læger i det danske land der skal ha adgang til patient labsvar men hvis du snager i noget der ikke er dit sendes der svar til den om hvem du har lange øjne... Et system der måske kunne implementeres hos skat, så når andre end den skattemedarbejder der faktisk er tilknyttet din sag (navnet på hvem du kan få oplyst hos skat) tilgår din sag hos skat så får du brev.
Eller en linjeprinter der skriver alle opslag ud... men hvis vi nu fik etableret standarter for hvad man skal gøre for at ha lov til at opbevare data så ville det være et godt trin fremad med et certifikations program så fx. hosting tjenester kunne godkendes til forskellige niveauer af fortrolighed i privat regi. Med et godt budget så den godkendes opdateres og opfølges på.
- more_vert
- insert_linkKopier link
Vil i oprette en database over oplysninger i egentligt ikke vil ud med hvis loven krævede at databasen skulle offentliggøres ?
- more_vert
- insert_linkKopier link
Informationer om hvem der er medlemmer, samt om de har betalt er da relevant information, også selvom at det skal offentliggøres.Vil i oprette en database over oplysninger i egentligt ikke vil ud med hvis loven krævede at databasen skulle offentliggøres ?
- more_vert
- insert_linkKopier link
og du kan ikke finde på nogen som helst måde at løse dette problem anden end med en database med navn/personnr. ?Informationer om hvem der er medlemmer, samt om de har betalt er da relevant information, også selvom at det skal offentliggøres.
Hele problemet er at man tror at man behøver at vide hvem medlem 104538-A er... det gør man ikke.
- more_vert
- insert_linkKopier link
lige pt. er databasen navn+adresseog du kan ikke finde på nogen som helst måde at løse dette problem anden end med en database med navn/personnr. ?
Det er ret relevant at vide hvis man skal sende ting til dem, eller sikre sig at kun medlemmerne opnår medlemsfordelene.Hele problemet er at man tror at man behøver at vide hvem medlem 104538-A er... det gør man ikke.
- more_vert
- insert_linkKopier link
Ting ? Medlemsblade etc. kan downloades fra foreningens hjemmeside. "Medlemsfordele" får man ved at fremvise sit medlemskort som man har fået ved oprettelsen.Det er ret relevant at vide hvis man skal sende ting til dem, eller sikre sig at kun medlemmerne opnår medlemsfordelene.
- more_vert
- insert_linkKopier link
nogle foreninger bruger papir baserede medlemsblade.Ting ? Medlemsblade etc. kan downloades fra foreningens hjemmeside. "Medlemsfordele" får man ved at fremvise sit medlemskort som man har fået ved oprettelsen.
Medlemskort kan fortabes, og så skal man have udleveret et nyt. Medlemskort kan gives til andre, og det kan være nødvendigt at sikre sig at kun det rigtige medlem kommer ind. Derfor kan det være nødvendigt at have en database med oplysninger.
- more_vert
- insert_linkKopier link
Ja... det kan filer med medlemsplysninger også. Taber man et kort så indmelder man sig bare igen og når det gamle ikke bliver betalt så bliver det automatisk lukket, big deal.Medlemskort kan fortabes.
Anonyme foreninger har eksisteret i hundredevis af år, du har et problem med at forstå det fordi du ikke vil have at det skal være anonymt.
- more_vert
- insert_linkKopier link
Jeg er ikke i tvivl om at anonymitet kunne benyttes i mange tilfælde, hvor man ikke gør det idag, ofte med fordel for medlemmerne. Jeg tvivler dog meget kraftigt på at det praktisk kan lade sig gøre alle steder, hvor man idag bruger personhenførbare oplysninger.
Eksempelvis giver det god mening at biblioteket registrerer hvem (personhenførbart) der har lånt hvilke bøger, med henblik på at kunne sende rykkere og indkræve bøde/erstatning, hvis du ikke afleverer bogen til tiden (eller overhovedet). Det er også en god service at man kan få tilsendt en email eller sms med en påmindelse når en tidsfrist nærmer sig. Det betyder ikke at jeg vil give alle adgang til at vide hvilke bøger jeg har lånt på et givent tidspunkt (hvem ved om det fx kunne give problemer at have lånt De Sataniske Vers, hvis man skal besøge Iran?) eller at jeg vil give fx spammere min email og/eller mit telefonnr.
- more_vert
- insert_linkKopier link
Det er jeg da helt enig i. Mange steder bliver det bare gjort fordi det er nemt og ligetil at bruge navn. Den dybere ide er ikke at anonymisere alt men ikke at føre registre som ikke er strengt nødvendige.Jeg er ikke i tvivl om at anonymitet kunne benyttes i mange tilfælde, hvor man ikke gør det idag, ofte med fordel for medlemmerne.
- more_vert
- insert_linkKopier link
Hvad med yderlige foreninger, fx. Den Danske Forening, Nazi partiet, kommunisterne, ... Eller diverse homosexuelle foreninger? Eller måske de homofobe foreninger? Ville du også tvinge dem til at offentliggøre deres medlemsdatabase?Vi fjerner databeskyttelsesloven og erstatter den med en datapubliceringslov, der pålægger alle der indsamler data eller opbygger databaser af nogen som helst art, at gøre disse gratis tilgængelige for offentligheden.
- more_vert
- insert_linkKopier link
Hvad med mindretals beskyttelse?Ja, alle er ens for loven.
- more_vert
- insert_linkKopier link
PHK, husk nu at sætte dine artikler i ironi tags, ellers kan folk ikke forstå at de ikke er alvorligt ment.
- more_vert
- insert_linkKopier link
PS: En eller anden, check lige om Stephan Engberg stadig trækker vejret :-)
Stephan Engberg lever og har det godt - ovre på computerworld.dk. Han er da for nem at overvåge, til at du behøver efterlyse ham :-)
- more_vert
- insert_linkKopier link
Det ved ingen - og derfor manglen på tillid. Eneste vej ud af den situation, er at give individet sin suverenitet tilbage - at han/hun selv kan bestemme hvem han/hun vil stole på, at han/hun selv kan bestemme hvem der må vide hvad om ham/hende, at eliminering af alle lange øre - enhver politimyndighed og efterretningstjenestes mareridt, eller som i Danmark, enhver myndigheds mareridt.
Som vores faktiske produktion (primær sektoren) stille og roligt bevæger sig mod 0 således gør vores tillid - og sjovt nok hænger det sammen. Det minder vel efterhånden mest af alt om en stor børnehave.
- more_vert
- insert_linkKopier link
Øehm - hvordan kan man det? Nu ved jeg ikke, hvilke programmer du har på din laptop, men selv med en kontorpakke og en browser er du oppe på et anseeligt antal kodelinier at gennemtrævle for at kunne være så "skråsikker".Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer
- more_vert
- insert_linkKopier link
Omtalte roman bruger samme ide men tilføjer en ophavsretsbetaling: Når noget data bliver læst, modtager både den, der har publiceret dette data og alle, der optræder i dette data, en mikrobetaling. Der bruges ansigtsgenkendelse til at se hvem, der optræder i billeder og film, og al data har indkodet ophavsret.
Det ville hurtigt gøre det urentabelt at lave databaser over mennesker: Hver gang nogen bruger basen, deler du mikrobetalingen med alle personer i listen.
- more_vert
- insert_linkKopier link
Når diskussionen nærmer sig privatlivets fred, så plejer jeg altid at pege på Daniel Soloves paper om emnet: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565
Jeg synes det er en fantastisk analyse af prisen man betaler.
- more_vert
- insert_linkKopier link
Øv, kommer vi så ikke til at se en phkSSL i nærmeste fremtid? :-)
- more_vert
- insert_linkKopier link
- more_vert
- insert_linkKopier link
Jeg er formodentlig en af de ganske få personer i Danmark der kan stole næsten 100% på at have kontrol med sin laptop computer, men prisen derfor er totalt uacceptabel for almindelige mennesker, f.eks kan (og vil!) jeg ikke se Flash-animationer, youtube videoer og andet grafisk flim-flam.
Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.
Personligt kører jeg også altid NemID i en virtuel maskine, fordi jeg synes det er specielt problematisk at staten skal diktere hvilke closed source-programmer der skal køre uden for sandkassen på min computer.
- more_vert
- insert_linkKopier link
Hvorfor er det at mange giver Apple æren for noget de ikke skal ha' æren for! Hvis du skal gi' æren for HTML5 til nogen, skal den gives til Opera Software som fandt på "ideen" til HTML5. Derefter var det chromium projektet som havde den bedste html5 support i starten. (Det er det så vist ikke mere... ved bare ikke lige hvem der har den bedste nu?)Lige YouTube (og mange andre film-sider) kan man jo se via HTML5 video. Det kan du takke Apple's iPad for, som har tvunget alle til at bruge HTML5 fordi Apple ikke ville inkludere flash. Ironisk nok var denne tvang kun muligt, pga Apple's big brother-agtige kontrol med hvilke programmer som kan køre på deres devices.
- more_vert
- insert_linkKopier link
Nogen, der kalder sig det navn, kommenterede angiveligt om emnet i oktober:
http://fos.au.dk/archives/491#comment-3202
Og "Who would claim to be that who was not? Hmm?" (The Untouchables, 1987)
- more_vert
- insert_linkKopier link
Umiddelbart lyder det måske besnærende at alle skal have lige adgang til data, og at din mulighed for at skaffe information om hvad Google, PET eller din nabo laver skal være lige så god som Googles eller PETs mulighed for det samme (det vil dog kræve at PET og Google udviser samme "åbenhed" som de forventer af os, eller måske snarere tiltvinger sig hos os).
Jeg tror bare at det scenarie bliver endnu mere "de stærkes ret" end det persondatakaos som vi ser i dag (det er på ingen måde ikke skrevet for at forsvare den nuværende tilstand, men forandring skal ex ante være "til det bedre", ellers skal man lade være).
Analyse af de mange data som nu på papiret bliver tilgængelige for alle vil kræve betydelige ressourcer, enten tid eller computere (en serverfarm som hos Google eller NSA er ikke indenfor mit budget). Hvis du har en forretningsmodel baseret på kommerciel profilering eller paranoid masseovervågning af befolkningen, har du disse ressourcer i forvejen. Den almindelige borger har dem ikke, og den almindelige borger vil formentlig blive taberen i dette spil.
- more_vert
- insert_linkKopier link
Jeg tror bare at det scenarie bliver endnu mere "de stærkes ret"
Det afhænger udelukkende af hvad vi skriver i vores straffelov...
- more_vert
- insert_linkKopier link
Det afhænger udelukkende af hvad vi skriver i vores straffelov...
Både straffeloven og persondataloven har den begrænsning at de kun gælder i Danmark (eller EU hvor persondatalovene bygger på et fælles EU direktiv; dog synes tyskerne at få mere ud af deres persondatalov end vi gør, og Irland synes at køre med en forholdsvis liberal fortolkning for at tiltrække filialer af amerikanske virksomheder).
Vi kan reelt ikke regulere hvad Google og Facebook gør. Det er vi nødt til at acceptere, og problemet skal naturligvis ikke løses med DNS blokering, uanset hvad de nævnte firmaer gør i USA. Vi kan ikke på samme tid kritisere Kina for censur og forsøge at udstrække dansk lov til at gælde i hele verden (og vi vil også blive til grin hvis vi gjorde det).
Vi kan heller ikke regulere hvad USAs regering gør med de mange persondata som vores egne EU regeringer frivilligt udleverer til dem via aftaler om PNR data med ikke-eksisterende retssikkerhedsgarantier eller ikke-eksisterende muligheder for aktindsigt (aftaler der primært er lavet af cover-my-ass hensyn for de europæiske flyselskaber, da USA faktisk har alle data i forvejen eftersom alle PNR databaser spejles i USA, og USAs regering har direkte feeds til de databaser som er i USA) eller anden adgang til danske persondata (fingeraftryk og DNA, for at tage et eksempel hvor Danmark har indgået en "bilateral" aftale med USA).
Hvis vi (som "Danmark") skal gøre noget, skal vi starte hos os selv. Når først persondata er havner hos Facebook eller Google er det for sent. En teknisk detalje, som jeg synes er overset, er at Google og Facebook ikke kan indsamle deres data alene. De er i høj grad afhængige af lokale medløbere som DR der bruger Google Analytics og placerer Facebook "I Like" tracking widgets på deres websider. Det er efter min mening videregivelse af persondata (trafikdata) til tredjepart uden samtykke, og det er noget som vi kan skride ind over for -- hvis vi vil.
- more_vert
- insert_linkKopier link
Vi kan reelt ikke regulere hvad Google og Facebook gør.
Præcis, eller for den sags skyld den russiske, italienske, kinesiske, japanske eller USAnske organiserede kriminalitet.
Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?
Argumentet har været brugt tidligere i Dansk lovgivning, f.eks med billedpornografiens lovliggørelse og den fri abort.
- more_vert
- insert_linkKopier link
Så er løsningen ikke give alle andre samme muligheder, for på den måde at reducere den fordel de lovløse har ?
Hvon' synes du denne model virker i USA hvor det står indskrevet i grundloven at alle har ret til at bære våben for at kunne forsvare sig overfor lovløse med våben? Lad mig minde om at USA er et af de lande med mest kriminalitet og flest folk i fængsel. Jeg vil påstå, at uregulering ikke er vejen frem.
- more_vert
- insert_linkKopier link
Det står der ikke i USAs forfatning og sagen er en hel del mere nuanceret end du giver udtryk for at have gennemskuet.
- more_vert
- insert_linkKopier link
Fortolkningen af Second Amendment af forskellige stater er egentlig irrelevant, pointen er at det udspringer af "The people have a right to bear arms for the defense of themselves and their own state, or the United States, or the purpose of killing game..."[http://www.constitution.org/mil/rkba1982.htm]Det står der ikke i USAs forfatning og sagen er en hel del mere nuanceret end du giver udtryk for at have gennemskuet.
Og analogien er vel åbenlys, du argumenterer for ingen regulering, jeg påpeger hvad der sker når man bare giver los. Om det er æbler, våben, pærer eller privatliv er vel i princippet underordnet.
- more_vert
- insert_linkKopier link
Har du overvejet at undersøge den faktiske tekst, istedet for at citere en eller anden propagandaside ?
"Amendment II
A well regulated Militia, being necessary to the security of a free State, the right of the people to keep and bear Arms, shall not be infringed. "
- more_vert
- insert_linkKopier link
Propagandaside? Det oprindelige amendment er fra 1789, og er ikke i sig selv særlig interesant. I USA må man bruge tidligere domme til at danne præcedens, hvorfor den oprindelige tekst med "milits" i sig selv ikke betyder en dadel, bortset fra at den var første link i kæden. Læs selv om District of Columbia v. Heller, United States v. Cruikshank mf.
Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering. Skal vi bare lade Iran berige så meget uran som de har lyst til, når bare vi har mere end dem så går det jo nok? Med status-quo har man dog trods alt mulighed for opt-in (køb dig en feature phone, browse nettet uden cookies, køb økologisk), hvorimod alternativet helt sikkert ikke vil tilbyde opt-out. Dén praksis kan du allerede observere med rejsekortet, der ganske vist giver dig mulighed for opt-out, mod så lige at snuppe 60% eksta.
- more_vert
- insert_linkKopier link
Min pointe forbliver stadig den samme, man får sjældent noget konstruktivt ud af at fjerne regulering.
Se det er jo kernen: Du har misforstået mit forslag. Der er ikke nogen regulering der fjernes, tværtimod bliver der tilføjet en "Jeg håber du har taget nok med til alle" regulering så alle kan komme ligeligt til fadet. Dertil skal der føjes de nødvendige forandringer i straffeloven ("Den der uretmæssigt tilbage holder data fra andre..." osv)
- more_vert
- insert_linkKopier link
Propagandaside? Det oprindelige amendment er fra 1789,[...]
Det er som med alle andre lov tekster den vedtagne tekst der tæller.
- more_vert
- insert_linkKopier link
Det er som med alle andre lov tekster den vedtagne tekst der tæller.
Det er vist den Napoleoniske/KontinentalEuropæiske lovopfattelse.
Er Angelsakisk Lovopfattelse ikke meget mere lovtekst+domme?
- more_vert
- insert_linkKopier link