Lad mig starte med at spørge, overholder Søren Pind loven
Det burde slet ikke være nødvendigt at skrive, men hæng lige på.
Ja, det må vi gå ud fra, vi må formode at justitsminister Søren Pind har tænkt sig at overholde gældende lovgivning. Altså hvis vi snakker om lovene, så er det jo ham, som laver lovene. Selvfølgelig ikke alene, og vi har et stort smidigt apparat som sættes igang og som lystigt indfører de vilde love.
Så det kræver blot lidt kriser, som Matt Blaze @mattblaze Scientist, safecracker. med egen cryptoblog http://www.crypto.com/blog/ skriver:
FBI/DoJ has effectively portrayed a minor aspect of an investigation of a months old crime as an urgent crisis. Crises create bad policies.
https://twitter.com/mattblaze/status/702230956413837312
Vi har nu en skrækkelig storm som hvirvler støv, støj og argumenter rundt imellem hinanden i zombiesessionslogningens hellige navn. Desværre er det ligesom mange andre emner et område der ikke kan forklares med 140 tegn på et enkelt tweet. Bonus er der også, idet FBI og Apple er røget i totterne på hinanden offentligt, igen.
Nu skrev jeg igen, og til de nyankomne, herunder JM Søren Pind, ja - vi der har fulgt IT-sikkerhed igennem flere år, læst om cryptowars og clipper chip som studerende i 1990'erne ved - der er mere mellem linierne. Det er ikke ment afskrækkende for dem som vil være med i debatten. MEN hvis du siger Apple og FBI sagen handler om at FBI blot vil åbne een telefon, og de bare skal komme igang, og det er nemt. Så har du i den grad misforstået hvad der er på færde.
Ligeså er det beskæmmende at høre/læse "Rigspolitichef til politikerne: De kriminelle løber fra os på nettet" http://www.b.dk/nationalt/rigspolitichef-til-politikerne-de-kriminelle-loeber-fra-os-paa-nettet
Vi ved fra EFF at FBI har brugt udtrykket Going Dark mindst siden 2009, se eksempelvis https://www.eff.org/deeplinks/2011/02/newly-released-documents-detail-fbi-s-plan-expand . Hvornår præcist det blev en forfattet strategi betyder måske mindre idag, men det er vigtigt at vi forstår at man som myndighed, politi, efterretningstjeneste selvfølgelig gerne vil have de bedste muligheder for at "efterforske" "alvorlig" "kriminalitet" specielt hvis det er udført af "terrorister". Politiet har også udgivet en morsom PDF om sessionslogningen igår,
https://www.politi.dk/NR/rdonlyres/9BD7DDDF-731E-431C-903E-6D4C22BE483C/0/Politietomsessionslogning.pdf
Hacker 6.6.6.6 bliver et udtryk vi kommer til at grine længe over. Mest fordi indlægget er så pinligt og med stor mangel på kvalitetssikring, blandt andet er adresserummet 6.0.0.0/12 i brug af "DNIC-AS-00768 - Navy Network Information Center (NNIC),US". Der er er også et guldeksempel om at "Logning er også et redskab til at beskytte uskyldige borgere". Det ville Gottfried Warg gerne høre mere om, hvis ikke han på utilstrækkelige beviser, men med stor ihærdighed blev dømt 3,5 år i CSC hackersagen.
BTW hvad er definitionen på en terrorist, for den med at sprede frygt sker pt. fra toppen af dansk politik!
Nå, men vi er heldigvis i Danmark, og der er mange der siger imod.
- Jakob Willer siger fra med teleindustrien
- Jeg siger fra som faglig IT-mand cand.scient +25 år og sikkerhedstester
- Rasmus Theede @RTheede Formand for Rådet For Digital Sikkerhed, speaker og generel cyber ildsjæl. er aktiv i debatten
- Jesper Lund @je5perl Formand for IT-Politisk Forening er hyperaktiv, og kender sessionslogning i Danmark
- @MogensRitsholm der kender logningen, har været med til at drive den tidligere, er aktiv
- Advokatsamfundet siger Debat: Sæt logningsreglerne på standby http://www.advokatsamfundet.dk/Service/Nyheder/2016/Debat%20Saet%20logningsreglerne%20paa%20standby.aspx
- it-advokat Martin von Haller Grønbech har en kommentar til logningen http://www.version2.dk/artikel/it-advokat-om-sessionslogning-selvfoelgeligt-har-det-en-vaerdi-men-617124
- Anette Høyrup @AHoyrup Seniorrådgiver/ cand.jur. Forbrugerrådet Tænk. Privacyekspert
- 25 organisationer har skrevet åbent brev til justitsministeren
Dansk Magisterforening
PROSA
Politik og Kommunikation, IT-Branchen
DI Digital
Dansk Metal
Bitbureauet
Teleindustrien
HORESTA
Forbrugerrådet Tænk
Andelsboligforeningernes Fællesrepræsentation
Retspolitisk Forening
Dansk Erhverv
Dansk Journalistforbund
Dansk Energi
Advokatsamfundet
Danhostel
DANSK IT
Campingrådet
Justitia
IT-Politisk Forening
SAMDATA\HK
Amnesty
Danmarks Restauranter & Cafeer
Erhvervs- og Vækstudvalget, IDA
KLID https://www.prosa.dk/fileadmin/user_upload/dokumenter/politik/2016-02_justitsministeren_om_internetsessionslogning.pdf
og det er ikke kun for at være besværlige, men fordi vi er bekymrede.
Der er mindst to grunde til at vi er bekymrede, og jeg vil fokusere på to her:
- Risiko for misbrug logningsdata
- Udvidelser for brug af logningen
Risiko for misbrug af logningsdata
Når vi har virksomheder der ikke kan beskytte kreditkortdata, web sites der ikke kan beskytte brugerprofiler, begge dele noget som har værdi for firmaet. Hvorfor skulle internetudbydere så kunne beskytte logningsdata effektivt.
NB: med effektivt menes, så der ikke sker indbrud og misbrug.
Vi har en del trusler imod data:
- Hackere
- Fremmede stater, Belgacom
- Misbrug til kommercielle formål, vores egen Se og Hør/IBM sagen
- Misbrug fra statens side, vi har PNR sagen hvor man guddødme når man finder ulovligheder blot straks vil tillade misbruget at fortsætte, ved at fremsætte lovforslag som gør det lovligt
- Misbrug fra statens side, kameraer er i vælten i denne tid. Ulovlige kameraer som optager gader og stræder ulovligt er "nyttige" og skal derfor lovliggøres - uden yderligere diskussion? WTF, er det en retsstat som blot vælger at indsamle data ulovligt
Misbrug er når data indsamlet til et formål bliver brugt til et andet. Så hvis Pind ellers kunne beslutte sig til hvilken løftestang der skal bruges til sessionslogningen, så kan jeg garantere at brug af data senere udvides. Hvis det skulle vise sig at data bliver misbrugt kan vi jo bare lovliggøre det - ligesom med PNR.
Så der er grund til bekymring for misbrug af data så snart det er opsamlet, misbruget sker altså på opsamlingstidspunktet. Så det vil ikke være klogt at indføre så indgribende tiltag som der pt. er på tegnebrædtet.
Hackersager med kernedata
Nu er 2015 jo stadig tæt på, og der er mange hacks man kunne opremse, for der går sjældent mere end en uge uden at vi hører om at et 2-cifret millionantal brugeroplysninger er mistet.
Random link, http://www.wired.com/2015/12/the-years-11-biggest-hacks-from-ashley-madison-to-opm/
som har nogle af mine favoritter fra sidste år. (Hint: brugte Google Chrome i incognito mode til at komme omkring login)
Her gengivet forkortet, i tilfælde at artiklen forsvinder:
OPM—the federal Office of Personnel Management. The hackers, reportedly from China, maintained their stealth presence in OPM’s networks for more than a year before being discovered. Ca 21 millioner personer påvirket - vel og mærke med detaljerede informationer om deres liv
Juniper NetScreen Firewalls, mindst to bagdøre, SSH remote login og VPN kryptering " The backdoor is the kind that a nation-state intelligence agency would love to have to give it the ability to intercept and decrypt large amounts of VPN traffic. " - hvis man skal videre ind i en virksomhed, for eksempelvis at udnytte de allerede eksisterende logningsmuligheder for at lave uautoriseret aflytning kunne det være interessant
Ashley Madison, datingsite for dem som ønsker at være utro, eller måske blot er homoseksuelle på besøg i USA, som bliver stenet hvis det afsløres i deres arabiske hjemland (genfind selv Reddit tråden om dette specifikke emne). Antal brugere påvirket, ca. 32 millioner - plus/minus for der er nok en del robotter imellem.
Gemalto
Nation-state hacks connected to the NSA and the British intelligence agency GCHQ were in the news again this year. This time the victim was Gemalto, a Dutch firm that is one of the leading makers of mobile phone SIM cards.- Kaspersky Lab er med på listen, et anti-virus firma som er specialiseret i malware - bliver hacket.
- Hacking Team, som bygger malware til stater blev hacket, og det gav et indblik i hvordan stater gerne bruger malware til selv at hacke. Selvom HT forsøgte at fremstå med høj moral lader det til at aktivister i diverse lande har været mål for deres værktøjer.
- CIA Director John Brennan hacking er et eksempel på at selv højtstående profiler glemmer sikkerheden
- Experian’s T-Mobile Customers, ca. 15 millioner
- LastPass, som gemmer password for brugere, herunder mig! Firma med fokus på sikkerhed, og heldigvis blev alle passwords ikke grundet designet offentliggjort
- US Internal Revenue Service, skat i USA fik ca. 300.000 borger der blev påvirket af hack
- Anthem Health insurance providers, "access to data on some 80 million current and former customers"
og dejligt hvis du stadig hænger med.
Fællestræk for ovenstående og mange andre hacks og angreb er at her er det kernedata fra virksomhederne. Data som er forsøgt beskyttet efter bedste evne. Det er også større professionelle organisationer som kender til IT-sikkerhed.
Så danske virksomheder som ligger inde med data generelt skal være opmærksomme på truslerne. Danske virksomheder, og staten bør medvirke til at kun de mest nødvendige data opsamles, behandles og gemmes.
Data som samles til bunke er et mål - punktum. Data som ligger i et hjørne som skal opbevares billigst muligt og kun er en omkostning er en høj-latent risikofaktor og vil resultere i misbrug og læks.
NB: når man bygger systemer til lawful intercept kan det ske at selvsamme systemer bliver misbrugt til at lave uautoriseret aflytninger. Det er et emne som Pind slet ikke overvejer, når han bliver ved med at gentage papegøje-agtigt, "med dommer osv osv." Det er noget vi kender eksempler på helt tilbage fra gammeldags telefoniaflytning med Sun servere som hackere brød ind i og optog føderale agenters samtaler, må være i 1990'erne et sted har ikke link ved hånden.
Udvidelser for brug af logningen
Her er vi på Søren Pinds hjemmebane.
Politiet har brug for logning af internettrafik ... til alvorlig kriminalitet forstås.
Alvorlig kriminalitet er i denne omgang
- onlinemisbrug af børn
- hackingsager
- terror
Der mangler kun stoffer for at have fuld bingoplade med https://en.wikipedia.org/wiki/Four_Horsemen_of_the_Infocalypse Jeg betragter hacking som organiseret kriminalitet, idet malware idag produceres professionelt på softwarefabrikker og selv hackersager med få personer nemt fremstilles i dansk ret som målrettet, alvorlig, organiseret osv. Så vidt jeg forstår var det i starten af året her ikke terror der skulle bære det igennem, men måske årsdagen for terror blev for tillokkende, eller blev terror holdt som es i hånden til diskussionen kom igang?
Det lyder jo fint, og sjovt nok giver det en urgency, en krise, et formål der ikke må forspildes. Der er også en kommentar i Berlingske artiklen om at politiet ikke vil udtale sig om terrorangrebene i København sidste år. Hint: læs
@je5perl på twitter start med https://twitter.com/je5perl/status/702203304676298753
Så selvom rigspolitichefen ikke vil udtale sig om denne sag, læs ikke vil dementere at det kunne bruges, så pusher justitsminister Pind denne sag som om den kunne være løst på bedste CSI vis med sessionslogningen.
Se bl.a. http://www.politiko.dk/nyheder/pind-medier-tager-ikke-trusler-mod-danmark-alvorligt eller find hans eget facebook opdatering hvor han kalder sig frihedsministeren.
Politiet siger til mig, at dette instrument kunne have ført til, at Omar El Hussein eventuelt ville være blevet pågrebet hurtigere. Jeg gad godt se den justitsminister, der i den sammenhæng ville svigte sin opgave og blankt afvise dette, skriver Søren Pind i sin status, som han til slut underskriver "Frihedsministeren".
Har han helt tabt jordforbindelsen?
Så hvis logningen indføres i den form der er lagt op til, så er det en justitsminister der blindt vil følge politiets ønsker, selvom vi har EU der var imod den forrige logning, der var MINDRE indgribende.
Så vil det være klogt at indføre logningen i en sådan grad, og give nøglerne til en frihedsminister/sherif?
- ville man give Stalin adgang til denne logning? eller Trump, hvis man er mere moderne. Hvad med Saudi Arabien, eller Rusland
Der vil helt sikkert ske et større skred i brugen af loggen, når nu den er der, så vil det kunne bruges imod politiske modstandere og andre vi er uenige med. Lyder det som lidt søgt, så husk lige de sidste love der er kommet med hensyn til immigranter
Husk også rockerloven, den med henvisning til Tvind og krypterede diske, der tillader dansk politi at inficere din PC med malware og bagdøre. Dansk politi må allerede idag, med støtte i eksisterende lovgivning og selv i relativt almindelige skattesager inficere en mistænkts computer.
Så velkommen til et forsøg på statskrav om overvågning af os alle, arrogant og faktabenægtende hastegennemført af en løgnagtig justitsminister. Jeg tror at Pind vil overholde loven, men jeg er også ret sikker på at han vil foreslå at tilpasse den engang i fremtiden, så den passer til ...
Hvem sagde politikerlede.
PS Hvis du ikke normalt er læser af version2.dk fordi du blot fik linket til denne artikel, så læs også advokat Martin von Haller der taler om sessionslogningen her http://www.version2.dk/artikel/it-advokat-om-sessionslogning-selvfoelgeligt-har-det-en-vaerdi-men-617124
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
