Leorand

5 hours ago, Viking1 said:

De tre store amerikanske aktørene som leverer frittstående skytjenester (Google, Microsoft og Amazon) har sine servere over hele verden, og kundene kan selv velge hvor de vil at dataene skal lagres. Det er derfor ikke noe problem å sikre sine sensitive data i henhold til GDPR.

Nja, tror nesten du har en liten jobb å gjøre med å lese deg opp på hvordan disse lovene fungerer. Anbefaler å starte med bakgrunnen for CLOUD-Act. Wikipedia har en grei oppsummering der. Deretter bør du ta en titt på hva utfordringene i seksjon 702 av FISA faktisk innebærer. Dette er et element som var vesentlig i dommen som kom også.

Men kort oppsummert så er utfordringen at disse lovene gir amerikanske myndigheter rett til å kreve data utlevert fra amerikanske selskaper (som bla.a Google, Microsoft, osv) uavhengig av hvor i verden de har lagret disse dataene.

Det vil i praksis si at myndighetene i USA kan be Microsoft om å utlevere data tilhørende norske kunder, lagret på servere lokalisert i datasentre de har i Norge, uten at det norske myndigheter har noe det skulle ha sagt. De blir ikke en gang informert.

Dette handler vel mer om risikoaksept? For slik jeg leser dette så vil ikke lengre EU akseptere risikoen via Privacy Shield, og overlater til den enkelte organisasjon å selv håndtere dette via SCC? 

For risikoen som ligger i seksjon 702 av FISA, i CLOUD-ACT og seksjon 14 av presidentens  Executive Order som kom 25. januar 2017, den er jo den samme uavhengig av SCC eller Privacy Shield?  Med mindre man kan avtale seg bort fra loven, men antar at det ikke er tilfellet her?

Tror Espen bør ta en titt på denne videoen om 5G, av en som kjører noen tester på det. Hint: Relasjonen mellom rekkevidde og båndbredde. :)

https://twistedsifter.com/videos/5g-in-2019-a-real-world-test/

Vil veldig gjerne se rettspraksis her. GDPR skal i utgangspunktet sikre innbyggerne mot nettopp innsyn/utleveringen amerikanske myndigheter prøver å skaffe seg hjemmel til.

 

En god juridisk vurdering ville vært nyttig. Og da helst en som kunne publiseres. Nederland har gjort en DPIA på Office365, og der fremkommer det en del interessante ting. Blant annet at kundens data gjennomleses for bruk i markedsføring (samme måte som Google gjør med GMail).

Og avgjørelser i amerikansk rett vil nok ha mer fokus på amerikansk lovgivning enn europeisk, slik at GDPR vil tape opp mot f.eks. FISA eller CLOUD-ACT.

At dataene er lagret på norsk jord, er ikke det samme som at det kun er norsk rett som avgjør krav om innsyn. Så lenge det er et amerikansk foretak som drifter tjenesten, så er de underlagt amerikansk lov. FISA og CLOUD-ACT er to som er litt problematiske i forhold til GDPR f.eks. 

Det er to spørsmål man må stille seg før man går ut i skyen:

Er det en akseptabel risiko at en annen stats myndigheter har lovhjemler til å skaffe seg innsyn i dine data? Er svaret ja, så er det ingen problemer - og da spiller det heller ingen rolle hvor selve dataene ligger lagret.

Er svaret nei, må man stille følgende spørsmål til sky-leverandøren: "Kan dere garantere at det kun er norsk rett som avgjør krav til innsyn i våre data". Kan de ikke det, og man ikke kan akseptere risikoen, må man se seg om etter annen leverandør.

Det er et par ting som bør pekes på her. Det første er: Kan en norsk virksomhet akseptere at krav om innsyn avgjøres av et annet lands domstol? Spesielt viktig er dette spørsmålet når det kommer til bruk av sky-tjenester i offentlige virksomheter. 

Det andre er at USA har to lover som man må være oppmerksomme på når man bruker amerikanske sky-leverandører: Cloud-ACT er en av de, den andre er FISA (seksjon 702). Flere leverandører sier de er kompatible med GDPR, men når man pirker litt i materien, så er de faktisk ikke det. Europaparlamentet gikk faktisk så langt at de ba om at "Privacy Shield"-avtalen ble kjent ugyldig, nettopp på grunn av FISA seksjon 702. Skal bli spennende å se hvordan dette kommer til å utarte seg videre.

Til syvende å sist, så er spørsmålet enkelt: Kan man akseptere at innsynskrav til ens data avgjøres av andre enn en norsk domstol? Er svare ja, er ikke dette noe problem (og det gjelder nok de fleste). Kan man derimot ikke akseptere det, vil det være å lure seg selv om man biter på det sky-leverandørene sier.

Igjen,det er spesielt offentlige etater som bør stille seg det spørsmålet. OG de bør være åpne på hva svaret er. Vil f.eks. skatteetaten eller NAV kunne akseptere at et annet land med loven i hånd har muligheten til innsyn i deres data? Og at norsk lov blir underordnet et annet lands lov på dette området?

Apple går bare inn å forandrer passordet på kontoen, så har de like full tilgang som brukeren selv.

...for det ville ikke brukere merke noe av. Og om de gjorde det, ville de så absolutt holde det for seg selv... For mediene ville jo ikke vært interessert i en slik historie...

Kanskje gå å trolle under en annen bru? 

En liten kommentar relatert til backup av iPhone i iCloud. 

Noen data er ekstra beskyttet slik at ikke en gang Apple har tilgang til de. Dette gjelder f.eks. helsedata og iMessages. Dette er på grunn av måten de håndterer krypto-nøklene på. Men når man tar backup til iCloud, så tar man også backup av de lokale nøklene som trengs for å dekryptere iMessages og helsedata. Det vil si at Apple (eller andre) har en teoretisk mulighet til å hente ut meldinger og helsedata.

Dette er noe man bør ha i bakhodet om man velger å bruke iCloud fremfor lokal backup.

Nå skal det også sies at jeg har valgt å ta min personlige backup til iCloud.  

En av TV-reklamene popper selvsagt inn i hodet til flere av oss som leser dette: "Open door"...

 

Jeg hadde i sin tid ICQ-konto med sekssifret brukerID, men den ble plutselig overtatt av en av de karene der.

 

[...]

Haha, samme her! Sekssiftet brukerid som startet på 1

 

Tror dette skjedde for veldig mange av oss. Jeg mistet plutselig tilgangen til min konto også, og fikk høre fra de på kontaktlisten min at de hadde begynt å motta spam fra den. Husker ICQ var veldig populært når vi spilte Ultima Online for mange vintre siden...

I dag foretrekker jeg Signal og den norske Crypho for kryptert chat på nett.

Endelig litt endruelighet og kriserealisme i stedet for krisemaksimering og dommedagsprofetier. Noen som husker år 2000-problematikken?

Husker Y2K-hysteriet veldig godt, da jeg stod midt oppe i det. Men det mange ser ut til å glemme er at det faktisk var all fokuset som ble satt på det mulige problemet, som mest trolig er årsaken til at det gikk så bra som det gjorde. Det ble satt inn ufattelig mye ressurser på å gå gjennom alle mulige problemområder før årsskiftet, og de aller fleste hadde backup-planer om noe skulle feile.

For å få økt fokus på et så viktig område som sikkerhet faktisk er, så blir det litt Ulv-Ulv her og der... Og media er jo sjeldent interessert i å publisere noe med mindre det nettopp har et sensasjonelt skjær over seg, da må man rope litt på "ulven" for å få oppmerksomhet rettet mot problemet.

At Tim Berners-Lee har gjort en god jobb, er det ingen tvil om. Men at han gis all ære for plattformen vi her bruker, synes jeg er veldig skuffende. Han bygget videre på arbeider fra andre før ham, og de ser ut til å gå i glemmeboken.

Det første nettstedet kom i 1991, som er 23 år etter at akkurat samme konsept (med mer avanserte funksjoner) ble demonstrert for første gang. Denne demonstrasjonen kalles gjerne "the mother of all demos", og de som er interessert i å vite mer om IT-historien anbefales å gjøre et søk etter den.

...men arbeidene til Douglad Engelbart bygger også videre på arbeider fra andre. Hvert element tilfører sine forbedringer. Så plukker man ut en "tilfeldig" i rekken som får all æren....

Mor er nok ikke et mål for målrettede angrep fra statlige aktører, men å avvise henne som uinteressant er nok å feie problemer under teppet. Hun har "digitale-kvaliteter" som også en statlig aktør kan bruke, spesielt om hennes PC er koblet opp mot Internet 24/7. Nei, det er ikke mor selv som er av interesse, men å kunne bruke hennes maskin som en del av et større nettverk for å anonymisere og maskere sin egen aktivitet...  Dette er nok også Pretorius klar over.

Et annet spørsmål man bør stille, er hvor lang tid det tar fra et målrettet angrep er gjennomført, til det oppdages av f.eks. NSM. Og når det er oppdaget, i hvor stor grad er de i stand til å forstå hvordan selve angrepet ble gjennomført (om det har gått lang tid fra angrep til man oppdager angrepet)? For det er faktisk flere sårbarheter som oppdages først etter at de er benyttet i et angrep. Dette er nok også noe Pretorius er klar over. 

Men at det ropes for mye Ulv-Ulv, er jeg helt enig i. Spesielt fra kommersielle selskaper som er ute etter å tjene penger på frykten for angrep. Og at Stuxnet nå er melket tom, er også noe jeg er enig i...

En annen viktig ting å ha i bakhodet her, er at NSM har et litt annet fokus enn andre deler av sikkerhetsmiljøet. Viktige viklinger på hele problemstillingen kan man få når man ser andre aktører, som f.eks. hos de som håndterer forsøk på økonomisk kriminalitet. Og her er mor plutselig veldig interessant.

Etter veldig mange intervjuer, kan jeg ikke se at det er en sammenheng mellom karakterer og reell kunnskap om faget. Dessverre, for det ville gjort ting veldig mye enklere.  Derimot er det veldig stor korrelasjon mellom interesse for faget og kunnskap.

Skjønner ingenting, dette er jo formler som de burde kunne...

 

Og husker de ikke ENKLE formler for å hente ut data og standar referanser, så er det noe galt her.

 

Dette skal man jo kunne etter man er ferdig på ntnu... kan man ikke kodinga, så kan man jo ikke forbedre på noe, man ender jo opp med å nermest kopiere en løsning som kansje ikke er optimal for det man skal gjøre... å skjønner man ikke det sikkerhetsmessige i dette, så kan man ende opp med å lage store problemer senere...

 

NÅ må jeg nesten spørre, kan man i dag få seg jobb i store it selskaper uten å kunne det grunnleggende for yrket de søker på... dette er jo store selskaper også, ikke bare It ola normann as som skal lage seg ett enkelt program :x

...tror ikke helt du forstår problemstillingen.  Men jeg kan forsøke å illustrere det med en analogi...

Du kan lese og skrive, samt formulere meninger ved hjelp av ord. Med andre ord, du kan kommunisere. Men det er mer enn ett språk, du skal kanskje formidle et budskap på engelsk, spansk, tysk, arabisk og japansk... I dag trenger du ikke lære disse språkene 100%, nettopp fordi du kan google det frem til hvordan du skal formulere enkel budskap.  Men jo mer du jobber med ett av språkene, jo bedre blir du i akkurat det språket. Men hvor god du er i ett språk, sier lite om hvor dyktig du er til å kommunisere... 

Programmering blir litt likt dette (selv om jeg også ser mange hull i denne analogien). Selv er jeg ikke anser meg som en programmerer, må ofte løse enkle problemer i flere språk. Og da googler jeg meg ofte frem til syntaks ("skal sortere liste med tall, hvilke innebygde funksjoner kan jeg bruke i dette språket?").

Og dette gjelder ikke bare programmering. Det er en hel mengde ting jeg til stadig googler fordi jeg ikke går rundt å husker det.

Har selv intervjuet veldig mange teknikere. De dyktigste er de som både forstår de grunnleggende prinsippene og som har en genuin interesse for faget. Hvorvidt de husker alle intrikate detaljer, er uvesentlig. Det viktigste på et intervju er å teste den grunnleggende forståelsen - den man ikke googler seg til, men får gjennom erfaring.

Kjøpte en ny 2016 modell VW Golf highline stasjonsvogn fra Møller Bil for noen måneder siden. Planen var å kjøpe med ACC, og siden jeg snakken en del med selger om dette så var antagelsen at dette var med i tilbudet. Dessverre for meg, så sjekket jeg ikke dette godt nok, og bilen jeg kjøpte endte opp uten ACC.  My bad.

Nå ønsker jeg å ettermontere dette, men VW sier at det ikke er mulig. Når noen sier at noe er umulig, uten å ville forklare hvorfor, så stiller jeg meg sterkt tvilende til at det er korrekt.

Utfordringen nå er å finne ut hva som faktisk trengs av deler og programmering for å få ACC til å fungere. Jeg har allerede en radar i front, men usikker på om den fungerer sammen med ACC. Har også 7-trins automatkasse og standard Cruise Control.

Jeg antar at radaren må byttes, men vet ikke.

Noen som vet hvilken radar som benyttes i nyere VW Golf med ACC?

Noen som vet hvilke andre moduler som trengs for at ACC skal fungere?

Noen som har interesse og kunnskap om dette, som kan guide meg i riktig retning? Evt vet om leverandører som jeg kan spørre om hjelp (siden Møller bil ikke er så veldig hjelpsom her)?

Har også sjekket hos et tysk firma som heter KUFATEC, og de mener at de kan levere de delene jeg trenger. Men de er veldig lite villige til å si noe om hva de faktisk leverer, utover at det skal fungere på min bil: https://www.kufatec.de/shop/en/volkswagen/golf/golf-7-5q/adaptive-cruise-control-acc-vw-golf-vii-7 - i tillegg så har jeg ikke selv kompetansen som trengs for å få montert og testet dette.

Så hva er argumentet ditt? Joda, overvåkning skjer. Hva mener du det bør få oss til å mene om dette forslaget, og hvorfor?

Så lenge forslag om noen skal eller ikke skal få lov å se på trafikken på nett vekker debatt, så bør vi ta det som et tegn på at vi hverken har god oversikt eller bra løsning på problemet (som overvåkning av trafikk faktisk er).

Men som jeg har sagt tidligere i tråden (nå med uthevinger i rødt):

• Vi kan ikke garantere at trafikken ikke blir avlyttet. Med andre ord, problemet er at trafikk blir avlyttet.
• Siden vi ikke har kontroll med alle som kan avlytte: Å nekte avlytting forhindrer ikke avlytting!

Så må vi se hvordan vi kan løse dette. Dvs, hvordan finner vi riktig problem å løse:

• Når vi vet at trafikk blir avlyttet, må vi treffe tiltak for å hindre at avlyttingen forblir et problem.
• Å nekte enkelte å avlytte, forhindrer ikke andre å fortsette sin avlytting. Med andre ord, avlytting forblir et problem uavhengig av om vi forsøker å nekte aktører å gjøre dette.
• Eneste måten å unngå problemet med avlytting, der hvor avlytting skjer, er å gjøre det umulig for de som avlytter å få noe vettugt ut av trafikken de ser på.
• Eneste måten å beskytte innhold mot avlytting, er bruk av sterk kryptering (og alt som hører med dette)

Når det kommer til "hva vi burde mene om dette forslaget"... Vel, vi burde mene noe som faktisk gjør en forskjell. Å kreve at ingen norske aktører avlytter linjen, gjør ingen betydelig forskjell i den store sammenhengen. Annet enn at vi kanskje føler oss bedre.

Vi bør derimot kreve å få på plass løsninger som gjør at hver enkelt av oss trygt kan sende og motta data på nett, uten at de som sitter å sniffer på linja får noe som helst ut av det. DET vil utgjøre en forskjell.

Årsaken til at de tvil utgjøre en forskjell, er at de som ønsker å drive "lovlig" avlytting, da må kreve tilgang til nøkler. Og å få tilgang til min og din nøkkel er noe som har høyere terskel enn å be om tilgang til å lytte på tilfeldig trafikk som passerer grensen...

"Fordi andre gjør det burde vi gjøre det også" vekker ikke min tillit heller.

...det vekker ikke min tillit heller. Men om dette er en referanse til mitt tidligere innlegg, så er det milevis unna hva jeg sa. 

 

Så må vi se hvordan vi kan løse dette. Dvs, hvordan finner vi riktig problem å løse

 

Reality check: Myndighetene vil aldri ta initiativ til å etablere sterk kryptering som er enkel i bruk. Dette er vårt ansvar.

 

Deler av myndighetene ønsker å overvåke så mye som mulig. Deler av myndighetene ønsker at borgerne skal ha tilgang på godt personvern. Myndighetene er dessverre over hele spekteret, avhengig av hvilken del man ser på.

Derfor vil jeg ikke helt avvise tiltak som kommer fra myndighetsorganer, men for at jeg skal ha tillit til løsningen(e) må det være kontrollert fra kilder jeg har tillit til. Full åpenhet omkring hvordan løsningen(e) er implementert, er et minimum, slik at hvem som helst kan foreta en kontroll (eller få noen de har tillit til å gjøre denne kontrollen).

 

(...)

 

Dette argumentet koker ned til "Fordi andre gjør det burde vi gjøre det også", noe jeg synes ikke er spesielt overbevisende.

 

Nei, du forstår ikke argumentet. Mest trolig fordi du ikke en gang leste hva jeg skrev. 

Men kan bruke mindre teskje:

• Vi kan ikke garantere at trafikken ikke blir avlyttet. Med andre ord, problemet er at trafikk blir avlyttet.
• Siden vi ikke har kontroll med alle som kan avlytte: Å nekte avlytting forhindrer ikke avlytting!

Med andre ord: Avlytting er et eksisterende problem, enten vi ønsker det eller ikke.

Så må vi se hvordan vi kan løse dette. Dvs, hvordan finner vi riktig problem å løse:

• Når vi vet at trafikk blir avlyttet, må vi treffe tiltak for å hindre at avlyttingen forblir et problem.
• Å nekte enkelte å avlytte, forhindrer ikke andre å fortsette sin avlytting. Med andre ord, avlytting forblir et problem uavhengig av om vi forsøker å nekte aktører å gjøre dette.
• Eneste måten å unngå problemet med avlytting, der hvor avlytting skjer, er å gjøre det umulig for de som avlytter å få noe vettugt ut av trafikken de ser på.
• Eneste måten å beskytte innhold mot avlytting, er bruk av sterk kryptering (og alt som hører med dette)

Som du sikkert ikke forstår, så koker ikke mitt argument ned til det du tror det gjør. 

I denne saken er det mange som kun har prinsipp-brillene på, og mister litt av sidesynet.

For det første har vi ingen andre alternativer enn å anta at vår trafikk allerede overvåkes. Årsaken til dette er at Sverige har sin FRA-lov som gir de lov å sniffe trafikk som passerer grensen (og mye av vår trafikk går via Sverige). Videre har Snowden avsløringene vist oss at også andre land er aktive på denne fronten. I tillegg må vi anta at veldig mange har muligheter til å avlytte trafikken, både statlige, private og utro ansatte.

For det andre må vi erkjenne at vi selv har et selvstendig ansvar for å beskytte oss selv. Med dette mener jeg at vi må få på plass god ende til ende kryptering, slik at de som avlytter ikke har mulighet for å gå inn og se på innholdet (med "god" mener jeg sterk kryptering uten bakdører, godt implementert og en sikker håndtering av nøkler).

Å ikke tillate avlytting av trafikk ved grensen, betyr ikke at trafikk ved grensen ikke blir avlyttet. Man kan godt ta bort "ved grensen" fra forrige setning: Å ikke tillate avlytting av trafikk, betyr ikke at trafikk ikke blir avlyttet. Denne erkjennelsen må vi snart komme til, og heller fokusere på å løse riktig problem: Å gjøre avlytting av trafikk til bortkastet arbeid!

Hvor stabilt er forresten internettet til Get? Jeg husker at det var noe ordentlig møkkabredbånd hva angår stabilitet for en del år tilbake i tid. Husker at en nabo valgte å legge til bredbånd i fra Get, og han orket ikke å fortsette med det, fordi det var linjeutfall eller eventuellt routerutfall hele tiden.

Har benyttet GET i over 10 år nå, på tre forskjellige lokasjoner. Jobber med IT og har en egen liten hobby-lab med utstyr hjemme, og kvaliteten på linja er viktig for meg.

Min erfaring så langt er at de leverer den kapasiteten de har lovet (måler med ujevne mellomrom). Jeg har ikke sett noe latency i deres nett som jeg har reagert negativt på. Oppe-tiden er også godt innenfor det akseptable, og det er veldig sjelden at jeg opplever at nettet er nede utenom det som er planlagt nedetid (mindre enn 10 ganger totalt).

Førstelinje support er som de er over alt ellers - veldig lite tekniske. Men jeg får registrert hendelser via de, de sjeldne gangene det har vært nødvendig... man må bare passe på å ikke bruke tekniske uttrykk ("legg inn disse tallene i saken, med punktum i mellom, så vil teknikeren se hvor feilen ligger").

Summa sumarum så er jeg fornøyd. Pris og kvalitet står i forhold til hverandre, og har ingen intensjon om å bytte enda. Det betyr ikke at jeg lar være å følge med...  

Ikke overraskende i det hele tatt. Merket meg en av butikkene på listen, som jeg tidligere har sett på lister over steder som har vært utsatt for vellykkede angrep. Alt man kan gjøre, er å si i fra. Når de som driver stedene ikke bryr seg, kan man ikke gjøre annet enn å se på... 

Etter min mening bør det komme en måte man kan reagere ovenfor de på, som for eksempel å ilegge de dagbøter når de unnlater å rydde opp.

Synes "innovasjon" brukes litt for ofte, spesielt hvor "progresjon" eller "transmisjon" hadde passet bedre. Å forbedre et system litt, er ikke det samme som innovasjon. Heller ikke at man tar i bruk ny teknologi. Innovasjon er å skape noe nytt. Eller som noen har sagt: "Innovasjon er å se det samme som alle andre, for så å tenke nytt".

Merker jeg mister litt troen på Akamai etter dette. Greit at det var en såkalt "pro-bono", men viser uansett at de faktisk har problemer med å håndtere dette angrepet. Og hvordan skal jeg da kunne stole på at de skal være i stand til å beskytte vårt nett? For alt jeg vet kan det være "billigere" for dem å kaste oss ut om et angrep skulle komme vår vei...