arne22

Jeg oppfattet beskrivelsen til Stø AS slik at det vil være snakk om å legge laste en kopi av pass/ID opp i appen, ja slik at den ligger der permanent ja. Men det behøver ikke å være helt sant. Her er noe mer info i regi av Stø AS: https://stoe.no/id-paa-mobilen https://stoe.no/tjenester/stoe-id-kort Hvis det fungerer likt med ordningen i Danmark, da er jo problemstillingen en annen. Forskjellen på lovlig og ulovlig, ligger vel nettop i det om det lagres kopier av fysisk pass/ID i appen eller ikke. I Danmark så informerer man klart om at kopien blir slettet. I Norge så sier man ikke noen om det, bare at man vil ha ID i appen, og da er det kanskje litt nærliggende å tro at det kan dreie seg om et bilde av passet/ID bevis? Hvis det forholder seg slik da skulle den informasjon som ble lagt ut i Norge være mer lik den som er i Danmark, og så ville ja saken være oppklart i utgangspunktet. I alle fall en interessant problemstilling å sette seg inn i, synes jeg.

Slik som jeg har pleid å gjøre dette tidligere og i gamle dager, så har jeg brukt en engen maskin til å monitore trafikken. Denne har da kjørt en Linux bridge. I nettverket og i fra den maskinen som har blitt "overvåket" så har denne bruen vært "usynlig", dvs den har hatt to mac adresser, men i prinsipp ingen ip adresse. Den har likevel hatt en ipadresse, for lokal bruk, for administrasjon og konfigurering, og for å kunne kjøre trafikkmonitoring og packetsniffing. Det har også vært mulig å filtrere trafikken vha bridge mode firewalling. Dette var støttet i fra linux 2.4.x kernel allerede rundt 2001. Når man sånn sett kjørte trafikkmonitor og packetsniffer på en egen separat PC, utenfor den PC som ble overvåket, så mener jeg at vi fikk med oss det meste av trafikk som skjedde, gjennom hele boot og påloggingsprsessen. (For den maskinen som ble overvåket.) Skulle jeg ha forsøkt å produsere noe ala denne Braxman sine vidoer, så tror jeg faktisk at jeg ville satt opp noe slikt igjen. Kan ikke skjønne hvilken trafikk som skulle passere gjennom denne broen uten å kunne bli detektert og dumpet? Men dette er jo en veldig arbeidskrevende prosess, hvis man skal få med seg og gjennomarbeide all trafikk fra boot til nedstegning. Men umulig er det vel ikke? En god del av trafikken vil vel være kryptert, man man vil jo alltid kunne lese innholdet i header om ikke datadelen. Noe av problemet med å kjøre trafikkmonitor og packetsniffer på moderne WIndows, det er jo at det renner over av trafikk i fra "bloatwarefunsjoner". Stenger man ned all denne "ekstratrafikken" så er jo det man sitter tilbake, stort sett ikke mer enn det man kan klare å holde en oversikt over?! (Også om man kjører trafikkmotor og packetsniffer på samme PC som den man "observerer". ) (Men da får man jo ikke med sekvensene rundt boot, pålogging og nedstegning, og det kan også være trafikk som "kjører utenom" og som man ikke får med.) Jeg fant ellers noe info om "TPM attestation" mot Azure, men jeg har ingen klar forståelse om dette dreier seg om maskiner som kjører hos Azure eller det også gjedler vanlige klientmaskiner. https://learn.microsoft.com/en-us/azure/attestation/tpm-attestation-concepts

Kan ikke si at jeg har hørt om det jeg heller (fram til nå), men er ikke dette et eksempel på noe som faktisk kan etterprøves ved hjelp av for eksempel en en eller annen trafikkmonitor og en packetsniffer? Hva med for eksmepel tcpview i fra Sysinternals og Wireshark? Men hvordan vet man når disse pakkene eventuelt sendes ut, eller hvordledes det gjøres? Det er jo også en problemstilling for seg, så det blir jo fort arbeidskrevende.

Foreløpig så har vi jo ikke begynt på noen diskusjon om noe faglig innhold, annet enn overfaldiske betraktninger. Når det gjelder videoene til denne Rob Braxman så synes jeg disse bære preg av det man typisk kan kan finne og verifisere ved å bruke tools av type "Sysinternals", og selvfølgelig mange andre tools i samme gate. Mitt inntrykk av videoene til Rob Braxman er at alt, eller i alle fall det meste baserer seg på teknisk utprøving. Så vidt jeg kan bedømme så skulle det også være mulig å etterprøve det meste av innholdet, hvis man kjenner til de typiske arbeidsmetodene som ligger til grunn for innholdet i en video av denne typen. Å etterprøve alt skulle vel være kanske en litt for stor jobb, men utvalgte detaljer, det skulle da saktens kunne la seg gjøre. Kom bare på Sysinternals som vel egentlig var det som jeg selv startet med i 2001. Femdeles så inneholder jo den samlingen en del tools som kan være særdeles nytting. Men sant nok, denne tråden skulle jo handle om "TPM" og det kan jeg ikke tenke meg at det sto så mye om i boken i fra 2001. I alle fall så husker jeg ikke noe av det. Takker for linken til Microsoft sin forklaring av TPM.

Det som jeg kanskje heller vil si det er at produsenten av opearivsystem, i dette tilfller Microsoft stiller en del gratis og ganske funsjonelle verktøy til rådighet, slik at man kan se hvor datatraffikken går. Det bør da være hevet over enhver rimelig tvil at en god del går tilbake til Microsoft. Det bør vel også være hevet over enhver tvil at man kan redusere denne trafikken faktisk ved å fjerne en del unødvendig bloatware i fra Windows 11. I 2001 så ble det gitt ut en bok som het "Hacking Exposed 3'rd revision". Boken beskriver prinsippene for hvordan man ettergår innholdet i videoer som for eksempel videoene i fra Rob Braxmann. Selv om teknologien har utviklet seg, så vil jeg faktisk si at flesteparten av de kursene jeg har sett i såkalt "whitehat hacking" faktisk har vært bygd over denne grunnmodellen. Bak i denne boken så fulgte det med en CD, med bla et innhold som het "Sysinternals". Senere så ble innholdet i fra denne CD'en i fra 2001 kjøpt opp av Microsoft, som bestemte seg for å vedlikeholde og oppdatere innholdet, slik at de redskapene som ble publisert i 2001 nå framdeles finnes tilgjengelig i oppdatert utgave, netto i fra Microsoft. https://learn.microsoft.com/en-us/sysinternals/ Her finnes det en del verktøy for å ettergå en del av innholdet for eksempel videoene til Rob Braxman. Det man kanskje først og fremst behører i tillegg, det er vel kanskje en packetsniffer av type Wiresahark eller lignende. Den gang i 2001, så brukte jeg selv ellers også en Linux bridge på en egen maskin i nettverket som kunne "lytte på" den trafikken som passerte gjennom. I stedet for å fortelle om hvor dumme alle andre er og hvor lite de kan, kan du ikke heller dele og spre litt kunnskap gjennom konkrete eksempler. Hvis du for eksempel finner konkrete feil i den videoen som er postet av Rob Braxman over kan du da fortelle helt konkret hva som er feil, og og også beskirve helt konkret med angvielse av operativsystem, nettverksoppsett, osv hvordan du gikk fram for å verifisere feilen? Blir gjene med på en slik diskusjon hvis vi kan ta noe som er helt konkret. Del heller din kunnskap og din kompetanse i stedet for å fortelle hvur dumme alle andre er.

Hvorfor skulle dette være umilig å verifisere, og hva er utfordringen ved det? Jeg kunne vel nesten tenke meg å formulere problemstillingen slik: Hvordan er det i det hele tatt mulig å ikke få til det? Og hvorfor skulle dette represntere noen form for frykt? Hva har teknisk funksjonalitet med frykt å gjøre? Edit: Det står faktisk "nær mulig" og ikke "nær umulig". Hvis du mener at det bør være forholdvis lett å sjekke, om OS lekker data, da er vi jo enig.

Hvis mans skal kartlegge hvordan Windows 11 fungerer, så kan men vel ikke helt fjerne Windows 11, men man kan aktivisere og deaktivisere funksjoner og så observere hvilke endringer som oppstår.

TPM kan vel sannsynligvis ikke spionere, men man kan benytte programvare i kombinasjon med TPM som spionerer. (I betydningen: Henter inn brukerdata.) Da blir jo resultatet sånn noenlunde det samme. Når det gjelder alt det man finner på Internett, inklusive videoene til Rob Braxman, som er linket inn over, så er det vel slik at alt sammen, inklusive innholdet i disse vidoene bør tas med en klype salt. Men det aller meste at det som legges fram av informasjon og påstander bør jo kunne etterprøves forholdvis enkelt Har du etterprøvd noen av de påstandene i den videoen som er linket inn over? I så fall hva da, og hvordan? Det er jo sånn at det kan ta en evighet å etterprøve alt, men utvalgte detaljer kan man vel saktens ettergå. Ellers når det gjelder Internett og Youtube så kan man vel bare regne med av grader av sannsynlighet for å noe kan være "sant".

Det ser ut til å stemme. Men data, i alle fall noen av dem, kan overskrives ved hjelp av funksjoner i Windows. Kan de leses men ikke kopieres? Vil forsøke å kikke litt nærmere på den problemstillingen.

Har du sjekket dette ved å se på trafikken inn og ut av PC?

Praktisk spørsmål: Hvorfor er Styr AS nå opptatt av at alle nå skal laste opp bilde av pass eller ID i appen. Det kan se ut som at NKOM nå har startet et tilsyn mot Styr AS, der Styr AS står i fare for å miste noe av sin sikkerhetsklarering. Her kan det jo se ut som at den metoden som Styr AS baserer seg på er å forsøke å kompensere for en feil ved å legge inn en ny feil. Å legge inn en kopi av Brukernes pass eller ID, er etter mitt syn ingen god eller brukbar løsning og den er heller ikke i samsvar med EU sitt regelverk. Her er litt mer info om NKOM sin tilsynnssak mot Styr AS: https://nkom.no/aktuelt/bankid-kan-miste-godkjenning-pa-hoyeste-sikkerhetsniva

Rettsspørsmål no 5: Kan man kreve en begrunnelse hvis tjenstene til BankID sperret og hvordan kan man eventuelt klage? Dette er ikke forvaltningrett, så ingen av de krav til begrunnelse og klagerett som følger av forvaltningloven gjelder. Det dreier seg der i mot om finansrett, og avtalerett. Det er ingen ting i avtalen med BankID som gir dem rett til å kreve at man laster opp en kopi av passet i appen. EU sitt regelverk sier at et slikt krav er ulovlig når det kommer i fra en tjenestetilbyder og det dreier seg om langsiktig lagring av en kopi av passet. Med andre ord, selv om det hadde stått i avtalen med Styr AS/BankID, så ville det fremdeles vært ulovlig. (Det innholdet i en avtale som er i strid med lov vil være ugylding.) Når det gjelder rettsområdet "avtalerett i forhold til finanstjenester", så har man muligheten til å få prøvd dette i forhold til Bankklagenamnda og i forhold til domstolene. Slik som man da går fram i praksis så vil man jo eventuelt først sende en klage til banken, og så vil man eventuelt motta en begrunnelse i fra Banken og eventuelt tjenesteleverandøren Styr AS. Denne begrunnelsen vil så kunne brukes som et grunnlag for å kunne gå til sak og få en dom i Tingretten. Jeg ville vel forvente at sjansen for at sjansen for at Styr AS vil nå fram med en påstand om at innarbeidet praksis innenfor EU er i strid med regelverket innenfor EU, slik at Styr AS/BankID etter all sannsynlighet vi komme til å gi seg før saken kommer opp for noen domstol. Hvis den i den hele tatt kommer opp for en domstol, så har man vel en rimelig god sjans for å vinne saken og å få sakens omkostninger dekket.

Rettspørsmål no 4: Hvordan praktiseres dette av tjenesteleverandører av elektronisk ID innenfor EU. For å få litt oversikt over dette så tok jeg utgangspunkt i tilsvarende ID tjeneste levert i Danmark. Av det som jeg kan se så er praksis i EU landet Danmark at man kan se passet men ikke lagre kopier av passet i appen (nisseluevarianten) i forbindelse med ID verifikasjon. Altså bruker man de samme prinsippene for tjenesteleverandører i EU, for lagring av personopplysninger, som er beskrvet i regi av det norske datatilsynet. https://www.mitid.dk/en-gb/help/help-universe/mitid-app/get-mitid-app/get-mitid-app-with-passport/ Jeg siterer i fra den danske websiden: Der var nisseluefiltret tatt vekk. Jeg synes det vil føre for langt å undersøke om tilsvarende BankID tjeneste i Danmark oppfyller EU sine krav for slike ID tjenester.

Rettsproblemstilling no 3: Hva sier GDPR om tjenestetilbyderes rett til å bruke og/eller lagre personlig id, for eksempel pass? Denne problemstillingen mener jeg er godt nok belyst i Datatilsynets beskrivelse av denne problemstillingen. Det grunnleggende prinsippet her er at tjenestetilbyder kan ha rett til å se, men ikke lagre kopier av pass eller personlig ID. https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/id-kontroll--legitimasjonskontroll Jeg anser Datatilsynet sin beskrivelse som korrekt, og jeg ser ingen grunn til å gå videre inn i denne problemstillingen.

Det var også min første tanke, så jeg sjekket litt på denne problemstillingen. Ved litt næremer undersøkelser, så viste det seg at dette "sporet" var feil og at @Herr Brun har aldeles helt rett. Det er det generelle regelverket ut i fra GDPR som gjelder. Og hva sier så det, det er jo en interesant problemstilling. Kommer tilbake til det. Det prinsipp som Stat/Forvaltning/myndigheter ligger til grunn, det er at samfunnet ikke skal være avhengig av BankID og at det skal finnes alternativer for å motta tjenestene. Jeg har linket opp tiol en uttalelse i fra Sivilombudsmannen over, som jeg mener sier litt om dette. Ellers så er det jo veldig enkelt å unngå "EU kravet" (iført norsk nisselue), om å lagre kopi av ID/Pass i regi av Stø AS. Det er jo bare å slette appen og så bruke BankID med kodebrikke, så er man ute av hele problemstillingen.