– Fremmede makter angriper oss daglig

[Varog Kervarec]

Hør professor Olav Lysne og direktør Bjørn Erik Thon diskutere personvern, rikets sikkerhet og det digitale grenseforsvaret i vår nye podkast «Dobbelklikk».

– Fremmede makter angriper oss daglig

[tommyb]

Nei, kringvern er det naturlige stedet. "Digitalt grenseforsvar" vil med så få unntak at man kan ignorere dem, utelukkende overvåke norske menneskers nettbruk og kommunikasjon.

[nessuno]

For det første så har jeg enda ikke skjønt hvordan man kan i det hele tatt ha noe "digitalt grenseforsvar", men det er kanskje mitt problem.

For det andre, dette er relatert til den første påstanden, det hele høres ut som DLD 2, bare at denne gangen så skal man kle dette inn i "beskyttelse mot den skumle bjørnen fra øst" forkledningen.

[oppat]

Helt fantastisk at Lysne argumenterer med at det ikke blir utglidning fordi Norge ikke er et selvstendig land som kan bestemme sine egne lover!

 

Altså: Hvis vi hadde politikere som kunne gjort som de vil, ville vi helt klart ha formålsutgligning. Men pga at Norge ikke er et uavhengig land, men underlagt EU, så sover han godt.

 

For et ekstremt syltynt argument - Norge som nasjon er altså alt for svak til å hindre at f.eks. Økokrim henter ut data, men vi kan være 100% sikre pga at de dumme bøndene i Norge absolutt kommer til å bøye seg for overherrene i EU.

 

For noe tull!

[Simen1]

I følge dokumentaren Zero Days, om Stuxnet, så ler NSA av selv såkalt air-gap. Så hvordan i alle dager kan Lysne tro at man skal klare å stoppe angrep ved grensene, selv med en kraftig opptrapping?

 

Jeg har selv troen på Air-gap som metode, men det må gjøres mer robust mot både smitte på andre måter og intern spredning enn det Iranerne hadde. Infrastrukturen bør i størst mulig grad frigjøres fra internett og allskens teknologier som kan sette det i kontakt med omverden. I tillegg til fysisk beskyttelse av ymse slag.

[007CD]

I tillegg så har jeg liten tro på at disse vet forskjellen på fremmede makter og de vanlige botene man får på besøk.

Spesielt siden det er mer lukrativt å hype opp tallene ved å telle med disse "botene" som "angrep."

I så fall kan jeg også si at jeg har flere hundretalls angrep fra Kina daglig om ikke tusenvis.

 

Realiteten er at alt disse prøver seg på er å logge seg på SSH og FTP med "root / root" /, "admin / admin" og lignende standardpassord

[Simon W. Hall]

Jeg begynte å lese denne rapporten.

 

Men jeg leste bare litt, for de sa at de ikke skulle ta for seg den tekniske implementeringen.

 

Det har jeg tenkt litt på, og jeg skrev en "drunkenrant" om temaet for en stund siden.

 

Limer den inn her jeg.

For jeg tror jeg har noen argumenter som kan brukes mot dette som ikke bare er juridiske.

 

-----

 

Rapporten er i og for seg grei den.

Den sier jo ganske klart og tydelig at dette vil bli vanskelig å gjennomføre med gjallende lovverk.

Men jeg vil også gjerne si noe om at dette er teknisk umulig (_Veldig_ vanskelig).

 

-----

 

Bortsett fra å bryte mot grunnlovens paragraf 102, så er dette også teknisk umulig å gjennomføre.

Hvis man samtidig skal kunne si at man har et åpent og fritt internett i Norge.

 

Skal norske myndigheter kunne utstede falske sertifikater for å kunne se hva som foregår i en https/ssl tilkobling?

Har dere tenkt til å bruke en "mitm-proxy"?

Hører at de ikke har tenkt til å gjøre dette nå.

 

Har dere tenkt til å stenge både Tor og VPN i Norge?

Skal dere stenge Google (Alphabet) i Norge?

For jeg kan nemlig koble meg gjennom Google for å komme til Tor med en såkalt "Bridge".

 

Appen Signal gjorde det samme i Tyrkia nylig. De kaller det for "domain forwarding".

 

VPN er noe så godt som alle bedrifter og det offentlige i Norge bruker.

Tror ikke man her har tenkt igjennom hvilke konsekvenser dette vil få.

 

(Jeg er redd for at hjemmebrukere etterhvert skal sitte med en internetlinje hvor de bare får bruke port 80 og 443.)

 

-----

 

Det er ikke landegrenser på internett.

 

'Ferdig Snakka'™

 

Eksempel.

Hvis jeg sitter i Russland og hacker en maskin i Norge, og så bruker jeg maskinen jeg hacket i Norge for å utføre angrep.

 

Hvor ser det ut som jeg kommer fra?

 

Er i veldig mange tilfeller ikke engang nødvendig å hacke noe som helst for å gjøre dette. Du finner bare en feilkonfigurert server/nettverksutstyr som du kan dra nytte av.

 

Dere kan finne mye av det på https://www.shodan.io/

 

For å kunne oppdage dette så må dere også overvåke alle norske maskiner som får en tilkobling fra "utlandet"?

 

-----

 

<noe om at dette vil gjøre forskning vanskelig>

<Har ikke tyskland en lov som gjør det ulovlig å bruke f.eks. nmap?>

Det var i det minste snakk om det for en stund siden^^

 

Jeg scanner mine egne nettverk for svakheter ofte.

Skal ikke jeg ha lov til dette lenger?

For ifølge norske sikkerhetsmyndigheter så er portscanning et angrep? (Avverget 500 millioner angrep var en overskrift jeg så)

 

Prøver å finne artikkelen som viser at USA vil innføre eksportrestriksjoner på 'sikkerhetsprogramvare' (Nessus, Metaasploit, Kali? osv.). Tror den var på ars.

Jeg synes den beste kommentaren var "er jeg nå et våpen?"

 

-----

 

Her er det masse gode råd og linker (Et "vedlegg" til rapporten fra USA om den Russiske hackingen av DNC): https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf

 

Eneste jeg stiller meg litt undrende til er rådet om å slå av SNMP.

Hva er det sikrere alternativet?

 

Her er råd fra "Det Hvite Hus" om å bruke https overalt: https://https.cio.gov/

Skal ikke vi i Norge gjøre dette?

 

-----

 

Andre referanser som man kan si noe om:

IETF "Pervasive Monitoring Is an Attack" : https://tools.ietf.org/html/rfc7258

 

"IAB Statement on Internet Confidentiality" : https://www.iab.org/2014/11/14/iab-statement-on-internet-confidentiality/

 

----- Og her er noen andre tanker som ikke nødvendigvis hører hjemme her -----

 

Verden er forhåpentligvis på vei mot "Encrypt all the things".

2016 var et godt år for ende til ende krypterte tjenester som vanlige mennesker faktisk kan bruke (Facebook messenger, Signal, Google Allo, Threema osv).

 

(Jeg får epost kryptert med min pgp-nøkkel fra facebook. Hvorfor kan ikke DIFI gjøre det samme?)

 

Det er umulig å stoppe matematikk/kryptering (5 min): Encryption - The low-tech way

 

-----

 

Datasikkerhet burde vært er fag på ungdomsskolen!

 

I første time så lærer man seg å hacke et trådløst nett på skolen.

Hjemmeleksen er å hacke sitt eget trådløse nettverk.

 

I andre time så lærer elevene seg hvordan de kan beskytte seg mot dette (f.eks. Radius, eller i det minste et passord på over 40 tegn).

 

Så begynner læreren å sende phishing eposter til elevene sine, og ser hvor mange av de som klikker på linkene.

 

Så mister han minnepinner rundt på skoleområdet, og ser hvor mange som setter de i en skolemaskin.

 

/drunkenrant

 

En liten video som tar for seg overvåkning og "chilling-effect" (7 min): We Love Surveillance -

 

Så sier Lysne på slutten at han vil tillate dekryptering av kryptert data allikevel?

28:17 ut i podcasten.

 

Ha en fortsatt fortreffelig helg.

[Bomsta Sjon]

hackingen av DNC : https://turningpointnews.org/exposing-political-corruption/dhs-fbi-claim-of-russian-hacking-is-fake-news

he real question that we should all be asking is why the DHS and FBI would destroy their reputation by posting such a fake report?

Several years ago, our CIA claimed that Iraq had weapons of mass destruction. We now know that Iraq had no weapons of mass destruction – meaning that we went to war and spent over a trillion dollars on a fake report. Is this new fake report a pretext for launching a cyber war against Russia? Is it intended to justify increasing US military spending?

 

It is hard to say what the real purpose of this fake DHS-FBI report is. But the fact that this silly list of IP addresses was the best evidence they could provide should be a strong indication that there really is no evidence of Russian hacking. Instead, it is more likely that Wikileaks is telling the truth in stating that they got the emails from a disgruntled Democratic Party insider.

-------------John Podesta fell for a phishing attack. So they got all of his emails. Which were embarrassing. And Huma stupidly used Carlos Danger's perving PC for government business. Shet like that. Oh, and SecState email was kept on an unsecure server in some guy's bathroom and places like that. And could not be FOIAed. Or secured. And got copied around to non-cleared persons pretty heavily and carelessly.

-------------------------

This narrative is yet another example of American parochialism: since neocon-neoliberalism didn't cause American cities to be bombed and its institutions demolished, it's really not that bad.

 

Try telling that to the Iraqis, Libyans and Syrians who have been on the receiving end of neocon-neoliberalism policies. The reality is very unpleasant: for those targeted by America's neocon-neoliberalism, nothing worse is imaginable, because the worst has already happened. http://charleshughsmith.blogspot.no/2017/01/25-years-of-neocon-neoliberalism-great.html

-------------------

https://www.washingtonpost.com/news/fact-checker/wp/2017/01/19/obamas-biggest-whoppers/?utm_term=.b5dfac2d5650

On Obama's first day, Jan. 20, 2009, federal debt was $10,626,877,048,913.08. As of the close of business Wednesday, it was $19,961,467,137,973.64. The final debt number for Thursday, Obama’s last full day in office, will not be released until after Donald Trump is sworn in as president on Friday, although it is unlikely to surge by $40 billion.

----------------

Over the past several years, a raging debate among debt-watchers was whether Obama would leave the presidency with more than $20 trillion in US national debt. We now have the answer, and can report that Obama failed in this particular endeavor... but just barely. According to the US Treasury, as of the most recent update, total Federal debt was some $39 billion short of the key "psychological level", clocking in at precisely 19,961,467,137,973.64.

 

 

 

This means that both "Dow 20,000" and "Debt $20,000,000,000,000" accomplishments will belong to Trump. It is still unclear which comes first.

 

And while some may be disappointed, Obama's achievement is still quite impressive: in exactly 8 years, total US debt has increased by $9.3 trillion, or 88% since Obama's first day in office.

-----------------------------

https://www.facebook.com/Dmitry.Medvedev/posts/10154053104646851

Everyone is aware that the United States has always tried to" steer" almost all global processes, brazenly interfering in the internal affairs of various countries and waging multiple wars on foreign soil. Iraq, the Arab Spring, Ukraine, and Syria are just a few examples of such reckless policies in recent years. We can still see their consequences, which range from the complete collapse of the political systems in these countries to wars which claimed tens of thousands of lives.

--------------------------------------

 

http://steigan.no/2016/03/14/han-fikk-norge-med-i-krigen-mot-syria-hvor-er-han-na/

------------------

http://steigan.no/2016/11/29/det-aret-globalismen-sprakk/

Og USA har dessuten mislykkes i alle krigene sine. Afghanistankrigen, som vi ennå ikke ser noen ende på, er den lengste krigen i USAs historie. Og prisen er enorm. Linda Bilmes, tidligere CFO of the US Department of Commerce har beregnet de direkte og indirekte kostnadene av krigene i Irak og Afghanisatn til å bli mellom 4000 og 6000 milliarder dollar. Denne beregninga ble publisert på Harvard. (Vi snakker om mellom fem og sju norske oljefond.)

[Simon W. Hall]

hackingen av DNC : https://turningpointnews.org/exposing-political-corruption/dhs-fbi-claim-of-russian-hacking-is-fake-news

 

Har vi her et skoleeksempel i det å forsøke å påvirke noens meninger (Politisk propaganda)?

 

Jeg forsøker i det minste å snakke om de rent tekniske problemene.

 

Hvem er du 'Bomsta Sjon'? Har du en facebook konto? Har du en Twitter-konto?

Hvor gamle er de kontoene? Har du offentlige innlegg fra tidligere som du kan linke til hvor du snekker om dette?

 

Vær så snill å slutt og spre FUD og konspirasjonsteorier her.

[Anders Jensen]

Jeg er usikker på hva som er mest skremmende. At staten utreder strategier for å overvåke oss eller at den ikke har noen troverdig strategi for å beskytte viktig infrastruktur.

[misanthrope]

Det er USA som hacker Norge og nordmenn suverent mest. Så langt er 7 personer dømt i Norge basert på ulovlige bevis overgitt norsk politi ifra FBI. FBI hacker aktivt norske datamaskiner. De avlytter også politikerne våre.

Det er fremdeles ikke bevist at Russland hacket DNC. Derimot har man flere svært troverdige kilder på at filene ble lekket innenfra. Og programvaren som stjal login' til Podesta er fritt tilgjengelig for kjøp på nett.

 

Samtidig har USA gjort det lov for amerikanske myndigheter å bedrive såkalte "psyops" mot egen befolkning. Det burde få alarmbjellene til å ringe.

[0laf]

Det er tilbud på aluminiumsfolie på Rimi til uken, det ser ut som enkelte her har et stort forbruk !

[fuzzy76]

Kanskje noen bør informere professoren om noe som heter skytjenester... Som medfører at færre og færre av disse angrepene vil passere norges grenser, men foregår helt og holdent på yttersiden.

[Anders Jensen]

Kanskje noen bør informere professoren om noe som heter skytjenester... Som medfører at færre og færre av disse angrepene vil passere norges grenser, men foregår helt og holdent på yttersiden.

 

Hvis vi setter opp et grenseforsvar vil jo alle seriøse angrep komme innenfra. Så om tjenesten er fysisk plassert innenfor eller utenfor perimeter er uinteressant da kun trivielle forsøk vil basere seg på passere forsvaret. Det er tjenestene som må sikres alt annet er døfødt. Marcus J Ranum sier det best;

http://www.ranum.com/security/computer_security/editorials/dumb/