Skal du laste ned smittestopp?

[helsten2]

Ser at mange mener at SmitteStopp er et nytt verktøy laget av myndighetetene for å overvåke norske innbyggere.

Myndighetene har jo allerede tilgang til data fra mobiloperatørenes basestasjoner. I tillegg avslørte Aftenposten for noen år siden at  falske basestasjoner var installert flere steder i Oslo. Mange spekulasjoner om spionasje fra utenlandske makter (Kina, Russland) da dette ble avdekket, men til slutt kom det fram at det var politiet, PST og NSM som var de ansvarlige. Såvidt jeg husker så var dette ulovlig. Men det fikk ingen konsekvenser for noen (såvidt jeg vet), og det hele "kokte bort i kålen" (som vanlig). Regner derfor med at dette fortsatt pågår.

https://www.aftenposten.no/norge/i/dWEzq/i-flere-aar-holdt-politiet-det-hemmelig-naa-er-antall-varsler-om-bruk-av-falske-basestasjoner-i-kraftig-vekst?

Men jeg tror ikke at SmitteStopp er et nytt slikt verktøy. Så dumme er de ikke (tror jeg).

Hvis noen er redd for å installere SmitteStopp pga mulig overvåkning, så bør de vel egentlig slutte fullstending å bruke mobilen?

---

PS: USA har i mange år brukt mobilsporing (sammen med AI) for å finne terrorister. Det ender i verste fall med at du får en drone på besøk (helautomatisk prosess).

https://arstechnica.com/information-technology/2016/02/the-nsas-skynet-program-may-be-killing-thousands-of-innocent-people/

 

[frohmage]

helsten2 skrev (10 minutter siden):

Myndighetene har jo allerede tilgang til data fra mobiloperatørenes basestasjoner.

Ikke uten rettslig kjennelse.

edit:

helsten2 skrev (10 minutter siden):

Ser at mange mener at SmitteStopp er et nytt verktøy laget av myndighetetene for å overvåke norske innbyggere.

Jeg mener forresten ikke at dette nødvendigvis er grunnen til utviklingen av appen, men at vi bør være oppmerksomme på hvordan den kan misbrukes.

 

Endret 21. april 2020 av frohmage

[nirolo]

helsten2 skrev (2 timer siden):

Myndighetene har jo allerede tilgang til data fra mobiloperatørenes basestasjoner.

Ikke uten rettslig kjennelse og uansett så er det ekstrem forskjell på presisjonen.

helsten2 skrev (2 timer siden):

Hvis noen er redd for å installere SmitteStopp pga mulig overvåkning, så bør de vel egentlig slutte fullstending å bruke mobilen?

Nei.

[nirolo]

Ser mange spørsmål her går på appen. Appen kan vi dekompilere, vi kan se på nettverkstrafikken hva den sender, hvor og når. Appen er irrelevant, det er hva som foregår serverside som er interessant. Det er der vi bør ha tilgang til kode både for lagring, søk, sletting og anonymiseringen.

[Tallak Tveide]

39 minutes ago, nirolo said:

Appen er irrelevant, det er hva som foregår serverside som er interessant. Det er der vi bør ha tilgang til kode både for lagring, søk, sletting og anonymiseringen.

Appen er irrelevant. Det viktige er om protokollene er iboende trygge. Open Source er fint, men om ikke vi kan få det (kan være greit en periode for å sikre seg mot 0-days) så må protokollen publiseres. Hvilke data samles inn. Hvor ofte. Hvem får data. Hvordan blir dataene verifisert. etc etc. 

Dette ville feks vist at brukerene sender ut fast ID året gjennom (i nåværende versjon), noe som gjør det temmelig enkelt å spore folk, helt uavhengig av dataen på serveren

Endret 21. april 2020 av Tallak Tveide

[helsten2]

1 hour ago, Tallak Tveide said:

Dette ville feks vist at brukerene sender ut fast ID året gjennom (i nåværende versjon), noe som gjør det temmelig enkelt å spore folk, helt uavhengig av dataen på serveren

Hmm, nå ble jeg nysjerrig... Kan du si litt mer om hvordan du tenker deg dette gjort?

[Tallak Tveide]

11 hours ago, helsten2 said:

13 hours ago, Tallak Tveide said:

 

Hmm, nå ble jeg nysjerrig... Kan du si litt mer om hvordan du tenker deg dette gjort?

Man setter ut roboter på forskjellige steder som later som om de er en person. Så samler de inn tidspunktet hver id ankommer roboten. 

Det er mange måter å koble sammen en fast id til et navn. En måte er feks at man tar kontroll over en minibank terminal hvor man får verifisert en slik id mot en person (gjennom pengetransaksjonen). En annen måte er å sette et kamera på robotene, og finne ansiktet på Facebook (slik programvare finnes). En tredje måte er at alle offentlige kontaktpunkter har en slik robot, og tjenestemannen registrerer id samtidig. 

Man muliggjør altså sporing av en bruker av appen mot et bestemt sted og tid, selv om ingen brukere deler posisjonen sin (slik de gjør nå). Videre kan man tenke seg at f.eks. politiet kan følge en person fra avstand og slik «peile» ut en person i en folkemengde. Jeg skal innrømme at det høres ut som et «sweet» verktøy i rette hender, men det er altså mulig for alle å bruke dette, uten at brukeren av appen vet om det

Jeg har beskrevet et privat system her: https://medium.com/@tallakt/minimal-data-leakage-covid-19-tracing-part-3-bbe4e117a7a1

 

Sånn bare for å vise hva som er mulig å få til om viljen er der. 

[helsten2]

21 minutes ago, Tallak Tveide said:

Man setter ut roboter på forskjellige steder som later som om de er en person. Så samler de inn tidspunktet hver id ankommer roboten. 

Det er mange måter å koble sammen en fast id til et navn. En måte er feks at man tar kontroll over en minibank terminal hvor man får verifisert en slik id mot en person (gjennom pengetransaksjonen). En annen måte er å sette et kamera på robotene, og finne ansiktet på Facebook (slik programvare finnes). En tredje måte er at alle offentlige kontaktpunkter har en slik robot, og tjenestemannen registrerer id samtidig. 

Man muliggjør altså sporing av en bruker av appen mot et bestemt sted og tid, selv om ingen brukere deler posisjonen sin (slik de gjør nå). Videre kan man tenke seg at f.eks. politiet kan følge en person fra avstand og slik «peile» ut en person i en folkemengde. Jeg skal innrømme at det høres ut som et «sweet» verktøy i rette hender, men det er altså mulig for alle å bruke dette, uten at brukeren av appen vet om det

Jeg har beskrevet et privat system her: https://medium.com/@tallakt/minimal-data-leakage-covid-19-tracing-part-3-bbe4e117a7a1

 

Sånn bare for å vise hva som er mulig å få til om viljen er der. 

Takk for raskt svar. Skjønner jo at dette er teoretisk mulig, men jeg syns ikke du kommer med særlig realistiske og enkle implementerbare scenarios. Du skrev "temmelig enkelt å spore folk, helt uavhengig av dataen på serveren". Vet ikke om jeg er enig i det. Såvidt jeg forstår, kan du se om en person har vært innom visse faste punkter - som ved bruken av betalingskort eller kjøring gjennom bomringen. Eller du "sporer" en person ved å følge etter ham.

[frohmage]

Nå som såpass mange har vært åpne for appen Smittestopp ønsker regjeringen å innføre nye regler for E-tjenesten sine muligheter for å lagre datatrafikk (eller- metadata). Dette var vel det Lysneutvalget* i sin tid var tilhengere av, men som ble stoppet pga. problemer mht. personvern. I krisetider er alle slike rettighetsinnskrenkende lover lettere å få igjennom, og man blir "aldri" kvitt dem igjen.

https://www.nrk.no/norge/ny-lov_-vil-la-e-tjenesten-drive-med-masselagring-av-metadata-1.14991192

*edit:

 

Endret 22. april 2020 av frohmage

[Tallak Tveide]

8 hours ago, helsten2 said:

Såvidt jeg forstår, kan du se om en person har vært innom visse faste punkter - som ved bruken av betalingskort eller kjøring gjennom bomringen. Eller du "sporer" en person ved å følge etter ham.

Å få tilgang til betalingshistorikk eller bompengepasseringer vil nok kreve en rettskjennelse. Det å plassere en sender i hagen som sier deg hver gang ektefellen din forlater huset er mye enklere. 

Jeg sier ikke at man får en GPS logg (da må man gjemme en logger under bilen  ), men det å kunne konstatere at noen er på et sted er mulig å misbruke og representerer unødvendig inngripen i privatlivet

[Simen1]

Komikeren Dag Sørås laster ikke ned Smittestopp

[frohmage]

Simen1 skrev (På 25.4.2020 den 19.06):

Komikeren Dag Sørås laster ikke ned Smittestopp

Greit å bli påminnet om at Erna Solberg ikke synes Edward Snowden burde meldt ifra om myndighetenes lovbrudd.

[frohmage]

Datatilsynet åpner kontrollsak mot Smittestopp-appen

[Theo343]

3 hours ago, frohmage said:

Datatilsynet åpner kontrollsak mot Smittestopp-appen

Hva gjorde de første gang de "godkjente" den lurer jeg på.

[frohmage]

Theo343 skrev (11 minutter siden):

Hva gjorde de første gang de "godkjente" den lurer jeg på.

Har de gjort det, altså?

[Theo343]

2 hours ago, frohmage said:

Har de gjort det, altså?

Det ble sagt i tråden her at datatilsynet gikk god for appen ja, sammen med PST.

Ellers ift. topic:
https://hackaday.com/2020/04/26/hackaday-links-april-26-2020/

Endret 27. april 2020 av Theo343

[henrikwl]

Theo343 skrev (9 timer siden):

Hva gjorde de første gang de "godkjente" den lurer jeg på.

Det de sa var vel at de så hensikten bak og synes den var god, men at de skulle følge nøye med appen. Siden den gang så har det jo blitt en god debatt og det viser seg jo at den er dårlig laget og lekker som en sil, dermed er det ille nok til at de nå oppretter kontrollsak på den. 

De gjør altså nøyaktig det de sa de skulle gjøre. 

Endret 28. april 2020 av henrikwl

[Theo343]

On 4/16/2020 at 10:58 PM, Snikpellik said:

Ja. Kort forklart - Datatilsynet støtter bruken av appen, har vært involvert i prosessen fra begynnelsen og følger nøye med.

Det hadde vært interessant å se hva slags involvering det har vært snakk om. Jeg brukte 10 minutter på å skumme gjennom designdokumentet men jeg håper Datatilsynet brukte litt mer tid og dermed fikk med seg flere av tingene som har blitt kritisert som statisk ID, sentral lagring kontra lagring på telefon osv? Det bør ikke komme som en overaskelse nå og at andre må påpeke at det kan være et personvern problem.

On 4/16/2020 at 4:59 PM, Snikpellik said:

.... Datatilsynet og FHI har vært veldig åpne og tydelige rundt personvern-problematikken her. Har full tiltro til at dataene ikke vil misbrukes.

Ok så de var klar over personvern problemene men gikk likevel god for den? Så det var ikke nødvendig å undersøke nøyere før det kom kritikk utenfra?

Hva betyr da "vi vil følge nøye med", at man ser om andre er kritiske til personvern problemene de var klar over før man "undersøker nøyere"?
 

42 minutes ago, henrikwl said:

Siden den gang så har det jo blitt en god debatt og det viser seg jo at den er dårlig laget og lekker som en sil, dermed er det ille nok til at de nå oppretter kontrollsak på den. 

Jeg har helt sikkert gått glipp av enkelte nyhetssaker her, men utover hva som er kjente forhold allerede fra designstadiet, hva lekker den som en sil?

At den annonserer seg (per design) via blåtann med en statisk ID for brukeren? Det har jo vært kjent siden designstadiet og har de  "vært involvert siden starten" synes jeg det er litt rart at de ikke har vært oppmerksom på personvern anliggende her.

Men i følge andre innlegg så var de altså det. Jeg håper jeg har gått glipp av noe her for ellers gir det liten mening.

Endret 28. april 2020 av Theo343

[henrikwl]

https://www.datatilsynet.no/regelverk-og-verktoy/sporsmal-svar/korona/smittestopp-og-sikkerhet/

Jeg siterer:

Sitat

Datatilsynet har ikke på forhånd tatt stilling til om sikkerheten er god nok. Dette ansvaret ligger hos Folkehelseinstituttet (FHI) som er behandlingsansvarlig for løsningen.

Vi må per nå legge til grunn at det er gjort tilfredsstillende vurderinger i tråd med det regelverket krever, og at FHI har valgt trygge løsninger for dataene.

Når det så viser seg at det ikke er tilfelle, kommer følgende utsagn i spill:

Sitat

Datatilsynet kan så gjennomføre etterkontroll (tilsyn) med de valgte sikkerhetsløsningene

og det er det de nå gjør.

[Taurean]

Næ'h. Hadde den kunne vist en fullstendig oversikt over alle smittede personer til enhver tid, så. Men ikke til sånne vage greier. Det blir bare upålitelig og en ekstra konstant last på psyken.