Apr 29, 2017

Lagring av IP-adresser

Jeg leser at justisministeren vil lagre befolkningens IP-adresser - og at dette er vedtatt på partiets landsmøte.

Justisministeren er imponert over UK's "Investigatory Powers Bill", mere kjent som "snoopers charter", som gir "unprecedented surveillance power" til staten.

At dette er kjent ulovlig (av European Court of Justice  21.des.2016) ser ikke ut til å ha nådd ministeren eller det politiske landsmøtet ( - ei heller sjefs-cowboy'en i Kripos, iflg. samme artikkel.)
"På samme måte som at alle personer som bruker en telefon kan identifiseres med et telefonnummer, bør alle som er på internett kunne identifiseres gjennom en IP-adresse, sier Amundsen.......osv."

Ingen personer kan identifiseres med et telefonnummer. Derimot kan en teleoperatør identifisere hvilket abonnement som benyttes, dersom denne telefonen (som nyttes) har kjøpt teletjenesten hos denne operatøren. Men det er rimelig enkelt å nytte en telefon uten å gi fra seg "avsenderadressen".


For IP-adresser er det langt mere komplisert enn politikeren hevder.
Om en skal få til noe i nærheten av å kunne dra en analog med telefonnummer (i denne gitte konteksten) må en rulle ut IPv6-teknologi. Først da kan en få faste IP-adresser (for mobiler, PCer, etc.).
Og først da gir det mening å snakke om å "lagre IP-adresser".

Om en ikke oppgraderer nettet til nyere teknologi (IPv6) -  må en leve med at det gamle IPv4-adressefeltet er brukt opp.

I praksis betyr dette at mange personer vil ha samme IP-adresse - samtidig. Opptil flere tusen brukere kan dele samme IP-adresse innen samme nettverk (Dette avhenger av brukermassen og antall IP-adresser tilgjengelig for den gitte nettleverandøren.).

Mange telekom-selskaper utsetter ny teknologi og nytter "CGN" (Carrier-grade NAT). Dessverre - for dette er ingen god løsning, mildt sagt.


Ei heller er CGN god løsning for de som skal etterforske kriminalitet.

Situasjonen er ikke så overforenklet som justisministeren hevder. For det er ikke slik at "en IP-adresse tilhører en bruker på et gitt tidspunkt".

Dette er (noen av) problemene som en møter:
IP-adresse er ofte ferskvare. Dvs. en IP-adresse mister sin relevans under lagring.
Det er ikke gitt at en IP-adresse vil gi noe som helst av verdi.
Fordi:
I forbindelse med at IPv4-adresseområdet er "brukt opp" så har en utviklet nye metoder for å (ut)nytte IP-adresser (CGN).
I praksis betyr dette at en IP-adresse ikke lengre identifiserer et endepunkt. (Et endepunkt er det en leter etter, for å finne eksempelvis hvor data-transaksjoner har sin opprinnelse.) Metadata (IP-adresse, dato/tidsstempel, etc.) er kun en temporær identifikasjon, og da med gyldighet for det korte tidsrommet transaksjonen varer. 
Og om ikke dette er nok så kan en transaksjon skifte IP-adresse mens transaksjonen pågår. 
Teknologien er komplisert og Internets Security and Stability Advisory Committee har derfor publisert en egen rapport om endringene relatert semantikken for IP-adresser.)

I rapport sent 2016 skrev Europol at CGN er involvert i opp til 90% av tilfellene som etterforskes, og med dertil tilhørende problemer for å identifisere brukeren.


Problemet kan løses på to måter:

1) Politikernes metode: Overvåke absolutt alt (logge hva enhver bruker gjør, til ethvert tidspunkt, hvor de er, når, osv.)
For å kunne lagre IPv4-adresser mot en gitt bruker når CGN er brukt, må en lagre adskillig mye mere om brukeren enn hva eksempelvis DLD krevde. (Avh. av programvare må en linke sammen endepunktene også.)
Denne metoden er svært kostnadskrevende, både i pengeverdi og samfunnsverdi (den er svært intrusiv), teknologisk hypotetisk  - og - det bryter med flere lover (sier også European court of justice).

2) Faglige metode: Implementere IPv6, og fjerne NAT
Dette vil gi store besparelser for de som etterforsker kriminalitet som involverer IP-adresser - og - det krever ingen, absolutt ingen, lagring av brukernes aktiviteter.
I tillegg er det (IPv6) en nødvendig løsning for teknologi som allerede er få vei inn i samfunnet.
En burde ha startet dette for lengst - det er ikke gjordt over natta.




Apr 7, 2017

Personidentifikator



Finansdepartementet har fremmet forslag om ny personidentikator som skal erstatte nåværende fødselsnummer.
Dagens identifikasjonsnummer (fødselsnummer, 11 siffer) har begrensninger for fremtidig befolkningsvekst.
Den nye personindikatoren tenkes gjennomført over 10 år og skal ha kapasitet for 100+ år fremover.


Regjeringen skriver i høringsnotatet
Et av de absolutte kravene til en ny personidentifikator er at den skal oppfylle regelverk for personvern. Dagens personidentifikator er informasjonsbærende gjennom å inneholde informasjon om kjønn og fødselsdato.

Dette er også et godt utgangspunkt for tilrettelegging av fremtidig digitalisering, hvor både sikkerhet og personvern kan få fokus fra startfasen.
Stortinget har tidligere besluttet at digitale løsninger skal ha innebygget personvern. (se også Stortingsmelding 11 (2012–2013) Personvern – utsikter og utfordringar ).
Innebygget personvern må legges inn fra starten, dvs. at det er i design- og utviklingsfasen en bygger inn funksjonalitet som ivaretar personvernet.



En ny personindifikator bør være informasjonsløs.

Folkeregisteret inneholder mye data om individet, inklusive personindikator, kjønn og fødselsdato, tilgjengelig for de myndighetsfunksjoner som har legitimt behov for disse opplysningene.

At fødselsdato (og kjønn) "er allment tilgjengelige", er ikke begrunnelse for å inkludere denne informasjon i en unik personidentifikator.


Kjønnsløs indikator foreslås i høringsnotatet.
En kan anta at dette også blir lovpålagt i det tidsperspektivet ny personidentifikator har, og flere land har allerede innført et tredje kjønn. (ref.?)

Det foreslås at "kjønnsindikator i eksisterende personnummer  blir slått av" men at eksisterende personidentikator beholdes, mens nye tildelinger vil skje etter ny modell (side 17 i høringsforslaget).
Dette forklares ved at sifferet for kjønnsindikatoren ikke lengre skal anses å ha betydning ("brukere av personidentifikatoren ikke kan legge til grunn kjønnet"), men forblir uendret.
Da er ikke personidentikatoren kjønnsnøytralt for de med allerede eksisterende fødselsnummer.

Kjønn kan også endres underveis i livet, og oppdateres i Folkeregisteret. Kjønnindikator hentes fra Folkeregisteret når nødvendig, iflg. høringsforslaget.


Fødselsdato foreslås bevart, med begrunnelse at dette ikke er brudd på gjeldende regelverk for personvern.
Skattedirektoratet har lagt til grunn at fødselsnummeret er allment tilgjengelige, men peker på at det er utbredt oppfatning om at fødselsnummeret er hemmelig og dette alene kan gi adgang til andre opplysninger. Direktoratet understreket at fødselsnummeret kun skal anvendes som en identifikator og ikke for autentisering. Det innebærer at ved rett bruk skal det ikke kunne gis ut beskyttede opplysninger om personer ved kun å oppgi fødselsnummeret

Fødselsdato oppdateres i Folkeregisteret, og bør derfor hentes derfra, om legalt nødvendig.

Det fremgår at fødselsdato kan være vanskelig å fastslå for en del innvandrere/asylsøkere og/eller at fødselsdato blir fastsatt eller endret når (ny) dokumentasjon foreligger.
Om fødselsdato søkes fra Folkeregisteret vil en også slippe å måtte endre personidentifikator når fødsesdato endres.

Som eksempel for behov for fødselsdato nevnes at bank har behov for å vite om person er over 18år ved eventuell søknad/innvilging av lån.
Som ved kjønnsindikator kan det her søkes i Folkeregisteret etter "er personidentifikator over 18 år (Ja/Nei)".
En bør også legge inn slik funksjonalitet i en elektronisk ID (eID), hvor en kun gir minimalt med nødvendig opplysning.

Fødselsdato er overflødig informasjon i en unik personidentifikator


Digitalisering, elektronisk ID (eID) og sektorvis indifikator

Det er viktig å velge en personidentifikator som ivaretar behovet for personvern i den gitte konteksten denne indikatoren vil/kan bli brukt.
Da må en også vurdere hvordan dette skal håndteres ved eID. Ved ny personindifikator har en unik mulighet til å få en teknologisk moderne, personvennlig og skalerbar elektronisk e-identitet.

Regjeringens forslag vurderer innebygget personvern som en unødig kostnad og potensialet i den digitaliserte fremtiden vurderes ikke i høringsforslaget.
Kostnader samt at (deler av) finansnæringen har gammel (legacy) maskinpark fremmes som vektige argumenter mot personvern-vennlig, informasjonsløs personindifikator.


Et annet argument Regjeringen har mot innebygget personvern, er at det da blir vanskeligere å krysskople persondata fra forskjellige sektorer.
Men det er nettopp grunnet digitalisering at innebygget personvern (privacy by design) er vitalt. Både for å forhindre ukontrollert formålsutglidning ved krysskobling og for å ivareta individets personvern.



Dette skriver Skattedirektoratet:
Sektorvise identifikatorer innebærer at personer ikke har en felles personidentifikator, men flere ulike, avhengig av tjenesteområde. En person har f.eks. en identifikator for helsesektoren, en for politiet, en for kommunale tjenester osv. I Europa praktiseres denne løsningen av Østerrike.
....... 
Dette er en alternativ måte å organisere personinformasjon på, som noen vurderer bedre med hensyn til personvern. Sektorvis identifikator gjør det vanskeligere å sammenstille informasjon fra ulike virksomheter/sektorer og følgelig sette sammen flere opplysninger om enkeltpersoner. 
Denne modellen avvises med bakgrunn i innspill fra viktige primærinteressenter (referansegruppen).Det er store fordeler knyttet til den norske og skandinaviske modellen med å ha en primærnøkkel for kommunikasjon og samhandling mellom virksomheter på tvers av sektorer. Et felles fødselsnummer bidrar til effektivisering av offentlig forvaltning og øker mulighetene for å utvikle digitale tjenester bl.a. annet basert på offentlige grunndata.


En modell, hvor data om person (eller data akkumulert om person) krysskoples via en unik identitet, vil ikke gi nødvendig tillit til det offentlige's digitale løsninger.
(Digitale tjenester basert på offentlige grunndata har heller ikke behov for personidentifiserbare data)



Sikkerhet og personvern


Når en planlegger for de neste 100+ år, så må en ta nye, og mere fremtidsrettede hensyn enn de som forelå da en innførte fødselsnummer for papir-basert administrasjon. En må forebygge for både kjente og ukjente muligheter.

Eksempelvis, så vet vi at denne modellen ikke er digitalt bærekraftig, hverken for sikkerhet eller for personvern: (klikk for større bilde):




Elektronisk ID må kunne håndtere både anonymitet, psedonymer og/eller reell identitet for de tjenester en benytter sin eID mot, og ikke gi ut mere informasjon en strengt nødvendig for den gitte tjenesten.
En eID kan heller ikke knyttes mot en spesiell 3je-part (eksempelvis mobilleverandøren) om elektronisk ID skal kunne nyttes av alle norske borgere (i inn- og utland).


ENISA (European Union Agency for Network and Information Security) har utgitt noen retningslinjer for best praksis ved utarbeidelse av unike ID'er for personer da elektroniske ID-kort ble tatt i bruk i Europa (eID). Østerike er et av landene som har vært bevisst hvilken risiko eID medfører, mens "den norske modellen" henger etter de beste løsningene.

Et lite utvalg fra ENISA om risikoelementer en må skalere for:
This implies a set of risks to the privacy of the citizen, via the unwanted disclosure of personal information and its subsequent misuse.It is fundamentally important to address these risks, first and foremost because they represent a threat to the fundamental human rights of the citizen as enshrined in Article 8 of the European Convention on Human Rights [23], particularly in cases where card possession is compulsory or strongly encouraged by enabling compelling or even essential services. Another consideration for governments is that threats to privacy strongly demotivate citizens from using a scheme. This makes adequate privacy protection a sine qua non in countries where the ID card is optional, but even where its possession is compulsory, privacy risks will affect the card’s degree of usage and decrease its popularity, making enforcement of any obligations more difficult.For this reason, all existing and planned schemes already specify at least some privacy features to protect card holders against unwanted disclosure and abuse of personal information.

Risk
The main assets at risk in eID card scenarios are usually the personal information and anonymity of the citizen. Loss of these assets can put at risk secondary assets such as physical property, financial assets, reputation (e.g. in the case where the card is used for identity theft) and the right to be left alone (via spam etc...). 
Side-channel attach : information leaked through so-called side-channels to gain access to private data. This additional information could be the timing of signals, power consumption, or radiation. location tracking, behaviour tracking 
Privacy-respecting use of Unique Identifiers (UIDs): unique identifiers are strings which allow applications to distinguish between individual citizens (citizen-specific UID) or their identity cards (card-specific UID). A card-specific UID changes when a new card is issued to the citizen. Identifiers have to be used very carefully in order to avoid privacy risks. A well-designed UID scheme might offers more privacy than for example using a social security number or the combination of name and date of birth as UID. In general, the more a UID is linkable to useage in other transactions (using the card, or otherwise), the less privacy it offers. It is important to note that individual static data on the card, like a public key or even an encrypted data block has all the attributes of a UID if it is unique.  
Domain-specific UID (or sector-specific UID or sector-specific personal identifiers): The use of different identifiers in different application domains helps prevent merging databases. Domain-specific identifiers can be derived from (secret) identifiers held by a trusted central issuer. 
Selective Disclosure: A commonly accepted privacy principle is that data disclosed should be the minimum required for the stated purpose. For example, this is an axiom of EU data protection law ([23], Article 7). In order to respect this principle, the card should not disclose more information than has been asked for by the requesting application. For example if the requesting application only requires the name of the card holder, the card should not give access to the user’s address.  
Verify-only mode: a simple case of selective disclosure is verify-only mode where instead of disclosing the actual value of a field, a yes-no answer is given for whether a query is satisfied – e.g. whether age is greater than a certain value or a biometric matches (with a given probability) a certain template.  ....



Oppsummert: 
En ny personidentifikator bør være informasjonsløse (og ikke innholdsbærende).

En bør se på sammenhenger og interaksjonen mellom modernisering av Folkeregisteret, ny personidentifikator og fremtidig eID.

Tilgang til informasjon om person må begrenses til kun de/den myndighet som har reell behov for den gitte informasjon - og/eller kun til den eller de personen selv velger å dele slik informasjon med (ref. EU's lovgivning)



Referanser:
1) Finansdep - Høringsnotat -Forslag til ny personidentifikator  23/3/2017

2) Rapport fra Skattedirektoratet - Konseptvalgutredning - Ny personidentifikator i Folkeregisteret

3)Dovre Group / Transportøkonomisk institutt - Ny personidentifikator i Folkeregisteret- Rapport til Finansdepartementet

4) EU prosjekt FIDIS (hvor også Østerike deltok i prosjektarbeidet )

5) Comparing privacy in eID schemes,
U-Prove, Idemix, eID for Germany and France
Østerike's Borgerkort 

6) forslag om endring av Folkeregisteret september 2016: Regjeringen foreslår ny folkeregisterlov

7) ENISA Position Papers - Privacy Features of European eID Card Specifications 2009

8) Privacy-enhanced PKI tokens:
U-Prove (bought by MicroSoft)
Idemix (IBM) Identity Mixer

9) Fødselsdata er sensitive og bør være private ,   fra EFF 2009

Mar 31, 2017

Pornofilter - igjen

Innenfor visse miljøer blir de aldri ferdige med temaet "pornofiltrering". Dette tross at kunnskapen om dette er omfattende.
KrF terper fortsatt på dette ("Cameron foreslo/sa...").
Noe The Guardian skrev om noen år tilbake David Cameron's internet porn filter is the start of censorship creep
En gammel debatt KrF tilsynelatende aldri gir opp.

Men dette var ingen dum tanke, og absolutt noe som burde pålegges en del foreldre (de som ønsker filtrering) "Cameron to ensure parents are led through a filter process on all new computers "


Tilbakeblikk ca. 2012:
En rekke legitime nettsteder oppdaget tilfeldig at de var blitt blokkert fra mobiloperatører i UK. Legitime nettsteder som overhode ikke hadde noe å gjøre med porno, men som kanskje hadde ord som "sex" i teksten et sted på nettsiden. (Som franske La Quadrature og en rekke andre, tilsvarende tilfeldige).

Jeg har skrevet flere sider om "nettfiltrering" (Internet blokking, se nederst på siden),
men dette er fra Open Group:



Some MPs and religious groups are mounting a campaign to push 'default on' network level blocking on the UK Internet.[1] [2] There is now a public consultation considering this idea.

Email the conultation team now 
 

However well meaning, we know from our own research [3] what happens when ISPs put blocks on the Internet. Through accident or abuse, censorship leads to lots more content being blocked than originally intended.[4][5]
Sites will get blocked if they casually mention sex. Sexual health sites will get caught.[6] The websites of clubs and bars, personal blogs and community sites get filtered. Chat sites may be banned – because they might not be sufficiently “policed”. In short, if you’re small and independent, you will suffer.
Innovation and free speech are threatened by this clumsy website blocking. And the government is considering turning this on by default.[7] You may be presented with a list of ticked “filtered” categories, and have to untick them if you want to avoid the filtering.
And if this happens at the network, then future governments can easily extend what gets filtered without having to ask you. Mass censorship would be couple of clicks away.We need you to help fight back: email the consultation team now!

signed
Executive Director, Open Rights Group  

Et par år senere, i 2014 er 1 av 5 websider blokkert 
Problemet er så omfangsrikt at Open Rights Group's har utviklet verktøy for å kunne finne om ens websider er blokkert ( se https://www.blocked.org.uk/)

Notes
[1] MPs, see http://www.telegraph.co.uk/technology/internet/9230439/Labour-MPs-support-opt-in-system-for-online-porn-to-protect-children.html  
[2] See, for example, Premier Christian Media and their campaign at http://www.safetynet.org.uk  
[3] ORG's research 
[4] See Coadec  and [5] Computer World
[6] “Even when set at their least restrictive blocking configurations, filters block an average of about one in ten non-pornographic health sites resulting from searches on the terms “condoms,” “safe sex,” and “gay.”” – See no Evil: How Internet Filters Affect the Search for Online Health Information, Kaiser famiuly Foundation, p.8
[7] The Register


Internet blokking - Del I: Om sensur og filtrering av Internet
Internet blokking - Del II: Hva dette betyr for nettet
Internet blokking - Del III: Hva dette betyr for barn

Mar 29, 2017

Kontaktløse bankkort (NFC, Near field communication)

Da jeg mottok nytt bankkort/visa et par-tre år tilbake, hadde det NFC/kontaktløs.
Jeg kontaktet banken - jeg ikke hadde bedt om dette og ønsket heller ikke  å la meg spore via et bankkort som ville gi ut unødig informasjon om meg, inkludert til en hvilken som helst part som svipet nære nok kortet mitt (også uten at jeg bruker det for betaling).

Først forsøkte banken seg med at det var ikke mulig å få kort uten NFC.
Deretter forklarte de at det var Visa som pushet dette.
Men at det var jo opp til meg å la være å aktivisere NFC.
Tilslutt medgav banken at det dreide seg om å kunne akkumulere maksimalt info. om kundene.

Det ville ta lang tid å eventuelt kunne lage nytt kort uten NFC - sa banken. 
Jeg gav banken 1 uke, deretter ville jeg bytte bank.
Jeg postet også et brev til banken.

3 dager etter fikk jeg nytt kort - uten NFC.

Jeg vet ikke om folk er klar over at de selv er ansvarlig for potensielt misbruk (om noen tapper kortet). 
Og teoretisk er mulighetene høye.
Du må selv bevise at det ikke er du som har brukt ditt kontaktløse kort...


Iflg. en fransk artikkel kan et kort teoretisk tappes for opp til 999 999,99 $
(i flg. et studie http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
Visa's kommentarer kan leses her: http://www.bbc.com/news/uk-england-tyne-29862080
Svært mange franske bankkunder har nektet å ta i bruk kontaktløst bankkort...

Nokia (som utviklet NFC) publiserte et studie sammen med London School of Economics (2011, Near Field Communications;
Privacy, Regulation & Business Models )
http://www.lse.ac.uk/management/research/research-initiatives/lse-tech/nokia-comms.aspx

Mitt tekniske vurdering av NFC/kontaktløst bankkort - er at det ikke er velegnet for bruk pr. nå.

Ang. å måtte kjøpe ny lommebok (som skjermer signalene fra NFC) for å beskytte mot kortsweeping, så er dette totalt forkastelig.
(Kortet gir fra seg info. også om det ikke tappes penger fra det.)


Nå, 2-3 år senere mottok jeg brev fra banken, hvor der står at da mitt kort fornyes nå så må jeg velge om jeg ønsker NFC/kontaktløst kort. Etter alle problemende banken har hatt så har de tydeligvis lært noe etter å ha sendt ut disse kortene til kunder som ikke har bedt om dette.
Jeg snakket med banksjefen, og banken var klar over (diverse) problemer vedr. sikkerhet...

Siden kontaktløs kort ikke trenger autorisering fra banken for transaksjoene så får en heller ikke effektivt blokkert stjålne kort. 

Og Europol rapporterte nylig (for 2016) at kontaktløse bakkort/RFC er et voksende problem i den kriminelle verden. Vanskelig å stoppe, vanskelig å etterforske - og volumet vokser....


Når jeg leser slikt som dette "Nå kan du snart betale med en selfie /NFC" så tenker jeg at bankene har særdeles lav troverdighet ang. sikkerhet...

Mar 4, 2017

Digitalt grenseforsvar - The Deep State

Innledning:
«Det er grunn til å anta at den tiltagende bruken av sterk kryptering vil fortsette. Dette vil påvirke den verdien E-tjenesten har av å kunne avlytte kommunikasjonen ved riksgrensen». (kilde: Lysne II) 
«Regjeringen ser det som en utfordring at den informasjonen som E-tjenesten har tilgang til allerede i dag, i stor grad har flyttet seg til andre kommunikasjonskanaler – nærmere bestemt fiberkabler – der tjenesten ikke har tilgang». (Kilde: Forsvarsministeren, NRK) 
"Tilgang med samspill med tjenestens øvrige kapabiliteter og data fra lokale sensorer, samt samarbeid med NSM, PST og den aktuelle virksomheten" (Kilde: Lysne-II

Lysne II rapporten beskriver "Digital grenseforsvar"

Regjeringen har publisert en beskrivelse hvordan funksjonaliteten er tenkt:
(Klikk på bildet for større utgave)


Bemerkninger:

Lysne II-rapporten skriver at E-tjenesten ikke har ønske om å drive masseovervåkning, men at en må likevel legge til grunn at det utstyret som eventuelt vil brukes til DGF, har teknologisk kapasitet til å gjøre nettopp dette.

Og ganske riktig så omtaler denne rapporten en infrastruktur og systemer for massiv overvåking av elektronisk kommunikasjon. Av alle borgerne som nytter internet.

Utover at statlig masseovervåking ønskes legalisert, så er mye uklart, og lite eller mangelfullt reflektert. Relevante problemstillinger er ikke diskutert og noe er også helt eller delvis selvmotsigende. Rapporten er datateknisk svak.

(Lysne presenterte selv at han ønsker debatt om dette, men såvidt jeg har klart å finne, er han ikke tilgjengelig for offentlig debatt via nettet.)


Skissen ovenfor er (sansynligvis) skissert for å gi en logisk oversikt over prosessen, mens i realiteten griper de skisserte punktene inn i hverandre.



Tilgang til utenlandsk kommunikasjon

Dette skal gjøres ved at nettilbyder pålegges å sende kopi av alle data som passerer kabelen til DGF. Formelle pålegg vil være et aktuelt middel dersom frivillig samarbeid ikke fører frem.
(En nettilbyder som "frivillig" kopierer kundenes datastrømmer til statlige myndigheter bør være vanskelig å oppdrive i et demokrati.)

DGF skal selv kunne plukke ut hvilke data de ønsker å behandle videre (eller komme tilbake til senere), og skal mellomlagre kopi av all data som går gjennom kablene.

Videre skal nettilbyder pålegges å kopiere datastrømmen ukryptert for lavere nivå, link-nivået.
(Link-nivået er nivået over den fysiske kabelen men under ruting-nivået, dvs. under IP-nivået. Enkelt sagt så er Ruting-/IP-nivået dataene/datapakkene som sendes over linja). 
At slike pålegg potensielt kan forhindre fremtidig utvikling av teknologi problematiseres ikke.

For kryptert kommunikasjon mellom brukere/bedrifter, eller det en kaller ende-til-ende kryptering, så foregår dette på nivåer over, og er uavhengig av nettleverandøren. Følgelig kan ikke Staten pålegge nettleverandøren dette via konsesjonsregler.

Hva som er mere interessant å merke seg, er at det er underliggende at DGF vil forsøke å knekke ende-til-ende kryptering, men at dette vil være unndratt offentligheten.

Krypterte data øker i volum. Og i hovedsak grunnet snoking.

I et bisetning bør nevnes at for (norske) digitale sertifikater (for kryptering, elektronisk signering, autorisering, autensitet), så vil myndighetene potensielt ha aksess til krypteringsnøkkelen (BankID og tilsvarende som aksepteres for autentisering innen offentlig virksomhet).
Generelt er denne muligheten høyst problematisk og det er heller ikke drøftet her (eller andre steder).

Vi innførte kryptert kommunikasjon for å sikkre transaksjoner - for å gjøre internet trygt tilgjengelig for business. Det tok nitidig innsats fra svært mange for å opparbeide tilliten som var nødvendig for dette.
At offentlige myndigheter mener det er en akseptabel sport å investere i, eller å tilrettelegge for, å ruinere tillit ved sikker kommunikasjon, er direkte uetisk.
Hva Snowden avslørte er datakriminalitet og overgrep i regi av statlige aktører er eksepsjonelt dårlig egnet som forbilde.

Formålsglidningen i mange retninger er allerede gitt...


Filtrering

Av den totale datamengden som kopieres skal det filtreres bort bl.a. kommunikasjon mellom norske borge i Norge. Dvs. dersom to norske borgere befinner seg fysisk i Norge så skal kommunikasjonen mellom disse filtreres bort.
Det høres tilforlatelig ut, men datapakkene på internett har ingen begreper om nasjonalitet. Datapakkene har heller ingen kjennskap til om kommunikasjonen er mellom klient og lege, advokat,  journalist  osv.
En kan filtrerer bort data som går til/fra norsk IP-adresse.  Men det er noe annet enn å filtrere bort kommunikasjon mellom norske borgere.
Bare å lese en norsk nettavise, eller å lese fra Stortingets nettsted vil resultere i trafikk som passerer nettet til DGF. Tilsvarende for de flese norske nettsteder og nettjenester.

Det er direkte meningsløst å skrive en kan filtrere og skjerme norsk-til-norsk kommunikasjon. Det meste en gjør vil gå via, eller vil aksessere,  dataservere utenfor Norge. Å snakke om "landegrenser" for Internet er teknologisk meningsløst.
Det er heller ikke gitt at de reelle IP-adressene for ende-til-ende kommunikasjon er kjent eller tilkjennegis via mellomlagring. (Dette er etterforskningsmyndigheter blitt informert om fra SSAC, Internets Security and Stability Advisory Committee.)

Filtrering er noe en gjør maskinelt. Som betyr at datastrømmer filtreres etter et (eller kombinasjoner av flere) regelsett, for så å gi data ut. Dette tar sekunder, ikke to uker.


Lagring
Korttidslageret skal være en offentlig sandkasse for å teste hvordan teknologien fungerer og opparbeide seg kunnskap om teknologi.  ("Finne hvor relevant trafikk går og hvordan tjenestene på nett et bygget opp, slik at DGF virker").
Jeg ville trodd at det måtte være et krav om at slik kunnskap allerede er opparbeidet innen en slipper noen til slike opgaver som her skisseres.

Videre skal en filtrere bort innholdsdata for å lagre metadata - men samtidig vil en nytte metadata hentet fra innhold i dataene, og denne selvmotsigelsen er ikke nevnt, langt mindre belyst.
Eksempelvis må en åpne mail og lese mailens innholdet for å finne om der er vedlegg av interesse, og for å finne om avsender kan antas å være i eller utenfor Norge. For mange mailtjenester vil slike data  (som viser brukerens IP-adresse eller gir informasjon relatert vedlegg) være fjernet eller kryptert, for å beskytte brukeren.


Metadata

Metadata beskrives som er teknisk informasjon om hvem som kommuniserer med hvem. Eksempelvis telefonnummer, e-postadresser, IP-adresser m.m.

Borgernes identiteter og kommunikasjonsnettverk via internett skal kartlegges (Punkt 6). Men først etter at domstolegodkjenning er gitt (punkt 5)

I praksis betyr dette å nytte analyseverktøy for å binde data til personer, og skissen indikerer også at det kombineres data fra andre kilder enn bare "grensekabelen". Dette er ytterst intrusive verktøy, og persondata selges fritt på markedet. Stater er blant kundene.
"Profiling" av personer og kartlegging av elektronisk nettverk vil fort omhandle 10-tusener personer bare i ett søk (mitt eget "nettverk" i modellen DGF fremmer er i alle fall 6-sifret).


Sanntidsovervåking

I Forsvarets egen presentasjon (tilgjengelig via nettTV fra Stortinget) sier Forsvaret at de ser gjerne av lovverket ikke blir detaljert, de ønsker heller å nytte forskrifter...

Det nevnes at Forsvaret kan komme til å ha nytte av overvåking i sann tid. (Dataene er jo allerede tilgjengelig via DGF).
Dekryptering i sann tid vil sterkt degradere den faktiske sikkerheten til selve kommunikasjonen.
Dette er rimelig teknisk, men er en alvorlig problemstilling som ikke diskuteres. (I prinsippet kan en si at det er ensbetydende med bortimot null sikkerhet - og uten at de involverte advares).


DGF beskriver en sterkt utvidet modell av datalagringsdirektivet. 

Ved massiv overvåking, profiling og diverse mere eller mindre "intelligente" analyseverktøy (som ikke er diskutert, langt mindre problematisert) skal staten, via millitær overvåking og teknologi, akkumulere og lagre profiler, døgnet rundt.


Det er en rekke flere ting som må diskuteres, og avslutningsvis skal jeg nevne et par (men der er flere)

1)For nasjonal sikkerhet, så er dette et farlig konsept.
- Det nevnes at Russland potensielt ønsker å påvirke valg. Det som bør nevnes er hvorvidt The Deep State selv kan manipulere valg, via (bruken av) den informasjonen de sitter på.
- Petraeus-skandalen, hvor en 4-stjernes general måtte gå av grunnet The Deep States snoking i hans ytterst private sfære.
- Det foreligger eksempler på utpressing av personer i betrodde eller utsatte posisjoner. I all hovedsak når dette aldri media.
- Det foreligger eksempler på industrispionasje av ytterst alvorlig karater (heller ikke stoff for media)

2) Konseptet DGF er et massivt overvåkingskonsept for etterretning.
- Det kan ikke fremstilles som egnet konsept for å hindre kriminalitet eller terror.
Eksempelvis er det direkte useriøst å nevne terror i Paris som eksempel på nødvendigheten av DGF
- Det beskytter heller ikke for datasikkerhet
- Målrettet mail med malware har en helt andre metoder for å forhindre, eksempelvis datasikkerhet, sikker konfigurering og implementering av hvordan mail håndteres i en organisasjon.
- Dette vil heller ikke beskytte mot generell datakriminalitet eller datainnbrudd.
- Og ikke minst, dette er et alvorlig brudd både på Grunnloven og EMK.

3) Teknologi som fremmer sikkerhet blir ofte(st) tilsidesatt, utsatt eller ikke implementert fordi det hemmer myndighetenes overvåkingsmuligheter. Vi har sett dette via DNSsec, TSIG, IPv6 og alt som vanskeliggjør State-in-the-middle. Men det er slik teknologi som kan beskytte mot dataangrep.
I stedet for å bruke resurser for å tilegne seg kunnskap via implementering av faktisk og reell sikkerhet, bryter en ned både tillit og sikkerhet - og til en høy pris

Siden det er valgår gir jeg herved tips til politiske partier: De kan selv bidra med valgsikkerheten, ved å ikke nytte utenlandske mailtjenester når de kommuniserer med medlemmer - og slettes ikke gi sine medlemslister til utenlandske tjenesteleverandører, slik noen av dem gjør...

Militær overvåkning av landets borgere via DGF får datalagringsdirektivet til å blekne 
og bør uroe enhver borger, for dette er en tankesett som er svært destruktivt.


Relevant informasjon

Forsvarsminister sier Norge må få på plass et digitalt grenseforsvar for å sikre samfunnet mot cyberangrep og terror.
20.februar annonserte Regjeringen at digitalt grenseforsvar (DGF) utredes

Argumentasjonen er velkjendt:
""Regjeringen ser det som en utfordring at den informasjonen som E-tjenesten har tilgang til allerede i dag, i stor grad har flyttet seg til andre kommunikasjonskanaler – nærmere bestemt fiberkabler – der tjenesten ikke har tilgang"(sier ministeren)"


Fra EOS-rapporten "Særskilt melding til Stortinget om rettsgrunnlaget for Etterretningstjenestens overvåkingsvirksomhet" (datert 2016) fremkommer det at e-tjenesten allerede akkumulerer data.

I dag er en mengde statlige spionbokser installer i nettet, hvorfra e-tjenesten kan innhente data. Disse er implementert under dekke av sikkerhet for bedrifter. Datatrafikk til store norske selskaper kopieres for at de hemmelige tjenestene skal analysere datatrafikken til/fra titusener av ansatte i disse selskapene.

Nå ønskes utvidet aksess ved at dette implementert for fiberkabler inn/ut av landet - samt at praksisen legaliseres ved innføring av nytt lovverk.

I realiteten vil alle borgere være under digital overvåking døgnet rundt.


Digitalt grensevern - E-tjenesten vil plassere snokebokser på alle fiberkabler inn og ut av landet

Jan 15, 2017

Debatt om Digitalt Grenseforsvar (DGF)

Jeg sitter og ser DND's streaming fra debatt om digitalt grenseforsvar (DGF).
Det er bedre enn hva Netflix kan by på, på en søndag...
Takk, Dataforeningen v/ R. Christian Torp!

http://www.ustream.tv/channel/dnd-beta

Der er flere interessante innlegg, ikke minst fra Datatilsynet/Bjørn Erik Thon.
Og fra Bjørn Remseth's innlegg (EFN).
Og fra Arve Føyen (advokat, som belyser grunnleggende fellestrekk mellom DGF og UK's Snoopers Charter) ....

Etter også ha hørt Olav Lysne, så sitter jeg igjen med samme spørsmål som da jeg leste rapporten han har signert - og som da jeg hørte ham i Dagsnytt Atten sist uke:

Hva er det faktiske formålet med DGF?
Ikke bare at menn i uniform skal kunne ha leketøy "alle andre" har? (Det blir fremhevet at "de andre landene har jo dette", en argumentasjonsform de fleste burde vært vokst fra).
For dette har ikke noe å gjøre med å sikre norske bedrifter eller infrastruktur.
Det er ikke fnugg av teknisk datasikring her - kun ren masseovervåkning.

Millitær etterretning og politi/PST skal kunne forsyne seg fra befolkningens kommunikasjon og nettbruk - og da etter prinsippet om fri selvbetjening.
Her forklarte Lysne noe ullent om at E-tjenesten kunne eksempelvis tipse politiet om de fant noe kriminelt, men at politiet ikke skulle ha direkte aksess....

Tilsvarende ullent fremsto Lysne på Dagsnytt Atten da han uttalte at selvsagt ville kommunikasjon mellom norske statsborgere ikke bli overvåket slik - det skulle domstolskontroll etterse.
Vel, Internet kjenner ikke statsborgerskapet til datapakker, så dette er rimelig meningsløst, mildt sagt - som mye annet i denne famøse rapporten fra Lysne.

Lysne fremmer DGF nærmest som en trussel: Enten må en godta dette (eller noe lignende) eller så vil e-tjenestenens fremgangsmetoder "gå under jorden" - i all hemmelighet.
Jeg har alltid tenkt at det er Stortinget som bestemmer slikt, men det kan godt være han har rett her, for fra salen kom det kommentarer fra representant fra EOS-utvalget, som fortalte at etterretningen (PST?) opererer med sine egne analyser av egeninnsamlede meta-data fra mobilt nettverk uten at dette er regulert fra Stortinget (EOS-utvalget har varslet Stortinget).
(*se nederst for eksakt tekst)

En person fra direktoratet fra e-helse kommenterte at de ikke ønsker slik overvåkning - dette vil ruinere forholdet mellom helsebehandler og pasient.
Et enkelttilfelle, men dog, en god venn av meg har allerede meldt seg ut av det norske helsevesenet - tross at personen jobber innenfor det norske heslevesenet så bruker personen selv (for sin egen del) privat betalt helsetjeneste (som ikke elektronisk rapporterer pasientdata til staten).

Enhver kan (og bør) se streaminger ovenfor her ... det er viktig dette som diskuteres her!


Tidligere denne uka skrev et annet medlem av Lysne-II utvalget en artikken i favør av DGF.
Hun fremstiller dette som forsvar at Norges digitale løsninger:
Dersom vi ikke har et grenseforsvar, må norske bedrifter og offentlige virksomheter forsvare seg på en annen måte mot cyberangrep.
Jeg har forståelse for at en jurist ikke forstår teknologi, men dette er så langt utenfor virkeligheten at det er skammelig. Bedrifter må beskytte seg, ved å faktisk implementere datasikkerhet - enten en får et DGF eller ikke.

Hun påstår også at "det er vanskelig å anslå omfanget av en chilling effect fordi det ikke er mange undersøkelser på området". (Noe vi faktisk vet ganske mye om).

Å bruke "terror" eller "demokrati og frie valg" (med referanse til siste presidentvalg i US) som begrunnelser for å innføre DGF, er nærmest latterlig.

Lysne gjentar (igjen) at han ønsker dialog og debatt. Så jeg inviterer ham til å debattere på offentlig nett. Bak betalingsmurer eller i statlige bakrom blir det ingen offentlig debatt - og slikt får heller ikke faglig korreks.


Remseth nevner at hva som foreslås (DGF) ikke bør være leketøy...
Joda, jeg har også gjordt meg tanker om menn som burde ha vokst ut av gutterommet... for det er nesten slik jeg leser hele Lysne-II-rapporten - og i den forbindele kan jeg anbefale følgende høring fra det amerikanske senatet relatert russisk hacking (noe de forteller at de har visst om i flere år).




Jeg har konkludert med at DGF er en oppkonstruert test for hvorvidt det norske folk fortsatt er oppegående...

God søndagskveld, folkens - jeg håper dere består testen.







* Medlem av EOS-utvalget (ved politihøyskolen) sier følgende (nøyaktig sitat). (Jeg formoder at "E" betyr etterretningen)

<Start sitat>
Jeg syns det har vært litt rart å følge debatten som er veldig viktig - og bra at det blir en informert debatt om dette tiltaket som er foreslått.
Men jeg tenker at det blir presentert som om det er noe helt utrolig nytt og slik har E aldri jobbet før.  Og E har et veldig uklart samfunnsoppdrag som er så vidt og diffust at det er helt umulig å føre kontroll med at de holder seg innenfor rammene.
Jeg tenker at de premissene der, de burde man egentlig avklare.
Vi har en lov som definerer samfunnsoppdraget og det er også et hovedpunkt her.
Det som skaper problemet er at mandatet gjelder utenlands-etterretning og denne forskjellen, altså den geografiske definisjonen av innland og utland, ikke lenger er relevant og meningsfull i forhold til å utnytte kommunikasjon.
Og det er jo sånn at e-tjenesten allerede utnytter metadata fra mobilkommunikasjon og de har utviklet sitt eget interne regelverk for å håndtere dette her. Og det har vi, EOS-utvalget, sagt at det er ikke tilfredsstillende.
Vi antar at det kreves en klarere lovregulering av måten de utnytter metadataene på. Og det er jo egentlig det Lysne-II rapporten nå legger opp til, at man får en klarere regulering etter en debatt som hører med til ny lovgivning om hvordan disse dataene kan brukes, innhentes, lagres, kontrolleres til bruk av analyseformål.
Det er ikke noe nytt ved dette her, annet enn at man nå fanger opp mere data fordi at så mye mere går over fiber enn over de andre kanalene som E har tilgang til.
Og jeg står jo ikke her og sier ting jeg ikke har lov til å si for vi har innlagt en melding, særskilt melding til Stortinget om dette og den skal behandles i neste måned. Takk
<End sitat>

Noen som husker hvordan Datalagringsdirektivet ble til? (Bl.a. For å legalisere hva som allerede foregikk i et visst lands domstol)


Oppdatert 21.februar 2017:

Denne rapporten tilsier at det må lovendringer til, for å legalisere e-tjenetens allerede praksis
EOS-utvalget - Særskilt melding til Stortinget om rettsgrunnlaget for Etterretningstjenestens overvåkingsvirksomhet