Dagens helt relevant stora nyhet är avslöjandena om att USA:s regim genom NSA och systemet PRISM har i princip full tillgång till användarnas data, inklusive e-post, hos Google, Apple, Facebook, Microsoft, Yahoo, AOL, Skype, Paltalk, Youtube och snart även backup- och molnföretaget Dropbox. Amazon nämns dock inte. Företagen förnekar förstås allt, medan The Guardian och Washington Post mfl menar att uppgifterna är bekräftade. (Schibsted/SvD, Bonnier/DN)
Det här är förstås mycket allvarligt om det är sant, vilket är fullt logiskt att det är. Som jag påtalat förr så kan man inte avlyssna personers e-post idag, då standardkrypton som används t ex TLS, SSL mm gör att de endast går att avlyssna genom att ha tillgång till e-postservrarna. Standardkrypton går idag inte att knäcka i rimlig tid och då enbart i enstaka fall som drunknar bland miljontals spam och oväsentligheter.
Därmed behöver en FRA-liknande myndighet, likt NSA, tillgång till servrarna för att kunna läsa mail. Vilket NSA nu påstås ha fått.
VIKTIGT ATT NOTERA ÄR ATT MINA MAIL HANTERAS AV GOOGLE OCH ALLTSÅ OM UPPGIFTERNA STÄMMER ÄR FULLT LÄSBARA AV USA:S NSA, SOM HAR INFORMATIONSUTBYTE MED FRA. DET BETYDER ATT NSA I SÅ FALL KAN LÄSA ALLA MINA MAIL, UNDANTAGET NI SOM MAILAR GPG-KRYPTERADE MAIL TILL MIG.
Min öppna 4096-bitars GPG-nyckel hittar ni här. Kryptering av själva mailet innebär att det endast kan läsas på servern av mig.
Av samma anledning ska man alltid kryptera backuper till molnet lokalt, och inte förlita sig på kryptering på servern. Glädjande nog är inte Amazon listat så backar man upp till S3 eller Glacier ska man vara trygg och om man oavsett använder t ex Arq för backup till S3/Glacier så krypterar man först lokalt.
Krypterar ni inte era backuper lokalt får alltså NSA även tillgång till innehållet på din dator om du backar upp till Apple, Google eller Microsoft och framöver Dropbox.
Nu förnekar alltså de utpekade bolagen allt. Men formuleringarna är långt ifrån tydliga. Läs mer på t ex The Next Web.
Man säger t ex att man bara lämnar ut data i enlighet med lagen, vilket inte är ett förnekande, då PRISM har lagstöd. Google säger t ex
“We disclose user data to government in accordance with the law”
Man kan också säga att man aldrig hört talas om PRISM, men det innebär ju inte att NSA har namngett systemet för samarbetspartners. Dessutom får man inte medge att man samarbetar kring nationell säkerhet. The Next Web:
“Despite these denials it is important to consider that the NSA would not have released details of the program name to Internet companies, as ACLU analyst Christopher Soghoian points out. Furthermore, those who receive national security letters are prevented from discussing their existence by law.”
I slutändan handlar det om The Guardians och Washington Posts trovärdighet kontra de som samarbetar med NSA och inte får medge eller diskutera systemens existens. Tidningarna hade knappast gått ut med detta om de inte haft mycket bra på fötterna och bekräftat uppgifterna från flera håll.
Att Sverige “säljer” FRA-data till USA är välkänt. Ni bör vara fullt medvetna om att man får “betalt” för detta data i form av data tillbaka. FRA ska inte få avlyssna svenskar, men inget hindrar dem från att få uppgifter om svenskar från NSA.
Läs på mer om GNU Privacy Guard, eller GPG, här. Ett alternativ för kryptering är S/MIME, som fungerar mycket smidigt rent tekniskt, men som är administrativt omständigt då S/MIME-nycklar behöver verifieras och signeras mot att man visar upp legitimation för en ackrediterad part. Mina egna S/MIME-nycklar har för länge sedan gått ut då jag inte orkat upprätthålla det hela. Ett annat problem med S/MIME är att en del e-postprogram och molntjänster tidigare har filtrerat krypterade mail som spam, även om det bara handlar om att man signerat ett mail, inte ens krypterat det.
Jag rekommenderar ändå att ni skaffar åtminstone S/MIME och börjar använda för er e-post för att hindra att den läses på servrar. Samtidigt kräver kryptering kompetens. Om ett krypterat mail svaras på i klartext, med citerad text, så får NSA mfl en sk crib, som gör att man betydligt enklare kan knäcka dina krypton och rulla upp all din kryptering. Ett enda användarfel hos någon mottagare av dina mail kan alltså i teorin förstöra åratal av krypterad korrenspondens. Kryptering kan likt S/MIME vara tekniskt enkelt, men det är alltid människan som är den svaga länken.
Enklast blir att utgå från att alla mail läses av myndigheterna. Via Apple avlyssnas alltså även rimligtvis videokonferenssystemet Facetime och via Skype även Skypes ljud- och videokonferenser. Dessutom ska alla amerikanska telefonsamtal via Verizon avlyssnas.
Samtidigt finns det en paradox här – myndigheter kan normalt inte agera på avlyssnat data, eftersom man då avslöjar hur man fått datat. Istället behöver prioriterade avslöjanden följas upp av traditionell underrättelseinhämtning när man väl har någon misstänkt, så man kan dölja hur man egentligen fått uppgifterna ursprungligen. Det betyder att de flesta bara har sin integritet och privatliv att frukta och småfifflande inte kommer drabbas. Men man kan t ex höja t-ismberedskap och “råka” ha personal på plats för att ta någon på bar gärning. Och mediakällor kan bli röjda och av någon annan anledning underrättas att de blir sparkade från sina jobb.
Har ni känsliga uppgifter vars källa absolut inte får komma ut, så finns alltid fysisk post…
27 kommentarer
Och sen blir det upprörda känslor när kineserna försöker göra likadant, tänk va mycket enklare livet skulle ha blivit för farbror Josef och Adolf med dagens teknik
På 80-talet jobbade jag som forskare på KTH och använde samma superdator (någon som minns Cray?) som JAS-projektet. Forskarna hade dock bara tillgång till datorn under vissa tider: en halvtimme på morgonen och lunchen, samt hela natten. Under denna tid bytte SAAB helt enkelt ut hårddiskarna. All JAS-data låg på hårddiskar som var fysiskt bortkopplade från datorn under forskarnas tidsslot. Och så bootade SAAB om datorn så data försvann från RAM-minnet också.
Jag tror att det är fysisk bortkoppling enda riktigt säkra sättet att skydda data, om man nu skulle ha något som är värt att dölja (själv är jag inte tillräckligt intressant för det).
Den där Cray-soffan var riktigt snygg. Har för mig att den finns på tekniska museet i Stockholm nu för tiden.
Kan tipsa om BoxCryptor
Tyskt projekt stött av EU, det kan ju finnas trojaner i det också… Förstår mig inte på fårk som lägger ut hela företaget i dropbox utan kryptering.
Ännu en "conspiracy fact" …
"Nyheten" består väl av att vissa företag pekas ut som medlöpare, inte att "myndigheterna" läser våra mail.
Sen är det ju inte någon person som sitter och läser dina mail, utan möjligen något program som filtrerar på nyckelord och formuleringar av en viss typ. Först om programmet hittar något av intresse kanske det leder till att en människa läser det.
Och jag ser inte någon större skillnad om NSA och FRAs program läser det jag skriver eller om FB, Google och Yahoos program gör det för att optimera reklamen som de vill visa mig. Hänger man på nätet så är man helt enkelt mer eller mindre publik, och identifierbar av de som har rätt resurser.
Sen har vi ju det där med Echelon…
Allahu akbar, jew dogs, bomb, semi-automatic for free, cornubot.se, terrorist, airplane
pling, pling, pling, pling, pling, pling, pling, pling, pling, ?????????, pling, pling, pling
no pig hot dog, 40 virgins, nailbomb, aluminium fertiliser, cornucopia, inshallah, israeli
pling, pling, pling, pling, pling, pling, pling, pling, pling, pling, gute sheeps, pling, pling
”What does alcohol taste like?”
P L I N G, K L A N K R KKRK K KS SZ ZZ TTTTP RR
– BOB! Call Bangalore!
– Okey, Bob. I'll call now.
– Thanks, Bob.
– Bob, let's go and grab a couple of freedom burgers.
– No, siree bob, Bob, can't do that. I've allready ordered a freedom pizza.
FREEEDOOOOMMM!!! YEEEAAAHH!!!
– God bless this fine land of ours, Bob.
– Bob, I bet you God's true name is Bob.
– But, Bob, that's blasphemy.
– No Bob, god is an american, and all true americans are called Bob.
– I'll drink to that, Bob.
– A Bud 2-pack freedom beer coming up, Bob.
– In Bob we belive!
– BOB, BLESS THIS BUD!
– Amen, Bob.
Meanwhile in Bangalore…
– Vishnu, Bobistan is calling. Their computer is down again.
– Holy cow, not again! They're five times more stupid than a pakistani cabdriver.
Two times more stupid than the cow that's blocking my way in the street.
HOOOONK! HOOONK!!!!
end of story…
Självklart har Jänkarna koll på allt som snurrar genom deras maskin. Våra privata grejer är väl inte så intressant så det var väl skit samma.
Vore jag IT chef på nått stort Svenskt företag med Amerikanska konkurrenter skulle jag aldrig tillåta moln tjänster för den mest kritiska information. Typ Säljarnas offerter, kritisk källkod, vissa ritning osv.
Annars kan man kryptera mailet på en USB-sticka och skicka den med posten.
Jag skriver alla mina mail på rövarspråk, är övertygad om att det är en vinnande strategi. Eller stateroregigogog då.
Har aldrig förstått folk som tror att internet är hemligt. Om jag skulle vilja framföra hemligheter så blir det ute på stan, då det är tillåtet av staten att installera mikrofoner i hemmen och spionprogramvara på folks datorer. Nu vill ju staten dessutom kunna få installera kameror hemma hos folk utan tillstånd så snart är väl det enda sättet att staten inte lyssnar på en att hoppa på ett tåg ut till landet och hoppas att mikrofoner inte är installerade i naturen.
Grejen är väl att företagen i fråga lovar användare, och avtalar med betalande kunder, att kommunikationen är krypterad. Sen lämnar de bort kryptonycklarna till nån hemlig Himmler i Gestapo!
Jag tror att man inte ska vara så godtrogen när man accepterar avtal. Att eventuella krypteringsnycklar skulle lämnas ut ser jag som något helt acceptabelt enl dom avtal som man ingår då dessa brukar friskriva sig från lagar och naturkatastrofer osv. Det finns ju vpn-tunnlar i Sverige som lanserades i den sk. FRA-debatten där det väldigt ofta står i avtalen att om myndigheterna vill ta del av trafiken så kommer dom att få göra detta. På en leverantör som utlovar integritet, anonymitet osv så står det följande i avtalet:
"XXX förbehåller sig rätten att med omedelbar verkan stänga av Tjänsten om kunden överför eller publicerar information som bryter mot svensk lag, eller krav på god publicistisk sed eller allmänna etiska regler sk Netiket."
Hur vet dom detta om inga loggar eller någon övervakning sker? Det gäller att läsa hela avtalet. Skulle jag skicka hot under deras anonyma tjänst så kan jag fortfarande åka dit på det.
Det där med att vanliga människor bara har sin integritet att frukta tror jag inte på. Insamlad data *kommer* att användas, om inte för annat så för att spara tills någon särskild person behöver "påverkas" eller smutskastas. Antingen det nu görs "i tjänsten" eller för privat. korrupt, vinning.
Tänk J Edgar Hoover som hade en akt om Kennedy, Erich Mielke som hade en akt om Erich Honecker. Praktiskt att ha en liten akt om alla, att ta fram vid behov.
Här kastas inget. Underrättelsefolk är maniska samlare.
Håller helt med dig här! Skapar man en bransch för informationsinsamling så skapar man också en karriärbransch. Det skapar sin egen efterfrågan. Precis som vanliga myndigheter. Det ligger i människans natur. Därför måste vi ha rättrådiga och modiga politiker som sätter ner foten.
En röst på Ralph Nader som alltid. USA förstår inte varför de skriver sin egen dödsdom. Hmm…men så går det när personlig vinning och ambitioner blir viktigast. Politisk dekadens leder till ekonomisk dito.
Uppstår det någon oppositionsrörelse av betydelse så kan vi utgå från att den effektivt kommer smutskastas.
Alla som ifrågasätter makten på något betydelsefullt sätt plockas förstås snabbt ner med nåt de sparat…
USA-staten är sjukligt paranoid. De står ensamma för över 40% av världens totala försvarsutgifter och deras närmaste allierade (NATO, Saudi, Sydkorea, Japan m.fl.) för över 30% till. Kina står för 10% och Ryssland för 5% av världens militära utgifter. Ingentinghotar USA. De borde omgående ta hem alla trupper från utlandet, avskaffa 90% av armén, 75% av flottan och skära med måttliga 10:tals % i flygvapnet för att garantera även framtida totalt ohotad militär överlägsenhet. Idag tvingar de fram upprustningsspiral i Kina och Ryssland samt bankruttar sig själva. Fortsätter de så kommer de snart att tvingas rusta ned väldigt mycket mer än mitt måttliga förslag.
I total vakuumbrist på potentiella militära fiender, så har USA-staten startat krig mot sina egna invånare.
Helt i enlighet med Bush-polarnas PNAC. Allt det där behövs inte för nåt verkligt militärt hot, utan för att USAs överlägsenhet skall vara så total att ingen ens funderar på att utmana dem.
"Full spectrum dominance",du vet, överlägenshet i allt från infanterister till satelliter och kärnvapen.
En idiotisk idé, det håller jag med om, och dessutom kan den endast vara konstrukerad av nån som aldrig sett särskilt mycket av verkligheten eller ens satt sin fot utanför USA. Grundtanken att sex miljarder människor okritiskt skulle acceptera amerikansk dominans överallt hela tiden verkar aldrig ha ifrågasatts.
I en annan del av världen så sprängs bilbomber och planeras attacker på människor som är helt oskyddade.
Jag vore glad om de kunde förhindra detta genom att lyssna på min mail oxå.
Banker och andra känsliga system bör dock skyddas från alla bedragare.
Å andra sidan så finns det stater med mindre öppna juridiska system där spioneri kan ge tråkigheter.
Det ena utesluter så klart inte det andra. Ungefär som den tillfälliga "oms:en" som blev den permanenta momsen.
Har man ett verktyg så är det frestande att börja använda det till allt möjligt, långt från det det var avsett till från början.
"Jag vore glad om de kunde förhindra detta genom att lyssna på min mail oxå." (Sic!)
Påminner om en skämtteckning jag såg i Läkartidningen för flera år sedan: "I brist på svårmätta relevanta mätdata får man nöja sig med lättmätta irrelevanta."
En av teknikerna man använder handlar om scanning av nyckelord som namn, substantiv, ordföljder etc etc på alla språk. Inte svårt att bara man har en superdator som snabbt får tag i t.ex back-up data. Men man scannar även momentant on-line eftersom vissa storservrar i vissa knutpunkter skall vara i förbindelse med USA´s myndigheter.
Skillnaden mot Stasi som ju är hatat, är då?
Ännu har förmodligen inte NSA dina svettiga strumpor i en burk. Vilket Stasi i många fall hade. På riktigt.
Nä men skämt åsido, Stasis agerande hade ju den bieffekten att det korrumperade hela samhället med sina angiverisystem, splittrade familjer, vänner och kollegor.
Här hör de ju allt utan angivare, vilket på sätt och vis faktiskt är humanare.
Fast när jag skriver ner det hör jag ju hur konstigt resonemanget låter.
Det är väl som så att angivare inte behövs, när allt ändå kan läsas? Du behöver inte få reda på någon utomstående att det finns smutsiga strumpor om du ändå har tillgång till allas smutstvätt.
Precis. Nu behöver du inte fundera på om din granne, fru eller arbetskamrat är angivare. Det är de ju nämligen inte, för det behövs inte. Just de personliga förräderierna är ju det som kritiserats hårdast med Stasi.
Ända sedan jag började använda internet har jag haft inställningen att min okrypterade epostkorrespondens och sökningar via sökmototer har kunnat läsas av amerikanska myndigheter.
Inom svensk försvarsindustri på 80- och 90-talet fick man heller inte skicka hemliga handlingar via internet. Nu vet jag inte hur det är med den saken.