En IT-konsult åtalas nu för att kopierat personuppgifter om sju miljoner svenskar ur Folkhälsomyndighetens vaccinationsdatabas. Detta är ett gott exempel att alla personuppgifter som finns i en databas du inte själv har ensam kontroll över kan läsas av någon eller några IT-personer, och inte är det minsta tekniskt säkra.
“Den person som åtalas var anlitad som it-konsult av Folkhälsomyndigheten, via ett konsultbolag. Enligt åtalet har konsulten uppsåtligen röjt personuppgifter som konsulten var skyldig att hemlighålla. Det är domstolen som avgör om den misstänkta konsulten ska dömas för brott eller frias från misstankar.
Folkhälsomyndigheten har vidtagit flera åtgärder efter händelsen för att ytterligare utveckla och skärpa säkerhetsrutinerna kring bland annat externa personer som anlitas.”
Nu är även myndigheters eller förertags egna IT-personal exakt samma säkerhetsrisker i den mån de har system- eller databasadministratörsrättigheter.
Alla uppgifter du lämnar eller någon annan för om dig, och all information du själv sparar i molnet, kan alltid läsas av någon med behörighet till detta. Det enda som hindrar spridning är att de flesta människor är hederliga. Annars krävs att det finns klientsidekryptering, som för Protons molntjänster där det endast är klienten och användaren själv som kan se uppgifterna. Men det fungerar förstås inte för myndigheters eller företags databaser.
I vissa fall så spårar man vanliga databasslagningar, som i belastningsregistret och patientjournaler, och där sker det då och då åtal eller disciplinära åtgärder för obehöriga slagningar på personer. Men det gäller vanliga användare som bara har tillgång till vanliga användargränssnitt.
Det finns alltid någon databas-, dator- eller nätverksadministratör som har full tillgång till allt och kan gå runt eventuell loggning. I värsta fall genom att helt enkelt råkopiera själva databasens filer och sedan använda dem från en annan dator. Grovt förenklat, men principen kvarstår.
Det är knappast sista databasläckan från anställda som kommer ske. Många kändisfoton som läckt har förmodligen plockats av anställda till molntjänster.
Tillgången till datat gäller inte bara privatpersoner. Det fascinerar mig exempelvis med företag som använder molntjänster för fakturering, offerter, upphandlingar mm, där alltså administratörer hos molntjänsten får tillgång till affärshemligheter. Eller företag och myndigheter som sparar filer i Microsofts molntjänst, vilket torde vara slentrianvanligt.
Sådana läckor av specifika affärshemligheter kommer nog inte ut i dagens ljus, utan t ex upphandlingar och offerter säljer man nog som ohederlig administratör snarare direkt till konkurrenterna utan att lägga ut på nätet.
Folkhälsomyndighetens floskel om skärpa säkerhetsrutinerna kring bland annat externa personer visar bara att man inte har kontroll eller förståelse för problemet och att detta kan och kommer hända igen. Om inte på FHM så på någon annan myndighet.
För övrigt ringde Ett Företag (TM) nyss och frågade mig vad jag hade för lösningar för att skydda mot ID-kapningar. “Den tänker jag inte svara på” var mitt svar. Det var enligt uppringande ID ett samtal från företaget, men tele-id är enkelt att spoofa och det finns ingen kryptologisk säkerhet kring caller ID, men oavsett är det intressant att man har den frågan i sitt säljmanus och det förs sedan i sin tur in i kunddatabasen … För att inte tala om att sådana här personer aldrig inleder samtalet med “jag ringer från X”, utan börjar med att försöka fastställa vem de talar med utan att presentera sig eller sitt ärende, vilket brukar leda till viss dålig stämning när man ringer mig.
113 kommentarer
Precis.
Läckor handlar generellt om den svagaste länken.
På grund av bristen på IT kompetens har det varit lätt tidigare för personer med personlighetsstörningar eller som bara varit allmänt missanpassade att få stora accesser och behörigheter. På ett sätt som inte skulle accepterats i andra delar av verksamheterna.
Det har börjat ändras nu.
Spelar ingen roll hur säkra system du har om du exv har en anti-vaccer (som konsulten på FHM) som vill skada dig då han tycker att du minsann gör “FEL!”
Eller vill hämnas på den där chefen som prioriterar gruppen och gruppdynamiken framför den ständigt “feltolkade” personen som tycker att alla andra är idioter.
Det är ett komplext område och en anledning till varför man personlighetstestar fler och fler som ska anställas. Och varför intervjuer handlar om så mycket mer än bara ren “kunskap om kod”.
Ideologiskt övertygade personer är farliga. De kan alltid självberättiga sitt agerande.
Zebulon pratar nonsens. Fråga vilken utbildad psykolog som helst så kommer du att få svaret att personlighetstester är det absolut svåraste du kan göra, men självklart kan de utföras av en rekryterare som i bästa fall har en kandidat i personalvetenskap men oftast tittar på staplar utritade av en 45minuters självskattning. Den verkliga anledningen till att rekryterare är så förtjusta i “personlighetstester” är att det får magkänslan att se vetenskaplig ut och gör att de kan motivera ett högre arvode för att deras urvalsprocess är “vetenskaplig”.
Den som vill glänsa i ett självskattningstest vet precis hur man ska resonera om vilket svarsalternativ man ska välja. Inte svårt alls att få ungefär det utfall man vill om man går in i det med den inställningen.
Men är du här och klagar och är bitter. Du som inte ens kommit in i branschen.
@Sebulon Starfighter
Det ändrar inte sakfrågan. Rekryteringsföretagens personlighetstester har samma validitet som att spå i teblad eller kaffesump.
Får hålla med Hannibal här. Är verkligen svårt att sålla bland de som verkligen vill fuska på alla typer av test.
Men tror Seb har rätt ändå, folk borde få jobba ett år eller två nära någon som är 100% lojal och som har god personkännedom, kan man fejka ett test är det svårare (men inte omöjligt) att fejka det sociala.
Problemet är ofta att många har haft på känn att något inte står rätt till men ingen har tryckt på stopp. Så bra varningssignaler och uppföljning är a och o.
Hela vår demokrati bygger på tillit. Utan den har vi inget. Denna tillit bygger på att vi tillsammans säger stopp när något börjar gå fel, det gäller överallt.
(Hälsar gubbe som säger till andras ungar, folk på stan om de inte plockar upp efter hunden, inte använder hörlurar eller bara står för nära i kön.
Omtyckt av vissa, hatad av många.)
Stå för nära i kön är den värsta dödssynd man kan begå i Sverige. Hur länge har du kvar, tror du?
Tillräckligt. Du är välkommen att prova om du vill.
Är man bara aggressivt trevlig så går det alltid bra. När folk står för nära så säger man bara. ”Ursäkta men hela familjen har vinterkräksjukan och jag mår lite illa, vill verkligen inte smitta dig. Sen hulkar man sig lite.”
Har bara åkt på stryk en enda gång. Då för att en ung man fråga om jag var bög. Och jag frågade om han bjöd ut ut mig på dejt?
Han tyckte inte det var roligt.
Han var nog lite osäker på sin egen sexualitet.
Det var han definitivt. En såndär fotbollshuligan (IFK -såklart).
Jag fick en blodig näsa men också en rolig historia.
Är det inte mer regel än undantag att kompetent IT folk har någon form av personlighetsstörning?
Dryg och otålig är väl bland de mildare egenskaper IT folk brukar ha.
Det är väl snarare så för att vilja arbeta med IT behöver man vara en högfungerande person med personlighetsstörning av något slag för att stå ut med skiten? 🙂
Kan tillägga att jag har programmerat mikrocontrollers(68XX, AVR, PIC, diverse Arduinokloner) och PLCer samt skrivit funktionsbeskrivningar för mera omfattande funktionsystem men jag klassar inte det som “IT”…
Bara nördigt. Om jag inte får betalt för det.
Om inte annat blir man personlighetsstörd av att jobba med IT. Attityden “jag kan ju inte det där med IT men om du bara snabbt och lätt fixar så det blir som jag vill så blir det bra” är den förhärskande.
Fördom. It-folk är snälla, konstnärliga, nyfikna, intelligenta, ofta med lite dålig självkänsla. Det fåtal som lutar åt autism är extra kvalitetsmedvetna och principfasta. Däremot finns det folk från marknad och i ledarposition som är väldigt “slicka” som jag inte skulle låna ut pengar till. Ofta med en överdriven känsla av värde.
“Personlighetsstörning” betyder inte att man är illvillig.
Inte heller är det så att man aldrig begår brott bara för att man är “neurotypisk” (vad nu det i sig betyder i praktiken).
Personlighetsstörning innebär ganska stora problem. Är man paranoid, schizoid eller har borderline så finns det många jobb man borde undvika.
Det spelar såklart inte någon roll huruvida personen ifråga drivs av ideologiska eller personlighetsbaserade skäl.
Det finns alltid påtryckningsmedel eller monetära skäl att övertyga någon att genomföra sådana här saker.
Därför får man ju göra en bedömning av nivån på skyddet av uppgifter och hur de accessas.
Grundproblemet är att information behandlas dåligt, och många myndigheter är urusla av olika skäl på att hantera information säkert. Det är nog inte så att värdegrundskryptering är tillräckligt svårt att knäcka…
Känner själv till svenska företag som har motsvarande dissonans. Vissa typer av skydd är jäääätteviktigt och vissa datamängder är jäääääääätteviktigt att skydda; men andra saker som också är skyddsvärda eller potentiella problem rycker man helt på axlarna åt eller till och med slår ner på folk som påtalar.
Tröskeln är hög för “personlighetsstörning” och det är ovanligt. Dock tror jag den vanligaste störningen är narcissism men den är mycket mer representerad i chefslagren än bland tekniker eller administratörer.
Typiska signaler för narcissism är självförhärligande eller förminskande av andra. Inte helt ovanligt här i kommentarsspalten.
För övrigt rapporteras det om företag säljare som ringer och frågar:
“Hur jobbar ni med säkerhet idag”
Om du känner igen att du fått sånna samtal OCH berättat om hur du jobbar med säkerhet, privat eller i tjänsten. Marsch i skolbänken med dig.
(Gäller även om du kontaktas av “konsulter” som vill intervjua dig om din “bransch” och betala för det. De vill åt din arbetsgivares affärshemligheter….)
Det senare var spännande och nytt, dvs konsulter som erbjuder betalt för att man svarar på frågor om arbetsgivaren.
Väldigt vanligt i min förra bransch
“Du kan få 1300 kr i timmen för att svara på intervjufrågor om branschen”
Och “Vi vill att du deltar i en paneldebatt om branschen via teams”
Men inget var från varken branschorganisationer eller kända utfrågare utan det rörde sig om ren informationsinhämting för konkurrenter/(eller kina)
Samma här.
Kontaktades på både jobbmejlen, linkan och privat mejl. Ofta skrev de även “vi tänker absolut inte fråga dig om affärshemligheter” för att invagga målet i falsk säkerhet. Märkligt nog blev min kunskap om vissa delar av branschen plötsligt helt ointressant 2 veckor efter att jag bytt jobb och då slutade förfrågningarna att komma…
Detta hot nämndes flera gånger vid påminnelser om att ta informationssäkerheten på allvar. Förmodligen var spionerna lite överambitösa och skickade till för många och för högt uppsatta på en gång vilket gjorde att det kom upp på säkerhetsfolkets radar.
Jag får massor av sådana här förfrågningar. Kommer på privat mail, arbets mail och linkedin. Varje vecka kommer det. En del av dessa är mycket sofistikerade i sina upplägg. Mest avancerade i år var förfrågan där de sökte någon rådgivare som kände till xxx, yyy och zzz och jag är bäst placerad i hela världen när det gäller dessa 3 områdena (där min arbetsgivare äger patenten…och planerar att tjäna miljarder per år på dessa). Känns inte alls som man får dessa förfrågningar helt slumpmässigt om man säger så. Lite obehagligt är det ju också att någon gör sig besväret att jaga en.
Känns väl mycket som företagsspioneri över det hela. Kan säkert var Kina eller tom västerländska företag i bakgrunden. Får de en sådan som mig på kroken så kan de tjäna mycket. Vem vet kanske även riskkapitalbolag kan ligga bakom då är jävligt drivna i att ”utveckla” sina bolag.
“Om jag/vi vill ha rådgivning om säkerhet så kontaktar jag ett lämpligt företag i branschen. Om du vill ha rådgivning om säkerhet så råder jag dig att göra detsamma.”
Precis så.
Det är vansinnigt svårt för it-konsulterna nu så deras säljare är väldigt otrevliga.
Ofoget de börjat med är även att skicka en mötesförfrågan med outlooklänk. Så den kommer ligga i din kalender som “tentative” tills du behandlat den.
Det kanske är vanligare nuförtiden med den taktiken, men det ofoget har existerat i många år. Jag blockar slentrianmässigt säljare som öppnar sin kontakt med mig med en mötesbokning.
Jag blockar avsändaren direkt på ALLA cold-mails.
“Hej MrMupp, jag jobbar som X och tror att vi kan hjälpa er på företag Y med [nånting som oftast inte ens har med mina arbetsuppgifter att göra].
På riktigt – vad har ni för jobb som har tid att prata med en massa okända personer i telefon?
Vissa av oss har jobb där det är lag på att vi måste svara på förfrågningar om information från allmänheten. I många fall är det absolut enklast att snabbt svara på ett telefonsamtal snarare än att be dem inkomma med begäran om utlämning av allmän handling. 🙂
Haha. Finns bara ett svar om någon utanför organisationen frågar något om ens säkerhetsarbete och det är.
-Ingen kommentar.
Alla andra svar är fel svar.
Läckor? Har inte olika personuppgifter alltid varit offentliga i Sverige? Namn, address och telefonnummer i telefonkatalogen. Personnummer i taxeringskalendern. Bilinnehav i Bilregistret inkl regnummer på bilen. Sverige var unikt. Den personliga integriteten betydde noll. Men nu märker jag att Eniro och Hitta.se börjar hålla igen med uppgifterna som tidigare varit minst sagt generösa.
Informationen minskar. Nu bara namn och adress i princip. Sverige blir mer och mer som andra länder.
Inte om du är vaccinerad eller ej….
All hälsoinformation är skyddad av svensk och eu lagstiftning.
Telefonkatalog och offentlighetsprincip är två helt olika frågor.
Poängen är väl inte att det information som tidigare varit offentlig nu är dold utan att företagen som samlar ihop det offentliga datat vill sälja den till dig som en tjänst snarare än att dela ut den gratis på sin websida.
Det har ju visat sig att olika bolag inte gallras sina uppgifter enligt lagen t.ex. domar och betalningsanmärkningar. Rätt stor business att ha sådana databaser i lämpligt land utan för EU som sedan används för personundersökningar av politisk motståndare osv. Bolagen är diskreta och balanserar i gråzonen.
“skärpa säkerhetsrutinerna kring bland annat externa personer” behöver inte vara floskler. Det blir aldrig 100% säkert men mycket kan göras med personkontroll och administrativa rutiner (t ex kräva tvåhandsfattning vid inloggning så ingen någonsin är ensam inloggad som administratör).
Interna personer är minst lika stort problem.
Man ska såklart skärpa säkerhet och se över ALL personals behörigheter och ageranden. Zero-trust kombinerat med EDR verktyg är basal säkerhet idag
Givetvis bör interna/externa leva under samma regelverk.
Du är försäljare eller hur?
Finns även Cryptographic splitting.
Spelar ingen roll om det är en intern eller extern person. Hota personens familj så …
Det fungerade ju för att avbryta en statskupp som hade förändrat världshändelser…
Spelar ingen roll om det är en intern eller extern person. Hota personens familj så …
Det fungerade ju för att avbryta en statskupp som hade förändrat världshändelser…
Men det är lugnt säger de flesta, för “jag har ju inget att dölja”.
Suck.
Folk som säger “jag har inget att dölja” har inte funderat igenom frågan.
Jag brukar fråga de om de har något emot att gå omkring på stan i underkläderna också.
Det finns starkt empiriskt stöd för att rätt många inte har något emot det idag, i synnerhet så kallade kändisar…
Motsvarande är ju som huvudregel allt man har hemma eller på företaget som kan fjärrstyras eller tittas på över Internet, t.ex. via en app. Är nog väldigt lite rent tekniskt som hindrar någon illvillig administratör eller annan med behörighet hos leverantören ifråga att också styra utrustningen på motsvarande sätt. Fjärrstyrbara lås, larm med kameror, osv.
Sannolikheten att det händer just en själv är kanske inte så stor. Men det var väl inte så länge sen som det kom fram att det delades bilder från kunders hem rätt friskt på Verisures (om jag minns rätt) larmcentraler?
Och i det allvarligare säkerhetsläget så kanske det uppstår lite dålig stämning om helt plötsligt alla som installerat fjärrstyrbara lås helt plötsligt inte kan öppna dörren längre på vanligt sätt. Kanske inte krigsvinnande att låsa ute folk från sina bostäder men skulle absolut ställa till en hel del krångel. Lägg därtill alla fjärrstyrbara konsument-värmesystem och larm, så har vi lite kaos. Lås ute folk från sina bostäder och ställ in alla värmesystem på max uppvärmning någon dag mitt i smällkalla vintern när det redan råder effektbrist…
Att köra utan VPN och säkerhet som zscaler är som att gå naken på stan.
Det kanske passar vissa men frågan är varför
Åtminstone VPN ger noll och inget skydd över huvud taget mot en illvillig tjänsteleverantör om tjänsteleverantören ändå erbjuder möjligheten att styra utrustningen på distans. Specifikt Zscalers tjänster känner jag inte till i detalj men jag har svårt att se att de skulle göra så stor skillnad heller i ett dylikt scenario.
Eller vad menar du?
På lodrätt 4 är ordet ”Fascinerande”
Klockrent Lars, ja det är ju så.
Detta är faktiskt obehagligt, noterar att all utskänkning hanteras av FHM. Om jag nu har rätt, förvisso. Hoppas på integritet och att jobbet sköts
Verkar gå sådär, om jag ska vara ärlig. Men Karin har nog koll, då hennes myndighet har de flesta mandat under sig.
Det går att kryptera det man lägger i molnet, dvs. man krypterar det innan det laddas upp. Givetvis inte helt säkert, men med ett långt lösenord så försvårar man ganska rejält för molnföretaget att läsa ens privata data.
Jag får väl erkänna att jag inte gör det på mina foton, då ingen normal människa skulle vara intresserad av dessa. Dock kör jag så på mina säkerhetskopior.
Kör Arc på mina molnbackuper, så klientsidekrypterat.
Precis. Och sen har du en annan säkerhet lokalt som vi inte behöver gå in på detaljerna i 🙂
Nu pratar vi ju inte komsumenter utan företag.
Där skulle jag generellt säga att kryptering är en del i en säkerhetslösning men inte kan ses som att höja nån nivå av säkerhet om den är en ensam lösning
Lugnt, tänk om jag kan få su access på din dator Seb. Vem vet, det är viktigt med datasäkerhet.
Jag är glad Kivra/SKV är fungerande igen. Finns där någon förklaring till haveriet (möjligt jag missat) 🙂
Här hade jag kunnat kommentera hur jag skyddar datan i dattan. Men så lättlurad är jag int 😉
Min teori är att kivra och skv berodde på vanliga överlastningsattacker.
Där är det kanske lite amatörmässigt att inte kunna hantera det. Men om jag får välja mellan att de fokuserar på att härda systemen istället för DDOS attacker så är det ok för min del att de prioriterat att hindra intrång.
Varför vill man använda Kivra?
Väldigt få leverantörer av molntjänster erbjuder kryptering annat än möjligen för “data at rest”. Typ att de kanske har fulldiskkryptering på sina servrar, men det hjälper absolut noll och intet eftersom datat måste vara läsbart för att de ska kunna leverera sina tjänster till dig, men det gör det lättare för dem den dag de ska byta ut den där lagringsenheten.
Om de hanterar nycklarna på ett kompetent sätt.
Det är mycket enklare att ordna med faktisk säker kryptering av molnlagrad data om man inte behöver bekymra sig om att kanske tusentals personer behöver ha tillgång till den där datan. (Folkhälsomyndigheten har ungefär 500 anställda enligt svenska Wikipedia. Skatteverket, som också hanterar en hel del känsliga uppgifter som omfattas av sekretess, har över 10.000 anställda.)
> Jag får väl erkänna att jag inte gör det på mina foton, då ingen normal människa skulle vara intresserad av dessa.
Ingen normal människa, nej. Men foton och video med ljud är bra om man vill spoofa utseendet på en människa för bedrägerier via videosamtal.
Kan du definiera en ”normal människa”?
‘Cause I need to know” 🙂
Det är ett potentiellt problem, helt klart. Jag får kanske öka säkerheten där. Bra poäng. 🙂
Har väl egentligen alltid varit ett problem även på den analoga tiden. Lätt att ta en kopia eller foto på det man ville komma åt. Den stora skillnaden nu är volymen och hur enkelt det är att kopiera stora mängder information. Grundproblemet är kvar – vi människor.
En annan aspekt är inställningen “det kan vara bra att ha” om data.
För att vara tydlig: “det kan vara bra att ha” är aldrig ett giltigt skäl. I synnerhet för juridiska personer.
“I synnerhet för juridiska personer”… och ändå är det just den affärsmodellen som underbygger hela internet mer eller mindre. Bedrövligt att det får fortgå.
På tal om uppringare, bedragare och AI-röster osv så är det väl bara en tidsfråga innan sambons röst ringer från ett obekant nummer och berättar att hon har glömt sin mobil och inte kan betala nått viktigt som hon skulle betala och ber en swisha pengar till hennes kollega som man aldrig har hört talas om. Det verkar märkligt men om HSB säger till en så gör man ju som man blir tillsagd.
Eller förhoppningsvis hinner man hejda sig innan man går på det. I kommunikationen med hemlarmsföretaget har ju vi och bolaget varsitt säkerhetsord som vi kommit överens om på förhand. Jag funderar på om man ska införa det i familjens kommunikation också utifall att man skulle få sin röst kapad.
Men risken är väl överhängande att den riktiga sambon glömmer sitt lösenord när hon verkligen behöver hjälp, så får hon sitta där strandad och förbannad nånstans medan man själv är hemma och är dönöjd med att man inte gick på den här bluffen heller. Dönöjd tills sambon faktiskt lyckas ta sig hem.
Om min fru skulle ringa från okänt nummer och vilja ha 50 lakan swishat hade jag ALDRIG accepterat det. En femhundring kan man acceptera förlora.
För övrigt bör ni ha ett kodord för sådana situationer som avgör om det är
a) Äkta
b) Hotbild föreligger, kanske inte en jätterrisk statistiskt iofs men den som är förberedd…
Sen kommer vi väl alla bli gamla och gaggiga i längden, så man vet ju aldrig vad man kan komma att gå på i framtiden.
Ja, jag har också tänkt på “fejk-kodord” för hotbild. Det har inte vårt hemlarmsföretag, tycker det var lite skumt och har tänkt att jag ska skicka in det som feedback. Om man får inbrott mitt i natten, larmet löses ut och man blir hotad att återkalla det så vill man ju ha ett ord som får larmet att tystna men att väktare/polis ändå tillkallas.
En variant på lösenord som går att glömma är typ ”vad hänger för tavla på väggen i vårt sovrum?”.
Ang. molntjänster är det värt att notera lagarna som ger Amerikanska myndigheter rätt att begära ut kunddata från företag som ägs eller är registrerade i landet. Även om datat är lagrat på servrar i annat land. Dessutom kan man förbjuda företaget att meddela kunden. Detta har sedan, via två domar (Schrems 1, 2) gjort att inga myndigheter i EU får använda molntjänster från t.ex MS eller Amazon. Detta gäller även Teams eller andra molnbaserade chattverktyg. Även Kina, Indien och Ryssland har liknande lagar.
Aha, så det är kanske därför sambon (som jobbar inom regionen) bara får använda Teams när man pratar om öppna saker medan de använder Skype för allt med sekretess.
Va?
Ja? Det är en uttrycklig IT-policy på regionnivå och det kommer upp som information varje gång hon skapar en digital mötesinbjudan, att Teams bara får användas när man är helt säker att sekretessbelagd information inte kommer att diskuteras på mötet, medan Skype kan användas oavsett.
Skype tillhandahålls av ett företag som är helägt av Microsoft. (Jag ska erkänna att jag faktiskt trodde att det tillhandahölls direkt av Microsoft.)
https://en.wikipedia.org/wiki/Skype#Microsoft_acquisition
Eller gå in på https://www.skype.com/en/ och titta i sidfoten under “Company” så hittar du t.ex. “About Microsoft”.
Jo, jag är med på det. Men eftersom det är äldre mjukvara tänker jag att samtalen/konversationer kanske inte loggas på samma sätt eller omfattning och att det därmed kanske är mer ok att använda Skype än Teams. Men med det sagt så vet jag ju faktiskt inte varför policyn finns men det lät på skippys inlägg som att det kunde finnas nått där.
https://www.schneier.com/blog/archives/2013/06/government_secr.html
https://www.schneier.com/blog/archives/2013/06/new_details_on.html
https://www.nytimes.com/2013/06/20/technology/silicon-valley-and-spy-agency-bound-by-strengthening-web.html
Går garanterat att hitta på andra ställen också men detta gick snabbt för mig att hitta med en webbsökning. Vet att det rapporterades om ganska friskt när det begav sig.
Skype körs på företagets/myndighetens server. Teams körs på Microsofts server. Stor skillnad.
Jag arbetar på en myndighet och vi ska gå över från Skype till Teams (nedbantad version). Om man avhandlar saker som inte får spridas, så ska vi använda ett annat program som jag för tillfället glömt namnet på, då vi inte ännu lämnat Skype.
Fattar inte varför alla inte bara kör Signal. Finns ju Desktop till både Mac och PC.
Antar att det beror på att man inte kan köpa ett supportavtal för 10 MSEK.
@LW 17:59, mycket sannolikt är det en stor anledning…
För då har man ett Avtal.
Inte för att det hjälper så mycket när det verkligen kniper, men ändå.
För att signal lagrar sin data och har sina servrar hos?
Jitsi? Öppet videokonferenssystem som man kan drifta själv. Vet att några myndigheter jobbar på att använda detta.
@NGB Signal är open source så du kan undersöka källkoden själv. Om du hittar något konstigt, så för du fram det.
@tandem
Ja, källkoden är Open source absolut. Men frågan är genom och vilka servrar datan passerar. Om servrarna datan passerar är Open source måste jag be om en förklaring. Du menar alltså att vem som helst kan tanka hem backup-data från signals servrar för de är Open source ? och det finns på nätet, bara att ladda hem?
Signal är helt enkelt inte säkert.
Krypterat absolut, men det är inte det som är bollen. Man måste förstå, kontrollera och behärska varenda Lina, byte, tråd, kabel och användare. Kan man inte det är marknadsföringen falsk.
Frågan kvarstår. Vem passerar, hanterar och verifierar den data som skickas genom signal? Vad händer med mitt meddelande , hur kommer det fram, vem distribuerar, vem lagrar, var lagras det, hur lagras det, när, varför, är det som sägs sant på git-hub osv?
Slutkläm:
Du måste ÄGA Servern specifikt.
Allt annat är humbug.
Signal lagrar inga data, och allt är klientsidekrypterat. Går inte att avlyssna. Signal har på begäran från myndigheter bara kunnat lämnat ut IP-nummer.
Så någon någonstans, avlyssnade datan, som passerade en Server någonstans, och lämnade ut IP adressen till någon och absolut enligt källan ändrades inte i källkoden och krypteringsnyckeln tillfälligt?
Nå, frågan va ju nu mera varför inte alla använder Signal. Att veta var och hur datan /appar hanteras och kunna ta backup är ett i sig randvillkor i lagstiftning. Eftersom Signal är Signal, faller det på att myndigheten inte äger eller har direkt tillgång till servern applikationen ligger på utan att tillkalla polis. Alltså måste man äga servern, annars blir det humbug.
Då låter det som att en svensk statlig version av Signal som körs mot statliga servrar är lösningen. Dvs en modern version av Försvarets Telenät. Sedan för oss paranoida som inte gillar att staten kan se in i din konversation blir det väl att använda vanliga Signal.
Jag tror att problemet med tjänster som Signal är att servrarna finns utomlands. Lagstiftningen förbjuder detta och tar ingen hänsyn till att de påstår att inget loggas eller att det används klientsidekryptering.
Signal är vad som kallas end-to-end (e2e) krypterat, dvs lagring på servrar är inte mer läsbart än avlyssning av kommunikationen. En konsekvens är att all historik går förlorad om nycklar försvinner.
För myndigheter osv är Matrix lämpligt.
Hur säkerställer du att apk/ipa för Signal är byggd på samma källkod som visas i repot?
Något av det mera skrämmande är den nyhet nyligen om när ett större IT-företag som bla. driftade forskningsdata fick allt raderat inklusive backuperna pga en hackerattack. Åratal av data borta.
Hur i h…e kan en organisation överhuvudtaget ha en policy där backuper lagras on-line? Alla företag med IT-som ryggrad jag har haft att göra med tar backuper .. Per dag/vecka/månad OCH lagrar dessa OFF-LINE i form av diskar i säkerhetsskåp.
Jag gör detta själv i två servrar med kunddata. Servrarna stängs av efter varje backup. + separata diskar som lagras på annat ställe.
Att naiviteten är stor inses när man läser om Tyska BW’s läckta samtal om Taurus. Men det kan ha varit en planerad läcka. Vem vet…
Har varit standard att köra allt online senaste åren. Offline vore ju heeeeeeeeeelt befängt, då kan man ju inte lösa det enkelt.
Men går väm även under “det drabbar inte oss” eller “mika anställda är hederliga” eller som en gammal chef sa.
“Men i kontraktet står det ju att de ikte får göra si o så, då får de sparken”
Märkligt hur företagen beter sig mer och mer inkompetent samtidigt som de bara ställer högre och högre krav för att anställa.
För att de är nöjda med de inkompetenta som redan är på plats 😉
Ja och de som handlade upp tjänsten borde kanske kontrollerat hur backuperna lagrades. Jag har jobbat mycket med mjukvaruutveckling inom verkstadsindustrin, där mjukvarukompetensen generellt sett är mycket låg och man gärna handlar upp allting, att de som handlar upp ett system där mjukvara ingår måste kolla upp hur denna utveckling skall gå till och sannolikheten för att det skall hända. Det räcker inte med att en leverantör lovar att allting är i trygga händer.
Den svagaste länken är alltid den som har inlogg till systemet.
På min arbetsplats måste jag passera in med inpasseringskort och kod på kortläsaren, vid fyra ställen! sedan ett annat kort för att logga in i systemet som eventuellt någon vill komma åt. Sedan kommer jag som “vanlig” användare inte åt så mycket men det kan säkert en duktig hackare ta sig förbi.
Men om någon står där med ett vapen och hotar mig så lämnar jag nog ut informationen som önskas… Vill ju kunna träffa barn och barnbarn i framtiden också!
Det är därför mänsklig övervakning aldrig kommer att kunna ersättas. Om du står där vid kortläsaren och någon hotar dig slår en mänsklig operatör larm. Man kan ju givetvis ha AI kameraövervakning som hjälper till men det behövs även människor. En annan sak är att ha passergrindar där bara en person får plats och att kortet sedan inte kan läsa in en annan person på ett par minuter så blir det svårare för en obehörig person att ta sig in.
Sen jag sålde min själ till Google och började använda Google telefonapp så har antalet spamsamtal minskat radikalt. Jag kan inte ens påminns om när jag fick en sådan påringning senast. NIX-registret är inte riktigt så bra som det påstås.
påminns om -> påminna mig om
När de lyckats plantera in en trojan så upphör intresset och de hoppar vidare till nästa offer.
Jag vill hävda att det går att göra mycket säkrare system en de vi har. Framförallt ocrackbara system för krypto nycklar till tex telefoner som möjliggör officiealla bakdörrar för att komma åt kriminalitet.
Kul storyline. Få ryssarna att köra domedagspedagogi så att värden skiter på sig och köper guld som galningar. Sedan sitter ett visst land med enorma guldŕserver och pytsar ut allt med lite smarta medel så att bönräknarna inte anar oråd. Vips så räddas världen och vojne vojne guldet blev till koppar. Jo just det guld är en bättre ledare än koppar och vi kan bygga relativt billiga elnätverk utan extremhög spänning … Värden blir galen av glädje och mänskligheten firar med historiens största g6. Yep, make love not war, lol.
Root/God, what’s the difference?
Sent omsides kom Aftonbladet på samma sak.
https://www.aftonbladet.se/nyheter/kolumnister/a/WR9pyQ/oisin-cantwell-alla-register-lacker-forr-eller-senare
Men det är (i mitt tycke ) Sveriges bästa tidningskrönikör så det är väl positivt?