Månad: april 2021

25 april, 2021

#121 – IT-säkerhet enligt åklagaren

Oooooooorder!!!! Oooooooorder in court!!!!

Avsnittet: #121 – IT-säkerhet enligt åklagaren
Inspelat: 2021-04-24 (publicerat 2021-04-25)
Deltagare: Erik Zalitis och Håkan Andersson

Lyssna på avsnittet

Medan du lyssnar

Håkan Andersson – en man du inte vill möta i en mörk domstolslokal.

Våren 2020 skapade jag en tråd i ”Säkerhetsbubblan” på Facebook, en grupp om just IT-säkerhet. Jag bad deltagarna ställa frågor som senare skulle hamna hos åklagaren, Håkan Andersson, en vän till mig. Det tog ett år innan detta verkligen hände, men nu är vi här och Håkan svarar. Det är värt att notera att jag fått uppdatera en del av materialet, eftersom en hel del hänt under året. Sen har jag lagt till egna frågor och förtydligat området på några av dem.

Här är frågorna:

  • Vi börjar med en enkel fråga: Anders skrev att ”Jag har alltid undrat om det heter ”legala” eller ”juridiska” frågor, så där har du en fråga.”. 

Ja, Håkan tyckte ju att det var strunt samma, men nu vet ni också varifrån orden har sitt ursprung. Som något av en språknörd, gillar jag sånt här!

  • Vi har även fått frågor om hur det är med Cloud act, Stored Communications Act och nu senast Schrems II-domen. Detta har diskuterats tidigare I podden, men nu ställer jag frågan till dig: har vi som vanliga användare tillräckligt med skäl att lita på att vårt data i molnet är säkert och kan den Svenska lagen hjälpa oss om vi råkar illa ut därav?

Detta har vi frågat ett antal personer om här i podden, men denna gång frågar vi om vad det betyder för en vanlig privatperson.

  • SSL används för att kryptera förbindelser och vi har haft det på tapeten senast förr-förra avsnittet om huruvida datacenter ska få bryta din kryptering för att läsa ditt data. Vad säger den Svenska lagen?

En klassisk vid det här laget som inspirerats av videokonferensdebatten förra våren.

Vi pratade om FLoC, Googles föreslagna system för att ersätta tredjeparts cookies. Jag hade just läst om detta och kom inte ihåg namnet på det, men det är en ganska oroväckande idé att Google som har en majoritet av webbläsarmarknaden, i princip kan skapa ett monopol på att styra och sälja annonser via webbläsaren. Se länkarna nedan för en mer djuplodande kritik av systemet.

  • Ett år efter att Lag (2020:62) om hemlig dataavläsning trädde I kraft, vad har vi nu för erfarenheter?

Inte många här, då den verkar ha applicerats sparsamt. Man kan förstå varför, att bedriva denna typ av spaning är dyrt och komplicerat. ”The jury is out on this question”, eller i detta fall åklagaren…

  • Peter undrar om MD5. Denna hash-standard för att kontrollera datas äkthet är osäker då det går att ändra data och lura MD5 att påstå att det inte ändrats. Ändå används denna standard av många forensiska verktyg. Egentligen handlar det inte om just den standarden, utan mer om vilka brister I forensiken som ändå kan accepteras I en rättegång och vilka som inte kan det.

Såååå… Man kan alltså INTE vråla ”Objection your honor – I am #kränkt – MD5 is bad and I’m innocent” i domstolen och förvänta sig att de lägger ner åtalet. Bra att veta.

  • Sista frågan är: vad ser du för faror och möjligheter I framtiden för IT-säkerheten och lagen.

Frågan vi alltid ställer och som ofta leder till insiktsfulla svar och vilda gissningar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
18 april, 2021

#120 – Den oorganiserade spamkungen

Let me take you down, ’coz we’re going … to… Spamford fields… Nothing is real and nothing to get hung about.

Avsnittet: #120 – Den oorganiserade spamkungen
Inspelat: 2021-04-18 (publicerat 2021-04-18)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Så, dags att bli nostalgiska igen och därmed lära oss av det förflutna. Men herr Wallaces värld såg mycket annorlunda ut än den vi lever i idag. Det var en tid av de stora vildhjärnorna till entreprenörer. Då kunde charlatanerna sälja sina verkningslösa produkter, sina tveksamma råd och bygga stora personligheter kring luft. Och spammarna kunde snabbt och enkelt nå en värld som togs på sängen. Mr Wallace är en smart man som är notorisk och dessutom helt saknar skrupler. Han såg tidigt möjligheten till att använda moderna kommunikationsmetoder för att överösa världen med meddelanden och annonser

Runt 4:55 nämnde jag BBS-lagen som en jämförelse med hur lagar kan gälla teknologier som inte fanns när de skrevs. Det var när Eskil Block 1988 anklagade Maj Wechselman för att vara spion för Sovjetunionen, som hon stämde honom för förtal och vann. Det utmynnade i att BBS-lagen antogs 1998, då BBS-erna var påväg bort. Men den applicerar även på Internet-forum och även nyare typer av Internettjänster som tillåter publicering av insändare eller användarnas texter. Därav min referens.

Sen vill jag påpeka några saker om ”Telephone Consumer Protection Act of 1991”. Det är sant att den inte täcker spam över epost, men den har uppdaterats med anledning av Can spam som gör det. Därav förändringarna på 2000-talet. Lagen är givetvis inte så användbar som skydd mot oönskade faxmeddelanden, då få använder faxar. MEN, den skyddar faktiskt mot oönskade telefonsamtal och kräver att vara företag har en lista på kunder som bett dem inte ringa dem. Inget av det vi sa var fel, men vi gav inte riktigt hela bilden.

Runt 11:36 pratar jag om Steve Gibsons utredning om Realaudio/Realplayer och dess spionfunktion. Han anses ha uppfunnit begreppet ”Spyware”. Idag är många programvaror, webbtjänster och till och med operativsystem spioner som identifierar oss och håller koll på oss. Märkligt att tänka på hur mycket bråk det blev om Gibsons upptäckt och hur glömt det är idag.

Runt 15:20 nämner jag Richard M. Stallman. Ja, jag och Mattias är försiktiga med att vara kontroversiella eller att ta ställning i allt för mycket. Men att jämföra Wallace lama ursäkt varför han spammar, med Stallmans dito om varför han beter sig olämpligt mot kvinnliga medarbetare, är ganska relevant. Jag förstår givetvis att autism kan göra det svårt att fungera i sociala sammanhang, då jag själv är inom spektrumet, men ursäkter som dessa får mig att ta mig för pannan. Sorry.

Runt 20 minuter kommer vi fram till att ”ensamvargen” är på utdöende. Med dagens stora grad av specialisering av hackare, är det svårt för en ”enmans-armé” som Wallace att göra sig gällande. Hans dagar som elak, mustaschrullande mogul är förmodligen över. Men vem vet, han verkar inte vilja sluta…

Sen tyckte jag att hans hundratusentals fejk konton är vardagsmat för Facebook idag. Vet inte hur lång tid det tar för alla hackarna att nå… och överträffa dessa siffror idag, men det är nog inte så svårt. Men Facebook är också bra mycket bättre på att hantera dessa. Dock långt ifrån perfekt, om du inte tror att Filip och Fredrik nya Bitcoinsystem är ett lämpligt meddelande på Facebook, vilket inte jag gör…

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
11 april, 2021

#119 – Hur säkra är våra videotjänster?

Avsnittet: 119 – Hur säkra är våra videotjänster?
Inspelat: 2021-04-09 (publicerat 2021-04-11)
Deltagare: Mattias Jadesköld, Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
3 april, 2021

#118 – Praktiska råd efter Schrems II

Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Sanningen smärtar….

Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?

Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.

Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
Scroll to top