Lav dit eget password

Jeg bruger to password. Et kort password til hjemmesider som ikke betyder noget og et langt kompliceret password som jeg bruger til alle de andre hjemmesider.

Til at konstruerer et godt password skal skal du vælge en sætning som giver god mening for dig! Du skal være sikker på at netop denne sætning/minde giver gode associationer for netop dig. Det kunne være ”Den jul da onkel Peter tabte sine bukser”.

I hvert ord smider vi det første og det sidste bogstav væk, men det er kun godt hvis finder på en anden regel som at smide hver andet bogstav væk for så bliver dit password mere sikkert (for dig). Dermed bliver ”Den jul da onkel Peter tabte sine bukser” til ”e u nke ete abt in ukse” som igen bliver til ”eunkeeteabtinukse”.

Nu skal et password( helst bruge special tegn, men det er ikke godt med æ, ø eller å. Eller for den sags skyld tegn som kræver flere samtidige tryk, fordi hvis du kommer på et udenlandsk tastatur, så kan du havde dit hyr med at finde de rigtige tegn.

Brug derfor tegn som !,.#”&/ men undgå tegn som ~ og @.

Indsæt tre special tegn så ”eunkeeteabtinukse” bliver til ”eunkeet!eabt#in/ukse”. Men vi er ikke færdige.

De fleste hjemmesider kræver at du benytter store bogstaver, så to eller tre tegn skal skrives med stort, men aldrig det første bogstav, fordi de fleste hacker-programmer antager at du starter med stort begyndelsesbogstav!  Så lad dem ikke få denne fordel.

Dermed bliver ”eunkeet!eabt#in/ukse” til ”eunkEet!eaBt#in/Ukse” og nu er der vist ikke mange andre end dig som ved at der står ”Den jul da onkel Peter tabte sine bukser”.

For at bruge dit password skal du tilpasse det til den hjemmeside du besøger.

Hvis du besøger www.politiken.dk så kan du som metode tage de sidste 2 bogstaver i Politiken og putte ind på faste pladser i dit password hvorved ”eunkEet!eaBt#in/Ukse” bliver til ”eunkenEet!eaBt#in/Ukse”.

Men besøger du www.overvaagningssamfundet.dk bliver dit password til ”eunketEet!eaBt#in/Ukse”.

Dermed vil et hack at en hjemmeside ikke automatisk medfører at dine oplysninger er meget værd andre steder for vi genbruger jo ofte password og det ville være surt hvis du mistede din Facebook adgang fordi en helse hjemmeside blev hacket.

Og tilbyder hjemmesiden to-faktor login via f.eks. SMS så skal du altid benytte dette fordi en hacker jo så også skal have fat i din telefon. Sider som Facebook, DropxBox, LinkedIn mv. tilbyder to-faktor-login

Hvis en hjemmeside bliver hacket, så skal hackeren kende min metode for at kunne bruge min password til noget.

Kryptering og hvorfor kryptering?

Mange mennesker tror fejlagtigt at kryptering er fordi man vil skjule noget for myndighederne. Det kan naturligvis være tilfældet – men i mange tilfælde er du faktisk forpligtiget til at kryptere dine arbejdsdata og især hvis du tager ”dine” data med hjem!

Lad os starte med ”Lov om behandling af personoplysninger” (persondataloven) og i DS484:2005 Standard for Informationssikkerhed hvori der stilles krav til, at følsomme og kritiske data beskyttes imod uautoriseret ændringer (Iintegritetsbrud) og imod at komme til uvedkommende kendskab (Fortrolighedsbrud).

F.eks udtaler datatilsynet – ”Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering”.

Du kære læser ved jo godt at alt kommunikation på internettet forgår ”på åbne postkort” hvor alle kan læse alt. Derfor er det ikke lovligt at sende personfølsomme data som f.eks. et passwordbeskyttet regneark i en email.

Eksempler på følsomme og kritiske data er forretninghemmeligheder, CV’ere til hjemmelæsning, administrative eller forskningdata, der indeholder personhenførbare oplysninger som personnmummer sammen med navn, adresse, telefonnummer, e-ail adresse, køn, tilhørsforhold (religion, seksuel orientering, fagforeningforhold, politiske data m.m.m.).

Det er slet ikke nok til at opfylde lovens krav ved følsomme personaleoplysninger og det er DropBox og lignende løsninger heller ikke – selvom de er smarte løsninger!

Det bedste er at følsomme personaleoplysninger aldrig forlader arbejdsgiverens sikrede netværk, men hvis du nu skulle have følsomme personoplysninger med hjem i elektronisk form (som f.eks. en stak CV’ere til gennemlæsning i weekenden), så bør du krypter en USB nøgle og på denne nøgle kopier de omtalte CV’ere.

Det behøver ikke koste penge idet opensource produkter som VeraCrypt er ganske effektive!

VeraCrypt et et gratis alternativ som tilbyder militarygrade kryptering og som bygger videre på TrueCrypt, derudover understøtter VeraCrypt platforme som Windows, Mac og Linux.

Metoden er i VeraCrypt er hurtig og enkel, men kræver at nøglen til at åbne dokumentet sendes til modtageren på en sikker måde, eksempelvis sendes det krypterede dokument som e-mail eller som USB-nøgle og krypteringsnøglen som en SMS besked til modtageren, men aldrig sammen med det krypterede dokument!!

Husk at en laptop kan blive stjålet eller en USB-nøgle kan blive væk. Så giver det ro i sindet at vide, de data som i sidste kunne få dig fyret eller måske ligefrem i fængsel, er umulige for tyven at låse op!

Næste artikel vil blive en guide til VeraCrypt og FreeFileSync som begge er platformuafhængige opensource produkter.

VPN og hvorfor VPN?

Til at beskrive VPN (Virtual Private Network) vil jeg starte med en analogi. Forstil dig internettet som en lille landby hvor hvert hus er en server.

Hvis jeg fra hus nr 23 vil snakke med hus nr 17, så sender jeg et åbent postkort for alle datapakker er som standard åbne postkort – for breve findes ikke ikke vor landsby.

Mit postkort bliver nu afleveret fra hus til hus – og kan hver gang læses af huset (serveren). Uanset om det er en glødende kærlighedserklæring eller en inkassotrussel. Og hvis et hus undervejs vil, så kan huset rette i mit postkort. Det kalder man mand-i-midten-angreb.

De færste ville sikkert sende glødende kærlighedserklæringer eller nøgen billeder på åbne postkort, men det er altså sådan internettet fungerer – åbne postkort.

Hvis jeg vil sikre mig at det kun er den hus nr 17 som kan læse min besked, så må jeg putte beskeden ned i et brev ved hjælp af kryptering. At krypter svar til putte beskeden ned i et brev – ikke andet.

En VPN forbindelse kryptere derfor forbindelsen imellem din pc/tablet/telefon og VPN serveren, således at min besked nu er et lukket brev som bliver afleveret fra hus til hus i landsbyen.

Sagt helt kort, så er VPN forbindelse blot et brev hvori jeg putter mine data – det er ikke andet. Det brev sender jeg så til en betroet server (altså VPN server) hvor mine data bliver taget ud af kuverten og derpå ekspederet videre til de rette modtagere men nu er mine data tilbage som åbne postkort – hvis ikke de krypters på anden vis – som f.eks. https:// protokollen.

Grunden til at alle firmaer og mange private anvender VPN er, at internettet er et usikkert sted. Internet kriminelle, efterretningstjenester mv. opsætter ofte falske adgangspunkter med gratis internet adgang via Wifi og især hvis der er konferencer i byen eller større sportsbegivenheder.

Der tager de en kopi af alle dine oplysninger – og tro det eller ej – men din PC og mobiltelefon udveksler meget ofte dit brugernavn og password i klartekst – de er ukrypteret. Så ved at logge på deres ”gratis internet” har du lagt din digitale identitet i deres hænder.

Alle banker anvender end-to-end kryptering og two-faktor login (via Nemid) fordi at man ellers uden videre kunne aflæse informationerne og så lænse kontoen.

Derfor anvender man VPN og hvis en Wifi udbyder ikke understøtter VPN forbindelser … så skal du ikke logge på det Wifi. Så enkelt er det.

De fleste private køber sig adgang via udbydere af VPN tjenester som f.eks. ExpressVPN, Buffered, BolehVPN, SaferVPN og VPNArea fordi de har klienter til alle former for computere og mobiltelefoner, samt man kan koble op alle steder i verden.

Firmaer køber i regelen en løsning ved en leverandør specielt tilpasset virksomheden

Har man lidt teknisk indsigt kan lave sin egen hosted VPN server. Har man lyst til en Mercedes blandt hostingselskaberne er  https://www.easyspeedy.com/ et godt valg, men kan man nøjes folkevogn er https://www.digitalocean.com/  et godt valg. Det kræver sagt sagt lidt teknisk indsigt, men denne guide til Ubuntu gør det enkelt.

Er man en familie – kommer man rigtigt langt med den billigste server til 5 USD om måneden hos Digital Ocean – Det er altså 512MB RAM, 20GB SSD, 1CPU og 1TB trafik som følger med – så det er en stor familie før det bliver et problem med mobiltelefoner koblet op på den!

Det er min anbefaling altid at bruge VPN på mobiltelefoner og helst også den faste forbindelse derhjemme fordi langt de fleste angreb – sker tæt på offeret.

Så afslutningsvis er en VPN server er en computer som du forbinder dig til på internettet, den koder din datatrafik og gør den ulæselig for uvedkommende.

Dermed gøres det umuligt for andre at følge med i, hvad du foretager dig online og intet kan spores tilbage til din computer/telefon ligesom dine kodeord og brugernavne gøres ulæselige. Det hele foregår automatisk, når du har installeret et lille program kaldet en VPN-klient.

Sessions logning!

Så er den gal igen. Justitsminister Søren Pind har planer om at fremlægge et lovforslag som påbyder internetudbydere at logge ikke-mistænkte personers internetaktivitet.

Lad os lige starte med at slå fast, at ISP’erne (altså internetudbyderne) siden 2006 haft pligt til at hjælpe politiet med fuld aflytning af kunders internetadgang og det er for nogle af de store udbydere er fuldt automatiseret.

Hermed får politiet fuldt indblik i kommunikationen – i det omfang det kan dekrypteres (den vender vi tilbage til). Og denne form for aflytning som mistænkte for pædofile, internet kriminelle, terrorister bliver udsat for. Det som sessionslogning drejer sig om er os som ikke tilhører den forgående gruppe.

Justitsministeriet mener nemlig ikke at menneskerettighederne bliver overtrådt når man systematisk indsamler internetaktiviteten i form af logs fra hr og fru Jensen internetforbindelse(r). Dermed overtræder man ikke den EU dom som pålagde EU landede at stoppe systematisk logning af deres borgere.

Justitsministeriet mener i lighed med NSA at privatlivet er beskyttet for opsamlingen af disse data er ikke en krænkelse af menneskerettighederne – fordi det kræver at der foreligger en dommerkendelse før myndighederne får tilgang til dataene.

Når man så får adgang til disse data vil de fungerer som en art tidsmaskine bagud i tiden for hr og fru Jensens internet aktiviteter og kan bedst illustreres af Christian Panton som på sin blog på fremragende vis demonstrerer hvad man kan udlede af logningsdata.

Men som borger er jeg meget bekymret for at man opsamler sådanne data, for jeg mener med rette, at det er et faktum det offentlige Danmark ikke har styr på dataene, hverken i stort eller småt. Tag f.eks. CSC-sagen, kørekortregisteret eller den seneste sag med tinglysningsdata.

Dernæst kommer at en sådan database vil være et ”extreme high value target” for enhver fremmed efterretningstjeneste fordi man via denne database får real-time information som kan benyttes til f.eks. afpresning af topembedsmænd i udenrigsministeriet eller andre former for misbrug/profilering af befolkningen.

Når vi snakker om den praktiske serverhostning så er praksis sådan at det skal gøres billigst muligt, så den ansvarlige operatør hos ISP’en vil med garanti have mange andre opgaver end blot at passe sessionslogningsdatabasen. Derfor vil sessionslogningsdatabasen følge samme procedure som de andre systemer operatøren driver.

Operatøren vil bruge samme password, samme administrationssystem, samme patchlevel osv. Overfor ham står en fremmed efterretningstjeneste med f.eks. 300 mand og viden om 0-dags sårbarheder klar til at hacke sessionslogningsdatabasen.De arbejder kun med en ting og det er at hacke databasen og de bliver ved til de har hacket databasen. Det er sådan man gør den slags ting,

Når databasen først er hacket og der er sat replikering op rykker de 300 mand videre til næste opgave. Når det kører, så kræver det ikke længere menneske ressourcer.

Så sætter den fremmede efterretningstjeneste sig til at vente og før eller siden finder de f.eks. en udenomsægteskabelig affære imellem en topembedsmand afsløret ved en kombination af embedsmandens internet aktivitet og hans mobiltelefon færden/aktiviteter som f.eks. SMS kombineret med kvindens ditto.

Microsofts største kunde er det amerikanske forsvar og de afholder jævnlige møder imellem Microsoft og det amerikanske forsvar hvor der fra Microsoft udveksles informationer til det amerikanske forsvar om ikke rettede fejl – altså 0-dags sårbarheder. Selvom Søren Pind vil nægte at disse informationer tilflyder NSA – så er der en grund til at lande som f.eks. Kina er ved at afvikle Microsofts produkter og i stedet udvikle sit eget styresystem med tilhørende Office programmer.

Hvad kan sessions logning så bruges til – det er et godt spørgsmål for Politiets efterretningstjeneste PET sagde det nærmest direkte i redegørelsen fra december 2012. Først siger PET, at de bruger andre typer logning, og at de er vigtige for dem. Dernæst siger de:

“For så vidt angår anvendelse af teledata fra sessionslogning kan det oplyses, at det i meget begrænset omfang har været relevant at indhente sådanne oplysninger i forbindelse med efterforskning”

Når man kender embedsværkets stil er det det samme som en tilståelse af, at det slet ikke har været anvendt af PET.

Så PET har indset at det ikke kan bruges … Jamen hvem kan så bruge sessionslogning – det vil Rigspolitiet. Men hvorfor kan Rigspolitiet bruge noget som PET ikke kan? Svar herpå udbedes?

Jeg har et gæt og det hedder VPN. Fra Christian Pantons blog ved vi at TDC opsamlede ca 15.000 registreringer pr dag om Christian Pantons mobiltelefons internet brug og at blot det at besøge TV2 hjemmeside udløste 50 registreringer.

Da Christian Panton så overgik til VPN på hans mobiltelefon faldt antallet af registreringer fra 15.000 om dagen til 10! De 10 registreringer pegede alle på samme server (VPN serveren) og var relativt lange forbindelser (udtrykt i tid). Det var vel kun fordi hans mobiltelefon skiftede mast fordi han bevægede sig rundt, at der kom et nyt log entry.

Da sessionslogningen sker på ISP niveau vil alt den trafik som Rigspolitiet gerne vil fange ske hos VPN udbyderen (f.eks. ExpressVPN, BolehVPN eller Buffered). Men der kan Rigspolitiet heller ikke finde nogen logs, fordi at VPN udbyderen netop ikke logger forbruget og ofte er hjemmehørende i lande med meget strenge privacy regler som f.eks. Schweitz eller Holland.

Grafisk ser dette således ud;

VPN grafik

Sådan sagt på jævn dansk, så vil loggen altid sige du kun taler med den samme server og pga. krypteringen i VPN forbindelsen vil al trafik være ulæselig for Rigspolitiet.

I de lande er de ikke forpligtiget til at lave logs, så selvom VPN udbyderen tabte en legal kamp til det danske Rigspoliti, så kan man ikke udleverer noget man ikke har!

De lovgivningstiltag som er sket i de sidste par år er ikke rettet imod terrorister som vil sprænge en atombombe inde på rådhuspladsen. De er rettet imod stiknarkomanen som vil røve indvandrerkiosken henne på hjørnet.

Sessionslogningen er helt uegnet til at fange ”bad guys” som terrorister, pædofile og internet kriminelle men er uhyre effektivt når vi taler om at buste hr. og fru Jensen. Det tør politikkerne dog ikke sige, for så blev der et ramaskrig.

Kom det frem at sessionsloggen i virkeligheden skal logge store dele af V, R, DF og S vælgerbaser så ville der nok blive problemer med vælgerne, så hellere holde fast at de skal bruges til at fange ”bad guys”.

Jeg tror en stor del af problemet er at juristerne i ministerierne lider af den vrangforestilling at Internettet funger på samme måde som telefonnettet, hvor metadata om opkald er ganske effektive efterforskningsværktøjer.

Spionkataloget

For nogen tid siden kunne det amerikanske site ”The intercept” løfte sløret for det udstyr som kan anvendes til at spioner imod især mobiltelefoner.

En kilde har udleveret et pris katalog over forskellige spionsystemer til ”The intercept”.

Det man bør noter sig er at det meste udstyr ikke fylder mere end en attache taske og noget af udstyret er mandbåren, samt at det ikke koster alverden at anskaffe.

Muligvis lyder anskaffelsesprisen på 100.000 USD af mange penge, men det er det faktisk ikke når vi kigger på det store billede. Så lidt hårdt sagt er det prisen på 100 Iphones og du bliver ikke rig hvis ikke du sælger mange overvågningssæt. Til information købte rigspolitiet jo kun en licens ved Hacking Team.

I Danmark ville man vel højest anskaffe 2-5 overvågningssæt og det tal er højt sat fordi der jo skal være agenter ”på jorden” til at betjene overvågningssættene. Og selv om det er banalt så når man vælger en leverandør, så fravælger man de andre leverandører hvorfor de så ingen indtægt får i det land.

Og kommer vi ind på den økonomi som politi, efterretningsvæsen og politikere simpelthen ikke vil fatte.

De her selskaber som producerer overvågningsudstyr skal jo have noget at leve af og når vi på på forhånd af politiske årsager har fravalgt diktaturstater, lande med svage demokratier  og lignende, så er der vel ikke meget over 60 lande i verden og højest 1 mia indbyggere tilbage på verdensmarkedet til at sælge overvågningssystemet til og det i konkurrence med de øvrige producenter.

Man behøver ikke være professor i virksomhedsøkonomi for at indse at fristelsen for at sælge til de ”ikke godkendte lande” kan være stor ligesom man vil forsøge at sælge udstyret til ”private sikkerhedsfirmaer” i de godkendte lande.

Personligt tror jeg ikke at man kan få en forretning ud af kun at sælge overvågningssæt hver 5. år til de lovlige myndigheder i de godkendte lande. Der skal hver måned betales lønninger, supporteres, produktudvikles osv. Ved den slags højteknologisk produktion er de Indirekte Produktions Omkostninger høje og der skal være et likviditetsflow som supporter de produkter.

Og dermed nærmer vi os min kritik af disse overvågningssæt – idet jeg opfatter det som ”logik for burhøns” – at de her systemer tilflyder IT kriminelle og skal vi kalde det gråzoner, fordi disse salg er helt nødvendige for at producenterne overlever.

De fleste producenter at overvågningsudstyr bruger mellemhandlere. Tag f.eks. Hacking Team som er italiensk – hvorfor køber rigspolitiet ikke udstyre direkte ved producenten men i stedet via en israelsk mellemhandler?

Det lyder ikke logisk at et EU land ikke kan handle direkte med et andet EU land når vi taler om udstyr som i den grad er belagt med restriktioner! Mon ikke den virkelige årsag er at man vil masker de ”uldne” salg med de legitime salg ved at presse rigspolitiet til at købe igennem mellemhandleren?

Hacking Team kan nu med troværdighed sige at man ikke vidste at slutkøberen var Syrien eller andre tilsvarende ikke-godkendte lande.

Jeg er som borger ikke bekymret over rigspolitiets anvendelse idet jeg formoder at de operer med en dommerkendelse i ryggen. Problemet er ”de andre” aktører.

Hvis jeg skulle i udbud om mange mio/mia ville jeg synes at det er en fordel at kende konkurrenternes bud såvel som udbyderens præferencer. Bemærk venligst af nogle af overvågningssystemerne kan overvåge op til 10.000 personer på samme tid, få adgang til nøjagtige geografiske data, SMS, kalender, emails og samtidig aflytte dem alle.

Det ville jeg synes var nyttigt og måske kunne jeg også overvåge store børsselskaber i tiden optil vigtige begivenheder, således at jeg kan bruge den insiderviden til at optimerer min profit og især hvis jeg f.eks. var en mafialignende organisation så ville det være oplagt at bruge udstyret på den slags transaktioner.

Og så er vi ved kernen i min kritik. Den samfundsmæssige skade ved at benytte sådanne systemer overstiger langt de fordele som ordensmagten opnår. Den hacker som sidder med en colaflaske, fedtet hår og joggingtøj, ham behøver vi ikke være bange for.

Dem vi skal være bange for, er de mafialignende organisationer som anvender overvågningsudstyr i forbindelse med tilsyneladende legale forretninger.

Loven om datas misbrug

Dagens samfund er i dag et overvågningssamfund hvor alle mulige data om alt og alle gemmes.

Det er et problem fordi man dermed skaber muligheder fordi utilsigtet misbrug af oplysningerne. Det er derfor min opfattelse at man ikke bør registrerer data man ikke har brug for og heller ikke registrerer data med større nøjagtighed end målet tilsiger.

Lad os tage et par praktiske eksempler som i dag er fuldt implementeret i Danmark og har været det i et par år.

Det første eksempel hedder el-måleren. På papiret en nyttig ting fordi folk nu slipper for at skulle aflæse el-måleren og forsyningsselskabet slipper for at skulle kontrollerer om folk nu skrev rigtigt på aflæsningskortet.

At man på samme tid fik sat en hovedafbryder ind, således at hvis folk ikke betaler, at man så elektronisk kan slukke for strømmen ude hos forbrugeren (uden at skulle sende folk ud for at afbryde strømmen) er en anden sag.

Men hvorfor er det lige at el-måleren skal opsamle detaljerede oplysninger om mit el-forbrug helt ned på sekundniveau? Det burde vel række med en månedsforbrug som aflæses og sendes elektronisk således at en regning kan udskrives.

Hvis jeg fik adgang til disse detaljerede forbrugsdata – kan jeg se hvornår folk står op, tager på arbejde, er hjemme, ser fjernsyn og går i seng. Som politimand er det da et nyttigt værktøj til f.eks. at teste folks alibi/forklaringer eller som ”Birthe fra kommunen” som vil kontrollere om et par er samboende eller ikke.

Som tyveknægt er det derimod et meget mere anvendelig værktøj fordi jeg nu ved hvornår jeg kan ”komme på besøg” uden at blive forstyrret af ejeren eller naboen (for hans forbrug har vi også kigget på forlods).

Og hvis jeg var en rigtig slem fyr som vil begå noget rigtig slemt, at jeg så kunne lukke ned for alle el-målere i et bestemt område, således at jeg får ”arbejdsro”. En ganske nyttig ting hvis jeg for eksempel ville røve en værditransport at alt strøm til trafiklys, politi og værdihåndteringsselskab var slået fra.

Lad os tage eksemplet med politiets nummerpladescannere. At en politibil automatisk scanner nummerplader efter efterlyste biler og lignende er vel ok, men hvorfor er det nødvendig med at samtlige biler position, samt dato og klokkeslæt skal gemmes?

Hvorfor skal lovlydige borgeres biler på den måde gemmes i en database? Hvorfor vil man partout registrerer ikke-mistænkes færden?

Eksemplet med nummerplader scanneren overstiger de vildeste Stasi drømme i den hedengangene DDR.

Spørger man en dansk politiker så falder talen altid på terror selvom terror intet med spørgsmålet at gøre.

Den amerikanske borgerrettighedsgruppe ACLU har dokumenteret at ”State police” i delstaten Michigan i 2014 har anvendt det meget indvassive elektronisk aflytningsudstyr kaldet Stingray 128 gange.

For lovligt at kunne benytte dette udstyr skal forbrydelsen i Michigan være terrorrelateret – men de 128 sager havde intet med terror at gøre. I stedet blev udstyret anvendt i 42 mordsager, 30 røveri/indbrud, 12 overfald, 11 savnede personer og resten af sagerne var i svindelsager, narkotika og ”forhindring ” af politiets arbejder.

I Danmark har vi ikke noget tal for ovenstående, men der er ingen grund til at tro at dansk politi skulle handle anderledes i brugen af elektroniske indhentningskilder. Man mistænker ”for højt” for på den måde at omgå kravene i Retsplejeloven. Kort fortalt skal strafferammen være seks år eller mere, før der kan gives tilladelse. Så det er mord, grov vold og narkokriminalitet vi taler om.

I 2013 blev mindst 4.252 mennesker udsat for et indgreb i meddelelseshemmeligheden og det tal er stigende.

Sammenholder vi dette tal med Danmarks Statistik over dømte med en straframme på 6 år eller mere – så var tallet i 2013 – at 102 personer blev dømt.

Sagt på en anden måde så fik politiet uret i ca. 98 % af sigtelserne som gav ret til indgreb i meddelelseshemmeligheden – tankevækkende ikke også? At myndighederne hver år er så herredårlige til at fornemme hvad en sag drejer sig om.

Man sidder som borger med den fornemmelse at loven er det som borgerne skal overholde og for myndighederne er loven vejledende.

Så loven om datas misbrug, er at myndighederne intet middel skyr for at få adgang til data – derfor bør dataindsamling altid begrænses mest muligt.

IMSI-catchere

IMSI-catchere går under mange navne – i USA kaldes de som regel som Stingray og dette billede stammer fra U.S. PATENT AND TRADEMARK OFFICE og fremstilles af Harris Corp.

imsi

I USA kaldes udstyret ofte Stingrays men har mange navne herunder mobilmast simulator, triggerfish, IMSI-catcher, Wolfpack, Gossamer og swamp box.

Grunden til at der findes så mange navne er at myndighederne i følge brugerrettighedsorganisationer som The American Civil Liberties Union, bevist forsøger at undgå omtale af udstyret og fremfor alt undgå at dommerne som udsteder dommerkendelserne får indsigt i udstyrets virkemåde. Rent faktisk pålægger forbundsmyndighederne (FBI) ofte de lokale politimyndigheder tavshed om enhver detalje.

Derudover pålægger producenten Harris Corp ofte politimyndighederne total tavshed om hvordan udstyret virker således at offentligheden ikke kender til udstyret.

Så det som du nu læser kan være forkert selvom jeg har gjort mig umage for at finde ud af hvordan udstyret virker.

Udstyret fungerer på den måde at den ”lokker mobiltelefoner” til at logge sig på den falske mobiltelefonmast ved at jammer 3Q og 4G båndet. Kort fortalt forstyrrer udstyret massivt mobiltelefonnettet lokalt ved at presse alle forbindelser ned i fart og over på de usikre 2G bånd.

Årsagen er at 2G båndet er mere usikkert og at mobiltelefoner på 2G båndet ikke ”udveksler autenticitet” med mobiltelefonmasten og det betyder så at man kan narre telefonen over på en falsk mobiltelefonmast fordi mobiltelefonen for at bevare forbindelsen vil ”gå ned i bånd” indtil den igen opnår forbindelse.

Dermed logger udstyret ALLE mobiltelefoner over ved simpelthen at ”overdøve” de legitime mobiltelefonmaster.

Når først mobiltelefonen er forbundet med udstyret så afgiver den unikke ID (EMEI nummer) hvorefter udstyret ”slipper” mobiltelefonen. Overvågningen er nu startet og sker direkte på telefonselskabets udstyr.

Det er alt telebaseret udstyr som forstyrres og ikke kun mobiltelefoner, men tablets, mobile betalingsterminaler og alt som benytter sig af mobile forbindelser.

Når man først har fundet den telefon man leder efter, kan denne stedfæstes meget nøjagtigt – helt ned til det nøjagtige kontor eller lejlighed.

Mobiltelefonen kan herefter angribes uden fysisk adgang til mobiltelefonen således at den kan bruges til aflytning/overvågning af mistænkte.

Udstyret kan også blokerer for mobiltelefon trafik således at en bombe ikke kan fjernudløses eller til at blokerer for politiske aktivister ved en demonstration, således at aktivisterne mister muligheden for at koordinerer demonstrationen. Politiet i London har udstyr som kan dette.

Udstyret fylder ikke meget mere end en stor bærbar PC i en kuffert.

Kritikken imod udstyret går på at man krænker mange uskyldige for at finde få. Hvis udstyret f.eks. anvendes i midtbyen af en dansk provinsby kan man let komme til at aflytte 250 uskyldige før man har fundet den mobiltelefon man leder efter – hvis overhoved.

Uanset at udstyret sikkert har sine fordele, så forstyrrer udstyret massivt mobiltelefonnettet for enhver som tilfældigvis er i nærheden af udstyret idet al mobilbaseret trafik tvinges ned på 2G nettet foruden aflytningen. Og det gælder alt fra mobilsnak, SMS, data og kreditkortkøb via. håndholdte terminaler.

Et af de kraftigste argumenter imod udstyret er, at det sætter politiet ”i stand til at skrive sine egne dommerkendelser” fordi politiet kan iværksætte overvågning her-og-nu og så efterfølgende få en dommerkendelse. Sættes udstyret op under en lovlig politisk demonstration kan man let have aflyttet 5.000 uskyldige – for at få fat i måske 1 eller 2 mistænkte.

I USA er det dokumenteret at politiet i stort omfang starter udstyret uden hverken før eller efter – at indhente de nødvendige tilladelser i form af dommerkendelser. F.eks. har politiet i Buffalo siden 2010 anvendt udstyret 47 gange men kun en gang ansøgt om dommerkendelse hertil!

Derudover er det dokumenteret at de føderale politimyndigheder i USA bevist har vildledt domstolene om hvordan udstyret virker.

Det vides ikke med sikkerhed om det danske politi har sådan udstyr, men mon ikke at det er tilfældet idet udstyret har været fremme i mere end 10 år.

Den bedste beskyttelse er tilsyneladende at slå 2G permanent fra på sin mobiltelefon og leve uden forbindelse, hvis der ikke er 3G/4G forbindelse.

 

 

Overvågningskameraer

I dag findes der ca. 500.000 overvågningskameraer opsat i Danmark. Sikkerhedsbranchen selv forsøger at kalde dem “tryghedskameraer”.

Personligt tvivler jeg på at den slags kameraer øger trygheden. Jo for den som frygter at blive genkendt og som er “indenfor pædagogisk rækkevidde”, men for stiknarkomaner, bøller, indbrudstyve og lignende, så tvivler jeg ærlig talt på at kameraerne yder nogen for tryghed!

Langt de fleste er jo opsat i henhold til loven, så de dermed opfylder det formål som de er opsat for. F.eks. overvåge en bagindgang.

Langt flertallet af den personfarlige kriminalitet sker jo i det offentlige rum hvor privat opsatte overvågningskameraer jo ikke må pege hen.

Nu er det ikke sådan at private overvågningskameraer ingenting er værd, men deres efterforskningsværdi er i udgangspunktet begrænset.

Et moderne overvågningskamera, kan udover at måle højden på mennesker også fungerer i meget lyssvage forhold og med den rette software kan der ske ansigtsgenkendelse.

Det er mere end 10 år siden at engelske fodboldstadions indførte kameraer som kunne udpege hooligans selvom disse bar huer, halstørklæder og falsk overskæg.

Idag er softwaren så avanceret at den i real-time kan udpege personer som den tror udfører voldelige handlinger eller f.eks. efterlader en rygsæk. Det skete f.eks. i forbindelse med opklaringen af Boston-bomberne.

Så med real-time adgang til nok kameraer, deres position og vinkel er det mulig i real-time at følge borgere og eksempler herpå findes i London hvor især Bond-street og Oxford circus er eksempler herpå.
Dansk politi har udtalt at fremtiden ligger indenfor overvågningskameraer og vi kender jo alle vrøvlesætningen “hvis ikke du har noget at skjule så har du ikke noget at frygte”.

Den udtalelser er naturligvis noget vrøvl! For vi har ret til at skjule os jf. Grundloven.

Hvilken kvinde poster f.eks. sin menstruationscyklus på Facebook? Hvilken mand fortæller offentligt om sine rejsningsproblemer? Hvem tager foto af sin dankort og vedlægger pinkode samt sikkerhedskode på sociale medier? Eller for den sags skyld tager billede af sin nemid nøglekort, cpr og password og poster det samme sted?

Alle har noget at skjule … Uden det behøver at være kriminelt!

BBM

Nu er jeg ikke den som har 200+ venner. Når jeg kigger rundt i min omgangskreds så vil jeg tro at jeg kommer på max 20 og højest 3-4 nære venner udover min familie.

Derfor har jeg ikke brug for Facebook, Twitter og alt muligt andet.

Det betyder ikke, at jeg ikke er social aktiv på sociale netværk som mange Facebook tilhængere fejlagtigt tror.

Til at styre mine sociale aktiviteter på mobilos bruger “vi”  BBM fra BlackBerry som er et gratis alternativ med over 10 år ”på bagen”!

Programmet er platformuafhængig da det virker påIphone, BlackBerry, Windowsphone, Ipad og Android og understøtter det hele (kalenderintegration, Chat, Voicechat, Videochat, Billeder, gruppechat og en masse andet.

Det kan f.eks. sende betalinger og vil man bruge de avancerede features koster det et abonnement på ca. DKK 6,00 om måneden, men jeg har indtil nu klaret mig i 3 år uden at behøve betale.

BBM er krypteret og er bygget op over en 2 lags kryptering som er baseret på en offentlig og en hemmelig nøgle. Bruger man i erhvervssammenhæng kan en enterprice server lægge yder krypteringslag på.

Her er en engelsk guide fra Imore.com til hvordan man bruger BBM

Appen fungerer på samme vis, uanset din platform er Blackberry, Iphone, Windowsphone eller Android. Derfor kan du et langt stykke af vejen bruge imore.com vejledning selvom du har en Android telefon