Category Archives: Information

Dödar nätfisket vårt förtroende för kommunikation?

Dödar nätfisket vårt förtroende för kommunikation?

Det är bara att erkänna: Nätfiskeförsöken blir knappast sämre. Eller färre. 

Av den totala mängden är det mycket vi aldrig får se, eftersom de vassaste försöken inte är massutskick med e-post, utan riktar sig mot specifika mål. Det som syns i media är nätfiskeförsök som skickas ut hyggligt brett, ofta via e-post, och ofta i storföretags och myndigheters namn. Media rapporterar om dem, våra kunder och partners berättar om sina fall och jag själv utsätts då och då precis som alla andra. Ibland är det ganska skrattretande, ibland riktigt trovärdigt.

Nätfiske är ett brott med flera offer. Nummer ett är förstås den som utsätts för phishingförsöket och eventuellt faller för det, men det företag eller den myndighet som används som bete är också ett offer. Hårdraget kan man dessutom säga att den allmänna tilltron till digital kommunikation skadas och därmed indirekt tilliten mellan människor och andra aktörer i samhället.

En viktig fråga är om fortsatta spamfloder blir spiken i kistan för både sms och e-post. Varför skulle det bli så? E-posten har ju inte dött än, trots att så många har förutspått det tidigare? Argumenten för skulle vara att majoriteten av nätfiskeförsöken sker via e-post och SMS, kanaler som både har funnits länge och som har det gemensamt att de inte kräver någon form av ”godkännande” av avsändaren från mottagarens sida. Allt som krävs är ett telefonnummer eller en e-postadress för att kunna nå mottagaren, vilket förstås också är en av de stora fördelarna.

Nätfiske.

Nätfiske.

Ett mejl eller ett sms ger dessutom väldigt lite enkelt verifierbar information om avsändaren, den går att manipulera väldigt enkelt. Som lekman kan du helt enkelt inte vara säker på vem som har skickat ett mejl eller sms, så enkelt är det. Skillnaden mot till exempel Facebook eller andra så kallade sociala medier är att du där oftast har möjlighet att se mer av avsändaren. Du kan bilda dig en uppfattning om avsändaren är trovärdig både utifrån den information som finns och utifrån den information som saknas. 

Jag vet självklart att både e-post och våra telefonnummer blir kvar under överskådlig framtid. Vi använder e-postkontot som hubb för det mesta av vårt digitala liv och vår mejladress för att registrera de flesta tjänster vi är med i, även om främst Facebook tar delar av den kakan. Vi får stå ut med riskerna som e-post medför.

En följdfråga: Vad sker när gängen bakom detta fortsätter att utvecklas? Man kan absolut tänka sig att förtroendet för företagens eller organisationernas kommunikation sjunker, men det är en stor fråga som är svår att svara på. Den som har ett Netflixabonnemang och får spammeddelanden som ser ut att komma från Netflix påverkas på något sätt, men det är svårt att säga så mycket om hur. Kanske blir resultatet bara ökad vaksamhet? Kanske åker all deras kommunikation direkt i papperskorgen?

 

Slutligen: Kan man skydda sig mot spam och nätfiskeförsök i e-posten? Absolut, både med kunskap och med mjukvara. 

Källkritik är nummer ett:

  1. Är orsaken till att du får meddelandet trovärdig?
  2. Är det en ny och oväntad kanal?
  3. Är budskapet trovärdigt?
  4. Är språket korrekt?
  5. Är e-postadressen korrekt (det behöver visserligen inte betyda att allt stämmer)?
  6. Om du luras till en webbsida, verkar webbadressen korrekt?
  7. Blir du ombedd att ange personlig information, är det information de verkligen ska ha?

Missar du att se något av detta och råkar hugga på kroken är säkerhetsprogramet bastion nummer två. Ett program som ESET Smart Security innehåller flera skyddslager som stoppar attacker, läs mer och testa gratis här. 

  1. Spamskyddet stoppar den e-post som systemet definierar som spam. Du behöver inte ens konfronteras med skadliga mejl.
  2. Nätfiskeskyddet kontrollerar webbsidor du besöker mot en databas som ständigt uppdateras med nya webbplatser som sprider skadlig kod eller används för nätfiske.
  3. Antivirus, antispionprogram, Exploit blocker, botnätsskydd och en avancerad minnesskanner och andra system stoppar attacker och skadlig kod som av någon orsak tar sig förbi övriga system.

 

Trygghet_ESS

 

 

 

 

17-åring stäms på halv miljon för civilkurage

Erik, 17, dömdes för att ha försökt säkra kommunens it-system

Det är svårt att inte häpna inför sånt här. När stora IT-företag idag belönar utomstående som hittar och rapporterar svagheter i deras system, så väljer Umeå kommun att anmäla en 17-årig pojke som tagit sig in i kommunala system just i avsikt att göra ansvariga uppmärksamma på hur illa säkrade lösenordsdatabaserna var. (Om det nu är så det var, vi var ju faktiskt inte där.)

Erik dömdes till 35 timmars samhällstjänst, vilket han själv tycker är rimligt, eftersom han formellt sett bröt mot lagen. Det har han också gjort, det är inte lagligt att ta sig in någonstans bara för att det går eller är enkelt, även om syftet är att visa hur dåligt låset är.

Men att polisen genomför tre husrannsakningar och anhåller Erik – i lagens ögon fortfarande ett barn – i ett helt dygn utan att han får prata med sina föräldrar, det låter som en väldigt hård reaktion. Att Umeå kommun dessutom säkrar upp sina databaser en smula och därefter börjar processa efter en halv miljon i skadestånd – jag tycker att det skorrar illa.

Det enda sättet att testa hur säkert ett system är, är att försöka ta sig in. Penetrationstester ska vara sanktionerade och beställda, men när en myndighet inte reagerar på missförhållanden är det inte mycket man kan göra än att försöka få deras uppmärksamhet på annat sätt – eller att snällt vänta på att någon stjäl ens användaruppgifter.

Eftersom målet var att avslöja missförhållanden skulle Eriks hackning kunna jämställas med visselblåsning. Det brukar allmänt anses vara en moraliskt riktig handling. Visselblåsning är inte lagskyddat som sådant, men den som avslöjar missförhållanden för en journalist skyddas av det lagstadgade källskyddet. Erik satt nog inte på ett scoop stort nog för att kunna läcka till en journalist, men kanske borde samhället ändå se till det moraliskt riktiga i en handling istället för att straffa så fort det finns laglig möjlighet? Personligen föredrar jag den hållningen, särskilt när det rör sig om ungdomar. Då är dessutom höga skadestånd extra skadliga, effekterna sitter kvar under många år.

Man kan jämföra med en av januaris mer intressanta nyheter om att det kan vara dataintrång att installera program själv på jobbdatorn, beroende på vad Högsta domstolen kommer fram till. (Marcus Jerräng kommenterar problemen med den frågan bra.)

Myndigheter ska behandla personuppgifter på ett så säkert sätt som möjligt och en nivå på de tekniska lösningarna borde vara garanterad. Brister måste uppmärksammas. Kan vi enas om det?

Så spåras din telefon – av Västerås…

I fredags kunde skrev DN att ”Datainspektionen ska granska övervakning via mobilen”. Rubriken får det att låta större än det är eftersom det handlar om ett väldigt specifikt fall, men det är bra att de prövar frågor som denna vad som än följden blir.

Fallet rör det svenska företaget Bumbee Labs som med sin teknik IOPS hjälper kunder att kunna planera sin verksamhet bättre genom spåra mobiltelefoner för att följa människors rörelsemönster.

Hur går det till? Om din telefon har WiFi påslaget sänder den ut ett unikt identifikationsnummer, telefonens MAC-adress. Den är unik och konstant för varje telefon, till skillnad från till exempel IP-adresser. Tekniken identifierar en telefon utifrån MAC-adressen, vilket har gjort vissa nervösa, men Bumbee lugnar skeptiker med att man bara skapar en hashvärde och sedan raderar MAC-adressen. På så sätt kan man inte avgöra vems telefon det är man följer, menar de. I iOS8 har Apple även valt att slumpa MAC-adresser när enheten letar efter nätverk.

System som de här har använts ett tag. Till exempel för butiksägare är det intressant att veta hur folk rör sig i butiken. Tar de höger eller vänstervarv? Hur många stannar framför en viss display? Tar de genvägar och går direkt till mejeridisken eller underkläderna?

Nu har turen kommit till stadsplanerare. Västerås är enligt DN den första stad som testar IOPS för att kunna se hur människor rör sig i olika områden. Målet är förstås att kunna planera service och i längden att spara pengar och göra livet enklare för alla som bor där. Kartlagt rörelser har man alltid gjort för att kunna planera, men genom att ställa dit en person som räknar hur många som passerar eller rör sig i ett område. Ny teknik gör det billigare och enklare och framför allt praktiskt möjligt att få data från hela dygnet.

Det här är en fråga med många spår och följdfrågor. Det lär bli mer av den här typen av spårning framöver. Vi behöver absolut ta ställning till om vi tycker att det är okej. Till saken hör att vi redan är övervakade i precis allt vi gör genom datalagringsdirektivet och flera andra lagar, för att inte tala om Google och Facebooks insamling av våra användardata. Man kan också fråga sig vad skillnaden är mellan att bli spårad när man handlar i en fysisk butik jämfört med på nätet, där konsumenternas rörelsemönster stöts, blöts och analyseras i extrem detalj.

Bumbee anonymiserar data och är (antagligen) ointresserade av enskilda individers förehavanden. Man kan dock inte ha regelverk som utgår från att aktörer av olika slag är välvilliga. Det är billigt att sätta upp små sändare eller falska trådlösa nätverk av det här slaget och det är inte svårt att samla data från olika källor, samköra, korsbefrukta och enkelt ta reda på information om människor för att passa direkt ohederliga syften.

Tycker du inte att det känns okej att din telefon läcker unika identifikationsnummer till alla öppna nätverk du passerar finns det en väldigt enkel åtgärd – stäng av WiFi och tjänster som Bluetooth när du inte använder dem. Det är säkrare, håller dig anonym och sparar batteri.

Därför står Telia maktlösa

Nu vet nog de flesta att gruppen Lizard Squad har tagit på sig en rad attacker mot Electronic Arts som drabbat Telia och Tele2. Mångas Internetuppkoppling har gått ner och tagit med sig digital-tv-med mera. Mer detaljerad information är svår att få tag på i dagsläget. Stämmer det att de ligger bakom? Vad är målet egentligen? Förhoppningsvis får vi reda på mer information snart!

Vad är det som pågår?

Det är någon form av överbelastningsattack, och en av de vanligaste formerna är Distributed Denial of Service-attack eller DDOS, som är en överbelastning av servrar genom att en enorm mängd förfrågningar skickas samtidigt. Det innebär helt enkelt att servrarna är upptagna med den trafik attackerarna skickar och inte kan utföra de tjänster de egentligen ska.

I fallet nu är de servrar som är överbelastade, i alla fall delvis, DNS-servrar där DNS står för Domain Name System. Domännamnssystemet är det som kopplar samman domännamn (som www.eset.se) med en IP-adress (till exempel 173.194.116.216).

Det finns attacker som använder just DNS-servrar som verktyg, möjligen rör det sig om i det här fallet om en så kallad DNS amplification attack.

Runt om i världen finns det en stor mängd felaktigt konfigurerade DNS-servrar. I vanliga fall så är det t.ex. bara Telias kunder som använder sig av Telias DNS-servrar. En felkonfigurerad DNS-server kommer svara på alla förfrågningar om namnuppslag, oavsett varifrån de kommer. Till exempel så ska inte Telias DNS-servrar svara på namnuppslag som görs från exempelvis Bahnhofs kunder, just för att förhindra sådana här saker.

Fördelen för hackaren här är att systemet använder UDP, som i princip saknar säkerhetsfunktioner och leveransstatusar. Det leder till att attackeraren slipper vänta på något svar – det går att spamma på med full näthastighet. Förövaren skickar en begäran med falsk avsändare till en stor mängd felkonfigurerade DNS-servrar, och attackeraren har satt sitt önskade mål som avsändare för trafiken. När alla dessa tiotusentals felkonfigurerade DNS-servrar sedan får förfrågan, kommer det att se ut som att det kommer från, i detta fall, en adress från Telia. Då svarar alla DNS-servrarna till målet (Telia), vilket leder till oerhörda mängder trafik och överbelastning.

Men, du sa ju amplifiction attack? Vad innebär det?

Jo, en ”vanlig” (mängdbaserad) denial-of-service-attack innebär att man har ett, eller flera system, som skickar massa trafik till målet, och mängden trafik som skickas är i princip lika stor som det som mottagaren tar emot. I vissa fall går det istället att göra en ”amplification attack”, vilket innebär att den mängd data som attackeraren skickar, är mindre än den mängd som tas emot av målet. Det krävs alltså mindre, för en större attack. Just DNS är rätt sårbart för detta. Man kan skicka en förfrågan på bara 64 byte (”tecken”) till en felkonfigurerad DNS-server, som sedan svarar till målet för attacken med flera tusen byte som ”svar” på förfrågan. Det är inte sällan man kan få 50x ökning av trafikmängden som attackaren skickar, gentemot vad som tas emot av målet.

Om man sedan gör detta via t.ex. ett botnät, och känner till tiotusentals felkonfigurerade DNS-servrar, så kan man ”lätt” komma upp i trafikmängder om flera hundra gigabit per sekund som skickas till målet.

Men, kan man inte fixa problem med DNS-servrarna?

Jo, naturligtvis. Vissa av de felkonfigurerade servrarna tas ner eller patchas, men tyvärr finns det fortfarande jättemånga kvar. Liknande attacker går även att göra med andra protokoll som SSDP, SNMP och NTP.

Vad kan man göra mot en DDOS-attack?

Man kan göra väldigt lite utöver att skaffa större kapacitet. Det går faktiskt att göra väldigt lite åt själva attacken över huvud taget.

Tar Telias servrar emot X gigabyte data per sekund, så måste de kunna hantera all denna trafik plus sin egen ordinarie trafik, och sedan försöka sortera ut och slänga den irrelevanta trafiken. Naturligtvis kan man som nätleverantör filtrera det långt innan det når själva servern, men det är ändå en väldigt stor trafikmängd som måste tas emot av nätverksutrustningen på vägen.

Riktigt stora DDOS-attacker är svåra att förhindra.

En lösning kan vara att använda sig av anycast, vilket (väldigt kortfattat och förenklat) innebär att flera maskiner kan nås med samma IP-adress. Om man t.ex. sätter upp en maskin i USA och en i Sverige, och använder anycast, så kommer europeisk trafik förmodligen att gå till den svenska servern, medan trafik från syd- och nordamerika skickas till servern i USA. Om man på så sätt har flera olika platser i flera olika länder som kan ta emot trafiken, så kommer trafikmängden till varje server vara mycket mindre. Även om man har 100.000 datorer i ett botnät, som försöker attackera samma mål, så kommer de ändå nå olika servrar, de som är geografiskt närmast, och på så sätt behöver inte all trafik från hela världen slussas till ett stackars nätverk i Sverige.

Är det en DNS amplification DDOS som Telia drabbats av?

Man vet ännu inte exakt vad som ligger bakom det, det skulle kunna vara en sådan extern attack (EDIT: men jag har fått information om att det inte är exakt det som är orsaken). Vi får helt enkelt vänta tills någon information släpps publikt.

Vad kan jag göra som användare för att få tillbaka uppkopplingen?

För vissa har det fungerat att byta DNS-servrar till exempelvis Googles med adresserna 8.8.8.8 och 8.8.4.4. Andra upplever dock att det inte gör någon skillnad. Andra menar att uppkopplingen har fungerat bättre när trafiken går via en VPN-tjänst. Din sökmotor kan berätta hur du byter DNS-server i nätverksinställningarna och Mullvad är en bra VPN-tjänst.

Men herregud, läs en bok. Eller?

Igår hade många svenskar problem med sin Internetuppkoppling, men eftersom Internet som bekant bara är en fluga gjorde det inte så mycket. Eller?

Det är dags att måla fan på väggen. Vi sätter scenen.

En överbelastningsattack mot en tredje part slår hårt Telias DNS-servrar. Detta innebär att internet inte funkar eller iallafall funkar väldigt illa för enormt många användare. Rapporterna säger att det att rör sig om en DDOS-attack mot ”en spelsida”. Det är kanske inte en helt vansinnig tanke att attacken i sådana fall skulle kunna ha något att göra med razzian mot Pirate Bay, som nu ligger nere och kanske fortsätter göra det. RIP.

Är det så, så är Telias problem och hundratusentals människors sänkta uppkoppling bara collateral damage, en oavsiktlig bieffekt. Det är lätt att tänka att det bara är att vänta ett tag så löser Telia problemen eller så tröttnar förövarna och går och gör något annat.

Problemet är att det inte är så enkelt om man tänker ett par steg till.

Idag är webben en självklar och nödvändig det av våra liv, många kan inte sköta sitt arbete utan fungerande uppkoppling. Det är värre än så, det finns till och med myndigheter som sköter all kommunikation via webben, i några enstaka experimentella fall till och med via sociala medier.

Men det fortsätter.

Du kanske har IP-telefoni hemma? Och ett tv-paket, lite justa sport- och filmkanaler? Det är förstås smidigt att köra allt via samma sladd, det blir billigare också och det är framtiden. Men så utför någon en DDOS-attack mot en spelsida.

Du kanske ser fram emot julhandeln och har massor av kunder i din butik, vare sig den är fysisk, på webben, eller både och. Men så utför någon en DDOS-attack mot något du inte ens visste vad det var innan.

Du kanske tänker, skönt att jag inte är Teliakund, men så inser du att även din mobiloperatör använder Telias nät och master.
Gårdagens attack är alltså vad som kan ske när förövarnas avsikt är att göra något helt annat. Det är skrämmande att föreställa sig vad som kan hända om någon med stora resurser verkligen försöker ge sig på vår digitala infrastruktur.

Det som saknas är redundans. Allt mer av vår kommunikation, samhällets funktioner och våra privatliv är beroende av väldigt sårbara system. Para det med regeringens utredares senaste förslag om att släcka FM-nätet för att artificiellt pumpa liv i DAB-radio inga lyssnare vill ha, så saknas plötsligt pålitliga kanaler för bred samhällskommunikation nästan helt.

I världens nuvarande och före detta stormakter sitter många tusen specialutbildade människor och väntar på att få trycka på knappen. Ett eventuellt fysiskt anfall mot något av världens mest digitaliserade länder skulle garanterat föregås av intensiva cyberattacker för att omöjliggöra informationsflöden.

En DDOS-attack är inte ett pojkstreck, inte ett legitimt verktyg för civil olydnad. Det är ett angrepp på det civila samhället, på dig och mig. Fördelen med attacker som denna är att det blir alltmer uppenbart hur sårbart det digitala samhället är än så länge. När det blir tillräckligt illa, eller om någons affärsintressen skadas tillräckligt mycket, så kanske någon gör något.

Telias DNS-servrar sänktes av en okynnesattack mot någon annan. Det är väldigt svajigt.

Läs även Techworlds Daniel Åhlins krönika. Andra riktar sina misstankar österut.

Tillägg: Enligt Dagens Nyheter är det Lizard Squad som ligger bakom attacken, som var riktad mot Electronic Arts, Lizard Squad verkar vara politiskt motiverade med sympatier för bland andra Islamiska Staten och ursprungligen från Ryssland. Det betyder att det faktiskt rör sig om en terrorgrupp som attackerar svenska mål.

Varför väljer vi inte digitalt?

Kanske reagerade någon på den 1800-talsmässiga linjal som används som verktyg för att bocka av väljare från den lika 1800-talsmässiga röstlängden i papper i EU-valet härförleden. Varför röstar vi inte hemma, till exempel med e-legitimation? Det skulle ju kännas modernt?

vallokal

Jo: Det är praktiskt taget omöjligt att skapa ett helt säkert system, oavsett vad det ska användas till. Att ta fram stora, offentliga, i det här fallet till och med nationella, system, som ska hantera miljontals användare, är dessutom mycket svårt (åtminstone om man ska tro nyhetsrapporteringen).

Många människor lever dessutom än idag helt analoga liv, vilket gör ett digitalt system uteslutande. Kanske kan vi leva med att vissa saknar möjligheten att gå in på ett postkontor eller göra fysiska bankärenden, men att vissa skulle dra sig för att rösta för att de inte förstår processen är värre.

Varför röstar vi då inte elektroniskt? Jag ser följande risker.  

  • Valfusk
    I ett val är det väldigt illa om någon lyckas påverka resultatet. Elektroniska val skulle av vissa kunna ses som mycket säkrare än dagens, men personligen ser jag en risk i att någon lyckas påverka resultatet på ett sätt som är närmast omöjligt att spåra. Dagens transparens gör att alla kan se hur processen går till.
  • Valhemligheten
    I en demokrati är det jätteviktigt att valhemligheten bevaras. Väljer du elektroniskt måste din röst kopplas till bekräftandet av din identitet på något sätt. Det innebär en tydlig risk. Med papper i kuvert dör spåren till dig så fort kuvertet släpps ner i lådan.
  • Storebror
    Nästan samma sak som invändningen om valhemligheten, men med andra skosnören. Möjligheten att kartlägga väljare blir en potentiell risk. En elektronisk överföring av information lämnar spår, det är fullt möjligt att någon, någon gång, skulle använda dessa spår för att samla information om medborgare.
  • Tvång
    Med ett elektroniskt valsystem är det plötsligt möjligt att tvinga någon att rösta som de vill, eftersom vi då skulle kunna göra det från hemmet. Man kan med våld, hot eller socialt tryck påverka hur andra röstar, eftersom de plötsligt kan övervaka processen. Det blir också ännu enklare att sälja sin röst och för köparen att kontrollera vad han får.

Jag skulle väldigt gärna se att det gick att välja elektroniskt, om inte annat skulle det kunna underlätta rösträkning och spara pengar, men punkterna ovan gör det lätt att argumentera emot. Erfarenheter från USA med elektroniska röstningsmaskiner göra mig också tveksam – kanske kommer ni ihåg debaclet i Florida när George W. Bush valdes till president för andra gången.

Nu då, kan man manipulera valsystemet idag? Visst. Det vanligaste sättet att påverka ett val är genom social ingenjörskonst. Genom olika typer av löften och argument manipulerar man väljarna att rösta för ett visst parti.

Men skämt åsido så dyker det då och då upp fall av valfusk i Sverige. Då handlar det ofta om att en överambitiös lokalpolitiker ombudsröstar åt till exempel äldre, och då kan tänkas rösta för sitt eget parti. Att någon i någon större omfattning skulle manipulera valresultatet i svenska val skulle vara svårt, helt enkelt för att systemet är ganska säkert. Till exempel räknas rösterna flera gånger och det är öppet att gå och se hur det går till för allmänheten. Processen är helt enkelt genomskinlig på ett sätt som skulle vara nästan omöjligt att åstadkomma om valen skedde elektroniskt.

Den sorgesamma berättelsen om bitcoinbörsen MtGox

Så, fast på engelska, heter ett inlägg jag skrev om bitcoin och MtGeox på min nya engelska blogg, https://anders.io. MtGox gick från att vara en tradingsida för Magickort till att bli en tradingsida för bitcoin och ganska snart en aktör med stora problem.

Vill du veta mer om MtGox och eventuellt dessutom få lite större inblick i hur bitcoin fungerar tycker jag du ska ta dig igenom inlägget – med brasklappen att det är ganska långt. 🙂

 

MtGox

Lexbase – lite tankar

Jag är en sån där människa som tycker att offentlighetsprincipen är en mycket bra princip. Jag vill leva i ett samhälle där vi har och ger varandra insyn. Viktig information om medborgare ska vara öppen och tillgänglig och information om myndighetsbeslut offentlig verksamhet också. Maktutövandet ska vara genomskinligt.

Lexbase_screen

Trots det kan jag komma med några invändningar mot Lexbase verksamhet.

  1. Ett privat företag tjänar pengar på vår egen nyfikenhet efter sliskiga detaljer. Folk har inte ”rätt att veta”, vilket är den vanliga existensmotiveringen från företag som Lexbase och Ratsit med flera. Man har rätt att ta reda på.
  2. Frågan om människors brottsregister är en komplex och känslig fråga. Vilken rättshaverist som helst har alltid kunnat begära ut domar om folk, men principen är att man efter avtjänat straff ska kunna gå vidare i livet. Det tycker också de flesta, vilket inte minst de senaste årens debatt om Tomas Quick och Göran Lambertz gjort tydligt.
  3. Vi ser endast domar avkunnade under de senaste fem åren, vilket innebär att många grova brott, som faktiskt kanske skulle kunna vara mer relevanta att känna till, hamnar under radarn. Trenden att arbetsgivare begär utdrag ur brottsregister har vuxit under de senaste åren och fått kritik från många håll, frågan om vem som ska bry sig om andras förehavanden och när är viktig.
  4. Det går att se vilka som är lagförda helt gratis, men man måste betala för detaljer. Briljant affärsstrategi, men många kommer att misstänkliggöras utan folk känner till omständigheterna.

Stormen rasar om Lexbase samtidigt som servrarna har varit överbelastade sedan lanseringen. Vi är moraliskt indignerade, men kollar upp våra grannar med andra handen.

Det finns en besläktad fråga om offentliga uppgifter och privata företag – flera myndigheter säljer medborgarnas personuppgifter, det rör sig om Bolagsverket, Tranportstyrelsen och Skatteverket. Det är enligt mig något de inte borde göra, även om uppgifterna är offentliga. Varför ska offentliga uppgifter säljas i kommersiellt syfte? Skillnaderna i fallet Lexbase är att uppgifterna inte säljs av myndigheter utan begärs ut.

Lagen

Ett annat aktuellt fall är kvinnan i Kalmar som begärde ut tusentals handlingar och tog flera heltidstjänster på Kalmar kommun i anspråk genom att utnyttja/missbruka sina medborgerliga rättigheter. Bland annat begärde hon ut alla handlingar diarieförda under 2013. Kommunen har nu tröttnat och blockerar kvinnans mejl och välkomnar en rättslig prövning. Vem har moraliskt rätt och vem har juridiskt rätt?

Följer man medieflödet så är det tydligt att de flesta tycker att Lexbase affärsidé är omoralisk, även om den inte bryter mot någon lag. Man jobbar helt utan hänsyn till konsekvenserna för enskilda, vilket går stick i stäv med hur vi i övrigt anser att företag ska handla, med hänsyn till och ansvar för omvärlden. 

Den dolda risken med öppna wifi-nätverk

Jag har länge pratat om att mobilsäkerhet inte är ett problem eller en utmaning som ligger långt fram i tiden, utan har försökt belysa att det är aktuellt redan idag, och har varit det ett tag. Det är ett problem som många inte är medvetna om eller ens reflekterar kring.

SVT bad mig demonstrera problemet med mobila enheter som automatiskt loggar in sig på tillgängliga wifi-nät när användarna rör sig ute i världen.

Många använder sig idag av wifi-nätverk hemma, på jobbet, ute på tågstationer, bussar, caféer osv. Problemet som uppstår är när en telefon väl har registrerat ett nätverk, så glömmer den inte bort det och kommer fortsätta söka efter det. Det betyder alltså att din telefon då och då kommer leta efter tillgängliga nätverk som du har använt tidigare.

Och det är här som hackarna kommer in i bilden. Genom att lyssna efter de nätverksnamn din enhet söker efter och sätta upp ett eget med samma namn kan hackaren få din telefon att koppla upp sig mot det falska nätverket. Hackaren får då full tillgång till trafiken till och från telefonen och kan då enkelt stjäla till exempel inloggningsuppgifter, få dig att köra skadlig kod eller visa egna versioner av annonser och webbsidor.

Faktumet att enheter som söker efter nätverk – eller Bluetoothenheter – kan också användas för att spåra folk. Antingen generellt, eller för att t.ex. hitta personer som jobbar på ett visst ställe, eller som brukar besöka vissa platser.

Det finns företag som säljer sådan spårning som tjänst, där en butiksinnehavare kan använda detta för att spåra hur personer rör sig mellan hyllor, och hur länge de stannar vid en viss reklam. Det finns alltså en möjlighet till avancerad spårning och kartläggning som kan användas även där GPS-mottagaren är avstängd.

Inget av detta är egentligen någon nyhet. Problemen har varit kända länge inom säkerhetskretsar, men jag tror att det är få som är medvetna om det och jag tror inte ens att så många av dem som arbetar med säkerhet på företagen tänker på det. Vissa enheter försöker förhindra att de ansluts till öppna nätverk, även sådana de varit ansluta till tidigare, men det hjälper inte när ägaren till mobiltelefonen aktivt letar efter och vill ansluta till ”Free Wifi here!”-nätverk.

Personerna som SVT intervjuade var inte alls medvetna om riskerna som de kunde utsättas för genom att ständigt ha wifi påslaget och sökande. Var alltid försiktig när du loggar in på öppna wifi-nätverk. Använd gärna en VPN-tjänst för att kryptera din trafik. Det kan även, för din egen skull, vara värt att ha wifi avstängt och använda mobilnätet istället och endast använda wifi på arbetsplatsen och hemma i lugnets trygga vrå.

 

ESET_WiFi

 

Hur maskininlärning kan gå fel – Filled with drama, he now praises the iPad!

I oktober rapporterade en användare in till Google att det var någonting konstigt med deras Text-to-Speech-funktion. Alltså, möjligheten att läsa upp en skriven text. Istället för att bara säga det som stod, så sa den ibland helt andra texter.

Texter som innehåller ”end with”, läses upp som ”end(and) he now praises the iPad”!

Jag spelade in en liten film om hur det kan se ut:

Det är en av de engelska kvinnliga rösterna som säger fel. Den mexikanska siten (.com.mx) verkar använda den som standard. Den manliga rösten jag fick på svenska och engelska Google uttalar texten rätt.

Det funkar även i vissa andra av Google’s text-to-speech-tjänster (t.ex. Google Now, när dess svar innehåller uttal liknande ”end with”.

Anledningen till att det kan gå så fel är att mycket av Googles data kommer från maskininlärning. Alltså att program ”lär sig” vilka ord och fraser som hör ihop, etc. Det är därför även Google Translate ibland kan råka ”översätta” texter som ”Jag cyklar i Gävle” till exempelvis ”I ride a bike in Shanghai”. Om det sedan skett helt automatiskt, eller om det är någon som felaktigt godkänt uttalet på något sätt, det är svårt att veta i dagsläget.

Detta uppmärksammades även på HN och det verkar som att källtexten som datan kommer från kan vara denna artikel från 2011.