På nettavisen e24 kan vi lese om hvordan Contra Inkasso brøt personopplysningsloven og la ut haugevis av inkassokravkrav på en åpen nettadresse.

Daglig leder i Conta Inkasso, Jonny Lium, hadde dette å si om glippen:

"- Et slikt innbrudd på vårt system forutsetter at man kjenner til en helt spesifikk adresse som må skrives inn i nettleserens adressefelt. Det er også slik at dersom man åpner innhold på nettet og vet at det inneholder sensitive opplysninger så regnes det som et innbrudd."

Det er lenge siden jeg har lest noen lire av seg noe så hinsides all fornuft. Faktisk har jeg ikke hørt noen komme med noe så dumt som Jonny Lium siden Diablods ftp-skandale. Contra Inkasso la ut en haug av personopplysninger på en helt vanlig, helt åpen og helt ubeskyttet http-adresse. Du blir ikke automatisk innbruddstyv om du klarer å taste inn vg.no i nettleserens adressefelt helt selv.

Conta Inkassos Jonny Lium kunne like gjerne printet ut innkassokravene på papir og strødd dem utover gulvet på Oslo S og påstått at det var grovt tyveri om noen plukket opp ett ark og så på det. Men for all del, er man bedriftsleder og blir tatt med buksa nede så er det vel verd å late som det er innbrudd det er snakk om, ikke eget brudd på både personopplysningsloven og inkassoloven silk det er i dette tilfellet.

I en melding fra NTB sto det i går om en mann som krever erstatning fra sin arbeidsgiver etter at firmaet han jobber for snoket i hans private e-postkasser.

Ifølge Aftenposten mener Datatilsynet at dette er et brudd på den norske personopplysningsforskriften.

Er forbud nok?

Jeg har skrevet det mange, mange ganger før, og jeg skriver det igjen: Det finnes en trygg, god og etablert standard for kryptering av e-post som heter GnuPG.

Det er mange firma som ikke bryr seg så mye om hva som er lov og hva som ikke er lov. For mange firma er forbud bare ett spørsmål om hva kostnaden er ved å bli tatt. Hvis du krypterer e-posten din så er du i en langt tryggere situasjon enn om du satser på at ett forbud avskrekker arbeidsgiver fra å lese e-posten din.

Er det generelt lurt å bruke den private e-postkassen på jobben?

I tilfellet NTB skriver om er det snakk om arbeidstakers private e-post. Ett innlysende spørsmål i den forbindelse er: Hvordan har det seg at noen i firmaet han jobber for fikk tilgang til denne e-postkassen?

Arbeidsgivere har i de fleste tilfeller full kontroll over firmaets datamaskiner. Kan de i dette tilfellet ha installert en keylogger? Kryptering av e-post hjelper lite dersom ett spionprogram på datamaskinen registrerer alle tastetrykk, inkludert e-posten som skrives og passord som brukes til å åpne e-postkassen.

Generelt er det kanskje best å holde private gjøremål som privat blogging, e-postlesning og tilsvarende begrenset til sin egen private datamaskin.

StoppDLD arrangerer demonstrasjoner mot Datalagringsdirektivet over hele landet 10 .april:

Oslo:

Arrangør: Stopp Datalagringsdirektivet

Sted: Eidsvolls plass — foran Stortinget

Klokke: 11.30 — 13.00

Konferansier:

• Torbjørn Røe Isaksen (stortingsrepresentant Høyre)

Appellanter:

• Bård Vegard Solhjell (parlamentarisk leder for SV)
• Trine Skei Grande (parlamentarisk leder for Venstre)
• Aslak Sira Myhre (daglig leder for Litteraturhuset)
• Tage Pettersen (fylkesleder Østfold Høyre)

Flere kan komme til!

Bergen:

Arrangør: Stopp Datalagringsdirektivet

Sted: Torgallmenningen

Klokke: 11.30 — 13.30

Appellanter:

• Ragnhild Stolt-Nielsen (bystyremedlem for Bergen Høyre)
• Torstein Dahle (leder av Rødt)
• Gina Barstad (stortingsrepresentant for SV)

Flere kan komme til!

Trondheim:

Markering på Torget kl. 12:00

Nærmere info:

http://stoppdld.no/2010/04/05/demonstrasjoner-mot-dld-10-april/

Regimet i Norge bruker bry seg fint lite om hva folket mener, så det er nok like greit å ta i bruk sterk kryptering på nettet med en gang. Jeg anbefaler og har selv brukt GnuPG til e-post samt OTR til MSN/ICQ/Jabber/annen IM i årevis. Datalagringsdirektivet endrer hvor mye vi kan stole på protokoller som SSL, hvem vet om kryptering som i dag regnes som sikker fortsatt er umulig å knekke innen den krypterte trafikken slettes under datalagringsdirektivet. Derfor anbefaler jeg, for å gjenta meg selv, å ta i bruk ekstra sterk kryptering allerede nå.

Datalagringsdirektivet handler om overvåkning og lagring av hvilke nettsider du ser på, e-posten du sender, telefonsamtalene dine (stadig mer går over IP) og i praksis all annen teknologibasert kommunikasjon du er involvert i. Møt opp og protester! (Om du befinner deg i rett land, da.. blir litt langt å dra for meg som er syk og har såpass vondt at det er vanskelig for meg å komme meg på butikken)

VG nett skriver i dag om hvordan hackere tjener store penger på å selge hackede brukerkontoer på CIAs personopplysningsinnsamlingstjeneste Facebook billig.

Hvem har skylden for disse frekke hackerne sin umoralske oppførsel? Gary Clark i Safenet forteller VG at brukerne må oppdras og legger så mesteparten av skylden på de som drifter nettstedene som det stjeles fra. Internett-tjenester som er sikret dårlig er helt klart ett problem. Personlig tror jeg usikker programvare er ett mye større problem. Bloggeren Gusland sitt råd om å holde Windows oppdatert er, for de som bruker dette operativsystemet og dets medfølgende programvare, ett veldig godt råd. Mitt råd: Ikke bruk Windows, bruk en GNU/Linux variant som f.eks Ubuntu Linux.

Hvilken programvare du bruker, og om den er oppdatert, spiller etter min mening mye større rolle enn hvilken sikkerhet nettstedene du besøker har. La meg gi ett konkret eksempel:

1. Jeg legger til kode som bruker sikkerhetshullet i Internet Explorer som Microsoft lanserte sikkerhetsoppdateringer for 18. desember til på ett av nettstedene mine. Eksempelkode for hvordan dette sikkerhetshullet kan utnyttes lå fritt tilgjengelig på milw0rm m.fler 15. desember, tre dager før Microsoft lanserte sikkerhetspatchen. Og det er stadig mange som ikke har oppdatert utgaven av Internet Explorer. Mer alvorlig er det at det er de som bruker eldre datamaskiner med eldre Windows-utgaver hvor det ikke lenger kommer sikkerhetsoppdateringer når slike hull oppdages. GNU/Linux varianter, derimot, fungerer godt på eldre maskiner og disse blir stadig sikkerhetsoppdatert når det er noe.
2. Koden som utnytter det siste – eller andre – sikkerhetshull kjøres når tilfeldige mennesker besøker nettstedet der jeg har lagt den til og installerer så en bakdør som f.eks BO2K slik at jeg får full oversikt over hva datamaskineren gjør, inkludert tastetrykk vedkommende skriver inn på tastaturet.
3. Nå som jeg har full oversikt over tastetrykk, skjermbilder og alt annet som skjer på maskinene der jeg har installert min bakdør kan jeg uten problemer stjele innloggingsopplysninger, e-post, filer og alt mulig annet rart.
4. $$$ Profitt
5. if (!$transactions_are_traced_back_to_me){ FancyLivsstil }else{ SonelangstraffiFengsel }

Dette eksemplet krever at brukere med usikker nettleser forviller seg innom ett nettsted med min ondskapsfulle kode, noe som i større grad enn en kan forvente gjøres gjennom annonser kjøpt hos Google Adsense, Adbrite og tilsvarende, og lar meg deretter stjele alt jeg føler det for godt å stjele.

Den eneste måten nettsteder kan forsvare seg mot slike angrep er å bruke engangskort og engangskoder slik nettbanker som Skandiabanken krever. Selv om motstanderen stjeler alt de kan via datamaskinen min – personnummer, nettbankpassord og så videre – vil motstanderen likevel feile i sine forsøk på å logge på Skandiabanken uten å fysisk bryte seg inn hos meg og stjele en fysisk gjenstand. Er det sikkerhetsmessig lurt å bruke kodekort med engangskoder for å f.eks logge på bloggtjenester som denne? Ja. Er det verd bryet og kostnaden? Tja, tjenester som gir enorm profitt bør nok vurdere det… og om denne tjenesten på magisk vis skulle havne i den kategorien så blir det kanskje kodekortinnlogging her også.