1 <?xml version=
"1.0" encoding=
"utf-8"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries tagged sikkerhet
</title>
5 <description>Entries tagged sikkerhet
</description>
10 <title>Kryptert harddisk - naturligvis
</title>
11 <link>../../Kryptert_harddisk___naturligvis.html
</link>
12 <guid isPermaLink=
"true">../../Kryptert_harddisk___naturligvis.html
</guid>
13 <pubDate>Sat,
2 May
2009 15:
30:
00 +
0200</pubDate>
15 <p
><a href=
"http://www.dagensit.no/trender/article1658676.ece
">Dagens
16 IT melder
</a
> at Intel hevder at det er dyrt å miste en datamaskin,
17 når en tar tap av arbeidstid, fortrolige dokumenter,
18 personopplysninger og alt annet det innebærer. Det er ingen tvil om
19 at det er en kostbar affære å miste sin datamaskin, og det er årsaken
20 til at jeg har kryptert harddisken på både kontormaskinen og min
21 bærbare. Begge inneholder personopplysninger jeg ikke ønsker skal
22 komme på avveie, den første informasjon relatert til jobben min ved
23 Universitetet i Oslo, og den andre relatert til blant annet
24 foreningsarbeide. Kryptering av diskene gjør at det er lite
25 sannsynlig at dophoder som kan finne på å rappe maskinene får noe ut
26 av dem. Maskinene låses automatisk etter noen minutter uten bruk,
27 og en reboot vil gjøre at de ber om passord før de vil starte opp.
28 Jeg bruker Debian på begge maskinene, og installasjonssystemet der
29 gjør det trivielt å sette opp krypterte disker. Jeg har LVM på toppen
30 av krypterte partisjoner, slik at alt av datapartisjoner er kryptert.
31 Jeg anbefaler alle å kryptere diskene på sine bærbare. Kostnaden når
32 det er gjort slik jeg gjør det er minimale, og gevinstene er
33 betydelige. En bør dog passe på passordet. Hvis det går tapt, må
34 maskinen reinstalleres og alt er tapt.
</p
>
36 <p
>Krypteringen vil ikke stoppe kompetente angripere som f.eks. kjøler
37 ned minnebrikkene før maskinen rebootes med programvare for å hente ut
38 krypteringsnøklene. Kostnaden med å forsvare seg mot slike angripere
39 er for min del høyere enn gevinsten. Jeg tror oddsene for at
40 f.eks. etteretningsorganisasjoner har glede av å titte på mine
41 maskiner er minimale, og ulempene jeg ville oppnå ved å forsøke å
42 gjøre det vanskeligere for angripere med kompetanse og ressurser er
48 <title>Litt om valgfusk og problemet med elektronisk stemmegiving
</title>
49 <link>../../Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html
</link>
50 <guid isPermaLink=
"true">../../Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html
</guid>
51 <pubDate>Wed,
17 Jun
2009 14:
20:
00 +
0200</pubDate>
53 <p
><a href=
"http://www.aftenposten.no/nyheter/uriks/article3127058.ece
">Aftenposten
54 melder
</a
> at det kan se ut til at Iran ikke har lært av USA når det
55 gjelder valgfusk. En bør endre tallene før de publiseres, slik at en
56 kandidat aldri får færre stemmer under opptellingen, ellers blir det
57 veldig tydelig at tallene ikke er til å stole på. I USA er det
58 derimot
<a href=
"http://www.blackboxvoting.org/
">rapporter om at
59 tallene har vært endret
</a
> på tur mot opptellingen, ikke etter at
60 tallene er publiserte (i tillegg til en rekke andre irregulariteter).
61 En ting Iran åpenbart har forstått, er verdien av å kunne
62 kontrolltelle stemmer. Det ligger an til kontrolltelling i hvert fall
63 i noen områder. Hvorvidt det har verdi, kommer an på hvordan
64 stemmene har vært oppbevart.
</p
>
66 <p
><a href=
"http://universitas.no/kronikk/
48334/kan-vi-stole-pa-universitetets-elektroniske-valgsystem-/
">Universitetet
67 i Oslo derimot
</a
>, har ikke forstått verdien av å kunne
68 kontrolltelle. Her har en valgt å ta i bruk elektronisk stemmegiving
69 over Internet, med et system som ikke kan kontrolltelles hvis det
70 kommer anklager om juks med stemmene. Systemet har flere kjente
71 problemer og er i mine øyne ikke bedre enn en spørreundersøkelse, og
72 jeg har derfor latt være å stemme ved valg på UiO siden det ble
75 <p
>Universitet i Bergen derimot har klart det kunststykket å aktivt gå
76 inn for å gjøre det kjent at det elektroniske stemmegivingssystemet
77 over Internet
<a href=
"http://nyheter.uib.no/?modus=vis_nyhet
&id=
43404">kan
78 spore hvem som stemmer hva
</a
> (det kan en forøvrig også ved UiO), og tatt
79 kontakt med stemmegivere for å spørre hvorfor de stemte som de gjorde.
80 Hemmelige valg står for fall. Mon tro hva stemmesedlenne hadde
81 inneholdt i Iran hvis de ikke hadde hemmelige valg?
</p
>
86 <title>Sikkerhet til sjøs trenger sjøkart uten bruksbegresninger
</title>
87 <link>../../Sikkerhet_til_sj__s_trenger_sj__kart_uten_bruksbegresninger.html
</link>
88 <guid isPermaLink=
"true">../../Sikkerhet_til_sj__s_trenger_sj__kart_uten_bruksbegresninger.html
</guid>
89 <pubDate>Sun,
23 Aug
2009 10:
00:
00 +
0200</pubDate>
91 <p
>Sikkerhet til sjøs burde være noe som opptar mange etter den siste
92 oljeutslippsulykken med Full City, som har drept mye liv langs sjøen.
93 En viktig faktor for å bedre sikkerheten til sjøs er at alle som
94 ferdes på sjøen har tilgang til oppdaterte sjøkart som forteller hvor
95 det grunner og annet en må ta hensyn til på sjøen.
</p
>
97 <p
>Hvis en er enig i at tilgang til oppdaterte sjøkart er viktig for
98 sikkerheten på sjøen, så er det godt å vite at det i dag er teknisk
99 mulig å sikre alle enkel tilgang til oppdaterte digitale kart over
100 Internet. Det trenger heller ikke være spesielt kostbart.
</p
>
102 <p
>Både ved Rocknes-ulykken i Vatlestraumen, der
18 mennesker mistet
103 livet, og ved Full City-ulykken utenfor Langesund, der mange tonn olje
104 lekket ut i havet, var det registrert problemer relatert til
105 oppdaterte sjøkart. Ved Rocknes-ulykken var de elektroniske kartene
106 som ble brukt ikke oppdatert med informasjon om nyoppdagede grunner og
107 losen kjente visst ikke til disse nye grunnene. Papirkartene var dog
108 oppdaterte. Ved Full City-ulykken hadde en kontroll av skipet noen
109 uker tidligere konstatert manglende sjøkart.
</p
>
111 <p
>Jeg tror en løsning der digitale sjøkart kunne lastes ned direkte
112 fra sjøkartverket av alle som ønsket oppdaterte sjøkart, uten
113 brukerbetaling og uten bruksbegresninger knyttet til kartene, vil
114 gjøre at flere folk på sjøen vil holde seg med oppdaterte sjøkart,
115 eller sjøkart i det hele tatt. Resultatet av dette vil være økt
116 sikkerhet på sjøen. En undersøkelse gjennomført av Opinion for
117 Gjensidige i
2008 fortalte at halvparten av alle båteierne i landet
118 ikke har sjøkart i båten.
</p
>
120 <p
>Formatet på de digitale sjøkartene som gjøræs tilgjengelig fra
121 sjøkartverket må være i henhold til en fri og åpen standard, slik at
122 en ikke er låst til enkeltaktørers godvilje når datafilene skal tolkes
123 og forstås, men trenger ikke publiseres fra sjøkartverket i alle
124 formatene til verdens skips-GPS-er i tillegg. Hvis det ikke er
125 kostbart for sjøkartverket bør de gjerne gjøre det selv, men slik
126 konvertering kan andre ta seg av hvis det er et marked for det.
</p
>
128 <p
>Hvis staten mener alvor med å forbedre sikkerheten til sjøs, må de
129 gjøre sitt for at alle båteiere har oppdaterte kart, ikke bare snakke
130 om hvor viktig det er at de har oppdaterte kart. Det bør være
131 viktigere for staten at båtene
<strong
>har
</strong
> oppdaterte kart
132 enn at de er pålagt å ha oppdaterte kart.
</p
>
134 <p
>Sjøkartene er
<a href=
"http://kart.kystverket.no/
">tilgjengelig på web
135 fra kystverket
</a
>, men så vidt jeg har klart å finne, uten
136 bruksvilkår som muliggjør gjenbruk uten bruksbegresninger.
</p
>
138 <p
>OpenStreetmap.org-folk er lei av mangel på sjøkart, og har startet
139 på et dugnadsbasert fribrukskart for havet,
140 <a href=
"http://openseamap.org/
">OpenSeaMap
</a
>. Datagrunnlaget er
141 OpenStreetmap, mens framvisningen er tilpasset bruk på sjøen. Det
142 gjenstår mye før en kan bruke dette til å seile sikkert på havet, men
143 det viser at behovet for fribruks-sjøkart er til stedet.
</p
>
148 <title>Jeg vil ikke ha BankID
</title>
149 <link>../../Jeg_vil_ikke_ha_BankID.html
</link>
150 <guid isPermaLink=
"true">../../Jeg_vil_ikke_ha_BankID.html
</guid>
151 <pubDate>Fri,
30 Oct
2009 13:
05:
00 +
0100</pubDate>
153 <p
>Min hovedbankforbindelse,
154 <a href=
"http://www.postbanken.no/
">Postbanken
</a
>, har fra
1. oktober
155 blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
156 for
<a href=
"https://www.bankid.no/
">BankID
</a
> og går over til å
157 bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
158 kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
159 lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
160 hvis jeg ikke godtar det jeg anser som urimelige vilkår i
161 BankID-avtalen.
</p
>
163 <p
>BankID er en løsning der banken gis rett til å handle på vegne av
164 meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
165 bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
166 oppta lån og andre handlinger som har alvorlige følger for meg.
167 Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
168 all informasjon og tilgang som den trenger for å bruke BankID, også
169 uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
170 min BankID når jeg har oppgitt pinkode og passord, men praktisk og
171 konkret kan de gjøre dette også uten at min pinkode eller mitt passord
172 er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
173 seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
174 (eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
175 rett til å inngå avtaler på vegne av meg.
</p
>
177 <p
>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
178 offentlig nøkkel, der den private nøkkelen er nødvendig for å
179 "signere
" på vegne av den nøkkelen gjelder for, og den offentlige
180 nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
181 sitter på både den private og den offentlige nøkkelen, og sier de kun
182 skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
186 <p
>I postbankens
187 <a href=
"https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf
">vilkår
188 for BankID
</a
> står følgende:
</p
>
191 <p
>"6. Anvendelsesområdet for BankID
</p
>
193 <p
>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
194 avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
195 identifisering og signering i forbindelse med elektronisk
196 meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
197 elektronisk kommunikasjon med Banken og andre brukersteder som har
198 tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
199 har inngått avtale med bank om bruk av BankID.
"</p
>
202 <p
>Det er spesielt retten til
"avtaleinngåelse
" jeg synes er urimelig
203 å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
204 også retten til å kommunisere på vegne av meg med andre brukersteder og
205 signering av meldinger synes jeg er problematisk. Jeg må godta at
206 banken skal kunne signere for meg på avtaler og annen kommunikasjon
207 for å få BankID.
</p
>
209 <p
>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
210 banken rett til å inngå avtaler på vegne av meg svarer Postbankens
211 kundestøtte at
"Postbanken har valgt BankID for bl.a. pålogging i
212 nettbank , så her må du nok ha hele denne løsningen
". Jeg nektes
213 altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
214 signere avtaler på vegne av meg.
</p
>
216 <p
>Postbankens kundestøtte sier videre at
"Det har blitt et krav til
217 alle norske banker om å innføre BankID, bl.a på grunn av
218 sikkerhet
", uten at jeg her helt sikker på hvem som har framsatt
219 dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
220 fastsatt av
<a href=
"http://www.kredittilsynet.no/
">kreditttilsynet
</a
>
221 og
<a href=
"http://www.bbs.no/
">BBS
</a
>.] Det som er situasjonen er
222 dog at det er svært få banker igjen som ikke bruker BankID, og jeg
223 vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
224 gi banken rett til å signere avtaler på mine vegne.
</p
>
226 <p
>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
227 til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
228 bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
229 kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
230 begrensing.
</p
>
232 <p
>Jeg har klaget vilkårene inn for
<a
233 href=
"http://www.forbrukerombudet.no/
">forbrukerombudet
</a
>, men
234 regner ikke med at de vil kunne bidra til en rask løsning som gir meg
235 nettbankkontroll over egne midler. :(
240 <title>Sikkerhet, teater, og hvordan gjøre verden sikrere
</title>
241 <link>../../Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html
</link>
242 <guid isPermaLink=
"true">../../Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html
</guid>
243 <pubDate>Wed,
30 Dec
2009 16:
35:
00 +
0100</pubDate>
245 <p
>Via Slashdot fant jeg en
246 <a href=
"http://www.cnn.com/
2009/OPINION/
12/
29/schneier.air.travel.security.theater/index.html
">nydelig
247 kommentar fra Bruce Schneier
</a
> som ble publisert hos CNN i går. Den
248 forklarer forbilledlig hvorfor sikkerhetsteater og innføring av
249 totalitære politistatmetoder ikke er løsningen for å gjøre verden
250 sikrere. Anbefales på det varmeste.
</p
>
252 <p
>Oppdatering: Kom over
253 <a href=
"http://gizmodo.com/
5435675/president-obama-its-time-to-fire-the-tsa
">nok
254 en kommentar
</a
> om den manglende effekten av dagens sikkerhetsteater
255 på flyplassene.
</p
>
projects / homepage.git / blob