<link>http://people.skolelinux.org/pere/blog/</link>
<atom:link href="http://people.skolelinux.org/pere/blog/index.rss" rel="self" type="application/rss+xml" />
+ <item>
+ <title>Snurpenot-overvåkning av sensitiv personinformasjon</title>
+ <link>http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html</guid>
+ <pubDate>Mon, 9 Nov 2015 22:30:00 +0100</pubDate>
+ <description><p>Tenk om et norsk sykehus delte informasjon om hva som blir lest og
+hvem som leser på sykehusets nettsted, med noen som samarbeider med et
+fremmed lands etterretningsvesen, og at flere andre fremmede lands
+etterretningstjenester kan snappe opp informasjonen.</p>
+
+<p>Tenk om flere sykehus, kommuner, helsestasjoner, universitet,
+høyskoler, grunnskoler, Stortinget, det meste av offentlig
+forvaltning, medier, adopsjonstjenester og krisesenter gjør det
+samme?</p>
+
+<p>Tenk om de som lytter kan holde oversikt over norske borgeres
+interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager,
+politiske interesser og sympatier samt hvilke argumenter som har best
+effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt
+grunn til bekymring?</p>
+
+<p>Høres det ut som noe tatt ut fra fantasien til George Orwell,
+forfatteren av dystopien 1984? Det er virkeligheten i Norge i dag,
+takket være bruken av statistikktjenester som Google Analytics.</p>
+
+<p><strong>Du kan beskytte deg</strong></p>
+
+<p>Men borgerne har et forsvar mot dette angrepet på privatsfæren.
+Dagens nettlesere har utvidelser som støtter å blokkere slik
+utlevering av informasjon. Personlig bruker jeg Privacy Badger,
+Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe
+tilsvarende. Merk at noen av verktøyene lekker informasjon, i tillegg
+til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen. I
+tillegg bør hver og en av oss sende inn protest til organisasjonene
+bak nettsteder som bidrar til dette inngrepet i privatsfæren.</p>
+
+<p><strong>Hvem bidrar til overvåkningen?</strong></p>
+
+<p>Takket være Ghostery la jeg merke til at flere og flere norske
+nettsteder begynte å la Google Analytics overvåke brukerne. Jeg ble
+nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske
+nettsteder, hovedsakelig offentlig forvaltning. Jeg laget et system
+for å koble seg opp automatisk og sjekke hvor nettstedene spredte
+informasjon om besøket. Jeg ble overrasket både over omfanget og hva
+slags nettsteder som rapporterer besøksinformasjon ut av landet.
+Omtrent 70 prosent av de 2700 sender informasjon til Google Analytics.
+Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset
+Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske
+regjering, de fleste politiske partier på Stortinget, NAV, Altinn,
+NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune,
+Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet,
+Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og
+Sivilforsvaret. Og det er mange flere.</p>
+
+<p>Hvordan kan det offentlige Norge omfavne en slik praksis? Det er
+gode hensikter bak. Google har laget en god tjeneste for
+nettstedseiere, der de uten å betale med noe annet enn en bit av de
+besøkenes privatsfære får tilgang til nyttig og presis statistikk over
+nettstedets bruk ved å besøke netttjenesten hos Google. De færreste
+merker ulempene angrepet på privatsfæren som nettstedene og Google
+utgjør.</p>
+
+<p><strong>Hvordan foregår det?</strong></p>
+
+<p>I nettsider kan nettsteder legge inn lenker til programkode som
+skal kjøres av brukerens nettleser. De som tar i bruk Google
+Analytics legger typisk inn lenke til et javascript-program hos Google
+som ber nettleseren ta kontakt med Google og dele IP-adresse, side
+besøkt, aktuelle cookies og endel informasjon om nettleseren med
+Google Analytics. Programmet trenger ikke være det samme for alle som
+henter det fra Google. Det finnes et Google Analytics-tilvalg kalt
+«anonymisering» som nettstedeier kan ta i bruk. Dette instruerer det
+omtalte programmet om å be Google slette deler av den oversendte
+IP-adressen. Full IP-adresse sendes likevel over og er tilgjengelig
+for alle som snapper opp informasjonen underveis.</p>
+
+<p>Takket være varsleren Edward Snowden, som bidro til uvurderlig
+dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for,
+vet vi at Google samarbeider med USAs etteretning som avlytter trafikk
+sendt til Google Analytics.</p>
+
+<p>Men allerede før Snowden var det bekreftet at både britiske GCHQ og
+USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom
+et av landene, i tillegg til at FRA i Sverige avlytter og lagrer
+trafikk som passerte grensa til Sverige.</p>
+
+<p>Og som
+<a href="http://www.dn.no/tekno/2013/02/03/amerikanerne-kan-se-hvert-ord-du-skriver">Datatilsynet
+sa til Dagens Næringsliv i 2013</a> kunne de vanskelig nekte bruk av
+skytjenester som Google Analytics når Norge var bundet av EUs «Safe
+Harbour»-avtale med USA. De måtte derfor se bort fra
+f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine
+vurderinger. Når nå EUs «Safe Harbour»-avtale er underkjent, og det
+foreslås å bruke individuell avtalerett mellom selskaper som juridisk
+grunnlag for å sende personopplysninger til USA, er det greit å huske
+på at FISAA-loven og andre som brukes av USA som grunnlag for
+masseovervåkning overstyrer slike avtaler.</p>
+
+<p>For øvrig burde varsleren Edward Snowden få politisk asyl i
+Norge.</p>
+</description>
+ </item>
+
<item>
<title>TISA - nok en problematisk og hemmelig handelsavtale</title>
<link>http://people.skolelinux.org/pere/blog/TISA___nok_en_problematisk_og_hemmelig_handelsavtale.html</link>
</description>
</item>
- <item>
- <title>Alle Stortingets mobiltelefoner kontrolleres fra USA...</title>
- <link>http://people.skolelinux.org/pere/blog/Alle_Stortingets_mobiltelefoner_kontrolleres_fra_USA___.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Alle_Stortingets_mobiltelefoner_kontrolleres_fra_USA___.html</guid>
- <pubDate>Wed, 7 Oct 2015 09:55:00 +0200</pubDate>
- <description><p>Jeg lot meg fascinere av
-<a href="http://www.aftenposten.no/nyheter/iriks/politikk/Stortinget-har-tilgang-til-a-fjernstyre-600-mobiler-8192692.html">en
-artikkel i Aftenposten</a> der det fortelles at «over 600 telefoner som
-benyttes av stortingsrepresentanter, rådgivere og ansatte på
-Stortinget, kan «fjernstyres» ved hjelp av
-<a href="https://play.google.com/store/apps/details?id=com.airwatch.androidagent">programvaren
-Airwatch</a>, et såkalte MDM-program (Mobile Device Managment)». Det
-hele bagatelliseres av Stortingets IT-stab, men det er i hovedsak på
-grunn av at journalisten ikke stiller de relevante spørsmålene. For
-meg er det relevante spørsmålet hvem som har lovlig tilgang (i henhold
-til lokal lovgiving, dvs. i hvert fall i Norge, Sverige, UK og USA)
-til informasjon om og på telefonene, og hvor enkelt det er å skaffe
-seg tilgang til hvor mobilene befinner seg og informasjon som befinner
-seg på telefonene ved hjelp av utro tjenere, trusler, innbrudd og
-andre ulovlige metoder.</p>
-
-<p>Bruken av AirWatch betyr i realiteten at USAs etteretning og
-politimyndigheter har full tilgang til stortingets mobiltelefoner,
-inkludert posisjon og innhold, takket være
-<a href="https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act_of_1978_Amendments_Act_of_2008">FISAAA-loven</a>
-og
-"<a href="https://en.wikipedia.org/wiki/National_security_letter">National
-Security Letters</a>" og det enkle faktum at selskapet
-<a href="http://www.airwatch.com/">AirWatch</a> er kontrollert av et
-selskap i USA. I tillegg er det kjent at flere lands
-etterretningstjenester kan lytte på trafikken når den passerer
-landegrensene.</p>
-
-<p>Jeg har bedt om mer informasjon
-<a href="https://www.mimesbronn.no/request/saksnummer_for_saker_anganede_br">fra
-Stortinget om bruken av AirWatch</a> via Mimes brønn så får vi se hva
-de har å fortelle om saken. Fant ingenting om 'airwatch' i
-postjournalen til Stortinget, så jeg trenger hjelp før jeg kan be om
-innsyn i konkrete dokumenter.</p>
-
-<p>Oppdatering 2015-10-07: Jeg er blitt spurt hvorfor jeg antar at
-AirWatch-agenten rapporterer til USA og ikke direkte til Stortingets
-egen infrastruktur. Det stemmer at det er teknisk mulig å sette
-opp mobiltelefonene til å rapportere til datamaskiner som eies av
-Stortinget. Jeg antar det rapporteres til AirWatch sine sentrale
-tjenester basert på det jeg leste fra beskrivelsen av
-<a href="http://www.airwatch.com/solutions/mobile-device-management/">Mobile
-Device Management</A> på AirWatch sine egne nettsider, koblet med at
-det brukes en standard app som kan hentes fra "app-butikkene" for å få
-tilgang. Enten må app-en settes opp individuelt hos Stortinget, eller
-så får den beskjed fra AirWatch i USA om hvor den skal koble seg opp.
-I det første tilfellet vil den ikke rapportere direkte til USA, men
-til programvare utviklet av AirWatch som kjører på en maskin under
-Stortingets kontroll. Det er litt bedre, men fortsatt vil det være
-umulig for Stortinget å være sikker på hva programvaren som tar imot
-forbindelser gjør. Jeg ser fra beskrivelsen av
-<a href="http://www.airwatch.com/differentiators/enterprise-integration/">Enterprice
-Integration</a> hos AirWatch at det er mulig å ha lokal installasjon,
-og håper innsynsforespørsler mot Stortinget kan fortelle mer om
-hvordan ting konkret fungerer der.</p>
-</description>
- </item>
-
</channel>
</rss>
projects / homepage.git / blobdiff