-<p>Arbeiderpartiet har tvunget igjennom et forslag i regjeringen om
-at alle borgere i Norge skal overvåkes kontinuerlig i tilfelle vi gjør
-noe galt, slik at politiet får det enklere under etterforskningen.
-Sikkerhetstjenesten vil få tilgang uten at noen er mistenkt, mens
-politiet i starten må ha mistanke om noe kriminelt. Forslaget omtales
-generelt som datalagringsdirektivet eller DLD, da det kommer på
-bakgrunn av et direktiv fra EU.</p
-
-<p>Det er diskutabelt om slik datalagring er nyttig i
-kriminalitetsbekjemping. Når oppgaven er å finne nåla i høystakken, er
-det slett ikke sikkert at det hjelper å hive på mere høy. Og det er
-nettopp dette lagring av informasjon om alle i landet vil gjøre.
-Politiet har flere ganger demonstrert manglende evne til å håndtere de
-datamengdene de har tilgang til i dag, og det er grunn til å tro at de
-vil få større problemer hvis de må håndtere større datamengder. Dermed
-kan faktisk DLD gjøre politiet mindre effektive.</p>
-
-<p>Her følger endel aktuelle lenker om saken, for deg som vil lære
-mer.</p>
-
-<ul>
-
-<li><a href="http://stoppdld.no/">Stopp DLD</a> er en organisasjon
- opprettet for å hindre at DLD blir innført i Norge. 14 tusen
- stykker har signert oppropet til Stopp DLD så langt. Jeg anbefaler
- deg å gjøre det samme</li>
-
-<li>Det planlegges en demonstrasjon mot DLD
- <a href="http://stoppdld.no/2011/01/06/demonstrasjon-mot-datalagringsdirektivet/">tirsdag
- 2011-01-11 kl. 17:00</a> utenfor stortinget. Det kan være en
- god start på ettermiddagen før en besøker NUUGs
- <a href="http://www.nuug.no/aktiviteter/20110111-semantic-web/">presentasjon
- av semantisk web</a> kl. 18:30.
-
-<li>Stopp DLD har fått et
- <a href="http://stoppdld.no/2010/12/17/regjeringen-datamisbruk/">Svarbrev
- fra regjeringen </a> der regjeringen innrømmer at en må regne med
- misbruk av informasjonen samlet inn på bakgrunn av DLD. Får meg til
- å minnes det norske forsvaret som i sin høringsuttalelse anbefalte å
- ikke innføre DLD av sikkerhetshensyn.</li>
-
-<li>I romjula 2010 gikk justisminister Storberget ut og forklarte at
- innføring av DLD vil styrke personvernet. For noen dager siden gikk
- derfor Datatilsynet ut og forklarte at
- <a href="http://www.datatilsynet.no/templates/Page____3661.aspx">DLD
- uten tvil vil svekke personvernet</a> og at justisministeren tar
- feil.</li>
-
-<li>I Tyskland har grunnlovsdomstolen besluttet at DLD strider mot
- grunnloven i Tyskland, og
- <a href="http://linux1.no/artikkel/4638/tysklands-justisminister-nekter-gjeninnfore-dld">en
- artikkel i linux1.no</a> forteller at Tysklands justisminister ikke
- vil forsøke på nytt å få DLD innført i Tyskland, men heller basere
- seg på regler om frysing av data om enkeltpersoner når politiet har
- konkrete mistanker. Jeg lurer på hvorfor DLD er i strid med den
- tyske grunnloven, men ikke den norske.
-
-<li>Det er flere EU- og EØS-land som ikke har innført DLD så langt.
- <a href="http://wiki.vorratsdatenspeicherung.de/Overview_of_national_data_retention_policies">En
- liste</a> er tilgjengelig fra
- <a href="http://www.vorratsdatenspeicherung.de/">Stoppt die
- Vorratsdatenspeicherung</a> i Tyskland.</li>
-
-<li>Det er ikke bare mobiltelefoni og Internet-bruk som planlegges
- overvåket i Norge. Et mindre kjent forslag som planlegges
- gjennomført er mer massiv overvåkning av biler, der hver bil
- utstyres med en sort boks omtalt som eCall som både holder rede på
- hvor bilen er til enhver tid, og som kan aktivisere telefonisk
- forbindelse inne i bilen (dvs. høytaler og mikrofon) kontrollert av
- folk som ikke sitter i bilen. Mer informasjon om dette finner en <a
- href="http://datatilsynet.no/templates/article____1827.aspx">på
- datatilsynets sider</a>.
-
-<li>Hvis du lurer på om DLD kan omgås for mobiltelefoner, anbefaler
- jeg at du tar en titt på
- <a href="http://www.nuug.no/pub/video/frikanalen/fetchvideo.cgi?videoId=5095">en
- liten video</a> som NUUG har begynt å sende på Frikanalen nå i jula.</li>
-
-</ul>
-</div>
- <div class="tags">
-
-
-
- Tags: <a href="http://people.skolelinux.org/pere/blog/tags/norsk">norsk</a>, <a href="http://people.skolelinux.org/pere/blog/tags/personvern">personvern</a>.
-
- </div>
- </div>
- <div class="padding"></div>
-
- <div class="entry">
- <div class="title"><a href="http://people.skolelinux.org/pere/blog/Hvordan_kringkaster_T_banen_i_Oslo_sine_overv__kningskamerasignaler_.html">Hvordan kringkaster T-banen i Oslo sine overvåkningskamerasignaler?</a></div>
- <div class="date">2011-01-05 18:30</div>
- <div class="body">
-<p>Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner,
-dvs. en radioscanner som automatisk scanner frekvensområdet 900 - 2500
-MHz og snapper opp radiokilder med PAL eller NTCS TV-signal og viser
-signalet frem på en liten skjerm. Veldig morsom å ha med seg for å se
-hva som finnes av trådløse overvåkningskamera. En får se bildet som
-kameraet tar opp. :)</p>
-
-<p>Men en kilde har den ikke klart å snappe opp: Sporveiens
-overvåkningskamera på T-banestasjonene. Bildet sendes åpenbart
-trådløst til T-baneføreren, men min scanner har ikke klart å ta inn
-signalet. For å forsøke å finne ut av dette tok jeg i dag en nærmere
-titt på en av boksene som sto på Forskningsparken T-banestasjon for å
-se hva det er som sendes ut.</p>
-
-<p>Boksen hadde følgende tekst:</p>
-
-<blockquote><pre>
-SupraLink
-Outdoor Transmitter 5.8 GHz
-
-default channel [ ]
- identity code [ ]
-
-VTQ Videotronik
-06268 Querfurt
-<a href="http://www.vtq.de/">www.vtq.de</a>
-Made in Germany
-
-AC 230V [strekkode]
-max 10W 84230936
-</pre></blockquote>
-
-<p>Det var hyggelig av produsenten å legge inn lenke til nettsiden
-sin. Der hadde de mye stilig elektronikk. Og forklaringen på hvorfor
-min scanner ikke tar inn signalet er åpenbar ut fra merkelappen. 5.8
-GHz er langt over min scanners grense på 2.5 GHz. Trenger visst en
-kraftigere scanner. :)</p>
+<p>The last few days I have looked at ways to track open security
+issues here at my work with the University of Oslo. My idea is that
+it should be possible to use the information about security issues
+available on the Internet, and check our locally
+maintained/distributed software against this information. It should
+allow us to verify that no known security issues are forgotten. The
+CVE database listing vulnerabilities seem like a great central point,
+and by using the package lists from Debian mapped to CVEs provided by
+the testing security team, I believed it should be possible to figure
+out which security holes were present in our free software
+collection.</p>
+
+<p>After reading up on the topic, it became obvious that the first
+building block is to be able to name software packages in a unique and
+consistent way across data sources. I considered several ways to do
+this, for example coming up with my own naming scheme like using URLs
+to project home pages or URLs to the Freshmeat entries, or using some
+existing naming scheme. And it seem like I am not the first one to
+come across this problem, as MITRE already proposed and implemented a
+solution. Enter the <a href="http://cpe.mitre.org/index.html">Common
+Platform Enumeration</a> dictionary, a vocabulary for referring to
+software, hardware and other platform components. The CPE ids are
+mapped to CVEs in the <a href="http://web.nvd.nist.gov/">National
+Vulnerability Database</a>, allowing me to look up know security
+issues for any CPE name. With this in place, all I need to do is to
+locate the CPE id for the software packages we use at the university.
+This is fairly trivial (I google for 'cve cpe $package' and check the
+NVD entry if a CVE for the package exist).</p>
+
+<p>To give you an example. The GNU gzip source package have the CPE
+name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to
+check out, one could look up
+<a href="http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%3A%2Fa%3Agnu%3Agzip:1.3.3">cpe:/a:gnu:gzip:1.3.3
+in NVD</a> and get a list of 6 security holes with public CVE entries.
+The most recent one is
+<a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0001">CVE-2010-0001</a>,
+and at the bottom of the NVD page for this vulnerability the complete
+list of affected versions is provided.</p>
+
+<p>The NVD database of CVEs is also available as a XML dump, allowing
+for offline processing of issues. Using this dump, I've written a
+small script taking a list of CPEs as input and list all CVEs
+affecting the packages represented by these CPEs. One give it CPEs
+with version numbers as specified above and get a list of open
+security issues out.</p>
+
+<p>Of course for this approach to be useful, the quality of the NVD
+information need to be high. For that to happen, I believe as many as
+possible need to use and contribute to the NVD database. I notice
+RHEL is providing
+<a href="https://www.redhat.com/security/data/metrics/rhsamapcpe.txt">a
+map from CVE to CPE</a>, indicating that they are using the CPE
+information. I'm not aware of Debian and Ubuntu doing the same.</p>
+
+<p>To get an idea about the quality for free software, I spent some
+time making it possible to compare the CVE database from Debian with
+the CVE database in NVD. The result look fairly good, but there are
+some inconsistencies in NVD (same software package having several
+CPEs), and some inaccuracies (NVD not mentioning buggy packages that
+Debian believe are affected by a CVE). Hope to find time to improve
+the quality of NVD, but that require being able to get in touch with
+someone maintaining it. So far my three emails with questions and
+corrections have not seen any reply, but I hope contact can be
+established soon.</p>
+
+<p>An interesting application for CPEs is cross platform package
+mapping. It would be useful to know which packages in for example
+RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
+this would be trivial if all linux distributions provided CPE entries
+for their packages.</p>
projects / homepage.git / blobdiff