[homepage.git] / blog / tags / sikkerhet / sikkerhet.rss

<?xml version="1.0" encoding="utf-8"?>
<rss version='2.0' xmlns:lj='http://www.livejournal.org/rss/lj/1.0/'>
        <channel>
                <title>Petter Reinholdtsen - Entries tagged sikkerhet</title>
                <description>Entries tagged sikkerhet</description>
                <link>http://people.skolelinux.org/pere/blog/</link>

        
        <item>
                <title>Kryptert harddisk - naturligvis</title>
                <link>http://people.skolelinux.org/pere/blog/Kryptert_harddisk___naturligvis.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Kryptert_harddisk___naturligvis.html</guid>
                <pubDate>Sat, 2 May 2009 15:30:00 +0200</pubDate>
                <description>&lt;p&gt;&lt;a href=&quot;http://www.dagensit.no/trender/article1658676.ece&quot;&gt;Dagens
IT melder&lt;/a&gt; at Intel hevder at det er dyrt å miste en datamaskin,
når en tar tap av arbeidstid, fortrolige dokumenter,
personopplysninger og alt annet det innebærer.  Det er ingen tvil om
at det er en kostbar affære å miste sin datamaskin, og det er årsaken
til at jeg har kryptert harddisken på både kontormaskinen og min
bærbare.  Begge inneholder personopplysninger jeg ikke ønsker skal
komme på avveie, den første informasjon relatert til jobben min ved
Universitetet i Oslo, og den andre relatert til blant annet
foreningsarbeide.  Kryptering av diskene gjør at det er lite
sannsynlig at dophoder som kan finne på å rappe maskinene får noe ut
av dem.  Maskinene låses automatisk etter noen minutter uten bruk,
og en reboot vil gjøre at de ber om passord før de vil starte opp.
Jeg bruker Debian på begge maskinene, og installasjonssystemet der
gjør det trivielt å sette opp krypterte disker.  Jeg har LVM på toppen
av krypterte partisjoner, slik at alt av datapartisjoner er kryptert.
Jeg anbefaler alle å kryptere diskene på sine bærbare.  Kostnaden når
det er gjort slik jeg gjør det er minimale, og gevinstene er
betydelige.  En bør dog passe på passordet.  Hvis det går tapt, må
maskinen reinstalleres og alt er tapt.&lt;/p&gt;

&lt;p&gt;Krypteringen vil ikke stoppe kompetente angripere som f.eks. kjøler
ned minnebrikkene før maskinen rebootes med programvare for å hente ut
krypteringsnøklene.  Kostnaden med å forsvare seg mot slike angripere
er for min del høyere enn gevinsten.  Jeg tror oddsene for at
f.eks. etteretningsorganisasjoner har glede av å titte på mine
maskiner er minimale, og ulempene jeg ville oppnå ved å forsøke å
gjøre det vanskeligere for angripere med kompetanse og ressurser er
betydelige.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Litt om valgfusk og problemet med elektronisk stemmegiving</title>
                <link>http://people.skolelinux.org/pere/blog/Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html</guid>
                <pubDate>Wed, 17 Jun 2009 14:20:00 +0200</pubDate>
                <description>&lt;p&gt;&lt;a href=&quot;http://www.aftenposten.no/nyheter/uriks/article3127058.ece&quot;&gt;Aftenposten
melder&lt;/a&gt; at det kan se ut til at Iran ikke har lært av USA når det
gjelder valgfusk.  En bør endre tallene før de publiseres, slik at en
kandidat aldri får færre stemmer under opptellingen, ellers blir det
veldig tydelig at tallene ikke er til å stole på.  I USA er det
derimot &lt;a href=&quot;http://www.blackboxvoting.org/&quot;&gt;rapporter om at
tallene har vært endret&lt;/a&gt; på tur mot opptellingen, ikke etter at
tallene er publiserte (i tillegg til en rekke andre irregulariteter).
En ting Iran åpenbart har forstått, er verdien av å kunne
kontrolltelle stemmer.  Det ligger an til kontrolltelling i hvert fall
i noen områder.  Hvorvidt det har verdi, kommer an på hvordan
stemmene har vært oppbevart.&lt;/p&gt;

&lt;p&gt;&lt;a href=&quot;http://universitas.no/kronikk/48334/kan-vi-stole-pa-universitetets-elektroniske-valgsystem-/&quot;&gt;Universitetet
i Oslo derimot&lt;/a&gt;, har ikke forstått verdien av å kunne
kontrolltelle.  Her har en valgt å ta i bruk elektronisk stemmegiving
over Internet, med et system som ikke kan kontrolltelles hvis det
kommer anklager om juks med stemmene.  Systemet har flere kjente
problemer og er i mine øyne ikke bedre enn en spørreundersøkelse, og
jeg har derfor latt være å stemme ved valg på UiO siden det ble
innført.&lt;/p&gt;

&lt;p&gt;Universitet i Bergen derimot har klart det kunststykket å aktivt gå
inn for å gjøre det kjent at det elektroniske stemmegivingssystemet
over Internet &lt;a href=&quot;http://nyheter.uib.no/?modus=vis_nyhet&amp;id=43404&quot;&gt;kan
spore hvem som stemmer hva&lt;/a&gt; (det kan en forøvrig også ved UiO), og tatt
kontakt med stemmegivere for å spørre hvorfor de stemte som de gjorde.
Hemmelige valg står for fall.  Mon tro hva stemmesedlenne hadde
inneholdt i Iran hvis de ikke hadde hemmelige valg?&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Sikkerhet til sjøs trenger sjøkart uten bruksbegresninger</title>
                <link>http://people.skolelinux.org/pere/blog/Sikkerhet_til_sj_s_trenger_sj_kart_uten_bruksbegresninger.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Sikkerhet_til_sj_s_trenger_sj_kart_uten_bruksbegresninger.html</guid>
                <pubDate>Sun, 23 Aug 2009 10:00:00 +0200</pubDate>
                <description>&lt;p&gt;Sikkerhet til sjøs burde være noe som opptar mange etter den siste
oljeutslippsulykken med Full City, som har drept mye liv langs sjøen.
En viktig faktor for å bedre sikkerheten til sjøs er at alle som
ferdes på sjøen har tilgang til oppdaterte sjøkart som forteller hvor
det grunner og annet en må ta hensyn til på sjøen.&lt;/p&gt;

&lt;p&gt;Hvis en er enig i at tilgang til oppdaterte sjøkart er viktig for
sikkerheten på sjøen, så er det godt å vite at det i dag er teknisk
mulig å sikre alle enkel tilgang til oppdaterte digitale kart over
Internet.  Det trenger heller ikke være spesielt kostbart.&lt;/p&gt;

&lt;p&gt;Både ved Rocknes-ulykken i Vatlestraumen, der 18 mennesker mistet
livet, og ved Full City-ulykken utenfor Langesund, der mange tonn olje
lekket ut i havet, var det registrert problemer relatert til
oppdaterte sjøkart.  Ved Rocknes-ulykken var de elektroniske kartene
som ble brukt ikke oppdatert med informasjon om nyoppdagede grunner og
losen kjente visst ikke til disse nye grunnene.  Papirkartene var dog
oppdaterte.  Ved Full City-ulykken hadde en kontroll av skipet noen
uker tidligere konstatert manglende sjøkart.&lt;/p&gt;

&lt;p&gt;Jeg tror en løsning der digitale sjøkart kunne lastes ned direkte
fra sjøkartverket av alle som ønsket oppdaterte sjøkart, uten
brukerbetaling og uten bruksbegresninger knyttet til kartene, vil
gjøre at flere folk på sjøen vil holde seg med oppdaterte sjøkart,
eller sjøkart i det hele tatt.  Resultatet av dette vil være økt
sikkerhet på sjøen.  En undersøkelse gjennomført av Opinion for
Gjensidige i 2008 fortalte at halvparten av alle båteierne i landet
ikke har sjøkart i båten.&lt;/p&gt;

&lt;p&gt;Formatet på de digitale sjøkartene som gjøres tilgjengelig fra
sjøkartverket må være i henhold til en fri og åpen standard, slik at
en ikke er låst til enkeltaktørers godvilje når datafilene skal tolkes
og forstås, men trenger ikke publiseres fra sjøkartverket i alle
formatene til verdens skips-GPS-er i tillegg.  Hvis det ikke er
kostbart for sjøkartverket bør de gjerne gjøre det selv, men slik
konvertering kan andre ta seg av hvis det er et marked for det.&lt;/p&gt;

&lt;p&gt;Hvis staten mener alvor med å forbedre sikkerheten til sjøs, må de
gjøre sitt for at alle båteiere har oppdaterte kart, ikke bare snakke
om hvor viktig det er at de har oppdaterte kart.  Det bør være
viktigere for staten at båtene &lt;strong&gt;har&lt;/strong&gt; oppdaterte kart
enn at de er pålagt å ha oppdaterte kart.&lt;/p&gt;

&lt;p&gt;Sjøkartene er &lt;a href=&quot;http://kart.kystverket.no/&quot;&gt;tilgjengelig på web
fra kystverket&lt;/a&gt;, men så vidt jeg har klart å finne, uten
bruksvilkår som muliggjør gjenbruk uten bruksbegresninger.&lt;/p&gt;

&lt;p&gt;OpenStreetmap.org-folk er lei av mangel på sjøkart, og har startet
på et dugnadsbasert fribrukskart for havet,
&lt;a href=&quot;http://openseamap.org/&quot;&gt;OpenSeaMap&lt;/a&gt;.  Datagrunnlaget er
OpenStreetmap, mens framvisningen er tilpasset bruk på sjøen.  Det
gjenstår mye før en kan bruke dette til å seile sikkert på havet, men
det viser at behovet for fribruks-sjøkart er til stedet.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Jeg vil ikke ha BankID</title>
                <link>http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html</guid>
                <pubDate>Fri, 30 Oct 2009 13:05:00 +0100</pubDate>
                <description>&lt;p&gt;Min hovedbankforbindelse,
&lt;a href=&quot;http://www.postbanken.no/&quot;&gt;Postbanken&lt;/a&gt;, har fra 1. oktober
blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
for &lt;a href=&quot;https://www.bankid.no/&quot;&gt;BankID&lt;/a&gt; og går over til å
bruke BankID for tilgangskontroll.  Tidligere kunne jeg bruke en
kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
lenger mulig.  Jeg blokkeres ute fra nettbanken og mine egne penger
hvis jeg ikke godtar det jeg anser som urimelige vilkår i
BankID-avtalen.&lt;/p&gt;

&lt;p&gt;BankID er en løsning der banken gis rett til å handle på vegne av
meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
bedt banken gjøre dette.  BankID kan brukes til å signere avtaler,
oppta lån og andre handlinger som har alvorlige følger for meg.
Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
all informasjon og tilgang som den trenger for å bruke BankID, også
uten at jeg er involvert.  Avtalemessing og juridisk skal de kun bruke
min BankID når jeg har oppgitt pinkode og passord, men praktisk og
konkret kan de gjøre dette også uten at min pinkode eller mitt passord
er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
(eller kan skaffe seg det ved behov).  Jeg ønsker ikke å gi banken
rett til å inngå avtaler på vegne av meg.&lt;/p&gt;

&lt;p&gt;Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
offentlig nøkkel, der den private nøkkelen er nødvendig for å
&quot;signere&quot; på vegne av den nøkkelen gjelder for, og den offentlige
nøkkelen er nødvendig for å sjekke hvem som har signert.  Banken
sitter på både den private og den offentlige nøkkelen, og sier de kun
skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
passord.&lt;/p&gt;


&lt;p&gt;I postbankens
&lt;a href=&quot;https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf&quot;&gt;vilkår
for BankID&lt;/a&gt; står følgende:&lt;/p&gt;

&lt;blockquote&gt;
  &lt;p&gt;&quot;6. Anvendelsesområdet for BankID&lt;/p&gt;

  &lt;p&gt;PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
  avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
  identifisering og signering i forbindelse med elektronisk
  meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
  elektronisk kommunikasjon med Banken og andre brukersteder som har
  tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
  har inngått avtale med bank om bruk av BankID.&quot;&lt;/p&gt;
&lt;/blockquote&gt;

&lt;p&gt;Det er spesielt retten til &quot;avtaleinngåelse&quot; jeg synes er urimelig
å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
også retten til å kommunisere på vegne av meg med andre brukersteder og
signering av meldinger synes jeg er problematisk.  Jeg må godta at
banken skal kunne signere for meg på avtaler og annen kommunikasjon
for å få BankID.&lt;/p&gt;

&lt;p&gt;På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
banken rett til å inngå avtaler på vegne av meg svarer Postbankens
kundestøtte at &quot;Postbanken har valgt BankID for bl.a. pålogging i
nettbank , så her må du nok ha hele denne løsningen&quot;.  Jeg nektes
altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
signere avtaler på vegne av meg.&lt;/p&gt;

&lt;p&gt;Postbankens kundestøtte sier videre at &quot;Det har blitt et krav til
alle norske banker om å innføre BankID, bl.a på grunn av
sikkerhet&quot;, uten at jeg her helt sikker på hvem som har framsatt
dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
fastsatt av &lt;a href=&quot;http://www.kredittilsynet.no/&quot;&gt;kreditttilsynet&lt;/a&gt;
og &lt;a href=&quot;http://www.bbs.no/&quot;&gt;BBS&lt;/a&gt;.]  Det som er situasjonen er
dog at det er svært få banker igjen som ikke bruker BankID, og jeg
vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
gi banken rett til å signere avtaler på mine vegne.&lt;/p&gt;

&lt;p&gt;Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
bruk BankID.  Ved nettbankbruk er det begrenset hvor store skader som
kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
begrensing.&lt;/p&gt;

&lt;p&gt;Jeg har klaget vilkårene inn for &lt;a
href=&quot;http://www.forbrukerombudet.no/&quot;&gt;forbrukerombudet&lt;/a&gt;, men
regner ikke med at de vil kunne bidra til en rask løsning som gir meg
nettbankkontroll over egne midler. :(
</description>
        </item>
        
        <item>
                <title>Sikkerhet, teater, og hvordan gjøre verden sikrere</title>
                <link>http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj_re_verden_sikrere.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj_re_verden_sikrere.html</guid>
                <pubDate>Wed, 30 Dec 2009 16:35:00 +0100</pubDate>
                <description>&lt;p&gt;Via Slashdot fant jeg en
&lt;a href=&quot;http://www.cnn.com/2009/OPINION/12/29/schneier.air.travel.security.theater/index.html&quot;&gt;nydelig
kommentar fra Bruce Schneier&lt;/a&gt; som ble publisert hos CNN i går.  Den
forklarer forbilledlig hvorfor sikkerhetsteater og innføring av
totalitære politistatmetoder ikke er løsningen for å gjøre verden
sikrere.  Anbefales på det varmeste.&lt;/p&gt;

&lt;p&gt;Oppdatering: Kom over
&lt;a href=&quot;http://gizmodo.com/5435675/president-obama-its-time-to-fire-the-tsa&quot;&gt;nok
en kommentar&lt;/a&gt; om den manglende effekten av dagens sikkerhetsteater
på flyplassene.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Great book: &quot;Content: Selected Essays on Technology, Creativity, Copyright, and the Future of the Future&quot;</title>
                <link>http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</guid>
                <pubDate>Mon, 19 Apr 2010 17:10:00 +0200</pubDate>
                <description>&lt;p&gt;The last few weeks i have had the pleasure of reading a
thought-provoking collection of essays by Cory Doctorow, on topics
touching copyright, virtual worlds, the future of man when the
conscience mind can be duplicated into a computer and many more. The
book titled &quot;Content: Selected Essays on Technology, Creativity,
Copyright, and the Future of the Future&quot; is available with few
restrictions on the web, for example from
&lt;a href=&quot;http://craphound.com/content/&quot;&gt;his own site&lt;/a&gt;. I read the
epub-version from
&lt;a href=&quot;http://www.feedbooks.com/book/2883&quot;&gt;feedbooks&lt;/a&gt; using
&lt;a href=&quot;http://www.fbreader.org/&quot;&gt;fbreader&lt;/a&gt; and my N810. I
strongly recommend this book.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Forcing new users to change their password on first login</title>
                <link>http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</guid>
                <pubDate>Sun, 2 May 2010 13:47:00 +0200</pubDate>
                <description>&lt;p&gt;One interesting feature in Active Directory, is the ability to
create a new user with an expired password, and thus force the user to
change the password on the first login attempt.&lt;/p&gt;

&lt;p&gt;I&#39;m not quite sure how to do that with the LDAP setup in Debian
Edu, but did some initial testing with a local account.  The account
and password aging information is available in /etc/shadow, but
unfortunately, it is not possible to specify an expiration time for
passwords, only a maximum age for passwords.&lt;/p&gt;

&lt;p&gt;A freshly created account (using adduser test) will have these
settings in /etc/shadow:&lt;/p&gt;

&lt;blockquote&gt;&lt;pre&gt;
root@tjener:~# chage -l test
Last password change                                    : May 02, 2010
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7
root@tjener:~#
&lt;/pre&gt;&lt;/blockquote&gt;

&lt;p&gt;The only way I could come up with to create a user with an expired
account, is to change the date of the last password change to the
lowest value possible (January 1th 1970), and the maximum password age
to the difference in days between that date and today.  To make it
simple, I went for 30 years (30 * 365 = 10950) and January 2th (to
avoid testing if 0 is a valid value).&lt;/p&gt;

&lt;p&gt;After using these commands to set it up, it seem to work as
intended:&lt;/p&gt;

&lt;blockquote&gt;&lt;pre&gt;
root@tjener:~# chage -d 1 test; chage -M 10950 test
root@tjener:~# chage -l test
Last password change                                    : Jan 02, 1970
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 10950
Number of days of warning before password expires       : 7
root@tjener:~#  
&lt;/pre&gt;&lt;/blockquote&gt;

&lt;p&gt;So far I have tested this with ssh and console, and kdm (in
Squeeze) login, and all ask for a new password before login in the
user (with ssh, I was thrown out and had to log in again).&lt;/p&gt;

&lt;p&gt;Perhaps we should set up something similar for Debian Edu, to make
sure only the user itself have the account password?&lt;/p&gt;

&lt;p&gt;If you want to comment on or help out with implementing this for
Debian Edu, please contact us on debian-edu@lists.debian.org.&lt;/p&gt;

&lt;p&gt;Update 2010-05-02 17:20: Paul Tötterman tells me on IRC that the
shadow(8) page in Debian/testing now state that setting the date of
last password change to zero (0) will force the password to be changed
on the first login.  This was not mentioned in the manual in Lenny, so
I did not notice this in my initial testing.  I have tested it on
Squeeze, and &#39;&lt;tt&gt;chage -d 0 username&lt;/tt&gt;&#39; do work there.  I have not
tested it on Lenny yet.&lt;/p&gt;

&lt;p&gt;Update 2010-05-02-19:05: Jim Paris tells me via email that an
equivalent command to expire a password is &#39;&lt;tt&gt;passwd -e
username&lt;/tt&gt;&#39;, which insert zero into the date of the last password
change.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Magnetstripeinnhold i billetter fra Flytoget og Hurtigruten</title>
                <link>http://people.skolelinux.org/pere/blog/Magnetstripeinnhold_i_billetter_fra_Flytoget_og_Hurtigruten.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Magnetstripeinnhold_i_billetter_fra_Flytoget_og_Hurtigruten.html</guid>
                <pubDate>Fri, 21 May 2010 16:00:00 +0200</pubDate>
                <description>&lt;p&gt;For en stund tilbake kjøpte jeg en magnetkortleser for å kunne
titte på hva som er skrevet inn på magnetstripene til ulike kort.  Har
ikke hatt tid til å analysere mange kort så langt, men tenkte jeg
skulle dele innholdet på to kort med mine lesere.&lt;/p&gt;

&lt;p&gt;For noen dager siden tok jeg flyet til Harstad og Hurtigruten til
Bergen.  Flytoget fra Oslo S til flyplassen ga meg en billett med
magnetstripe.  Påtrykket finner jeg følgende informasjon:&lt;/p&gt;

&lt;pre&gt;
Flytoget Airport Express Train

Fra - Til        : Oslo Sentralstasjon
Kategori         : Voksen
Pris             : Nok 170,00
Herav mva. 8,00% : NOK 12,59
Betaling         : Kontant
Til - Fra        : Oslo Lufthavn
Utstedt:         : 08.05.10
Gyldig Fra-Til   : 08.05.10-07.11.10
Billetttype      : Enkeltbillett

102-1015-100508-48382-01-08
&lt;/pre&gt;

&lt;p&gt;På selve magnetstripen er innholdet
&lt;tt&gt;;E?+900120011=23250996541068112619257138248441708433322932704083389389062603279671261502492655?&lt;/tt&gt;.
Aner ikke hva innholdet representerer, og det er lite overlapp mellom
det jeg ser trykket på billetten og det jeg ser av tegn i
magnetstripen.  Håper det betyr at de bruker kryptografiske metoder
for å gjøre det vanskelig å forfalske billetter.&lt;/p&gt;

&lt;p&gt;Den andre billetten er fra Hurtigruten, der jeg mistenker at
strekkoden på fronten er mer brukt enn magnetstripen (det var i hvert
fall den biten vi stakk inn i dørlåsen).&lt;/p&gt;

&lt;p&gt;Påtrykket forsiden er følgende:&lt;/p&gt;

&lt;pre&gt;
Romnummer 727
Hurtigruten
Midnatsol
Reinholdtsen
Petter
Bookingno: SAX69   0742193
Harstad-Bergen
Dep: 09.05.2010 Arr: 12.05.2010
Lugar fra Risøyhamn
Kost: FRO=4
&lt;/pre&gt;

&lt;p&gt;På selve magnetstripen er innholdet
&lt;tt&gt;;1316010007421930=00000000000000000000?+E?&lt;/tt&gt;.  Heller ikke her
ser jeg mye korrespondanse mellom påtrykk og magnetstripe.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Åpne trådløsnett er et samfunnsgode</title>
                <link>http://people.skolelinux.org/pere/blog/_pne_tr_dl_snett_er_et_samfunnsgode.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/_pne_tr_dl_snett_er_et_samfunnsgode.html</guid>
                <pubDate>Sat, 12 Jun 2010 12:45:00 +0200</pubDate>
                <description>&lt;p&gt;Veldig glad for å oppdage via
&lt;a href=&quot;http://yro.slashdot.org/story/10/06/11/1841256/Finland-To-Legalize-Use-of-Unsecured-Wi-Fi&quot;&gt;Slashdot&lt;/a&gt;
at folk i Finland har forstått at åpne trådløsnett er et samfunnsgode.
Jeg ser på åpne trådløsnett som et fellesgode på linje med retten til
ferdsel i utmark og retten til å bevege seg i strandsonen.  Jeg har
glede av åpne trådløsnett når jeg finner dem, og deler gladelig nett
med andre så lenge de ikke forstyrrer min bruk av eget nett.
Nettkapasiteten er sjelden en begrensning ved normal browsing og enkel
SSH-innlogging (som er min vanligste nettbruk), og nett kan brukes til
så mye positivt og nyttig (som nyhetslesing, sjekke været, kontakte
slekt og venner, holde seg oppdatert om politiske saker, kontakte
organisasjoner og politikere, etc), at det for meg er helt urimelig å
blokkere dette for alle som ikke gjør en flue fortred.  De som mener
at potensialet for misbruk er grunn nok til å hindre all den positive
og lovlydige bruken av et åpent trådløsnett har jeg dermed ingen
forståelse for.  En kan ikke eksistensen av forbrytere styre hvordan
samfunnet skal organiseres.  Da får en et kontrollsamfunn de færreste
ønsker å leve i, og det at vi har et samfunn i Norge der tilliten til
hverandre er høy gjør at samfunnet fungerer ganske godt.  Det bør vi
anstrenge oss for å beholde.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>One step closer to single signon in Debian Edu</title>
                <link>http://people.skolelinux.org/pere/blog/One_step_closer_to_single_signon_in_Debian_Edu.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/One_step_closer_to_single_signon_in_Debian_Edu.html</guid>
                <pubDate>Sun, 25 Jul 2010 10:00:00 +0200</pubDate>
                <description>&lt;p&gt;The last few months me and the other Debian Edu developers have
been working hard to get the Debian/Squeeze based version of Debian
Edu/Skolelinux into shape.  This future version will use Kerberos for
authentication, and services are slowly migrated to single signon,
getting rid of password questions one at the time.&lt;/p&gt;

&lt;p&gt;It will also feature a roaming workstation profile with local home
directory, for laptops that are only some times on the Skolelinux
network, and for this profile a shortcut is created in Gnome and KDE
to gain access to the users home directory on the file server.  This
shortcut uses SMB at the moment, and yesterday I had time to test if
SMB mounting had started working in KDE after we added the cifs-utils
package.  I was pleasantly surprised how well it worked.&lt;/p&gt;

&lt;p&gt;Thanks to the recent changes to our samba configuration to get it
to use Kerberos for authentication, there were no question about user
password when mounting the SMB volume.  A simple click on the shortcut
in the KDE menu, and a window with the home directory popped
up. :)&lt;/p&gt;

&lt;p&gt;One step closer to a single signon solution out of the box in
Debian Edu.  We already had PAM, LDAP, IMAP and SMTP in place, and now
also Samba.  Next step is Cups and hopefully also NFS.&lt;/p&gt;

&lt;p&gt;We had planned a alpha0 release of Debian Edu for today, but thanks
to the autobuilder administrators for some architectures being slow to
sign packages, we are still missing the fixed LTSP package we need for
the release.  It was uploaded three days ago with urgency=high, and if
it had entered testing yesterday we would have been able to test it in
time for a alpha0 release today.  As the binaries for ia64 and powerpc
still not uploaded to the Debian archive, we need to delay the alpha
release another day.&lt;/p&gt;

&lt;p&gt;If you want to help out with implementing Kerberos for Debian Edu,
please contact us on debian-edu@lists.debian.org.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Rob Weir: How to Crush Dissent</title>
                <link>http://people.skolelinux.org/pere/blog/Rob_Weir__How_to_Crush_Dissent.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Rob_Weir__How_to_Crush_Dissent.html</guid>
                <pubDate>Sun, 15 Aug 2010 22:20:00 +0200</pubDate>
                <description>&lt;p&gt;I found the notes from Rob Weir on
&lt;a href=&quot;http://feedproxy.google.com/~r/robweir/antic-atom/~3/VGb23-kta8c/how-to-crush-dissent.html&quot;&gt;how
to crush dissent&lt;/a&gt; matching my own thoughts on the matter quite
well.  Highly recommended for those wondering which road our society
should go down.  In my view we have been heading the wrong way for a
long time.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Elektronisk stemmegiving er ikke til å stole på - heller ikke i Norge</title>
                <link>http://people.skolelinux.org/pere/blog/Elektronisk_stemmegiving_er_ikke_til___stole_p____heller_ikke_i_Norge.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Elektronisk_stemmegiving_er_ikke_til___stole_p____heller_ikke_i_Norge.html</guid>
                <pubDate>Mon, 23 Aug 2010 19:30:00 +0200</pubDate>
                <description>&lt;p&gt;I Norge pågår en prosess for å
&lt;a href=&quot;http://www.e-valg.dep.no/&quot;&gt;innføre elektronisk
stemmegiving&lt;/a&gt; ved kommune- og stortingsvalg.  Dette skal
introduseres i 2011.  Det er all grunn til å tro at valg i Norge ikke
vil være til å stole på hvis dette blir gjennomført.  Da det hele var
oppe til høring i 2006 forfattet jeg
&lt;a href=&quot;http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf&quot;&gt;en
høringsuttalelse fra NUUG&lt;/a&gt; (og EFN som hengte seg på) som skisserte
hvilke punkter som må oppfylles for at en skal kunne stole på et valg,
og elektronisk stemmegiving mangler flere av disse.  Elektronisk
stemmegiving er for alle praktiske formål å putte ens stemme i en sort
boks under andres kontroll, og satse på at de som har kontroll med
boksen er til å stole på - uten at en har mulighet til å verifisere
dette selv.  Det er ikke slik en gjennomfører demokratiske valg.&lt;/p&gt;

&lt;p&gt;Da problemet er fundamentalt med hvordan elektronisk stemmegiving
må fungere for at også ikke-krypografer skal kunne delta, har det vært
mange rapporter om hvordan elektronisk stemmegiving har sviktet i land
etter land.  En
&lt;a href=&quot;http://wiki.nuug.no/uttalelser/2006-elektronisk-stemmegiving&quot;&gt;liten
samling referanser&lt;/a&gt; finnes på NUUGs wiki.  Den siste er fra India,
der valgkomisjonen har valgt
&lt;a href=&quot;http://www.freedom-to-tinker.com/blog/jhalderm/electronic-voting-researcher-arrested-over-anonymous-source&quot;&gt;å
pusse politiet på en forsker&lt;/a&gt; som har dokumentert svakheter i
valgsystemet.&lt;/p&gt;

&lt;p&gt;Her i Norge har en valgt en annen tilnærming, der en forsøker seg
med teknobabbel for å få befolkningen til å tro at dette skal bli
sikkert.  Husk, elektronisk stemmegiving underminerer de demokratiske
valgene i Norge, og bør ikke innføres.&lt;/p&gt;

&lt;p&gt;Den offentlige diskusjonen blir litt vanskelig av at media har
valgt å kalle dette &quot;evalg&quot;, som kan sies å både gjelde elektronisk
opptelling av valget som Norge har gjort siden 60-tallet og som er en
svært god ide, og elektronisk opptelling som er en svært dårlig ide.
Diskusjonen gir ikke mening hvis en skal diskutere om en er for eller
mot &quot;evalg&quot;, og jeg forsøker derfor å være klar på at jeg snakker om
elektronisk stemmegiving og unngå begrepet &quot;evalg&quot;.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Sikkerhetsteateret på flyplassene fortsetter</title>
                <link>http://people.skolelinux.org/pere/blog/Sikkerhetsteateret_p__flyplassene_fortsetter.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Sikkerhetsteateret_p__flyplassene_fortsetter.html</guid>
                <pubDate>Sat, 28 Aug 2010 10:40:00 +0200</pubDate>
                <description>&lt;p&gt;Jeg skrev for et halvt år siden hvordan
&lt;a href=&quot;http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html&quot;&gt;samfunnet
kaster bort ressurser på sikkerhetstiltak som ikke fungerer&lt;/a&gt;.  Kom
nettopp over en
&lt;a href=&quot;http://www.askthepilot.com/essays-and-stories/terrorism-tweezers-and-terminal-madness-an-essay-on-security/&quot;&gt;historie
fra en pilot fra USA&lt;/a&gt; som kommenterer det samme.  Jeg mistenker det
kun er uvitenhet og autoritetstro som gjør at så få protesterer.  Har
veldig sans for piloten omtalt i &lt;a
href=&quot;http://www.aftenposten.no/nyheter/iriks/article2057501.ece&quot;&gt;Aftenposten&lt;/a&gt; 2007-10-23,
og skulle ønske flere rettet oppmerksomhet mot problemet.  Det gir
ikke meg trygghetsfølelse på flyplassene når jeg ser at
flyplassadministrasjonen kaster bort folk, penger og tid på tull i
stedet for ting som bidrar til reell økning av sikkerheten.  Det
forteller meg jo at vurderingsevnen til de som burde bidra til økt
sikkerhet er svært sviktende, noe som ikke taler godt for de andre
tiltakene.&lt;/p&gt;

&lt;p&gt;Mon tro hva som skjer hvis det fantes en enkel brosjyre å skrive ut
fra Internet som forklarte hva som er galt med sikkerhetsopplegget på
flyplassene, og folk skrev ut og la en bunke på flyplassene når de
passerte.  Kanskje det ville fått flere til å få øynene opp for
problemet.&lt;/p&gt;

&lt;p&gt;Personlig synes jeg flyopplevelsen er blitt så avskyelig at jeg
forsøker å klare meg med tog, bil og båt for å slippe ubehaget.  Det
er dog noe vanskelig i det langstrakte Norge og for å kunne besøke de
delene av verden jeg ønsker å nå.  Mistenker at flere har det slik, og
at dette går ut over inntjeningen til flyselskapene.  Det er antagelig
en god ting sett fra et miljøperspektiv, men det er en annen sak.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Forslag i stortinget om å stoppe elektronisk stemmegiving i Norge</title>
                <link>http://people.skolelinux.org/pere/blog/Forslag_i_stortinget_om___stoppe_elektronisk_stemmegiving_i_Norge.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Forslag_i_stortinget_om___stoppe_elektronisk_stemmegiving_i_Norge.html</guid>
                <pubDate>Tue, 31 Aug 2010 21:00:00 +0200</pubDate>
                <description>&lt;p&gt;Ble tipset i dag om at et forslag om å stoppe forsøkene med
elektronisk stemmegiving utenfor valglokaler er
&lt;a href=&quot;http://www.stortinget.no/no/Saker-og-publikasjoner/Saker/Sak/?p=46616&quot;&gt;til
behandling&lt;/a&gt; i Stortinget.
&lt;a href=&quot;http://www.stortinget.no/Global/pdf/Representantforslag/2009-2010/dok8-200910-128.pdf&quot;&gt;Forslaget&lt;/a&gt;
er fremmet av Erna Solberg, Michael Tetzschner og Trond Helleland.&lt;/p&gt;

&lt;p&gt;Håper det får flertall.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Anonym ferdsel er en menneskerett</title>
                <link>http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html</guid>
                <pubDate>Wed, 15 Sep 2010 12:15:00 +0200</pubDate>
                <description>&lt;p&gt;Debatten rundt sporveiselskapet i Oslos (Ruter AS) ønske om
&lt;a href=&quot;http://www.aftenposten.no/nyheter/iriks/article3808135.ece&quot;&gt;å
radiomerke med RFID&lt;/a&gt; alle sine kunder og
&lt;a href=&quot;http://www.aftenposten.no/nyheter/article3809746.ece&quot;&gt;registerere
hvor hver og en av oss beveger oss&lt;/a&gt; pågår, og en ting som har
kommet lite frem i debatten er at det faktisk er en menneskerett å
kunne ferdes anonymt internt i ens eget land.&lt;/p&gt;

&lt;p&gt;Fant en grei kilde for dette i et
&lt;a href=&quot;http://www.datatilsynet.no/upload/Microsoft%20Word%20-%2009-01399-2%20H+%C2%A9ringsnotat%20-%20Samferdselsdepartementet%20-%20Utkas%C3%94%C3%87%C2%AA.pdf&quot;&gt;skriv
fra Datatilsynet&lt;/a&gt; til Samferdselsdepartementet om tema:&lt;/p&gt;

&lt;blockquote&gt;&lt;p&gt;Retten til å ferdes anonymt kan utledes av
menneskerettskonvensjonen artikkel 8 og av EUs personverndirektiv.
Her heter det at enkeltpersoners grunnleggende rettigheter og frihet
må respekteres, særlig retten til privatlivets fred.  I både
personverndirektivet og i den norske personopplysningsloven er
selvråderetten til hver enkelt et av grunnprinsippene, hovedsaklig
uttrykt ved at en må gi et frivillig, informert og uttrykkelig
samtykke til behandling av personopplysninger.&lt;/p&gt;&lt;/blockquote&gt;

&lt;p&gt;For meg er det viktig at jeg kan ferdes anonymt, og det er litt av
bakgrunnen til at jeg handler med kontanter, ikke har mobiltelefon og
forventer å kunne reise med bil og kollektivtrafikk uten at det blir
registrert hvor jeg har vært.  Ruter angriper min rett til å ferdes
uten radiopeiler med sin innføring av RFID-kort, og dokumenterer sitt
ønske om å registrere hvor kundene befant seg ved å ønske å gebyrlegge
oss som ikke registrerer oss hver gang vi beveger oss med
kollektivtrafikken i Oslo.  Jeg synes det er hårreisende.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Bilkollektivet vil ha retten til å se hvor jeg kjører...</title>
                <link>http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til___se_hvor_jeg_kj_rer___.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til___se_hvor_jeg_kj_rer___.html</guid>
                <pubDate>Thu, 23 Sep 2010 11:55:00 +0200</pubDate>
                <description>&lt;p&gt;Jeg er med i
&lt;a href=&quot;http://www.bilkollektivet.no/&quot;&gt;Bilkollektivet&lt;/a&gt; her i Oslo,
og har inntil i dag vært fornøyd med opplegget.  I dag kom det brev
fra bilkollektivet, der de forteller om nytt webopplegg og nye
rutiner, og at de har tenkt å angripe min rett til å ferdes anonymt
som bruker av Bilkollektivet.  Det gjorde meg virkelig trist å
lese.&lt;/p&gt;

&lt;p&gt;Brevet datert 2010-09-16 forteller at Bilkollektivet har tenkt å gå
over til biler med &quot;bilcomputer&quot; og innebygget sporings-GPS som lar
administrasjonen i bilkollektivet se hvor bilene er til en hver tid,
noe som betyr at de også kan se hvor jeg kjører når jeg bruker
Bilkollektivet.
&lt;a href=&quot;http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html&quot;&gt;Retten
til å ferdes anonymt&lt;/a&gt; er som tidligere nevnt viktig for meg, og jeg
finner det uakseptabelt å måtte godta å bli radiomerket for å kunne
bruke bil.  Har ikke satt meg inn i hva som er historien for denne
endringen, så jeg vet ikke om det er godkjent av
f.eks. andelseiermøtet.  Ser at
&lt;a href=&quot;http://www.bilkollektivet.no/bilbruksregler.26256.no.html&quot;&gt;nye
bilbruksregler&lt;/a&gt; med følgende klausul ble vedtatt av styret
2010-08-26:&lt;/p&gt;

&lt;blockquote&gt;&lt;p&gt;Andelseier er med dette gjort kjent med at bilene er
utstyrt med sporingsutstyr, som kan benyttes av Bilkollektivet til å
spore biler som brukes utenfor gyldig reservasjon.&lt;/p&gt;&lt;/blockquote&gt;

&lt;p&gt;For meg er det prinsipielt uakseptabelt av Bilkollektivet å skaffe
seg muligheten til å se hvor jeg befinner meg, og det er underordnet
når informasjonen blir brukt og hvem som får tilgang til den.  Får se
om jeg har energi til å forsøke å endre planene til Bilkollektivet
eller bare ser meg om etter alternativer.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Datatilsynet svarer om Bilkollektivets ønske om GPS-sporing</title>
                <link>http://people.skolelinux.org/pere/blog/Datatilsynet_svarer_om_Bilkollektivets__nske_om_GPS_sporing.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Datatilsynet_svarer_om_Bilkollektivets__nske_om_GPS_sporing.html</guid>
                <pubDate>Thu, 14 Oct 2010 15:00:00 +0200</pubDate>
                <description>&lt;p&gt;I forbindelse med Bilkollektivets plan om å skaffe seg mulighet til
å GPS-spore sine medlemmers bevegelser
(&lt;a href=&quot;http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til____se_hvor_jeg_kj__rer___.html&quot;&gt;omtalt
tidligere&lt;/a&gt;), sendte jeg avgårde et spørsmål til &lt;a
href=&quot;http://www.datatilsynet.no/&quot;&gt;Datatilsynet&lt;/a&gt; for å gjøre dem
oppmerksom på saken og høre hva de hadde å si.  Her er korrespondansen
så langt.&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
Date: Thu, 23 Sep 2010 13:38:55 +0200
&lt;br&gt;From: Petter Reinholdtsen
&lt;br&gt;To: postkasse@datatilsynet.no
&lt;br&gt;Subject: GPS-sporing av privatpersoners bruk av bil?

&lt;p&gt;Hei.  Jeg er med i Bilkollektivet[1] her i Oslo, og ble i dag
orientert om at de har tenkt å innføre GPS-sporing av bilene og krever
at en for fremtidig bruk skal godkjenne følgende klausul i
bruksvilkårene[2]:&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
  Andelseier er med dette gjort kjent med at bilene er utstyrt med
  sporingsutstyr, som kan benyttes av Bilkollektivet til å spore biler
  som brukes utenfor gyldig reservasjon.
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Er slik sporing meldepliktig til datatilsynet?  Har Bilkollektivet
meldt dette til Datatilsynet?  Forsøkte å søke på orgnr. 874 538 892
på søkesiden for meldinger[3], men fant intet der.&lt;/p&gt;

&lt;p&gt;Hva er datatilsynets syn på slik sporing av privatpersoners bruk av
bil?&lt;/p&gt;

&lt;p&gt;Jeg må innrømme at jeg forventer å kunne ferdes anonymt og uten
radiomerking i Norge, og synes GPS-sporing av bilen jeg ønsker å bruke
i så måte er et overgrep mot privatlivets fred.  For meg er det et
prinsipielt spørsmål og det er underordnet hvem og med hvilket formål
som i første omgang sies å skulle ha tilgang til
sporingsinformasjonen.  Jeg vil ikke ha mulighet til å sjekke eller
kontrollere når bruksområdene utvides, og erfaring viser jo at
bruksområder utvides når informasjon først er samlet inn.&lt;p&gt;

&lt;p&gt;1 &amp;lt;URL: http://www.bilkollektivet.no/ &gt;
&lt;br&gt;2 &amp;lt;URL: http://www.bilkollektivet.no/bilbruksregler.26256.no.html &gt;
&lt;br&gt;3 &amp;lt;URL: http://hetti.datatilsynet.no/melding/report_search.pl &gt;

&lt;p&gt;Vennlig hilsen,
&lt;br&gt;--
&lt;br&gt;Petter Reinholdtsen
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Svaret fra Datatilsynet kom dagen etter:&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
Date: Fri, 24 Sep 2010 11:24:17 +0200
&lt;br&gt;From: Henok Tesfazghi
&lt;br&gt;To: Petter Reinholdtsen
&lt;br&gt;Subject: VS: GPS-sporing av privatpersoners bruk av bil?

&lt;p&gt;Viser til e-post av 23. september 2010.&lt;/p&gt;

&lt;p&gt;Datatilsynet er det forvaltningsorganet som skal kontrollere at
personopplysningsloven blir fulgt. Formålet med loven er å verne
enkeltpersoner mot krenking av personvernet gjennom behandling av
personopplysninger. Vi gjør oppmerksom på at vår e-post svartjeneste
er ment å være en kortfattet rådgivningstjeneste, slik at vi av den
grunn ikke kan konkludere i din sak, men gi deg innledende råd og
veiledning. Vårt syn er basert på din fremstilling av saksforholdet,
andre opplysninger vi eventuelt ikke kjenner til og som kan være
relevante, vil kunne medføre et annet resultat.&lt;/p&gt;

&lt;p&gt;Det er uklart for Datatilsynet hva slags GPS-sporing Bilkollektivet
her legger opp til. Dette skyldes blant annet manglende informasjon i
forhold til hvilket formål GPS-sporingen har, hvordan det er ment å
fungere, hvilket behandlingsgrunnlag som ligger til grunn, samt om
opplysningene skal lagres eller ikke.&lt;/p&gt;

&lt;p&gt;Behandlingen vil i utgangspunket være meldepliktig etter
personopplysningslovens § 31. Det finnes en rekke unntak fra
meldeplikten som er hjemlet i personopplysningsforskriftens kapittel
7. Da dette er et andelslag, og andelseiere i en utstrekning også kan
karakteriseres som kunder, vil unntak etter
personopplysningsforskriftens § 7-7 kunne komme til anvendelse, se
lenke: &lt;a href=&quot;http://lovdata.no/for/sf/fa/ta-20001215-1265-009.html#7-7&quot;&gt;http://lovdata.no/for/sf/fa/ta-20001215-1265-009.html#7-7&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;Datatilsynet har til orientering en rekke artikler som omhandler
henholdsvis sporing og lokalisering, samt trafikanter og passasjerer,
se lenke:
&lt;br&gt;&lt;a href=&quot;http://www.datatilsynet.no/templates/article____1730.aspx&quot;&gt;http://www.datatilsynet.no/templates/article____1730.aspx&lt;/a&gt; og
&lt;br&gt;&lt;a href=&quot;http://www.datatilsynet.no/templates/article____1098.aspx&quot;&gt;http://www.datatilsynet.no/templates/article____1098.aspx&lt;/a&gt;&lt;/p&gt;


&lt;p&gt;Vennlig hilsen
&lt;br&gt;Henok Tesfazghi
&lt;br&gt;Rådgiver, Datatilsynet
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Vet ennå ikke om jeg har overskudd til å ta opp kampen i
Bilkollektivet, mellom barnepass og alt det andre som spiser opp
dagene, eller om jeg bare finner et annet alternativ.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Datatilsynet mangler verktøyet som trengs for å kontrollere kameraovervåkning</title>
                <link>http://people.skolelinux.org/pere/blog/Datatilsynet_mangler_verkt_yet_som_trengs_for___kontrollere_kameraoverv_kning.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Datatilsynet_mangler_verkt_yet_som_trengs_for___kontrollere_kameraoverv_kning.html</guid>
                <pubDate>Tue, 9 Nov 2010 14:35:00 +0100</pubDate>
                <description>&lt;p&gt;En stund tilbake ble jeg oppmerksom på at Datatilsynets verktøy for
å holde rede på overvåkningskamera i Norge ikke var egnet til annet
enn å lage statistikk, og ikke kunne brukes for å kontrollere om et
overvåkningskamera i det offentlige rom er lovlig satt opp og
registrert.  For å teste hypotesen sendte jeg for noen dager siden
følgende spørsmål til datatilsynet.  Det omtalte kameraet står litt
merkelig plassert i veigrøften ved gangstien langs Sandakerveien, og
jeg lurer oppriktig på om det er lovlig plassert og registrert.&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
&lt;p&gt;Date: Tue, 2 Nov 2010 16:08:20 +0100
&lt;br&gt;From: Petter Reinholdtsen &amp;lt;pere (at) hungry.com&amp;gt;
&lt;br&gt;To: postkasse (at) datatilsynet.no
&lt;br&gt;Subject: Er overvåkningskameraet korrekt registrert?&lt;/p&gt;

&lt;p&gt;Hei.&lt;/p&gt;

&lt;p&gt;I Nydalen i Oslo er det mange overvåkningskamera, og et av dem er
spesielt merkelig plassert like over et kumlokk.  Jeg lurer på om
dette kameraet er korrekt registrert og i henhold til lovverket.&lt;/p&gt;

&lt;p&gt;Finner ingen eierinformasjon på kameraet, og dermed heller ingenting å
søke på i &amp;lt;URL:
&lt;a href=&quot;http://hetti.datatilsynet.no/melding/report_search.pl&quot;&gt;http://hetti.datatilsynet.no/melding/report_search.pl&lt;/a&gt; &amp;gt;.
Kartreferanse for kameraet er tilgjengelig fra
&amp;lt;URL:
&lt;a href=&quot;http://people.skolelinux.no/pere/surveillance-norway/?zoom=17&amp;lat=59.94918&amp;lon=10.76962&amp;layers=B0T&quot;&gt;http://people.skolelinux.no/pere/surveillance-norway/?zoom=17&amp;lat=59.94918&amp;lon=10.76962&amp;layers=B0T&lt;/a&gt; &amp;gt;.

&lt;p&gt;Kan dere fortelle meg om dette kameraet er registrert hos
Datatilsynet som det skal være i henhold til lovverket?&lt;/p&gt;

&lt;p&gt;Det hadde forresten vært fint om rådata fra kameraregisteret var
tilgjengelig på web og regelmessig oppdatert, for å kunne søke på
andre ting enn organisasjonsnavn og -nummer ved å laste det ned og
gjøre egne søk.&lt;/p&gt;

&lt;p&gt;Vennlig hilsen,
&lt;br&gt;--
&lt;br&gt;Petter Reinholdtsen
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Her er svaret som kom dagen etter:&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
&lt;p&gt;Date: Wed, 3 Nov 2010 14:44:09 +0100
&lt;br&gt;From: &quot;juridisk&quot; &amp;lt;juridisk (at) Datatilsynet.no&amp;gt;
&lt;br&gt;To: Petter Reinholdtsen
&lt;br&gt;Subject: VS: Er overvåkningskameraet korrekt registrert?

&lt;p&gt;Viser til e-post av 2. november.

&lt;p&gt;Datatilsynet er det forvaltningsorganet som skal kontrollere at
personopplysningsloven blir fulgt. Formålet med loven er å verne
enkeltpersoner mot krenking av personvernet gjennom behandling av
personopplysninger.&lt;/p&gt;

&lt;p&gt;Juridisk veiledningstjeneste hos Datatilsynet gir råd og veiledning
omkring personopplysningslovens regler på generelt grunnlag.&lt;/p&gt;

&lt;p&gt;Datatilsynet har dessverre ikke en fullstendig oversikt over alle
kameraer, den oversikten som finner er i vår meldingsdatabase som du
finner her:
&lt;a href=&quot;http://www.datatilsynet.no/templates/article____211.aspx&quot;&gt;http://www.datatilsynet.no/templates/article____211.aspx&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;Denne databasen gir en oversikt over virksomheter som har meldt inn
kameraovervåkning. Dersom man ikek vet hvilken virksomhet som er
ansvarlig, er det heller ikke mulig for Datatilsynet å søke dette
opp.&lt;/p&gt;

&lt;p&gt;Webkameraer som har så dårlig oppløsning at man ikke kan gjenkjenne
enkeltpersoner er ikke meldepliktige, da dette ikke anses som
kameraovervåkning i personopplysningslovens forstand. Dersom kameraet
du sikter til er et slikt webkamera, vil det kanskje ikke finnes i
meldingsdatabasen på grunn av dette.  Også dersom et kamera med god
oppløsning ikke filmer mennesker, faller det utenfor loven.&lt;/p&gt;

&lt;p&gt;Datatilsynet har laget en veileder som gjennomgår når det er lov å
overvåke med kamera, se lenke:
&lt;a href=&quot;http://www.datatilsynet.no/templates/article____401.aspx&quot;&gt;http://www.datatilsynet.no/templates/article____401.aspx&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;Dersom det ikke er klart hvem som er ansvarlig for kameraet, er det
vanskelig for Datatilsynet å ta kontakt med den ansvarlige for å få
avklart om kameraet er satt opp i tråd med tilsynets regelverk. Dersom
du mener at kameraet ikke er lovlig ut fra informasjonen ovenfor, kan
kameraet anmeldes til politiet.&lt;/p&gt;

&lt;p&gt;Med vennlig hilsen&lt;/p&gt;

&lt;p&gt;Maria Bakke
&lt;br&gt;Juridisk veiledningstjeneste
&lt;br&gt;Datatilsynet&lt;/p&gt;
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Personlig synes jeg det bør være krav om å registrere hvert eneste
overvåkningskamera i det offentlige rom hos Datatilsynet, med
kartreferanse og begrunnelse om hvorfor det er satt opp, slik at
enhver borger enkelt kan hente ut kart over områder vi er interessert
i og sjekke om det er overvåkningskamera der som er satt opp uten å
være registert.  Slike registreringer skal jo i dag fornyes
regelmessing, noe jeg mistenker ikke blir gjort.  Dermed kan kamera
som en gang var korrekt registrert nå være ulovlig satt opp.  Det
burde også være bøter for å ha kamera som ikke er korrekt registrert,
slik at en ikke kan ignorere registrering uten at det får
konsekvenser.&lt;/p&gt;

&lt;p&gt;En ide fra England som jeg har sans (lite annet jeg har sans for
når det gjelder overvåkningskamera i England) for er at enhver borger
kan be om å få kopi av det som er tatt opp med et overvåkningskamera i
det offentlige rom, noe som gjør at det kan komme løpende utgifter ved
å sette overvåkningskamera.  Jeg tror alt som gjør det mindre
attraktivt å ha overvåkningskamera i det offentlige rom er en god
ting, så et slikt lovverk i Norge tror jeg hadde vært nyttig.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>DND hedrer overvåkning av barn med Rosingsprisen</title>
                <link>http://people.skolelinux.org/pere/blog/DND_hedrer_overv_kning_av_barn_med_Rosingsprisen.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/DND_hedrer_overv_kning_av_barn_med_Rosingsprisen.html</guid>
                <pubDate>Tue, 23 Nov 2010 14:15:00 +0100</pubDate>
                <description>&lt;p&gt;Jeg registrerer med vond smak i munnen at Den Norske Dataforening
&lt;a
href=&quot;http://www.dataforeningen.no/hedret-med-rosingprisen.4849070-133913.html&quot;&gt;hedrer
overvåkning av barn med Rosingsprisen for kreativitet i år&lt;/a&gt;.  Jeg
er glad jeg nå er meldt ut av DND.&lt;/p&gt;

&lt;p&gt;Å elektronisk overvåke sine barn er ikke å gjøre dem en tjeneste,
men et overgrep mot individer i utvikling som bør læres opp til å ta
egne valg.&lt;/p&gt;

&lt;p&gt;For å sitere Datatilsynets nye leder, Bjørn Erik Thon, i
&lt;a href=&quot;http://www.idg.no/computerworld/article174262.ece&quot;&gt;et intervju
med Computerworld Norge&lt;/A&gt;:&lt;/p&gt;

&lt;p&gt;&lt;blockquote&gt;
- For alle som har barn, meg selv inkludert, er førstetanken at det
hadde vært fint å vite hvor barnet sitt er til enhver tid. Men ungene
har ikke godt av det. De er små individer som skal søke rundt og finne
sine små gjemmesteder og utvide horisonten, uten at foreldrene ser dem
i kortene. Det kan være fristende, men jeg ville ikke gått inn i
dette.
&lt;/blockquote&gt;&lt;/p&gt;

&lt;p&gt;Det er skremmende å se at DND mener en tjeneste som legger opp til
slike overgrep bør hedres.  Å flytte oppveksten for barn inn i en
virtuell
&lt;a href=&quot;http://en.wikipedia.org/wiki/Panopticon&quot;&gt;Panopticon&lt;/a&gt; er et
grovt overgrep og vil gjøre skade på barnenes utvikling, og foreldre
burde tenke seg godt om før de gir etter for sine instinkter her.&lt;/p&gt;

&lt;p&gt;Blipper-tjenesten får meg til å tenke på bøkene til
&lt;a href=&quot;http://en.wikipedia.org/wiki/John_Twelve_Hawks&quot;&gt;John Twelve
Hawks&lt;/a&gt;, som forbilledlig beskriver hvordan et totalitært
overvåkningssamfunn bygges sakte men sikkert rundt oss, satt sammen av
gode intensjoner og manglende bevissthet om hvilke prinsipper et
liberalt demokrati er fundamentert på.  Jeg har hatt stor glede av å
lese alle de tre bøkene.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Now accepting bitcoins - anonymous and distributed p2p crypto-money</title>
                <link>http://people.skolelinux.org/pere/blog/Now_accepting_bitcoins___anonymous_and_distributed_p2p_crypto_money.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Now_accepting_bitcoins___anonymous_and_distributed_p2p_crypto_money.html</guid>
                <pubDate>Fri, 10 Dec 2010 08:20:00 +0100</pubDate>
                <description>&lt;p&gt;With this weeks lawless
&lt;a href=&quot;http://www.salon.com/news/opinion/glenn_greenwald/2010/12/06/wikileaks/index.html&quot;&gt;governmental
attacks&lt;/a&gt; on Wikileak and
&lt;a href=&quot;http://www.salon.com/technology/dan_gillmor/2010/12/06/war_on_speech&quot;&gt;free
speech&lt;/a&gt;, it has become obvious that PayPal, visa and mastercard can
not be trusted to handle money transactions.
A blog post from
&lt;a href=&quot;http://webmink.com/2010/12/06/now-accepting-bitcoin/&quot;&gt;Simon
Phipps on bitcoin&lt;/a&gt; reminded me about a project that a friend of
mine mentioned earlier.  I decided to follow Simon&#39;s example, and get
involved with &lt;a href=&quot;http://www.bitcoin.org/&quot;&gt;BitCoin&lt;/a&gt;.  I got
some help from my friend to get it all running, and he even handed me
some bitcoins to get started.  I even donated a few bitcoins to Simon
for helping me remember BitCoin.&lt;/p&gt;

&lt;p&gt;So, what is bitcoins, you probably wonder?  It is a digital
crypto-currency, decentralised and handled using peer-to-peer
networks.  It allows anonymous transactions and prohibits central
control over the transactions, making it impossible for governments
and companies alike to block donations and other transactions.  The
source is free software, and while the key dependency wxWidgets 2.9
for the graphical user interface is missing in Debian, the command
line client builds just fine.  Hopefully Jonas
&lt;a href=&quot;http://bugs.debian.org/578157&quot;&gt;will get the package into
Debian&lt;/a&gt; soon.&lt;/p&gt;

&lt;p&gt;Bitcoins can be converted to other currencies, like USD and EUR.
There are &lt;a href=&quot;http://www.bitcoin.org/trade&quot;&gt;companies accepting
bitcoins&lt;/a&gt; when selling services and goods, and there are even
currency &quot;stock&quot; markets where the exchange rate is decided.  There
are not many users so far, but the concept seems promising.  If you
want to get started and lack a friend with any bitcoins to spare,
you can even get
&lt;a href=&quot;https://freebitcoins.appspot.com/&quot;&gt;some for free&lt;/a&gt; (0.05
bitcoin at the time of writing).  Use
&lt;a href=&quot;http://www.bitcoinwatch.com/&quot;&gt;BitcoinWatch&lt;/a&gt; to keep an eye
on the current exchange rates.&lt;/p&gt;

&lt;p&gt;As an experiment, I have decided to set up bitcoind on one of my
machines.  If you want to support my activity, please send Bitcoin
donations to the address
&lt;b&gt;15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&lt;/b&gt;.  Thank you!&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Pornoskannerne på flyplassene bedrer visst ikke sikkerheten</title>
                <link>http://people.skolelinux.org/pere/blog/Pornoskannerne_p__flyplassene_bedrer_visst_ikke_sikkerheten.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Pornoskannerne_p__flyplassene_bedrer_visst_ikke_sikkerheten.html</guid>
                <pubDate>Sat, 11 Dec 2010 10:45:00 +0100</pubDate>
                <description>&lt;p&gt;Via &lt;a href=&quot;http://webmink.com/2010/12/10/links-for-2010-12-10/&quot;&gt;en
blogpost fra Simon Phipps i går&lt;/a&gt;, fant jeg en referanse til
&lt;a href=&quot;http://www.washingtontimes.com/news/2010/dec/9/exposed-tsas-x-rated-scanner-fraud/&quot;&gt;en
artikkel i Washington Times&lt;/a&gt; som igjen refererer til en artikkel i
det fagfellevurderte tidsskriftet Journal of Transportation Security
med tittelen
&quot;&lt;a href=&quot;http://springerlink.com/content/g6620thk08679160/fulltext.html&quot;&gt;An
evaluation of airport x-ray backscatter units based on image
characteristics&lt;/a&gt;&quot; som enkelt konstaterer at
&lt;a href=&quot;http://www.dailysquib.co.uk/?a=2389&amp;c=124&quot;&gt;pornoscannerne&lt;/a&gt;
som kler av reisende på flyplasser ikke er i stand til å avsløre det
produsenten og amerikanske myndigheter sier de skal avsløre.  Kort
sagt, de bedrer ikke sikkerheten.  Reisende må altså la ansatte på
flyplasser &lt;a href=&quot;http://www.thousandsstandingaround.org/&quot;&gt;se dem
nakne eller la seg beføle i skrittet&lt;/a&gt; uten grunn.  Jeg vil
fortsette å nekte å bruke disse pornoskannerne, unngå flyplasser der
de er tatt i bruk, og reise med andre transportmidler enn fly hvis jeg
kan.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Some thoughts on BitCoins</title>
                <link>http://people.skolelinux.org/pere/blog/Some_thoughts_on_BitCoins.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Some_thoughts_on_BitCoins.html</guid>
                <pubDate>Sat, 11 Dec 2010 15:10:00 +0100</pubDate>
                <description>&lt;p&gt;As I continue to explore
&lt;a href=&quot;http://www.bitcoin.org/&quot;&gt;BitCoin&lt;/a&gt;, I&#39;ve starting to wonder
what properties the system have, and how it will be affected by laws
and regulations here in Norway.  Here are some random notes.&lt;/p&gt;

&lt;p&gt;One interesting thing to note is that since the transactions are
verified using a peer to peer network, all details about a transaction
is known to everyone.  This means that if a BitCoin address has been
published like I did with mine in my initial post about BitCoin, it is
possible for everyone to see how many BitCoins have been transfered to
that address.  There is even a web service to look at the details for
all transactions.  There I can see that my address
&lt;a href=&quot;http://blockexplorer.com/address/15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&quot;&gt;15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&lt;/a&gt;
have received 16.06 Bitcoin, the
&lt;a href=&quot;http://blockexplorer.com/address/1LfdGnGuWkpSJgbQySxxCWhv8MHqvwst3&quot;&gt;1LfdGnGuWkpSJgbQySxxCWhv8MHqvwst3&lt;/a&gt;
address of Simon Phipps have received 181.97 BitCoin and the address
&lt;a href=&quot;http://blockexplorer.com/address/1MCwBbhNGp5hRm5rC1Aims2YFRe2SXPYKt&quot;&gt;1MCwBbhNGp5hRm5rC1Aims2YFRe2SXPYKt&lt;/A&gt;
of EFF have received 2447.38 BitCoins so far.  Thank you to each and
every one of you that donated bitcoins to support my activity. The
fact that anyone can see how much money was transfered to a given
address make it more obvious why the BitCoin community recommend to
generate and hand out a new address for each transaction.  I&#39;m told
there is no way to track which addresses belong to a given person or
organisation without the person or organisation revealing it
themselves, as Simon, EFF and I have done.&lt;/p&gt;

&lt;p&gt;In Norway, and in most other countries, there are laws and
regulations limiting how much money one can transfer across the border
without declaring it.  There are money laundering, tax and accounting
laws and regulations I would expect to apply to the use of BitCoin.
If the Skolelinux foundation
(&lt;a href=&quot;http://linuxiskolen.no/slxdebianlabs/donations.html&quot;&gt;SLX
Debian Labs&lt;/a&gt;) were to accept donations in BitCoin in addition to
normal bank transfers like EFF is doing, how should this be accounted?
Given that it is impossible to know if money can across the border or
not, should everything or nothing be declared?  What exchange rate
should be used when calculating taxes?  Would receivers have to pay
income tax if the foundation were to pay Skolelinux contributors in
BitCoin?  I have no idea, but it would be interesting to know.&lt;/p&gt;

&lt;p&gt;For a currency to be useful and successful, it must be trusted and
accepted by a lot of users.  It must be possible to get easy access to
the currency (as a wage or using currency exchanges), and it must be
easy to spend it.  At the moment BitCoin seem fairly easy to get
access to, but there are very few places to spend it.  I am not really
a regular user of any of the vendor types currently accepting BitCoin,
so I wonder when my kind of shop would start accepting BitCoins.  I
would like to buy electronics, travels and subway tickets, not herbs
and books. :) The currency is young, and this will improve over time
if it become popular, but I suspect regular banks will start to lobby
to get BitCoin declared illegal if it become popular.  I&#39;m sure they
will claim it is helping fund terrorism and money laundering (which
probably would be true, as is any currency in existence), but I
believe the problems should be solved elsewhere and not by blaming
currencies.&lt;/p&gt;

&lt;p&gt;The process of creating new BitCoins is called mining, and it is
CPU intensive process that depend on a bit of luck as well (as one is
competing against all the other miners currently spending CPU cycles
to see which one get the next lump of cash).  The &quot;winner&quot; get 50
BitCoin when this happen.  Yesterday I came across the obvious way to
join forces to increase ones changes of getting at least some coins,
by coordinating the work on mining BitCoins across several machines
and people, and sharing the result if one is lucky and get the 50
BitCoins.  Check out
&lt;a href=&quot;http://www.bluishcoder.co.nz/bitcoin-pool/&quot;&gt;BitCoin Pool&lt;/a&gt;
if this sounds interesting.  I have not had time to try to set up a
machine to participate there yet, but have seen that running on ones
own for a few days have not yield any BitCoins througth mining
yet.&lt;/p&gt;

&lt;p&gt;Update 2010-12-15: Found an &lt;a
href=&quot;http://inertia.posterous.com/reply-to-the-underground-economist-why-bitcoi&quot;&gt;interesting
criticism&lt;/a&gt; of bitcoin.  Not quite sure how valid it is, but thought
it was interesting to read.  The arguments presented seem to be
equally valid for gold, which was used as a currency for many years.&lt;/p&gt;
</description>
        </item>
        
        <item>
                <title>Using NVD and CPE to track CVEs in locally maintained software</title>
                <link>http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html</link>        
                <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html</guid>
                <pubDate>Fri, 28 Jan 2011 15:40:00 +0100</pubDate>
                <description>&lt;p&gt;The last few days I have looked at ways to track open security
issues here at my work with the University of Oslo.  My idea is that
it should be possible to use the information about security issues
available on the Internet, and check our locally
maintained/distributed software against this information.  It should
allow us to verify that no known security issues are forgotten.  The
CVE database listing vulnerabilities seem like a great central point,
and by using the package lists from Debian mapped to CVEs provided by
the testing security team, I believed it should be possible to figure
out which security holes were present in our free software
collection.&lt;/p&gt;

&lt;p&gt;After reading up on the topic, it became obvious that the first
building block is to be able to name software packages in a unique and
consistent way across data sources.  I considered several ways to do
this, for example coming up with my own naming scheme like using URLs
to project home pages or URLs to the Freshmeat entries, or using some
existing naming scheme.  And it seem like I am not the first one to
come across this problem, as MITRE already proposed and implemented a
solution.  Enter the &lt;a href=&quot;http://cpe.mitre.org/index.html&quot;&gt;Common
Platform Enumeration&lt;/a&gt; dictionary, a vocabulary for referring to
software, hardware and other platform components.  The CPE ids are
mapped to CVEs in the &lt;a href=&quot;http://web.nvd.nist.gov/&quot;&gt;National
Vulnerability Database&lt;/a&gt;, allowing me to look up know security
issues for any CPE name.  With this in place, all I need to do is to
locate the CPE id for the software packages we use at the university.
This is fairly trivial (I google for &#39;cve cpe $package&#39; and check the
NVD entry if a CVE for the package exist).&lt;/p&gt;

&lt;p&gt;To give you an example.  The GNU gzip source package have the CPE
name cpe:/a:gnu:gzip.  If the old version 1.3.3 was the package to
check out, one could look up
&lt;a href=&quot;http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%3A%2Fa%3Agnu%3Agzip:1.3.3&quot;&gt;cpe:/a:gnu:gzip:1.3.3
in NVD&lt;/a&gt; and get a list of 6 security holes with public CVE entries.
The most recent one is
&lt;a href=&quot;http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0001&quot;&gt;CVE-2010-0001&lt;/a&gt;,
and at the bottom of the NVD page for this vulnerability the complete
list of affected versions is provided.&lt;/p&gt;

&lt;p&gt;The NVD database of CVEs is also available as a XML dump, allowing
for offline processing of issues.  Using this dump, I&#39;ve written a
small script taking a list of CPEs as input and list all CVEs
affecting the packages represented by these CPEs.  One give it CPEs
with version numbers as specified above and get a list of open
security issues out.&lt;/p&gt;

&lt;p&gt;Of course for this approach to be useful, the quality of the NVD
information need to be high.  For that to happen, I believe as many as
possible need to use and contribute to the NVD database.  I notice
RHEL is providing
&lt;a href=&quot;https://www.redhat.com/security/data/metrics/rhsamapcpe.txt&quot;&gt;a
map from CVE to CPE&lt;/a&gt;, indicating that they are using the CPE
information.  I&#39;m not aware of Debian and Ubuntu doing the same.&lt;/p&gt;

&lt;p&gt;To get an idea about the quality for free software, I spent some
time making it possible to compare the CVE database from Debian with
the CVE database in NVD.  The result look fairly good, but there are
some inconsistencies in NVD (same software package having several
CPEs), and some inaccuracies (NVD not mentioning buggy packages that
Debian believe are affected by a CVE).  Hope to find time to improve
the quality of NVD, but that require being able to get in touch with
someone maintaining it.  So far my three emails with questions and
corrections have not seen any reply, but I hope contact can be
established soon.&lt;/p&gt;

&lt;p&gt;An interesting application for CPEs is cross platform package
mapping.  It would be useful to know which packages in for example
RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
this would be trivial if all linux distributions provided CPE entries
for their packages.&lt;/p&gt;
</description>
        </item>
        
        </channel>
</rss>