Den kände säkerhetsexperten Bruce Schneier skriver på CNN om Kinas Google-hackande. Kortfattat går det ut på att alla system som skapas för övervakning och kontroll – även om det är för goda syften – ökar möjligheterna till övervakning och kontroll även för helt andra syften, och av helt andra parter.

China’s hackers subverted the access system Google put in place to comply with U.S. intercept orders. Why does anyone think criminals won’t be able to use the same system to steal bank account and credit card information, use it to launch other attacks or turn it into a massive spam-sending network? Why does anyone think that only authorized law enforcement can mine collected Internet data or eavesdrop on phone and IM conversations?

I det här fallet så använde sig till exempel de kinesiska hackarna tydligen av en “bakdörr” som Google varit tvungen att bygga in i sitt system på grund av krav från den amerikanska regeringen.

In order to comply with government search warrants on user data, Google created a backdoor access system into Gmail accounts. This feature is what the Chinese hackers exploited to gain access.

Schneier påtalar andra exempel, som när över 100 mobiltelefoner tillhörande den grekiska regeringen avlyssnades av någon ännu okänd grupp eller person. I det fallet var det Ericsson som för Vodafones räkning hade byggt in den avlyssningsfunktion som missbrukades.

Han påpekar även att anonymiteten som är möjlig på Twitter har räddat många liv i Iran, och han nämner i förbigående FRA-lagen och datalagring som stora säkerhetsproblem.

The problem is that such control makes us all less safe. Whether the eavesdroppers are the good guys or the bad guys, these systems put us all at greater risk. Communications systems that have no inherent eavesdropping capabilities are more secure than systems with those capabilities built in. And it’s bad civic hygiene to build technologies that could someday be used to facilitate a police state.

Hela det där stycket är värt att läsas en gång till, men vi tar särskilt det där sista igen, i fetstil och på svenska: det är dålig samhällshygien att skapa teknologier som kan användas för att upprätthålla en polisstat.

Bruce Schneier är en av världens främsta säkerhetsexperter och hans åsikter bör tas på allvar.

(Jag har förresten citerat Schneier tidigare också, då gällde det FRA och varför data mining inte är ett effektivt vapen i kampen mot terrorism.)

Säkerhetsexpert: Ökad kontroll gör oss mindre säkra is a post from: Dynamic Man

Först en snabbkurs för den som inte vet vad en “cookie” är:

Många Internetsajter som du besöker lagrar så kallade cookies på din dator. Det är alltså en liten textfil som innehåller något slags information, vilken information det handlar om bestäms av sajten som skapar den.

Det är dessa små filer som gör att till exempel Facebook vet vem du är utan att du loggar in, när du besöker sidan från din dator och har valt “kom ihåg mig”.

Det är också dessa små filer som gör att till exempel Facebook kan hålla koll på vad du klickar på och vart du surfar, så att de kan anpassa reklam så den “passar dig” bättre.

Cookies är himla praktiska och har en hel bunt användningsområden, men kan också användas av sajter på ett sätt som inte alls respekterar ditt privatliv. Dessutom kan även “snälla” cookisar användas av folk som lånar din dator för att kolla upp vad du egentligen surfar runt på för sidor – något som vissa kanske inte ser något problem med, medan andra inte alls vill ha sina surfvanor kartlagda.

På grund av riskerna med cookies så innehåller alla webläsare (som jag känner till åtminstone) rätt enkla inställningsmöjligheter, i stil med “acceptera cookies”, “acceptera inte cookies”, “acceptera cookies men ta bort dem när jag stänger webläsaren”. Dessutom kan du radera specifika cookies bäst du vill – antingen genom att radera textfilerna direkt eller i något av inställningsfönstren i din webläsare (återigen, i alla webläsare jag använder åtminstone).

Nu till det intressanta:

Flash-cookies. Fram tills ikväll så hade jag faktiskt aldrig hört talas om dem.

För de av er som inte vet vad Flash är: det är ett insticksprogram till webläsare som gör att du kan se websidor med lite mer grafiskt lull-lull. Så fort du tittar på en Youtube-video, till exempel, så använder du Flash.

Jag är inte chockad över att de existerar, men tanken har liksom aldrig slagit mig förr. Och om den hade slagit mig så hade jag antagligen antagit att flashcookies hanterades som vanliga cookies: att flash utnyttjade webläsarens inbyggda funktionalitet och att man därför kunde känna sig trygg om man hade restriktivare inställningar för accepterandet av cookies, eller när man valt att gå igenom och radera de man inte gillade.

Så är det inte, insåg jag precis.

Den där länken jag just gav dig borde du läsa. Men om du är för lat för att bry dig om din egen säkerhet så pass mycket så kan jag rekommendera dig att gå till hemsidan för Flash’s Settings Manager åtminstone. Där kan du kolla vilka kakor Flash har sparat på din dator, och du kan radera dem om du så önskar.

Så du trodde att du raderat alla dina kakor? is a post from: Dynamic Man

Jag använder mig av Googles välkända webmailtjänst Gmail. Jag är mycket förtjust i den, och rekommenderar den gärna för alla som är beredda att lyssna. Jag kan prata rätt länge om hur mycket jag tycker om att ha ett inboxutrymme som växer för varje sekund (dryga 7 gigabyte när detta skrivs) och att jag – trots tusentals sparade mail – inte använder mer än 0% av detta utrymme.

Att etiketter är ett vansinnigt mycket smidigare sätt att organisera sina sparade mail på än sådana där gammeldags “mappar”, och att sökfunktionen gör det enkelt att hitta det mail man söker – även om man sparar precis allt – är extra bonusar. Och hur kliniskt ren och snygg designen är ska vi inte ens prata om.

Men som nästan alla webtjänster så finns det sårbarheter som kommer upptäckas så småningom. En sårbarhet i Gmail som upptäcktes för dryga året sedan kommer offentliggöras – om två veckor – av hackern som upptäckte den. Enkelt uttryckt så kan vem som helst med den aktuella kunskapen ta sig in på ditt Gmail-konto hur lätt som helst.

Som tur är så finns det ett väldigt enkelt sätt att skydda sig. Logga in på ditt Gmail-konto och gå till Inställningar. På fliken “Allmänt” finns (i skrivande stund längst ner på sidan) ett alternativ som heter “Webbläsaranslutning”. Markera där alternativet “Använd alltid https” och tryck på knappen “Spara ändringar” så är du säker sedan.

Vad som händer är, för er som inte är så tekniskt lagda, att all trafik man skickar mellan sig själv och Gmails server då blir krypterad. Standardinställningen är att trafiken bara krypteras när inloggningen sker. Anledningen till detta är att SSL-kopplingen (krypteringen) gör att anslutningen blir något långsammare, vilket kan vara lite störande för den som sitter på en jättelångsam uppkoppling.

För alla som sitter på en bredbandsanslutning är det ingenting man ens behöver fundera på. Och för de som sitter på ett gammaldags telefonmodem så kan det ändå vara värt det, för att vara säker på att ingen läser ens e-post.

Mer än möjligen svenska staten då, så klart.

Viktig info för Gmail-användare is a post from: Dynamic Man