lørdag 15. august 2009

Hvem er cyxymu?

6.august ble Twitter utsatt for DDoS-angrep, noe som medførte at tjenesten var utilgjengelig for alle brukere i en periode. Flere nettsteder og nettaviser formidlet raskt en historie der angrepet ble knyttet til konflikten mellom Geogia og Russland, der den ukjente personen cyxymu (http://twitter.com/cyxymu) var det egentlige målet for angrepet. På CNet News siteres Facebooks sikkerhetssjef: "It was a simultaneous attack across a number of properties targeting him to keep his voice from being heard", Kelly said.

Da cyxymu ble angrepet var antall personer som fulgte ham på Twitter relativt lavt. Er sosiale medier så viktig noen vil ta ned en hel tjeneste for å hindre at du med noen hundre "followers" når ut med ditt budskap? Jeg var nylig inne på cyxymu sin twitter-konto og så at antall personer som følger ham nå har steget til over 2000, men siden han skriver mest på georgisk, så aner jeg imidlertid ikke hva han egentlig twitrer om. Og hvem er han egentlig?

Akkurat nå er jeg fremdeles interessert i mer informasjon om denne saken. Hva skriver cyxymu om, hvilken rolle har han, og er det logisk at russerne eventuelt har slike interesser i akkurat ham at de vil ta ned en hel tjeneste, og tross alt bare i et kort tidsrom, for at man ikke skal få fulgt med på oppdateringer? Det synes ikke logisk utfra det vi er blitt presentert av fakta. Per i dag har imidlertid cyxymu fått oppmerksomhet på konflikten Georgia - Russland, og han når ut med budskapet sitt til betydelig flere enn før angrepet.

søndag 14. juni 2009

Overvåkning

For å kunne oppdage ulike hendelser på et datanett er det vanlig å ha ulikt type teknisk utstyr installert. Slikt utstyr varsler ulike typer hendelser i nettet som kan indikere datainnbrudd eller andre uønskede hendelser. Dette kalles innbruddsdeteksjon. Det er også vanlig å filtrere web-trafikk og å sperre tiltak til sider man mener gir større risiko for spredning av ondsinnet kode eller som bryter med selskapets etiske retningslinjer, for eksempel pornosider eller sider som oppfordrer til kriminell virksomhet.

Slike tiltak benyttes for å forhindre datainnbrudd, oppdage datainnbrudd, få oversikt over hendelser som kan utvikle seg til alvorlige virushendelser og oppdage uautorisert bruk av nettverket.

Ut fra det vi leser i mediene så langt kan man gjette seg til at noen i et av departementene har benyttet en ulovlig tjeneste og at det tekniske utstyret har gitt alarm på bruken. I Aftenposten i dag indikerer man bruk av BitTorrent, i andre medier er det indikert at man har fått varsel ved surfing på pornosider. Det har imidlertid vært vanskelig å få en entydig forståelse av hva som egentlig har skjedd i saken.

BitTorrent er ikke tillatt brukt i mange virksomheter. Årsakene kan være flere, men få virksomheter har ansatte med tjenestlig behov for bruk av BitTorrent. Surfing på pornosider bryter med de fleste virksomheters etiske retningslinjer og har tradisjonelt medført større risiko for smitte av ondsinnet kode.

Flere politikere har satt opp en motsetning mellom "personvern og sikkerhet" i denne saken. Imidlertid vil et slikt skille ikke være entydig. Typen tiltak det er snakk om vil kunne benyttes for ulike typer formål - også for å styrke personvern, for eksempel ved å sørge for at ondsinnet kode som avlytter passord blir oppdaget og at personlig informasjon blir beskyttet.

Overvåkningssaken kan så langt - utfra det som er kommet frem i mediene - tyde på at det er for lang avstand mellom tekniske tiltak og våre politikere.

fredag 8. mai 2009

Kommunisme på nettet?

Pirate Bay-saken har vekket en god del debatt. I debatten sauser vi sammen prinsippdiskusjoner med diskusjoner om praktiske løsninger. Jeg synes vi er tjent med å skille to problemstillinger klart fra hverandre:
1. Skal man kunne eie det man selv har laget og ha mulighet til å tjene penger på det? og 2. Finnes det i dag hensiktsmessige modeller for salg og distribusjon av åndsverk på nett?

Jeg er, i likhet med mange andre, helt enig i at det finnes betydelig forbedringsmulighet når det gjelder hensiktsmessige modeller for distribusjon og salg av åndsverk på nett. Men det er ikke god nok grunn til å ta loven i egne hender og dele ut andres åndsverk fritt og hemningsløst. Selv om materiale er digitalt, så følger det ikke automatisk at vi kan oppføre oss som at alle eier det sammen. Jeg mener at man skal kunne eie det man selv har laget og ha mulighet til å tjene penger på det uavhengig av om produktet er digitalt eller fysisk. 

Det er tungvint å opptre i henhold til loven når det gjelder opphavsrett og digitalt innhold på nett. Men gir det meg moralsk rett til å distribuere andres innhold fritt og uhemmet uten å spørre om lov? For meg er det helt klare paralleller til hvordan jeg ville tenkt i den fysiske verden. Selv om jeg synes bilforhandlere holder til langt unna der jeg bor og det er upraktisk og tungvint å kjøpe bil fordi ingen forhandlere etablerer seg i mitt nærområde, så gir det meg ikke rett til uten videre å låne naboens bil uten å spørre om lov.

Rettsaken mot Pirate Bay var viktig. Det er viktig å få avklart rettslige forhold som faktisk følger fra dagens lovgivning. Om de praktiske løsningene vi per i dag finner er gode nok er et annet spørsmål enn om vi synes det er prinsipielt riktig at alle eier alt sammen bare det er digitalt.

søndag 29. mars 2009

Fakta på bordet.

Statistisk Sentralbyrå fører grundig statistikk på en rekke viktige områder. Selv har jeg bidratt til forbrukerundersøkelsen http://www.ssb.no/fbu/ og har samlet kvitteringer fra alt jeg har foretatt meg deler av desember to år på rad. Jeg bidrar gjerne til at vi får fakta på bordet.

I dag skriver mange aviser at det er avdekket et omfattende spionsystem som involverer datamaskiner i 103 land, http://tinyurl.com/dnh4mf, og setter dermed ondsinnet programvare på dagsorden.

Jeg har lenge ment at vi har for få nøytrale, offentlige fakta på område IT-sikkerhet. Jeg ønsker meg en årlig norsk, offentlig statistikk som blant annet viser hvor mange norske datamaskiner som er infisert av ulik type ondsinnet programvare. Ser for meg en ny statistikk under området "Teknologiske indikatorer, inkl. IKT". Ideelt kunne deler av resultatene for eksempel produseres ved å innhente og undersøke PC-en til et representativt utvalg personer og bedrifter - der personvernet til de som avgir sin PC til undersøkelse selvsagt ivaretas. Vi trenger mer kunnskap - tall og fakta på bordet vil være et viktig skritt i riktig retning.

søndag 1. mars 2009

Jeg må selvfølgelig også ha en mening om hijab-debatten :)

Jeg har selvfølgelig også fulgt med på hijab-debatten og synes den er interessant på mange måter. Hijab er knyttet til islam. Men i bibelen finner vi også tilsvarende tanker. I Paulus brev til korinterne står det for eksempel: "En mann som ber eller taler profetisk med noe på hodet, fører skam over sitt hode. Men en kvinne fører skam over sitt hode når hun ber eller taler profetisk uten å ha noe på hodet. Det er jo de samme som om hun var snauklipt. Hvis hun ikke vil ha noe på hodet, kan hun like godt klippe av seg håret! Men når det er en skam for en kvinne å barbere av seg håret. Da må hun ha noe på hodet." Så følger det et resonnement for å begrunne alt det om å vise håret eller ikke.

Jeg forandret holdning til kvinner med hijab da jeg fikk det første barnet mitt og ble venn med en hijab-mamma fra Zanzibar. Hun snakket 3 språk flytende, arabisk, engelsk og swahili og arbeidet som lærer. Hun kunne ikke bli med på babysvømming, fordi det var menn i svømmehallen, men hun var morsom å diskutere med, og barna hennes var morsomme å leke med. Hijaben var en naturlig del av henne - akkurat som det var en del av henne at hun fastet og at hun deltok i den islamske menigheten. Men - selvfølgelig - akkurat som med nordmenn som er sterkt engasjert i en menighet, er det vanskelig å ta fullt ut del i en praktiserende muslims liv når man ikke selv er praktiserende muslim.

I Frankrike er det stor vekt på det verdslige ved staten. Religiøsitet har ikke en plass innenfor statlige institusjoner. For mange mennesker er religion en viktig del av dem selv. Det er ikke alltid mulig å praktisere et helt strengt skille mellom hvem du er som sekulær person - og som du kan praktisere offentlig - og hvem du er som religiøs person - og som du kan praktisere privat. Jeg tror ikke det alltid er riktig at man skal legge bort en viktig del av egen identitet for å delta innenfor rammene av en nasjons fellesinstitusjoner.

Den norske hijab-debatten er et eksempel på en at det private - religiøse og det verdslige - offentlige, ikke er lett å skille i et enkeltmenneske. Når jeg mener at innvandrerkvinner som bærer hijab bør få bli politi, så blir jeg møtt med motforestillingen - ja du mener vel at de som har burka også bør få bli politi da? Men jeg synes det er viktig å tillate seg å ha en praktisk tilnærming til dette. Man behøver ikke bli dogmatisk. Det er vanskelig å forholde seg til noen du knapt ser øynene til. Det er for meg helt reelt og en god nok begrunnelse til å avvise burka.

MEN - Vi må, så langt det er praktisk mulig, legge til rette for at alle enkeltpersoner kan realisere sine ønsker og drømmer. Jeg kan ikke forstå at hijab i seg selv er til hinder for å gjøre en god jobb som politi. Det er klart at vi må få jentene inn i varmen - og gjøre det mulig for dem å forfølge drømmen sin.

lørdag 31. januar 2009

Mine personopplysninger - din forretningsidé..

Vi er i større og større grad villig til å oppgi personopplysninger i bytte mot tjenester og tilbud. Dersom vi for eksempel får gratis e-postkonto, lar vi gjerne leverandøren av tjenesten lagre personopplysninger og lage en profil på oss slik at vi kan få målrettet reklame som passer til oss.

Mange ser det som et gode at vi kan få reklame som er målrettet akkurat våre interesser. Egne personopplysninger er i realiteten en verdi som vi kan bytte bort mot goder i stedet for å bruke penger. 3. part får våre opplysningene og benytter dem for egen inntjening og profitt.

Fikk du en god idé til hvordan du kan tjene penger på ditt neste prosjekt? Mine personopplysninger - din forretningsidé..

søndag 11. januar 2009

Sikkerhetsfunksjonalitet kun for profesjonelle?

Når du taster adressen til et nettsted i nettleser forventer du helt sikkert at du lander på akkurat det nettstedet du skrev inn adressen til. Men er du sikker på at det er akkurat den siden du får opp? Eller har du landet på en svindlerside som egentlig bare er ute etter å få deg til å oppgi passord og koder eller annen informasjon?

Det finnes i dag løsninger som tilbyr deg sikkerhet for at du kommer til riktig sted. Det kalles EV-SSL. Løsningen er basert på utstedelse av sertifikater. Godkjente sertifikatutstedere, for eksempel Verisign, utsteder sertifikater som bekrefter at sider under et bestemt domene tilhører en organisasjon som er reell og som har rettigheter til det aktuelle domenet.

Når bruker forsøker å nå et nettsted, blir det automatisk sjekket om nettstedet som blir presentert til bruker tilhører organisasjonen som har rettmessig krav på det aktuelle domenet og ikke fra en svindler.

Når du går inn for eksempel i nettbanken er den gjerne sikret med slik funksjonalitet som er synlig gjennom et grønt adressefelt eller en hengelås på siden. Når du klikker på det grønne feltet eller på hengelåsen, kan du få nærmere informasjon om at siden er sertifisert OK.

Men - er sikkerhetsfunksjonaliteten brukervennlig nok, har du god nok kjennskap til denne funksjonaliteten og klarer du å forholde deg til det, eller er dette foreløpig funksjonalitet kun for oss sikkerhetsfolk?