I kjølvatnet av Tele2-saka har KRIPOS dumma seg ut.
I dag har dei nemleg raida 52(!) personer, og beslaglagt masse PC-utstyr. Dei har spora folk gjennom fleire proxyar, og brukt tid og pengar på dette. Kvifor?
Eg meiner oppriktig at dette er feil måte å angripe det på! Personane som laga programmet avslørte eit stort problem, og fekk sett det på dagsorden. Rett nok var det ei handling som opna for vidstrakt misbruk, men hullet var der allereie, og då er Full Disclosure av og til siste utveg. Spesielt når Tele2 har vore klar over problemet lenge utan å handle.
Kvifor går KRIPOS etter dei som avslørte store sikkerhetshol? Kvifor raider ikkje KRIPOS Tele2 sine hovudkontor? Tele2 viste trass alt om holet i over eit halvt år, før det vart offentleggjort. Holet i sidene deira er rimeleg klart i strid med Personopplysningslova:
§ 13. Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
Difor er KRIPOS sin ressursbruk her sterkt uansvarleg etter mi meining. Dei verkelege skurkane, Tele2, gÃ¥r fri, medan politiet kastar vekk mykje pengar pÃ¥ uviktige ting! Og kva kjem ut av det? Eg tipper pÃ¥ 52 saker stempla “Henlagt”. Og ingen sak mot Tele2.
Dette illustrerer kor viktig sterk kryptografi og anonymisierande proxyer er! Ta i bruk kryptografi og proxier!
Synes det er bra at KRIPOS griper inn. De går jo ikke nødvendigvis etter de som laget programmet (og stod for full disclosure), men etter de som sitter på sensitiv informasjon etter å ha misbrukt programmet.
Jeg er helt enig i at tele2 burde ha handlet når de visste om feilen, og jeg er helt enig i at KRIPOS ikke trenger å bry seg om hvem som laget programmet, MEN jeg er veldig glad for at KRIPOS prøver å hente tilbake informasjonen fra de som har misbrukt PoC-koden til egen vinning.
Jeg er blandt dem som ble rammet og jeg er ikke særlig glad for noen der ute sitter med omtrent det som er av personopplysninger om meg. Jeg skylder på tele2, ikke utvikleren, men antakelig sitter utvikleren bare på et mindretall av informasjon som ble hentet i testfasen (Hvem vet, kanskje han til og med slettet det da han så det funket), men mange der ute har brukt programmet for å selge personopplysninger videre, og det er vel de KRIPOS er ute etter å stoppe.
Problemet er måten kripos går fram på. Dersom eg skulle kjørt slikt i vinnings hensikt, så hadde eg sikra at det ikkje var sporbart tilbake til meg. Dei som faktisk har kjørt det så åpent at kripos finn noko vil neppe utnytte det.
Eit heilt anna spørsmål er kven som skal etterforskast. Skal personar som har prøvd PoC-koden på kanskje eit par hundre personnummer straffast?
Og er det nødvendig at kripos stiller med 6 personer, og beslaglegger alt IT-utstyr til en person? For å deretter røske vedkommande ut av senga og inn i avhør?
Og dei som har gjort dette i vinnings hensikt er nok såpass bevandra i IT-verdenen at dei har rimelig solid kryptografi, og det blir fort umulig for kripos å bevise noko.
Kort sagt; for meg verkar det som kripos gjentar DVD-Jon: Totalt overkill, for å skremme og terrorisere, for å så la saka renne ut i sanden eller tape så det synger etter i retten.
NÃ¥r det kjem til datakrim er KRIPOS mildt sagt dÃ¥rlige etter det eg har lest i media. Dessuten er det pÃ¥fallande at kripos ikkje har offentleggjort at dei etterforsker Tele2. For tele2 har jo beviseleg begÃ¥tt eit, etter mi meining, grovt brot pÃ¥ personopplysningslova. Dei hadde hatt rimelig mykje større truverde i mine auge dersom dei samtidig som Ã¥ gÃ¥ til aksjon mot “personnummer-piratane” hadde oppretta sak mot Tele2.
Og om dei har oppretta sak mot tele2, så burde dei offentleggjere det faktum at dei har gjort det!
Enig med Peter…. All Ære til KRIPOS som faktisk gikk ut Ã¥ hentet inn igjen alt det som hentes kan i denne saken. Er ogsÃ¥ berørt av saken……
Å anta at opplysninger kan hentast til bake er naivt. Det er snakk om digital informasjon, som kan kopierast verda rundt på minutt.
Viare kan ikkje kripos finne ut om informasjonen er der eller ikkje dersom den er kryptert, og dei kan ikkje slette alt som er beslaglagt bare fordi det kan vere ulovleg.
Personar med ondsinna hensikter har garantert solgt informasjonen for lenge sidan, så denne aksjonen frå kripos vil ikkje endre en ting når det gjeld potensialet for misbruk.
Og ja, eg er sjølv berørt i den forstand at min informasjon finst på avvege. Men eg kan ikkje gjere noko med det, og eg meiner kripos bør samarbeide med datatilsynet for å straffe tele2, som gjorde dette mogeleg, og å ta dei som misbruker informasjon. For eg vil ikkje ha eit samfunn der politiet terroriserer folk på feilaktig grunnlag.
HÃ¥per du ikke tror pÃ¥ at Tor sikrer deg anonymitet! Den overfører alt ukryptert mellom nodene og det er lett Ã¥ plukke opp informasjon som gÃ¥r over nettet dersom du administrer en tor-node! Det er ganske mange uærlige sjeler der ute som har tor-noder nettopp av denne grunn…
Selv om publiserte en offentlig “tilstÃ¥else” i Klassekampen tidlegere denne uka (http://hannemyr.com/essay/pvern01.html), sÃ¥ er jeg (sÃ¥ langt) ikke blant de 52.
Jeg mener at Kripos i denne saken gjør noe mer enn Ã¥ “drite seg ut” – de bryter med viktige prinsipper i rettsstaten. Politiet kan ikke trakassere folk bare fordi noen ikke “liker” det de gjør. Skal politiet handle, sÃ¥ mÃ¥ det finnes lovhjemmel for Ã¥ gjøre det. Det er i Norge ikke straffbart Ã¥ samle inn personopplysninger, og det blir ikke straffbart bare fordi noen som burde sikret informasjonen bedre ikke har gjort jobben sin. Det politiet holder pÃ¥ her er ren trakassering, og det hører ikke hjemme i en rettsstat.
Til Peter og andre som tror at Kripos kan “hente tilbake” informasjonen – hvilken klode befinner dere, dere pÃ¥?
Noen lurer sikkert på hvorfor vi gjorde dette mot Altinn, Tele2 og en håndfull andre teleoperatører.
Jeg er opptatt av personvern, og digitalt design, og som engasjert samfunnborger dødsfrustrert at de som designer slike systemer setter “sikkerhet” sist pÃ¥ lista nÃ¥r de lager spesifikasjoner til ymse datasystemer.
NÃ¥r det avdekkes sikkerhetsfeil, sÃ¥ forventer jeg at feilene blir rettet – eller dersom de ikke rettes – at de som samfunnet har satt til Ã¥ passe pÃ¥ disse tingene (dvs. Datatilsynet og Politiet) bruker de maktmidler de er tildelt av samfunnet til Ã¥ sørge for at de ansvarlige (dvs. Tele2 et al.) følger loven.
Det skjedde ikke i dette tilfellet. Datatilsynet sendte rigktignok et “dette er ikke helt bra”-brev i sept. 2006 – men var alt for slappe i oppfølgingen. Selv nÃ¥r saken eksploderte i mediene i juli 2007 var det ingen som fulgte opp – verken Tele2, Datatilsynet, eller Politiet.
Da følte jeg (og sannsynligvis ogsÃ¥ andre) at det var pÃ¥ idé Ã¥ sende et litt kraftigere signal om “Hallo! Noe er galt her! Noe som det absolutt bør gjøres noe med.”
Hvordan sender man et slikt signal. Jo, vet å sørge for at 60 000 nordmenn får et brev i posten om at uvedkommende har kredittsjekket dem (at noen også bestilte SIM-kort og abonnenter i deres navn er imidlertid å gå over streken, fordi det er handlinger som går ut over en uskyldig tredjepart).
Jeg mener det norske folk er oss som gjorde dette en stor takk skyldig, fordi vi endelig fikk Altinn, Tele2 et al til å innse at de hadde et problem med designet sitt, etter at de som burde tatt affære tydeligvis ikke gjorde jobben sin.
At Peter og andre ikke står klar for å takke meg og de andre, kan jeg leve med.
For to dager siden skriver du at Kripos foretok raid “I dag”. Jeg har hørt fra andre kilder om ransakelser som startet helt tilbake for en mÃ¥neds tid siden og ikke direkte av Kripos men av lokal politimyndighet.
Kripos har det for vane Ã¥ utføre ‘raid’ i mangel pÃ¥ teknisk kompetanse. Tro meg, jeg vet hva jeg snakker om (har inside info pÃ¥ omrÃ¥det).
Enten det er mangen pÃ¥ kompetanse, ressurser (eller penger) – sÃ¥ kjører de en teknikk som sier det er lettere Ã¥ besøke hjemmet til noen – som kanskje vet noe – en Ã¥ foreta en whois pÃ¥ et domene for Ã¥ finne ut hvem som eier det eller hvor serverne stÃ¥r.
Høres helt utrolig ut, men slik er Norge anno 2007 – Kripos er totalt hjelpesløse nÃ¥r det kommer til nettkriminalitet, men teknikken deres – Ã¥ raide massevis av uskyldige folk, fungerer sikkert bra nok.
Thomas: Ja, med all den raidinga til KRIPOS sÃ¥ fÃ¥r de i alle fall det ut til Ã¥ se ut som om de har kommet noen vei. At de holder pÃ¥ med slike terroraksjoner mot enkeltpersoner som kun har hentet ut et par nummer, enten i ren nyskjerrighet eller testing – er for meg helt latterlig.
Og bevisføring? Ja jeg sier som vidar – det blir nok 52 stempel med “henlagt”. Men men, da fÃ¥r i alle fall KRIPOS-ansatte skjødesløst puttet skattepengene til det norske folk i lomma.
Då har Dagbladet fått med seg Gisle Hannemyr! Godt at han tar opp saka!
En aldri så liten oppfølging på den siste kommentaren; Ikke overraskende mener Kripos de har rett i denne saken:
Artikkel i dagbladet:
http://www.dagbladet.no/dinside/2007/09/17/512336.html
Det ville vore verkeleg skandale om kripos ikkje meinte dei hadde rett…;)