Google versus Kina – den egentliga problematiken

Efter att Google röt till mot Kina så har ämnet debatterats i ett otal bloggar runt om i landet där det vanligaste temat är vad de bakomliggande orsakerna var varför Google tog steget och satte hårt mot hårt. Det är förstås ett intressant ämne och när vissa målar upp en bild av Google som integritetens förkämpar påpekar andra att Google inte direkt är några änglar utan ofta anpassar sig till olika, för att uttrycka det fint, nationella önskemål.

Jag hade egentligen inte tänkt blogga om Google versus Kina eftersom jag inte känt att det funnits så mycket mer att säga om det, men nu ger Bruce Schneier en intressant vinkling på nyheten som definitivt inte kommit fram innan. Här är ett utdrag från en av hans källor:

Why only subject lines? If the attackers could get access to subject lines, why couldn’t they access entire e-mails? Apparently because the hackers infiltrated automated systems set up to provide such information to law enforcement in the US and elsewhere. (Getting access to the contents of e-mail messages is harder under US law than getting access to addresses, subject lines, etc, which are considered to be on the ”outside of the envelope” and subject to pen register searches).
[…]
Breaches by design. Former Ars writer Julian Sanchez, now covering security at the Cato Institute, sees a problem with these automated law enforcement tracking systems in place at most major ISPs and Web companies. ”As an eminent group of security experts argued in 2008, the trend toward building surveillance capability into telecommunications architecture amounts to a breach-by-design, and a serious security risk. As the volume of requests from law enforcement at all levels grows, the compliance burdens on telcoms grow also—making it increasingly tempting to create automated portals to permit access to user information with minimal human intervention.

”The problem of volume is front and center in a leaked recording released last month, in which Sprint’s head of legal compliance revealed that their automated system had processed 8 million requests for GPS location data in the span of a year, noting that it would have been impossible to manually serve that level of law enforcement traffic. Less remarked on, though, was Taylor’s speculation that someone who downloaded a phony warrant form and submitted it to a random telecom would have a good chance of getting a response—and one assumes he’d know if anyone would.”

Dvs Kina lyckades alltså ta sig in och övervaka flera siter (däribland Google) för att systemen är byggda för att tillåta övervakning! Det här är en direkt parallell till den skandal i Grekland 2005 när det uppdagades att Vodafones mobiltelefonsystem hade bakdörrar som tillät att ”obehöriga” (dvs mer obehöriga än de obehöriga som, genom denna bakdörr, var tänkta att ha tillgång till privat information som rimligtvis borde vara otillgänglig för alla obehöriga, även de obehöriga som, av diverse orsaker, anser sig vara mer behöriga än övriga obehöriga) tog sig in och avlyssnade bland annat flera rikspolitiker:

The Ericsson switches used by Vodafone Greece were compromised and unauthorized software was installed that made use of legitimate tapping modules, known as “lawful interception”, while bypassing the normal monitoring and logging that would take place when a legal tap is set up.[5] This software was eventually found to be installed on 4 of Vodafone’s Ericsson AXE telephone exchanges.[6]

In modern mobile telecommunication networks, legal wiretaps, known as lawful interceptions, are performed at the switch. Ericsson AXE telephone exchanges support lawful intercepts via the remote-control equipment subsystem (RES), which carries out the tap, and the interception management system (IMS), software used to initiate the tap which adds the tap to the RES database. In a fully operating lawful interception system the RES and IMS both create logs of all numbers being taped so that system administrators can perform audits to find unauthorized taps.

To successfully wiretap phone numbers without detection, as the intruders did, a special set of circumstances had to be present. The RES had to be active on the exchange, but the IMS had to be unused. At the time of the illegal wiretaps, Vodafone had not yet purchased the lawful intercept options, meaning the IMS was not present on their systems. However, an earlier exchange software upgrade had included the RES.

Det här är ett utmärkt exempel på varför det är oerhört farligt att samla, eller ens förbereda för möjligheten att samla, känslig information! Det finns ett otal exempel på att information läcker, att system och lagar skapade för samhällets bästa missbrukas och att personer och organisationer som inte var tänkta att få tillgång till data och informationskanaler ändå får det. I och med FRA-lagen byggs det nu knutpunkter på Internet som kan spåra och sammanställa information och oavsett hur välmenande orsakerna är, oavsett hur noggrann svenska staten är med att garantera privatliv och integritet så finns alltid risken att en utomstående part på något sätt tar sig in i FRA:s system.

Det finns bara ett sätt att undvika att såna här system missbrukas och det är att helt enkelt aldrig skapa dem! Det intressanta med just Google versus Kina är mao inte varför Google fick nog eller hur mycket Kina förtrycker folket eller censurerar Internet. Den brännande frågan är egentligen hur i h-e vi kan gå med på att datorsystem byggs med inbyggda bakdörrar som tex länder som Kina kan missbruka för sina egna syften! Mao, rent mjöl i påsen-argumentet funkar inte helt enkelt för att om avlyssning ska vara harmlös så kräver det inte bara att den avlyssnade har rent mjöl i påsen utan även att den som lyssnar också har det! Eftersom det inte finns 100% säkra system så kan vi inte garantera att 100% av de som lyssnar har rent mjöl i påsen och därför är det tex inte frågan om om FRA-avlyssningen kommer missbrukas, utan när.

Annonser

5 Responses to Google versus Kina – den egentliga problematiken

  1. Pingback: Övervakning – i vilket syfte? « Emil Isberg

  2. Pingback: Carl Bildt och nyspråk « Full Mental Straightjacket

  3. Alla länder har numera någon form av CALEA-lagstiftning, som de facto tvingar alla leverantörer av telekommunikationsutrustning att bygga in system för avlyssning. Annars får de inte ens vara med på första offertrundan.

    En av anledningarna till att ex-vis Ericsson var framgångsrika att leverera telekommunikationsutrustning, som AXE-växlarna, till olika Darth Vadar-styrda stater under 70-80-talet, var just för deras utmärkta möjligheter till avlyssning.

    Och vilka har då beslutat om denna CALEA-lagstiftning?
    Det är våra politiker, påhejade av världens Darth Vadars och aktörerna inom säkerhetsbranschen, som här ser tillfälle att sälja tjänster och utrustning.

    Här finns det ytterligare utmärkta affärsmöjligheter att sälja in ytterligare mertjänster, ex-vis för att skydda din och min kommunikation från de som skall skydda oss.

    Läs mer här;
    http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act

    • qeruiem says:

      ”Communications Assistance for Law Enforcement Act”

      Mmm. Så tryggt det låter. Inte nåt ”Surveillance for Law Enforcement” utan ”Communications Assistance”, lite snällt, ludet och gulligt. En slags elektronisk Björne som bara vill oss väl.

      Jag tackar för länken, den kommer jag säkert ha nytta av. Tyvärr.

  4. Pingback: Men vafan!? Är karln fullständigt rudis!? « Full Mental Straightjacket

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: