Datalagrinsdirektivet (DLD) zero-day exploit

By | 2010-05-27

I forbindelse med høringen om Datalagringsdirektivet så tenkte jeg å lage en liten zero-day exploit. Det vil si en exploit som er ute før sikkerhetshullet er fikset, eller i dette tilfellet allerede før sikkerhetshullet er implementert.

DLD virker lite meningsfullt for alle som ikke har en post-it lapp hengende på skjermen som sier “HUSK! VG – BLÅ ikonet, mail – GULE ikonet.” Det som gjør DLD så fantastisk er at vi på et tidspunkt da samfunnet blir mer og mer digitalt og man snakker om å gi kjøleskap og vaskemaskiner en IP-adresse, så ønsker regjeringen å innføre overvåking av uskyldige mennesker. Ikke hardbarka kriminelle, men uskyldige mennesker. DLD kan faktisk medføre at regjeringen får logget når du vasker klær (vaskemaskinen sender deg en e-post om at den er ferdig). De vet allerede hvor du er når (mobilselskapet logger posisjonen din), hva slags transportmiddel du bruker (mønster finnes i posisjon, fart og hyppighet i stopp), hvem du reiser med (mønster i mobilposisjon og fart over kort tid vil gi en unik signatur), hva du kjøper (bankkort, trumf-kort, o.l.), hvordan du ser ut i dag; de tar bilde hver gang du passerer visse kontrollpunkter (bompengering, fotoboks, veiovervåking, osv) – kan også analyseres for humør/foretrukket farge/osv, til en viss grad hvem du snakker med (sosiale nettverk online, mail til-fra logges, telefoner logges – før eller siden har du ringt alle bekjente), til en viss grad hva dere snakker om (mail subject, innhold i sms, osv), de vet bedre hvordan du styrer egen økonomi enn du selv gjør (analyse av bankutskrifter), osv. Listen er mye lengre enn det jeg kommer på i farten. Informasjonen kan samles og du kan profileres med skremmende nøyaktighet. De vet mer om deg enn du selv gjør. I dag er det kanskje ikke så mange som sitter og samler denne informasjonen og følger med på akkurat deg, men hvis du ikke ser problemet med dette så skal heller ikke jeg prøve å forklare deg det. Nok mennesker har satt seg inn i dette og ser med relaitivt stor enighet problemet med dette, så stol på dem.

Det har blitt sagt lite om akkurat hvor enkelt det er å gå forbi all denne overvåkingen. Man skulle tro de virkelig kriminelle som blant annet politiet refererer til når de argumenterer for DLD faktisk tar seg tid til å anonymisere seg. Det kreves utrolig lite arbeid og tekniske kunnskaper for å bli helt anonym.

Her er noen enkle metoder for å gå om DLD som jeg Googlet frem på 10 minutter:

  1. Alt: Bruk en komersiell anonymisert VPN-leverandør som http://www.hidemyass.com/. Denne fungerer flott for absolut alt inkludert alle typer web, chat og mail.
  2. Alt: Bruk naboens/caféens WLAN: Husk at det er to ting som fortsatt kan spores, så 1) bruk Internet Explorer i InPrivate modus og 2) endre Mac-adressen på nettverkskortet jevnlig slik at ingen i ettertid kan si at det var deg. I dette tilfellet kan det også være lurt å sette brannmuren i strict mode slik at du må bekrefte all utgående trafikk.
  3. Filkopiering: For helt anonym filkopiering som ikke kan spores bruk en av de 30 klientene med tilhørende nettverk beskrevet på http://www.anonymous-p2p.org/.
    Disse klientene lages det bare flere og flere av etter hvert som underholdningsindustrien kjeppjager pirater.
  4. Alt: Hvis du ønsker å fortsette å bruke ditt favorittprogram kan et anonymiseringssystem som Tor hjelpe. Flere slike systemer er beskrevet nederst på http://www.anonymous-p2p.org/programs.html.
  5. Web: Bruk en gratis anonym proxy eller hent websider gjennom en webside-proxy som http://www.megaproxy.com/freesurf/.
  6. Web: Bruk en komersiell anonymiseringstjeneste som http://www.privacyview.com/Private_Proxy/proxy_features.aspx 
  7. Mail: Bruk en av de mange anonyme e-post tjenestene: http://anonymouse.org/anonemail.html, http://www.theanonymousemail.com/, https://www.anonymousspeech.com/Default.aspx
  8. Chat: De fleste IRC-nettverk har funksjoner for å anonymisere hostname. Hvis man i tillegg bruker et nettverk som støtter kryptering og eventuelt benytter Tor i bunnen så er samtalen sikker.

2 thoughts on “Datalagrinsdirektivet (DLD) zero-day exploit

  1. Pingback: Big Brother? « Tedd Hansen's Blog

  2. Thomas R

    “Jeg har jo ingenting å skjule…”

    Hvis personer med urent mel i posen får tilgang til data, da vil det legge til rette for svindel, utpressing og verre. Jeg stoler ikke på at disse enorme mengder informasjon vil kunne oppbevares trygt. Menneskelig feil, utro tjenere og svikt i programvare etc er ikke utenkelig; snarere tvert imot. En eneste glipp, et feiltrinn, og uskyldige mennesker vil rammes. Jeg påstår at å ta noen få kriminelle ikke er verdt en slik risiko for hele befolkningen.

    Forsvaret advarer mot faren mot rikets sikkerhet hvis vi innfører DLD. En fremmed makt kan da kartlegge nøkkelpersoner og med forholdsvis enkle midler lamme vitale deler av samfunnet. DLD kan bli et verktøy for terrorister og organisert kriminalitet. Litt synd, siden det er nettopp dette direktivet er ment å beskytte oss mot…

    Innføring av DLD vil bli startskuddet for en elektronisk krig uskyldige, lovlydige mennesker vil tape.

    Reply

Leave a Reply