torsdag 24 september 2009
Europakonventionen och Europadomstolens praxis granskad om FRA-lagen är laglig
DN: Anders Lagerwall har i en prisbelönt uppsats vid Stockholms universitet granskat vad Europakonventionen och Europadomstolens praxis säger om hemlig övervakning av det slag som Försvarets radioanstalt (FRA) sysslar med. Särskilt har han tittat på aktuella rättsfall där tysk och brittisk lagstiftning prövats i Europadomstolen.
Europakonventionen och Europadomstolens praxis granskad om FRA-lagen är laglig
DN: Anders Lagerwall har i en prisbelönt uppsats vid Stockholms universitet granskat vad Europakonventionen och Europadomstolens praxis säger om hemlig övervakning av det slag som Försvarets radioanstalt (FRA) sysslar med. Särskilt har han tittat på aktuella rättsfall där tysk och brittisk lagstiftning prövats i Europadomstolen.
måndag 14 september 2009
Idag fick jag en inbjudan att "skapa en profil för mitt barn" på "Babybook". Jag har bara lagt upp en bild på E på Facebook. Ingen text att nu har vår solstråle kommit till jorden eller liknande. Funderar nu hur den algoritmen ser ut som Facebook kör för att hitta alla som fått barn..? Filtrering på antalet kommentarer med ordet "grattis" osv.? Åldersbestämning av människor på bilder?
lördag 8 augusti 2009
Mark Klamberg lägger upp artikel om Titan på Wikipedia
Mark Klamberg är min idol. Han har sammanfattat avslöjandet kring FRAs trafikdatabas Titan i en artikel påpå Wikipedia. Snyggt kortfattat och bra så att tex. journalister kan läsa innantill vad som hände förra sommaren. Titan avslöjades förra året två dagar före FRA-omröstningen om FRA skulle få spana även i kabel och inte bara i luften, som tidigare. Läs artikel om Tiatan på Wikipedia.
söndag 12 juli 2009
Cheney beordrade CIA att mörklägga
DN "I åtta år undanhöll underrättelseorganet CIA uppgifter om ett anti-terrorprogram för kongressen i Washington — på order av dåvarande vicepresidenten Dick Cheney." Har det hänt kan det hända igen.
fredag 10 juli 2009
Kapprustningen har flyttat ut på nätet?
Vilka ligger bakom de senaste dagarnas attacker [1] mot viktiga funktioner i USA? Attackerna sker på samma manér som dem i Estland och Georgien. Är det bara en övning inför vad som komma skall? Har kapprustningen flyttat till nätet?
Här har jag samlat ett antal bloggar som ger en ont i magen.
Klamber skriver om "Stockholmsprogrammet"
Henrik Alexandersson skriver i sin blog om FRA och EU och innehållet i Stockholmsprogrammet.
Pär Ström skrev för ett år sedan men han formulerar det jag tänker. Sverige är på väg eller är redan en att nod i Natos Echilon underrättelsenätverk. Att det är därför vi nedrustar hejdlöst. Han skriver att det kan verka konspiratoriakt, och jag hoppas att det är det. Jag är rädd att han kan ha rätt.
Det här börjar likna allvar nu...
Här har jag samlat ett antal bloggar som ger en ont i magen.
Klamber skriver om "Stockholmsprogrammet"
Henrik Alexandersson skriver i sin blog om FRA och EU och innehållet i Stockholmsprogrammet.
Pär Ström skrev för ett år sedan men han formulerar det jag tänker. Sverige är på väg eller är redan en att nod i Natos Echilon underrättelsenätverk. Att det är därför vi nedrustar hejdlöst. Han skriver att det kan verka konspiratoriakt, och jag hoppas att det är det. Jag är rädd att han kan ha rätt.
Det här börjar likna allvar nu...
måndag 22 juni 2009
Övervakning och registrering av icke misstänkta inte längre en borgerlig fråga. Den betraktas idag som Piratpartisisk.
P J Anders Linder skriver i sin krönika "Rädda för din egen skugga?" i SvD igår om att de tidigare borgerligt leiberala idén om den fria människan idag drivs hårdast av Piratpartiet. "Friheten är ett av politikens mest grundläggande värden. Frihet innebär bland annat att staten visar respekt för enskilda människors inkomster, fri- och rättigheter och privatliv. Tyvärr har frihetsfrågor inte engagerat de etablerade partierna på sistone." ... "inget märkvärdigt som stod i SvD i söndags, bara klassiskt borgerliga åsikter om att det är viktigt med individperspektiv på rättsfrågor och skatter och med ett tydligt nej till långtgående övervakning och registrering av människor som inte misstänks för brott. Det märkvärdiga är att dessa åsikter blir betraktade som uttryck för piratpartism. Så långt har det gått. Och en sak måste jag medge: det var inte många partiledningar utöver piratpartisternas som talade om frihet och integritet under EU-valrörelsen.
Riktigt bra skrivet och mitt i prick av PJAL. Var tog den liberala iéerna vägen skulle jag vilja tillägga!?
Riktigt bra skrivet och mitt i prick av PJAL. Var tog den liberala iéerna vägen skulle jag vilja tillägga!?
Oppositionens svar på FRA-lagen
Mark Klamberg kommentar som vanligt tydligt och klanderfritt det senste svaret från oppositionen på regeringens proposition inom FRA-lagshärvan. "Nu har oppositionen (s, v och mp) lämnat in sitt svar på regeringens proposition "Förstärkt integritetsskydd vid signalspaning" i form av en följdmotion. Enligt förväntningarna vill de riva upp den antagna lagstiftningen." Läs vidare på Klambergs blogg.
Frankrike: Nej till fildelningslag
DN. Beslut om fildelningslagen i Frankrike: Endast en domare har rätten att stänga av en person från internet.
fel 3Dsecure?
Köpte en wc-stol på en website och tvingades avbryta mitt köp när jag var i 3D-secure steget hos min bank för jag kom inte ihåg min PIN-kod på just det kortet. Det intressanta var att min betalning gick igenom utan att jag fullföljde allt på min bank... Svag implementation på websiten kan man undra?
..That means... there will be no difference between a Level 1 and a Level 2 merchant..
Sedan MasterCard skärpte kraven så att även Level 2-handlare ska revideras av en QSA, som jag noterade tidigare, gör PCI DSS News and Information nog en helt korrekt analys av det hela "...That means as far as PCI compliance is concerned, there will be no difference between a Level 1 and a Level 2 merchant." Så ni handlare som idag hanterar fler än 1 miljon men färre eller lika med 6 miljoner transaktioner och därför klassas som Level 2 av er inlösande bank, har till den 1 januari 2011 på er att kontakta ett QSA-företag och sätta igång en på-plats revision av en PCI DSS QSA.
MasterCards matis som visar de olika nivåerna.
MasterCards matis som visar de olika nivåerna.
Pirate Bay hjälper det iranska ordet
Digitaltrends.com rapporterar att Pirate Bay hälper en ny site kallad "Persian Bay" att ge iranska medborgare tillgång till Internet så de kan föra ut sin röst till resten av världen. Peter Sunde säger att "Demokrati är en bärande pelare i samhället ... Det här är exakt vad vi tycker är så viktigt med Internet" och fortsätter "Det har varit hundratusentals träffar på siten." [AP] [digitalpress.com]
lördag 20 juni 2009
Nya regler validering för MasterCards SDP för PCI DSS compliance
PCI DSS. Society of Payment Security Proffessionals rapporterar.
"Level 2 Merchants Required to Have On-Site Assessment by QSA
On June 15, 2009 MasterCard International introduced several changes to their Site Data Protection (SDP) program. Among these changes was a new requirement for Level 2 Merchants to undergo an on-site assessment by a Qualified Security Assessor in order to validate their PCI DSS compliance. The initial deadline for these validations is December 31, 2010.
Previously, Level 2 Merchants were required to submit an Annual Self-Assessment Questionnaire and undergo Quarterly Network Scans by an Approved Scan Vendor (ASV).
Level 1 Merchants Must Use QSA
In addition to the above announcement, MasterCard also announced that Level 1 Merchants must a Qualified Security Assessor for their validation assessment. In the past, Level 1 Merchants were able to self-assess and submit a Report on Compliance, provided an officer of the company signed the Report. Under the new Site Data Protection rules, this option is no longer available.
It should be noted that Visa Inc's site indicates that "Level 1 merchants should engage a Qualified Security Assessor to complete the Report on Compliance and provide the report to their acquirer. Alternatively, acquirers may elect to accept the Report on Compliance from a Level 1 merchant, provided that a letter signed by a merchant officer accompanies the report." (emphasis added) Information on Visa's merchant validation requirements can be found on their CISP site. "
"Level 2 Merchants Required to Have On-Site Assessment by QSA
On June 15, 2009 MasterCard International introduced several changes to their Site Data Protection (SDP) program. Among these changes was a new requirement for Level 2 Merchants to undergo an on-site assessment by a Qualified Security Assessor in order to validate their PCI DSS compliance. The initial deadline for these validations is December 31, 2010.
Previously, Level 2 Merchants were required to submit an Annual Self-Assessment Questionnaire and undergo Quarterly Network Scans by an Approved Scan Vendor (ASV).
Level 1 Merchants Must Use QSA
In addition to the above announcement, MasterCard also announced that Level 1 Merchants must a Qualified Security Assessor for their validation assessment. In the past, Level 1 Merchants were able to self-assess and submit a Report on Compliance, provided an officer of the company signed the Report. Under the new Site Data Protection rules, this option is no longer available.
It should be noted that Visa Inc's site indicates that "Level 1 merchants should engage a Qualified Security Assessor to complete the Report on Compliance and provide the report to their acquirer. Alternatively, acquirers may elect to accept the Report on Compliance from a Level 1 merchant, provided that a letter signed by a merchant officer accompanies the report." (emphasis added) Information on Visa's merchant validation requirements can be found on their CISP site. "
fredag 12 juni 2009
Google inte som Pirate Bay?
Andy Kessler på Forbes gjorde ett skönt konstaterande i sin artikel "The Inevitability Of Internet Pirates" igår. Han skriver att Google inte är i farozonen efter Pirate Bay-fallet i Sverige. "Fortunately, we in the U.S. rarely pay attention to Swedish laws. Did you know it's illegal in Sweden to repaint a house without a license and the government's permission? But along the lines of Supreme Court Justice Ruth Bader Ginsburg's remark--"Why shouldn't we look to the wisdom of a judge from abroad with at least as much ease as we would read a law review article written by a professor?"--I say bring on the Pirate Party!". Gillar hans superamerikanska inställning att de är bäst och kan allt. :)
tisdag 9 juni 2009
Pirate Bay dommaren inte jävig
DN "Pirate Bay-domaren Tomas Norström var inte jävig. Det anser Stockholms Tingsrätt i ett yttrande till hovrätten som utreder om rättegången ska tas om på grund av jäv.
...Men tingsrätten tycker att kritikerna är fel ute. Medlemskapet är bara ett sätt att förkovra sig i upphovsrättsliga frågor och det är inte jävsgrundande. Tvärtom understryker tingsrätten vikten av att domare förkovrar sig. Försvarsadvokaterna har också hävdat att Norström i praktiken blivit handplockad till målet i strid med de lottningsregler som gäller."
Jag håller nog med där. För att vara tillräckligt påläst inom det område man verkar kräver de allra flesta yrken att man förkovrar sig inom området. Att vara medlem i olika föreningar och prenumerera på deras nyhetsbrev etc. är ett enkelt sätt att hålla sig ajour på ett område.
...Men tingsrätten tycker att kritikerna är fel ute. Medlemskapet är bara ett sätt att förkovra sig i upphovsrättsliga frågor och det är inte jävsgrundande. Tvärtom understryker tingsrätten vikten av att domare förkovrar sig. Försvarsadvokaterna har också hävdat att Norström i praktiken blivit handplockad till målet i strid med de lottningsregler som gäller."
Jag håller nog med där. För att vara tillräckligt påläst inom det område man verkar kräver de allra flesta yrken att man förkovrar sig inom området. Att vara medlem i olika föreningar och prenumerera på deras nyhetsbrev etc. är ett enkelt sätt att hålla sig ajour på ett område.
Piratpartiet och Obama ger mer trygghet
Har inte hunnit kommentera att Piratpartiet faktiskt fick 7.1% i valet till EU-parlamentet. Det är en tydlig signal till Svenska Riksdagen (jag skriver inte Regeringen, eftersom Vänsterblocket var med att bulla upp för hela FRA-lagen. Borgerliga regeringen tog bara över det verk Socialdemokraterna hade börjat med...) att vi medborgare inte är några man bara kan köra över med integritetskränkande lagar hur som helst. Ni sa att vi inte förstod FRA-frågan, men förstår ni det här?! Svar på tal från folket. Vi har redan sätt att Reinfeldt har uttryckt att man "måste analysera valresultatet". Man kommer utan tvivel vilja sno röster från Piratpartiet, och göra precis som Piraterna vill; ta integritetsfrågan på allvar. Med Obama vid rodret i USA, kommer kraven på övervakning att sänkas, till förmån för en dialog med islamisterna. Det kommer ge problem för terror organisationernas rekryteringsfolk. Om USA börjar öppna upp, och inte föda mer hat, hur ska då terrororganisationerna rekryter folk?
Ny metod att begräsa Card Data Environmen?
tisdag 2 juni 2009
EU röstade för skydd för individen
DN: "En överraskande vändning av den liberala gruppen satte på onsdagen stopp för Telekompaketet i EU-parlamentet. Ministerrådets ståndpunkt förkastades och parlamentet röstade för den omstridda paragraf som kallas 138. Paragrafen handlar om vilka lagliga villkor som måste vara uppfyllda om någon ska få sin tillgång till Internet inskränkt, exempelvis som straff för illegal fildelning. Den lydelse som parlamentet nu röstade för säger att detta under inga omständigheter får ske utan föregående prövning i domstol."
Det är bra för det innebär alltså att man inte kommer kunna stänga ner någons internet-anslutning för att man fildelar, ett ganska litet brått.
DN skriver vidare "Däremot röstade parlamentet ja till en annan del av telekompaketet, det så kallade Harbour-betänkandet. Även där fanns ett omstritt motförslag, känt som tillägg 166, som handlade om internetanvändarnas rättigheter. Dess syfte var att garantera fri tillgång till innehåll och tjänster på nätet och slog fast att detta är en medborgerlig rättighet. Här accepterade parlamentet dock kompromissen från förhandlingarna med ministerrådet. Harbourbetänkandet antogs därmed i sin helhet. … dock troligt att även Harbourbetänkandet blir föremål för förlikning."
Det här är goda nyheter! Det finns krafter som värnar om Artikel 19 i FNs allmänna förklaring om de mänskliga rättigheterna: "Var och en har rätt till åsiktsfrihet och yttrandefrihet. Denna rätt innefattar frihet att utan ingripande hysa åsikter samt söka, ta emot och sprida information och idéer med hjälp av alla uttrycksmedel och oberoende av gränser." Min egen tolkning av denna korta text från FN är att den är rätt klar och tydlig. Att neka någon tillgång till Internet är att hindra denne i att söka, ta emot och sprida information.
måndag 18 maj 2009
Top-10 största intrången
De senaste 10 största kort-dataintrången. http://www.databreaches.net/?p=2862
Hartland - kortdata "in transit"
Nyckelfrasen från Heartlands VD och och CFO Robert H.B. Baldwin Jr. "were grabbing numbers with sniffer malware as it went over our processing platform..." Avslöjar att det handlar om kortinformationj "in transit" alltså inte lagrad kortdata som stals. Tex. har Microsoft lösningar för diskkrypton, vilket i detta fall inte skulle ha hjälpt. All transport över "öppna" nätverk (internet) ska ju skyddas enligt PCI DSS, men i det här fallet verkar det som att man sniffat trafik in transit på Hartlands interna nätverk. Det här verkar vara ett bra exempel varför man inte ska stirra sig blind på ett krav i taget i PCI DSS. Att fylla kravet att bara skydda data över öppna nätverk när det transporteras räcker alltså inte alltid. Att sikta på att bara fylla kraven för att bli "compliant" är inte det bästa sättet att undvika att råka ut för kortdataförlust. Ett informationssäkerhetsperspektiv där man utgår från informationen och bygger skydd i lager-på-lager, kan även likans vid en "lök" med inforamtionen i mitten och skyddande "ringar" av säkerhetsmekanismer runt om. Det är ett mycket mer effektivt sätt för företag att skydda sin käsnliga information.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Inbrottet på Hartland
Inbrottet på Hartland i min tidigare post hittades i januari. http://www.theregister.co.uk/2009/01/20/heartland_payment_breach/
Det kan kosta att bli av med kortdata
Det kan kosta att bli av med kortdata... http://www.theregister.co.uk/2009/05/07/heartland_breach_costs/
tisdag 5 maj 2009
En liten delvinst för den personliga integriteten
Angående Antipiratbyråns mejl till svenska torrentsajter i DN. och Ifpi trappar upp piratjakten i samma tidning.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
fredag 24 april 2009
Ipredkoll
ipredkoll.se är ett Piratbyrån-projekt som kommer hjälpa internauter, bloggare och journalister att granska den nya ipred-lagen. Här kommer du få reda på om ditt IP-nummer bevakas av de nyligen instiftade privata poliskårerna.
onsdag 15 april 2009
PCI for Dummies!
PCI for Dummies. Har bara skummat den lite men jag tror att den kan vara en bra start för den som är intresserad att lära sig mer om betalkortsstandarden PCI DSS. Själv åker jag till Amsterdam i slutat av april för att certifiera mig till Qualified Security Assessor QSA så jag kan göra PCI-revisioner av företag som vill certifiera sig mot PCI DSS. Med courtesy of Qualys...
Prenumerera på:
Inlägg (Atom)