»

Velika Britanija prepovedala preprosta tovarniška gesla

Slo-Tech - V preteklosti smo videli nemalo primerov, ko so zlikovci ali virusi dostop do računalniških sistemov pridobili z izkoriščanjem privzetih gesel, ki so bila prelahka. Neredko proizvajalci kot privzeto geslo nastavijo 1234, 12456, admin, password ali kaj podobnega. Takšne naprave praktično niso zaščitene, ker je gesla možno enostavno uganiti. Velika Britanija je z novim zakonom PSTI (Product Security and Telecommunications Infrastructure) prva država, ki je tovrstna gesla kratko malo prepovedala.

Proizvajalci pametnih telefonov, televizorjev, pametnih hladilnikov, digitalnih varušk in podobnih naprav bodo morali vsaj za spoznanje bolje zaščiti naprave. Novi zakon je začel veljati ta teden, prinaša pa še nekaj drugih novosti. Proizvajalci bodo morali javno objaviti kontaktne podatke, kamor bo možno prijavljati odkrite ranljivosti. Prav tako bodo morali jasno predstaviti politiko in časovnico izdajanja varnostnih popravkov za naprave. Izdelki, ki ne bodo spoštovali novega zakona, bodo...

34 komentarjev

Britanci prepovedali privzeta enostavna gesla

Slo-Tech - Britanski parlament je sprejel nov zakon, ki je namenjen zaščiti boljši zaščiti potrošnikov pred hekerskimi napadi na njihove pametne elektronske naprave, kot so na primer telefoni in televizorji. Odslej bo na Otoku prepovedana prodaja naprav, ki ne bodo izpolnjevale osnovnih varnostnih pogojev. Poleg tega zakon uvaja visoke globe, ki lahko dosežejo 10 milijonov funtov ali štiri odstotke globalnega letnega prometa podjetja, če podjetja ne bodo izpolnjevala pogojev. Za vsak dan kršitve se lahko izreče še 20.000 funtov tekoče glboe.

Novi zakon se imenuje PSTI (Product Security and Telecommunications Infrastructure) in med drugim prepoveduje uporabo generičnih tovarniških gesel, ki so bila svoj čas popularna in eden večjih razlogov za preproste vdore. Preprosta gesla, denimo admin ali password, so odslej prepovedana. Naprave bodo morale imeti unikatna gesla, ki jih ne bo možno enostavno uganiti. Zakon ureja tudi nadgradnje pametnih naprav, saj se v njih sčasoma odkrijejo ranljivosti,...

53 komentarjev

ECHR: Velika Britanija kršila človekove pravice s širokim prestrezanjem telekomunikacij

Sodbe ECHR - Evropsko sodišče za človekove pravice (ECHR) je danes v velikem senatu razsodilo, da je britanska tajna služba GCHQ s širokim prestrezanjem telekomunikacij kršila človekove pravice. Množično zbiranje podatkov je bilo nezakonito in v nasprotju s pravico do zasebnosti. Deljenje relevantnih zbranih podatkov s tujimi agencijami pa ni bilo nezakonito, so še odločili.

Odločitev pred velikim senatom je bila sklepna faza postopka, ki so ga leta 2013 začeli v neprofitni organizaciji Big Brother Watch. Skupaj s somišljeniki so po Snowdnovem odkritju o množičnem prisluškovanju vložili tožbo zoper državo. ECHR je večidel potrdilo odločitev na prvi stopnji iz leta 2018, s katero pa tožniki niso bili zadovoljni, zato se je primer preselil pred veliki senat.

Prestrezanje podatkov je bilo problematično zaradi treh napak. Prvič, odobrila ga je vlada in ne od izvršne oblasti neodvisno telo. Drugič, vnaprej ni bilo jasno določeno, katere ključne besede bodo odločilne za prestrezanje oziroma kako se...

10 komentarjev

Anonimizirani podatki niso zelo anonimizirani

Kian Attari in Dasha Metropolitansky

Slo-Tech - Ob vsakem odkritju, da različna podjetja prodajajo ali kako drugače naprej posredujejo podatke svojih strank (zadnji primer je Avast), ta jamejo poudarjati, da gre za anonimizirane agregirane podatke, iz katerih ni možno prepoznati posameznikov. A resnica je nekoliko drugačna. Študenta na Harvardu sta pokazala, da anonimizacija ni enosmerna. V veliko primerih je sorazmerno enostavno iz drobcev informacij identificirati njihovega lastnika.

Kian Attari in Dasha Metropolitansky sta to demonstrirala tudi v praksi. Izdelala sta orodje, ki se prekoplje skozi večje količine uporabniških podatkov. Za začetek je treba poznati drobec osebnih podatkov, denimo uporabniško ime ali elektronski naslov, nato pa orodje prečeše internet in vse pobegle kopice podatkov. Teh ne manjka, saj so napadalci v preteklosti uspešno napadli že številne strani. Čeprav je veliko teh podatkov anonimiziranih, v njih ni težko prepoznati resničnih ljudi. Ključ je v kombinaciji več pobeglih baz podatkov, saj se tako...

15 komentarjev

Indija želi sistem za množično prepoznavanje obrazov

Bloomberg - Po vzoru Kitajske tudi Indija želi postaviti enotni državni sistem za prepoznavanje obrazov, s katerim želi pomagati kronično kadrovsko podhranjeni policiji (1 policist na 724 prebivalcev, v Sloveniji je to razmerje 1:294). Prihodnji mesec načrtujejo objavo javnega razpisa za postavitev centraliziranega sistema, ki bi bil povezan s podatki, ki jih zajame več milijonov kamer po državi, in z drugimi bazami podatkov, denimo z bazo prstnih odtisov. Sistem bodo uporabljali za prepoznavanje kriminalcev, pogrešanih oseb in mrtvih, so dejali.

Nevladne organizacije, kot je Internet Freedom Foundation, so že izrazila zaskrbljenost. Indija je država, ki nima zakonodaje o varovanju osebnih podatkov in ki ima dolgo zgodovino cenzure interneta. Postavitev sistem brez ustreznih varovalk, ki ga bodo zgradile in verjetno tudi vzdrževale tuje multinacionalke, predstavlja potencialno veliko nevarnost.

V državi imajo slabe izkušnje s postavitvijo sistema Aadhaar, ki povezuje biometrične podatke...

10 komentarjev

V ZDA neopazno potrdili nov zakon o čezmejnem dostopu do podatkov o uporabnikih

Slo-Tech - V petek je ameriški predsednik Trump podpisal sveženj zakonov, med katerimi je tudi CLOUD Act. Gre za skupino ukrepov, ki urejajo regulacijo interneta in dostop do podatkov, in so skriti v obsežnem zakonu o izvrševanju proračuna. Z njimi si želijo ZDA zagotoviti lažji dostop do podatkov, ki jih imajo ponudniki storitev shranjene izven ZDA.

Več kot 2200 strani dolg paket zakonodaje, ki ga je podpisal predsednik Trump, v glavnem ureja zvezni proračun, da se ne bo ponovila ustavitev delovanja zveznih služb, a ima priključenih še nekaj zakonov kot CLOUD Act, je predstavniški dom potrdil v četrtek z 256 glasovi za in 167 proti. Ob tem je Jim McGovern, ki predstavlja Massachusetts in je član odbora za predpise, spomnil, da so besedilo zakonov (vseh 2232 strani) dobili šele v sredo zvečer,...

63 komentarjev

V Veliki Britaniji bo letu 2016 sledilo 1984

Slo-Tech - Kontroverzni britanski zakon IPA (Investigatory Powers Act) je danes dobil še podpis monarha (royal assent), s čimer je uradno stopil v veljavo. Večina njegovih določb se bo začela uporabljati 1. januarja, ko bo prenehal veljati zakon DRIPA (Data Retention and Investigatory Powers Act 2014), ne pa vse, saj vzpostavitev nekaterih sistemov terja čas in dodatna testiranja.

Spomnimo, da zakon uvaja obvezno hrambo podatkov o internetni aktivnosti uporabnikov (internet connection record) za 12 mesecev, ki jo bodo izvajali kar ponudniki dostopa do interneta. Hkrati zakon legalizira vrsto prisluškovalnih in vohunskih tehnik nad državljani, o čemer smo že pisali.

S tem je uradno končano sprejemanje zakona, ki so ga prvikrat predstavili lani in je v postopku obravnave pritegnil...

32 komentarjev

Velika Britanija z nadzorom interneta skočila v leto 1984

Slo-Tech - Ta teden se je zakonski osnutek Investigatory Powers Bill vendarle prebil skozi oba domova britanskega parlamenta, s čimer mu do uveljavitve kot Investigatory Powers Act 2016 (IPA) manjka le še podpis kraljice, kar je le še formalnost. S tem Velika Britanija uzakonja nadzor nad internetom, ki presega ureditev v vseh ostalih zahodnih državah. Številne organizacije za zaščito državljanskih pravic, med njimi tudi Amnesty International in EFF, so že med zakonodajnim postopkom izpostavile kršitve osnovnih pravic, ki jih zakon prinaša. Proti zakonu so se izrekle celo multinacionalke, kot sta Apple in Twitter, nekaj parlamentarnih odborov in Združeni narodi. V medijih se je zakona že prijel vzdevek Snooper's Charter, to poimenovanje so večkrat uporabili tudi poslanci med...

67 komentarjev

GCHQ prestrezala e-pošto svetovnih časnikov

Guardian - Dokumenti, ki jih je pridobil Edward Snowden, kažejo, da je britanska obveščevalna agencija GCHQ prestrezala elektronska sporočila med sodelavci nekaterih svetovnih časnikov. Pravzaprav česa drugega niti ni bilo pričakovati, glede na to da NSA in GCHQ prestrezata in shranjujeta vse mogoče, a je razkritje vseeno dvignilo veliko prahu, ker so udeleženi BBC, Reuters, Guardian, New York Times, Le Monde, Sun, NBC in Washington Post.

Pri tem je treba poudariti, da ni šlo za redno prisluškovanje, temveč desetminutni preizkus delovanja sistema, ki so ga izvedli novembra 2008. V tem času je sistem za prestrezanje, ki ga ima GCHQ nameščenega neposredno na podmorskih optičnih kablih, shranil 70.000 elektronskih sporočil. Nekritično so shranili vsa sporočila, od...

26 komentarjev

V Veliki Britaniji v izredni naglici sprejeli zakon o hrambi prometnih podatkov

Spodnji dom parlamenta razpravlja o zakonu. Glasovalo jih je 441.

Slo-Tech - V Veliki Britaniji je tudi zgornji dom parlamenta potrdil zakon DRIP (Data Retention and Investigatory Powers), ki ureja hrambo telekomunikacijskih prometnih podatkov in dostop do njih za organe pregona. Interventni zakon so sprejeli po izjemno hitrem postopku, saj jim je v vsega tednu dni uspelo dokončati proceduri v obeh domovih parlamenta in pridobiti kraljičin podpis. Navadno ti postopki trajajo več tednov ali mesecev.

Uradna razlaga, zakaj se je tako strašno mudilo, je aprilska sodba evropskega sodišča, ki je odpravilo evropsko direktivo 2006/24/EC o hrambi podatkov, ker je zaradi širokega obsega, nedefiniranih rokov hrambe in načina dostopa do podatkov predstavljala nesorazmeren poseg v človekovo pravico do zasebnosti in zaščite osebnih podatkov. Evropske države so direktivo v teh...

6 komentarjev

Žiga Turk: kdor ni z nami, je proti nam (2)

Temni časi

vir: Slate
Informacijski pooblaščenec - Maja letos nam je Evropska komisija zagrozila z kaznijo 13.000 evrov plus drobiž dnevno (!), če ne pohitimo z implementacijo ključne telekomunikacijske zakonodaje, ki prinaša dodatne pravice v dobro uporabnikov. Najbolj se mudi z novelo e-Privacy direktive (popularno ti. "cookie direktive"), ki ponudnike spletnih strani zavezuje, da od uporabnika pridobijo soglasje, še preden na njegov računalnik postavijo kakršnekoli ne-nujne HTTP piškotke -- takšne, ki niso potrebni za prijavo ali kaj podobnega. Na ta način se - recimo, glej režime ostalih držav - zagotovi, da bo uporabnik vnaprej seznanjen z vsakršnimi oglaševalskimi vključki, ki bo lahko potencialno zbirali podatke o njegovi spletni aktivnosti, posebej za potrebe profiliranja. Rok za...

51 komentarjev

Britanska vlada bo lahko posameznike prisila k razkritju šifrirnih ključev

Slashdot - Prvega oktobra je v Britaniji stopil v veljavo zakon Regulation of Investigatory Powers Act, ki v delu 3, sekciji 49 določa visoke kazni za osebe, ki preiskovalcem v primerih kazenskih ali terorističnih periskav ne bi želeli izročiti šifrirnih ključev.

Po novih zakonskih določilih lahko policija ali vojska od posameznika, za katerega domnevata, da ima šifrirne ključe ali gesla, zahtevata, da jim le-te izroči, oziroma izroči nešifrirano vsebino. Posameznike, ki bi se temu upirali in so osumljeni terorizma (verjetno večina), lahko doleti do 5-letna zaporna kazen, ostale (verjetno manjšina) pa do 2-letna zaporna kazen.

Zakonodaja zadeva vse primere, kjer se podatki ali šifrirni ključi nahajajo na strežnikih znotraj Velike Britanije. Zakona ni mogoče uporabiti v primeru šifriranih podatkov, ki jih preiskovalci prestrežejo na poti čez britansko ozemlje. Nekateri že opozarjajo, da bo ta zakonodaja iz britanskih strežnikov verjetno odgnala marsikatero internetno podjetje pa tudi banke,...

60 komentarjev