Comments on: Nyhetsrunda FRA – vad händer? http://www.sossarmotstorebror.se/2009/11/nyhetsrunda-fra-vad-hander/#utm_source=feed&utm_medium=feed&utm_campaign=feed Tue, 29 Jun 2010 15:18:30 +0000 http://wordpress.org/?v=2.8.5 hourly 1 By: Felten Fabulerar » Blog Archive » Är FRA-tilläggen i våra lagar tandlösa? http://www.sossarmotstorebror.se/2009/11/nyhetsrunda-fra-vad-hander/comment-page-1/#comment-109 Felten Fabulerar » Blog Archive » Är FRA-tilläggen i våra lagar tandlösa? Fri, 20 Nov 2009 09:56:19 +0000 http://www.sossarmotstorebror.se/?p=314#comment-109 [...] mindre än två veckor kvar, innan FRA skall skarva in sina trådar på dina och mina kommunikationsvägar, så börjar det bli [...] [...] mindre än två veckor kvar, innan FRA skall skarva in sina trådar på dina och mina kommunikationsvägar, så börjar det bli [...]

]]> By: Stefan http://www.sossarmotstorebror.se/2009/11/nyhetsrunda-fra-vad-hander/comment-page-1/#comment-108 Stefan Thu, 19 Nov 2009 13:32:03 +0000 http://www.sossarmotstorebror.se/?p=314#comment-108 FRA har redan en enhet som hjälper myndigheter och statliga företag med datasäkerhet. De pysslar bland annat med intrångsundersökningar, för att kunna göra det krävs att de har koll på de allra senaste buggarna i olika programvaror. Det sker naturligtvis visst samarbete inom de kretsarna men det skulle förvåna mig stort om inte FRA själva också aktivt letar efter buggar i programvaror och operativsystem. Sitic (som var en av funktionerna som FRA skulle ta över) samlar och rapporterar om säkerhetsproblem. Precis den kunskapen som FRA redan har! Ur ett (gravt förenklat) samhällsperspektiv så har vi två stycken som gör väsentligen samma sak. Det verkar naturligtvis som en bra ide att samla det under samma tak. Problemet som jag ser det är inte att FRA kan utnyttja informationen för att göra intrång för att samla information, det gör de redan. Det är bra naivt att tro något annat. Problemet är inte heller att de kan välja att rapportera eller att utnyttja själva, det rapporteras inte om zero-day exploits idag heller. Det finns så gott som alltid ett fönster mellan upptäckt och rapport för att tillverkarna ska få möjlighet att komma ut med rättningar innan problemet blir allmänt känt. Det är i detta fönster spelare som FRA jobbar. Som jag ser det så är problemet att en funkion som Sitic:s kräver en helt annan inställning än den man förväntar sig av en underrättelsetjänst. Sitic ska vara öppna och tala om allt de vet, FRA ska säga så lite som möjligt och om de tvingas säga något kan man utgå ifrån att de ljuger. Risken är att Sitic i praktiken försvinner. FRA har redan en enhet som hjälper myndigheter och statliga företag med datasäkerhet. De pysslar bland annat med intrångsundersökningar, för att kunna göra det krävs att de har koll på de allra senaste buggarna i olika programvaror. Det sker naturligtvis visst samarbete inom de kretsarna men det skulle förvåna mig stort om inte FRA själva också aktivt letar efter buggar i programvaror och operativsystem.
Sitic (som var en av funktionerna som FRA skulle ta över) samlar och rapporterar om säkerhetsproblem. Precis den kunskapen som FRA redan har! Ur ett (gravt förenklat) samhällsperspektiv så har vi två stycken som gör väsentligen samma sak. Det verkar naturligtvis som en bra ide att samla det under samma tak.
Problemet som jag ser det är inte att FRA kan utnyttja informationen för att göra intrång för att samla information, det gör de redan. Det är bra naivt att tro något annat. Problemet är inte heller att de kan välja att rapportera eller att utnyttja själva, det rapporteras inte om zero-day exploits idag heller. Det finns så gott som alltid ett fönster mellan upptäckt och rapport för att tillverkarna ska få möjlighet att komma ut med rättningar innan problemet blir allmänt känt. Det är i detta fönster spelare som FRA jobbar.

Som jag ser det så är problemet att en funkion som Sitic:s kräver en helt annan inställning än den man förväntar sig av en underrättelsetjänst. Sitic ska vara öppna och tala om allt de vet, FRA ska säga så lite som möjligt och om de tvingas säga något kan man utgå ifrån att de ljuger. Risken är att Sitic i praktiken försvinner.

]]>