I flere år nå har utviklingen innen forbrukerteknologi og software gått i hovedsaklig én retning: Tilgjengelighet.
Man kan dele bilder, tekst og posisjon med få tastetrykk på mobilen sin, og trenden går mot enda færre tastetrykk for å oppnå dette.
Det som derimot begynner å bekymre meg er at denne tankegangen også brukes på ting som ikke tradisjonelt sett er elektroniske. Se for eksempel på biler, som i mange år har hatt et minimum av elektroniske duppeditter, men som nå kan låses opp bare ved å ha nøkkelen i nærheten av bilen - og startes ved å sette et elektronisk kort inn i et passende hull og trykke start. Dette virker tilsynelatende ganske kult (på en "Vi lever i 2010!"-måte), men når man tar i betraktning at nesten alt ellers i bilen styres elektronisk kan det fort bli verre. Hva vet vi egentlig om krypteringen denne trådløse nøkkelen bruker? Hvordan kan vi som forbrukere være 100% sikker på at det ikke eksisterer en feil i mottakeren for nøkkelsignalet som tillater f.eks. direkte styring av cruisekontrollen til bilen (tenk buffer overflow eller overskriving av tilfeldig minne i en bil som kjører 100 km/t). Hvor lett er det å kopiere slike nøkler? Kan man fange opp kommunikasjonen og dermed gjenkjenne en person med nøkkel eller en bil på et bestemt passeringspunkt?
Det siste punktet bringer meg inn på mitt neste tema innen tilgjengelighet. Det er mange som frykter et overvåkningssamfunn (se f.eks. saken om datalagringsdirektivet), men som ikke tenker over hvor ofte vi legger igjen elektroniske spor. Selv om sikkerheten på bankkort ble økt betydelig med overgangen til chip, så eksisterer det fortsatt informasjon om når og hvor du pleier å handle et sted der ute. Når man går på jobb er det kanskje et RFID-kort som tas i bruk for å komme inn, linket til deg, i stedet for de gamle nøklene. Det er billigere å deaktivere et mistet kort enn å bytte låsen, men nå er det plutselig mulig å vite når du kom og gikk. Det er heller ikke noe vanskelig å kopiere et RFID-kort, eller bare lese informasjon fra det. Dette kan også gjøres på forbløffende avstander (artikler fra 2004 nevner 11 meter, mener å huske å ha lest om enkelte på 25m). Med en god bunke RFID-kort i lommeboka di er det også mulig å vite at det er akkurat *deg* som går forbi samme plass - sett at noen har plassert en scanner der. De vet ikke at du er Ola Nordmann, men de vet at du er person #11, og med mange nok sendere kan man enkelt se folks butikkmønster i f.eks. en handlegate - ikke ulikt en tracking cookie som vi er kjent med fra internett. Det er mange flere momenter her (triangulering via tilgjengelige WLAN, mobiltelefon med GPS, overvåkningskameraer), men jeg tror dere skjønner poenget.
Trenden er altså å gjøre alt mer tilgjengelig, enklere å bruke, og i mangel på et bedre ord: behagelig. Alt skal bli trådløst og stilrent med runde kanter. Stasjonære maskiner har trådløse tastaturer, vi har trådløst internett, samt trådløs overføring av både lyd og bilde. Men hvor mange ville brukt trådløse tastaturer om de visste at enkelte av de bruker triviell XOR-"kryptering" som kan knekkes i løpet av et tjuetalls tastetrykk? Husk at slike tastaturer har en rekkevidde på nærmere 200 meter i friluft. Krypteringene som WLAN benytter har også fått juling gang etter gang, og er strengt tatt ikke noe sikrere enn å stå i huset ditt og skrike hvilke nettsider du besøker, dog på et fremmed språk. Mobiler med bluetooth, bluetooth-headset o.l. har også vist seg å ha ganske store sikkerhetshull tidligere - og har gitt opphav til programmer som "car whisperer", som lar deg snakke med tilfeldige bilister rundt deg som bruker sårbare enheter.
Hvor skal dette stoppe? Jeg er langt i fra noen paranoid person med sølvfoliehatt og Nyhetsspeilet som hjemmeside, men jeg aner en skummel trend her. Når det kommer til lagring av data så gjør Datatilsynet en god jobb i å finne/undersøke brudd på lovverket, men jeg synes de har for lite makt. Påleggene følges sjeldent veldig fort, og dagsmulktene er uproporsjonalt små i forhold til profitten enkelte selskaper får av å ignorere affæren så lenge som mulig. Men hvem skal sikre oss mot oss selv? Jeg har utelatt å snakke om Facebook-integrasjon og hvordan folk bretter ut om seg selv på internett, men den forbrukerteknologiske utviklingen er en parallell til dette. Vi går med så mange duppeditter på oss som vi ikke aner hvordan fungerer, og dermed heller ikke hvor lette de er å manipulere. Et eksempel kan man nå se i USA, hvor de tar i bruk noen pennelignende dingser for å svare på spørsmålsrunder i timen og sjekke fravær. Ved å reverse-engineere denne har man med suksess klart å sniffe hva majoriteten har svart på et spørsmål og så svart dette selv, takket være dårlige protokoller.
Det er slike ting jeg føler vi må unngå. Mangler det nok kompetanse i de bestemmende leddene verden over, eller er dette et resultat av vårt ønske om å leve i "fremtiden"?
Man kan dele bilder, tekst og posisjon med få tastetrykk på mobilen sin, og trenden går mot enda færre tastetrykk for å oppnå dette.
Det som derimot begynner å bekymre meg er at denne tankegangen også brukes på ting som ikke tradisjonelt sett er elektroniske. Se for eksempel på biler, som i mange år har hatt et minimum av elektroniske duppeditter, men som nå kan låses opp bare ved å ha nøkkelen i nærheten av bilen - og startes ved å sette et elektronisk kort inn i et passende hull og trykke start. Dette virker tilsynelatende ganske kult (på en "Vi lever i 2010!"-måte), men når man tar i betraktning at nesten alt ellers i bilen styres elektronisk kan det fort bli verre. Hva vet vi egentlig om krypteringen denne trådløse nøkkelen bruker? Hvordan kan vi som forbrukere være 100% sikker på at det ikke eksisterer en feil i mottakeren for nøkkelsignalet som tillater f.eks. direkte styring av cruisekontrollen til bilen (tenk buffer overflow eller overskriving av tilfeldig minne i en bil som kjører 100 km/t). Hvor lett er det å kopiere slike nøkler? Kan man fange opp kommunikasjonen og dermed gjenkjenne en person med nøkkel eller en bil på et bestemt passeringspunkt?
Det siste punktet bringer meg inn på mitt neste tema innen tilgjengelighet. Det er mange som frykter et overvåkningssamfunn (se f.eks. saken om datalagringsdirektivet), men som ikke tenker over hvor ofte vi legger igjen elektroniske spor. Selv om sikkerheten på bankkort ble økt betydelig med overgangen til chip, så eksisterer det fortsatt informasjon om når og hvor du pleier å handle et sted der ute. Når man går på jobb er det kanskje et RFID-kort som tas i bruk for å komme inn, linket til deg, i stedet for de gamle nøklene. Det er billigere å deaktivere et mistet kort enn å bytte låsen, men nå er det plutselig mulig å vite når du kom og gikk. Det er heller ikke noe vanskelig å kopiere et RFID-kort, eller bare lese informasjon fra det. Dette kan også gjøres på forbløffende avstander (artikler fra 2004 nevner 11 meter, mener å huske å ha lest om enkelte på 25m). Med en god bunke RFID-kort i lommeboka di er det også mulig å vite at det er akkurat *deg* som går forbi samme plass - sett at noen har plassert en scanner der. De vet ikke at du er Ola Nordmann, men de vet at du er person #11, og med mange nok sendere kan man enkelt se folks butikkmønster i f.eks. en handlegate - ikke ulikt en tracking cookie som vi er kjent med fra internett. Det er mange flere momenter her (triangulering via tilgjengelige WLAN, mobiltelefon med GPS, overvåkningskameraer), men jeg tror dere skjønner poenget.
Trenden er altså å gjøre alt mer tilgjengelig, enklere å bruke, og i mangel på et bedre ord: behagelig. Alt skal bli trådløst og stilrent med runde kanter. Stasjonære maskiner har trådløse tastaturer, vi har trådløst internett, samt trådløs overføring av både lyd og bilde. Men hvor mange ville brukt trådløse tastaturer om de visste at enkelte av de bruker triviell XOR-"kryptering" som kan knekkes i løpet av et tjuetalls tastetrykk? Husk at slike tastaturer har en rekkevidde på nærmere 200 meter i friluft. Krypteringene som WLAN benytter har også fått juling gang etter gang, og er strengt tatt ikke noe sikrere enn å stå i huset ditt og skrike hvilke nettsider du besøker, dog på et fremmed språk. Mobiler med bluetooth, bluetooth-headset o.l. har også vist seg å ha ganske store sikkerhetshull tidligere - og har gitt opphav til programmer som "car whisperer", som lar deg snakke med tilfeldige bilister rundt deg som bruker sårbare enheter.
Hvor skal dette stoppe? Jeg er langt i fra noen paranoid person med sølvfoliehatt og Nyhetsspeilet som hjemmeside, men jeg aner en skummel trend her. Når det kommer til lagring av data så gjør Datatilsynet en god jobb i å finne/undersøke brudd på lovverket, men jeg synes de har for lite makt. Påleggene følges sjeldent veldig fort, og dagsmulktene er uproporsjonalt små i forhold til profitten enkelte selskaper får av å ignorere affæren så lenge som mulig. Men hvem skal sikre oss mot oss selv? Jeg har utelatt å snakke om Facebook-integrasjon og hvordan folk bretter ut om seg selv på internett, men den forbrukerteknologiske utviklingen er en parallell til dette. Vi går med så mange duppeditter på oss som vi ikke aner hvordan fungerer, og dermed heller ikke hvor lette de er å manipulere. Et eksempel kan man nå se i USA, hvor de tar i bruk noen pennelignende dingser for å svare på spørsmålsrunder i timen og sjekke fravær. Ved å reverse-engineere denne har man med suksess klart å sniffe hva majoriteten har svart på et spørsmål og så svart dette selv, takket være dårlige protokoller.
Det er slike ting jeg føler vi må unngå. Mangler det nok kompetanse i de bestemmende leddene verden over, eller er dette et resultat av vårt ønske om å leve i "fremtiden"?
