Kortlægge menneskekroppe gennem vægge

#Forskere på Carnegie Mellon University kan bruge #Wi-Fi-signaler til at kortlægge #menneskekroppe gennem vægge:

#Teknologien sporer nøglepunkter på kroppen med henblik på genkendelse, hvilket udvider tidligere forskning i brugen af #WiFi-signaler til at lokalisere personer.

Forfatterne til undersøgelsen mener, at gennembruddet er nyttigt for #privatlivets #fred, selv om det åbner #mulighederne for meget #nemmere og #billigere #sporing af #mennesker.

#Googles nye reCAPTCHA har en #mørk #side

Googles nye reCAPTCHA har en mørk side

Den nyeste version af botdetektoren #reCaptcha er usynlig for brugerne og har spredt sig til mere end 650.000 websites.

Det er godt for #sikkerheden – men ikke så godt for dit #privatliv.

Vi har alle sammen prøvet at logge ind på et websted eller indsende en formular, men er så fastlåst i at klikke på felter med trafiklys, butiksfacader eller broer i et desperat forsøg på endelig at overbevise computeren om, at vi ikke er en #bot.

I mange år har dette været en af de fremherskende måder, hvorpå reCaptcha – den af #Google drevne #internetbotdetektor – har afgjort, om en bruger er en bot eller ej. Men sidste efterår lancerede Google en ny version af værktøjet med det formål helt at fjerne denne irriterende brugeroplevelse. Når du nu indtaster en formular på et websted, der bruger #reCaptcha V3, vil du ikke se afkrydsningsfeltet “Jeg er ikke en robot”, og du vil heller ikke skulle bevise, at du ved, hvordan en kat ser ud. I stedet vil du slet ikke se noget som helst.

“Det er en bedre oplevelse for brugerne. Alle har fejlet en Captcha”, siger Cy Khormaee, reCaptcha-produktleder hos Google. I stedet analyserer Google den måde, som brugerne navigerer på et websted, og tildeler dem en risikoscore baseret på, hvor skadelig deres adfærd er. Khormaee vil ikke dele, hvilke signaler Google bruger til at bestemme disse scorer, fordi han siger, at det ville gøre det lettere for svindlere at efterligne godartede brugere, men han mener, at denne nye version af reCaptcha gør det utroligt svært for robotter eller Captcha-farmere – #mennesker, der får små beløb for at bryde Captchas #online – at snyde #Googles #system.
En #gammel #version af #reCaptcha. [Billede: med tilladelse fra Google]

“Du skal forstå, hvordan adfærden på #webstedet skal være, og efterligne den godt nok til at narre os,” siger han. “Det er et virkelig svært problem i forhold til det generelle problem med at “lade som om #jeg #er et #menneske”.” Webstedsadministratorer får derefter adgang til deres besøgendes risikoscorer og kan beslutte, hvordan de skal håndtere dem: Hvis en bruger med en høj risikoscore f.eks. forsøger at logge ind, kan webstedet opstille regler, der beder brugeren om at indtaste yderligere verifikationsoplysninger via to-faktor-autentifikation. Som Khormaee udtrykte det, “i værste fald har vi en lille ulejlighed for legitime brugere, men hvis der er en modstander, forhindrer vi, at din konto bliver stjålet”.

Ifølge det #tekniske statistikwebsted Built With #bruger mere end 650.000 websteder allerede reCaptcha v3; samlet set er der mindst 4,5 millioner websteder, der bruger reCaptcha, herunder 25 % af de 10.000 største #websteder. Google tester nu også en virksomhedsversion af reCaptcha v3, hvor Google opretter en tilpasset #reCaptcha til #virksomheder, der søger mere granulære data om brugernes #risikoniveauer for at beskytte deres websteds algoritmer mod ondsindede #brugere og #bots.

Men dette nye, risikoscore-baserede system er forbundet med en alvorlig modydelse: brugernes privatliv.

Ifølge to sikkerhedsforskere, der har studeret reCaptcha, er en af de måder, hvorpå Google afgør, om du er en ondsindet bruger eller ej, om du allerede har en Google-cookie installeret i din #browser. Det er den samme cookie, som gør det muligt for dig at åbne nye faner i din browser uden at skulle logge ind på din Google-konto igen hver gang. Men ifølge Mohamed Akrout, en ph.d.-studerende i datalogi ved University of Toronto, der har studeret reCaptcha, ser det ud til, at Google også bruger sine cookies til at afgøre, om en person er et menneske i reCaptcha v3-testene. Akrout skrev i en artikel fra april om, hvordan reCaptcha v3-simuleringer, der kørte på en browser med en tilsluttet Google-konto, fik lavere risikoscorer end browsere uden en tilsluttet Google-konto. “Hvis du har en Google-konto, er det mere sandsynligt, at du er et menneske,” siger han. Google har ikke svaret på spørgsmål om den rolle, som Google-cookies spiller i reCaptcha.

Med reCaptcha v3 viste teknologikonsulent Marcos Perona og Akrouts test begge, at deres reCaptcha-scoringer altid var lav risiko, når de besøgte et testwebsted på en browser, hvor de allerede var logget ind på en Google-konto.

Hvis de derimod besøgte testwebstedet fra en #privat #browser som Tor eller en VPN, var deres score højrisiko.

 

For at få dette #risikoscoresystem til at fungere korrekt skal #webstedsadministratorer indlejre reCaptcha v3-kode på alle siderne på deres websted, ikke kun på formularer eller log-in-sider. Derefter lærer reCaptcha med tiden, hvordan brugerne af deres websted typisk handler, hvilket hjælper den underliggende maskinlæringsalgoritme med at generere mere præcise risikoscorer. Da reCaptcha v3 sandsynligvis er på alle sider på et websted, er der en chance for, at Google, hvis du er logget ind på din Google-konto, får data om hver eneste webside, du går ind på, der er indlejret med reCaptcha v3 – og der er ofte ingen visuelle tegn på webstedet på, at det sker, ud over et lille reCaptcha-logo, der er skjult i hjørnet.

Khormaee ville ikke forholde sig til den måde, hvorpå #Google #bruger data til #reCaptcha på nogen måde, og henviste i stedet Fast Company til Googles #servicevilkår, som er linket under reCaptcha-logoet på de fleste websteder. Der var dog ingen henvisning til reCaptcha nogen steder i #servicevilkårene. Efter at denne historie blev offentliggjort, kontaktede Google Google for at sige, at reCaptcha’s API sender #hardware- og #softwareoplysninger, herunder data om #enheder og #programmer, tilbage til Google til analyse, og at tjenesten kun bruges til at bekæmpe spam og misbrug.

At Google opfordrer webstedsadministratorer til at installere reCaptcha på alle deres websteder og derefter dele de resulterende risikoscorer med disse administratorer er godt for sikkerheden, mener Perona, fordi han siger, at det “giver webstedsejere mere kontrol og synlighed over, hvad der foregår” med potentielle scammer- og botangreb, og systemet vil give administratorer mere præcise scoringer, end hvis reCaptcha kun bruger data fra en enkelt webside til at analysere brugeradfærd. Men der er en modydelse. “Det giver mening og gør det mere brugervenligt, men det giver også Google flere data,” siger han. Google ville ikke præcisere, hvad de gør med de data, de opsamler om brugeradfærd via reCaptcha, kun at de bruges til at forbedre reCaptcha og til generelle sikkerhedsformål.

Denne form for cookie-baseret dataindsamling finder sted andre steder på internettet. Store virksomheder bruger den som en måde at vurdere, hvor deres brugere bevæger sig hen, når de surfer på nettet, hvilket kan bruges til at levere bedre målrettede reklamer. Googles reCaptcha-cookie følger f.eks. den samme logik som Facebooks “like”-knap, når den er indlejret på andre websteder – den giver det pågældende websted nogle sociale mediefunktioner, men den fortæller også Facebook, at du er der. Google har tidligere sagt, at de data, der indsamles fra reCaptcha, ikke bruges til målretning af annoncer eller analyse af brugerinteresser og -præferencer. Efter at denne historie blev offentliggjort, sagde Google, at de oplysninger, der indsamles via reCaptcha, ikke vil blive brugt til personliggjort annoncering af Google.

Perona betragter Googles brug af reCaptcha som en “online-landtager”, der styrker Googles greb om internettet. Han mener, at reCaptcha på denne måde ligner andre Google-produkter som Accelerated Mobile Pages (AMP), et program, der skal gøre nyhedssiderne hurtigere at indlæse på mobile enheder, men som har skabt en vis foruroligelse hos udgiverne over, om Google tager webtrafikken fra nyhedssiderne.

Det samme gælder for Google Chrome, som Washington Post for nylig kaldte “#overvågningssoftware” (jeg er blandt dem, der har droppet Chrome til fordel for Firefox).

“Det er altid et tveægget sværd”, siger Perona. “Du vinder noget, men du giver også Google lidt mere kontrol over alt online.

Gevinsten er sikkerhed og en bedre brugeroplevelse, men privatlivets fred kan lide under det.

Google tog ikke stilling til eventuelle problemer med privatlivets fred og insisterede på, at reCaptcha v3 er et spørgsmål om virksomhedens ansvar. Virksomheden ser reCaptcha v3 som en måde at sikre en sikker og gnidningsfri online-oplevelse på. “Google er så dybt integreret i internettet”, siger Khormaee. “Vi ønsker at gøre alt, hvad vi kan, for at beskytte det.”

Kilde: https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side

Face ID og Touch ID – kan politiet tvinge mig til at låse min iPhone op?

#Face #ID og #Touch #ID – kan #politiet tvinge mig til at låse min iPhone op?
Hvis politiet har beslaglagt din iPhone og nu beder dig om at samarbejde om at åbne enheden, og #Touch-ID eller #Face-ID er aktiveret på enheden, bør du læse denne artikel, før situationen opstår.

Det vigtigste er at vide med det samme, når din iPhone er slukket. Så hvis du har brug for et grundlæggende input for at aktivere Touch ID eller Face ID først, så anbefaler jeg på det kraftigste, at du ikke udleverer denne kode. I denne forbindelse er det vigtigt at vide, at iPhone’s PIN-kode ikke bør bestå af fire cifre, men bør være meget længere og alfanumerisk, dvs. indeholde bogstaver og tal.

Men hvad nu, hvis du har aktiveret Face ID eller Touch ID på telefonen, og telefonen stadig er tændt, så den kan låses op med Face ID eller Touch ID? I praksis sker det ofte, at politiet enten tager sin finger og lægger den på Touch ID-feltet eller, i tilfælde af Face ID, holder iPhone foran den anklagedes ansigt i håb om, at den anklagede vil kigge ind i de tilsvarende sensorer, hvilket er det, der kræves, og dermed åbne telefonen. Her opstår naturligvis spørgsmålet:

– Er det overhovedet tilladt?
– Hvis det er tilladt, på grundlag af hvilken godkendelsesnorm er det så tilladt?

Så vidt jeg kan se, findes der ingen overretlig retspraksis om dette emne. I den såkaldte litteratur, dvs. faglitteraturen, er der imidlertid hovedsageligt to essays, der omhandler, hvad retsgrundlaget kan være for denne procedure fra politiets side, dvs. for at placere fingeren på sensoren eller for at holde den foran ansigtet for at bruge Face ID.

Og her er den enstemmige udtalelse, dvs. disse to forfatteres udtalelse, som desværre også er blevet kopieret fra mange kommentarer til retsplejeloven. Godkendelsesgrundlaget for dette er den bestemmelse, der regulerer identifikationsbehandlingen.
Den regulerer, at der kan tages #fotografier og #fingeraftryk. Med henblik på identifikationstjenesten, hvor der er tale om en officiel strafferetlig procedure, er det naturligvis et spørgsmål, hvad lovgiveren måtte have ment på dette punkt. I de to nævnte essays antages det uden problemer, at fingeraftryk eller fotografier er nødvendige i straffesager, dvs. med henblik på strafferetlig forfølgelse, og at det derfor er naturligt at bruge Touch ID-sensoren til fingeraftrykket eller Face ID til fotografiet.

Efter min mening er dette synspunkt imidlertid langt fra rigtigt. Det er heller ikke underligt, at man har denne opfattelse der, og hvis man ser på, hvem forfatterne til disse to essays er, vil man se, at den ene af dem var en statsadvokat i Bayern, som på det tidspunkt, hvor han skrev dette, var udstationeret i ministeriet og naturligvis lavede meget resultatorienteret forskning der, og det samme gælder for et andet essay. Her var forfatteren ansat i Cybercrime Unit i Nordrhein-Westfalen. Ingen af forfatterne er videnskabsmand, dvs. universitetslærer eller lignende, og ingen af forfatterne er strafferetlig forsvarsadvokat, så de har fundet på resultatet. I dette tilfælde søgte de efter et passende grundlag for godkendelse. Det er i hvert fald sådan, det forekommer mig.

Hvorfor mener jeg, at dette tilladelsesgrundlag ikke er tilstrækkeligt her? Hvis du siger, at du kan tage et fingeraftryk for at låse iPhone op, er det ganske enkelt. Selvfølgelig kan man gøre det, dvs. man kan tage fingeraftrykket, og så har man et fingeraftryk, enten i digital form, hvis man har gjort det med et passende apparat, eller på papir, hvis man har gjort det med maling. Hvis der så tages et sådant konventionelt fingeraftryk, kan man forsøge at bruge Touch ID med dette fingeraftryk, dvs. med billedet af #fingeraftrykket.

ChaosComputerClub (CCC) har lavet et eksperiment, hvor der blev lavet en fingeraftryksdukke, og denne dukke kunne faktisk låse en iPhone op med Touch ID. Ikke desto mindre er det naturligvis sådan, at alt efter hvor dygtigt du er til at lave dummyen, kan forsøget på at låse iPhone op mislykkes, for hvis du har lavet et vist antal mislykkede forsøg med fingeraftryksdummyen, vil iPhone på et tidspunkt bede om pinkoden igen og kan ikke længere låses, heller ikke med det rigtige fingeraftryk.

At tage et fingeraftryk er derfor slet ikke at sammenligne med aktiv betjening af en #biometrisk låsefunktion. Det princip, som man altid vender tilbage til her, er, at den anklagede ikke selv behøver at samarbejde om sin overførsel. Hvis man nu repræsenterer, at fingeren kan placeres på personen, så handler den anklagede udelukkende ved, at fingeren placeres på personen, han er tvunget til at gøre det, og det har heller ikke noget at gøre med en identifikationstjenestebehandling. Som sagt har identifikationstjenestens behandling kun givet et billede af fingeraftrykket, og om det så lykkes politiet at låse iPhone op med dette billede er et andet spørgsmål, men om man må bruge sin finger under direkte tvang, er ikke besvaret af dette.

Det er endnu mere vanvittigt med Face ID. Også her er de forfattere, der er nævnt i de tekniske dokumenter, naturligvis af den opfattelse, at brugen af Face ID, dvs. at kigge ind i iPhone, i sidste ende er sammenlignelig med at kigge ind i et kamera. I dette tilfælde kunne man altid fikse den anklagedes ansigt, fordi han altid kigger væk, så man kan tage billeder af hans ansigt. Men nu kan Face-ID slet ikke gøre noget som helst med et billede af ansigtet. Face ID projicerer et gitter af infrarøde prikker på ansigtet, dvs. den scanner ansigtet og sammenligner det med den scanning, der blev gemt på enheden, da Face ID blev oprettet. En sådan scanning kan slet ikke foretages med et trykt billede eller med et billede på en computerskærm, og derfor kan tilladelsesgrundlaget for at tage billeder af tiltaltes ansigt naturligvis slet ikke sammenlignes med at tvinge #biometrisk adgang til en anordning ved at tvinge tiltalte til dels at tillade den #infrarøde scanning gennem sin anordning og dels at kigge ind i anordningen.

Hvad får man nu ud af denne erkendelse af, at brugen af Touch ID og Face ID til biometrisk oplåsning af en iPhone ifølge det nok så vigtige synspunkt ikke må være tvang på retsgrundlaget for identifikationstjenesten? To ting: For det første bør du, hvis du antager, at der er betydelige data gemt på din egen iPhone, som kan dømme dig for at have begået en forbrydelse, overveje, om det måske er bedre ikke at bruge Face ID og Touch ID, for som sagt sker det i praksis, at politiet bruger Face ID og Touch ID til at låse enheden op, og hvordan den højere retsinstans vil vurdere dette på et tidspunkt i sidste instans, ved vi simpelthen ikke. Så vi kan ikke regne med, at de vil følge min holdning, og at det endda er ret sandsynligt, at vi, alt efter hvor vi ender, vil møde dommere, der er mere tilbøjelige til at følge holdningen til fordel for brugervenlighed. For overhovedet at kunne få dette spørgsmål undersøgt kræver det imidlertid, at man ikke fra starten sikrer sig, f.eks. ved at udlevere pinkoden, at politiet har adgang til apparatet, for så er dette spørgsmål alligevel ikke længere relevant i den videre procedure.

Hvis du ikke ønsker at undvære Touch ID eller Face ID, kan du gøre følgende. En iPhone har mulighed for at foretage et nødopkald ved at trykke på en tastekombination. Du bør aktivere denne indstilling. Hvis du så har mulighed for at holde telefonen i hånden igen, når politiet kommer, f.eks. fordi den ringer, eller fordi nogen råber “Åbn op, politi”, og #mobiltelefonen ligger ved siden af dig, kan du holde denne tastekombination nede, derefter afbryde nødopkaldet, og fra dette øjeblik skal du indtaste koden igen for at kunne bruge Touch ID eller Face ID.
Ellers er der også den såkaldte bloktilstand i iPhone. Du skal dog vænne dig til, at iPhonens normale funktioner er stærkt begrænsede, hvis du vil bruge denne blokeringstilstand.

 

Danmark Vågner logo

Tilmeld dig på vores ny telegram gruppe og få løbende opdateringer.

Følge vores telegramkannal: https://t.me/danmarkvaagner

Kom med i vores gruppe: https://t.me/danmarkvaagnergruppe

eller find os på: https://twitter.com/Danmark_Vaagner

Tilmelding nyhedsbrev: