Tag Archives: security

Walkthrough of Heml.is crowdfunding and nonsense

Here’s what you need to do a successful crowdfunding. Let’s take a newly born project for a “security” and “privacy focused” communication tool called Heml.is as an example. We’ll start by visiting their website, “secured” by a COMODO SSL certificate (despite Comodo’s history).

(Please note that I haven’t seen the video on the top, due to blocking javascript and Google domains. But I guess it matches the other cliches and non-informative wording.)

hemlis_app_handBig-ass iPhone picture. This tells you not only that it’s a handicapped application (an “app”) and that the designers and programmers enjoy promoting a locked-down, untrustworthy environment renowned for despising its own users.

Everyone knows a crowdfunding campaign will be more successful if you turn to the people who have no idea what their computers are actually doing. I guess because Apple users don’t question their faith in The Designer.

hemlis_ui_mocksMore iPhones. Remember, it’s not really the functionality or the interface of the software we want to portray. It’s that the producers love Apple and their locked-down platform. Nothing says “I don’t care about user rights and privacy” like promoting the iOS platform.

I didn’t even notice this “feature” until I started writing this: “Notifications > When friends join heml.is”. Wait, so they’re going to analyze and correlate of my friend list? While saying it’s a secure and privacy oriented backend?

dudesHappy, wild & crazy faces. Even better, the picture even represents the people behind the campaign. And because I see they’re happy people, of course they can be trusted! Because it’s not actually the software they say is designed for secure communication I have to trust – it’s them. Because they don’t look like suspicious government or business guys!

(waht is this i dont even)

We’re building a message app where no one can listen in, not even us. We would rather close down the service before letting anyone in.

Now finally, actual words rather than buzzwordy, fancy phrases and mockups. But wait, they’d rather “close down the service” before letting anyone in? … Granted, they (say they) can’t listen in on my communication – but it still has to pass their servers? And they can shut my communication down? Why’d I use something like that for secure communication, if I can’t even use alternative message paths?

Secrets are only secrets if they are secret.

Oh, haha, I get it! You’re being funny. Please, take my money to your no-strings-attached Paypal account. You had such pretty pictures.

Your server only?

Yes! The way to make the system secure is that we can control the infrastructure.

So please let the user control the infrastructure! Otherwise there’s no difference from using the internet in general. If I as a Swede have to pass NSA and FRA spy machines to get to your server, what’s the point of letting you run the infrastructure? Whenever I connect to the internet – whatever infrastructure the third party in the communication runs is irrelevant. The only thing that matters is my personal setup – and the person I’m communicating with – verified by genuine cryptography.

What technology will Heml.is use?

We are building Heml.is on top of proven technologies, such as XMPP with PGP.

Alright, so that’s the cryptography part? Open technology with federation built-in? But still you’re going to require users use Heml.is servers – perhaps even with a custom-designed, probably closed source, client… And then use PGP? A system designed for a web of trust model where users verify authenticity of each other and not the infrastructure. So why lock it down to your own network? And how will the age-old problem of key (and subkey) signing and trust verification be solved in the “user friendly” manner?

Will Heml.is really be anything else than an e-mail client with GPG? I doubt it. Except that crucial bits of security – i.e. user control – is stripped out.

Oh. And if you’re using PGP for the application… It was pointed out in Umeå Hackerspace’s IRC channel that there’s no public key published on any well-known keyserver for any address on the project’s domain (and of course not on the website itself either):

gpg: key “heml.is” not found on keyserver

I’ll finish up with this quote:

<zash> vaporware
<zash> until proven otherwise

#grill-bit @ irc.umeahackerspace.se

“Mejlbedragarna” är inte farliga

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…

Misstanke om dataintrång. Ansluta till internet olagligt?

Mitt juridiska ombud antecknar uppdateringar och utvecklingen kring misstankarna och den förundersökning som sker i samband med tillslaget på mitt kontor.

Ikväll sänds ett specialinslag på UmeTV om detta tillslag klockan 19.00. Ni kan se webströmmen på UmeTVs webtv, om ni inte bor i Bostaden-lägenhet i Umeå: http://radio.piracy.se:8000/umetv (Ogg/Theora+Vorbis)

Senaste händelserna är i alla fall alltså att jag, efter förhöret igår, nu är misstänkt för dataintrång. Brottsrubriceringen är alltså “dataintrång”. Och jag är sedan mitt frivilliga förhör igår misstänkt för detta. Igår var jag endast hörd “som annan”. Således hade mitt namn aldrig angivits i anmälan.

En fundering som dök upp nyss var att detta innebär att jag inte kan åtala kommunen för falsk tillvitelse. Visst, skadestånd för att min verksamhet varit trashad under beslagstiden är ju givet. Men de som anmälde internetanslutningen bör rimligen stå till svars för ett sådant missbruk av statliga resurser när jag ändå inte döms för något.

I vart fall, den aktuella lagparagrafen om dataintrång är ju i alla fall helt galet icke-överensstämmande med situationen. Det man från åklagarens sida har pekat på är en paragraf i lagboken där dataintrång beskrivs som att man allvarligt stör eller hindrar användningen av en “uppgift som är avsedd för automatiserad behandling”.

9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

I praktiken betyder detta att jag måste ha “allvarligt stört” kommunens administrativa nät för att vara skyldig. Detta misstänks jag alltså vara genom att koppla in en dator i ett uttag varpå jag automatiskt tilldelas ett IP-nummer som jag utan problem kan ansluta med över internet till andra datorer. (kommunens nät är blockerat utifrån dock, varpå jag behövde VPN-tunneln för att komma åt data från kontoret t.ex. i situationer ute på fält och saknar hårddiskar + strömförsörjning…)

Men okej. Det som IT-kontoret har hakat upp sig på var att jag inte hade ett skrivet avtal har jag fått veta. Det är väl inte undra på dock, när jag aldrig blivit ombedd att skriva under något sådant. Särskilt när jag i projektbeskrivningen för Livestation Hamnmagasinet, dvs vad föreningen hethane gjorde i kontoret, skrev att det skulle sändas livevideo över internet till UmeTV. Kopplar man därefter in en kabel i väggen på sitt kontor, vilket ger omedelbar internetanslutning, så förutsätter man att det är tänkt att det ska fungera så.

Och för att kommentera lite djupare för detaljer:

Umeå kommun har ej ännu delgivit nätverksstatistik. De har påstått att jag har stört trafiken å det grövsta, typ. “Mycket trafik mot ett IP-nummer” sades det ju. Detta har polisen alltså inte fått se skärmdumpar av och då ej heller förundersökningsledaren som beslutade om att genomföra tillslaget. Man har alltså från kommunens sida hävdat hög belastning och att detta då skulle vara dataintrång.

Inga egna åtgärder, inga bevis, ingen misstänkt – ingenting har “Umeå IT-kommun” levererat. Men dataintrång, det ska det tydligen vara.

Jag vill förövrigt påpeka att jag inte stöder konspirationsteorierna om att detta skulle vara med anledning av att jag är medlem i Piratpartiet. Jag förstår att man kan tänka sig det, samt att många pirater gärna läser in mer i medlemskapet (fuck the etablissemang-retoriken etc.) än bara principerna. Men gör man det och tror att man blir utsatt för sådant här pga partitillhörighet är man dum i huvudet.

“En tredjedel av kommunens trafik” har det påståtts – men det är väl ingenting? Kontorsdatorer tar ju knappt någon bandbredd – och är avstängda under kväll och natt, medan mina är igång dygnet runt typ. Och att påstå att det skulle lida brist på kapacitet är ju bara löjligt, särskilt när mina mätningar som sagt gett 50-100 KiB/s i normallägen.

Jan Långström, en super awesome dude, är vad jag förstått högsta hönset på IT-kontoret. Han är cool, tycker bra saker etc. och gillar fri mjukvara. Han förklarade i ett mail till VK att jag “förbigått säkerhetsåtgärder”. Det hade jag förstått om jag hade knäckt någon säkerhet, typ spoofat min MAC-adress eller så. Han vidarebefordrade nog bara uppgifter från IT i övrigt dock, troligen relaterat till mitt Ubuntuprojekt, då elevers Ubuntudatorer anslöt över wlan->mittkontor->internet. Dock fortfarande genom helt legitima anslutningar som tillåtits av kommunens switchar och routrar. (sedan har den lösningen inte varit aktiv sedan november typ…)

Dagens artikel i Västerbottens Kuriren om gårddagens tillslag. (2009-01-20)

Henrik Alexandersson orsakade min temporära webserver att kolavippa under dagen. Leif Ershag drar slutsatsen att ärendet påvisar stora brister i kapacitet i Umeå kommuns nät. Noteras görs även att Forskningsavdelningens hemsida drabbades, som hade klarat sig från tillslaget i deras lokaler.

http://ershag.se/2010/01/20/riksdagskandidat-anklagad-for-dataintrang/

Computer security and theories on passwording

I believe in simplicity. Not only that things should be simple (though not necessarily easy, just logically basic). Things like security through obscurity and unnecessarily complicated password schemes are all bad ideas.

That said, I don’t like Jakob Nielsen’s suggestion to implement cleartext password boxes. Many others have reacted to this as well, with various reasons.

Nielsen has some good points. Very farfetched, but good nonetheless. Masked passwords make users uncertain, which causes them to choose “overly simple passwords”. Some argue that “most people type from muscle memory“. I do that too, but I argue it only complies to “most people who actually consider security hazards”. We’re more self-encouraged to choose strong passwords and generally more computer-savvy. Most actual computer users have visual or literal memories. They remember/verify the password when they see it.

Also, muscle memory doesn’t work for handheld devices. So Nielsen makes a good point, if it weren’t for shoulder surfing. Though Schneier mentions a reader comment referring to a marvellous solution for that:

A reader mentioned BlackBerry’s solution, which is to display each character briefly before masking it; that seems like an excellent compromise.

But… The problem of good passwords isn’t solved. I strongly doubt that Nielsen’s cleartext boxes will make users choose something they wouldn’t be able to type when they’re drunk. (even though it’s a good idea in the sense of Gmail’s math security)

My personal theory is – in compliance with my love for Occam’s razor – that it might not actually be a problem. Users will always choose easy passwords. So why not – and sorry for stepping on Nielsen’s usability toes – force changing of passwords once in a while? It’s a pain in the ass, I know. But then again, it probably only should  be implemented as perceived necessary depending on the service.

Another way out is if the use of OpenID became more widespread. OpenID would eliminate the problem with keeping track of which password is used where. Also I think it could be used to avoid password phishing attacks etc. if people were used to the process.

Generiskt inlägg om buss, flyg och security through obscurity

För två veckor sedan var jag ju på mediaträning i Uppsala med anledning av min roll som EU-kandidat för Piratpartiet. Då beställde jag av någon anledning med crap-SJ (buss+tåg) som totalt kostade 950kr ner och upp. Helt galet dåligt egentligen, men jag tänkte mig att “åhå, någon timme kortare restid är det värt” eftersom alternativet hade varit buss hela vägen för 830kr typ. Vilket hade tagit kanske 1-2h extra.

2h för 120kr. 1kr/min. Så värt är inte X2000 kan jag säga. Inte utan internet! Och internet hade kostat extra. För hos Ybuss, där har man minsann internet under hela resan inbakat i priset. Då reser jag lätt 2 timmar extra, med tanke på att jag kan göra internetsaker under hela tiden. Med internet kan jag ju göra så gott som vad som helst, så det känns som en rätt värd deal!

Men alternativet är ju att flyga såklart. Flyga går jetefort och man kan få det billigare än 415kr. Fast då behöver man givetvis vara ute i väldigt god tid och dessutom gå med på att man inte får ta med sig i princip något bagage utan extra kostnad. Åtminstone inte med lågprisbolagen. Inte för att jag har med mig mer än en ryggsäck och sovsäck utöver mig själv, men det finns även andra anledningar att jag inte åker flyg.

Det är nu jag framställer mig som galen, paranoid och onödigt envis.

Flyget må vara en snabb väg fram, men allt vad som har med “säkerhet” att göra på flygplatser, flygen i sig och utvecklingen därikring… (andas…) är onödigt, kostsamt och inte minst meningslöst.

Hurvblrahurbvbla, jag uppdaterar det här när jag ätit min macka i lugn och ro på min härligt långa bussfärd.