Tag Archives: security

“Mejlbedragarna” är inte farliga

Posted on by
14

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…

Misstanke om dataintrång. Ansluta till internet olagligt?

Posted on by
39

Mitt juridiska ombud antecknar uppdateringar och utvecklingen kring misstankarna och den förundersökning som sker i samband med tillslaget på mitt kontor.

Ikväll sänds ett specialinslag på UmeTV om detta tillslag klockan 19.00. Ni kan se webströmmen på UmeTVs webtv, om ni inte bor i Bostaden-lägenhet i Umeå: http://radio.piracy.se:8000/umetv (Ogg/Theora+Vorbis)

Senaste händelserna är i alla fall alltså att jag, efter förhöret igår, nu är misstänkt för dataintrång. Brottsrubriceringen är alltså “dataintrång”. Och jag är sedan mitt frivilliga förhör igår misstänkt för detta. Igår var jag endast hörd “som annan”. Således hade mitt namn aldrig angivits i anmälan.

En fundering som dök upp nyss var att detta innebär att jag inte kan åtala kommunen för falsk tillvitelse. Visst, skadestånd för att min verksamhet varit trashad under beslagstiden är ju givet. Men de som anmälde internetanslutningen bör rimligen stå till svars för ett sådant missbruk av statliga resurser när jag ändå inte döms för något.

I vart fall, den aktuella lagparagrafen om dataintrång är ju i alla fall helt galet icke-överensstämmande med situationen. Det man från åklagarens sida har pekat på är en paragraf i lagboken där dataintrång beskrivs som att man allvarligt stör eller hindrar användningen av en “uppgift som är avsedd för automatiserad behandling”.

9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

I praktiken betyder detta att jag måste ha “allvarligt stört” kommunens administrativa nät för att vara skyldig. Detta misstänks jag alltså vara genom att koppla in en dator i ett uttag varpå jag automatiskt tilldelas ett IP-nummer som jag utan problem kan ansluta med över internet till andra datorer. (kommunens nät är blockerat utifrån dock, varpå jag behövde VPN-tunneln för att komma åt data från kontoret t.ex. i situationer ute på fält och saknar hårddiskar + strömförsörjning…)

Men okej. Det som IT-kontoret har hakat upp sig på var att jag inte hade ett skrivet avtal har jag fått veta. Det är väl inte undra på dock, när jag aldrig blivit ombedd att skriva under något sådant. Särskilt när jag i projektbeskrivningen för Livestation Hamnmagasinet, dvs vad föreningen hethane gjorde i kontoret, skrev att det skulle sändas livevideo över internet till UmeTV. Kopplar man därefter in en kabel i väggen på sitt kontor, vilket ger omedelbar internetanslutning, så förutsätter man att det är tänkt att det ska fungera så.

Och för att kommentera lite djupare för detaljer:

Umeå kommun har ej ännu delgivit nätverksstatistik. De har påstått att jag har stört trafiken å det grövsta, typ. “Mycket trafik mot ett IP-nummer” sades det ju. Detta har polisen alltså inte fått se skärmdumpar av och då ej heller förundersökningsledaren som beslutade om att genomföra tillslaget. Man har alltså från kommunens sida hävdat hög belastning och att detta då skulle vara dataintrång.

Inga egna åtgärder, inga bevis, ingen misstänkt – ingenting har “Umeå IT-kommun” levererat. Men dataintrång, det ska det tydligen vara.

Jag vill förövrigt påpeka att jag inte stöder konspirationsteorierna om att detta skulle vara med anledning av att jag är medlem i Piratpartiet. Jag förstår att man kan tänka sig det, samt att många pirater gärna läser in mer i medlemskapet (fuck the etablissemang-retoriken etc.) än bara principerna. Men gör man det och tror att man blir utsatt för sådant här pga partitillhörighet är man dum i huvudet.

“En tredjedel av kommunens trafik” har det påståtts – men det är väl ingenting? Kontorsdatorer tar ju knappt någon bandbredd – och är avstängda under kväll och natt, medan mina är igång dygnet runt typ. Och att påstå att det skulle lida brist på kapacitet är ju bara löjligt, särskilt när mina mätningar som sagt gett 50-100 KiB/s i normallägen.

Jan Långström, en super awesome dude, är vad jag förstått högsta hönset på IT-kontoret. Han är cool, tycker bra saker etc. och gillar fri mjukvara. Han förklarade i ett mail till VK att jag “förbigått säkerhetsåtgärder”. Det hade jag förstått om jag hade knäckt någon säkerhet, typ spoofat min MAC-adress eller så. Han vidarebefordrade nog bara uppgifter från IT i övrigt dock, troligen relaterat till mitt Ubuntuprojekt, då elevers Ubuntudatorer anslöt över wlan->mittkontor->internet. Dock fortfarande genom helt legitima anslutningar som tillåtits av kommunens switchar och routrar. (sedan har den lösningen inte varit aktiv sedan november typ…)

Dagens artikel i Västerbottens Kuriren om gårddagens tillslag. (2009-01-20)

Henrik Alexandersson orsakade min temporära webserver att kolavippa under dagen. Leif Ershag drar slutsatsen att ärendet påvisar stora brister i kapacitet i Umeå kommuns nät. Noteras görs även att Forskningsavdelningens hemsida drabbades, som hade klarat sig från tillslaget i deras lokaler.

http://ershag.se/2010/01/20/riksdagskandidat-anklagad-for-dataintrang/

Computer security and theories on passwording

Posted on by
7

I believe in simplicity. Not only that things should be simple (though not necessarily easy, just logically basic). Things like security through obscurity and unnecessarily complicated password schemes are all bad ideas.

That said, I don’t like Jakob Nielsen’s suggestion to implement cleartext password boxes. Many others have reacted to this as well, with various reasons.

Nielsen has some good points. Very farfetched, but good nonetheless. Masked passwords make users uncertain, which causes them to choose “overly simple passwords”. Some argue that “most people type from muscle memory“. I do that too, but I argue it only complies to “most people who actually consider security hazards”. We’re more self-encouraged to choose strong passwords and generally more computer-savvy. Most actual computer users have visual or literal memories. They remember/verify the password when they see it.

Also, muscle memory doesn’t work for handheld devices. So Nielsen makes a good point, if it weren’t for shoulder surfing. Though Schneier mentions a reader comment referring to a marvellous solution for that:

A reader mentioned BlackBerry’s solution, which is to display each character briefly before masking it; that seems like an excellent compromise.

But… The problem of good passwords isn’t solved. I strongly doubt that Nielsen’s cleartext boxes will make users choose something they wouldn’t be able to type when they’re drunk. (even though it’s a good idea in the sense of Gmail’s math security)

My personal theory is – in compliance with my love for Occam’s razor – that it might not actually be a problem. Users will always choose easy passwords. So why not – and sorry for stepping on Nielsen’s usability toes – force changing of passwords once in a while? It’s a pain in the ass, I know. But then again, it probably only should  be implemented as perceived necessary depending on the service.

Another way out is if the use of OpenID became more widespread. OpenID would eliminate the problem with keeping track of which password is used where. Also I think it could be used to avoid password phishing attacks etc. if people were used to the process.

Generiskt inlägg om buss, flyg och security through obscurity

Posted on by
Reply

För två veckor sedan var jag ju på mediaträning i Uppsala med anledning av min roll som EU-kandidat för Piratpartiet. Då beställde jag av någon anledning med crap-SJ (buss+tåg) som totalt kostade 950kr ner och upp. Helt galet dåligt egentligen, men jag tänkte mig att “åhå, någon timme kortare restid är det värt” eftersom alternativet hade varit buss hela vägen för 830kr typ. Vilket hade tagit kanske 1-2h extra.

2h för 120kr. 1kr/min. Så värt är inte X2000 kan jag säga. Inte utan internet! Och internet hade kostat extra. För hos Ybuss, där har man minsann internet under hela resan inbakat i priset. Då reser jag lätt 2 timmar extra, med tanke på att jag kan göra internetsaker under hela tiden. Med internet kan jag ju göra så gott som vad som helst, så det känns som en rätt värd deal!

Men alternativet är ju att flyga såklart. Flyga går jetefort och man kan få det billigare än 415kr. Fast då behöver man givetvis vara ute i väldigt god tid och dessutom gå med på att man inte får ta med sig i princip något bagage utan extra kostnad. Åtminstone inte med lågprisbolagen. Inte för att jag har med mig mer än en ryggsäck och sovsäck utöver mig själv, men det finns även andra anledningar att jag inte åker flyg.

Det är nu jag framställer mig som galen, paranoid och onödigt envis.

Flyget må vara en snabb väg fram, men allt vad som har med “säkerhet” att göra på flygplatser, flygen i sig och utvecklingen därikring… (andas…) är onödigt, kostsamt och inte minst meningslöst.

Hurvblrahurbvbla, jag uppdaterar det här när jag ätit min macka i lugn och ro på min härligt långa bussfärd.