Tag Archives: Umeå Hackerspace

Hacknight för GNU Social och XMPP-integrering

Citerar Umeå Hackerspace-bloggen:

Hi hackers in the vicinity of Umeå! Prepare for a hacknight next Thursday (2013-07-18)! We’ll meet at the hackerspace at 17:00 (CET) to setup laptops (and pizza-secure them) after which we’ll start consuming these extra calories and hack away with GNU Social, prosody and various binding technology.

GNU Social is a federating social software under a free open source license. It is based heavily on StatusNet, which we had hacknights for last year. The hacknights are sponsored by a project that has received funding by Internetfonden (which is run by IIS/.SE).

De som känner att de vill leka runt med XMPP (Jingle) och WebRTC för att se hur man INTE behöver isolera sig till webben för utveckling av nätkommunikation är välkomna :)

Internetfonden ger stipendie till StatusNet Sverige

Jag har tillsammans med Umeå Hackerspace gett mig in på att utveckla den fria mjukvaran StatusNet. Beskrivning av projektet finns hos Internetfonden. Ni kan även lyssna på ett radioinslag i P4 Västerbotten med mig pratandes om fritt flöde av information på nätet:


20120611 – P4 Västerbotten – Internetfonden stöder StatusNet Sverige

För att möjliggöra decentraliserad sociala media har OStatus-protokollet utvecklats och implementerats i AGPLv3-form genom mjukvaran StatusNet. Det är med detta i grunden som StatusNet Sverige vill bidra till en fri, decentraliserad communityplattform för att göra det användarvänligt, tilltalande och allra mest sömlöst att migrera.

Projektledaren ska i samarbete med Umeå Hackerspace buggrapportera, laga buggar, förbättra användarvänligheten i StatusNet samt skriva ny funktionalitet. Arbetet sker i en egenkontrollerad upplaga av StatusNet-källkoden, men aktiv kommunikation och syncning kommer att ske tillsammans med StatusNet Inc, ett litet utländskt företag som idag är de huvudsakligen drivande.

Målet är att 2013 ha en mjukvaruversion av StatusNet som dels har egen valbar funktionalitet motsvarar slutna communitys mest populära funktionaliteter samt att det även ska vara lätt att migrera till för nybörjare. En ännu djupare integration med andra communitys API:er ska också utvecklas, där StatusNet Sveriges mjukvara i praktiken går att använda som en klient mot de slutna sidorna samtidigt som man är en nod i ett decentraliserat globalt OStatus-community.

Om man vill börja experimentera och testa StatusNet kan jag rekommendera huvudutvecklarens egna instans identi.ca samt den jag driver med hjälp av Piratpartiet, Free & Social.

Vi kommer att hålla i hacknights hos Umeå Hackerspace där vi letar buggar, mekar och trixar för att skapa en bättre och mer lättanvänd mjukvara utifrån StatusNet med ny och förbättrad funktionalitet.

Nedlagd anmälan och kommande RKF-busskort

Polisanmälan mot mig för “bedrägeri”/”urkundsförfalskning” är nedlagd, fick jag veta igår av polisen som förhörde mig. Trevligt såhär innan jul att slippa vara misstänkt för fängelsegivande brott etc. etc.

För ett par dagar sedan såg jag dessutom från Länstrafiken i Västerbotten att de överanvänder ordet “säkerhet” i nyheten om “nästa generations betalsystem” (som ändå redan hunnit bli beprövad!) för kollektivtrafiken. Tom Westerberg, ekonomichefen som uttryckligen försvarat anmälan mot mig, försäkrar läsarna att det nya systemet givetvis är mycket bättre. Man kan t.o.m. “växa i det nya systemet” (fast det är sluten och inlåst mjukvara).

Och för att säkerställa hela systemet har vi anlitat ett företag som ska analysera säkerheten i det nya betalsystemet inklusive busskortens säkerhet.

Tyvärr har ingen pratat med Umeå Hackerspace, som gärna hade hjälpt till med sin ideella kraft att analysera det nya systemet. Vi hade hoppats på att få hjälpa till, samt att de kanske från sin sida kunde visa lite ödmjukhet trots allt. Men nu övergår de enligt nyheten alltså till RKF-specifikationen för busskorten. Som t.ex. Västtrafik kört sedan 2007(?).

Men ändå – mycket trevligt. Säkra busskort som man inte kan spåra människor genom? I like it! Fast jag läste på Flashback igår, sådär huxflux, att RKF-korten hos Västtrafik ironiskt nog inte alls är särskilt säkra.

Hej Tom. Vad sade ert säkerhetsanalysföretag? Standard konsultbabbel? Oj. Surprise.

Och vad kostar de “nya” maskinerna som ska byta ut samtliga existerande bussläsare trots att de kör samma kommunikationstandard? Multum? Jag hade i alla fall inte betalat mer än 1000kr/st för hårdvaran, då det inte är mer än så det kostar för en Linuxburk, simpel fri mjukvara och valfri kortläsare. Vad har kostnaden blivit för Länstrafiken månntro? Inklusive alla konsulteranden fram och tillbaka. Slöseri med skattemedel om jag får säga det själv. Det är ju främst kommuner och landsting som betalar.

Och har man ö.h.t. analyserat sms-biljetterna? Eller ingår detta i den undanhushade RKF-specifikationen (som finns hos Internet Archive) som är för osäker för att vanliga dödliga ska få ta del av det? Till skillnad från fri mjukvara där säkerheten består av den allmänna granskningen, förstås.

Hackerspaces Studieförbund?

En idé kläcktes av en som är aktiv inom Umeå Hackerspace häromdagen – ifall Sveriges hackerspaces bör bilda ett studieförbund.

I mina ögon är det svårt att realisera alltför snabbt – och vad jag förstår mycket svårt att lyckas med pga internpolitik hos studieförbunden. Att döma av Sveroks erfarenheter tror jag det är en svår match att försöka vinna – särskilt med tanke på hur känslig informationsfrihet är inom politiken. Eftersom så gott som samtliga studieförbund är partipolitiska eller religiösa är risken stor att bli rent konkret utmobbad.

Följande fråga skickade jag i alla fall till Folkbildningsförbundet och kommer att skicka även motsvarande till Folkbildningsrådet:

Hej, jag är nyfiken på hur ett studieförbund bildas rent formellt.

Min bakgrund ligger i att jag, tillsammans med idag hundratals – snart tusentals – människor i Sverige är aktiva inom såkallade “hackerspaces”. Ett hackerspace är kort och gott en lokal, plats eller ett möte där människor träffas för att diskutera, lära sig något nytt och/eller pröva på sina kunskaper.

Det låter förstås inte särskilt nytt när man ser till en generell nivå, men hackerspaces över hela Sverige och världen har egenheten om tron på informationsfrihet – att ingen kunskap kan låsas in. Detta är en avgrundsdjup skillnad gentemot åsikterna hos organisationerna bakom så gott som alla etablerade studieförbund i Sverige idag.

Samtliga studieförbund med politisk och religiös anknytning har gång på gång arbetat mot idealen för information hos “hackare”. Av den enkla anledningen är det svårt principiellt att samarbeta med dessa, även om det förstås sker i cirkelform idag.

Sveriges hackerspaces är dock intresserade av en friare syn på information och kunskap i dagens informationssamhälle – och skulle kort och gott vilja starta ett eget studieförbund.

Därav ställer jag, med ett stort bakomliggande intresse, frågan hur Folkbildningsförbundet ser på motiveringen ovan och huruvida detta är något som ni tror är en god idé. Samt ifall ni har några tips och råd till en uppstartande, decentraliserad organisation som den vi hackerspaces representerar.

Missbruket av ordet hacker i media

Eftersom jag spontant lade märke till rubriken Pågående hackerattack mot vk.se så blir mitt inlägg rätt spontant också, även om det finns mycket på ämnet att orda om. Följande försökte jag skicka in som en kommentar till artikeln, men vet ej ännu om det faktiskt kom fram just på grund av överbelastningen.

Det är ju inte en hacker-attack ifall det bara handlar om ökad internettrafik.

DoS- eller DDoS-attack heter det då – och står för “[distributed] denial of service”. Vilket inte har något med hacking att göra.

Hacking är i grund och botten metoder/problemlösning – och DDoS har inget med något sådant att göra. Vänligen använd korrekt terminologi, typ “överbelastningsattack” eller så.

Mvh,
Mikael Nordfeldth
Umeå Hackerspace

Jag har även ringt redaktionen och noterat detta för Västerbottens Kuriren. Det känns i mina ögon fel att man spinner vidare på ett så missriktat bruk av ordet “hacker”. DDoS kan endast i undantagsfall ö.h.t. faktiskt användas som en metod för t.ex. säkerhetsanalys eller kringgående av hinder, vilket skälet sannolikt inte är i just denna attack. Det är snarare att jämföra med någon slags våldsam och högljudd fotbollshuligan – medan en hacker är någon som faktiskt tänker igenom en problemställning och försöker applicera en lösning.

Tidigare fall på senare tid av detta felaktiga ordval har varit vanliga gällande gruppen Anonymous som utfört överbelastningsattacker mot exempelvis Mastercard, Paypal och många andra för att protestera mot yttrandefrihetsattackerna som skett mot Wikileaks av majoriteten västländers regeringar. Anonymous utför en massa andra DDoS-attacker också, men även om man kan betrakta organisationerna de ger sig på som problem så är attackerna inte en lösning. Och därför är det inte hacking.

Notisen i sin helhet nedan:

Pågående hackerattack mot vk.se
Just nu är vk.se utsatt för någon form hacker-attack.

- Det är en jättestörning som gäller vk.se, folkbladet och apberget, berättar Anders Vännman, IT chef.
Attacken innebär att trafiken på sajten går trögt under perioder. Störningen är inte permanent, utan trafiken kommer och går.
- Vi har tagit kontakt med vår internetleverantör som undersöker hur man ska hantera situationen, säger Anders Vännman.

Publicerad: 24 mars 2011 kl 12.00

SR P4-intervju om busskorten

Jag medverkade idag i en intervju på Sveriges Radio P4 Västerbotten i programmet “Västerbotten Direkt” med programledare Gerhard Stenlund gällande busskorten och dess sårbarheter (arkiverat hos SR). Inslaget varade c:a 15:40-15:50 idag 2011-03-10:

Inslaget går givetvis att ladda hem i ett fritt format (Ogg/Vorbis).

Jag är som bekant polisanmäld för detta, med en högst oklar rubricering. Media har nämnt “bedrägeri”, men det låter ju faktiskt helgalet. Då måste det vad jag förstår innebära att gärningsmannen går (åtminstone försöker gå) med vinning samt rimligen orsakar skada för annan. Andra stycket här nedan är nog vad Länstrafikens advokat syftar till ska vara mitt brott:

Brottsbalken 9 kap. Om bedrägeri och annan oredlighet

1 § Den som medelst vilseledande förmår någon till handling eller underlåtenhet, som innebär vinning för gärningsmannen och skada för den vilseledde eller någon i vars ställe denne är, dömes för bedrägeri till fängelse i högst två år.

För bedrägeri döms också den som genom att lämna oriktig eller ofullständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverkar resultatet av en automatisk informationsbehandling eller någon annan liknande automatisk process, så att det innebär vinning för gärningsmannen och skada för någon annan. Lag (1986:123).

Jag menar att detta absolut inte gjorts så att det innebär vinning för mig eller skada för någon annan. Det har jag dessutom tydliggjort för Länstrafiken redan vid min första kommunikation. Samtliga bussresor jag gjort har betalats för genom att köpa busskort och nollställa dem eller bara inte använda korten. Det handlar om totalt sett ett 70-tal resor vilka har inhandlats kontant under den tid som mitt undersökande pågått, allteftersom jag kommit på fler potentiella modifikationer och detaljer kring informationen.

I övrigt tycker jag att intervjun gick bra men tar givetvis gärna emot kritik om någon har något att säga. Släng iväg en kommentar nedan bara. Berätta gärna vad ni tycker om såväl agerandet från mig och Umeå Hackerspace såväl som Länstrafiken i Västerbotten.

Syftet med busskort-fipplet

Huvudsyftet med min rapportering kring busskorten, vilket framgår i mailkommunikationen samt en VF-artikel, är sårbarheten i systemet och faktumet att vem som helst kan välja att förstöra för bolaget samt alla resenärer:

Han konstaterade att genom att bära magnetavläsaren i sin ficka kan han läsa av och radera information från en medresenärs busskort, bara de befann sig inom fem centimeters avstånd. Så om personen på sätet bredvid har sitt kort i fickan är det lätt att förstöra.
– Det är en stor grej. Folk kan sabotera ovetande människors kort, och det vill vi inte.

Det här är av samtliga resenärers intresse. Busskort kan nollställas, modifieras och dylikt utan fysisk kontakt. Kräv ansvar från de som implementerat systemet och uppmuntra dem att ta kontakt med oberoende tredjepart/experter innan en eventuell ny upphandling av biljettsystem (säljare är inte experter). Erbjud även er egen hjälp om ni råkar ha kunskap på området och ett intresse i att laga problem!

Att det sedan går att resa gratis är bara en konsekvens av sårbarheten i systemet och ett sätt att i praktiken missbruka systemet. Ett symptom på sjukdomen så att säga, vilket i sig inte går att eliminera med fler kontrollanter och hårdare tag vilket brukar vara den första lösning man greppar i panik.

Kommunikation och diskussion, vilket ger utveckling, är vägen till en hållbar och attraktiv lösning där kollektivtrafiken är en integrerad och uppskattad del av samhället. Övervakning och (godtycklig) kontroll uppskattas inte.

Umeå Hackerspace har (fortfarande) intresset att hjälpa Länstrafiken i Västerbotten med att upphandla och implementera en lösning som inte är lika sårbar.

En siffra närmare bussarnas kod i sms-biljett

SMS-biljetterna (säljinfo här) till lokalbussarna i Umeå (Länstrafiken i Västerbotten) ser ut à la såhär:

723 22
Enkelbiljett
Umeå tätort
Tid 2010-11-10 11:47
Giltig till 2010-11-10 13:17
18,00 sek
Ungdom
Till tel 46705657637
Kod 273510716

Alla hittills kända tidsreferenser gäller Giltig till-datumet. Koden (med exemplet ovan) är vad vi hittills vet strukturerad som följer:

  • 2 – Summan av slutdatumdagens tiotal och slutminuts tiotal. (1+1=2)
  • 73 – Beställande mobilnummers sista två siffror baklänges
  • 5hittills okänt
  • 10 – Slutdatums dag med ev. inledande nolla
  • 71 – Slutminut angivet baklänges
  • 6hittills okänt

Sedan senast har vi alltså luskat fram första siffrans betydelse. En god natts sömn kanske hjälper oss på traven till nästkommande upptäckter.

Vi som gör detta är Umeå Hackerspace, aka Grill-bit. Det görs för kuls skull och av principen att information ska vara fri. Fast mest för att det är kul. Problemlösning you know.

Det verkar som att de resterande två okända siffrorna är [beroende av] någon slags löpnummer. Detta klargörs med följande exempel:

uu *98 2010-10-25 16:55 2010-10-25 18:25 489825523 [8,3]
uu *98 2010-10-25 16:55 2010-10-25 18:25 489525527 [5,7]

Eftersom det är samma uppgifter till den grad man kan utläsa från biljetten får det åtminstone mig att tänka mig att skillnaden beror på ett löpnummer. Biljetterna beställdes mottogs i angiven ordning med c:a 11 sekunders mellanrum (16:55:34 och 16:55:45), även om det känns osannolikt att detta är den aktuella variabeln.

Spekulationerna är många. Är du intresserad av att hjälpa till att klura på vad det kan tänkas vara bör du ha en obefläckad tankegång, så läs inte alltför mycket av vad som spekuleras.

SUF Umeå pysslar enligt uppgift också med detta men har inte rapporterat några resultat än. Fast de länkade oss nyligen, så de hoppas väl på våra framgångar.

För rådata att arbeta med själv, kika in det tidigare inlägget [csv].