Fråga vad du vill i P3 samt följdfråga

Häromveckan närvarade jag i Sveriges Radio P3, i programmet “Fråga vad du vill” med programledare Hanna Palm. Temat var “Jag är en hacker” och lyssnare kunde skicka in frågor via mail, web och telefonnät.

Hanna Palm och Mikael Nordfeldth. Foto: Sebastian Claesson (Sveriges Radio)

Jag var rätt nöjd med min insats och även om frågorna huvudsakligen handlade om IT-säkerhet – hacking är ju all slags problemlösning och klurigheter såsom life hacks m.m. – så kände jag att det var en bra radiostund. Lyssna gärna!

Idag fick jag ett mail som uppföljning på detta radioprogram, en fråga om fulldiskkryptering. Tänkte jag kunde klistra in mitt svar här på bloggen i samband med att jag skriver om sändningen:

—-

Mailsvar på fråga efter radioprogrammet

Intressant avsnitt häromveckan. Jag överväger att själv kryptera mina diskar, och undrar därför om du kan rekommendera en passande programvara för W10?

Hej! Kul att du tyckte det var intressant. Hoppas mitt svar nedanför inte blir för långrandigt – men det känns som att jag heller skickar för mycket info än för lite på direkten .)

Av förklarliga skäl så kan jag inte rekommendera en bra lösning för Windows 10. Skälen är att du som användare saknar kontroll över programmiljön, det finns kända bakdörrar, operativsystemet utför aktivt beteendeanalys som inte går att stänga av och okontrollerat skickar okänd – ev. känslig – data tillbaka till Microsoft.

Jag hade varmt rekommenderat att titta på möjligheten att använda ett fritt licensierat operativsystem (såsom GNU/Linux, t.ex. Ubuntu vilket är bra och användarvänlig för nya användare): https://ubuntu.com/Det finns jättemånga GNU/Linux-alternativ – “distributioner” – som ser lite olika ut, har olika förinstallerade mjukvaror etc, Ubuntu råkar vara den som jag märker fungerar bäst). Vid installationen kan en välja om hela hårddisken ska vara krypterad.

Eftersom jag dock förespråkar att “åtminstone göra något” – även om en kör osäkra operativsystem – så kan jag åtminstone nämna alternativen. Det handlar ju främst om vilken hotbild en ser framför sig. För de allra flesta är det viktigast att skydda sig från någon som stjäl datorn som inte ska kunna ta över ens identitet – snarare än organiserad brottslighet eller statsmakter med oändlig budget och insyn (dock aktuellt för ex. grävande journalister).

BitLocker

Jag rekommenderar inte detta, först och främst. “BitLocker” är däremot Microsofts egna mjukvara för Windowssystem och det är därför enklast att få support till från Microsoft själva (om de ens ger support?!). Jag förutsätter att verktygen för detta följer med Windows.

BitLocker har med all största sannolikhet medvetna sårbarheter och bakdörrar, så om din verksamhet på något sätt är intressant för någon med genväg in hos Microsoft hade jag undvikit BitLocker. Är du grävande journalist mm. bör du inte använda Windows ö.h.t. – särskilt inte Win10 – pga den överhängande risken att skyddat källmaterial såsom dokument och bilder på något sätt förmedlas till tredjeparter (Microsoft, reklambolag de samarbetar med för att visa annonser i operativsystemet etc.).

VeraCrypt

Ovannämnda BitLocker är nog snabbast och enklast att få igång. Eftersom jag inte använder proprietär mjukvara såsom Windows, OS X etc. vet jag inte hur krångligt fulldiskkryptering är att aktivera med mjukvara från tredjepart – t.ex. VeraCrypt.

VeraCrypt är en uppföljare till TrueCrypt och liksom sin föregångare fri mjukvara (öppen källkod, så valfri säkerhetsexpert kan granska!). TrueCrypt lade ner sin verksamhet för ett par år sedan men att döma av Wikipedia-artikeln på TrueCrypt så är det VeraCrypt som är den mest hälsosamma uppföljaren som samlar flest utvecklare.

Med VeraCrypt kan du, som jag tolkar informationen, genomföra fulldiskkryptering: “VeraCrypt can on-the-fly encrypt a system partition or entire system drive, i.e. a partition or drive where Windows is installed and from which it boots.”

Fulldiskkryptering gör dock systemet snäppet långsammare (pga all diskaktivitet kräver krypto-beräkningar) och jag vet inte om det finns eventuella andra bekymmer (tänk systemuppdateringar) i Windowsmiljön pga sluten, opålitlig mjukvara från Microsoft.

Det är ganska viktigt att kryptering märks så lite som möjligt i den dagliga användningen.

Ifall ovannämnda fulldisk-kryptering inte låter lockande, med snäppet sämre prestanda och så kan jag dock fortfarande rekommendera VeraCrypt för att skydda dokument. Det innebär att ditt RAM-minne fortfarande är okrypterat, webbläsardata m.m. (sparade lösenord t.ex) är generellt sårbart – men känsliga dokument kan åtminstone stängas in i ett säkrare skåp.

För att skydda t.ex. vanliga dokument så kan en med VeraCrypt göra “krypterade behållare” (containers): https://veracrypt.codeplex.com/wikipage?title=Beginner%27s%20Tutorial

Dessa “behållare” fungerar i praktiken som vanliga mappar/låtsashårddiskar och kan monteras och avmonteras vid behov. Egentligen är de dock en vanlig fil på hårddisken som bara råkar innehålla en massa krypterad data.

Se dock _alltid_ till att ha backups (bedöm själv om du vill att de ska vara krypterade eller ifall de är säkra på annat sätt). Glömmer du en lösenfras till krypteringen så är ju hela poängen med det att datat inte går att återskapa .)

Barnporr, Ygeman och kryptering

Ett mail jag skickade iväg alldeles nyss till två journalister.

Hej, jag läste två intressanta artiklar idag, en på vardera av era respektive nyhetssidor.

En, på di.se, handlade om Netclean, mjukvara som analyserar nättrafik och där tekniken kräver okrypterade anslutningar: http://digital.di.se/artikel/netclean-vill-stoppa-barnporr-pa-natet

Den andra, på sverigesradio.se, handlade om inrikesministern Ygeman som menar att Sverige _inte_ ska kunna kräva dekryptering av trafik och data eftersom det skulle skapa en orimlig hotbild.

Dessa två artiklar är alltså oerhört starkt sammankopplade. Netclean som idé skulle t.ex. aldrig fungera i en miljö där krypterad trafik är normen, vilket är vart vi är på väg och något Ygeman försvarar.

Ifall krypterad trafik _inte_ vore normen skulle det inte finnas säkerhet på internet, vare sig mellan företag eller privatpersoner eller banker eller stater. Vilket är den enda miljön massanalys à la Netclean skulle fungera i.

Huruvida det finns intressanta kopplingar att dras eller ej, eller om det kanske bara sår ett frö inför framtida skriverier om nätteknologi och hur sammanvävt internet gör allt (kan man dekryptera barnporr kan man även dekryptera allt annat, även legitimt skyddad information).

Det var bara det jag hade på hjärtat, tack & hej!

Klimatrådgivning för belysning

Mailade nedanstående till Umeå Kommuns klimatrådgivare utifrån en “5 tips”-kolumn i det kommunala bostadsbolaget Bostadens kundtidning “Hej” från oktober 2016 (sida 6, ej ännu tillgänglig på deras webb).

Hej, jag läste nyss dina tips för energismart belysning i Bostadens tidning “Hej”.

Två av tipsen är att byta ut befintlig belysning (snarare än invänta att den slutar fungera och växla vid det tillfället). Jag blir lite skeptisk till att det är försvarbart ifall man även räknar in den stora (ofta brunkolbaserade) energianvändningen som krävs vid nyproduktion av elektroniken i LED-belysning t.ex, kvicksilvret i äldre former av lågenergi-lysrör m.m.

Med den kännbara energiförbrukningen vid nyproduktion tänker jag mig inte bara frakt och lagerhållning i alla led från gruva till fabrik på andra sidan jordklotet till butiker utan även miljöpåverkan från just gruvorna och faktumet att det är vanligt för fabriker i produktionsländerna att drivas på kolkraftverk och på andra sätt vara miljöovänliga (även inräknat arbetsmiljö!).

Jag resonerar som så att det är oerhört stor skillnad mellan klimatsmart och ekonomismart – oftast är de dessutom sina motsatser. Borde alla verkligen byta ut sin belysning till kolkraftsproducerad elektronik bara för att minska lite på förbrukningen av vår förnybara el här uppe i Norrland? Vilka parametrar av det här slaget tog du i beaktning i svaren till Bostaden/Hej?

@umea.se accepterar falska domännamn

Jag undrar varför Umeå kommun tillåter ickeexisterande domännamn att skicka epost till sina servrar. Skickade häromdagen ett mail från cooldude33@fakemikel.yeah vilket gick rakt genom servrarna och ner i inkorgen hos mottagaren. Det finns ingen anledning att acceptera en sådan epostadress.

Kanske, kanske kan man tänka sig att myndigheter bör acceptera alla mail som inkommer – med anledning av allmänna handlingar, ev. rätt till anonymitet m.m. Dock måste man alltid även av tekniska skäl kunna dra en tydlig linje för att kunna uppnå en basnivå av användbarhet pga risken för spam/DDoS m.m. (men enbart rent tekniska skäl, inte i strid med nätneutralitet).

En sådan teknisk gräns kan (och bör) alltså vara att man inte tillåter falska avsändare. Jämförelsen med ett snigelpostat kuvert skulle vara att man antingen utelämnar eller skriver en felaktig avsändare på kuvertet. Till skillnad från postsystemet så kräver ju epost i vilket fall en avsändande mailserver – vilken måste ha ett IP-nummer för att kunna kommunicera över internet alls. Detta IP-nummer bör i sig i vilket fall ha en adress om man gör ett “bakåtuppslag” (dig -x 1.2.3.4). Vill man inte uppge sitt eget domännamn kan man alltså ange den mailserver som man använder sig av.

I och med det här borde man även komma ihåg att Umeå kommun länge saknade SPF-inlägg i DNS (tills jag tipsade dem). De saknar fortfarande t.ex. DKIM, men det har inte jag personligen heller satt upp så det vågar jag inte vara lika kritisk mot att de saknar. Man kan ju fundera dock på hur ofta någon på IT-avdelningen där sätter sig och ser över infrastrukturen. Förmodligen aldrig, förrän saker skiter sig för dem.

Helt fantastiskt är att man också gladeligen kan spoofa avsändare från välkända domännamn till @umea.se som dessutom skyddas med SPF, DKIM och dylikt, t.ex. @gmail.com. Ett stort bidragande problem i detta är förvisso att gmail.com inte har en avgörande SPF-regel (de anger “soft-fail” istället för att uttryckligen inte tillåta olistade servrar). Min personliga lösning är att reagera på “soft-fail” (~all) exakt likadant som en beslutsam regel (-all).

Så man kan åtminstone inte fejka mail från @umea.se till @umea.se hur som haver, eller t.ex. mellan @hethane.se och @umea.se för den delen. Skulle man vilja fejka mail från @umea.se måste man kontrollera någon av dessa servrar (dig -t txt umea.se och lite klipp och klistra):

ip4:91.123.56.128 ip4:193.75.92.154 ip4:193.254.4.5 ip4:193.254.7.81 ip4:193.254.7.205 ip4:195.234.14.133 ip4:193.254.7.74 ip4:193.254.4.57 ip4:193.254.4.60 ip4:193.254.4.73 ip4:193.254.4.74 ip6:2a00:1718:1:8::57/64 ip6:2a00:1718:1:8::60/64 ip6:2a00:1718:1:8::73/64 ip6:2a00:1718:1:8::74/64 ip6:2a00:1718:1:8::5/64

…intressant här är att utöver Umeå kommuns egna servrar så tillåter de även Microsoft att imitera epostavsändare (genom include:spf.protection.outlook.com) samt mjukvaruföretaget Visma och något till synes slumpmässigt företag, IT-konsulterna DataDuctus.

Tror även att /64-angivelsen på IPv6-adresserna innebär att alla adresser bakom 2a00:1718:1:8::/64 är acceptabla, inte bara ::{5,57,60,73,74}

Direktupphandlingar och annonser/reklam

Jag är nyfiken på hur lagen om offentlig upphandling gäller vid inköp av reklam.

Exempelvis den hypotetiska myndigheten “Umeo Kommun” som köper reklam från en hypotetisk asocial media-leverantör “Fasadbook”. Ifall beloppet av inköp överstiger 100 000kr förstår jag det som att särskilda krav kring dokumentation och riktlinjer behöver finnas. Ifall beloppet överstiger 534 890kr så måste inköpen ha skett genom att först annonseras ut.

Ifall inköpsbeloppet för reklam från Fasadbook exempelvis skulle överstiga 534 890kr – och den enda möjliga leverantören för detta är specifikt företaget som driver Fasadbook – kan en offentlig upphandling göras ö.h.t. då? Eller räknas alla marknadsföringsinköp (även utanför Fasadbook, t.ex. hos deras hypotetiska konkurrent Twatter) som köp “av samma slag”, som det benämns på er hemsida?

Det är ju nämligen väldigt svårt att offentligt upphandla reklam då det oftast _måste_ köpas direkt från en enskild plattformsoperatör med monopol över reklam- och tjänsteutbudet.

Eller blir det bara otillåtet för myndigheten “Umeo Kommun” att spendera mer än 534 890kr hos respektive enskilt reklamföretag (eller på reklam/annonser i helhet)?

Mailade ovanstående till Konkurrensverket och hoppas på ett informativt svar.

Programmerare ansvariga för vad deras kod gör?

En diskussion som är väldigt intressant kring självkörande bilar etc. är vem som bär straffansvaret vid olyckor m.m. Är det programmerarna (vars buggar kan orsaka olyckor), föraren (som inte kör), systemvetaren (som inte förutsåg alla situationer) eller företag (ledningen, som bär ansvar för produkterna i allmänhet)?

Vidare kan man fundera kring om programmerare verkligen bör kunna dömas för något man inte har rättigheter till, som en ingenjör (“hjälpt till att utveckla mjukvara”) nu råkar ut för: http://www.svt.se/nyheter/ekonomi/vw-ingenjor-erkanner-skuld

Nu vet jag inte hur harmoniserat det där är i EU/Tyskland/etc., men lek med tanken att man gör detta i Sverige: Mjukvaruutvecklare i Sverige har inga rättigheter till kod de utvecklar till sina arbetsgivare. De får inte välja varken licens eller ex. frigöra koden efter att anställningen upphör (och om det inte är fritt licensierat får de inte återanvända koden på andra företag!).

Ifall man inte kan påverka sin kreation pga den ägs till fullo av någon annan bör man väl inte behöva ta personligt ansvar? Volkswagen’s företagsledning är de som ska ta skiten (oavsett hur koden behandlas, förvisso). Precis som att om man utvecklar mjukvara för missiler så (förutom att man bör se över sin etik/moral) är man inte ansvarig för de som dödas av den.

Utveckling inom BankID’s marknadsställning och samarbete med Google

På GNU social så nämnde @pettter att det numera finns ett krav på Google Play Services för att använda Mobilt BankID.

Detta fick mig att tänka på ett ärende hos Konkurrensverket härom året där de beslutade att inte gå vidare (Konkurrensverkets diarienummer 350/2014) med att utreda ifall BankID utnyttjar sin dominans på marknaden (de är den enda generella lösningen för e-legitimation som används av Sveriges myndigheter).

Eftersom denna utveckling med inlåsning till Google och att man måste bli kund där påverkar flera aktörer på marknaden negativt eftersom samarbete med Google är långt ifrån lätt och inte minst saknar man förhandlingsutrymme mot en sådan jätte. Så jag mailade iväg detta till Konkurrensverket:

Hej,

den 26 maj 2014 beslutade ni (Dnr 350/2014) att inte vidare utreda eventuella konkurrens-/monopolöverträdelser utifrån BankID’s ovilja – trots sin marknadsdominans – att leverera mjukvara för GNU/Linux-operativsystem eller andra fria operativsystem (mjukvaran finns endast till kommersiella aktörer Apple, Microsoft, Google och inte tillgängligt ex. som källkod vilket skulle kunna möjliggöra tredjepart att utveckla stöd).

En viss utveckling i BankIDs fall har skett på sistone som dock kan intressera Konkurrensverket. Deras mobilmjukvara för Android-plattformen har tidigare gått att använda även i fria Android-alternativ (CyanogenMod, Replicant m.m.). Detta har dock ändrats och ett krav på “Google Play Services” har dykt upp för att använda “Mobilt BankID”-applikationen.

Detta innebär att användaren _även_ måste bli kund hos det annars helt orelaterade företaget Google, vilket har en direkt påverkan på konsumenters produktval och konkurrensmöjlighet på marknaden.

Telefontillverkare och operativsystemsutvecklare (såsom Jolla, Fairphone m.fl.) drabbas direkt negativt av detta eftersom de inte kan konkurrera på marknaden lika väl eftersom de inte har rätt att återdistribuera “Google Play Services”. Vill man ha fungerande Mobilt BankID, vilket är ett krav för alltfler myndigheters onlinetjänster, kan man inte längre göra detta utan att ingå i oansenliga avtal med någon IT-jätte.

Så som lekman tycker jag detta låter precis som något Konkurrensverket borde undersöka närmare.

(pettter nämner i en uppföljande notis att den bara säger att det in funkar, klickar man bort meddelandet funkar det än så länge… men poängen om missbruk av sin dominanta position på “marknaden” kvarstår då de _uppmanar_ till att bli kund hos Google för att kunna använda något som man i praktiken behöver för majoriteten myndigheters e-tjänster)

Nätneutralitet i EU till slut?

Som vi alla vet så har bl.a. Telia utnyttjat sin ställning på telekommarknaden till att premiera företag såsom Facebook och Spotify genom att sänka nätneutraliteten i sitt nät så att de blir gratis medan andra tjänster får en kostnad.

Ifall det går att kommunicera och lyssna på musik genom dessa kommersiella otjänster så kommer bl.a. ideella, ideologiska, världs- och internetvänliga alternativ att tryckas undan och bli otillgängliga samt svåranvända av kunderna hos dessa företag. Eftersom företag som Telia, som dessutom agerar på en väldigt sluten och kontrollerad marknad, är stora nog att välja vilka företag som får leva och dö måste detta regleras i lag, vilket kallas “nätneutralitet”. Att alla noder på internet är lika mycket värda och ska behandlas lika.

Jag läste på GNU social från Free Software Foundation att det nu klargörs i regelverken för EUs telekommarknad att nätneutralitet skall råda. Det måste nu testas för så kallad “zero rating” (nollkostnad) måste nu testas i varje enskilt fall i respektive land – där man ska göra bedömningen utifrån “marknadsandelen för internetleverantören, påverkan av konsumentens programval och hur utbredd verksamheten är” (“taking account for factors such as the market share of an ISP, effects on app choice, and the scale of the practice”).

Så jag hoppas verkligen att Telia (och 3? och vilka andra det nu är) förbjuds pyssla med att främja skev konkurrens på internet.

DRM-varningstexter borde införas i Sverige

Har noterat snack på sistone på GNU social om DRM-begränsning, vilket är exempelvis att du köpt musik som du har på din hårddisk men som du inte kan lyssna på utan att för _varje_ uppspelning (ev. med en kort cacheperiod) ansluta över internet till en server och fråga om lov – vilket förstås inte fungerar om t.ex. servern kraschat, företaget gått i konkurs etc. etc. Exempelvis kämpar Free Software Foundation vidare med att försöka stoppa standardiseringen av DRM i HTML5, ett resultat av Netflix lobbande för att begränsa möjligheterna med internet och webben.

Utöver detta så kampanjar EFF (fortfarande) om införande av varningstexter på produkter som är begränsade med DRM, Digital Restrictions Management alltså. Jag fick således motivationen att kolla med svenska Konsumentverket om de har några tankar kring produkter som säljs till kunder ovetandes eller oförståendes om denna inskränkning av konsumentens rättigheter.

Hej! Jag är nyfiken på hur Konsumentverket jobbar med planerat åldrande, alltså exempelvis förprogrammerad livslängd på bläckpatroner, svårigheter att uppdatera mjukvaror, DRM-begränsning där man inte äger produkten som köps utan bara en licens (ex. digital musik, ej “strömning”) medvetet dålig design som orsakar förkortad livslängd m.m.

Vilka krav finns på producenter och leverantörer? Vilka rättigheter har konsumenten? Finns det (ev. planer på) märkning av produkter som är artificiellt begränsade?

Frågor om kontanter vs. kortbetalning

En journalist från Västerbottens Kuriren kontaktade mig via okrypterad epost och frågade lite om kontanter, kortbetalning och spårning. Här är mitt svar med samtliga rader från hens mail inkluderat:

On 2016-07-19 10:11, [Namn] wrote:
> Jag heter [Namn] och arbetar på VK som reporter. Vi har lite tankar kring
> att det i höst kommer nya mynt och då kommer det inte längre att gå att
> betala med mynt när man parkerar.

Aha, var kommer informationen om att man inte längre kommer kunna betala med mynt från? Det är ju bara att konfigurera/programmera om myntinkasten i de existerande apparaterna för nya vikter m.m.

Kul kuriosa är att vi vid Hamnmagasinet, där jag jobbar, haft folk som kommit in och velat ta ut pengar i _mynt_ för att _kortbetalningen_ inte fungerat i någon vecka vid “Skeppsbron” (åtminstone t.o.m. slutet av förra veckan).

> Vi går mot ett allt mer kontantfritt
> samhälle, vi lämnar digitala spår efter oss

Ja, frågorna man borde ställa sig är:

1. Vem kontrollerar dina pengar/köp? (för både säljare/köpare – vem kan säga stopp för betalningar? Exempelvis för en fullt legitim webbutik som inte kan ta emot kortbetalningar)

2. Hur hög är säkerheten? Det finns saker som tvåfaktorautentisering m.m. vid internetköp, men oftast går det fortfarande att handla med bara kortnummer + CVC.
(Mobilt BankID gör ju det här ännu värre, om jag överblickar din låskod – t.ex. med mobil- eller övervakningskamera – och sedan stjäl telefonen, så äger jag din identitet)

3. Hur ofta hör vi inte om att bankerna har problem med att genomföra digitala transaktioner? Nu ids jag inte söka upp länkar till nyheter för allt, men min uppfattning är att det är problem med kortbetalningar på åtminstone en bank i taget en gång i månaden. Vad gör man när det elektroniska systemet inte fungerar?

4. Vad händer med uppfattningen om pengar? Det är min övertygelse att när man gör en virtuell betalning så har man inte samma uppfattning av värdet. Först och främst är det pedagogiskt uruselt för barn, som fostras in i en konsumtionskultur där man inte får en konkret uppfattning av hur mycket man spenderar – men även vuxna övertrasserar sina konton utan att veta om det. Vilket inte är möjligt om man rent fysiskt får slut på pengar i plånboken.

Snabba, ogenomtänkta betalningar gynnar konsumtion, vilket är det sista vi behöver när överkonsumtionen i är vad som orsakar majoriteten av allvarliga, globala problem (klimatförändring, utnyttjande av människor i tredje världen m.m.)

Samt spårningen förstås, vilket är ett kapitel för sig. Dock arbetar ju VK aktivt med att göra gratis reklam för spionbolag, övertala folk att underkasta sig absurda slutanvändaravtal, att man identifierar sig som fysisk person för att läsa nyhetsartiklar m.m. Så jag tänker mig att ni skiter i den aspekten helt och hållet egentligen.

> jag undrar om ni i
> Piratpartiet har något att säga om det.

Själv så lämnade jag Piratpartiet våren 2014 när det visade sig att intresset att faktiskt leva som man lär inte existerade. Planering, möten, diskussioner – allt – skedde på slutna, centraliserade spionplattformar såsom Facebook och Twitter, hos vilka jag ej var eller ville bli kund. Så jag är alltså inte med i PP längre .)

> Ring mig gärna, mitt nummer nedan.

Använder inte heller telefon av anledningen att det är centraliserat, osäkert och inte minst så undviker jag allt som kan tänkas gynna Telia vilka aktivt samarbetar för att underlätta övervakning i diktaturer m.m.

Kontakta mig gärna antingen över XMPP eller med OpenPGP-krypterat mail (och signerat). Min XMPP-adress och OpenPGP-fingeravtryck står nedan, samt bifogar jag min publika nyckel.


Mikael Nordfeldth
https://blog.mmn-o.se/
XMPP/mail: mmn@hethane.se
OpenPGP Fingerprint: AE68 9813 0B7C FCE3 B2FA  727B C7CE 635B B52E 9B31

Skrafsplatta för mmn-o.se