Tag Archives: dataintrang

Dataintrång i Umeå kommun (igen)

Västerbottens Kuriren, vilka låser in sina artiklar bakom “plus”-symbolen så jag varken kan eller vill länka dem, publicerade idag en nyhet om dataintrång i Umeå kommun. Det gäller en “gymnasieelev, som för mindre än ett år sedan dömdes för två fall av dataintrång, är återigen misstänkt för samma slags brott”. En brottsrubricering som snarare borde vändas mot målsägande Umeå kommun för oansvarigt hanterade av känsliga uppgifter.

I och med publiceringen av denna information, eftersom jag misstänker att det inte framgår särskilt tydligt annars, tycker jag vi ska vara oerhört tydliga med var ansvaret ligger för den typ av dataintrång det gäller. Datorsäkerhet är ett snårigt träsk där man hela tiden måste hålla sig uppdaterad med fräsch information om nya hot. Denna uppgift ligger hos administratörer i ett nätverk. Se till att användarna inte kör program med sårbarheter, se till att obehöriga inte tar sig in utan korrekta uppgifter – och se till att dessa uppgifter (typ lösenord) byts ut med jämna mellanrum.

Användare kan inte förväntas ha en särskilt god säkerhetskunskap. I många lägen måste man till och med kunna räkna med att användarna själva lämnar ut lösenord och andra uppgifter till personer de tror sig kunna lita på. Det är sällan ett stort problem eftersom det sker i begränsad skala. Förtroendenätverk av den typen tenderar att fungera och att folk på samma kontor kan logga in som varandra under en tidsperiod är inga större bekymmer.

Större bekymmer är när man som nätverksadministratör, såsom Umeå kommun, exempelvis producerar en automatiserad metod att distribuera (eller inhämta?) lösenord. Det går förstås att göra säkert, men det krävs en hel del strategiskt tänkande för att inte läcka uppgifter. Själva överföringen måste vara säker, själva genereringen bör vara säker den med. Lösenord ska inte vara för korta, man ska kunna komma ihåg dem och de ska variera mellan individer.

Att som nätverksadministratör skapa en – inom organisationen (elevnätet) – publik utdelning med samtliga användares hemliga lösenord lagrade i klartext är inte att ta sitt ansvar. En nätverksadministratör, särskilt med de dyra certifieringsutbildningar som många tekniker brukar ha diplom från, ska aldrig någonsin tillåta lösenord att lagras i klartext i första början.

Om så önskas, Umeå kommun eller vilka som eventuellt läser detta, ställer Umeå Hackerspace säkerligen upp på att granska era säkerhetsrutiner, automationsscript och rutiner.

Vad säger kommunen om “dataintrånget” nu?

Artikel i Västerbottens Kuriren 2010-12-20

Här följer ett mail jag nyss skickade till den person som åtminstone tidigare varit officiell kontakt gällande tillslaget mot mitt kontor på Hamnmagasinet. Det vill säga Ulf Persson som är ansvarig chef hos “IT och Telefoni” vid Umeå kommun.

Noteras bör att artikeln anger att jag sagt det ska vara 200KiB/s, fast det handlar ju om att det var utslaget på ett dygn. Min egna stickprovsbevakning gav allt som oftast bara trafik kring 100-150 KiB/s. Totalkapacitet och uppgifterna som polisen fick från Umeå kommun har jag publicerat tidigare, där även följande kommentar gavs från IRC:

fast drar det inte mer än 200kbps att t.ex sitta och kolla trailers på apple.com eller sitta och mögla framför jewtube?

Mitt mail till Ulf

Hej Ulf,
med anledning av nyheten som går att läsa i Västerbottens Kuriren idag (2010-12-20) undrar jag ifall Umeå kommun, eller ansvarig person, har ett officiellt eller inofficiellt yttrande gällande den anmälan som gjordes. Anmälan resulterade, vilket rimligen var syftet med den, i en husrannsakan där bland annat en privatpersons datorer beslagtogs. Utöver detta även egendom tillhörandes aktiva, ideella föreningar inom Umeå kommun.

Beslaget orsakade minst 11 månader förlorad arbetstid, försvunnen hårdvara, ryktesspridning etc. vilket i sin tur resulterade i kraftigt minskade möjligheter till såväl privat som ideell verksamhet för individen, och anslutna föreningar, vars kontor utsattes för tillslaget. Utöver detta orsakade det även merarbete för den misstänkte och flera andra konsekvenser som inte specifieras i detta mail men kommer att tas upp i en skadeståndsanmälan framöver.

Eftersom jag inte hört något officiellt från kommunens sida gällande detta sedan media-pådraget i januari/februari lade sig är jag lur på ifall jag missat något eller ifall det helt enkelt inte yttrats något.

Mvh,
Mikael Nordfeldth
http://blog.mmn-o.se/
mmn@hethane.se
070-5657637

Svaret från Ulf

From Ulf Persson Sent Wed, 22 Dec 2010, 14:29:17 CET
To Mikael Nordfeldth
Subject SV: Gällande nedlagda dataintrång-förundersökningen

Hej,

Vi har inget ytterligare att tillägga i ärendet.

_________________________________________
Med vänliga hälsningar
Ulf Persson
Intraprenadchef
IT och Telefoni
Umeå Kommun

Ett brev till Åklagarkammaren i Umeå

Följande skrev jag alldeles nyss till åklagarkammaren i Umeå. Förhoppningen är en påskyndad utredning eller – vilket vore det sundaste – en nedlagd utredning.

Nu i efterhand märker jag att media-utlåtanden från kommunen handlade om 1/3 av trafiken och inte bandbredden, men orden växlades om vartannat för 8-9 månader sedan. Frågan är väl mest intressant vad kommunen sade till Mats Bruhn för att skapa en demonisk bild av den lilla datapenetreraren.

Faktumet kvarstår dock att jag omöjligen – ett påstående baserat på naturlagar som resultat av infrastrukturen i sig – kunnat förbruka tillräckligt med kapacitet för att vara ett dilemma på kommunens nät.

Från: Mikael Nordfeldth
Till: registrator.ak-umea@aklagare.se
Ämne: Fråga om utredning av K1121-10
Datum: Wed, 06 Oct 2010 11:05:40 +0200

Hej, jag har på senare tid förgäves försökt kontakta åklagare Kjell Jannesson via telefon. Han har varit ofta varit på sammanträde fram till en viss tid varefter han omedelbart varit på tjänsteresa. Därför mailar jag istället.

Mailet rör ärende K1121-10 och mitt namn är Mikael Nordfeldth, kontraktsinnehavare för det relevanta kontoret samt idag – sedan mer än 8 månader tillbaka – misstänkt för dataintrång samt berövad datorer essentiella för min verksamhet i kontoret såväl som utanför.

I januari 2010 utsattes jag alltså för ett tillslag på mitt kontor på Hamnmagasinet i Umeå, vilket var resultatet av en anmälan från någon individ på Umeå kommun. Denna anmälan tolkades baserat på hörsägen/telefonsamtal och bekräftades som “misstanke om dataintrång” av jourhavande förundersökningsledare Mats Bruhn, vad jag förstått, inför ett tillslag den 19 januari 2010.

Vid min egen inspektering av de bevis som lagts fram, som jag verkligen behövde pressa ut från kommunen, har jag inte funnit något som på något sätt kan styrka misstanke om dataintrång. Den trafikmängd som skulle vara exceptionellt hög enligt anmälan kunde rent fysiskt (dvs enligt _naturlagar_) aldrig faktiskt nå till den grad som Umeå kommun hävdade i media dagarna efter tillslaget, dvs “en tredjedel av deras bandbredd”.

Noteras bör även att jag personligen behövde söka upp polis på dagen av tillslaget för att lämna mitt förhör, trots att den anmälande parten (Umeå kommun) var fullkomligt medveten om att jag som privatperson stod ansvarig för kontorsutrymmet. Det får mig att tro att de medvetet utelämnat mitt namn vid anmälan.

Men åter till ärendet för detta mail. Min förfrågan till åklagarkammarens Kjell Jannesson, alternativt kammarchef Annika Öster, är ifall denna utredning kan avgöras och gå vidare till åtal eller
läggas ner snarast möjligt eftersom det orsakar bekymmer för mitt liv och jag känner mig direkt utsatt av maktmissbruk och särskild från Sveriges grundlagstadgade likhetsprincip om likhet inför lagen.

För att sätta saker i perspektiv utsattes alltså Umeå Universitet för ett tillslag från polisen i början av september 2010 där en dator beslagtogs. Denna dator återlämnades inom en månads tid. Mitt fall har nu varit aktivt(?) i strax 9 månader och vad jag förstått har inte ens
teknisk utredning av det beslagtagna materialet påbörjats.

Varje dag som passerar orsakar ekonomisk skada och därav osäkerhet för min privata, sociala och ekonomiska, tillvaro.

För att sammanfatta:

* Min konkreta förfrågan är alltså ifall en åklagare ansvarig, antingen direkt eller genom chefsposition, för förundersökningen snarast möjligt kan ta beslut i frågan. Alternativen som jag, som inte jobbar med det förvisso, ser är att lägga ner utredningen i brist på bevis, kräva påskyndad teknisk utredning eller vilken annan åtgärd som nu än gör att något sker och att denna utredning och brottsmisstanke inte blir alltför utdragen.

* Utöver detta önskar jag gärna göra – ännu en – formell begäran om att återfå det beslagtagna godset snarast möjligt. Ifall jag behöver lämna in en sådan på annat sätt än skriva i detta mail önskar jag kontaktas via mail eller telefon för att få veta hur en sådan begäran skall göras.

Mvh,
Mikael Nordfeldth
mmn@hethane.se
070-5657637

Oskyldighetsbevis vs. kommunikation

Jag älskar den här situationen. Verkligen. Jag har pepp, drivkraft och ett mål att arbeta mot. Inte minst så bekräftas min tolkning av situationen av alla er som följer utvecklingen. Tack för det, gott folk. Även er jag kallar dumma i huvudet (hey, it’s the internet, folks).

I vart fall. Jag har haft många goda samtal med folk där vi analyserat situationen, eventuella framtida scenarion, händelseförlopp som lett till dagens läge etc. Det har fått mig att ännu mer vilja faktiskt förstå tankarna bakom razzian på Hamnmagasinet.

Så nu har jag närmast tänkt besöka kommunjuristen, som IT-kontoret hade fört talan med. Kommunjuristen var den som föreslog/tog kontakt med polisen i ärendet. Vad har denne fått höra från IT egentligen? Någon måste ju ha förvrängt det till “hemska datamängder”, “farligt dataintrång” och “awesome mad hacker skillz”, istället för att “vi har glömt erbjuda ett IT-avtal”.

Så nu har ju alltså t.ex. min privata laptop beslagtagits, vilken jag gör arbete på i min verksamhet som egen firma. Den var dessutom i viloläge och inte ansluten till något nätverk. För att få tillbaka denna för målet helt orelaterade laptop inom rimlig tid skulle åklagaren behöva utesluta den från teknisk undersökning. Åklagare Kjell Jannesson var dock fast övertygad om att alla datorer ska genomgå undersökning.

Oskyldig tills bevisad motsatsen är en av de där klassiska klichéerna man alltid vänder sig mot när juridiken våldsraperar ens personliga integritet. För att motverka det skulle man behöva bevisa sig själv oskyldig. Inte ens det verkar jag ha chans att göra nu. Våldtäkten av mitt privatliv börjar så fort de börjar kopiera innehållet från min laptop, och då är det bara att tacka och ta emot.

Allt detta för att jag inte haft ett avtal? Vems ansvar är det att fixa åt mig, när uppkopplingen fungerar och internet är så självklart att det inkluderas i existensminimum? Tänk om de hade varit ärliga från IT-sidan istället för att koka ihop något om “allvarliga störningar”. Tänk om de hade ringt och fört denna konversation istället:

P: Hej, det är polisen.
U: Hej, vi ringer från Umeå kommuns IT-avdelning. Det är någon som använder internet trots att vi inte avtalat om detta, samt inte administrerat bort tillgången. Det har pågått aktivt sedan nästan 2 år tillbaka då denne började hyra kontorslokalen.
P: Suck my balls. Stäng av personen eller fixa ett avtal istället omedelbart. Kom tillbaka när ni har ett riktigt brott.

Ja då hade jag kunnat sitta och arbeta med ett legitimt nätavtal de sista veckorna jag ö.h.t. kan vistas i kontoret pga ombyggnationer. Öppen kommunikation segrar över lögn & batonger any day.

Dialog, utveckling och framtid

Senaste utvecklingen i ärendet kring misstanken mot mig gällande dataintrång är att jag besökt Jan Långström och pratat litegrann. Han är lite av en tredjepart i det här fallet, men är den som fört kontakt med media eftersom IT-kontoret själva kniper tyst. Jag var nöjd med samtalet och känner att man definitivt kan bygga bra saker utifrån händelserna.

Vid sidan av kontorets verksamhet har jag även hjälpt till med IT-småkrafs i övrigt, fortfarande ideellt, på Hamnmagasinet. Förvisso sedan nyår har jag stått i kaféet ett par gånger, men det är inte IT-relaterat utan bara som liten extra inkomst. Så jag har haft viss insyn i funktion och icke-funktion på deras infrastruktur, typ att kaféets internet aldrig faktiskt fungerat tillfredsställande medan jag varit i huset. Det har jag löst – och IT-chefen på Umeå Fritid har åtminstone sett lösningen – genom att sätta upp en privat, trådlös router i kaféet. Den var ansluten till samma icke-personidentifierade uttag som kafépersonalen tidigare kunnat använda för internetsurf/musikstreaming medan det funnits en fungerande dator. Jag har t.o.m. ersatt den trasiga datorn där som Umeå Fritid aldrig fixade med en privat…

Nu har jag dock ryckt ut allt det där.
Ingen besökare kan surfa på Hamnmagasinet nu.
Jourhavande förundersökningsledare tycker ju att sådant är dataintrång.
Trots att Umeå Kommun själva haft en icke-personkopplad dator på deras nät.

Back in the days så fanns ett öppet trådlöst nätverk på Hamnmagasinet (en hotspot med “megastor” anslutning!). Efter det någon gång (antar jag?) fattades beslut i Umeå kommunfullmäktige att alla användare av kommunens uppkoppling måste identifiera sig på personnivå (tydligen räcker inte signerat hyreskontrakt dock :D). Jag har för mig att det första av dessa trådlösa nät, dvs Umeå Energis uppkoppling, var öppet för alla. Pressmeddelandet antyder åtminstone det.

Men oavsett om det var öppet eller ej, så efter man fått nys om identifiering var det “WWW”-nätet som gällde om man inte hade personal-/elevkonto hos Umeå kommun. Det här är alltså det trådlösa nätverket som man EJ kunnat använda utan autentisering. Kafé Stormen (föreningen Daisy) drev kaféet i Hmag på den tiden och hade möjlighet att skriva ut gästinloggning dock. Problemet var att det sög då knappt någon kunde, rent tekniskt, surfa. WWW-nätet är identiskt idag – förutom att man inte ens kan få gästkonto idag (yay!). Denna situation skrev jag om när jag var med i Ung-redaktionen på Västerbottens Kuriren för drygt två år sedan. Icke-funktionaliteten har även påtalats flera gånger sedan dess i mina samtal med personal IT-kontoret.

Stefan Granberg på IT-kontoret har tidigare för mig påpekat att Sjöfruhallen på Tomtebo kopplats upp genom en transparent proxy. Där behöver man inte konfigurera om sin webläsare åtminstone, samt förmodligen inte vara begränsad till HTTP på port 80 och HTTPS på port 443 (endast). Denna “nya” (…) teknik skulle alltså kunna vara en lösning för Hamnmagasinet om det inte ska vara helgalet supertrasigt – vilket allt är för icke-personal/elev där idag. Jan Långström kontaktade Lars Klefbohm (IT-chef för Umeå Fritid, dvs ansvarig för Hmag) och bad honom inleda dialog med bl.a. mig för omstruktureringen av nätet i Ungdomens Hus. Tack Jan, det uppskattas varmt!

Enligt Jan Långström, som förvisso inte sett statistiken heller, låg trafiken uppskattningsvis kring mina påtalade 50-100KiB/s. Detta var alltså 22% (inte 30, som uppgivits tidigare) av användningen i det administrativa nätet. 9% av den totala användningen. Oavsett om man räknar in “toppar” och sådant så är 100 KiB/s marginellt. Men ingen har sett någon faktisk statistik än, trots beslut om såväl husrannsakan och teknisk undersökning. Jag hade då misstänkt IT-kontoret för fabricering av bevis om de dröjer flera dagar för att leverera samma material som husrannsakan enligt mig bör ha beslutats utifrån. Vilken statistik har de då själva tittat på?

Jag ser positivt på detta. Dialog, kommunikation och öppenhet är bra. Vi kan bygga infrastruktur tillsammans, kommunen och dess invånare. Där folk inte förbjuds från något så självklart som internet, privat kommunikation och informationsutbyte. Nu skulle jag kanske ta och fila på de där mailen till lokala politiska gruppledare i Umeå

Misstanke om dataintrång. Ansluta till internet olagligt?

Mitt juridiska ombud antecknar uppdateringar och utvecklingen kring misstankarna och den förundersökning som sker i samband med tillslaget på mitt kontor.

Ikväll sänds ett specialinslag på UmeTV om detta tillslag klockan 19.00. Ni kan se webströmmen på UmeTVs webtv, om ni inte bor i Bostaden-lägenhet i Umeå: http://radio.piracy.se:8000/umetv (Ogg/Theora+Vorbis)

Senaste händelserna är i alla fall alltså att jag, efter förhöret igår, nu är misstänkt för dataintrång. Brottsrubriceringen är alltså “dataintrång”. Och jag är sedan mitt frivilliga förhör igår misstänkt för detta. Igår var jag endast hörd “som annan”. Således hade mitt namn aldrig angivits i anmälan.

En fundering som dök upp nyss var att detta innebär att jag inte kan åtala kommunen för falsk tillvitelse. Visst, skadestånd för att min verksamhet varit trashad under beslagstiden är ju givet. Men de som anmälde internetanslutningen bör rimligen stå till svars för ett sådant missbruk av statliga resurser när jag ändå inte döms för något.

I vart fall, den aktuella lagparagrafen om dataintrång är ju i alla fall helt galet icke-överensstämmande med situationen. Det man från åklagarens sida har pekat på är en paragraf i lagboken där dataintrång beskrivs som att man allvarligt stör eller hindrar användningen av en “uppgift som är avsedd för automatiserad behandling”.

9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

I praktiken betyder detta att jag måste ha “allvarligt stört” kommunens administrativa nät för att vara skyldig. Detta misstänks jag alltså vara genom att koppla in en dator i ett uttag varpå jag automatiskt tilldelas ett IP-nummer som jag utan problem kan ansluta med över internet till andra datorer. (kommunens nät är blockerat utifrån dock, varpå jag behövde VPN-tunneln för att komma åt data från kontoret t.ex. i situationer ute på fält och saknar hårddiskar + strömförsörjning…)

Men okej. Det som IT-kontoret har hakat upp sig på var att jag inte hade ett skrivet avtal har jag fått veta. Det är väl inte undra på dock, när jag aldrig blivit ombedd att skriva under något sådant. Särskilt när jag i projektbeskrivningen för Livestation Hamnmagasinet, dvs vad föreningen hethane gjorde i kontoret, skrev att det skulle sändas livevideo över internet till UmeTV. Kopplar man därefter in en kabel i väggen på sitt kontor, vilket ger omedelbar internetanslutning, så förutsätter man att det är tänkt att det ska fungera så.

Och för att kommentera lite djupare för detaljer:

Umeå kommun har ej ännu delgivit nätverksstatistik. De har påstått att jag har stört trafiken å det grövsta, typ. “Mycket trafik mot ett IP-nummer” sades det ju. Detta har polisen alltså inte fått se skärmdumpar av och då ej heller förundersökningsledaren som beslutade om att genomföra tillslaget. Man har alltså från kommunens sida hävdat hög belastning och att detta då skulle vara dataintrång.

Inga egna åtgärder, inga bevis, ingen misstänkt – ingenting har “Umeå IT-kommun” levererat. Men dataintrång, det ska det tydligen vara.

Jag vill förövrigt påpeka att jag inte stöder konspirationsteorierna om att detta skulle vara med anledning av att jag är medlem i Piratpartiet. Jag förstår att man kan tänka sig det, samt att många pirater gärna läser in mer i medlemskapet (fuck the etablissemang-retoriken etc.) än bara principerna. Men gör man det och tror att man blir utsatt för sådant här pga partitillhörighet är man dum i huvudet.

“En tredjedel av kommunens trafik” har det påståtts – men det är väl ingenting? Kontorsdatorer tar ju knappt någon bandbredd – och är avstängda under kväll och natt, medan mina är igång dygnet runt typ. Och att påstå att det skulle lida brist på kapacitet är ju bara löjligt, särskilt när mina mätningar som sagt gett 50-100 KiB/s i normallägen.

Jan Långström, en super awesome dude, är vad jag förstått högsta hönset på IT-kontoret. Han är cool, tycker bra saker etc. och gillar fri mjukvara. Han förklarade i ett mail till VK att jag “förbigått säkerhetsåtgärder”. Det hade jag förstått om jag hade knäckt någon säkerhet, typ spoofat min MAC-adress eller så. Han vidarebefordrade nog bara uppgifter från IT i övrigt dock, troligen relaterat till mitt Ubuntuprojekt, då elevers Ubuntudatorer anslöt över wlan->mittkontor->internet. Dock fortfarande genom helt legitima anslutningar som tillåtits av kommunens switchar och routrar. (sedan har den lösningen inte varit aktiv sedan november typ…)

Dagens artikel i Västerbottens Kuriren om gårddagens tillslag. (2009-01-20)

Henrik Alexandersson orsakade min temporära webserver att kolavippa under dagen. Leif Ershag drar slutsatsen att ärendet påvisar stora brister i kapacitet i Umeå kommuns nät. Noteras görs även att Forskningsavdelningens hemsida drabbades, som hade klarat sig från tillslaget i deras lokaler.

http://ershag.se/2010/01/20/riksdagskandidat-anklagad-for-dataintrang/

Potentiell ändamålsglidning med Ipred

Det här är inte en officiell del av min inläggserie Ipredinated, utan snarare det som kommer att bli “Director’s comment”-tracket på DVDn vid filmatiseringen.

Jag verkar inte ha nämnt något om Ipred-fall #2 själv ännu. Följande två Piratbyrån-bloggare har dock gjort det, Dr Rignell samt Copyriot, och jag kan ju inte vara sämre än dem.

Min kommentar om det hela är att det är ett oerhört tydligt tecken på ändamålsglidning. Upphovsrätten ska inte användas för att skydda data. Än mindre datorsystem, som i Ipred-fall #2 (+bilaga). Sådant faller nämligen under ett helt annat lagrum kallat “dataintrång”.

Jag anser att företagshemligheter inte bör skyddas av upphovsrätten (som kräver verkshöjd). Som Wikipedia säger: “Det är med andra ord upphovsmannens säregna sätt att uttrycka något som skyddas, inte de idéer eller fakta som verket kan innehålla.” Det är därför Ipredfall #2 är så felriktat som det bara går. Om tingsrätten beviljar informationsföreläggandet är det en tragedi.

Exempel på var upphovsrätten missbrukats tidigare – och varför jag
tycker det är allvarligt att separera lagrummen – är t.ex. i Scientologkyrkans anmälan mot Zenon Panoussis (som hade publicerat deras dokument för allmän granskning). Det här var ett svenskt fall där Monique Wasted (känd från TPB-rättegången) företrädde scientologerna.

Ett annat, mycket mörkare exempel, är banken Julius Baer som anmälde Wikileaks -och desutom lyckades temporärt stänga deras huvuddomännamn – efter att man publicerat “känslig data” som visat på pengasvindlande och whatnot.