Tag Archives: NSA

När polisen gömmer mikrofoner i dina julklappar

Skickade följande insändare till Västerbottens Kuriren, hoppas den publiceras. Även om jag publicerar den här, då VK alltid vill ha ensamrätt till allt:

Myndigheter världen över följer ISIS/Daesh förtryckande ideal galant. De senaste månaderna har länder såsom Sverige, England och Frankrike kommit med lagförslag och som hävdas agera mot terrorhot men egentligen slår undan medborgares demokratiska rättigheter.

Först och främst ska det bli olagligt att använda inslagning, t.ex. kuvert, när man skickar post.

Alla avsändare i postsystemet måste använda sina riktiga namn, “god jul önskar Tomten” är inte acceptabelt och resulterar i att försändelsen konfiskeras.

Sedan ska alla paket, t.ex. släktingarnas julklappar, öppnas och analyseras för att sedan skickas vidare utan ett spår från granskningen.

Ifall julklappen innehåller ämnen som kan tillverka bomber, t.ex. socker eller batterier, hamnar både avsändaren och mottagaren på en lista över misstänkta terrorister.

Misstänkta terroristers paket utökas sedan med dolda mikrofoner samt videokameror som sänder ut sin information till bland annat osäkerhetsmyndigheter såsom FRA, NSA m.fl. vilka bara svarar till hemliga domstolar.

En perfekt dystopi skulle de flesta hålla med om. Färre vänder sig dock mot lagförslagen när de utformas för att främst påverka den digitala världen: att förbjuda kryptering, pseudonym och rätten till ett privatliv. I praktiken innebär det dock, i ett uppkopplat samhälle, exakt samma sak som mina analogier ovan.

Skillnaden i den digitala världen är att det är praktiskt genomförbart att t.ex. avlyssna din kommunikation (implementerat av moderaterna, med USA som förebild) och låta polisen installera trojaner på din dator (föreslås av socialdemokraterna, med Tyskland som förebild).

Tycker vi, vars samhälle det handlar om, att det är okej?

Twitter-kontot ryker äntligen. Bortbortbort!

Jag är en motståndare till att centralisera för många användares information i samma databas. Därför har jag bl.a. inget Facebook-konto och förespråkar utöver detta även federering för sociala plattformar, genom t.ex. GNU Social (tidigare StatusNet) och andra lösningar (Friendica, Diaspora etc…).

Med federering kan varje användare – eller mindre community – lagra och sköta sina egna mest privata data med egen utrustning, med begränsad insikt från stora spionorganisationer.

Att de nämnda tjänsterna inte federerar gör det ju svårt för mig som användare att välja var datat lagras – och helt hopplöst att försöka bestämma hur datat ska distribueras. Med en community-driven nod med t.ex. mjukvaran GNU Social, såsom Free & Social (obs, alfa-version) eller Quitter (bäst!!!) väljer man istället vilken administratör man vill lita på – eller driftar servern själv rentav. UTAN att förlora möjligheten att kommunicera med kompisarna på andra federerade noder (ni vet, som e-post och XMPP funkar).

Det finns en anledning dessutom till att jag brukar kalla de stora jättarna på “sociala media”-området för “asociala media”, eftersom de är inriktade på att leverera vad du redan vet att du vill ha. Ett högst asocialt beteende, som varken uppmuntrar till nya kontakter eller innovation på något annat område.

Dessutom har Twitter ett oerhört restriktivt API som mördar kreativitet och i allmänhet förstör för utvecklare, innovatörer och andra kreativa internetmänniskor. Sådana som försöker bygga framtidens internetupplevelser. Tjänster som fungerar utan centraliserade datajättar – nätverk som fungerar som Internet en gång var tänkt att fungera. Federerat, fritt och fint.

Så jag tar bort mitt Twitter-konto. Frigör mig från det amerikanska lagrummet som Twitter råder under. Tar full kontroll över min egen data och vägrar spela deras fluffiga molnspel. Detta innebär dessutom att min tvåvägs-länk mellan Free & Social och Twitter försvinner eftersom Twitter är skitstövlar som vägrar federera.

(Det är dessutom viktigt att skydda sina data och att andra än du inte får nyttja dina persondata hur som haver. Jag borde prata om dataskydd i EU som piratfråga här, men det tar jag nog i ett annat inlägg. Med lite annat fokus.)

Walkthrough of Heml.is crowdfunding and nonsense

Here’s what you need to do a successful crowdfunding. Let’s take a newly born project for a “security” and “privacy focused” communication tool called Heml.is as an example. We’ll start by visiting their website, “secured” by a COMODO SSL certificate (despite Comodo’s history).

(Please note that I haven’t seen the video on the top, due to blocking javascript and Google domains. But I guess it matches the other cliches and non-informative wording.)

hemlis_app_handBig-ass iPhone picture. This tells you not only that it’s a handicapped application (an “app”) and that the designers and programmers enjoy promoting a locked-down, untrustworthy environment renowned for despising its own users.

Everyone knows a crowdfunding campaign will be more successful if you turn to the people who have no idea what their computers are actually doing. I guess because Apple users don’t question their faith in The Designer.

hemlis_ui_mocksMore iPhones. Remember, it’s not really the functionality or the interface of the software we want to portray. It’s that the producers love Apple and their locked-down platform. Nothing says “I don’t care about user rights and privacy” like promoting the iOS platform.

I didn’t even notice this “feature” until I started writing this: “Notifications > When friends join heml.is”. Wait, so they’re going to analyze and correlate of my friend list? While saying it’s a secure and privacy oriented backend?

dudesHappy, wild & crazy faces. Even better, the picture even represents the people behind the campaign. And because I see they’re happy people, of course they can be trusted! Because it’s not actually the software they say is designed for secure communication I have to trust – it’s them. Because they don’t look like suspicious government or business guys!

(waht is this i dont even)

We’re building a message app where no one can listen in, not even us. We would rather close down the service before letting anyone in.

Now finally, actual words rather than buzzwordy, fancy phrases and mockups. But wait, they’d rather “close down the service” before letting anyone in? … Granted, they (say they) can’t listen in on my communication – but it still has to pass their servers? And they can shut my communication down? Why’d I use something like that for secure communication, if I can’t even use alternative message paths?

Secrets are only secrets if they are secret.

Oh, haha, I get it! You’re being funny. Please, take my money to your no-strings-attached Paypal account. You had such pretty pictures.

Your server only?

Yes! The way to make the system secure is that we can control the infrastructure.

So please let the user control the infrastructure! Otherwise there’s no difference from using the internet in general. If I as a Swede have to pass NSA and FRA spy machines to get to your server, what’s the point of letting you run the infrastructure? Whenever I connect to the internet – whatever infrastructure the third party in the communication runs is irrelevant. The only thing that matters is my personal setup – and the person I’m communicating with – verified by genuine cryptography.

What technology will Heml.is use?

We are building Heml.is on top of proven technologies, such as XMPP with PGP.

Alright, so that’s the cryptography part? Open technology with federation built-in? But still you’re going to require users use Heml.is servers – perhaps even with a custom-designed, probably closed source, client… And then use PGP? A system designed for a web of trust model where users verify authenticity of each other and not the infrastructure. So why lock it down to your own network? And how will the age-old problem of key (and subkey) signing and trust verification be solved in the “user friendly” manner?

Will Heml.is really be anything else than an e-mail client with GPG? I doubt it. Except that crucial bits of security – i.e. user control – is stripped out.

Oh. And if you’re using PGP for the application… It was pointed out in Umeå Hackerspace’s IRC channel that there’s no public key published on any well-known keyserver for any address on the project’s domain (and of course not on the website itself either):

gpg: key “heml.is” not found on keyserver

I’ll finish up with this quote:

<zash> vaporware
<zash> until proven otherwise

#grill-bit @ irc.umeahackerspace.se