Tag Archives: trust

Do you trust all your internets to strangers?

Question: Japanese government, Staat der Nederlanden and Starfield Technologies Inc. – what do they all have in common? Answer: You trust all of them to verify identities and security on company websites and internet services.

Are you Japanese or Dutch? Have you ever heard of Starfield Technologies? I guess not. Still you’re probably using a web browser which has these “certificate authorities” as trusted “roots”. In short this means they can – with no security errors whatsoever – impersonate your bank, eavesdrop on your logins and make your computer believe everything is just fine. But only if they were to man-in-the-middle your communication physically or somehow manage to poison your DNS lookups of course.

So the scenario isn’t really your average Joe security issue, but the heart of the issue is a very important one. It’s a question of trust – a deep conviction of truth and rightness – and “trust” – the simple term used for computing security (though without the quotes).

All computer interaction is based on trust. You trust the computer is doing what it tells you it’s doing (which Free software lets you verify). However you also trust the other person’s computer to do what you’re asking it to do – and nothing more! Given the global scale of networking and computing, this is a hard task to verify manually – thus trust is given to cryptographic algorithms mathematically ensuring your data is handled by the correct entities without unwanted manipulation.

No ordinary person can ever understand, verify or control all parameters required for 100% secure computing. This is probably the reason why browsers (Firefox, Chromium etc.) include packs of “globally trusted” certificate issuers, such as Verisign, GoDaddy etc. Private companies that are virtually the foundation of today’s DNS-based internet, controlling or supplying top domain names. This is however where one should start worrying about who controls what. Remember what Verisign did to Wikileaks.org? Did you know that they want to make it easier to happen again?

So when one can’t trust the big boys, how can one really have trust in small, unknown organisations or companies? What are their respective thoughts on free speech, free internet and policies on eavesdropping? Wouldn’t you actually prefer a system of peer-to-peer review? The “web of trust” model as it’s called when a user trusts its friends, verifies identities and thus algorithmically increases trustworthiness of each respective peer.

I’m not sure what to make of this post more than express my belief that the web’s SSL structure using pre-loaded certificate authorities in software designed to handle your private communication is flawed. For my part, I’m trying to push people into using semi-WoT CAs like CAcert.org and encourage the development of new DNS models. But my guess is I’m not influental enough on my own. Will you join the p2p revolution too?

Apples vilseledande marknadsföring – en konsumentfråga

Jag har börjat bli less på Apple med sina inskränkande produkter och desinformativa kampanjer. Dels hatar de fri mjukvara och försöker aktivt att indirekt motverka dess utveckling och utbredning på flera nivåer. Vidare säljer de oerhört begränsade wannabe-handdatorer som endast får köra “godkänd” mjukvara – istället för att överlåta mjukvaruförtroende till användaren. Kom igen, man får inte ens byta batteri själv på sin iPhone/iPad utan måste lämna in till särskilda, Apple-godkänd, servicebutiker.

A movie about trusted computing by LAFKON.

Förtroende är en djup övertygelse om sanning och vad som är rätt – och kan inte påtvingas. […] Ifall du får någons förtroende har du etablerat ett förhållande baserat på kommunikation, delade värderingar och erfarenheter. Förtroende beror alltid på ömsesidighet.

Denna process har blivit omformad av datorindustrin. Nu gör ett mikrochip den uppgiften åt dig. Industrin kallar det “förtrolig datoranvändning”. […]

Industrins tolkning av förtrolig datoranvändning liknar detta – för att bekämpa hot och göra datoranvändning mer pålitlig. Den stora skillnaden är att du kan inte bestämma själv vad som är pålitligt och ej. Detta eftersom de redan bestämt för dig – och de har redan bestämt att inte lita på dig.

Om de inte litar på dig – varför skulle du lita på dem?

Essensen av texten ovan är oerhört viktig. Ifall ens användande av teknik ska vara pålitlig och förtrolig måste användarens värderingar tas i beaktande. Med Apple (och givetvis många andra, och inte bara Microsoft) och övrigas idéer om “säkerhet”, “trygghet” och dylikt för datoranvändarna fördummar och begränsar man potentialen i t.ex. ens “smarta telefon” – och gör det till en leksak snarare än ett verktyg.

Begränsningarna i din korkade telefon är förstås ett oerhört stort ämne i sig och jag inledde detta inlägg med ett helt annat ämne – nämligen den vilseledande marknadsföringen. Därför planterar jag snarare fröet om “trusted” computing, som visas i filmen ovan, för senare diskussion. Men ämnena väver absolut in i varandra, med frågan om hur mycket ansvar en användare måste ta – samt vilket förtroende man kan ha för en leverantör när den behandlar en som skit.

Jag har länge kritiserat iPod/iPhone/whatever för att inte möjliggöra batteribyte utan att bryta mot garantin. En del användare har inte upplevt detta som ett problem – batteriet är ändå ganska påkostat – men faktum är att det orsakar en inbyggd funktionsnedsättning för framtida bruk. När batteriet är dött – och de har sällan levnadstid på särskilt många år – och hårdvaran i övrigt fortfarande fungerar… Varför skulle man då behöva bryta upp produkten för att återställa den till ett nästan helt nytt skick? Det är väl den mest grundläggande regeln för design av mobil hårdvara, efter portabilitet, att batteriet är utbytbart?

Eller för den delen SIM-kort. När du vill byta abonnemang med din iPhone – vad gör du då? Ja de senaste iPhone (4) har ett konstigt påhitt i form av “micro-SIM”, som de förmodligen är ensamma om att använda. Konsekvensen är givetvis att du inte kan använda vanliga SIM-kort. Eller kanske den helt galna idén att använda hårdvaran som en handdator istället för en telefon? …visst det går väl, men vad kan du faktiskt göra för något produktivt med den – och vad låter Apple dig göra? Självbestämmande känns annars som en självklar funktion i en teknisk pryl från 2000-talet.

Tänk dig din laptop – tänk om någon hade krävt att godkänna varenda program du installerar. Tänk om du hade behövt ange kreditkortsnummer för att installera programmen i första början. Tänk om du inte hade kunnat byta ut batteriet. Tänk om du inte fick välja internetleverantörVarför tillåta de begränsningarna i telefonen?

Och varför börja tillåta samma begränsningar i ens faktiska laptop? Joserdu, för om du köper t.ex. en Macbook Pro från Apple – och säkert vanliga Macbooks snart – så kan du inte byta ut batteriet själv. Seriöst. De kallar det ett “innovativt, inbyggt batteri” och menar att det på något sätt skulle vara “ett genombrott” och nyskapande (…”innovativt”) när det egentligen är bakåtsträvande samt försämrar villkoren för datoranvändaren. Ännu sämre är det när säljpitchen lyder:

“Avancerad sammansättning och adaptiv laddning klarar upp till 1000 fullständiga laddningscykler – nästan tre gånger så lång livscykel som de flesta batterier i bärbara datorer.6 Eftersom MacBook Pro-batteriet räcker i upp till fem år förbrukar MacBook Pro bara ett batteri under samma tid som en vanlig bärbar dator förbrukar tre. Det är bättre för både dig och miljön.”

…och om man tittar längst ner på sidan – vad ser man då gällande garantin? Joserduo, faktumet att de inte alls utlovar 5 års garanti alls. För standardköp är garantin för hela paketet endast ett år och inte ens om man betalar extra blir det längre än tre år. Så vem går man till och klagar till när deras batteri kollapsar efter 3 år och 1 dag – och man endast har vilseledande marknadsföring att referera till?

“En Mac levereras med 90 dagars kostnadsfri telefonsupport och ett års begränsad garanti. Om du köper AppleCare Protection Plan kan du förlänga skyddet till tre år från den dagen du köpte din Mac.”

Ovanstående klagomål ämnar jag skicka till Konsumentombudsmannen eftersom det absolut definitivt kan orsaka att människor tror att Apple på något som helst sätt skulle leverera en produkt som håller längre än andra leverantörer. Som det impliceras genom deras garantiavtal är så självklart inte fallet.

(Givetvis kan hackers, avancerade användare och sådana som läser på djupt kringgå majoriteten av ovannämnda problem. Men vilket förtroende har man i en leverantör som medvetet bygger in funktionsnedsättningar? Eller för den delen sparar din geografiska position.)

“Mejlbedragarna” är inte farliga

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…