1 <?xml version=
"1.0" encoding=
"utf-8"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries tagged sikkerhet
</title>
5 <description>Entries tagged sikkerhet
</description>
6 <link>http://people.skolelinux.org/pere/blog/
</link>
10 <title>How to talk with your loved ones in private
</title>
11 <link>http://people.skolelinux.org/pere/blog/How_to_talk_with_your_loved_ones_in_private.html
</link>
12 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/How_to_talk_with_your_loved_ones_in_private.html
</guid>
13 <pubDate>Mon,
7 Nov
2016 10:
25:
00 +
0100</pubDate>
14 <description><p
>A few days ago I ran a very biased and informal survey to get an
15 idea about what options are being used to communicate with end to end
16 encryption with friends and family. I explicitly asked people not to
17 list options only used in a work setting. The background is the
18 uneasy feeling I get when using Signal, a feeling shared by others as
19 a blog post from Sander Venima about
20 <a href=
"https://sandervenema.ch/
2016/
11/why-i-wont-recommend-signal-anymore/
">why
21 he do not recommend Signal anymore
</a
> (with
22 <a href=
"https://news.ycombinator.com/item?id=
12883410">feedback from
23 the Signal author available from ycombinator
</a
>). I wanted an
24 overview of the options being used, and hope to include those options
25 in a less biased survey later on. So far I have not taken the time to
26 look into the individual proposed systems. They range from text
27 sharing web pages, via file sharing and email to instant messaging,
28 VOIP and video conferencing. For those considering which system to
29 use, it is also useful to have a look at
30 <a href=
"https://www.eff.org/secure-messaging-scorecard
">the EFF Secure
31 messaging scorecard
</a
> which is slightly out of date but still
32 provide valuable information.
</p
>
34 <p
>So, on to the list. There were some used by many, some used by a
35 few, some rarely used ones and a few mentioned but without anyone
36 claiming to use them. Notice the grouping is in reality quite random
37 given the biased self selected set of participants. First the ones
38 used by many:
</p
>
42 <li
><a href=
"https://whispersystems.org/
">Signal
</a
></li
>
43 <li
>Email w/
<a href=
"http://openpgp.org/
">OpenPGP
</a
> (Enigmail, GPGSuite,etc)
</li
>
44 <li
><a href=
"https://www.whatsapp.com/
">Whatsapp
</a
></li
>
45 <li
>IRC w/
<a href=
"https://otr.cypherpunks.ca/
">OTR
</a
></li
>
46 <li
>XMPP w/
<a href=
"https://otr.cypherpunks.ca/
">OTR
</a
></li
>
50 <p
>Then the ones used by a few.
</p
>
54 <li
><a href=
"https://wiki.mumble.info/wiki/Main_Page
">Mumble
</a
></li
>
55 <li
>iMessage (included in iOS from Apple)
</li
>
56 <li
><a href=
"https://telegram.org/
">Telegram
</a
></li
>
57 <li
><a href=
"https://jitsi.org/
">Jitsi
</a
></li
>
58 <li
><a href=
"https://keybase.io/download
">Keybase file
</a
></li
>
62 <p
>Then the ones used by even fewer people
</p
>
66 <li
><a href=
"https://ring.cx/
">Ring
</a
></li
>
67 <li
><a href=
"https://bitmessage.org/
">Bitmessage
</a
></li
>
68 <li
><a href=
"https://wire.com/
">Wire
</a
></li
>
69 <li
>VoIP w/
<a href=
"https://en.wikipedia.org/wiki/ZRTP
">ZRTP
</a
> or controlled
<a href=
"https://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
">SRTP
</a
> (e.g using
<a href=
"https://en.wikipedia.org/wiki/CSipSimple
">CSipSimple
</a
>,
<a href=
"https://en.wikipedia.org/wiki/Linphone
">Linphone
</a
>)
</li
>
70 <li
><a href=
"https://matrix.org/
">Matrix
</a
></li
>
71 <li
><a href=
"https://kontalk.org/
">Kontalk
</a
></li
>
72 <li
><a href=
"https://
0bin.net/
">0bin
</a
> (encrypted pastebin)
</li
>
73 <li
><a href=
"https://appear.in
">Appear.in
</a
></li
>
74 <li
><a href=
"https://riot.im/
">riot
</a
></li
>
75 <li
><a href=
"https://www.wickr.com/
">Wickr Me
</a
></li
>
79 <p
>And finally the ones mentioned by not marked as used by
80 anyone. This might be a mistake, perhaps the person adding the entry
81 forgot to flag it as used?
</p
>
85 <li
>Email w/Certificates
<a href=
"https://en.wikipedia.org/wiki/S/MIME
">S/MIME
</a
></li
>
86 <li
><a href=
"https://www.crypho.com/
">Crypho
</a
></li
>
87 <li
><a href=
"https://cryptpad.fr/
">CryptPad
</a
></li
>
88 <li
><a href=
"https://github.com/ricochet-im/ricochet
">ricochet
</a
></li
>
92 <p
>Given the network effect it seem obvious to me that we as a society
93 have been divided and conquered by those interested in keeping
94 encrypted and secure communication away from the masses. The
95 finishing remarks
<a href=
"https://vimeo.com/
97505679">from Aral Balkan
96 in his talk
"Free is a lie
"</a
> about the usability of free software
97 really come into effect when you want to communicate in private with
98 your friends and family. We can not expect them to allow the
99 usability of communication tool to block their ability to talk to
100 their loved ones.
</p
>
102 <p
>Note for example the option IRC w/OTR. Most IRC clients do not
103 have OTR support, so in most cases OTR would not be an option, even if
104 you wanted to. In my personal experience, about
1 in
20 I talk to
105 have a IRC client with OTR. For private communication to really be
106 available, most people to talk to must have the option in their
107 currently used client. I can not simply ask my family to install an
108 IRC client. I need to guide them through a technical multi-step
109 process of adding extensions to the client to get them going. This is
110 a non-starter for most.
</p
>
112 <p
>I would like to be able to do video phone calls, audio phone calls,
113 exchange instant messages and share files with my loved ones, without
114 being forced to share with people I do not know. I do not want to
115 share the content of the conversations, and I do not want to share who
116 I communicate with or the fact that I communicate with someone.
117 Without all these factors in place, my private life is being more or
118 less invaded.
</p
>
123 <title>Aktivitetsbånd som beskytter privatsfæren
</title>
124 <link>http://people.skolelinux.org/pere/blog/Aktivitetsb_nd_som_beskytter_privatsf_ren.html
</link>
125 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Aktivitetsb_nd_som_beskytter_privatsf_ren.html
</guid>
126 <pubDate>Thu,
3 Nov
2016 09:
55:
00 +
0100</pubDate>
127 <description><p
>Jeg ble så imponert over
128 <a href=
"https://www.nrk.no/norge/forbrukerradet-mener-aktivitetsarmband-strider-mot-norsk-lov-
1.13209079">dagens
129 gladnyhet på NRK
</a
>, om at Forbrukerrådet klager inn vilkårene for
130 bruk av aktivitetsbånd fra Fitbit, Garmin, Jawbone og Mio til
131 Datatilsynet og forbrukerombudet, at jeg sendte følgende brev til
132 forbrukerrådet for å uttrykke min støtte:
136 <p
>Jeg ble veldig glad over å lese at Forbrukerrådet
137 <a href=
"http://www.forbrukerradet.no/siste-nytt/klager-inn-aktivitetsarmband-for-brudd-pa-norsk-lov/
">klager
138 inn flere aktivitetsbånd til Datatilsynet for dårlige vilkår
</a
>. Jeg
139 har ønsket meg et aktivitetsbånd som kan måle puls, bevegelse og
140 gjerne også andre helserelaterte indikatorer en stund nå. De eneste
141 jeg har funnet i salg gjør, som dere også har oppdaget, graverende
142 inngrep i privatsfæren og sender informasjonen ut av huset til folk og
143 organisasjoner jeg ikke ønsker å dele aktivitets- og helseinformasjon
144 med. Jeg ønsker et alternativ som
<em
>ikke
</em
> sender informasjon til
145 skyen, men derimot bruker
146 <a href=
"http://people.skolelinux.org/pere/blog/Fri_og__pen_standard__slik_Digistan_ser_det.html
">en
147 fritt og åpent standardisert
</a
> protokoll (eller i det minste en
148 dokumentert protokoll uten patent- og opphavsrettslige
149 bruksbegrensinger) til å kommunisere med datautstyr jeg kontrollerer.
150 Er jo ikke interessert i å betale noen for å tilrøve seg
151 personopplysninger fra meg. Desverre har jeg ikke funnet noe
152 alternativ så langt.
</p
>
154 <p
>Det holder ikke å endre på bruksvilkårene for enhetene, slik
155 Datatilsynet ofte legger opp til i sin behandling, når de gjør slik
156 f.eks. Fitbit (den jeg har sett mest på). Fitbit krypterer
157 informasjonen på enheten og sender den kryptert til leverandøren. Det
158 gjør det i praksis umulig både å sjekke hva slags informasjon som
159 sendes over, og umulig å ta imot informasjonen selv i stedet for
160 Fitbit. Uansett hva slags historie som forteller i bruksvilkårene er
161 en jo både prisgitt leverandørens godvilje og at de ikke tvinges av
162 sitt lands myndigheter til å lyve til sine kunder om hvorvidt
163 personopplysninger spres ut over det bruksvilkårene sier. Det er
164 veldokumentert hvordan f.eks. USA tvinger selskaper vha. såkalte
165 National security letters til å utlevere personopplysninger samtidig
166 som de ikke får lov til å fortelle dette til kundene sine.
</p
>
168 <p
>Stå på, jeg er veldig glade for at dere har sett på saken. Vet
169 dere om aktivitetsbånd i salg i dag som ikke tvinger en til å utlevere
170 aktivitets- og helseopplysninger med leverandøren?
</p
>
174 <p
>Jeg håper en konkurrent som respekterer kundenes privatliv klarer å
175 nå opp i markedet, slik at det finnes et reelt alternativ for oss som
176 har full tillit til at skyleverandører vil prioritere egen inntjening
177 og myndighetspålegg langt foran kundenes rett til privatliv. Jeg har
178 ingen tiltro til at Datatilsynet vil kreve noe mer enn at vilkårene
179 endres slik at de forklarer eksplisitt i hvor stor grad bruk av
180 produktene utraderer privatsfæren til kundene. Det vil nok gjøre de
181 innklagede armbåndene «lovlige», men fortsatt tvinge kundene til å
182 dele sine personopplysninger med leverandøren.
</p
>
187 <title>Experience and updated recipe for using the Signal app without a mobile phone
</title>
188 <link>http://people.skolelinux.org/pere/blog/Experience_and_updated_recipe_for_using_the_Signal_app_without_a_mobile_phone.html
</link>
189 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Experience_and_updated_recipe_for_using_the_Signal_app_without_a_mobile_phone.html
</guid>
190 <pubDate>Mon,
10 Oct
2016 11:
30:
00 +
0200</pubDate>
191 <description><p
>In July
192 <a href=
"http://people.skolelinux.org/pere/blog/How_to_use_the_Signal_app_if_you_only_have_a_land_line__ie_no_mobile_phone_.html
">I
193 wrote how to get the Signal Chrome/Chromium app working
</a
> without
194 the ability to receive SMS messages (aka without a cell phone). It is
195 time to share some experiences and provide an updated setup.
</p
>
197 <p
>The Signal app have worked fine for several months now, and I use
198 it regularly to chat with my loved ones. I had a major snag at the
199 end of my summer vacation, when the the app completely forgot my
200 setup, identity and keys. The reason behind this major mess was
201 running out of disk space. To avoid that ever happening again I have
202 started storing everything in
<tt
>userdata/
</tt
> in git, to be able to
203 roll back to an earlier version if the files are wiped by mistake. I
204 had to use it once after introducing the git backup. When rolling
205 back to an earlier version, one need to use the
'reset session
' option
206 in Signal to get going, and notify the people you talk with about the
207 problem. I assume there is some sequence number tracking in the
208 protocol to detect rollback attacks. The git repository is rather big
209 (
674 MiB so far), but I have not tried to figure out if some of the
210 content can be added to a .gitignore file due to lack of spare
213 <p
>I
've also hit the
90 days timeout blocking, and noticed that this
214 make it impossible to send messages using Signal. I could still
215 receive them, but had to patch the code with a new timestamp to send.
216 I believe the timeout is added by the developers to force people to
217 upgrade to the latest version of the app, even when there is no
218 protocol changes, to reduce the version skew among the user base and
219 thus try to keep the number of support requests down.
</p
>
221 <p
>Since my original recipe, the Signal source code changed slightly,
222 making the old patch fail to apply cleanly. Below is an updated
223 patch, including the shell wrapper I use to start Signal. The
224 original version required a new user to locate the JavaScript console
225 and call a function from there. I got help from a friend with more
226 JavaScript knowledge than me to modify the code to provide a GUI
227 button instead. This mean that to get started you just need to run
228 the wrapper and click the
'Register without mobile phone
' to get going
229 now. I
've also modified the timeout code to always set it to
90 days
230 in the future, to avoid having to patch the code regularly.
</p
>
232 <p
>So, the updated recipe for Debian Jessie:
</p
>
236 <li
>First, install required packages to get the source code and the
237 browser you need. Signal only work with Chrome/Chromium, as far as I
238 know, so you need to install it.
241 apt install git tor chromium
242 git clone https://github.com/WhisperSystems/Signal-Desktop.git
243 </pre
></li
>
245 <li
>Modify the source code using command listed in the the patch
246 block below.
</li
>
248 <li
>Start Signal using the run-signal-app wrapper (for example using
249 <tt
>`pwd`/run-signal-app
</tt
>).
251 <li
>Click on the
'Register without mobile phone
', will in a phone
252 number you can receive calls to the next minute, receive the
253 verification code and enter it into the form field and press
254 'Register
'. Note, the phone number you use will be user Signal
255 username, ie the way others can find you on Signal.
</li
>
257 <li
>You can now use Signal to contact others. Note, new contacts do
258 not show up in the contact list until you restart Signal, and there is
259 no way to assign names to Contacts. There is also no way to create or
260 update chat groups. I suspect this is because the web app do not have
261 a associated contact database.
</li
>
265 <p
>I am still a bit uneasy about using Signal, because of the way its
266 main author moxie0 reject federation and accept dependencies to major
267 corporations like Google (part of the code is fetched from Google) and
268 Amazon (the central coordination point is owned by Amazon). See for
270 <a href=
"https://github.com/LibreSignal/LibreSignal/issues/
37">the
271 LibreSignal issue tracker
</a
> for a thread documenting the authors
272 view on these issues. But the network effect is strong in this case,
273 and several of the people I want to communicate with already use
274 Signal. Perhaps we can all move to
<a href=
"https://ring.cx/
">Ring
</a
>
275 once it
<a href=
"https://bugs.debian.org/
830265">work on my
276 laptop
</a
>? It already work on Windows and Android, and is included
277 in
<a href=
"https://tracker.debian.org/pkg/ring
">Debian
</a
> and
278 <a href=
"https://launchpad.net/ubuntu/+source/ring
">Ubuntu
</a
>, but not
279 working on Debian Stable.
</p
>
281 <p
>Anyway, this is the patch I apply to the Signal code to get it
282 working. It switch to the production servers, disable to timeout,
283 make registration easier and add the shell wrapper:
</p
>
286 cd Signal-Desktop; cat
&lt;
&lt;EOF | patch -p1
287 diff --git a/js/background.js b/js/background.js
288 index
24b4c1d.
.579345f
100644
289 --- a/js/background.js
290 +++ b/js/background.js
295 - var SERVER_URL =
'https://textsecure-service-staging.whispersystems.org
';
296 + var SERVER_URL =
'https://textsecure-service-ca.whispersystems.org
';
297 var SERVER_PORTS = [
80,
4433,
8443];
298 - var ATTACHMENT_SERVER_URL =
'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com
';
299 + var ATTACHMENT_SERVER_URL =
'https://whispersystems-textsecure-attachments.s3.amazonaws.com
';
301 window.getSocketStatus = function() {
302 if (messageReceiver) {
303 diff --git a/js/expire.js b/js/expire.js
304 index
639aeae..beb91c3
100644
309 'use strict
';
310 - var BUILD_EXPIRATION =
0;
311 + var BUILD_EXPIRATION = Date.now() + (
90 *
24 *
60 *
60 *
1000);
313 window.extension = window.extension || {};
315 diff --git a/js/views/install_view.js b/js/views/install_view.js
316 index
7816f4f.
.1d6233b
100644
317 --- a/js/views/install_view.js
318 +++ b/js/views/install_view.js
321 'click .step1
': this.selectStep.bind(this,
1),
322 'click .step2
': this.selectStep.bind(this,
2),
323 -
'click .step3
': this.selectStep.bind(this,
3)
324 +
'click .step3
': this.selectStep.bind(this,
3),
325 +
'click .callreg
': function() { extension.install(
'standalone
') },
328 clearQR: function() {
329 diff --git a/options.html b/options.html
330 index dc0f28e.
.8d709f6
100644
334 &lt;div class=
'nav
'>
335 &lt;h1
>{{ installWelcome }}
&lt;/h1
>
336 &lt;p
>{{ installTagline }}
&lt;/p
>
337 -
&lt;div
> &lt;a class=
'button step2
'>{{ installGetStartedButton }}
&lt;/a
> &lt;/div
>
338 +
&lt;div
> &lt;a class=
'button step2
'>{{ installGetStartedButton }}
&lt;/a
>
339 +
&lt;br
> &lt;a class=
"button callreg
">Register without mobile phone
&lt;/a
>
342 &lt;span class=
'dot step1 selected
'>&lt;/span
>
343 &lt;span class=
'dot step2
'>&lt;/span
>
344 &lt;span class=
'dot step3
'>&lt;/span
>
345 --- /dev/null
2016-
10-
07 09:
55:
13.730181472 +
0200
346 +++ b/run-signal-app
2016-
10-
10 08:
54:
09.434172391 +
0200
352 +userdata=
"`pwd`/userdata
"
353 +if [ -d
"$userdata
" ]
&& [ ! -d
"$userdata/.git
" ] ; then
354 + (cd $userdata
&& git init)
356 +(cd $userdata
&& git add .
&& git commit -m
"Current status.
" || true)
358 + --proxy-server=
"socks://localhost:
9050" \
359 + --user-data-dir=$userdata --load-and-launch-app=`pwd`
361 chmod a+rx run-signal-app
364 <p
>As usual, if you use Bitcoin and want to show your support of my
365 activities, please send Bitcoin donations to my address
366 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
&label=PetterReinholdtsenBlog
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
371 <title>NRKs kildevern når NRK-epost deles med utenlands etterretning?
</title>
372 <link>http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</link>
373 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</guid>
374 <pubDate>Sat,
8 Oct
2016 08:
15:
00 +
0200</pubDate>
375 <description><p
>NRK
376 <a href=
"https://nrkbeta.no/
2016/
09/
02/securing-whistleblowers/
">lanserte
377 for noen uker siden
</a
> en ny
378 <a href=
"https://www.nrk.no/varsle/
">varslerportal som bruker
379 SecureDrop til å ta imot tips
</a
> der det er vesentlig at ingen
380 utenforstående får vite at NRK er tipset. Det er et langt steg
381 fremover for NRK, og når en leser bloggposten om hva de har tenkt på
382 og hvordan løsningen er satt opp virker det som om de har gjort en
383 grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via
384 SecureDrop, så varslersiden skriver
"Nyhetstips som ikke krever denne
385 typen ekstra vern vil vi gjerne ha på nrk.no/
03030", og
03030-siden
386 foreslår i tillegg til et webskjema å bruke epost, SMS, telefon,
387 personlig oppmøte og brevpost. Denne artikkelen handler disse andre
390 <p
>Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut
391 av landet til datamaskiner kontrollert av Microsoft. En kan sjekke
392 dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er
393 dette i dag
"nrk-no.mail.protection.outlook.com
". NRK har som en ser
394 valgt å sette bort epostmottaket sitt til de som står bak outlook.com,
395 dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien
396 gjennom Internett til epostmottaket vha. programmet
397 <tt
>traceroute
</tt
>, og finne ut hvem som eier en Internett-adresse
398 vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no
399 ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com
400 går via Sverige mot enten Irland eller Tyskland (det varierer fra gang
401 til gang og kan endre seg over tid).
</p
>
404 <a href=
"https://no.wikipedia.org/wiki/FRA-loven
">introduksjonen av
405 FRA-loven
</a
> at IP-trafikk som passerer grensen til Sverige avlyttes
406 av Försvarets radioanstalt (FRA). Vi vet videre takket være
407 Snowden-bekreftelsene at trafikk som passerer grensen til
408 Storbritannia avlyttes av Government Communications Headquarters
409 (GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at
410 forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til
411 Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland
412 gjør det samme. Poenget er uansett at utenlandsk etterretning har
413 mulighet til å snappe opp trafikken når en sender epost til @nrk.no.
414 I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs
416 <a href=
"https://www.theguardian.com/world/
2013/jul/
11/microsoft-nsa-collaboration-user-data
">samarbeider
417 med USAs etterretning på flere områder
</a
>. De som tipser NRK om
418 nyheter via epost kan dermed gå ut fra at det blir kjent for mange
419 andre enn NRK at det er gjort.
</p
>
421 <p
>Bruk av SMS og telefon registreres av blant annet telefonselskapene
422 og er tilgjengelig i følge lov og forskrift for blant annet Politi,
423 NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene
424 og deres overordnede. Hvis innringer eller mottaker bruker
425 smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike
426 app-leverandører og de som lytter på trafikken mellom telefon og
427 app-leverandør, alt etter hva som er installert på telefonene som
430 <p
>Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres
431 og lagres av postens datastyrte postsorteringssentraler. Det vil ikke
432 overraske meg om det lagres hvor i landet hver konvolutt kommer fra og
433 hvor den er adressert, i hvert fall for en kortere periode. Jeg vet
434 heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan
435 være nok til å ringe inn potensielle kilder når det krysses med hvem
436 som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig
437 f.eks. hvis de bærer mobiltelefon eller bor i nærheten).
</p
>
439 <p
>Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste,
440 men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig
441 <a href=
"http://www.lovdata.no/all/hl-
19850524-
028.html#
14">Sentralbanklovens
442 paragraf
14</a
> og nekter folk å betale med kontanter. I stedet
443 krever de at en varsle sin bankkortutsteder om hvor en befinner seg
444 ved å bruke bankkort. Banktransaksjoner er tilgjengelig for
445 bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en
446 bank) i tillegg til politiet og i hvert fall tidligere med Se
& Hør
447 (via utro tjenere, slik det ble avslørt etter utgivelsen av boken
448 «Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner
449 en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en
450 registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva
451 som skjer med det datasettet, men har grunn til å tro at det sendes ut
452 SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å
453 oppgi falskt navn.
</p
>
455 <p
>Når så tipset er kommet frem til NRK skal det behandles
456 redaksjonelt i NRK. Der vet jeg via ulike kilder at de fleste
457 journalistene bruker lokalt installert programvare, men noen bruker
458 Google Docs og andre skytjenester i strid med interne retningslinjer
459 når de skriver. Hvordan vet en hvem det gjelder? Ikke vet jeg, men
460 det kan være greit å spørre for å sjekke at journalisten har tenkt på
461 problemstillingen, før en gir et tips. Og hvis tipset omtales internt
462 på epost, er det jo grunn til å tro at også intern eposten vil deles
463 med Microsoft og utenlands etterretning, slik tidligere nevnt, men det
464 kan hende at det holdes internt i NRKs interne MS Exchange-løsning.
465 Men Microsoft ønsker å få alle Exchange-kunder over
"i skyen
" (eller
466 andre folks datamaskiner, som det jo innebærer), så jeg vet ikke hvor
467 lenge det i så fall vil vare.
</p
>
469 <p
>I tillegg vet en jo at
470 <a href=
"https://www.nrk.no/ytring/elektronisk-kildevern-i-nrk-
1.11941196">NRK
471 har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på
472 intern og ekstern Internett-trafikk
</a
> hos NRK ved oppsett av såkalte
473 VDI-noder, på tross av
474 <a href=
"https://www.nrk.no/ytring/bekymring-for-nrks-kildevern-
1.11941584">protester
475 fra NRKs journalistlag
</a
>. Jeg vet ikke om den vil kunne snappe opp
476 dokumenter som lagres på interne filtjenere eller dokumenter som lages
477 i de interne webbaserte publiseringssystemene, men vet at hva noden
478 ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik
479 at det ikke gir så mye mening å sjekke hva noden ser etter i dag når
480 det kan endres automatisk i morgen.
</p
>
482 <p
>Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på
483 noe som kunne være en trussel mot den bestående makten i Norge eller
484 verden. Til det virker det å være for mange åpninger for
485 utenforstående med andre prioriteter enn NRKs journalistiske fokus.
486 Og den største truslen for en varsler er jo om metainformasjon kommer
487 på avveie, dvs. informasjon om at en har vært i kontakt med en
488 journalist. Det kan være nok til at en kommer i myndighetenes
489 søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle
490 slik flombelysning på sitt privatliv.
</p
>
495 <title>Unlocking HTC Desire HD on Linux using unruu and fastboot
</title>
496 <link>http://people.skolelinux.org/pere/blog/Unlocking_HTC_Desire_HD_on_Linux_using_unruu_and_fastboot.html
</link>
497 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Unlocking_HTC_Desire_HD_on_Linux_using_unruu_and_fastboot.html
</guid>
498 <pubDate>Thu,
7 Jul
2016 11:
30:
00 +
0200</pubDate>
499 <description><p
>Yesterday, I tried to unlock a HTC Desire HD phone, and it proved
500 to be a slight challenge. Here is the recipe if I ever need to do it
501 again. It all started by me wanting to try the recipe to set up
502 <a href=
"https://blog.torproject.org/blog/mission-impossible-hardening-android-security-and-privacy
">an
503 hardened Android installation
</a
> from the Tor project blog on a
504 device I had access to. It is a old mobile phone with a broken
505 microphone The initial idea had been to just
506 <a href=
"http://wiki.cyanogenmod.org/w/Install_CM_for_ace
">install
507 CyanogenMod on it
</a
>, but did not quite find time to start on it
508 until a few days ago.
</p
>
510 <p
>The unlock process is supposed to be simple: (
1) Boot into the boot
511 loader (press volume down and power at the same time), (
2) select
512 'fastboot
' before (
3) connecting the device via USB to a Linux
513 machine, (
4) request the device identifier token by running
'fastboot
514 oem get_identifier_token
', (
5) request the device unlocking key using
515 the
<a href=
"http://www.htcdev.com/bootloader/
">HTC developer web
516 site
</a
> and unlock the phone using the key file emailed to you.
</p
>
518 <p
>Unfortunately, this only work fi you have hboot version
2.00.0029
519 or newer, and the device I was working on had
2.00.0027. This
520 apparently can be easily fixed by downloading a Windows program and
521 running it on your Windows machine, if you accept the terms Microsoft
522 require you to accept to use Windows - which I do not. So I had to
523 come up with a different approach. I got a lot of help from AndyCap
524 on #nuug, and would not have been able to get this working without
527 <p
>First I needed to extract the hboot firmware from
528 <a href=
"http://www.htcdev.com/ruu/PD9810000_Ace_Sense30_S_hboot_2.00
.0029.exe
">the
529 windows binary for HTC Desire HD
</a
> downloaded as
'the RUU
' from HTC.
530 For this there is is
<a href=
"https://github.com/kmdm/unruu/
">a github
531 project named unruu
</a
> using libunshield. The unshield tool did not
532 recognise the file format, but unruu worked and extracted rom.zip,
533 containing the new hboot firmware and a text file describing which
534 devices it would work for.
</p
>
536 <p
>Next, I needed to get the new firmware into the device. For this I
537 followed some instructions
538 <a href=
"http://www.htc1guru.com/
2013/
09/new-ruu-zips-posted/
">available
539 from HTC1Guru.com
</a
>, and ran these commands as root on a Linux
540 machine with Debian testing:
</p
>
543 adb reboot-bootloader
544 fastboot oem rebootRUU
545 fastboot flash zip rom.zip
546 fastboot flash zip rom.zip
548 </pre
></p
>
550 <p
>The flash command apparently need to be done twice to take effect,
551 as the first is just preparations and the second one do the flashing.
552 The adb command is just to get to the boot loader menu, so turning the
553 device on while holding volume down and the power button should work
556 <p
>With the new hboot version in place I could start following the
557 instructions on the HTC developer web site. I got the device token
561 fastboot oem get_identifier_token
2>&1 | sed
's/(bootloader) //
'
564 <p
>And once I got the unlock code via email, I could use it like
568 fastboot flash unlocktoken Unlock_code.bin
569 </pre
></p
>
571 <p
>And with that final step in place, the phone was unlocked and I
572 could start stuffing the software of my own choosing into the device.
573 So far I only inserted a replacement recovery image to wipe the phone
574 before I start. We will see what happen next. Perhaps I should
575 install
<a href=
"https://www.debian.org/
">Debian
</a
> on it. :)
</p
>
580 <title>How to use the Signal app if you only have a land line (ie no mobile phone)
</title>
581 <link>http://people.skolelinux.org/pere/blog/How_to_use_the_Signal_app_if_you_only_have_a_land_line__ie_no_mobile_phone_.html
</link>
582 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/How_to_use_the_Signal_app_if_you_only_have_a_land_line__ie_no_mobile_phone_.html
</guid>
583 <pubDate>Sun,
3 Jul
2016 14:
20:
00 +
0200</pubDate>
584 <description><p
>For a while now, I have wanted to test
585 <a href=
"https://whispersystems.org/
">the Signal app
</a
>, as it is
586 said to provide end to end encrypted communication and several of my
587 friends and family are already using it. As I by choice do not own a
588 mobile phone, this proved to be harder than expected. And I wanted to
589 have the source of the client and know that it was the code used on my
590 machine. But yesterday I managed to get it working. I used the
591 Github source, compared it to the source in
592 <a href=
"https://chrome.google.com/webstore/detail/signal-private-messenger/bikioccmkafdpakkkcpdbppfkghcmihk?hl=en-US
">the
593 Signal Chrome app
</a
> available from the Chrome web store, applied
594 patches to use the production Signal servers, started the app and
595 asked for the hidden
"register without a smart phone
" form. Here is
596 the recipe how I did it.
</p
>
598 <p
>First, I fetched the Signal desktop source from Github, using
601 git clone https://github.com/WhisperSystems/Signal-Desktop.git
604 <p
>Next, I patched the source to use the production servers, to be
605 able to talk to other Signal users:
</p
>
608 cat
&lt;
&lt;EOF | patch -p0
609 diff -ur ./js/background.js userdata/Default/Extensions/bikioccmkafdpakkkcpdbppfkghcmihk/
0.15.0_0/js/background.js
610 --- ./js/background.js
2016-
06-
29 13:
43:
15.630344628 +
0200
611 +++ userdata/Default/Extensions/bikioccmkafdpakkkcpdbppfkghcmihk/
0.15.0_0/js/background.js
2016-
06-
29 14:
06:
29.530300934 +
0200
616 - var SERVER_URL =
'https://textsecure-service-staging.whispersystems.org
';
617 - var ATTACHMENT_SERVER_URL =
'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com
';
618 + var SERVER_URL =
'https://textsecure-service-ca.whispersystems.org:
4433';
619 + var ATTACHMENT_SERVER_URL =
'https://whispersystems-textsecure-attachments.s3.amazonaws.com
';
621 window.getSocketStatus = function() {
622 if (messageReceiver) {
623 diff -ur ./js/expire.js userdata/Default/Extensions/bikioccmkafdpakkkcpdbppfkghcmihk/
0.15.0_0/js/expire.js
624 --- ./js/expire.js
2016-
06-
29 13:
43:
15.630344628 +
0200
625 +++ userdata/Default/Extensions/bikioccmkafdpakkkcpdbppfkghcmihk/
0.15.0_0/js/expire.js2016-
06-
29 14:
06:
29.530300934 +
0200
628 'use strict
';
629 - var BUILD_EXPIRATION =
0;
630 + var BUILD_EXPIRATION =
1474492690000;
632 window.extension = window.extension || {};
637 <p
>The first part is changing the servers, and the second is updating
638 an expiration timestamp. This timestamp need to be updated regularly.
639 It is set
90 days in the future by the build process (Gruntfile.js).
640 The value is seconds since
1970 times
1000, as far as I can tell.
</p
>
642 <p
>Based on a tip and good help from the #nuug IRC channel, I wrote a
643 script to launch Signal in Chromium.
</p
>
650 --proxy-server=
"socks://localhost:
9050" \
651 --user-data-dir=`pwd`/userdata --load-and-launch-app=`pwd`
654 <p
> The script start the app and configure Chromium to use the Tor
655 SOCKS5 proxy to make sure those controlling the Signal servers (today
656 Amazon and Whisper Systems) as well as those listening on the lines
657 will have a harder time location my laptop based on the Signal
658 connections if they use source IP address.
</p
>
660 <p
>When the script starts, one need to follow the instructions under
661 "Standalone Registration
" in the CONTRIBUTING.md file in the git
662 repository. I right clicked on the Signal window to get up the
663 Chromium debugging tool, visited the
'Console
' tab and wrote
664 'extension.install(
"standalone
")
' on the console prompt to get the
665 registration form. Then I entered by land line phone number and
666 pressed
'Call
'.
5 seconds later the phone rang and a robot voice
667 repeated the verification code three times. After entering the number
668 into the verification code field in the form, I could start using
669 Signal from my laptop.
671 <p
>As far as I can tell, The Signal app will leak who is talking to
672 whom and thus who know who to those controlling the central server,
673 but such leakage is hard to avoid with a centrally controlled server
674 setup. It is something to keep in mind when using Signal - the
675 content of your chats are harder to intercept, but the meta data
676 exposing your contact network is available to people you do not know.
677 So better than many options, but not great. And sadly the usage is
678 connected to my land line, thus allowing those controlling the server
679 to associate it to my home and person. I would prefer it if only
680 those I knew could tell who I was on Signal. There are options
681 avoiding such information leakage, but most of my friends are not
682 using them, so I am stuck with Signal for now.
</p
>
687 <title>syslog-trusted-timestamp - chain of trusted timestamps for your syslog
</title>
688 <link>http://people.skolelinux.org/pere/blog/syslog_trusted_timestamp___chain_of_trusted_timestamps_for_your_syslog.html
</link>
689 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/syslog_trusted_timestamp___chain_of_trusted_timestamps_for_your_syslog.html
</guid>
690 <pubDate>Sat,
2 Apr
2016 09:
50:
00 +
0200</pubDate>
691 <description><p
>Two years ago, I had
692 <a href=
"http://people.skolelinux.org/pere/blog/Public_Trusted_Timestamping_services_for_everyone.html
">a
693 look at trusted timestamping options available
</a
>, and among
694 other things noted a still open
695 <a href=
"https://bugs.debian.org/
742553">bug in the tsget script
</a
>
696 included in openssl that made it harder than necessary to use openssl
697 as a trusted timestamping client. A few days ago I was told
698 <a href=
"https:/www.difi.no/
">the Norwegian government office DIFI
</a
> is
699 close to releasing their own trusted timestamp service, and in the
700 process I was happy to learn about a replacement for the tsget script
701 using only curl:
</p
>
704 openssl ts -query -data
"/etc/shells
" -cert -sha256 -no_nonce \
705 | curl -s -H
"Content-Type: application/timestamp-query
" \
706 --data-binary
"@-
" http://zeitstempel.dfn.de
> etc-shells.tsr
707 openssl ts -reply -text -in etc-shells.tsr
708 </pre
></p
>
710 <p
>This produces a binary timestamp file (etc-shells.tsr) which can be
711 used to verify that the content of the file /etc/shell with the
712 calculated sha256 hash existed at the point in time when the request
713 was made. The last command extract the content of the etc-shells.tsr
714 in human readable form. The idea behind such timestamp is to be able
715 to prove using cryptography that the content of a file have not
716 changed since the file was stamped.
</p
>
718 <p
>To verify that the file on disk match the public key signature in
719 the timestamp file, run the following commands. It make sure you have
720 the required certificate for the trusted timestamp service available
721 and use it to compare the file content with the timestamp. In
722 production, one should of course use a better method to verify the
723 service certificate.
</p
>
726 wget -O ca-cert.txt https://pki.pca.dfn.de/global-services-ca/pub/cacert/chain.txt
727 openssl ts -verify -data /etc/shells -in etc-shells.tsr -CAfile ca-cert.txt -text
728 </pre
></p
>
730 <p
>Wikipedia have a lot more information about
731 <a href=
"https://en.wikipedia.org/wiki/Trusted_timestamping
">trusted
732 Timestamping
</a
> and
733 <a href=
"https://en.wikipedia.org/wiki/Linked_timestamping
">linked
734 timestamping
</a
>, and there are several trusted timestamping services
735 around, both as commercial services and as free and public services.
737 <a href=
"https://www.pki.dfn.de/zeitstempeldienst/
">the
738 zeitstempel.dfn.de service
</a
> mentioned above and
739 <a href=
"https://freetsa.org/
">freetsa.org service
</a
> linked to from the
740 wikipedia web site. I believe the DIFI service should show up on
741 https://tsa.difi.no, but it is not available to the public at the
742 moment. I hope this will change when it is into production. The
743 <a href=
"https://tools.ietf.org/html/rfc3161
">RFC
3161</a
> trusted
744 timestamping protocol standard is even implemented in LibreOffice,
745 Microsoft Office and Adobe Acrobat, making it possible to verify when
746 a document was created.
</p
>
748 <p
>I would find it useful to be able to use such trusted timestamp
749 service to make it possible to verify that my stored syslog files have
750 not been tampered with. This is not a new idea. I found one example
751 implemented on the Endian network appliances where
752 <a href=
"http://help.endian.com/entries/
21518508-Enabling-Timestamping-on-log-files-
">the
753 configuration of such feature was described in
2012</a
>.
</p
>
755 <p
>But I could not find any free implementation of such feature when I
756 searched, so I decided to try to
757 <a href=
"https://github.com/petterreinholdtsen/syslog-trusted-timestamp
">build
758 a prototype named syslog-trusted-timestamp
</a
>. My idea is to
759 generate a timestamp of the old log files after they are rotated, and
760 store the timestamp in the new log file just after rotation. This
761 will form a chain that would make it possible to see if any old log
762 files are tampered with. But syslog is bad at handling kilobytes of
763 binary data, so I decided to base64 encode the timestamp and add an ID
764 and line sequence numbers to the base64 data to make it possible to
765 reassemble the timestamp file again. To use it, simply run it like
769 syslog-trusted-timestamp /path/to/list-of-log-files
770 </pre
></p
>
772 <p
>This will send a timestamp from one or more timestamp services (not
773 yet decided nor implemented) for each listed file to the syslog using
774 logger(
1). To verify the timestamp, the same program is used with the
775 --verify option:
</p
>
778 syslog-trusted-timestamp --verify /path/to/log-file /path/to/log-with-timestamp
779 </pre
></p
>
781 <p
>The verification step is not yet well designed. The current
782 implementation depend on the file path being unique and unchanging,
783 and this is not a solid assumption. It also uses process number as
784 timestamp ID, and this is bound to create ID collisions. I hope to
785 have time to come up with a better way to handle timestamp IDs and
786 verification later.
</p
>
788 <p
>Please check out
789 <a href=
"https://github.com/petterreinholdtsen/syslog-trusted-timestamp
">the
790 prototype for syslog-trusted-timestamp on github
</a
> and send
791 suggestions and improvement, or let me know if there already exist a
792 similar system for timestamping logs already to allow me to join
793 forces with others with the same interest.
</p
>
795 <p
>As usual, if you use Bitcoin and want to show your support of my
796 activities, please send Bitcoin donations to my address
797 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
802 <title>Always download Debian packages using Tor - the simple recipe
</title>
803 <link>http://people.skolelinux.org/pere/blog/Always_download_Debian_packages_using_Tor___the_simple_recipe.html
</link>
804 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Always_download_Debian_packages_using_Tor___the_simple_recipe.html
</guid>
805 <pubDate>Fri,
15 Jan
2016 00:
30:
00 +
0100</pubDate>
806 <description><p
>During his DebConf15 keynote, Jacob Appelbaum
807 <a href=
"https://summit.debconf.org/debconf15/meeting/
331/what-is-to-be-done/
">observed
808 that those listening on the Internet lines would have good reason to
809 believe a computer have a given security hole
</a
> if it download a
810 security fix from a Debian mirror. This is a good reason to always
811 use encrypted connections to the Debian mirror, to make sure those
812 listening do not know which IP address to attack. In August, Richard
813 Hartmann observed that encryption was not enough, when it was possible
814 to interfere download size to security patches or the fact that
815 download took place shortly after a security fix was released, and
816 <a href=
"http://richardhartmann.de/blog/posts/
2015/
08/
24-Tor-enabled_Debian_mirror/
">proposed
817 to always use Tor to download packages from the Debian mirror
</a
>. He
818 was not the first to propose this, as the
819 <tt
><a href=
"https://tracker.debian.org/pkg/apt-transport-tor
">apt-transport-tor
</a
></tt
>
820 package by Tim Retout already existed to make it easy to convince apt
821 to use
<a href=
"https://www.torproject.org/
">Tor
</a
>, but I was not
822 aware of that package when I read the blog post from Richard.
</p
>
824 <p
>Richard discussed the idea with Peter Palfrader, one of the Debian
825 sysadmins, and he set up a Tor hidden service on one of the central
826 Debian mirrors using the address vwakviie2ienjx6t.onion, thus making
827 it possible to download packages directly between two tor nodes,
828 making sure the network traffic always were encrypted.
</p
>
830 <p
>Here is a short recipe for enabling this on your machine, by
831 installing
<tt
>apt-transport-tor
</tt
> and replacing http and https
832 urls with tor+http and tor+https, and using the hidden service instead
833 of the official Debian mirror site. I recommend installing
834 <tt
>etckeeper
</tt
> before you start to have a history of the changes
835 done in /etc/.
</p
>
837 <blockquote
><pre
>
838 apt install apt-transport-tor
839 sed -i
's% http://ftp.debian.org/% tor+http://vwakviie2ienjx6t.onion/%
' /etc/apt/sources.list
840 sed -i
's% http% tor+http%
' /etc/apt/sources.list
841 </pre
></blockquote
>
843 <p
>If you have more sources listed in /etc/apt/sources.list.d/, run
844 the sed commands for these too. The sed command is assuming your are
845 using the ftp.debian.org Debian mirror. Adjust the command (or just
846 edit the file manually) to match your mirror.
</p
>
848 <p
>This work in Debian Jessie and later. Note that tools like
849 <tt
>apt-file
</tt
> only recently started using the apt transport
850 system, and do not work with these tor+http URLs. For
851 <tt
>apt-file
</tt
> you need the version currently in experimental,
852 which need a recent apt version currently only in unstable. So if you
853 need a working
<tt
>apt-file
</tt
>, this is not for you.
</p
>
855 <p
>Another advantage from this change is that your machine will start
856 using Tor regularly and at fairly random intervals (every time you
857 update the package lists or upgrade or install a new package), thus
858 masking other Tor traffic done from the same machine. Using Tor will
859 become normal for the machine in question.
</p
>
861 <p
>On
<a href=
"https://wiki.debian.org/FreedomBox
">Freedombox
</a
>, APT
862 is set up by default to use
<tt
>apt-transport-tor
</tt
> when Tor is
863 enabled. It would be great if it was the default on any Debian
869 <title>PGP key transition statement for key EE4E02F9
</title>
870 <link>http://people.skolelinux.org/pere/blog/PGP_key_transition_statement_for_key_EE4E02F9.html
</link>
871 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/PGP_key_transition_statement_for_key_EE4E02F9.html
</guid>
872 <pubDate>Tue,
17 Nov
2015 10:
50:
00 +
0100</pubDate>
873 <description><p
>I
've needed a new OpenPGP key for a while, but have not had time to
874 set it up properly. I wanted to generate it offline and have it
875 available on
<a href=
"http://shop.kernelconcepts.de/#openpgp
">a OpenPGP
876 smart card
</a
> for daily use, and learning how to do it and finding
877 time to sit down with an offline machine almost took forever. But
878 finally I
've been able to complete the process, and have now moved
879 from my old GPG key to a new GPG key. See
880 <a href=
"http://people.skolelinux.org/pere/blog/images/
2015-
11-
17-new-gpg-key-transition.txt
">the
881 full transition statement, signed with both my old and new key
</a
> for
882 the details. This is my new key:
</p
>
885 pub
3936R/
<a href=
"http://pgp.cs.uu.nl/stats/
111D6B29EE4E02F9.html
">111D6B29EE4E02F9
</a
> 2015-
11-
03 [expires:
2019-
11-
14]
886 Key fingerprint =
3AC7 B2E3 ACA5 DF87
78F1 D827
111D
6B29 EE4E
02F9
887 uid Petter Reinholdtsen
&lt;pere@hungry.com
&gt;
888 uid Petter Reinholdtsen
&lt;pere@debian.org
&gt;
889 sub
4096R/
87BAFB0E
2015-
11-
03 [expires:
2019-
11-
02]
890 sub
4096R/F91E6DE9
2015-
11-
03 [expires:
2019-
11-
02]
891 sub
4096R/A0439BAB
2015-
11-
03 [expires:
2019-
11-
02]
894 <p
>The key can be downloaded from the OpenPGP key servers, signed by
895 my old key.
</p
>
897 <p
>If you signed my old key
898 (
<a href=
"http://pgp.cs.uu.nl/stats/DB4CCC4B2A30D729.html
">DB4CCC4B2A30D729
</a
>),
899 I
'd very much appreciate a signature on my new key, details and
900 instructions in the transition statement. I m happy to reciprocate if
901 you have a similarly signed transition statement to present.
</p
>
906 <title>Lawrence Lessig interviewed Edward Snowden a year ago
</title>
907 <link>http://people.skolelinux.org/pere/blog/Lawrence_Lessig_interviewed_Edward_Snowden_a_year_ago.html
</link>
908 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Lawrence_Lessig_interviewed_Edward_Snowden_a_year_ago.html
</guid>
909 <pubDate>Mon,
19 Oct
2015 11:
50:
00 +
0200</pubDate>
910 <description><p
>Last year,
<a href=
"https://lessig2016.us/
">US president candidate
911 in the Democratic Party
</a
> Lawrence interviewed Edward Snowden. The
912 one hour interview was
913 <a href=
"https://www.youtube.com/watch?v=o_Sr96TFQQE
">published by
914 Harvard Law School
2014-
10-
23 on Youtube
</a
>, and the meeting took
915 place
2014-
10-
20.
</p
>
917 <p
>The questions are very good, and there is lots of useful
918 information to be learned and very interesting issues to think about
919 being raised. Please check it out.
</p
>
921 <iframe width=
"560" height=
"315" src=
"https://www.youtube.com/embed/o_Sr96TFQQE
" frameborder=
"0" allowfullscreen
></iframe
>
923 <p
>I find it especially interesting to hear again that Snowden did try
924 to bring up his reservations through the official channels without any
925 luck. It is in sharp contrast to the answers made
2013-
11-
06 by the
926 Norwegian prime minister Erna Solberg to the Norwegian Parliament,
927 <a href=
"https://tale.holderdeord.no/speeches/s131106/
68">claiming
928 Snowden is no Whistle-Blower
</a
> because he should have taken up his
929 concerns internally and using official channels. It make me sad
930 that this is the political leadership we have here in Norway.
</p
>
935 <title>Alle Stortingets mobiltelefoner kontrolleres fra USA...
</title>
936 <link>http://people.skolelinux.org/pere/blog/Alle_Stortingets_mobiltelefoner_kontrolleres_fra_USA___.html
</link>
937 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Alle_Stortingets_mobiltelefoner_kontrolleres_fra_USA___.html
</guid>
938 <pubDate>Wed,
7 Oct
2015 09:
55:
00 +
0200</pubDate>
939 <description><p
>Jeg lot meg fascinere av
940 <a href=
"http://www.aftenposten.no/nyheter/iriks/politikk/Stortinget-har-tilgang-til-a-fjernstyre-
600-mobiler-
8192692.html
">en
941 artikkel i Aftenposten
</a
> der det fortelles at «over
600 telefoner som
942 benyttes av stortingsrepresentanter, rådgivere og ansatte på
943 Stortinget, kan «fjernstyres» ved hjelp av
944 <a href=
"https://play.google.com/store/apps/details?id=com.airwatch.androidagent
">programvaren
945 Airwatch
</a
>, et såkalte MDM-program (Mobile Device Managment)». Det
946 hele bagatelliseres av Stortingets IT-stab, men det er i hovedsak på
947 grunn av at journalisten ikke stiller de relevante spørsmålene. For
948 meg er det relevante spørsmålet hvem som har lovlig tilgang (i henhold
949 til lokal lovgiving, dvs. i hvert fall i Norge, Sverige, UK og USA)
950 til informasjon om og på telefonene, og hvor enkelt det er å skaffe
951 seg tilgang til hvor mobilene befinner seg og informasjon som befinner
952 seg på telefonene ved hjelp av utro tjenere, trusler, innbrudd og
953 andre ulovlige metoder.
</p
>
955 <p
>Bruken av AirWatch betyr i realiteten at USAs etteretning og
956 politimyndigheter har full tilgang til stortingets mobiltelefoner,
957 inkludert posisjon og innhold, takket være
958 <a href=
"https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act_of_1978_Amendments_Act_of_2008
">FISAAA-loven
</a
>
960 "<a href=
"https://en.wikipedia.org/wiki/National_security_letter
">National
961 Security Letters
</a
>" og det enkle faktum at selskapet
962 <a href=
"http://www.airwatch.com/
">AirWatch
</a
> er kontrollert av et
963 selskap i USA. I tillegg er det kjent at flere lands
964 etterretningstjenester kan lytte på trafikken når den passerer
965 landegrensene.
</p
>
967 <p
>Jeg har bedt om mer informasjon
968 <a href=
"https://www.mimesbronn.no/request/saksnummer_for_saker_anganede_br
">fra
969 Stortinget om bruken av AirWatch
</a
> via Mimes brønn så får vi se hva
970 de har å fortelle om saken. Fant ingenting om
'airwatch
' i
971 postjournalen til Stortinget, så jeg trenger hjelp før jeg kan be om
972 innsyn i konkrete dokumenter.
</p
>
974 <p
>Oppdatering
2015-
10-
07: Jeg er blitt spurt hvorfor jeg antar at
975 AirWatch-agenten rapporterer til USA og ikke direkte til Stortingets
976 egen infrastruktur. Det stemmer at det er teknisk mulig å sette
977 opp mobiltelefonene til å rapportere til datamaskiner som eies av
978 Stortinget. Jeg antar det rapporteres til AirWatch sine sentrale
979 tjenester basert på det jeg leste fra beskrivelsen av
980 <a href=
"http://www.airwatch.com/solutions/mobile-device-management/
">Mobile
981 Device Management
</A
> på AirWatch sine egne nettsider, koblet med at
982 det brukes en standard app som kan hentes fra
"app-butikkene
" for å få
983 tilgang. Enten må app-en settes opp individuelt hos Stortinget, eller
984 så får den beskjed fra AirWatch i USA om hvor den skal koble seg opp.
985 I det første tilfellet vil den ikke rapportere direkte til USA, men
986 til programvare utviklet av AirWatch som kjører på en maskin under
987 Stortingets kontroll. Det er litt bedre, men fortsatt vil det være
988 umulig for Stortinget å være sikker på hva programvaren som tar imot
989 forbindelser gjør. Jeg ser fra beskrivelsen av
990 <a href=
"http://www.airwatch.com/differentiators/enterprise-integration/
">Enterprice
991 Integration
</a
> hos AirWatch at det er mulig å ha lokal installasjon,
992 og håper innsynsforespørsler mot Stortinget kan fortelle mer om
993 hvordan ting konkret fungerer der.
</p
>
998 <title>Good bye subkeys.pgp.net, welcome pool.sks-keyservers.net
</title>
999 <link>http://people.skolelinux.org/pere/blog/Good_bye_subkeys_pgp_net__welcome_pool_sks_keyservers_net.html
</link>
1000 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Good_bye_subkeys_pgp_net__welcome_pool_sks_keyservers_net.html
</guid>
1001 <pubDate>Wed,
10 Sep
2014 13:
10:
00 +
0200</pubDate>
1002 <description><p
>Yesterday, I had the pleasure of attending a talk with the
1003 <a href=
"http://www.nuug.no/
">Norwegian Unix User Group
</a
> about
1004 <a href=
"http://www.nuug.no/aktiviteter/
20140909-sks-keyservers/
">the
1005 OpenPGP keyserver pool sks-keyservers.net
</a
>, and was very happy to
1006 learn that there is a large set of publicly available key servers to
1007 use when looking for peoples public key. So far I have used
1008 subkeys.pgp.net, and some times wwwkeys.nl.pgp.net when the former
1009 were misbehaving, but those days are ended. The servers I have used
1010 up until yesterday have been slow and some times unavailable. I hope
1011 those problems are gone now.
</p
>
1013 <p
>Behind the round robin DNS entry of the
1014 <a href=
"https://sks-keyservers.net/
">sks-keyservers.net
</a
> service
1015 there is a pool of more than
100 keyservers which are checked every
1016 day to ensure they are well connected and up to date. It must be
1017 better than what I have used so far. :)
</p
>
1019 <p
>Yesterdays speaker told me that the service is the default
1020 keyserver provided by the default configuration in GnuPG, but this do
1021 not seem to be used in Debian. Perhaps it should?
</p
>
1023 <p
>Anyway, I
've updated my ~/.gnupg/options file to now include this
1026 <p
><blockquote
><pre
>
1027 keyserver pool.sks-keyservers.net
1028 </pre
></blockquote
></p
>
1030 <p
>With GnuPG version
2 one can also locate the keyserver using SRV
1031 entries in DNS. Just for fun, I did just that at work, so now every
1032 user of GnuPG at the University of Oslo should find a OpenGPG
1033 keyserver automatically should their need it:
</p
>
1035 <p
><blockquote
><pre
>
1036 % host -t srv _pgpkey-http._tcp.uio.no
1037 _pgpkey-http._tcp.uio.no has SRV record
0 100 11371 pool.sks-keyservers.net.
1039 </pre
></blockquote
></p
>
1041 <p
>Now if only
1042 <a href=
"http://ietfreport.isoc.org/idref/draft-shaw-openpgp-hkp/
">the
1043 HKP lookup protocol
</a
> supported finding signature paths, I would be
1044 very happy. It can look up a given key or search for a user ID, but I
1045 normally do not want that, but to find a trust path from my key to
1046 another key. Given a user ID or key ID, I would like to find (and
1047 download) the keys representing a signature path from my key to the
1048 key in question, to be able to get a trust path between the two keys.
1049 This is as far as I can tell not possible today. Perhaps something
1050 for a future version of the protocol?
</p
>
1055 <title>FreedomBox milestone - all packages now in Debian Sid
</title>
1056 <link>http://people.skolelinux.org/pere/blog/FreedomBox_milestone___all_packages_now_in_Debian_Sid.html
</link>
1057 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/FreedomBox_milestone___all_packages_now_in_Debian_Sid.html
</guid>
1058 <pubDate>Tue,
15 Apr
2014 22:
10:
00 +
0200</pubDate>
1059 <description><p
>The
<a href=
"https://wiki.debian.org/FreedomBox
">Freedombox
1060 project
</a
> is working on providing the software and hardware to make
1061 it easy for non-technical people to host their data and communication
1062 at home, and being able to communicate with their friends and family
1063 encrypted and away from prying eyes. It is still going strong, and
1064 today a major mile stone was reached.
</p
>
1066 <p
>Today, the last of the packages currently used by the project to
1067 created the system images were accepted into Debian Unstable. It was
1068 the freedombox-setup package, which is used to configure the images
1069 during build and on the first boot. Now all one need to get going is
1070 the build code from the freedom-maker git repository and packages from
1071 Debian. And once the freedombox-setup package enter testing, we can
1072 build everything directly from Debian. :)
</p
>
1074 <p
>Some key packages used by Freedombox are
1075 <a href=
"http://packages.qa.debian.org/freedombox-setup
">freedombox-setup
</a
>,
1076 <a href=
"http://packages.qa.debian.org/plinth
">plinth
</a
>,
1077 <a href=
"http://packages.qa.debian.org/pagekite
">pagekite
</a
>,
1078 <a href=
"http://packages.qa.debian.org/tor
">tor
</a
>,
1079 <a href=
"http://packages.qa.debian.org/privoxy
">privoxy
</a
>,
1080 <a href=
"http://packages.qa.debian.org/owncloud
">owncloud
</a
> and
1081 <a href=
"http://packages.qa.debian.org/dnsmasq
">dnsmasq
</a
>. There
1082 are plans to integrate more packages into the setup. User
1083 documentation is maintained on the Debian wiki. Please
1084 <a href=
"https://wiki.debian.org/FreedomBox/Manual/Jessie
">check out
1085 the manual
</a
> and help us improve it.
</p
>
1087 <p
>To test for yourself and create boot images with the FreedomBox
1088 setup, run this on a Debian machine using a user with sudo rights to
1089 become root:
</p
>
1091 <p
><pre
>
1092 sudo apt-get install git vmdebootstrap mercurial python-docutils \
1093 mktorrent extlinux virtualbox qemu-user-static binfmt-support \
1095 git clone http://anonscm.debian.org/git/freedombox/freedom-maker.git \
1097 make -C freedom-maker dreamplug-image raspberry-image virtualbox-image
1098 </pre
></p
>
1100 <p
>Root access is needed to run debootstrap and mount loopback
1101 devices. See the README in the freedom-maker git repo for more
1102 details on the build. If you do not want all three images, trim the
1103 make line. Note that the virtualbox-image target is not really
1104 virtualbox specific. It create a x86 image usable in kvm, qemu,
1105 vmware and any other x86 virtual machine environment. You might need
1106 the version of vmdebootstrap in Jessie to get the build working, as it
1107 include fixes for a race condition with kpartx.
</p
>
1109 <p
>If you instead want to install using a Debian CD and the preseed
1110 method, boot a Debian Wheezy ISO and use this boot argument to load
1111 the preseed values:
</p
>
1113 <p
><pre
>
1114 url=
<a href=
"http://www.reinholdtsen.name/freedombox/preseed-jessie.dat
">http://www.reinholdtsen.name/freedombox/preseed-jessie.dat
</a
>
1115 </pre
></p
>
1117 <p
>I have not tested it myself the last few weeks, so I do not know if
1118 it still work.
</p
>
1120 <p
>If you wonder how to help, one task you could look at is using
1121 systemd as the boot system. It will become the default for Linux in
1122 Jessie, so we need to make sure it is usable on the Freedombox. I did
1123 a simple test a few weeks ago, and noticed dnsmasq failed to start
1124 during boot when using systemd. I suspect there are other problems
1125 too. :) To detect problems, there is a test suite included, which can
1126 be run from the plinth web interface.
</p
>
1128 <p
>Give it a go and let us know how it goes on the mailing list, and help
1129 us get the new release published. :) Please join us on
1130 <a href=
"irc://irc.debian.org:
6667/%
23freedombox
">IRC (#freedombox on
1131 irc.debian.org)
</a
> and
1132 <a href=
"http://lists.alioth.debian.org/mailman/listinfo/freedombox-discuss
">the
1133 mailing list
</a
> if you want to help make this vision come true.
</p
>
1138 <title>S3QL, a locally mounted cloud file system - nice free software
</title>
1139 <link>http://people.skolelinux.org/pere/blog/S3QL__a_locally_mounted_cloud_file_system___nice_free_software.html
</link>
1140 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/S3QL__a_locally_mounted_cloud_file_system___nice_free_software.html
</guid>
1141 <pubDate>Wed,
9 Apr
2014 11:
30:
00 +
0200</pubDate>
1142 <description><p
>For a while now, I have been looking for a sensible offsite backup
1143 solution for use at home. My requirements are simple, it must be
1144 cheap and locally encrypted (in other words, I keep the encryption
1145 keys, the storage provider do not have access to my private files).
1146 One idea me and my friends had many years ago, before the cloud
1147 storage providers showed up, was to use Google mail as storage,
1148 writing a Linux block device storing blocks as emails in the mail
1149 service provided by Google, and thus get heaps of free space. On top
1150 of this one can add encryption, RAID and volume management to have
1151 lots of (fairly slow, I admit that) cheap and encrypted storage. But
1152 I never found time to implement such system. But the last few weeks I
1153 have looked at a system called
1154 <a href=
"https://bitbucket.org/nikratio/s3ql/
">S3QL
</a
>, a locally
1155 mounted network backed file system with the features I need.
</p
>
1157 <p
>S3QL is a fuse file system with a local cache and cloud storage,
1158 handling several different storage providers, any with Amazon S3,
1159 Google Drive or OpenStack API. There are heaps of such storage
1160 providers. S3QL can also use a local directory as storage, which
1161 combined with sshfs allow for file storage on any ssh server. S3QL
1162 include support for encryption, compression, de-duplication, snapshots
1163 and immutable file systems, allowing me to mount the remote storage as
1164 a local mount point, look at and use the files as if they were local,
1165 while the content is stored in the cloud as well. This allow me to
1166 have a backup that should survive fire. The file system can not be
1167 shared between several machines at the same time, as only one can
1168 mount it at the time, but any machine with the encryption key and
1169 access to the storage service can mount it if it is unmounted.
</p
>
1171 <p
>It is simple to use. I
'm using it on Debian Wheezy, where the
1172 package is included already. So to get started, run
<tt
>apt-get
1173 install s3ql
</tt
>. Next, pick a storage provider. I ended up picking
1174 Greenqloud, after reading their nice recipe on
1175 <a href=
"https://greenqloud.zendesk.com/entries/
44611757-How-To-Use-S3QL-to-mount-a-StorageQloud-bucket-on-Debian-Wheezy
">how
1176 to use S3QL with their Amazon S3 service
</a
>, because I trust the laws
1177 in Iceland more than those in USA when it come to keeping my personal
1178 data safe and private, and thus would rather spend money on a company
1179 in Iceland. Another nice recipe is available from the article
1180 <a href=
"http://www.admin-magazine.com/HPC/Articles/HPC-Cloud-Storage
">S3QL
1181 Filesystem for HPC Storage
</a
> by Jeff Layton in the HPC section of
1182 Admin magazine. When the provider is picked, figure out how to get
1183 the API key needed to connect to the storage API. With Greencloud,
1184 the key did not show up until I had added payment details to my
1187 <p
>Armed with the API access details, it is time to create the file
1188 system. First, create a new bucket in the cloud. This bucket is the
1189 file system storage area. I picked a bucket name reflecting the
1190 machine that was going to store data there, but any name will do.
1191 I
'll refer to it as
<tt
>bucket-name
</tt
> below. In addition, one need
1192 the API login and password, and a locally created password. Store it
1193 all in ~root/.s3ql/authinfo2 like this:
1195 <p
><blockquote
><pre
>
1197 storage-url: s3c://s.greenqloud.com:
443/bucket-name
1198 backend-login: API-login
1199 backend-password: API-password
1200 fs-passphrase: local-password
1201 </pre
></blockquote
></p
>
1203 <p
>I create my local passphrase using
<tt
>pwget
50</tt
> or similar,
1204 but any sensible way to create a fairly random password should do it.
1205 Armed with these details, it is now time to run mkfs, entering the API
1206 details and password to create it:
</p
>
1208 <p
><blockquote
><pre
>
1209 # mkdir -m
700 /var/lib/s3ql-cache
1210 # mkfs.s3ql --cachedir /var/lib/s3ql-cache --authfile /root/.s3ql/authinfo2 \
1211 --ssl s3c://s.greenqloud.com:
443/bucket-name
1212 Enter backend login:
1213 Enter backend password:
1214 Before using S3QL, make sure to read the user
's guide, especially
1215 the
'Important Rules to Avoid Loosing Data
' section.
1216 Enter encryption password:
1217 Confirm encryption password:
1218 Generating random encryption key...
1219 Creating metadata tables...
1229 Compressing and uploading metadata...
1230 Wrote
0.00 MB of compressed metadata.
1231 #
</pre
></blockquote
></p
>
1233 <p
>The next step is mounting the file system to make the storage available.
1235 <p
><blockquote
><pre
>
1236 # mount.s3ql --cachedir /var/lib/s3ql-cache --authfile /root/.s3ql/authinfo2 \
1237 --ssl --allow-root s3c://s.greenqloud.com:
443/bucket-name /s3ql
1238 Using
4 upload threads.
1239 Downloading and decompressing metadata...
1249 Mounting filesystem...
1251 Filesystem Size Used Avail Use% Mounted on
1252 s3c://s.greenqloud.com:
443/bucket-name
1.0T
0 1.0T
0% /s3ql
1254 </pre
></blockquote
></p
>
1256 <p
>The file system is now ready for use. I use rsync to store my
1257 backups in it, and as the metadata used by rsync is downloaded at
1258 mount time, no network traffic (and storage cost) is triggered by
1259 running rsync. To unmount, one should not use the normal umount
1260 command, as this will not flush the cache to the cloud storage, but
1261 instead running the umount.s3ql command like this:
1263 <p
><blockquote
><pre
>
1266 </pre
></blockquote
></p
>
1268 <p
>There is a fsck command available to check the file system and
1269 correct any problems detected. This can be used if the local server
1270 crashes while the file system is mounted, to reset the
"already
1271 mounted
" flag. This is what it look like when processing a working
1272 file system:
</p
>
1274 <p
><blockquote
><pre
>
1275 # fsck.s3ql --force --ssl s3c://s.greenqloud.com:
443/bucket-name
1276 Using cached metadata.
1277 File system seems clean, checking anyway.
1278 Checking DB integrity...
1279 Creating temporary extra indices...
1280 Checking lost+found...
1281 Checking cached objects...
1282 Checking names (refcounts)...
1283 Checking contents (names)...
1284 Checking contents (inodes)...
1285 Checking contents (parent inodes)...
1286 Checking objects (reference counts)...
1287 Checking objects (backend)...
1288 ..processed
5000 objects so far..
1289 ..processed
10000 objects so far..
1290 ..processed
15000 objects so far..
1291 Checking objects (sizes)...
1292 Checking blocks (referenced objects)...
1293 Checking blocks (refcounts)...
1294 Checking inode-block mapping (blocks)...
1295 Checking inode-block mapping (inodes)...
1296 Checking inodes (refcounts)...
1297 Checking inodes (sizes)...
1298 Checking extended attributes (names)...
1299 Checking extended attributes (inodes)...
1300 Checking symlinks (inodes)...
1301 Checking directory reachability...
1302 Checking unix conventions...
1303 Checking referential integrity...
1304 Dropping temporary indices...
1305 Backing up old metadata...
1315 Compressing and uploading metadata...
1316 Wrote
0.89 MB of compressed metadata.
1318 </pre
></blockquote
></p
>
1320 <p
>Thanks to the cache, working on files that fit in the cache is very
1321 quick, about the same speed as local file access. Uploading large
1322 amount of data is to me limited by the bandwidth out of and into my
1323 house. Uploading
685 MiB with a
100 MiB cache gave me
305 kiB/s,
1324 which is very close to my upload speed, and downloading the same
1325 Debian installation ISO gave me
610 kiB/s, close to my download speed.
1326 Both were measured using
<tt
>dd
</tt
>. So for me, the bottleneck is my
1327 network, not the file system code. I do not know what a good cache
1328 size would be, but suspect that the cache should e larger than your
1329 working set.
</p
>
1331 <p
>I mentioned that only one machine can mount the file system at the
1332 time. If another machine try, it is told that the file system is
1335 <p
><blockquote
><pre
>
1336 # mount.s3ql --cachedir /var/lib/s3ql-cache --authfile /root/.s3ql/authinfo2 \
1337 --ssl --allow-root s3c://s.greenqloud.com:
443/bucket-name /s3ql
1338 Using
8 upload threads.
1339 Backend reports that fs is still mounted elsewhere, aborting.
1341 </pre
></blockquote
></p
>
1343 <p
>The file content is uploaded when the cache is full, while the
1344 metadata is uploaded once every
24 hour by default. To ensure the
1345 file system content is flushed to the cloud, one can either umount the
1346 file system, or ask S3QL to flush the cache and metadata using
1349 <p
><blockquote
><pre
>
1350 # s3qlctrl upload-meta /s3ql
1351 # s3qlctrl flushcache /s3ql
1353 </pre
></blockquote
></p
>
1355 <p
>If you are curious about how much space your data uses in the
1356 cloud, and how much compression and deduplication cut down on the
1357 storage usage, you can use s3qlstat on the mounted file system to get
1360 <p
><blockquote
><pre
>
1362 Directory entries:
9141
1365 Total data size:
22049.38 MB
1366 After de-duplication:
21955.46 MB (
99.57% of total)
1367 After compression:
21877.28 MB (
99.22% of total,
99.64% of de-duplicated)
1368 Database size:
2.39 MB (uncompressed)
1369 (some values do not take into account not-yet-uploaded dirty blocks in cache)
1371 </pre
></blockquote
></p
>
1373 <p
>I mentioned earlier that there are several possible suppliers of
1374 storage. I did not try to locate them all, but am aware of at least
1375 <a href=
"https://www.greenqloud.com/
">Greenqloud
</a
>,
1376 <a href=
"http://drive.google.com/
">Google Drive
</a
>,
1377 <a href=
"http://aws.amazon.com/s3/
">Amazon S3 web serivces
</a
>,
1378 <a href=
"http://www.rackspace.com/
">Rackspace
</a
> and
1379 <a href=
"http://crowncloud.net/
">Crowncloud
</A
>. The latter even
1380 accept payment in Bitcoin. Pick one that suit your need. Some of
1381 them provide several GiB of free storage, but the prize models are
1382 quite different and you will have to figure out what suits you
1385 <p
>While researching this blog post, I had a look at research papers
1386 and posters discussing the S3QL file system. There are several, which
1387 told me that the file system is getting a critical check by the
1388 science community and increased my confidence in using it. One nice
1390 "<a href=
"http://www.lanl.gov/orgs/adtsc/publications/science_highlights_2013/docs/pg68_69.pdf
">An
1391 Innovative Parallel Cloud Storage System using OpenStack’s SwiftObject
1392 Store and Transformative Parallel I/O Approach
</a
>" by Hsing-Bung
1393 Chen, Benjamin McClelland, David Sherrill, Alfred Torrez, Parks Fields
1394 and Pamela Smith. Please have a look.
</p
>
1396 <p
>Given my problems with different file systems earlier, I decided to
1397 check out the mounted S3QL file system to see if it would be usable as
1398 a home directory (in other word, that it provided POSIX semantics when
1399 it come to locking and umask handling etc). Running
1400 <a href=
"http://people.skolelinux.org/pere/blog/Testing_if_a_file_system_can_be_used_for_home_directories___.html
">my
1401 test code to check file system semantics
</a
>, I was happy to discover that
1402 no error was found. So the file system can be used for home
1403 directories, if one chooses to do so.
</p
>
1405 <p
>If you do not want a locally file system, and want something that
1406 work without the Linux fuse file system, I would like to mention the
1407 <a href=
"http://www.tarsnap.com/
">Tarsnap service
</a
>, which also
1408 provide locally encrypted backup using a command line client. It have
1409 a nicer access control system, where one can split out read and write
1410 access, allowing some systems to write to the backup and others to
1411 only read from it.
</p
>
1413 <p
>As usual, if you use Bitcoin and want to show your support of my
1414 activities, please send Bitcoin donations to my address
1415 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
&label=PetterReinholdtsenBlog
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
1420 <title>EU-domstolen bekreftet i dag at datalagringsdirektivet er ulovlig
</title>
1421 <link>http://people.skolelinux.org/pere/blog/EU_domstolen_bekreftet_i_dag_at_datalagringsdirektivet_er_ulovlig.html
</link>
1422 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/EU_domstolen_bekreftet_i_dag_at_datalagringsdirektivet_er_ulovlig.html
</guid>
1423 <pubDate>Tue,
8 Apr
2014 11:
30:
00 +
0200</pubDate>
1424 <description><p
>I dag kom endelig avgjørelsen fra EU-domstolen om
1425 datalagringsdirektivet, som ikke overraskende ble dømt ulovlig og i
1426 strid med borgernes grunnleggende rettigheter. Hvis du lurer på hva
1427 datalagringsdirektivet er for noe, så er det
1428 <a href=
"http://tv.nrk.no/program/koid75005313/tema-dine-digitale-spor-datalagringsdirektivet
">en
1429 flott dokumentar tilgjengelig hos NRK
</a
> som jeg tidligere
1430 <a href=
"http://people.skolelinux.org/pere/blog/Dokumentaren_om_Datalagringsdirektivet_sendes_endelig_p__NRK.html
">har
1431 anbefalt
</a
> alle å se.
</p
>
1433 <p
>Her er et liten knippe nyhetsoppslag om saken, og jeg regner med at
1434 det kommer flere ut over dagen. Flere kan finnes
1435 <a href=
"http://www.mylder.no/?drill=datalagringsdirektivet
&intern=
1">via
1436 mylder
</a
>.
</p
>
1440 <li
><a href=
"http://e24.no/digital/eu-domstolen-datalagringsdirektivet-er-ugyldig/
22879592">EU-domstolen:
1441 Datalagringsdirektivet er ugyldig
</a
> - e24.no
2014-
04-
08
1443 <li
><a href=
"http://www.aftenposten.no/nyheter/iriks/EU-domstolen-Datalagringsdirektivet-er-ulovlig-
7529032.html
">EU-domstolen:
1444 Datalagringsdirektivet er ulovlig
</a
> - aftenposten.no
2014-
04-
08
1446 <li
><a href=
"http://www.aftenposten.no/nyheter/iriks/politikk/Krever-DLD-stopp-i-Norge-
7530086.html
">Krever
1447 DLD-stopp i Norge
</a
> - aftenposten.no
2014-
04-
08
1449 <li
><a href=
"http://www.p4.no/story.aspx?id=
566431">Apenes: - En
1450 gledens dag
</a
> - p4.no
2014-
04-
08
1452 <li
><a href=
"http://www.nrk.no/norge/_-datalagringsdirektivet-er-ugyldig-
1.11655929">EU-domstolen:
1453 – Datalagringsdirektivet er ugyldig
</a
> - nrk.no
2014-
04-
08</li
>
1455 <li
><a href=
"http://www.vg.no/nyheter/utenriks/data-og-nett/eu-domstolen-datalagringsdirektivet-er-ugyldig/a/
10130280/
">EU-domstolen:
1456 Datalagringsdirektivet er ugyldig
</a
> - vg.no
2014-
04-
08</li
>
1458 <li
><a href=
"http://www.dagbladet.no/
2014/
04/
08/nyheter/innenriks/datalagringsdirektivet/personvern/
32711646/
">-
1459 Vi bør skrote hele datalagringsdirektivet
</a
> - dagbladet.no
1460 2014-
04-
08</li
>
1462 <li
><a href=
"http://www.digi.no/
928137/eu-domstolen-dld-er-ugyldig
">EU-domstolen:
1463 DLD er ugyldig
</a
> - digi.no
2014-
04-
08</li
>
1465 <li
><a href=
"http://www.irishtimes.com/business/sectors/technology/european-court-declares-data-retention-directive-invalid-
1.1754150">European
1466 court declares data retention directive invalid
</a
> - irishtimes.com
1467 2014-
04-
08</li
>
1469 <li
><a href=
"http://www.reuters.com/article/
2014/
04/
08/us-eu-data-ruling-idUSBREA370F020140408?feedType=RSS
">EU
1470 court rules against requirement to keep data of telecom users
</a
> -
1471 reuters.com
2014-
04-
08</li
>
1476 <p
>Jeg synes det er veldig fint at nok en stemme slår fast at
1477 totalitær overvåkning av befolkningen er uakseptabelt, men det er
1478 fortsatt like viktig å beskytte privatsfæren som før, da de
1479 teknologiske mulighetene fortsatt finnes og utnyttes, og jeg tror
1480 innsats i prosjekter som
1481 <a href=
"https://wiki.debian.org/FreedomBox
">Freedombox
</a
> og
1482 <a href=
"http://www.dugnadsnett.no/
">Dugnadsnett
</a
> er viktigere enn
1483 noen gang.
</p
>
1485 <p
><strong
>Update
2014-
04-
08 12:
10</strong
>: Kronerullingen for å
1486 stoppe datalagringsdirektivet i Norge gjøres hos foreningen
1487 <a href=
"http://www.digitaltpersonvern.no/
">Digitalt Personvern
</a
>,
1488 som har samlet inn
843 215,- så langt men trenger nok mye mer hvis
1490 ikke Høyre og Arbeiderpartiet bytter mening i saken. Det var
1491 <a href=
"http://www.holderdeord.no/parliament-issues/
48650">kun
1492 partinene Høyre og Arbeiderpartiet
</a
> som stemte for
1493 Datalagringsdirektivet, og en av dem må bytte mening for at det skal
1494 bli flertall mot i Stortinget. Se mer om saken
1495 <a href=
"http://www.holderdeord.no/issues/
69-innfore-datalagringsdirektivet
">Holder
1496 de ord
</a
>.
</p
>
1501 <title>Dokumentaren om Datalagringsdirektivet sendes endelig på NRK
</title>
1502 <link>http://people.skolelinux.org/pere/blog/Dokumentaren_om_Datalagringsdirektivet_sendes_endelig_p__NRK.html
</link>
1503 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Dokumentaren_om_Datalagringsdirektivet_sendes_endelig_p__NRK.html
</guid>
1504 <pubDate>Wed,
26 Mar
2014 09:
50:
00 +
0100</pubDate>
1505 <description><p
><a href=
"http://www.nuug.no/
">Foreningen NUUG
</a
> melder i natt at
1506 NRK nå har bestemt seg for
1507 <a href=
"http://www.nuug.no/news/NRK_viser_filmen_om_Datalagringsdirektivet_f_rste_gang_2014_03_31.shtml
">når
1508 den norske dokumentarfilmen om datalagringsdirektivet skal
1509 sendes
</a
> (se
<a href=
"http://www.imdb.com/title/tt2832844/
">IMDB
</a
>
1510 for detaljer om filmen) . Første visning blir på NRK2 mandag
1511 2014-
03-
31 kl.
19:
50, og deretter visninger onsdag
2014-
04-
02
1512 kl.
12:
30, fredag
2014-
04-
04 kl.
19:
40 og søndag
2014-
04-
06 kl.
15:
10.
1513 Jeg har sett dokumentaren, og jeg anbefaler enhver å se den selv. Som
1514 oppvarming mens vi venter anbefaler jeg Bjørn Stærks kronikk i
1515 Aftenposten fra i går,
1516 <a href=
"http://www.aftenposten.no/meninger/kronikker/Autoritar-gjokunge-
7514915.html
">Autoritær
1517 gjøkunge
</a
>, der han gir en grei skisse av hvor ille det står til med
1518 retten til privatliv og beskyttelsen av demokrati i Norge og resten
1519 verden, og helt riktig slår fast at det er vi i databransjen som
1520 sitter med nøkkelen til å gjøre noe med dette. Jeg har involvert meg
1521 i prosjektene
<a href=
"http://www.dugnadsnett.no/
">dugnadsnett.no
</a
>
1522 og
<a href=
"https://wiki.debian.org/FreedomBox
">FreedomBox
</a
> for å
1523 forsøke å gjøre litt selv for å bedre situasjonen, men det er mye
1524 hardt arbeid fra mange flere enn meg som gjenstår før vi kan sies å ha
1525 gjenopprettet balansen.
</p
>
1527 <p
>Jeg regner med at nettutgaven dukker opp på
1528 <a href=
"http://tv.nrk.no/program/koid75005313/tema-dine-digitale-spor-datalagringsdirektivet
">NRKs
1529 side om filmen om datalagringsdirektivet
</a
> om fem dager. Hold et
1530 øye med siden, og tips venner og slekt om at de også bør se den.
</p
>
1535 <title>Public Trusted Timestamping services for everyone
</title>
1536 <link>http://people.skolelinux.org/pere/blog/Public_Trusted_Timestamping_services_for_everyone.html
</link>
1537 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Public_Trusted_Timestamping_services_for_everyone.html
</guid>
1538 <pubDate>Tue,
25 Mar
2014 12:
50:
00 +
0100</pubDate>
1539 <description><p
>Did you ever need to store logs or other files in a way that would
1540 allow it to be used as evidence in court, and needed a way to
1541 demonstrate without reasonable doubt that the file had not been
1542 changed since it was created? Or, did you ever need to document that
1543 a given document was received at some point in time, like some
1544 archived document or the answer to an exam, and not changed after it
1545 was received? The problem in these settings is to remove the need to
1546 trust yourself and your computers, while still being able to prove
1547 that a file is the same as it was at some given time in the past.
</p
>
1549 <p
>A solution to these problems is to have a trusted third party
1550 "stamp
" the document and verify that at some given time the document
1551 looked a given way. Such
1552 <a href=
"https://en.wikipedia.org/wiki/Notarius
">notarius
</a
> service
1553 have been around for thousands of years, and its digital equivalent is
1555 <a href=
"http://en.wikipedia.org/wiki/Trusted_timestamping
">trusted
1556 timestamping service
</a
>.
<a href=
"http://www.ietf.org/
">The Internet
1557 Engineering Task Force
</a
> standardised how such service could work a
1558 few years ago as
<a href=
"http://tools.ietf.org/html/rfc3161
">RFC
1559 3161</a
>. The mechanism is simple. Create a hash of the file in
1560 question, send it to a trusted third party which add a time stamp to
1561 the hash and sign the result with its private key, and send back the
1562 signed hash + timestamp. Both email, FTP and HTTP can be used to
1563 request such signature, depending on what is provided by the service
1564 used. Anyone with the document and the signature can then verify that
1565 the document matches the signature by creating their own hash and
1566 checking the signature using the trusted third party public key.
1567 There are several commercial services around providing such
1568 timestamping. A quick search for
1569 "<a href=
"https://duckduckgo.com/?q=rfc+
3161+service
">rfc
3161
1570 service
</a
>" pointed me to at least
1571 <a href=
"https://www.digistamp.com/technical/how-a-digital-time-stamp-works/
">DigiStamp
</a
>,
1572 <a href=
"http://www.quovadisglobal.co.uk/CertificateServices/SigningServices/TimeStamp.aspx
">Quo
1574 <a href=
"https://www.globalsign.com/timestamp-service/
">Global Sign
</a
>
1575 and
<a href=
"http://www.globaltrustfinder.com/TSADefault.aspx
">Global
1576 Trust Finder
</a
>. The system work as long as the private key of the
1577 trusted third party is not compromised.
</p
>
1579 <p
>But as far as I can tell, there are very few public trusted
1580 timestamp services available for everyone. I
've been looking for one
1581 for a while now. But yesterday I found one over at
1582 <a href=
"https://www.pki.dfn.de/zeitstempeldienst/
">Deutches
1583 Forschungsnetz
</a
> mentioned in
1584 <a href=
"http://www.d-mueller.de/blog/dealing-with-trusted-timestamps-in-php-rfc-
3161/
">a
1585 blog by David Müller
</a
>. I then found
1586 <a href=
"http://www.rz.uni-greifswald.de/support/dfn-pki-zertifikate/zeitstempeldienst.html
">a
1587 good recipe on how to use the service
</a
> over at the University of
1588 Greifswald.
</p
>
1590 <p
><a href=
"http://www.openssl.org/
">The OpenSSL library
</a
> contain
1591 both server and tools to use and set up your own signing service. See
1592 the ts(
1SSL), tsget(
1SSL) manual pages for more details. The
1593 following shell script demonstrate how to extract a signed timestamp
1594 for any file on the disk in a Debian environment:
</p
>
1596 <p
><blockquote
><pre
>
1599 url=
"http://zeitstempel.dfn.de
"
1600 caurl=
"https://pki.pca.dfn.de/global-services-ca/pub/cacert/chain.txt
"
1601 reqfile=$(mktemp -t tmp.XXXXXXXXXX.tsq)
1602 resfile=$(mktemp -t tmp.XXXXXXXXXX.tsr)
1604 if [ ! -f $cafile ] ; then
1605 wget -O $cafile
"$caurl
"
1607 openssl ts -query -data
"$
1" -cert | tee
"$reqfile
" \
1608 | /usr/lib/ssl/misc/tsget -h
"$url
" -o
"$resfile
"
1609 openssl ts -reply -in
"$resfile
" -text
1>&2
1610 openssl ts -verify -data
"$
1" -in
"$resfile
" -CAfile
"$cafile
" 1>&2
1611 base64
< "$resfile
"
1612 rm
"$reqfile
" "$resfile
"
1613 </pre
></blockquote
></p
>
1615 <p
>The argument to the script is the file to timestamp, and the output
1616 is a base64 encoded version of the signature to STDOUT and details
1617 about the signature to STDERR. Note that due to
1618 <a href=
"http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=
742553">a bug
1619 in the tsget script
</a
>, you might need to modify the included script
1620 and remove the last line. Or just write your own HTTP uploader using
1621 curl. :) Now you too can prove and verify that files have not been
1624 <p
>But the Internet need more public trusted timestamp services.
1625 Perhaps something for
<a href=
"http://www.uninett.no/
">Uninett
</a
> or
1626 my work place the
<a href=
"http://www.uio.no/
">University of Oslo
</a
>
1627 to set up?
</p
>
1632 <title>Freedombox on Dreamplug, Raspberry Pi and virtual x86 machine
</title>
1633 <link>http://people.skolelinux.org/pere/blog/Freedombox_on_Dreamplug__Raspberry_Pi_and_virtual_x86_machine.html
</link>
1634 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Freedombox_on_Dreamplug__Raspberry_Pi_and_virtual_x86_machine.html
</guid>
1635 <pubDate>Fri,
14 Mar
2014 11:
00:
00 +
0100</pubDate>
1636 <description><p
>The
<a href=
"https://wiki.debian.org/FreedomBox
">Freedombox
1637 project
</a
> is working on providing the software and hardware for
1638 making it easy for non-technical people to host their data and
1639 communication at home, and being able to communicate with their
1640 friends and family encrypted and away from prying eyes. It has been
1641 going on for a while, and is slowly progressing towards a new test
1642 release (
0.2).
</p
>
1644 <p
>And what day could be better than the Pi day to announce that the
1645 new version will provide
"hard drive
" / SD card / USB stick images for
1646 Dreamplug, Raspberry Pi and VirtualBox (or any other virtualization
1647 system), and can also be installed using a Debian installer preseed
1648 file. The Debian based Freedombox is now based on Debian Jessie,
1649 where most of the needed packages used are already present. Only one,
1650 the freedombox-setup package, is missing. To try to build your own
1651 boot image to test the current status, fetch the freedom-maker scripts
1653 <a href=
"http://packages.qa.debian.org/vmdebootstrap
">vmdebootstrap
</a
>
1654 with a user with sudo access to become root:
1657 git clone http://anonscm.debian.org/git/freedombox/freedom-maker.git \
1659 sudo apt-get install git vmdebootstrap mercurial python-docutils \
1660 mktorrent extlinux virtualbox qemu-user-static binfmt-support \
1662 make -C freedom-maker dreamplug-image raspberry-image virtualbox-image
1665 <p
>Root access is needed to run debootstrap and mount loopback
1666 devices. See the README for more details on the build. If you do not
1667 want all three images, trim the make line. But note that thanks to
<a
1668 href=
"https://bugs.debian.org/
741407">a race condition in
1669 vmdebootstrap
</a
>, the build might fail without the patch to the
1670 kpartx call.
</p
>
1672 <p
>If you instead want to install using a Debian CD and the preseed
1673 method, boot a Debian Wheezy ISO and use this boot argument to load
1674 the preseed values:
</p
>
1677 url=
<a href=
"http://www.reinholdtsen.name/freedombox/preseed-jessie.dat
">http://www.reinholdtsen.name/freedombox/preseed-jessie.dat
</a
>
1680 <p
>But note that due to
<a href=
"https://bugs.debian.org/
740673">a
1681 recently introduced bug in apt in Jessie
</a
>, the installer will
1682 currently hang while setting up APT sources. Killing the
1683 '<tt
>apt-cdrom ident
</tt
>' process when it hang a few times during the
1684 installation will get the installation going. This affect all
1685 installations in Jessie, and I expect it will be fixed soon.
</p
>
1687 <p
>Give it a go and let us know how it goes on the mailing list, and help
1688 us get the new release published. :) Please join us on
1689 <a href=
"irc://irc.debian.org:
6667/%
23freedombox
">IRC (#freedombox on
1690 irc.debian.org)
</a
> and
1691 <a href=
"http://lists.alioth.debian.org/mailman/listinfo/freedombox-discuss
">the
1692 mailing list
</a
> if you want to help make this vision come true.
</p
>
1697 <title>A fist full of non-anonymous Bitcoins
</title>
1698 <link>http://people.skolelinux.org/pere/blog/A_fist_full_of_non_anonymous_Bitcoins.html
</link>
1699 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/A_fist_full_of_non_anonymous_Bitcoins.html
</guid>
1700 <pubDate>Wed,
29 Jan
2014 14:
10:
00 +
0100</pubDate>
1701 <description><p
>Bitcoin is a incredible use of peer to peer communication and
1702 encryption, allowing direct and immediate money transfer without any
1703 central control. It is sometimes claimed to be ideal for illegal
1704 activity, which I believe is quite a long way from the truth. At least
1705 I would not conduct illegal money transfers using a system where the
1706 details of every transaction are kept forever. This point is
1708 <a href=
"https://www.usenix.org/publications/login
">USENIX ;login:
</a
>
1709 from December
2013, in the article
1710 "<a href=
"https://www.usenix.org/system/files/login/articles/
03_meiklejohn-online.pdf
">A
1711 Fistful of Bitcoins - Characterizing Payments Among Men with No
1712 Names
</a
>" by Sarah Meiklejohn, Marjori Pomarole,Grant Jordan, Kirill
1713 Levchenko, Damon McCoy, Geoffrey M. Voelker, and Stefan Savage. They
1714 analyse the transaction log in the Bitcoin system, using it to find
1715 addresses belong to individuals and organisations and follow the flow
1716 of money from both Bitcoin theft and trades on Silk Road to where the
1717 money end up. This is how they wrap up their article:
</p
>
1719 <p
><blockquote
>
1720 <p
>"To demonstrate the usefulness of this type of analysis, we turned
1721 our attention to criminal activity. In the Bitcoin economy, criminal
1722 activity can appear in a number of forms, such as dealing drugs on
1723 Silk Road or simply stealing someone else’s bitcoins. We followed the
1724 flow of bitcoins out of Silk Road (in particular, from one notorious
1725 address) and from a number of highly publicized thefts to see whether
1726 we could track the bitcoins to known services. Although some of the
1727 thieves attempted to use sophisticated mixing techniques (or possibly
1728 mix services) to obscure the flow of bitcoins, for the most part
1729 tracking the bitcoins was quite straightforward, and we ultimately saw
1730 large quantities of bitcoins flow to a variety of exchanges directly
1731 from the point of theft (or the withdrawal from Silk Road).
</p
>
1733 <p
>As acknowledged above, following stolen bitcoins to the point at
1734 which they are deposited into an exchange does not in itself identify
1735 the thief; however, it does enable further de-anonymization in the
1736 case in which certain agencies can determine (through, for example,
1737 subpoena power) the real-world owner of the account into which the
1738 stolen bitcoins were deposited. Because such exchanges seem to serve
1739 as chokepoints into and out of the Bitcoin economy (i.e., there are
1740 few alternative ways to cash out), we conclude that using Bitcoin for
1741 money laundering or other illicit purposes does not (at least at
1742 present) seem to be particularly attractive.
"</p
>
1743 </blockquote
><p
>
1745 <p
>These researches are not the first to analyse the Bitcoin
1746 transaction log. The
2011 paper
1747 "<a href=
"http://arxiv.org/abs/
1107.4524">An Analysis of Anonymity in
1748 the Bitcoin System
</A
>" by Fergal Reid and Martin Harrigan is
1749 summarized like this:
</p
>
1751 <p
><blockquote
>
1752 "Anonymity in Bitcoin, a peer-to-peer electronic currency system, is a
1753 complicated issue. Within the system, users are identified by
1754 public-keys only. An attacker wishing to de-anonymize its users will
1755 attempt to construct the one-to-many mapping between users and
1756 public-keys and associate information external to the system with the
1757 users. Bitcoin tries to prevent this attack by storing the mapping of
1758 a user to his or her public-keys on that user
's node only and by
1759 allowing each user to generate as many public-keys as required. In
1760 this chapter we consider the topological structure of two networks
1761 derived from Bitcoin
's public transaction history. We show that the
1762 two networks have a non-trivial topological structure, provide
1763 complementary views of the Bitcoin system and have implications for
1764 anonymity. We combine these structures with external information and
1765 techniques such as context discovery and flow analysis to investigate
1766 an alleged theft of Bitcoins, which, at the time of the theft, had a
1767 market value of approximately half a million U.S. dollars.
"
1768 </blockquote
></p
>
1770 <p
>I hope these references can help kill the urban myth that Bitcoin
1771 is anonymous. It isn
't really a good fit for illegal activites. Use
1772 cash if you need to stay anonymous, at least until regular DNA
1773 sampling of notes and coins become the norm. :)
</p
>
1775 <p
>As usual, if you use Bitcoin and want to show your support of my
1776 activities, please send Bitcoin donations to my address
1777 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
&label=PetterReinholdtsenBlog
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
1782 <title>All drones should be radio marked with what they do and who they belong to
</title>
1783 <link>http://people.skolelinux.org/pere/blog/All_drones_should_be_radio_marked_with_what_they_do_and_who_they_belong_to.html
</link>
1784 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/All_drones_should_be_radio_marked_with_what_they_do_and_who_they_belong_to.html
</guid>
1785 <pubDate>Thu,
21 Nov
2013 15:
40:
00 +
0100</pubDate>
1786 <description><p
>Drones, flying robots, are getting more and more popular. The most
1787 know ones are the killer drones used by some government to murder
1788 people they do not like without giving them the chance of a fair
1789 trial, but the technology have many good uses too, from mapping and
1790 forest maintenance to photography and search and rescue. I am sure it
1791 is just a question of time before
"bad drones
" are in the hands of
1792 private enterprises and not only state criminals but petty criminals
1793 too. The drone technology is very useful and very dangerous. To have
1794 some control over the use of drones, I agree with Daniel Suarez in his
1796 "<a href=
"https://archive.org/details/DanielSuarez_2013G
">The kill
1797 decision shouldn
't belong to a robot
</a
>", where he suggested this
1798 little gem to keep the good while limiting the bad use of drones:
</p
>
1802 <p
>Each robot and drone should have a cryptographically signed
1803 I.D. burned in at the factory that can be used to track its movement
1804 through public spaces. We have license plates on cars, tail numbers on
1805 aircraft. This is no different. And every citizen should be able to
1806 download an app that shows the population of drones and autonomous
1807 vehicles moving through public spaces around them, both right now and
1808 historically. And civic leaders should deploy sensors and civic drones
1809 to detect rogue drones, and instead of sending killer drones of their
1810 own up to shoot them down, they should notify humans to their
1811 presence. And in certain very high-security areas, perhaps civic
1812 drones would snare them and drag them off to a bomb disposal facility.
</p
>
1814 <p
>But notice, this is more an immune system than a weapons system. It
1815 would allow us to avail ourselves of the use of autonomous vehicles
1816 and drones while still preserving our open, civil society.
</p
>
1820 <p
>The key is that
<em
>every citizen
</em
> should be able to read the
1821 radio beacons sent from the drones in the area, to be able to check
1822 both the government and others use of drones. For such control to be
1823 effective, everyone must be able to do it. What should such beacon
1824 contain? At least formal owner, purpose, contact information and GPS
1825 location. Probably also the origin and target position of the current
1826 flight. And perhaps some registration number to be able to look up
1827 the drone in a central database tracking their movement. Robots
1828 should not have privacy. It is people who need privacy.
</p
>
1833 <title>Det er jo makta som er mest sårbar ved massiv overvåkning av Internett
</title>
1834 <link>http://people.skolelinux.org/pere/blog/Det_er_jo_makta_som_er_mest_s_rbar_ved_massiv_overv_kning_av_Internett.html
</link>
1835 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Det_er_jo_makta_som_er_mest_s_rbar_ved_massiv_overv_kning_av_Internett.html
</guid>
1836 <pubDate>Sat,
26 Oct
2013 20:
30:
00 +
0200</pubDate>
1837 <description><p
>De siste måneders eksponering av
1838 <a href=
"http://www.aftenposten.no/nyheter/uriks/Her-er-Edvard-Snowdens-mest-omtalte-avsloringer-
7351734.html
">den
1839 totale overvåkningen som foregår i den vestlige verden dokumenterer
1840 hvor sårbare vi er
</a
>. Men det slår meg at de som er mest sårbare
1841 for dette, myndighetspersoner på alle nivåer, neppe har innsett at de
1842 selv er de mest interessante personene å lage profiler på, for å kunne
1843 påvirke dem.
</p
>
1845 <p
>For å ta et lite eksempel: Stortingets nettsted,
1846 <a href=
"http://www.stortinget.no/
">www.stortinget.no
</a
> (og
1848 <a href=
"http://data.stortinget.no/
">data.stortinget.no
</a
>),
1849 inneholder informasjon om det som foregår på Stortinget, og jeg antar
1850 de største brukerne av informasjonen der er representanter og
1851 rådgivere på Stortinget. Intet overraskende med det. Det som derimot
1852 er mer skjult er at Stortingets nettsted bruker
1853 <a href=
"http://en.wikipedia.org/wiki/Google_Analytics
">Google
1854 Analytics
</a
>, hvilket gjør at enhver som besøker nettsidene der også
1855 rapporterer om besøket via Internett-linjer som passerer Sverige,
1856 England og videre til USA. Det betyr at informasjon om ethvert besøk
1857 på stortingets nettsider kan snappes opp av svensk, britisk og USAs
1858 etterretningsvesen. De kan dermed holde et øye med hvilke
1859 Stortingssaker stortingsrepresentantene synes er interessante å sjekke
1860 ut, og hvilke sider rådgivere og andre på stortinget synes er
1861 interessant å besøke, når de gjør det og hvilke andre representanter
1862 som sjekker de samme sidene omtrent samtidig. Stortingets bruk av
1863 Google Analytics gjør det dermed enkelt for utenlands etteretning å
1864 spore representantenes aktivitet og interesse. Hvis noen av
1865 representantene bruker Google Mail eller noen andre tjenestene som
1866 krever innlogging, så vil det være enda enklere å finne ut nøyaktig
1867 hvilke personer som bruker hvilke nettlesere og dermed knytte
1868 informasjonen opp til enkeltpersoner på Stortinget.
</p
>
1870 <p
>Og jo flere nettsteder som bruker Google Analytics, jo bedre
1871 oversikt over stortingsrepresentantenes lesevaner og interesse blir
1872 tilgjengelig for svensk, britisk og USAs etterretning. Hva de kan
1873 bruke den informasjonen til overlater jeg til leseren å undres
1879 <title>Videos about the Freedombox project - for inspiration and learning
</title>
1880 <link>http://people.skolelinux.org/pere/blog/Videos_about_the_Freedombox_project___for_inspiration_and_learning.html
</link>
1881 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Videos_about_the_Freedombox_project___for_inspiration_and_learning.html
</guid>
1882 <pubDate>Fri,
27 Sep
2013 14:
10:
00 +
0200</pubDate>
1883 <description><p
>The
<a href=
"http://www.freedomboxfoundation.org/
">Freedombox
1884 project
</a
> have been going on for a while, and have presented the
1885 vision, ideas and solution several places. Here is a little
1886 collection of videos of talks and presentation of the project.
</p
>
1890 <li
><a href=
"http://www.youtube.com/watch?v=ukvUz5taxvA
">FreedomBox -
1891 2,
5 minute marketing film
</a
> (Youtube)
</li
>
1893 <li
><a href=
"http://www.youtube.com/watch?v=SzW25QTVWsE
">Eben Moglen
1894 discusses the Freedombox on CBS news
2011</a
> (Youtube)
</li
>
1896 <li
><a href=
"http://www.youtube.com/watch?v=Ae8SZbxfE0g
">Eben Moglen -
1897 Freedom in the Cloud - Software Freedom, Privacy and and Security for
1898 Web
2.0 and Cloud computing at ISOC-NY Public Meeting
2010</a
>
1899 (Youtube)
</li
>
1901 <li
><a href=
"http://www.youtube.com/watch?v=vNaIji_3xBE
">Fosdem
2011
1902 Keynote by Eben Moglen presenting the Freedombox
</a
> (Youtube)
</li
>
1904 <li
><a href=
"http://www.youtube.com/watch?v=
9bDDUyJSQ9s
">Presentation of
1905 the Freedombox by James Vasile at Elevate in Gratz
2011</a
> (Youtube)
</li
>
1907 <li
><a href=
"http://www.youtube.com/watch?v=zQTmnk27g9s
"> Freedombox -
1908 Discovery, Identity, and Trust by Nick Daly at Freedombox Hackfest New
1909 York City in
2012</a
> (Youtube)
</li
>
1911 <li
><a href=
"http://www.youtube.com/watch?v=tkbSB4Ba7Ck
">Introduction
1912 to the Freedombox at Freedombox Hackfest New York City in
2012</a
>
1913 (Youtube)
</li
>
1915 <li
><a href=
"http://www.youtube.com/watch?v=z-P2Jaeg0aQ
">Freedom, Out
1916 of the Box! by Bdale Garbee at linux.conf.au Ballarat,
2012</a
> (Youtube)
</li
>
1918 <li
><a href=
"https://archive.fosdem.org/
2013/schedule/event/freedombox/
">Freedombox
1919 1.0 by Eben Moglen and Bdale Garbee at Fosdem
2013</a
> (FOSDEM)
</li
>
1921 <li
><a href=
"http://www.youtube.com/watch?v=e1LpYX2zVYg
">What is the
1922 FreedomBox today by Bdale Garbee at Debconf13 in Vaumarcus
1923 2013</a
> (Youtube)
</li
>
1927 <p
>A larger list is available from
1928 <a href=
"https://wiki.debian.org/FreedomBox/TalksAndPresentations
">the
1929 Freedombox Wiki
</a
>.
</p
>
1931 <p
>On other news, I am happy to report that Freedombox based on Debian
1932 Jessie is coming along quite well, and soon both Owncloud and using
1933 Tor should be available for testers of the Freedombox solution. :) In
1934 a few weeks I hope everything needed to test it is included in Debian.
1935 The withsqlite package is already in Debian, and the plinth package is
1936 pending in NEW. The third and vital part of that puzzle is the
1937 metapackage/setup framework, which is still pending an upload. Join
1938 us on
<a href=
"irc://irc.debian.org:
6667/%
23freedombox
">IRC
1939 (#freedombox on irc.debian.org)
</a
> and
1940 <a href=
"http://lists.alioth.debian.org/mailman/listinfo/freedombox-discuss
">the
1941 mailing list
</a
> if you want to help make this vision come true.
</p
>
1946 <title>Recipe to test the Freedombox project on amd64 or Raspberry Pi
</title>
1947 <link>http://people.skolelinux.org/pere/blog/Recipe_to_test_the_Freedombox_project_on_amd64_or_Raspberry_Pi.html
</link>
1948 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Recipe_to_test_the_Freedombox_project_on_amd64_or_Raspberry_Pi.html
</guid>
1949 <pubDate>Tue,
10 Sep
2013 14:
20:
00 +
0200</pubDate>
1950 <description><p
>I was introduced to the
1951 <a href=
"http://www.freedomboxfoundation.org/
">Freedombox project
</a
>
1952 in
2010, when Eben Moglen presented his vision about serving the need
1953 of non-technical people to keep their personal information private and
1954 within the legal protection of their own homes. The idea is to give
1955 people back the power over their network and machines, and return
1956 Internet back to its intended peer-to-peer architecture. Instead of
1957 depending on a central service, the Freedombox will give everyone
1958 control over their own basic infrastructure.
</p
>
1960 <p
>I
've intended to join the effort since then, but other tasks have
1961 taken priority. But this summers nasty news about the misuse of trust
1962 and privilege exercised by the
"western
" intelligence gathering
1963 communities increased my eagerness to contribute to a point where I
1964 actually started working on the project a while back.
</p
>
1966 <p
>The
<a href=
"https://alioth.debian.org/projects/freedombox/
">initial
1967 Debian initiative
</a
> based on the vision from Eben Moglen, is to
1968 create a simple and cheap Debian based appliance that anyone can hook
1969 up in their home and get access to secure and private services and
1970 communication. The initial deployment platform have been the
1971 <a href=
"http://www.globalscaletechnologies.com/t-dreamplugdetails.aspx
">Dreamplug
</a
>,
1972 which is a piece of hardware I do not own. So to be able to test what
1973 the current Freedombox setup look like, I had to come up with a way to install
1974 it on some hardware I do have access to. I have rewritten the
1975 <a href=
"https://github.com/NickDaly/freedom-maker
">freedom-maker
</a
>
1976 image build framework to use .deb packages instead of only copying
1977 setup into the boot images, and thanks to this rewrite I am able to
1978 set up any machine supported by Debian Wheezy as a Freedombox, using
1979 the previously mentioned deb (and a few support debs for packages
1980 missing in Debian).
</p
>
1982 <p
>The current Freedombox setup consist of a set of bootstrapping
1984 (
<a href=
"https://github.com/petterreinholdtsen/freedombox-setup
">freedombox-setup
</a
>),
1985 and a administrative web interface
1986 (
<a href=
"https://github.com/NickDaly/Plinth
">plinth
</a
> + exmachina +
1987 withsqlite), as well as a privacy enhancing proxy based on
1988 <a href=
"http://packages.qa.debian.org/privoxy
">privoxy
</a
>
1989 (freedombox-privoxy). There is also a web/javascript based XMPP
1990 client (
<a href=
"http://packages.qa.debian.org/jwchat
">jwchat
</a
>)
1991 trying (unsuccessfully so far) to talk to the XMPP server
1992 (
<a href=
"http://packages.qa.debian.org/ejabberd
">ejabberd
</a
>). The
1993 web interface is pluggable, and the goal is to use it to enable OpenID
1994 services, mesh network connectivity, use of TOR, etc, etc. Not much of
1995 this is really working yet, see
1996 <a href=
"https://github.com/NickDaly/freedombox-todos/blob/master/TODO
">the
1997 project TODO
</a
> for links to GIT repositories. Most of the code is
1998 on github at the moment. The HTTP proxy is operational out of the
1999 box, and the admin web interface can be used to add/remove plinth
2000 users. I
've not been able to do anything else with it so far, but
2001 know there are several branches spread around github and other places
2002 with lots of half baked features.
</p
>
2004 <p
>Anyway, if you want to have a look at the current state, the
2005 following recipes should work to give you a test machine to poke
2008 <p
><strong
>Debian Wheezy amd64
</strong
></p
>
2012 <li
>Fetch normal Debian Wheezy installation ISO.
</li
>
2013 <li
>Boot from it, either as CD or USB stick.
</li
>
2014 <li
><p
>Press [tab] on the boot prompt and add this as a boot argument
2015 to the Debian installer:
<p
>
2016 <pre
>url=
<a href=
"http://www.reinholdtsen.name/freedombox/preseed-wheezy.dat
">http://www.reinholdtsen.name/freedombox/preseed-wheezy.dat
</a
></pre
></li
>
2018 <li
>Answer the few language/region/password questions and pick disk to
2019 install on.
</li
>
2021 <li
>When the installation is finished and the machine have rebooted a
2022 few times, your Freedombox is ready for testing.
</li
>
2026 <p
><strong
>Raspberry Pi Raspbian
</strong
></p
>
2030 <li
>Fetch a Raspbian SD card image, create SD card.
</li
>
2031 <li
>Boot from SD card, extend file system to fill the card completely.
</li
>
2032 <li
><p
>Log in and add this to /etc/sources.list:
</p
>
2034 deb
<a href=
"http://www.reinholdtsen.name/freedombox/
">http://www.reinholdtsen.name/freedombox
</a
> wheezy main
2035 </pre
></li
>
2036 <li
><p
>Run this as root:
</p
>
2038 wget -O - http://www.reinholdtsen.name/freedombox/BE1A583D.asc | \
2041 apt-get install freedombox-setup
2042 /usr/lib/freedombox/setup
2043 </pre
></li
>
2044 <li
>Reboot into your freshly created Freedombox.
</li
>
2048 <p
>You can test it on other architectures too, but because the
2049 freedombox-privoxy package is binary, it will only work as intended on
2050 the architectures where I have had time to build the binary and put it
2051 in my APT repository. But do not let this stop you. It is only a
2052 short
"<tt
>apt-get source -b freedombox-privoxy
</tt
>" away. :)
</p
>
2054 <p
>Note that by default Freedombox is a DHCP server on the
2055 192.168.1.0/
24 subnet, so if this is your subnet be careful and turn
2056 off the DHCP server by running
"<tt
>update-rc.d isc-dhcp-server
2057 disable
</tt
>" as root.
</p
>
2059 <p
>Please let me know if this works for you, or if you have any
2060 problems. We gather on the IRC channel
2061 <a href=
"irc://irc.debian.org:
6667/%
23freedombox
">#freedombox
</a
> on
2062 irc.debian.org and the
2063 <a href=
"http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss
">project
2064 mailing list
</a
>.
</p
>
2066 <p
>Once you get your freedombox operational, you can visit
2067 <tt
>http://your-host-name:
8001/
</tt
> to see the state of the plint
2068 welcome screen (dead end - do not be surprised if you are unable to
2069 get past it), and next visit
<tt
>http://your-host-name:
8001/help/
</tt
>
2070 to look at the rest of plinth. The default user is
'admin
' and the
2071 default password is
'secret
'.
</p
>
2076 <title>Dr. Richard Stallman, founder of Free Software Foundation, give a talk in Oslo March
1st
2013</title>
2077 <link>http://people.skolelinux.org/pere/blog/Dr__Richard_Stallman__founder_of_Free_Software_Foundation__give_a_talk_in_Oslo_March_1st_2013.html
</link>
2078 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Dr__Richard_Stallman__founder_of_Free_Software_Foundation__give_a_talk_in_Oslo_March_1st_2013.html
</guid>
2079 <pubDate>Wed,
27 Feb
2013 20:
20:
00 +
0100</pubDate>
2080 <description><p
>Dr.
<a href=
"http://www.stallman.org/
">Richard Stallman
</a
>,
2081 founder of
<a href=
"http://www.fsf.org/
">Free Software Foundation
</a
>,
2082 is giving
<a href=
"http://www.nuug.no/aktiviteter/
20130301-rms/
">a
2083 talk in Oslo March
1st
2013 17:
00 to
19:
00</a
>. The event is public
2084 and organised by
<a href=
"">Norwegian Unix Users Group (NUUG)
</a
>
2085 (where I am the chair of the board) and
2086 <a href=
"http://www.friprog.no/
">The Norwegian Open Source Competence
2087 Center
</a
>. The title of the talk is «The Free Software Movement and
2088 GNU», with this description:
2090 <p
><blockquote
>
2091 The Free Software Movement campaigns for computer users
' freedom to
2092 cooperate and control their own computing. The Free Software Movement
2093 developed the GNU operating system, typically used together with the
2094 kernel Linux, specifically to make these freedoms possible.
2095 </blockquote
></p
>
2097 <p
>The meeting is open for everyone. Due to space limitations, the
2098 doors opens for NUUG members at
16:
15, and everyone else at
16:
45. I
2099 am really curious how many will show up. See
2100 <a href=
"http://www.nuug.no/aktiviteter/
20130301-rms/
">the event
2101 page
</a
> for the location details.
</p
>
2106 <title>1.4 millioner potensielle journalistsamtaler i politiets hender
</title>
2107 <link>http://people.skolelinux.org/pere/blog/
1_4_millioner_potensielle_journalistsamtaler_i_politiets_hender.html
</link>
2108 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/
1_4_millioner_potensielle_journalistsamtaler_i_politiets_hender.html
</guid>
2109 <pubDate>Tue,
27 Nov
2012 15:
20:
00 +
0100</pubDate>
2110 <description><p
>I fjor meldte Dagbladet og andre medier at
2111 <a href=
"http://www.dagbladet.no/
2011/
09/
27/nyheter/innenriks/terror/anders_behring_breivik/
18323147/
">politiet
2112 hadde samlet inn informasjon om
1.4 millioner telefonsamtaler
</a
> i
2113 området rundt Akersgata, regjeringskvartalet og Utøya, i forbindelse
2114 med etterforskningen rundt bombeattentatet og massemordet
22. juli
2115 2011. Politiadvokat Pål-Fredrik Hjort Kraby fortalte i følge
2116 artikkelen at
</p
>
2119 - «Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle
2120 samtaler som er registrert på basestasjoner i tilknytning til både
2121 bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid,
2122 lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å
2123 finne ut hvem som har ringt til en hver tid, også i dagene før.»
2126 <p
>Det triste og merkelige er at ingen presseoppslag tok opp hva dette
2127 egentlig betød for kildevernet. Et stenkast fra regjeringskvartalet
2128 befinner redaksjonene til blant annet VG, Dagbladet og Aftenposten
2129 seg. Det betyr at et betydelig antall av journalisters samtaler var
2130 og er tilgjengelig for politiet. Og dette var ikke en unik hendelse.
2131 Politiet henter rutinemessig ut informasjon om telefonsamtaler i
2132 kriminaletterforskningen, og en kan gå ut ifra at det ofte vil være
2133 noe kriminelt å undersøke nær en redaksjon da redaksjoner holder til i
2134 sentrum og tettsteder, der det meste av annen aktivitet i et område
2135 også foregår. F.eks. befinner Aftenposten seg like ved Oslo
2136 Sentralstasjon, et ganske kriminelt belastet område, der jeg mistenker
2137 politiet ofte hente ut samtaleinformasjon. Og avisen Aftenposten
2138 annonserte jo for noen år siden at ansatte kun skulle ha mobiltelefon
2139 (noe de kanskje angret på
2140 <a href=
"http://www.digi.no/
216833/raadlose-bedrifter-uten-sikkerhetsnett
">da
2141 mobilnettet brøt sammen
</a
>), hvilket betyr at alle samtaler
2142 journalistene gjennomfører går via nabolagets mobilbasestasjoner og
2143 dermed blir med og analysert når politiet ber om informasjon om
2144 mobilsamtaler i området. Det samme gjelder antagelig de fleste
2145 mediehus nå for tiden.
</p
>
2147 <p
>Konsekvensen er at en må gå ut i fra at politiet kan få tilgang til
2148 informasjon om alle samtaler med journalister, hvilket bør få varslere
2149 og andre som vil tipse journalister til å tenke seg to ganger før de
2150 ringer en journalist. Det er for meg en svært uheldig situasjon.
</p
>
2152 <p
>Anders Brenne tipset meg om dette tidligere i år, og har skrevet om
2153 problemstillingen i sin bok
2154 <a href=
"http://www.hoyskoleforlaget.no/index.asp?template=
40&bokId=
978-
82-
7147-
358-
7">Digitalt
2155 kildevern
</a
> som ble lansert i år og
2156 <a href=
"http://www.netthoder.no/
2012/
04/dette-ma-du-vite-om-du-vil-sikre-kildevernet-referat/
">presentert
2157 på et NONA-møte i april
</a
>. Oppsummeringen fra møtet inneholder
2158 flere detaljer og bakgrunnsinformasjon. Jeg synes det er besynderlig
2159 at så få journalister tar opp denne problemstillingen, og ikke stiller
2160 flere kritiske spørsmål til innføringen av datalagringsdirektivet og
2161 den raderingen av personvernet som har foregått i Norge i løpet av
2162 mange år nå.
</p
>
2167 <title>FAD tvinger igjennom BankID-tilgang til personsensitiv informasjon om meg
</title>
2168 <link>http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html
</link>
2169 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/FAD_tvinger_igjennom_BankID_tilgang_til_personsensitiv_informasjon_om_meg.html
</guid>
2170 <pubDate>Wed,
21 Nov
2012 17:
10:
00 +
0100</pubDate>
2171 <description><p
>I dag fikk jeg svar fra fornyingsdepartementet på min
2172 <a href=
"http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
">forespørsel
2173 om å reservere meg mot at BankID
</a
> brukes til å få tilgang til
2174 informasjon om meg via ID-porten. Like etter at svaret kom fikk jeg
2175 beskjed om at min henvendelse har fått
2176 <a href=
"http://www.oep.no/search/result.html?caseNumber=
2012/
3446&searchType=advanced
&list2=
94&caseSearch=true
&sortField=doknr
">saksnummer
2177 12/
3446 hos FAD
</a
>, som dessverre ikke har dukket opp i Offentlig
2178 Elektronisk Postjournal ennå. Her er svaret jeg fikk:
</p
>
2181 <p
>Date: Wed,
21 Nov
2012 11:
18:
52 +
0000
2182 <br
>From: Hornnes Stig
&lt;Stig.Hornnes (at) fad.dep.no
&gt;
2183 <br
>To: Petter Reinholdtsen
2184 <br
>Subject: Reservasjon mot BankID
</p
>
2186 <p
>Hei Petter,
</p
>
2188 <p
>Du har sendt oss forespørsel om at din bruker blir reservert mot bruk
2189 av BankID i ID-porten. Det er ikke lagt opp til at enkeltpersoner kan
2190 reservere seg på denne måten.
</p
>
2192 <p
>Tanken bak ID-porten er at innbyggerne skal kunne velge hvilken eID de
2193 ønsker å bruke for å logge på offentlige tjenester. For å sikre
2194 valgfriheten har vi inngått avtaler med BankID, Buypass og
2195 Commfides. I tillegg har vi den offentlige MinID, men hvor utstedelse
2196 skjer til adresse registrert i folkeregisteret, og derfor ikke er
2197 egnet til tjenestene med det høyeste sikkerhetsbehovet.
</p
>
2199 <p
>Sikkerhet er et viktig tema for oss. Alle leverandørene som er i
2200 ID-porten i dag, inkl. BankID, har oppfylt både kravene som fremgår av
2201 Kravspek PKI (pluss noen tilleggskrav fra Difi i anskaffelsen) og er
2202 selvdeklarerte hos Post og Teletilsynet (PT) som har tilsynsansvar for
2203 denne typen virksomheter. For BankID sin del ble det gjennomført
2204 revisjon av løsningen i
2009, på bestilling fra PT etter en del
2205 negative oppslag knyttet til nettopp sikkerheten i løsningen. Det
2206 fremkom ingen alvorlige sikkerhetsproblemer i revisjonen.
</p
>
2208 <p
>Når dette er sagt; Ingen løsninger er
100 prosent sikre, verken
2209 papirbaserte systemer eller elektroniske. Eksempelvis vil misbruk av
2210 identitetsbevis for å urettmessig skaffe seg en e-ID, alltid være en
2211 risiko. Men det er en generell risiko for alle nivå
4-e-id-er vi har i
2212 Norge per i dag. Det er kriminelt, men det er umulig å være ett
2213 hundre prosent sikker på at det ikke kan skje. Vi har imidlertid fokus
2214 på å redusere risikoen så mye som mulig, og skal jobbe videre sammen
2215 med blant annet Justisdepartementet med ulike tiltak som vil bidra til
2216 bedre grunnidentifisering av innbyggere.
</p
>
2219 <br
>Stig Hornnes
2220 <br
>Rådgiver - FAD
</p
>
2223 <p
>Litt merkelig at de har glemt å legge opp til at enkeltpersoner kan
2224 reservere seg på denne måten. FAD burde være klar over
2225 problemstillingen med reservasjon, da jeg tok det opp med dem da de
2226 presenterte MinID på en presentasjon de holdt på Gardermoen for noen
2227 år siden. Det burde jo også være teknisk svært enkelt å få støtte for
2228 slikt i en ID-portal. Her må det visst tyngre virkemidler til enn en
2229 vennlig forespørsel om å reservere seg. Får tenke igjennom neste
2232 <p
>Du lurer kanskje på hva som er problemet med BankID? For å
2233 forklare det, er det greit å gå et steg tilbake og beskrive offentlig
2234 nøkkel-kryptering, eller
2235 <a href=
"http://snl.no/asymmetrisk_kryptografi
">asymmetrisk
2236 kryptografi
</a
> som det også kalles. En fin beskrivelse
2237 <a href=
"http://www.matematikk.org/artikkel.html?tid=
63068">finnes på
2238 matematikk.org
</a
>:
</p
>
2241 Se for deg at person A har en hengelås og at han sender den til deg (i
2242 åpen tilstand), men beholder nøkkelen. Du kan dermed låse inn en
2243 hemmelighet ved hjelp av hengelåsen og sende den til A. Bare A kan
2244 låse opp igjen, siden bare A har den riktige nøkkelen.
2247 <p
>Signering med asymmetrisk kryptering gjør at en kan vite at kun de
2248 som har tilgang til nøkkelen har signert et gitt dokument. Mitt
2249 problem med BankID er det er utformet slik at banken beholder nøkkelen
2250 til hengelåsen og kontraktsmessig har lovet å kun bruke den når jeg
2251 ber om det. Det er ikke godt nok for meg. Jeg forventer et system
2252 der kun jeg har nøkkelen hvis det skal kunne brukes til å inngå
2253 avtaler på mine vegne eller få tilgang til min personsensitive
2254 informasjon. Jeg forventer at det velges en teknisk løsning der det
2255 er tvingende nødvendig at jeg er involvert når det skal signeres noe
2256 på mine vegne. BankID er ikke en slik.
</p
>
2261 <title>BankID skal ikke gi tilgang til min personsensitive informasjon
</title>
2262 <link>http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
</link>
2263 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/BankID_skal_ikke_gi_tilgang_til_min_personsensitive_informasjon.html
</guid>
2264 <pubDate>Fri,
16 Nov
2012 12:
30:
00 +
0100</pubDate>
2265 <description><p
>Onsdag i denne uka annonserte
2266 <a href=
"http://www.fad.dep.no/
">Fornyingsdepartementet
</a
> at de har
2267 inngått kontrakt med BankID Norge om bruk av BankID for å la borgerne
2268 logge inn på offentlige nettsider der en kan få tilgang til
2269 personsensitiv informasjon. Jeg skrev i
2009 litt om
2270 <a href=
"http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
">hvorfor
2271 jeg ikke vil ha BankID
</a
> &mdash; jeg stoler ikke nok på en bank til
2272 å gi dem mulighet til å inngå avtaler på mine vegne. Jeg forlanger at
2273 jeg skal være involvert når det skal inngås avtaler på mine vegne.
</p
>
2275 <p
>Jeg har derfor valgt å bruke
2276 <a href=
"http://www.skandibanken.no/
">Skandiabanken
</a
> (det er flere
2277 banker som ikke krever BankID, se
2278 <a href=
"http://no.wikipedia.org/wiki/BankID
">Wikipedia for en
2279 liste
</a
>) på grunn av at de ikke tvinger sine kunder til å bruke
2280 BankID. I motsetning til Postbanken, som løy til meg i
2009 da
2281 kundestøtten der sa at det var blitt et krav fra Kreditttilsynet og
2282 BBS om at norske banker måtte innføre BankID, har ikke Skandiabanken
2283 forsøkt å tvinge meg til å ta i bruk BankID. Jeg fikk nylig endelig
2284 spurt Finanstilsynet (de har byttet navn siden
2009), og fikk beskjed
2285 fra Frank Robert Berg hos Finanstilsynet i epost
2012-
09-
17 at
2286 Finanstilsynet ikke har fremsatt slike krav. Med andre ord snakket
2287 ikke Postbankens kundestøtte sant i
2009.
</p
>
2289 <p
>Når en i tillegg fra
2290 <a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">oppslag
2291 i Aftenposten
</a
> vet at de som jobber i alle bankene som bruker
2292 BankID i dag, det være seg utro tjenere, eller de som lar seg lure av
2293 falsk legitimasjon, kan lage og dele ut en BankID som gir tilgang til
2294 mine kontoer og rett til å inngå avtaler på mine vegne, blir det
2295 viktigere enn noen gang å få reservert seg mot BankID. Det holder
2296 ikke å la være å bruke det selv. Jeg sendte derfor følgende
2297 epost-brev til Fornyingsdepartementet i går:
</p
>
2299 <p
><blockquote
>
2300 <p
>Date: Thu,
15 Nov
2012 11:
08:
31 +
0100
2301 <br
>From: Petter Reinholdtsen
&lt;pere (at) hungry.com
&gt;
2302 <br
>To: postmottak (at) fad.dep.no
2303 <br
>Subject: Forespørsel om reservasjon mot bruk av BankID i ID-porten
</p
>
2305 <p
>Jeg viser til nyheten om at staten har tildelt kontrakt for å
2306 levere elektronisk ID for offentlige digitale tjenester til BankID
2307 Norge, referert til blant annet i Digi[
1] og i FADs
2308 pressemelding[
2].
</p
>
2310 <p
>1)
&lt;URL:
<a href=
"http://www.digi.no/
906093/staten-gaar-for-bankid
">http://www.digi.no/
906093/staten-gaar-for-bankid
</a
> &gt;
2311 <br
>2)
&lt;URL:
<a href=
"http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/
2012/staten-inngar-avtale-med-bankid.html
">http://www.regjeringen.no/nb/dep/fad/pressesenter/pressemeldinger/
2012/staten-inngar-avtale-med-bankid.html
</a
> &gt;
</p
>
2313 <p
>Gitt BankIDs utforming, der BankID-utsteder har både privat og
2314 offentlig del av kundens nøkkel hos seg, er jeg ikke villig til å gi
2315 tilgang til informasjon som hører til min min privatsfære ved hjelp av
2316 innlogging med BankID.
</p
>
2318 <p
>Jeg ber derfor herved om at løsningen settes opp slik at ingen kan
2319 logge inn som meg på offentlige digitale tjenester ved hjelp av
2320 BankID, det vil si at jeg reserverer meg mot enhver bruk av BankID for
2321 å logge meg inn på slike tjenester som kan inneholde personsensitiv
2322 informasjon om meg.
</p
>
2324 <p
>Jeg har ikke BankID i dag, men som en kan se i oppslag i Aftenposten
2325 2012-
09-
13[
3] er det ikke til hindrer for at andre kan bruke BankID på
2326 mine vegne for å få tilgang. Det sikkerhetsproblemet kommer i tillegg
2327 til utformingsproblemet omtalt over, og forsterker bare mitt syn på at
2328 BankID ikke er aktuelt for meg til noe annet enn å logge inn i en
2329 nettbank der banken i større grad bærer risikoen ved misbruk.
</p
>
2331 <p
>3)
&lt;URL:
<a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
</a
> &gt;
</p
>
2333 <p
>Jeg ber om rask tilbakemelding med saksnummer for min henvendelse.
2334 Jeg ber videre om bekreftelse på at BankID-innlogging er blokkert når
2335 det gjelder tilgang til
"min
" informasjon hos det offentlige, i
2336 forkant av BankID-integrasjon mot ID-porten som i følge
2337 pressemeldingen skal komme på plass i løpet av et par uker.
</p
>
2340 <br
>Vennlig hilsen
2341 <br
>Petter Reinholdtsen
</p
>
2344 <p
>Jeg venter spent på svaret. Jeg mistenker jeg må sende tilsvarende
2345 beskjed til mine bankforbindelser for å sikre mine bankkontoer.
</p
>
2347 <p
>Hvis det skal brukes offentlig nøkkel-teknologi til å inngå avtaler
2348 på mine vegne og skaffe seg personsensitiv informasjon om meg, så er
2349 mitt krav at det kun er jeg som har tilgang på min private nøkkel.
2350 Alt annet blir å gi for mye tillit til andre. Med BankID sitter andre
2351 på både
"min
" offentlige og private nøkkel.
</p
>
2356 <title>The European Central Bank (ECB) take a look at bitcoin
</title>
2357 <link>http://people.skolelinux.org/pere/blog/The_European_Central_Bank__ECB__take_a_look_at_bitcoin.html
</link>
2358 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/The_European_Central_Bank__ECB__take_a_look_at_bitcoin.html
</guid>
2359 <pubDate>Sun,
4 Nov
2012 08:
30:
00 +
0100</pubDate>
2360 <description><p
>Slashdot just ran a story about the European Central Bank (ECB)
2361 <a href=
"http://www.ecb.europa.eu/pub/pdf/other/virtualcurrencyschemes201210en.pdf
">releasing
2362 a report (PDF)
</a
> about virtual currencies and
2363 <a href=
"http://www.bitcoin.org/
">bitcoin
</a
>. It is interesting to
2364 see how a member of the bitcoin community
2365 <a href=
"http://blog.bitinstant.com/blog/
2012/
10/
30/the-ecb-report-on-bitcoin-and-virtual-currencies.html
">receive
2366 the report
</a
>. As for the future, I suspect the central banks and
2367 the governments will outlaw bitcoin if it gain any popularity, to avoid
2368 competition. My thoughts go to the
2369 <a href=
"http://en.wikipedia.org/wiki/Wörgl
">Wörgl experiment
</a
> with
2370 negative inflation on cash which was such a success that it was
2371 terminated by the Austrian National Bank in
1933. A successful
2372 alternative would be a threat to the current money system and gain
2373 powerful forces to work against it.
</p
>
2375 <p
>While checking out the current status of bitcoin, I also discovered
2376 that the community already seem to have
2377 <a href=
"http://www.theverge.com/
2012/
8/
27/
3271637/bitcoin-savings-trust-pyramid-scheme-shuts-down
">experienced
2378 its first pyramid game / Ponzi scheme
</a
>. Not very surprising, given
2379 how members of
"small
" communities tend to trust each other. I guess
2380 enterprising crocks will try again and again, as they do anywhere
2381 wealth is available.
</p
>
2386 <title>The fight for freedom and privacy
</title>
2387 <link>http://people.skolelinux.org/pere/blog/The_fight_for_freedom_and_privacy.html
</link>
2388 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/The_fight_for_freedom_and_privacy.html
</guid>
2389 <pubDate>Thu,
18 Oct
2012 10:
50:
00 +
0200</pubDate>
2390 <description><p
>Civil liberties and privacy in the western world are going down the
2391 drain, and it is hard to fight against it. I try to do my best, but
2392 time is limited. I hope you do your best too. A few years ago I came
2393 across a marvellous drawing by
2394 <a href=
"http://www.claybennett.com/about.html
">Clay Bennett
</a
>
2395 visualising some of what is going on.
2397 <p
><a href=
"http://www.claybennett.com/pages/security_fence.html
">
2398 <img src=
"http://www.claybennett.com/images/archivetoons/security_fence.jpg
"></a
></p
>
2401 «They who can give up essential liberty to obtain a little temporary
2402 safety, deserve neither liberty nor safety.» - Benjamin Franklin
2405 <p
>Do you feel safe at the airport? I do not. Do you feel safe when
2406 you see a surveillance camera? I do not. Do you feel safe when you
2407 leave electronic traces of your behaviour and opinions? I do not. I
2408 just remember
<a href=
"http://en.wikipedia.org/wiki/Panopticon
">the
2409 Panopticon
</a
>, and can not help to think that we are slowly
2410 transforming our society to a huge Panopticon on our own.
</p
>
2415 <title>Using NVD and CPE to track CVEs in locally maintained software
</title>
2416 <link>http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html
</link>
2417 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html
</guid>
2418 <pubDate>Fri,
28 Jan
2011 15:
40:
00 +
0100</pubDate>
2419 <description><p
>The last few days I have looked at ways to track open security
2420 issues here at my work with the University of Oslo. My idea is that
2421 it should be possible to use the information about security issues
2422 available on the Internet, and check our locally
2423 maintained/distributed software against this information. It should
2424 allow us to verify that no known security issues are forgotten. The
2425 CVE database listing vulnerabilities seem like a great central point,
2426 and by using the package lists from Debian mapped to CVEs provided by
2427 the testing security team, I believed it should be possible to figure
2428 out which security holes were present in our free software
2429 collection.
</p
>
2431 <p
>After reading up on the topic, it became obvious that the first
2432 building block is to be able to name software packages in a unique and
2433 consistent way across data sources. I considered several ways to do
2434 this, for example coming up with my own naming scheme like using URLs
2435 to project home pages or URLs to the Freshmeat entries, or using some
2436 existing naming scheme. And it seem like I am not the first one to
2437 come across this problem, as MITRE already proposed and implemented a
2438 solution. Enter the
<a href=
"http://cpe.mitre.org/index.html
">Common
2439 Platform Enumeration
</a
> dictionary, a vocabulary for referring to
2440 software, hardware and other platform components. The CPE ids are
2441 mapped to CVEs in the
<a href=
"http://web.nvd.nist.gov/
">National
2442 Vulnerability Database
</a
>, allowing me to look up know security
2443 issues for any CPE name. With this in place, all I need to do is to
2444 locate the CPE id for the software packages we use at the university.
2445 This is fairly trivial (I google for
'cve cpe $package
' and check the
2446 NVD entry if a CVE for the package exist).
</p
>
2448 <p
>To give you an example. The GNU gzip source package have the CPE
2449 name cpe:/a:gnu:gzip. If the old version
1.3.3 was the package to
2450 check out, one could look up
2451 <a href=
"http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%
3A%
2Fa%
3Agnu%
3Agzip:
1.3.3">cpe:/a:gnu:gzip:
1.3.3
2452 in NVD
</a
> and get a list of
6 security holes with public CVE entries.
2453 The most recent one is
2454 <a href=
"http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-
2010-
0001">CVE-
2010-
0001</a
>,
2455 and at the bottom of the NVD page for this vulnerability the complete
2456 list of affected versions is provided.
</p
>
2458 <p
>The NVD database of CVEs is also available as a XML dump, allowing
2459 for offline processing of issues. Using this dump, I
've written a
2460 small script taking a list of CPEs as input and list all CVEs
2461 affecting the packages represented by these CPEs. One give it CPEs
2462 with version numbers as specified above and get a list of open
2463 security issues out.
</p
>
2465 <p
>Of course for this approach to be useful, the quality of the NVD
2466 information need to be high. For that to happen, I believe as many as
2467 possible need to use and contribute to the NVD database. I notice
2469 <a href=
"https://www.redhat.com/security/data/metrics/rhsamapcpe.txt
">a
2470 map from CVE to CPE
</a
>, indicating that they are using the CPE
2471 information. I
'm not aware of Debian and Ubuntu doing the same.
</p
>
2473 <p
>To get an idea about the quality for free software, I spent some
2474 time making it possible to compare the CVE database from Debian with
2475 the CVE database in NVD. The result look fairly good, but there are
2476 some inconsistencies in NVD (same software package having several
2477 CPEs), and some inaccuracies (NVD not mentioning buggy packages that
2478 Debian believe are affected by a CVE). Hope to find time to improve
2479 the quality of NVD, but that require being able to get in touch with
2480 someone maintaining it. So far my three emails with questions and
2481 corrections have not seen any reply, but I hope contact can be
2482 established soon.
</p
>
2484 <p
>An interesting application for CPEs is cross platform package
2485 mapping. It would be useful to know which packages in for example
2486 RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
2487 this would be trivial if all linux distributions provided CPE entries
2488 for their packages.
</p
>
2493 <title>Some thoughts on BitCoins
</title>
2494 <link>http://people.skolelinux.org/pere/blog/Some_thoughts_on_BitCoins.html
</link>
2495 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Some_thoughts_on_BitCoins.html
</guid>
2496 <pubDate>Sat,
11 Dec
2010 15:
10:
00 +
0100</pubDate>
2497 <description><p
>As I continue to explore
2498 <a href=
"http://www.bitcoin.org/
">BitCoin
</a
>, I
've starting to wonder
2499 what properties the system have, and how it will be affected by laws
2500 and regulations here in Norway. Here are some random notes.
</p
>
2502 <p
>One interesting thing to note is that since the transactions are
2503 verified using a peer to peer network, all details about a transaction
2504 is known to everyone. This means that if a BitCoin address has been
2505 published like I did with mine in my initial post about BitCoin, it is
2506 possible for everyone to see how many BitCoins have been transfered to
2507 that address. There is even a web service to look at the details for
2508 all transactions. There I can see that my address
2509 <a href=
"http://blockexplorer.com/address/
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
>
2510 have received
16.06 Bitcoin, the
2511 <a href=
"http://blockexplorer.com/address/
1LfdGnGuWkpSJgbQySxxCWhv
8MHqvwst
3">1LfdGnGuWkpSJgbQySxxCWhv
8MHqvwst
3</a
>
2512 address of Simon Phipps have received
181.97 BitCoin and the address
2513 <a href=
"http://blockexplorer.com/address/
1MCwBbhNGp5hRm5rC1Aims2YFRe2SXPYKt
">1MCwBbhNGp5hRm5rC1Aims2YFRe2SXPYKt
</A
>
2514 of EFF have received
2447.38 BitCoins so far. Thank you to each and
2515 every one of you that donated bitcoins to support my activity. The
2516 fact that anyone can see how much money was transfered to a given
2517 address make it more obvious why the BitCoin community recommend to
2518 generate and hand out a new address for each transaction. I
'm told
2519 there is no way to track which addresses belong to a given person or
2520 organisation without the person or organisation revealing it
2521 themselves, as Simon, EFF and I have done.
</p
>
2523 <p
>In Norway, and in most other countries, there are laws and
2524 regulations limiting how much money one can transfer across the border
2525 without declaring it. There are money laundering, tax and accounting
2526 laws and regulations I would expect to apply to the use of BitCoin.
2527 If the Skolelinux foundation
2528 (
<a href=
"http://linuxiskolen.no/slxdebianlabs/donations.html
">SLX
2529 Debian Labs
</a
>) were to accept donations in BitCoin in addition to
2530 normal bank transfers like EFF is doing, how should this be accounted?
2531 Given that it is impossible to know if money can cross the border or
2532 not, should everything or nothing be declared? What exchange rate
2533 should be used when calculating taxes? Would receivers have to pay
2534 income tax if the foundation were to pay Skolelinux contributors in
2535 BitCoin? I have no idea, but it would be interesting to know.
</p
>
2537 <p
>For a currency to be useful and successful, it must be trusted and
2538 accepted by a lot of users. It must be possible to get easy access to
2539 the currency (as a wage or using currency exchanges), and it must be
2540 easy to spend it. At the moment BitCoin seem fairly easy to get
2541 access to, but there are very few places to spend it. I am not really
2542 a regular user of any of the vendor types currently accepting BitCoin,
2543 so I wonder when my kind of shop would start accepting BitCoins. I
2544 would like to buy electronics, travels and subway tickets, not herbs
2545 and books. :) The currency is young, and this will improve over time
2546 if it become popular, but I suspect regular banks will start to lobby
2547 to get BitCoin declared illegal if it become popular. I
'm sure they
2548 will claim it is helping fund terrorism and money laundering (which
2549 probably would be true, as is any currency in existence), but I
2550 believe the problems should be solved elsewhere and not by blaming
2551 currencies.
</p
>
2553 <p
>The process of creating new BitCoins is called mining, and it is
2554 CPU intensive process that depend on a bit of luck as well (as one is
2555 competing against all the other miners currently spending CPU cycles
2556 to see which one get the next lump of cash). The
"winner
" get
50
2557 BitCoin when this happen. Yesterday I came across the obvious way to
2558 join forces to increase ones changes of getting at least some coins,
2559 by coordinating the work on mining BitCoins across several machines
2560 and people, and sharing the result if one is lucky and get the
50
2562 <a href=
"http://www.bluishcoder.co.nz/bitcoin-pool/
">BitCoin Pool
</a
>
2563 if this sounds interesting. I have not had time to try to set up a
2564 machine to participate there yet, but have seen that running on ones
2565 own for a few days have not yield any BitCoins througth mining
2568 <p
>Update
2010-
12-
15: Found an
<a
2569 href=
"http://inertia.posterous.com/reply-to-the-underground-economist-why-bitcoi
">interesting
2570 criticism
</a
> of bitcoin. Not quite sure how valid it is, but thought
2571 it was interesting to read. The arguments presented seem to be
2572 equally valid for gold, which was used as a currency for many years.
</p
>
2577 <title>Pornoskannerne på flyplassene bedrer visst ikke sikkerheten
</title>
2578 <link>http://people.skolelinux.org/pere/blog/Pornoskannerne_p__flyplassene_bedrer_visst_ikke_sikkerheten.html
</link>
2579 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Pornoskannerne_p__flyplassene_bedrer_visst_ikke_sikkerheten.html
</guid>
2580 <pubDate>Sat,
11 Dec
2010 10:
45:
00 +
0100</pubDate>
2581 <description><p
>Via
<a href=
"http://webmink.com/
2010/
12/
10/links-for-
2010-
12-
10/
">en
2582 blogpost fra Simon Phipps i går
</a
>, fant jeg en referanse til
2583 <a href=
"http://www.washingtontimes.com/news/
2010/dec/
9/exposed-tsas-x-rated-scanner-fraud/
">en
2584 artikkel i Washington Times
</a
> som igjen refererer til en artikkel i
2585 det fagfellevurderte tidsskriftet Journal of Transportation Security
2587 "<a href=
"http://springerlink.com/content/g6620thk08679160/fulltext.html
">An
2588 evaluation of airport x-ray backscatter units based on image
2589 characteristics
</a
>" som enkelt konstaterer at
2590 <a href=
"http://www.dailysquib.co.uk/?a=
2389&c=
124">pornoscannerne
</a
>
2591 som kler av reisende på flyplasser ikke er i stand til å avsløre det
2592 produsenten og amerikanske myndigheter sier de skal avsløre. Kort
2593 sagt, de bedrer ikke sikkerheten. Reisende må altså la ansatte på
2594 flyplasser
<a href=
"http://www.thousandsstandingaround.org/
">se dem
2595 nakne eller la seg beføle i skrittet
</a
> uten grunn. Jeg vil
2596 fortsette å nekte å bruke disse pornoskannerne, unngå flyplasser der
2597 de er tatt i bruk, og reise med andre transportmidler enn fly hvis jeg
2603 <title>Now accepting bitcoins - anonymous and distributed p2p crypto-money
</title>
2604 <link>http://people.skolelinux.org/pere/blog/Now_accepting_bitcoins___anonymous_and_distributed_p2p_crypto_money.html
</link>
2605 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Now_accepting_bitcoins___anonymous_and_distributed_p2p_crypto_money.html
</guid>
2606 <pubDate>Fri,
10 Dec
2010 08:
20:
00 +
0100</pubDate>
2607 <description><p
>With this weeks lawless
2608 <a href=
"http://www.salon.com/news/opinion/glenn_greenwald/
2010/
12/
06/wikileaks/index.html
">governmental
2609 attacks
</a
> on Wikileak and
2610 <a href=
"http://www.salon.com/technology/dan_gillmor/
2010/
12/
06/war_on_speech
">free
2611 speech
</a
>, it has become obvious that PayPal, visa and mastercard can
2612 not be trusted to handle money transactions.
2614 <a href=
"http://webmink.com/
2010/
12/
06/now-accepting-bitcoin/
">Simon
2615 Phipps on bitcoin
</a
> reminded me about a project that a friend of
2616 mine mentioned earlier. I decided to follow Simon
's example, and get
2617 involved with
<a href=
"http://www.bitcoin.org/
">BitCoin
</a
>. I got
2618 some help from my friend to get it all running, and he even handed me
2619 some bitcoins to get started. I even donated a few bitcoins to Simon
2620 for helping me remember BitCoin.
</p
>
2622 <p
>So, what is bitcoins, you probably wonder? It is a digital
2623 crypto-currency, decentralised and handled using peer-to-peer
2624 networks. It allows anonymous transactions and prohibits central
2625 control over the transactions, making it impossible for governments
2626 and companies alike to block donations and other transactions. The
2627 source is free software, and while the key dependency wxWidgets
2.9
2628 for the graphical user interface is missing in Debian, the command
2629 line client builds just fine. Hopefully Jonas
2630 <a href=
"http://bugs.debian.org/
578157">will get the package into
2631 Debian
</a
> soon.
</p
>
2633 <p
>Bitcoins can be converted to other currencies, like USD and EUR.
2634 There are
<a href=
"http://www.bitcoin.org/trade
">companies accepting
2635 bitcoins
</a
> when selling services and goods, and there are even
2636 currency
"stock
" markets where the exchange rate is decided. There
2637 are not many users so far, but the concept seems promising. If you
2638 want to get started and lack a friend with any bitcoins to spare,
2640 <a href=
"https://freebitcoins.appspot.com/
">some for free
</a
> (
0.05
2641 bitcoin at the time of writing). Use
2642 <a href=
"http://www.bitcoinwatch.com/
">BitcoinWatch
</a
> to keep an eye
2643 on the current exchange rates.
</p
>
2645 <p
>As an experiment, I have decided to set up bitcoind on one of my
2646 machines. If you want to support my activity, please send Bitcoin
2647 donations to the address
2648 <b
>15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</b
>. Thank you!
</p
>
2653 <title>DND hedrer overvåkning av barn med Rosingsprisen
</title>
2654 <link>http://people.skolelinux.org/pere/blog/DND_hedrer_overv_kning_av_barn_med_Rosingsprisen.html
</link>
2655 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/DND_hedrer_overv_kning_av_barn_med_Rosingsprisen.html
</guid>
2656 <pubDate>Tue,
23 Nov
2010 14:
15:
00 +
0100</pubDate>
2657 <description><p
>Jeg registrerer med vond smak i munnen at Den Norske Dataforening
2659 href=
"http://www.dataforeningen.no/hedret-med-rosingprisen
.4849070-
133913.html
">hedrer
2660 overvåkning av barn med Rosingsprisen for kreativitet i år
</a
>. Jeg
2661 er glad jeg nå er meldt ut av DND.
</p
>
2663 <p
>Å elektronisk overvåke sine barn er ikke å gjøre dem en tjeneste,
2664 men et overgrep mot individer i utvikling som bør læres opp til å ta
2665 egne valg.
</p
>
2667 <p
>For å sitere Datatilsynets nye leder, Bjørn Erik Thon, i
2668 <a href=
"http://www.idg.no/computerworld/article174262.ece
">et intervju
2669 med Computerworld Norge
</A
>:
</p
>
2671 <p
><blockquote
>
2672 - For alle som har barn, meg selv inkludert, er førstetanken at det
2673 hadde vært fint å vite hvor barnet sitt er til enhver tid. Men ungene
2674 har ikke godt av det. De er små individer som skal søke rundt og finne
2675 sine små gjemmesteder og utvide horisonten, uten at foreldrene ser dem
2676 i kortene. Det kan være fristende, men jeg ville ikke gått inn i
2678 </blockquote
></p
>
2680 <p
>Det er skremmende å se at DND mener en tjeneste som legger opp til
2681 slike overgrep bør hedres. Å flytte oppveksten for barn inn i en
2683 <a href=
"http://en.wikipedia.org/wiki/Panopticon
">Panopticon
</a
> er et
2684 grovt overgrep og vil gjøre skade på barnenes utvikling, og foreldre
2685 burde tenke seg godt om før de gir etter for sine instinkter her.
</p
>
2687 <p
>Blipper-tjenesten får meg til å tenke på bøkene til
2688 <a href=
"http://en.wikipedia.org/wiki/John_Twelve_Hawks
">John Twelve
2689 Hawks
</a
>, som forbilledlig beskriver hvordan et totalitært
2690 overvåkningssamfunn bygges sakte men sikkert rundt oss, satt sammen av
2691 gode intensjoner og manglende bevissthet om hvilke prinsipper et
2692 liberalt demokrati er fundamentert på. Jeg har hatt stor glede av å
2693 lese alle de tre bøkene.
</p
>
2698 <title>Datatilsynet mangler verktøyet som trengs for å kontrollere kameraovervåkning
</title>
2699 <link>http://people.skolelinux.org/pere/blog/Datatilsynet_mangler_verkt_yet_som_trengs_for___kontrollere_kameraoverv_kning.html
</link>
2700 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Datatilsynet_mangler_verkt_yet_som_trengs_for___kontrollere_kameraoverv_kning.html
</guid>
2701 <pubDate>Tue,
9 Nov
2010 14:
35:
00 +
0100</pubDate>
2702 <description><p
>En stund tilbake ble jeg oppmerksom på at Datatilsynets verktøy for
2703 å holde rede på overvåkningskamera i Norge ikke var egnet til annet
2704 enn å lage statistikk, og ikke kunne brukes for å kontrollere om et
2705 overvåkningskamera i det offentlige rom er lovlig satt opp og
2706 registrert. For å teste hypotesen sendte jeg for noen dager siden
2707 følgende spørsmål til datatilsynet. Det omtalte kameraet står litt
2708 merkelig plassert i veigrøften ved gangstien langs Sandakerveien, og
2709 jeg lurer oppriktig på om det er lovlig plassert og registrert.
</p
>
2711 <p
><blockquote
>
2712 <p
>Date: Tue,
2 Nov
2010 16:
08:
20 +
0100
2713 <br
>From: Petter Reinholdtsen
&lt;pere (at) hungry.com
&gt;
2714 <br
>To: postkasse (at) datatilsynet.no
2715 <br
>Subject: Er overvåkningskameraet korrekt registrert?
</p
>
2717 <p
>Hei.
</p
>
2719 <p
>I Nydalen i Oslo er det mange overvåkningskamera, og et av dem er
2720 spesielt merkelig plassert like over et kumlokk. Jeg lurer på om
2721 dette kameraet er korrekt registrert og i henhold til lovverket.
</p
>
2723 <p
>Finner ingen eierinformasjon på kameraet, og dermed heller ingenting å
2724 søke på i
&lt;URL:
2725 <a href=
"http://hetti.datatilsynet.no/melding/report_search.pl
">http://hetti.datatilsynet.no/melding/report_search.pl
</a
> &gt;.
2726 Kartreferanse for kameraet er tilgjengelig fra
2728 <a href=
"http://people.skolelinux.no/pere/surveillance-norway/?zoom=
17&lat=
59.94918&lon=
10.76962&layers=B0T
">http://people.skolelinux.no/pere/surveillance-norway/?zoom=
17&lat=
59.94918&lon=
10.76962&layers=B0T
</a
> &gt;.
2730 <p
>Kan dere fortelle meg om dette kameraet er registrert hos
2731 Datatilsynet som det skal være i henhold til lovverket?
</p
>
2733 <p
>Det hadde forresten vært fint om rådata fra kameraregisteret var
2734 tilgjengelig på web og regelmessig oppdatert, for å kunne søke på
2735 andre ting enn organisasjonsnavn og -nummer ved å laste det ned og
2736 gjøre egne søk.
</p
>
2738 <p
>Vennlig hilsen,
2740 <br
>Petter Reinholdtsen
2741 </blockquote
></p
>
2743 <p
>Her er svaret som kom dagen etter:
</p
>
2745 <p
><blockquote
>
2746 <p
>Date: Wed,
3 Nov
2010 14:
44:
09 +
0100
2747 <br
>From:
"juridisk
" &lt;juridisk (at) Datatilsynet.no
&gt;
2748 <br
>To: Petter Reinholdtsen
2749 <br
>Subject: VS: Er overvåkningskameraet korrekt registrert?
2751 <p
>Viser til e-post av
2. november.
2753 <p
>Datatilsynet er det forvaltningsorganet som skal kontrollere at
2754 personopplysningsloven blir fulgt. Formålet med loven er å verne
2755 enkeltpersoner mot krenking av personvernet gjennom behandling av
2756 personopplysninger.
</p
>
2758 <p
>Juridisk veiledningstjeneste hos Datatilsynet gir råd og veiledning
2759 omkring personopplysningslovens regler på generelt grunnlag.
</p
>
2761 <p
>Datatilsynet har dessverre ikke en fullstendig oversikt over alle
2762 kameraer, den oversikten som finner er i vår meldingsdatabase som du
2764 <a href=
"http://www.datatilsynet.no/templates/article____211.aspx
">http://www.datatilsynet.no/templates/article____211.aspx
</a
></p
>
2766 <p
>Denne databasen gir en oversikt over virksomheter som har meldt inn
2767 kameraovervåkning. Dersom man ikek vet hvilken virksomhet som er
2768 ansvarlig, er det heller ikke mulig for Datatilsynet å søke dette
2771 <p
>Webkameraer som har så dårlig oppløsning at man ikke kan gjenkjenne
2772 enkeltpersoner er ikke meldepliktige, da dette ikke anses som
2773 kameraovervåkning i personopplysningslovens forstand. Dersom kameraet
2774 du sikter til er et slikt webkamera, vil det kanskje ikke finnes i
2775 meldingsdatabasen på grunn av dette. Også dersom et kamera med god
2776 oppløsning ikke filmer mennesker, faller det utenfor loven.
</p
>
2778 <p
>Datatilsynet har laget en veileder som gjennomgår når det er lov å
2779 overvåke med kamera, se lenke:
2780 <a href=
"http://www.datatilsynet.no/templates/article____401.aspx
">http://www.datatilsynet.no/templates/article____401.aspx
</a
></p
>
2782 <p
>Dersom det ikke er klart hvem som er ansvarlig for kameraet, er det
2783 vanskelig for Datatilsynet å ta kontakt med den ansvarlige for å få
2784 avklart om kameraet er satt opp i tråd med tilsynets regelverk. Dersom
2785 du mener at kameraet ikke er lovlig ut fra informasjonen ovenfor, kan
2786 kameraet anmeldes til politiet.
</p
>
2788 <p
>Med vennlig hilsen
</p
>
2790 <p
>Maria Bakke
2791 <br
>Juridisk veiledningstjeneste
2792 <br
>Datatilsynet
</p
>
2793 </blockquote
></p
>
2795 <p
>Personlig synes jeg det bør være krav om å registrere hvert eneste
2796 overvåkningskamera i det offentlige rom hos Datatilsynet, med
2797 kartreferanse og begrunnelse om hvorfor det er satt opp, slik at
2798 enhver borger enkelt kan hente ut kart over områder vi er interessert
2799 i og sjekke om det er overvåkningskamera der som er satt opp uten å
2800 være registert. Slike registreringer skal jo i dag fornyes
2801 regelmessing, noe jeg mistenker ikke blir gjort. Dermed kan kamera
2802 som en gang var korrekt registrert nå være ulovlig satt opp. Det
2803 burde også være bøter for å ha kamera som ikke er korrekt registrert,
2804 slik at en ikke kan ignorere registrering uten at det får
2805 konsekvenser.
</p
>
2807 <p
>En ide fra England som jeg har sans (lite annet jeg har sans for
2808 når det gjelder overvåkningskamera i England) for er at enhver borger
2809 kan be om å få kopi av det som er tatt opp med et overvåkningskamera i
2810 det offentlige rom, noe som gjør at det kan komme løpende utgifter ved
2811 å sette overvåkningskamera. Jeg tror alt som gjør det mindre
2812 attraktivt å ha overvåkningskamera i det offentlige rom er en god
2813 ting, så et slikt lovverk i Norge tror jeg hadde vært nyttig.
</p
>
2818 <title>Datatilsynet svarer om Bilkollektivets ønske om GPS-sporing
</title>
2819 <link>http://people.skolelinux.org/pere/blog/Datatilsynet_svarer_om_Bilkollektivets__nske_om_GPS_sporing.html
</link>
2820 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Datatilsynet_svarer_om_Bilkollektivets__nske_om_GPS_sporing.html
</guid>
2821 <pubDate>Thu,
14 Oct
2010 15:
00:
00 +
0200</pubDate>
2822 <description><p
>I forbindelse med Bilkollektivets plan om å skaffe seg mulighet til
2823 å GPS-spore sine medlemmers bevegelser
2824 (
<a href=
"http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til____se_hvor_jeg_kj__rer___.html
">omtalt
2825 tidligere
</a
>), sendte jeg avgårde et spørsmål til
<a
2826 href=
"http://www.datatilsynet.no/
">Datatilsynet
</a
> for å gjøre dem
2827 oppmerksom på saken og høre hva de hadde å si. Her er korrespondansen
2830 <p
><blockquote
>
2831 Date: Thu,
23 Sep
2010 13:
38:
55 +
0200
2832 <br
>From: Petter Reinholdtsen
2833 <br
>To: postkasse@datatilsynet.no
2834 <br
>Subject: GPS-sporing av privatpersoners bruk av bil?
2836 <p
>Hei. Jeg er med i Bilkollektivet[
1] her i Oslo, og ble i dag
2837 orientert om at de har tenkt å innføre GPS-sporing av bilene og krever
2838 at en for fremtidig bruk skal godkjenne følgende klausul i
2839 bruksvilkårene[
2]:
</p
>
2841 <p
><blockquote
>
2842 Andelseier er med dette gjort kjent med at bilene er utstyrt med
2843 sporingsutstyr, som kan benyttes av Bilkollektivet til å spore biler
2844 som brukes utenfor gyldig reservasjon.
2845 </blockquote
></p
>
2847 <p
>Er slik sporing meldepliktig til datatilsynet? Har Bilkollektivet
2848 meldt dette til Datatilsynet? Forsøkte å søke på orgnr.
874 538 892
2849 på søkesiden for meldinger[
3], men fant intet der.
</p
>
2851 <p
>Hva er datatilsynets syn på slik sporing av privatpersoners bruk av
2854 <p
>Jeg må innrømme at jeg forventer å kunne ferdes anonymt og uten
2855 radiomerking i Norge, og synes GPS-sporing av bilen jeg ønsker å bruke
2856 i så måte er et overgrep mot privatlivets fred. For meg er det et
2857 prinsipielt spørsmål og det er underordnet hvem og med hvilket formål
2858 som i første omgang sies å skulle ha tilgang til
2859 sporingsinformasjonen. Jeg vil ikke ha mulighet til å sjekke eller
2860 kontrollere når bruksområdene utvides, og erfaring viser jo at
2861 bruksområder utvides når informasjon først er samlet inn.
<p
>
2863 <p
>1 &lt;URL: http://www.bilkollektivet.no/
>
2864 <br
>2 &lt;URL: http://www.bilkollektivet.no/bilbruksregler
.26256.no.html
>
2865 <br
>3 &lt;URL: http://hetti.datatilsynet.no/melding/report_search.pl
>
2867 <p
>Vennlig hilsen,
2869 <br
>Petter Reinholdtsen
2870 </blockquote
></p
>
2872 <p
>Svaret fra Datatilsynet kom dagen etter:
</p
>
2874 <p
><blockquote
>
2875 Date: Fri,
24 Sep
2010 11:
24:
17 +
0200
2876 <br
>From: Henok Tesfazghi
2877 <br
>To: Petter Reinholdtsen
2878 <br
>Subject: VS: GPS-sporing av privatpersoners bruk av bil?
2880 <p
>Viser til e-post av
23. september
2010.
</p
>
2882 <p
>Datatilsynet er det forvaltningsorganet som skal kontrollere at
2883 personopplysningsloven blir fulgt. Formålet med loven er å verne
2884 enkeltpersoner mot krenking av personvernet gjennom behandling av
2885 personopplysninger. Vi gjør oppmerksom på at vår e-post svartjeneste
2886 er ment å være en kortfattet rådgivningstjeneste, slik at vi av den
2887 grunn ikke kan konkludere i din sak, men gi deg innledende råd og
2888 veiledning. Vårt syn er basert på din fremstilling av saksforholdet,
2889 andre opplysninger vi eventuelt ikke kjenner til og som kan være
2890 relevante, vil kunne medføre et annet resultat.
</p
>
2892 <p
>Det er uklart for Datatilsynet hva slags GPS-sporing Bilkollektivet
2893 her legger opp til. Dette skyldes blant annet manglende informasjon i
2894 forhold til hvilket formål GPS-sporingen har, hvordan det er ment å
2895 fungere, hvilket behandlingsgrunnlag som ligger til grunn, samt om
2896 opplysningene skal lagres eller ikke.
</p
>
2898 <p
>Behandlingen vil i utgangspunket være meldepliktig etter
2899 personopplysningslovens §
31. Det finnes en rekke unntak fra
2900 meldeplikten som er hjemlet i personopplysningsforskriftens kapittel
2901 7. Da dette er et andelslag, og andelseiere i en utstrekning også kan
2902 karakteriseres som kunder, vil unntak etter
2903 personopplysningsforskriftens §
7-
7 kunne komme til anvendelse, se
2904 lenke:
<a href=
"http://lovdata.no/for/sf/fa/ta-
20001215-
1265-
009.html#
7-
7">http://lovdata.no/for/sf/fa/ta-
20001215-
1265-
009.html#
7-
7</a
></p
>
2906 <p
>Datatilsynet har til orientering en rekke artikler som omhandler
2907 henholdsvis sporing og lokalisering, samt trafikanter og passasjerer,
2909 <br
><a href=
"http://www.datatilsynet.no/templates/article____1730.aspx
">http://www.datatilsynet.no/templates/article____1730.aspx
</a
> og
2910 <br
><a href=
"http://www.datatilsynet.no/templates/article____1098.aspx
">http://www.datatilsynet.no/templates/article____1098.aspx
</a
></p
>
2913 <p
>Vennlig hilsen
2914 <br
>Henok Tesfazghi
2915 <br
>Rådgiver, Datatilsynet
2916 </blockquote
></p
>
2918 <p
>Vet ennå ikke om jeg har overskudd til å ta opp kampen i
2919 Bilkollektivet, mellom barnepass og alt det andre som spiser opp
2920 dagene, eller om jeg bare finner et annet alternativ.
</p
>
2925 <title>Bilkollektivet vil ha retten til å se hvor jeg kjører...
</title>
2926 <link>http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til___se_hvor_jeg_kj_rer___.html
</link>
2927 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Bilkollektivet_vil_ha_retten_til___se_hvor_jeg_kj_rer___.html
</guid>
2928 <pubDate>Thu,
23 Sep
2010 11:
55:
00 +
0200</pubDate>
2929 <description><p
>Jeg er med i
2930 <a href=
"http://www.bilkollektivet.no/
">Bilkollektivet
</a
> her i Oslo,
2931 og har inntil i dag vært fornøyd med opplegget. I dag kom det brev
2932 fra bilkollektivet, der de forteller om nytt webopplegg og nye
2933 rutiner, og at de har tenkt å angripe min rett til å ferdes anonymt
2934 som bruker av Bilkollektivet. Det gjorde meg virkelig trist å
2937 <p
>Brevet datert
2010-
09-
16 forteller at Bilkollektivet har tenkt å gå
2938 over til biler med
"bilcomputer
" og innebygget sporings-GPS som lar
2939 administrasjonen i bilkollektivet se hvor bilene er til en hver tid,
2940 noe som betyr at de også kan se hvor jeg kjører når jeg bruker
2942 <a href=
"http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html
">Retten
2943 til å ferdes anonymt
</a
> er som tidligere nevnt viktig for meg, og jeg
2944 finner det uakseptabelt å måtte godta å bli radiomerket for å kunne
2945 bruke bil. Har ikke satt meg inn i hva som er historien for denne
2946 endringen, så jeg vet ikke om det er godkjent av
2947 f.eks. andelseiermøtet. Ser at
2948 <a href=
"http://www.bilkollektivet.no/bilbruksregler
.26256.no.html
">nye
2949 bilbruksregler
</a
> med følgende klausul ble vedtatt av styret
2950 2010-
08-
26:
</p
>
2952 <blockquote
><p
>Andelseier er med dette gjort kjent med at bilene er
2953 utstyrt med sporingsutstyr, som kan benyttes av Bilkollektivet til å
2954 spore biler som brukes utenfor gyldig reservasjon.
</p
></blockquote
>
2956 <p
>For meg er det prinsipielt uakseptabelt av Bilkollektivet å skaffe
2957 seg muligheten til å se hvor jeg befinner meg, og det er underordnet
2958 når informasjonen blir brukt og hvem som får tilgang til den. Får se
2959 om jeg har energi til å forsøke å endre planene til Bilkollektivet
2960 eller bare ser meg om etter alternativer.
</p
>
2965 <title>Anonym ferdsel er en menneskerett
</title>
2966 <link>http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html
</link>
2967 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Anonym_ferdsel_er_en_menneskerett.html
</guid>
2968 <pubDate>Wed,
15 Sep
2010 12:
15:
00 +
0200</pubDate>
2969 <description><p
>Debatten rundt sporveiselskapet i Oslos (Ruter AS) ønske om
2970 <a href=
"http://www.aftenposten.no/nyheter/iriks/article3808135.ece
">å
2971 radiomerke med RFID
</a
> alle sine kunder og
2972 <a href=
"http://www.aftenposten.no/nyheter/article3809746.ece
">registrere
2973 hvor hver og en av oss beveger oss
</a
> pågår, og en ting som har
2974 kommet lite frem i debatten er at det faktisk er en menneskerett å
2975 kunne ferdes anonymt internt i ens eget land.
</p
>
2977 <p
>Fant en grei kilde for dette i et
2978 <a href=
"http://www.datatilsynet.no/upload/Microsoft%
20Word%
20-%
2009-
01399-
2%
20H+%C2%A9ringsnotat%
20-%
20Samferdselsdepartementet%
20-%
20Utkas%C3%
94%C3%
87%C2%AA.pdf
">skriv
2979 fra Datatilsynet
</a
> til Samferdselsdepartementet om tema:
</p
>
2981 <blockquote
><p
>Retten til å ferdes anonymt kan utledes av
2982 menneskerettskonvensjonen artikkel
8 og av EUs personverndirektiv.
2983 Her heter det at enkeltpersoners grunnleggende rettigheter og frihet
2984 må respekteres, særlig retten til privatlivets fred. I både
2985 personverndirektivet og i den norske personopplysningsloven er
2986 selvråderetten til hver enkelt et av grunnprinsippene, hovedsaklig
2987 uttrykt ved at en må gi et frivillig, informert og uttrykkelig
2988 samtykke til behandling av personopplysninger.
</p
></blockquote
>
2990 <p
>For meg er det viktig at jeg kan ferdes anonymt, og det er litt av
2991 bakgrunnen til at jeg handler med kontanter, ikke har mobiltelefon og
2992 forventer å kunne reise med bil og kollektivtrafikk uten at det blir
2993 registrert hvor jeg har vært. Ruter angriper min rett til å ferdes
2994 uten radiopeiler med sin innføring av RFID-kort, og dokumenterer sitt
2995 ønske om å registrere hvor kundene befant seg ved å ønske å gebyrlegge
2996 oss som ikke registrerer oss hver gang vi beveger oss med
2997 kollektivtrafikken i Oslo. Jeg synes det er hårreisende.
</p
>
3002 <title>Forslag i stortinget om å stoppe elektronisk stemmegiving i Norge
</title>
3003 <link>http://people.skolelinux.org/pere/blog/Forslag_i_stortinget_om___stoppe_elektronisk_stemmegiving_i_Norge.html
</link>
3004 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Forslag_i_stortinget_om___stoppe_elektronisk_stemmegiving_i_Norge.html
</guid>
3005 <pubDate>Tue,
31 Aug
2010 21:
00:
00 +
0200</pubDate>
3006 <description><p
>Ble tipset i dag om at et forslag om å stoppe forsøkene med
3007 elektronisk stemmegiving utenfor valglokaler er
3008 <a href=
"http://www.stortinget.no/no/Saker-og-publikasjoner/Saker/Sak/?p=
46616">til
3009 behandling
</a
> i Stortinget.
3010 <a href=
"http://www.stortinget.no/Global/pdf/Representantforslag/
2009-
2010/dok8-
200910-
128.pdf
">Forslaget
</a
>
3011 er fremmet av Erna Solberg, Michael Tetzschner og Trond Helleland.
</p
>
3013 <p
>Håper det får flertall.
</p
>
3018 <title>Sikkerhetsteateret på flyplassene fortsetter
</title>
3019 <link>http://people.skolelinux.org/pere/blog/Sikkerhetsteateret_p__flyplassene_fortsetter.html
</link>
3020 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Sikkerhetsteateret_p__flyplassene_fortsetter.html
</guid>
3021 <pubDate>Sat,
28 Aug
2010 10:
40:
00 +
0200</pubDate>
3022 <description><p
>Jeg skrev for et halvt år siden hvordan
3023 <a href=
"http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html
">samfunnet
3024 kaster bort ressurser på sikkerhetstiltak som ikke fungerer
</a
>. Kom
3026 <a href=
"http://www.askthepilot.com/essays-and-stories/terrorism-tweezers-and-terminal-madness-an-essay-on-security/
">historie
3027 fra en pilot fra USA
</a
> som kommenterer det samme. Jeg mistenker det
3028 kun er uvitenhet og autoritetstro som gjør at så få protesterer. Har
3029 veldig sans for piloten omtalt i
<a
3030 href=
"http://www.aftenposten.no/nyheter/iriks/article2057501.ece
">Aftenposten
</a
> 2007-
10-
23,
3031 og skulle ønske flere rettet oppmerksomhet mot problemet. Det gir
3032 ikke meg trygghetsfølelse på flyplassene når jeg ser at
3033 flyplassadministrasjonen kaster bort folk, penger og tid på tull i
3034 stedet for ting som bidrar til reell økning av sikkerheten. Det
3035 forteller meg jo at vurderingsevnen til de som burde bidra til økt
3036 sikkerhet er svært sviktende, noe som ikke taler godt for de andre
3037 tiltakene.
</p
>
3039 <p
>Mon tro hva som skjer hvis det fantes en enkel brosjyre å skrive ut
3040 fra Internet som forklarte hva som er galt med sikkerhetsopplegget på
3041 flyplassene, og folk skrev ut og la en bunke på flyplassene når de
3042 passerte. Kanskje det ville fått flere til å få øynene opp for
3043 problemet.
</p
>
3045 <p
>Personlig synes jeg flyopplevelsen er blitt så avskyelig at jeg
3046 forsøker å klare meg med tog, bil og båt for å slippe ubehaget. Det
3047 er dog noe vanskelig i det langstrakte Norge og for å kunne besøke de
3048 delene av verden jeg ønsker å nå. Mistenker at flere har det slik, og
3049 at dette går ut over inntjeningen til flyselskapene. Det er antagelig
3050 en god ting sett fra et miljøperspektiv, men det er en annen sak.
</p
>
3055 <title>Elektronisk stemmegiving er ikke til å stole på - heller ikke i Norge
</title>
3056 <link>http://people.skolelinux.org/pere/blog/Elektronisk_stemmegiving_er_ikke_til___stole_p____heller_ikke_i_Norge.html
</link>
3057 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Elektronisk_stemmegiving_er_ikke_til___stole_p____heller_ikke_i_Norge.html
</guid>
3058 <pubDate>Mon,
23 Aug
2010 19:
30:
00 +
0200</pubDate>
3059 <description><p
>I Norge pågår en prosess for å
3060 <a href=
"http://www.e-valg.dep.no/
">innføre elektronisk
3061 stemmegiving
</a
> ved kommune- og stortingsvalg. Dette skal
3062 introduseres i
2011. Det er all grunn til å tro at valg i Norge ikke
3063 vil være til å stole på hvis dette blir gjennomført. Da det hele var
3064 oppe til høring i
2006 forfattet jeg
3065 <a href=
"http://www.nuug.no/dokumenter/valg-horing-
2006-
09.pdf
">en
3066 høringsuttalelse fra NUUG
</a
> (og EFN som hengte seg på) som skisserte
3067 hvilke punkter som må oppfylles for at en skal kunne stole på et valg,
3068 og elektronisk stemmegiving mangler flere av disse. Elektronisk
3069 stemmegiving er for alle praktiske formål å putte ens stemme i en sort
3070 boks under andres kontroll, og satse på at de som har kontroll med
3071 boksen er til å stole på - uten at en har mulighet til å verifisere
3072 dette selv. Det er ikke slik en gjennomfører demokratiske valg.
</p
>
3074 <p
>Da problemet er fundamentalt med hvordan elektronisk stemmegiving
3075 må fungere for at også ikke-krypografer skal kunne delta, har det vært
3076 mange rapporter om hvordan elektronisk stemmegiving har sviktet i land
3078 <a href=
"http://wiki.nuug.no/uttalelser/
2006-elektronisk-stemmegiving
">liten
3079 samling referanser
</a
> finnes på NUUGs wiki. Den siste er fra India,
3080 der valgkomisjonen har valgt
3081 <a href=
"http://www.freedom-to-tinker.com/blog/jhalderm/electronic-voting-researcher-arrested-over-anonymous-source
">å
3082 pusse politiet på en forsker
</a
> som har dokumentert svakheter i
3083 valgsystemet.
</p
>
3085 <p
>Her i Norge har en valgt en annen tilnærming, der en forsøker seg
3086 med teknobabbel for å få befolkningen til å tro at dette skal bli
3087 sikkert. Husk, elektronisk stemmegiving underminerer de demokratiske
3088 valgene i Norge, og bør ikke innføres.
</p
>
3090 <p
>Den offentlige diskusjonen blir litt vanskelig av at media har
3091 valgt å kalle dette
"evalg
", som kan sies å både gjelde elektronisk
3092 opptelling av valget som Norge har gjort siden
60-tallet og som er en
3093 svært god ide, og elektronisk opptelling som er en svært dårlig ide.
3094 Diskusjonen gir ikke mening hvis en skal diskutere om en er for eller
3095 mot
"evalg
", og jeg forsøker derfor å være klar på at jeg snakker om
3096 elektronisk stemmegiving og unngå begrepet
"evalg
".
</p
>
3101 <title>Rob Weir: How to Crush Dissent
</title>
3102 <link>http://people.skolelinux.org/pere/blog/Rob_Weir__How_to_Crush_Dissent.html
</link>
3103 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Rob_Weir__How_to_Crush_Dissent.html
</guid>
3104 <pubDate>Sun,
15 Aug
2010 22:
20:
00 +
0200</pubDate>
3105 <description><p
>I found the notes from Rob Weir on
3106 <a href=
"http://feedproxy.google.com/~r/robweir/antic-atom/~
3/VGb23-kta8c/how-to-crush-dissent.html
">how
3107 to crush dissent
</a
> matching my own thoughts on the matter quite
3108 well. Highly recommended for those wondering which road our society
3109 should go down. In my view we have been heading the wrong way for a
3110 long time.
</p
>
3115 <title>One step closer to single signon in Debian Edu
</title>
3116 <link>http://people.skolelinux.org/pere/blog/One_step_closer_to_single_signon_in_Debian_Edu.html
</link>
3117 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/One_step_closer_to_single_signon_in_Debian_Edu.html
</guid>
3118 <pubDate>Sun,
25 Jul
2010 10:
00:
00 +
0200</pubDate>
3119 <description><p
>The last few months me and the other Debian Edu developers have
3120 been working hard to get the Debian/Squeeze based version of Debian
3121 Edu/Skolelinux into shape. This future version will use Kerberos for
3122 authentication, and services are slowly migrated to single signon,
3123 getting rid of password questions one at the time.
</p
>
3125 <p
>It will also feature a roaming workstation profile with local home
3126 directory, for laptops that are only some times on the Skolelinux
3127 network, and for this profile a shortcut is created in Gnome and KDE
3128 to gain access to the users home directory on the file server. This
3129 shortcut uses SMB at the moment, and yesterday I had time to test if
3130 SMB mounting had started working in KDE after we added the cifs-utils
3131 package. I was pleasantly surprised how well it worked.
</p
>
3133 <p
>Thanks to the recent changes to our samba configuration to get it
3134 to use Kerberos for authentication, there were no question about user
3135 password when mounting the SMB volume. A simple click on the shortcut
3136 in the KDE menu, and a window with the home directory popped
3139 <p
>One step closer to a single signon solution out of the box in
3140 Debian Edu. We already had PAM, LDAP, IMAP and SMTP in place, and now
3141 also Samba. Next step is Cups and hopefully also NFS.
</p
>
3143 <p
>We had planned a alpha0 release of Debian Edu for today, but thanks
3144 to the autobuilder administrators for some architectures being slow to
3145 sign packages, we are still missing the fixed LTSP package we need for
3146 the release. It was uploaded three days ago with urgency=high, and if
3147 it had entered testing yesterday we would have been able to test it in
3148 time for a alpha0 release today. As the binaries for ia64 and powerpc
3149 still not uploaded to the Debian archive, we need to delay the alpha
3150 release another day.
</p
>
3152 <p
>If you want to help out with implementing Kerberos for Debian Edu,
3153 please contact us on debian-edu@lists.debian.org.
</p
>
3158 <title>Åpne trådløsnett er et samfunnsgode
</title>
3159 <link>http://people.skolelinux.org/pere/blog/_pne_tr_dl_snett_er_et_samfunnsgode.html
</link>
3160 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/_pne_tr_dl_snett_er_et_samfunnsgode.html
</guid>
3161 <pubDate>Sat,
12 Jun
2010 12:
45:
00 +
0200</pubDate>
3162 <description><p
>Veldig glad for å oppdage via
3163 <a href=
"http://yro.slashdot.org/story/
10/
06/
11/
1841256/Finland-To-Legalize-Use-of-Unsecured-Wi-Fi
">Slashdot
</a
>
3164 at folk i Finland har forstått at åpne trådløsnett er et samfunnsgode.
3165 Jeg ser på åpne trådløsnett som et fellesgode på linje med retten til
3166 ferdsel i utmark og retten til å bevege seg i strandsonen. Jeg har
3167 glede av åpne trådløsnett når jeg finner dem, og deler gladelig nett
3168 med andre så lenge de ikke forstyrrer min bruk av eget nett.
3169 Nettkapasiteten er sjelden en begrensning ved normal browsing og enkel
3170 SSH-innlogging (som er min vanligste nettbruk), og nett kan brukes til
3171 så mye positivt og nyttig (som nyhetslesing, sjekke været, kontakte
3172 slekt og venner, holde seg oppdatert om politiske saker, kontakte
3173 organisasjoner og politikere, etc), at det for meg er helt urimelig å
3174 blokkere dette for alle som ikke gjør en flue fortred. De som mener
3175 at potensialet for misbruk er grunn nok til å hindre all den positive
3176 og lovlydige bruken av et åpent trådløsnett har jeg dermed ingen
3177 forståelse for. En kan ikke la eksistensen av forbrytere styre hvordan
3178 samfunnet skal organiseres. Da får en et kontrollsamfunn de færreste
3179 ønsker å leve i, og det at vi har et samfunn i Norge der tilliten til
3180 hverandre er høy gjør at samfunnet fungerer ganske godt. Det bør vi
3181 anstrenge oss for å beholde.
</p
>
3186 <title>Magnetstripeinnhold i billetter fra Flytoget og Hurtigruten
</title>
3187 <link>http://people.skolelinux.org/pere/blog/Magnetstripeinnhold_i_billetter_fra_Flytoget_og_Hurtigruten.html
</link>
3188 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Magnetstripeinnhold_i_billetter_fra_Flytoget_og_Hurtigruten.html
</guid>
3189 <pubDate>Fri,
21 May
2010 16:
00:
00 +
0200</pubDate>
3190 <description><p
>For en stund tilbake kjøpte jeg en magnetkortleser for å kunne
3191 titte på hva som er skrevet inn på magnetstripene til ulike kort. Har
3192 ikke hatt tid til å analysere mange kort så langt, men tenkte jeg
3193 skulle dele innholdet på to kort med mine lesere.
</p
>
3195 <p
>For noen dager siden tok jeg flyet til Harstad og Hurtigruten til
3196 Bergen. Flytoget fra Oslo S til flyplassen ga meg en billett med
3197 magnetstripe. Påtrykket finner jeg følgende informasjon:
</p
>
3200 Flytoget Airport Express Train
3202 Fra - Til : Oslo Sentralstasjon
3205 Herav mva.
8,
00% : NOK
12,
59
3207 Til - Fra : Oslo Lufthavn
3209 Gyldig Fra-Til :
08.05.10-
07.11.10
3210 Billetttype : Enkeltbillett
3212 102-
1015-
100508-
48382-
01-
08
3215 <p
>På selve magnetstripen er innholdet
3216 <tt
>;E?+
900120011=
23250996541068112619257138248441708433322932704083389389062603279671261502492655?
</tt
>.
3217 Aner ikke hva innholdet representerer, og det er lite overlapp mellom
3218 det jeg ser trykket på billetten og det jeg ser av tegn i
3219 magnetstripen. Håper det betyr at de bruker kryptografiske metoder
3220 for å gjøre det vanskelig å forfalske billetter.
</p
>
3222 <p
>Den andre billetten er fra Hurtigruten, der jeg mistenker at
3223 strekkoden på fronten er mer brukt enn magnetstripen (det var i hvert
3224 fall den biten vi stakk inn i dørlåsen).
</p
>
3226 <p
>Påtrykket forsiden er følgende:
</p
>
3234 Bookingno: SAX69
0742193
3236 Dep:
09.05.2010 Arr:
12.05.2010
3241 <p
>På selve magnetstripen er innholdet
3242 <tt
>;
1316010007421930=
00000000000000000000?+E?
</tt
>. Heller ikke her
3243 ser jeg mye korrespondanse mellom påtrykk og magnetstripe.
</p
>
3248 <title>Forcing new users to change their password on first login
</title>
3249 <link>http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html
</link>
3250 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html
</guid>
3251 <pubDate>Sun,
2 May
2010 13:
47:
00 +
0200</pubDate>
3252 <description><p
>One interesting feature in Active Directory, is the ability to
3253 create a new user with an expired password, and thus force the user to
3254 change the password on the first login attempt.
</p
>
3256 <p
>I
'm not quite sure how to do that with the LDAP setup in Debian
3257 Edu, but did some initial testing with a local account. The account
3258 and password aging information is available in /etc/shadow, but
3259 unfortunately, it is not possible to specify an expiration time for
3260 passwords, only a maximum age for passwords.
</p
>
3262 <p
>A freshly created account (using adduser test) will have these
3263 settings in /etc/shadow:
</p
>
3265 <blockquote
><pre
>
3266 root@tjener:~# chage -l test
3267 Last password change : May
02,
2010
3268 Password expires : never
3269 Password inactive : never
3270 Account expires : never
3271 Minimum number of days between password change :
0
3272 Maximum number of days between password change :
99999
3273 Number of days of warning before password expires :
7
3275 </pre
></blockquote
>
3277 <p
>The only way I could come up with to create a user with an expired
3278 account, is to change the date of the last password change to the
3279 lowest value possible (January
1th
1970), and the maximum password age
3280 to the difference in days between that date and today. To make it
3281 simple, I went for
30 years (
30 *
365 =
10950) and January
2th (to
3282 avoid testing if
0 is a valid value).
</p
>
3284 <p
>After using these commands to set it up, it seem to work as
3287 <blockquote
><pre
>
3288 root@tjener:~# chage -d
1 test; chage -M
10950 test
3289 root@tjener:~# chage -l test
3290 Last password change : Jan
02,
1970
3291 Password expires : never
3292 Password inactive : never
3293 Account expires : never
3294 Minimum number of days between password change :
0
3295 Maximum number of days between password change :
10950
3296 Number of days of warning before password expires :
7
3298 </pre
></blockquote
>
3300 <p
>So far I have tested this with ssh and console, and kdm (in
3301 Squeeze) login, and all ask for a new password before login in the
3302 user (with ssh, I was thrown out and had to log in again).
</p
>
3304 <p
>Perhaps we should set up something similar for Debian Edu, to make
3305 sure only the user itself have the account password?
</p
>
3307 <p
>If you want to comment on or help out with implementing this for
3308 Debian Edu, please contact us on debian-edu@lists.debian.org.
</p
>
3310 <p
>Update
2010-
05-
02 17:
20: Paul Tötterman tells me on IRC that the
3311 shadow(
8) page in Debian/testing now state that setting the date of
3312 last password change to zero (
0) will force the password to be changed
3313 on the first login. This was not mentioned in the manual in Lenny, so
3314 I did not notice this in my initial testing. I have tested it on
3315 Squeeze, and
'<tt
>chage -d
0 username
</tt
>' do work there. I have not
3316 tested it on Lenny yet.
</p
>
3318 <p
>Update
2010-
05-
02-
19:
05: Jim Paris tells me via email that an
3319 equivalent command to expire a password is
'<tt
>passwd -e
3320 username
</tt
>', which insert zero into the date of the last password
3326 <title>Great book:
"Content: Selected Essays on Technology, Creativity, Copyright, and the Future of the Future
"</title>
3327 <link>http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html
</link>
3328 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html
</guid>
3329 <pubDate>Mon,
19 Apr
2010 17:
10:
00 +
0200</pubDate>
3330 <description><p
>The last few weeks i have had the pleasure of reading a
3331 thought-provoking collection of essays by Cory Doctorow, on topics
3332 touching copyright, virtual worlds, the future of man when the
3333 conscience mind can be duplicated into a computer and many more. The
3334 book titled
"Content: Selected Essays on Technology, Creativity,
3335 Copyright, and the Future of the Future
" is available with few
3336 restrictions on the web, for example from
3337 <a href=
"http://craphound.com/content/
">his own site
</a
>. I read the
3339 <a href=
"http://www.feedbooks.com/book/
2883">feedbooks
</a
> using
3340 <a href=
"http://www.fbreader.org/
">fbreader
</a
> and my N810. I
3341 strongly recommend this book.
</p
>
3346 <title>Sikkerhet, teater, og hvordan gjøre verden sikrere
</title>
3347 <link>http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj_re_verden_sikrere.html
</link>
3348 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Sikkerhet__teater__og_hvordan_gj_re_verden_sikrere.html
</guid>
3349 <pubDate>Wed,
30 Dec
2009 16:
35:
00 +
0100</pubDate>
3350 <description><p
>Via Slashdot fant jeg en
3351 <a href=
"http://www.cnn.com/
2009/OPINION/
12/
29/schneier.air.travel.security.theater/index.html
">nydelig
3352 kommentar fra Bruce Schneier
</a
> som ble publisert hos CNN i går. Den
3353 forklarer forbilledlig hvorfor sikkerhetsteater og innføring av
3354 totalitære politistatmetoder ikke er løsningen for å gjøre verden
3355 sikrere. Anbefales på det varmeste.
</p
>
3357 <p
>Oppdatering: Kom over
3358 <a href=
"http://gizmodo.com/
5435675/president-obama-its-time-to-fire-the-tsa
">nok
3359 en kommentar
</a
> om den manglende effekten av dagens sikkerhetsteater
3360 på flyplassene.
</p
>
3365 <title>Jeg vil ikke ha BankID
</title>
3366 <link>http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
</link>
3367 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Jeg_vil_ikke_ha_BankID.html
</guid>
3368 <pubDate>Fri,
30 Oct
2009 13:
05:
00 +
0100</pubDate>
3369 <description><p
>Min hovedbankforbindelse,
3370 <a href=
"http://www.postbanken.no/
">Postbanken
</a
>, har fra
1. oktober
3371 blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
3372 for
<a href=
"https://www.bankid.no/
">BankID
</a
> og går over til å
3373 bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
3374 kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
3375 lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
3376 hvis jeg ikke godtar det jeg anser som urimelige vilkår i
3377 BankID-avtalen.
</p
>
3379 <p
>BankID er en løsning der banken gis rett til å handle på vegne av
3380 meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
3381 bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
3382 oppta lån og andre handlinger som har alvorlige følger for meg.
3383 Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
3384 all informasjon og tilgang som den trenger for å bruke BankID, også
3385 uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
3386 min BankID når jeg har oppgitt pinkode og passord, men praktisk og
3387 konkret kan de gjøre dette også uten at min pinkode eller mitt passord
3388 er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
3389 seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
3390 (eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
3391 rett til å inngå avtaler på vegne av meg.
</p
>
3393 <p
>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
3394 offentlig nøkkel, der den private nøkkelen er nødvendig for å
3395 "signere
" på vegne av den nøkkelen gjelder for, og den offentlige
3396 nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
3397 sitter på både den private og den offentlige nøkkelen, og sier de kun
3398 skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
3402 <p
>I postbankens
3403 <a href=
"https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf
">vilkår
3404 for BankID
</a
> står følgende:
</p
>
3407 <p
>"6. Anvendelsesområdet for BankID
</p
>
3409 <p
>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
3410 avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
3411 identifisering og signering i forbindelse med elektronisk
3412 meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
3413 elektronisk kommunikasjon med Banken og andre brukersteder som har
3414 tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
3415 har inngått avtale med bank om bruk av BankID.
"</p
>
3418 <p
>Det er spesielt retten til
"avtaleinngåelse
" jeg synes er urimelig
3419 å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
3420 også retten til å kommunisere på vegne av meg med andre brukersteder og
3421 signering av meldinger synes jeg er problematisk. Jeg må godta at
3422 banken skal kunne signere for meg på avtaler og annen kommunikasjon
3423 for å få BankID.
</p
>
3425 <p
>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
3426 banken rett til å inngå avtaler på vegne av meg svarer Postbankens
3427 kundestøtte at
"Postbanken har valgt BankID for bl.a. pålogging i
3428 nettbank , så her må du nok ha hele denne løsningen
". Jeg nektes
3429 altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
3430 signere avtaler på vegne av meg.
</p
>
3432 <p
>Postbankens kundestøtte sier videre at
"Det har blitt et krav til
3433 alle norske banker om å innføre BankID, bl.a på grunn av
3434 sikkerhet
", uten at jeg her helt sikker på hvem som har framsatt
3435 dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
3436 fastsatt av
<a href=
"http://www.kredittilsynet.no/
">kreditttilsynet
</a
>
3437 og
<a href=
"http://www.bbs.no/
">BBS
</a
>.] Det som er situasjonen er
3438 dog at det er svært få banker igjen som ikke bruker BankID, og jeg
3439 vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
3440 gi banken rett til å signere avtaler på mine vegne.
</p
>
3442 <p
>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
3443 til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
3444 bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
3445 kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
3446 begrensing.
</p
>
3448 <p
>Jeg har klaget vilkårene inn for
<a
3449 href=
"http://www.forbrukerombudet.no/
">forbrukerombudet
</a
>, men
3450 regner ikke med at de vil kunne bidra til en rask løsning som gir meg
3451 nettbankkontroll over egne midler. :(
3453 <p
>Oppdatering
2012-
09-
13: Aftenposten melder i dag at det er
3454 <a href=
"http://www.aftenposten.no/nyheter/iriks/Tyver-kan-tappe-kontoen-din---selv-uten-passord-og-pinkode--
6989793.html
">sikkerhetsproblem
3455 med BankID
</a
> som gjør at ens bankkonto kan tappes helt uten at en
3456 har delt passord og pinkode med noen. Dette illustrerer veldig bra
3457 mitt poeng om at banken kan operere på kontoen (og signere avtaler
3458 etc) helt uten at jeg er involvert. Jeg takker derfor fortsatt nei
3459 til BankID-modellen.
</p
>
3461 <p
>Oppdatering
2015-
11-
17: Fant en
3462 <a href=
"http://
1and1are2.blogspot.no/
2014/
05/bankid-elektronisk-sppel.html
">bloggpost
3463 fra Britt Lysaa som belyser hvilke inngrep i privatsfæren bruken av
3464 BankID utgjør
</a
>, i tillegg til de sikkerhetsmessige vurderingene
3465 omtalt over. Anbefalt lesning.
</p
>
3470 <title>Sikkerhet til sjøs trenger sjøkart uten bruksbegresninger
</title>
3471 <link>http://people.skolelinux.org/pere/blog/Sikkerhet_til_sj_s_trenger_sj_kart_uten_bruksbegresninger.html
</link>
3472 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Sikkerhet_til_sj_s_trenger_sj_kart_uten_bruksbegresninger.html
</guid>
3473 <pubDate>Sun,
23 Aug
2009 10:
00:
00 +
0200</pubDate>
3474 <description><p
>Sikkerhet til sjøs burde være noe som opptar mange etter den siste
3475 oljeutslippsulykken med Full City, som har drept mye liv langs sjøen.
3476 En viktig faktor for å bedre sikkerheten til sjøs er at alle som
3477 ferdes på sjøen har tilgang til oppdaterte sjøkart som forteller hvor
3478 det grunner og annet en må ta hensyn til på sjøen.
</p
>
3480 <p
>Hvis en er enig i at tilgang til oppdaterte sjøkart er viktig for
3481 sikkerheten på sjøen, så er det godt å vite at det i dag er teknisk
3482 mulig å sikre alle enkel tilgang til oppdaterte digitale kart over
3483 Internet. Det trenger heller ikke være spesielt kostbart.
</p
>
3485 <p
>Både ved Rocknes-ulykken i Vatlestraumen, der
18 mennesker mistet
3486 livet, og ved Full City-ulykken utenfor Langesund, der mange tonn olje
3487 lekket ut i havet, var det registrert problemer relatert til
3488 oppdaterte sjøkart. Ved Rocknes-ulykken var de elektroniske kartene
3489 som ble brukt ikke oppdatert med informasjon om nyoppdagede grunner og
3490 losen kjente visst ikke til disse nye grunnene. Papirkartene var dog
3491 oppdaterte. Ved Full City-ulykken hadde en kontroll av skipet noen
3492 uker tidligere konstatert manglende sjøkart.
</p
>
3494 <p
>Jeg tror en løsning der digitale sjøkart kunne lastes ned direkte
3495 fra sjøkartverket av alle som ønsket oppdaterte sjøkart, uten
3496 brukerbetaling og uten bruksbegresninger knyttet til kartene, vil
3497 gjøre at flere folk på sjøen vil holde seg med oppdaterte sjøkart,
3498 eller sjøkart i det hele tatt. Resultatet av dette vil være økt
3499 sikkerhet på sjøen. En undersøkelse gjennomført av Opinion for
3500 Gjensidige i
2008 fortalte at halvparten av alle båteierne i landet
3501 ikke har sjøkart i båten.
</p
>
3503 <p
>Formatet på de digitale sjøkartene som gjøres tilgjengelig fra
3504 sjøkartverket må være i henhold til en fri og åpen standard, slik at
3505 en ikke er låst til enkeltaktørers godvilje når datafilene skal tolkes
3506 og forstås, men trenger ikke publiseres fra sjøkartverket i alle
3507 formatene til verdens skips-GPS-er i tillegg. Hvis det ikke er
3508 kostbart for sjøkartverket bør de gjerne gjøre det selv, men slik
3509 konvertering kan andre ta seg av hvis det er et marked for det.
</p
>
3511 <p
>Hvis staten mener alvor med å forbedre sikkerheten til sjøs, må de
3512 gjøre sitt for at alle båteiere har oppdaterte kart, ikke bare snakke
3513 om hvor viktig det er at de har oppdaterte kart. Det bør være
3514 viktigere for staten at båtene
<strong
>har
</strong
> oppdaterte kart
3515 enn at de er pålagt å ha oppdaterte kart.
</p
>
3517 <p
>Sjøkartene er
<a href=
"http://kart.kystverket.no/
">tilgjengelig på web
3518 fra kystverket
</a
>, men så vidt jeg har klart å finne, uten
3519 bruksvilkår som muliggjør gjenbruk uten bruksbegresninger.
</p
>
3521 <p
>OpenStreetmap.org-folk er lei av mangel på sjøkart, og har startet
3522 på et dugnadsbasert fribrukskart for havet,
3523 <a href=
"http://openseamap.org/
">OpenSeaMap
</a
>. Datagrunnlaget er
3524 OpenStreetmap, mens framvisningen er tilpasset bruk på sjøen. Det
3525 gjenstår mye før en kan bruke dette til å seile sikkert på havet, men
3526 det viser at behovet for fribruks-sjøkart er til stedet.
</p
>
3531 <title>Litt om valgfusk og problemet med elektronisk stemmegiving
</title>
3532 <link>http://people.skolelinux.org/pere/blog/Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html
</link>
3533 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html
</guid>
3534 <pubDate>Wed,
17 Jun
2009 14:
20:
00 +
0200</pubDate>
3535 <description><p
><a href=
"http://www.aftenposten.no/nyheter/uriks/article3127058.ece
">Aftenposten
3536 melder
</a
> at det kan se ut til at Iran ikke har lært av USA når det
3537 gjelder valgfusk. En bør endre tallene før de publiseres, slik at en
3538 kandidat aldri får færre stemmer under opptellingen, ellers blir det
3539 veldig tydelig at tallene ikke er til å stole på. I USA er det
3540 derimot
<a href=
"http://www.blackboxvoting.org/
">rapporter om at
3541 tallene har vært endret
</a
> på tur mot opptellingen, ikke etter at
3542 tallene er publiserte (i tillegg til en rekke andre irregulariteter).
3543 En ting Iran åpenbart har forstått, er verdien av å kunne
3544 kontrolltelle stemmer. Det ligger an til kontrolltelling i hvert fall
3545 i noen områder. Hvorvidt det har verdi, kommer an på hvordan
3546 stemmene har vært oppbevart.
</p
>
3548 <p
><a href=
"http://universitas.no/kronikk/
48334/kan-vi-stole-pa-universitetets-elektroniske-valgsystem-/
">Universitetet
3549 i Oslo derimot
</a
>, har ikke forstått verdien av å kunne
3550 kontrolltelle. Her har en valgt å ta i bruk elektronisk stemmegiving
3551 over Internet, med et system som ikke kan kontrolltelles hvis det
3552 kommer anklager om juks med stemmene. Systemet har flere kjente
3553 problemer og er i mine øyne ikke bedre enn en spørreundersøkelse, og
3554 jeg har derfor latt være å stemme ved valg på UiO siden det ble
3557 <p
>Universitet i Bergen derimot har klart det kunststykket å aktivt gå
3558 inn for å gjøre det kjent at det elektroniske stemmegivingssystemet
3559 over Internet
<a href=
"http://nyheter.uib.no/?modus=vis_nyhet
&id=
43404">kan
3560 spore hvem som stemmer hva
</a
> (det kan en forøvrig også ved UiO), og tatt
3561 kontakt med stemmegivere for å spørre hvorfor de stemte som de gjorde.
3562 Hemmelige valg står for fall. Mon tro hva stemmesedlenne hadde
3563 inneholdt i Iran hvis de ikke hadde hemmelige valg?
</p
>
3568 <title>Kryptert harddisk - naturligvis
</title>
3569 <link>http://people.skolelinux.org/pere/blog/Kryptert_harddisk___naturligvis.html
</link>
3570 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Kryptert_harddisk___naturligvis.html
</guid>
3571 <pubDate>Sat,
2 May
2009 15:
30:
00 +
0200</pubDate>
3572 <description><p
><a href=
"http://www.dagensit.no/trender/article1658676.ece
">Dagens
3573 IT melder
</a
> at Intel hevder at det er dyrt å miste en datamaskin,
3574 når en tar tap av arbeidstid, fortrolige dokumenter,
3575 personopplysninger og alt annet det innebærer. Det er ingen tvil om
3576 at det er en kostbar affære å miste sin datamaskin, og det er årsaken
3577 til at jeg har kryptert harddisken på både kontormaskinen og min
3578 bærbare. Begge inneholder personopplysninger jeg ikke ønsker skal
3579 komme på avveie, den første informasjon relatert til jobben min ved
3580 Universitetet i Oslo, og den andre relatert til blant annet
3581 foreningsarbeide. Kryptering av diskene gjør at det er lite
3582 sannsynlig at dophoder som kan finne på å rappe maskinene får noe ut
3583 av dem. Maskinene låses automatisk etter noen minutter uten bruk,
3584 og en reboot vil gjøre at de ber om passord før de vil starte opp.
3585 Jeg bruker Debian på begge maskinene, og installasjonssystemet der
3586 gjør det trivielt å sette opp krypterte disker. Jeg har LVM på toppen
3587 av krypterte partisjoner, slik at alt av datapartisjoner er kryptert.
3588 Jeg anbefaler alle å kryptere diskene på sine bærbare. Kostnaden når
3589 det er gjort slik jeg gjør det er minimale, og gevinstene er
3590 betydelige. En bør dog passe på passordet. Hvis det går tapt, må
3591 maskinen reinstalleres og alt er tapt.
</p
>
3593 <p
>Krypteringen vil ikke stoppe kompetente angripere som f.eks. kjøler
3594 ned minnebrikkene før maskinen rebootes med programvare for å hente ut
3595 krypteringsnøklene. Kostnaden med å forsvare seg mot slike angripere
3596 er for min del høyere enn gevinsten. Jeg tror oddsene for at
3597 f.eks. etteretningsorganisasjoner har glede av å titte på mine
3598 maskiner er minimale, og ulempene jeg ville oppnå ved å forsøke å
3599 gjøre det vanskeligere for angripere med kompetanse og ressurser er
3600 betydelige.
</p
>
projects / homepage.git / blob