1 <?xml version=
"1.0" encoding=
"ISO-8859-1"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries from October
2016</title>
5 <description>Entries from October
2016</description>
6 <link>http://people.skolelinux.org/pere/blog/
</link>
10 <title>NRKs kildevern når NRK-epost deles med utenlands etterretning?
</title>
11 <link>http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</link>
12 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</guid>
13 <pubDate>Sat,
8 Oct
2016 08:
15:
00 +
0200</pubDate>
14 <description><p
>NRK
15 <a href=
"https://nrkbeta.no/
2016/
09/
02/securing-whistleblowers/
">lanserte
16 for noen uker siden
</a
> en ny
17 <a href=
"https://www.nrk.no/varsle/
">varslerportal som bruker
18 SecureDrop til å ta imot tips
</a
> der det er vesentlig at ingen
19 utenforstående får vite at NRK er tipset. Det er et langt steg
20 fremover for NRK, og når en leser bloggposten om hva de har tenkt på
21 og hvordan løsningen er satt opp virker det som om de har gjort en
22 grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via
23 SecureDrop, så varslersiden skriver
"Nyhetstips som ikke krever denne
24 typen ekstra vern vil vi gjerne ha på nrk.no/
03030", og
03030-siden
25 foreslår i tillegg til et webskjema å bruke epost, SMS, telefon,
26 personlig oppmøte og brevpost. Denne artikkelen handler disse andre
29 <p
>Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut
30 av landet til datamaskiner kontrollert av Microsoft. En kan sjekke
31 dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er
32 dette i dag
"nrk-no.mail.protection.outlook.com
". NRK har som en ser
33 valgt å sette bort epostmottaket sitt til de som står bak outlook.com,
34 dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien
35 gjennom Internett til epostmottaket vha. programmet
36 <tt
>traceroute
</tt
>, og finne ut hvem som eier en Internett-adresse
37 vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no
38 ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com
39 går via Sverige mot enten Irland eller Tyskland (det varierer fra gang
40 til gang og kan endre seg over tid).
</p
>
43 <a href=
"https://no.wikipedia.org/wiki/FRA-loven
">introduksjonen av
44 FRA-loven
</a
> at IP-trafikk som passerer grensen til Sverige avlyttes
45 av Försvarets radioanstalt (FRA). Vi vet videre takket være
46 Snowden-bekreftelsene at trafikk som passerer grensen til
47 Storbritannia avlyttes av Government Communications Headquarters
48 (GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at
49 forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til
50 Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland
51 gjør det samme. Poenget er uansett at utenlandsk etterretning har
52 mulighet til å snappe opp trafikken når en sender epost til @nrk.no.
53 I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs
55 <a href=
"https://www.theguardian.com/world/
2013/jul/
11/microsoft-nsa-collaboration-user-data
">samarbeider
56 med USAs etterretning på flere områder
</a
>. De som tipser NRK om
57 nyheter via epost kan dermed gå ut fra at det blir kjent for mange
58 andre enn NRK at det er gjort.
</p
>
60 <p
>Bruk av SMS og telefon registreres av blant annet telefonselskapene
61 og er tilgjengelig i følge lov og forskrift for blant annet Politi,
62 NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene
63 og deres overordnede. Hvis innringer eller mottaker bruker
64 smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike
65 app-leverandører og de som lytter på trafikken mellom telefon og
66 app-leverandør, alt etter hva som er installert på telefonene som
69 <p
>Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres
70 og lagres av postens datastyrte postsorteringssentraler. Det vil ikke
71 overraske meg om det lagres hvor i landet hver konvolutt kommer fra og
72 hvor den er adressert, i hvert fall for en kortere periode. Jeg vet
73 heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan
74 være nok til å ringe inn potensielle kilder når det krysses med hvem
75 som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig
76 f.eks. hvis de bærer mobiltelefon eller bor i nærheten).
</p
>
78 <p
>Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste,
79 men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig
80 <a href=
"http://www.lovdata.no/all/hl-
19850524-
028.html#
14">Sentralbanklovens
81 paragraf
14</a
> og nekter folk å betale med kontanter. I stedet
82 krever de at en varsle sin bankkortutsteder om hvor en befinner seg
83 ved å bruke bankkort. Banktransaksjoner er tilgjengelig for
84 bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en
85 bank) i tillegg til politiet og i hvert fall tidligere med Se
& Hør
86 (via utro tjenere, slik det ble avslørt etter utgivelsen av boken
87 «Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner
88 en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en
89 registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva
90 som skjer med det datasettet, men har grunn til å tro at det sendes ut
91 SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å
92 oppgi falskt navn.
</p
>
94 <p
>Når så tipset er kommet frem til NRK skal det behandles
95 redaksjonelt i NRK. Der vet jeg via ulike kilder at de fleste
96 journalistene bruker lokalt installert programvare, men noen bruker
97 Google Docs og andre skytjenester i strid med interne retningslinjer
98 når de skriver. Hvordan vet en hvem det gjelder? Ikke vet jeg, men
99 det kan være greit å spørre for å sjekke at journalisten har tenkt på
100 problemstillingen, før en gir et tips. Og hvis tipset omtales internt
101 på epost, er det jo grunn til å tro at også intern eposten vil deles
102 med Microsoft og utenlands etterretning, slik tidligere nevnt, men det
103 kan hende at det holdes internt i NRKs interne MS Exchange-løsning.
104 Men Microsoft ønsker å få alle Exchange-kunder over
"i skyen
" (eller
105 andre folks datamaskiner, som det jo innebærer), så jeg vet ikke hvor
106 lenge det i så fall vil vare.
</p
>
108 <p
>I tillegg vet en jo at
109 <a href=
"https://www.nrk.no/ytring/elektronisk-kildevern-i-nrk-
1.11941196">NRK
110 har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på
111 intern og ekstern Internett-trafikk
</a
> hos NRK ved oppsett av såkalte
112 VDI-noder, på tross av
113 <a href=
"https://www.nrk.no/ytring/bekymring-for-nrks-kildevern-
1.11941584">protester
114 fra NRKs journalistlag
</a
>. Jeg vet ikke om den vil kunne snappe opp
115 dokumenter som lagres på interne filtjenere eller dokumenter som lages
116 i de interne webbaserte publiseringssystemene, men vet at hva noden
117 ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik
118 at det ikke gir så mye mening å sjekke hva noden ser etter i dag når
119 det kan endres automatisk i morgen.
</p
>
121 <p
>Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på
122 noe som kunne være en trussel mot den bestående makten i Norge eller
123 verden. Til det virker det å være for mange åpninger for
124 utenforstående med andre prioriteter enn NRKs journalistiske fokus.
125 Og den største truslen for en varsler er jo om metainformasjon kommer
126 på avveie, dvs. informasjon om at en har vært i kontakt med en
127 journalist. Det kan være nok til at en kommer i myndighetenes
128 søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle
129 slik flombelysning på sitt privatliv.
</p
>
134 <title>Isenkram, Appstream and udev make life as a LEGO builder easier
</title>
135 <link>http://people.skolelinux.org/pere/blog/Isenkram__Appstream_and_udev_make_life_as_a_LEGO_builder_easier.html
</link>
136 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Isenkram__Appstream_and_udev_make_life_as_a_LEGO_builder_easier.html
</guid>
137 <pubDate>Fri,
7 Oct
2016 09:
50:
00 +
0200</pubDate>
138 <description><p
><a href=
"http://packages.qa.debian.org/isenkram
">The Isenkram
139 system
</a
> provide a practical and easy way to figure out which
140 packages support the hardware in a given machine. The command line
141 tool
<tt
>isenkram-lookup
</tt
> and the tasksel options provide a
142 convenient way to list and install packages relevant for the current
143 hardware during system installation, both user space packages and
144 firmware packages. The GUI background daemon on the other hand provide
145 a pop-up proposing to install packages when a new dongle is inserted
146 while using the computer. For example, if you plug in a smart card
147 reader, the system will ask if you want to install
<tt
>pcscd
</tt
> if
148 that package isn
't already installed, and if you plug in a USB video
149 camera the system will ask if you want to install
<tt
>cheese
</tt
> if
150 cheese is currently missing. This already work just fine.
</p
>
152 <p
>But Isenkram depend on a database mapping from hardware IDs to
153 package names. When I started no such database existed in Debian, so
154 I made my own data set and included it with the isenkram package and
155 made isenkram fetch the latest version of this database from git using
156 http. This way the isenkram users would get updated package proposals
157 as soon as I learned more about hardware related packages.
</p
>
159 <p
>The hardware is identified using modalias strings. The modalias
160 design is from the Linux kernel where most hardware descriptors are
161 made available as a strings that can be matched using filename style
162 globbing. It handle USB, PCI, DMI and a lot of other hardware related
163 identifiers.
</p
>
165 <p
>The downside to the Isenkram specific database is that there is no
166 information about relevant distribution / Debian version, making
167 isenkram propose obsolete packages too. But along came AppStream, a
168 cross distribution mechanism to store and collect metadata about
169 software packages. When I heard about the proposal, I contacted the
170 people involved and suggested to add a hardware matching rule using
171 modalias strings in the specification, to be able to use AppStream for
172 mapping hardware to packages. This idea was accepted and AppStream is
173 now a great way for a package to announce the hardware it support in a
174 distribution neutral way. I wrote
175 <a href=
"http://people.skolelinux.org/pere/blog/Using_appstream_with_isenkram_to_install_hardware_related_packages_in_Debian.html
">a
176 recipe on how to add such meta-information
</a
> in a blog post last
177 December. If you have a hardware related package in Debian, please
178 announce the relevant hardware IDs using AppStream.
</p
>
180 <p
>In Debian, almost all packages that can talk to a LEGO Mindestorms
181 RCX or NXT unit, announce this support using AppStream. The effect is
182 that when you insert such LEGO robot controller into your Debian
183 machine, Isenkram will propose to install the packages needed to get
184 it working. The intention is that this should allow the local user to
185 start programming his robot controller right away without having to
186 guess what packages to use or which permissions to fix.
</p
>
188 <p
>But when I sat down with my son the other day to program our NXT
189 unit using his Debian Stretch computer, I discovered something
190 annoying. The local console user (ie my son) did not get access to
191 the USB device for programming the unit. This used to work, but no
192 longer in Jessie and Stretch. After some investigation and asking
193 around on #debian-devel, I discovered that this was because udev had
194 changed the mechanism used to grant access to local devices. The
195 ConsoleKit mechanism from
<tt
>/lib/udev/rules.d/
70-udev-acl.rules
</tt
>
196 no longer applied, because LDAP users no longer was added to the
197 plugdev group during login. Michael Biebl told me that this method
198 was obsolete and the new method used ACLs instead. This was good
199 news, as the plugdev mechanism is a mess when using a remote user
200 directory like LDAP. Using ACLs would make sure a user lost device
201 access when she logged out, even if the user left behind a background
202 process which would retain the plugdev membership with the ConsoleKit
203 setup. Armed with this knowledge I moved on to fix the access problem
204 for the LEGO Mindstorms related packages.
</p
>
206 <p
>The new system uses a udev tag,
'uaccess
'. It can either be
207 applied directly for a device, or is applied in
208 /lib/udev/rules.d/
70-uaccess.rules for classes of devices. As the
209 LEGO Mindstorms udev rules did not have a class, I decided to add the
210 tag directly in the udev rules files included in the packages. Here
211 is one example. For the nqc C compiler for the RCX, the
212 <tt
>/lib/udev/rules.d/
60-nqc.rules
</tt
> file now look like this:
215 SUBSYSTEM==
"usb
", ACTION==
"add
", ATTR{idVendor}==
"0694", ATTR{idProduct}==
"0001", \
216 SYMLINK+=
"rcx-%k
", TAG+=
"uaccess
"
217 </pre
></p
>
219 <p
>The key part is the
'TAG+=
"uaccess
"' at the end. I suspect all
220 packages using plugdev in their /lib/udev/rules.d/ files should be
221 changed to use this tag (either directly or indirectly via
222 <tt
>70-uaccess.rules
</tt
>). Perhaps a lintian check should be created
223 to detect this?
</p
>
225 <p
>I
've been unable to find good documentation on the uaccess feature.
226 It is unclear to me if the uaccess tag is an internal implementation
227 detail like the udev-acl tag used by
228 <tt
>/lib/udev/rules.d/
70-udev-acl.rules
</tt
>. If it is, I guess the
229 indirect method is the preferred way. Michael
230 <a href=
"https://github.com/systemd/systemd/issues/
4288">asked for more
231 documentation from the systemd project
</a
> and I hope it will make
232 this clearer. For now I use the generic classes when they exist and
233 is already handled by
<tt
>70-uaccess.rules
</tt
>, and add the tag
234 directly if no such class exist.
</p
>
236 <p
>To learn more about the isenkram system, please check out
237 <a href=
"http://people.skolelinux.org/pere/blog/tags/isenkram/
">my
238 blog posts tagged isenkram
</a
>.
</p
>
240 <p
>To help out making life for LEGO constructors in Debian easier,
241 please join us on our IRC channel
242 <a href=
"irc://irc.debian.org/%
23debian-lego
">#debian-lego
</a
> and join
243 the
<a href=
"https://alioth.debian.org/projects/debian-lego/
">Debian
244 LEGO team
</a
> in the Alioth project we created yesterday. A mailing
245 list is not yet created, but we are working on it. :)
</p
>
247 <p
>As usual, if you use Bitcoin and want to show your support of my
248 activities, please send Bitcoin donations to my address
249 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
&label=PetterReinholdtsenBlog
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
projects / homepage.git / blob