- <title>Snurpenot-overvåkning av sensitiv personinformasjon</title>
- <link>http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html</guid>
- <pubDate>Mon, 9 Nov 2015 22:30:00 +0100</pubDate>
- <description><p>Tenk om et norsk sykehus delte informasjon om hva som blir lest og
-hvem som leser på sykehusets nettsted, med noen som samarbeider med et
-fremmed lands etterretningsvesen, og at flere andre fremmede lands
-etterretningstjenester kan snappe opp informasjonen.</p>
-
-<p>Tenk om flere sykehus, kommuner, helsestasjoner, universitet,
-høyskoler, grunnskoler, Stortinget, det meste av offentlig
-forvaltning, medier, adopsjonstjenester og krisesenter gjør det
-samme?</p>
-
-<p>Tenk om de som lytter kan holde oversikt over norske borgeres
-interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager,
-politiske interesser og sympatier samt hvilke argumenter som har best
-effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt
-grunn til bekymring?</p>
-
-<p>Høres det ut som noe tatt ut fra fantasien til George Orwell,
-forfatteren av dystopien 1984? Det er virkeligheten i Norge i dag,
-takket være bruken av statistikktjenester som Google Analytics.</p>
-
-<p><strong>Du kan beskytte deg</strong></p>
-
-<p>Men borgerne har et forsvar mot dette angrepet på privatsfæren.
-Dagens nettlesere har utvidelser som støtter å blokkere slik
-utlevering av informasjon. Personlig bruker jeg Privacy Badger,
-Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe
-tilsvarende. Merk at noen av verktøyene lekker informasjon, i tillegg
-til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen. I
-tillegg bør hver og en av oss sende inn protest til organisasjonene
-bak nettsteder som bidrar til dette inngrepet i privatsfæren.</p>
-
-<p><strong>Hvem bidrar til overvåkningen?</strong></p>
-
-<p>Takket være Ghostery la jeg merke til at flere og flere norske
-nettsteder begynte å la Google Analytics overvåke brukerne. Jeg ble
-nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske
-nettsteder, hovedsakelig offentlig forvaltning. Jeg laget et system
-for å koble seg opp automatisk og sjekke hvor nettstedene spredte
-informasjon om besøket. Jeg ble overrasket både over omfanget og hva
-slags nettsteder som rapporterer besøksinformasjon ut av landet.
-Omtrent 70 prosent av de 2700 sender informasjon til Google Analytics.
-Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset
-Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske
-regjering, de fleste politiske partier på Stortinget, NAV, Altinn,
-NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune,
-Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet,
-Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og
-Sivilforsvaret. Og det er mange flere.</p>
-
-<p>Hvordan kan det offentlige Norge omfavne en slik praksis? Det er
-gode hensikter bak. Google har laget en god tjeneste for
-nettstedseiere, der de uten å betale med noe annet enn en bit av de
-besøkenes privatsfære får tilgang til nyttig og presis statistikk over
-nettstedets bruk ved å besøke netttjenesten hos Google. De færreste
-merker ulempene angrepet på privatsfæren som nettstedene og Google
-utgjør.</p>
-
-<p><strong>Hvordan foregår det?</strong></p>
-
-<p>I nettsider kan nettsteder legge inn lenker til programkode som
-skal kjøres av brukerens nettleser. De som tar i bruk Google
-Analytics legger typisk inn lenke til et javascript-program hos Google
-som ber nettleseren ta kontakt med Google og dele IP-adresse, side
-besøkt, aktuelle cookies og endel informasjon om nettleseren med
-Google Analytics. Programmet trenger ikke være det samme for alle som
-henter det fra Google. Det finnes et Google Analytics-tilvalg kalt
-«anonymisering» som nettstedeier kan ta i bruk. Dette instruerer det
-omtalte programmet om å be Google slette deler av den oversendte
-IP-adressen. Full IP-adresse sendes likevel over og er tilgjengelig
-for alle som snapper opp informasjonen underveis.</p>
-
-<p>Takket være varsleren Edward Snowden, som bidro til uvurderlig
-dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for,
-vet vi at Google samarbeider med USAs etteretning som avlytter trafikk
-sendt til Google Analytics.</p>
-
-<p>Men allerede før Snowden var det bekreftet at både britiske GCHQ og
-USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom
-et av landene, i tillegg til at FRA i Sverige avlytter og lagrer
-trafikk som passerte grensa til Sverige.</p>
-
-<p>Og som
-<a href="http://www.dn.no/tekno/2013/02/03/amerikanerne-kan-se-hvert-ord-du-skriver">Datatilsynet
-sa til Dagens Næringsliv i 2013</a> kunne de vanskelig nekte bruk av
-skytjenester som Google Analytics når Norge var bundet av EUs «Safe
-Harbour»-avtale med USA. De måtte derfor se bort fra
-f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine
-vurderinger. Når nå EUs «Safe Harbour»-avtale er underkjent, og det
-foreslås å bruke individuell avtalerett mellom selskaper som juridisk
-grunnlag for å sende personopplysninger til USA, er det greit å huske
-på at FISAA-loven og andre som brukes av USA som grunnlag for
-masseovervåkning overstyrer slike avtaler.</p>
-
-<p>For øvrig burde varsleren Edward Snowden få politisk asyl i
-Norge.</p>
-</description>
- </item>
-
- <item>
- <title>TISA - nok en problematisk og hemmelig handelsavtale</title>
- <link>http://people.skolelinux.org/pere/blog/TISA___nok_en_problematisk_og_hemmelig_handelsavtale.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/TISA___nok_en_problematisk_og_hemmelig_handelsavtale.html</guid>
- <pubDate>Thu, 5 Nov 2015 09:20:00 +0100</pubDate>
- <description><p>Norge er aktiv i Trade in Services Agreement-forhandlingene, og
-regjeringen forteller at
-«<a href="https://www.regjeringen.no/no/tema/utenrikssaker/handelspolitikk/tisa/id2403335/">TISA
-vil sikre norske tjenesteeksportører forutsigbar og
-ikke-diskriminerende adgang til utenlandske tjenestemarkeder</a>».
-Det er mulig at det stemmer. Men den gjør mye mer enn det. Avtalen
-forhandles i hemmelighet, og kun takket være
-<a href="https://wikileaks.org/tisa/">Wikileaks</a> er
-utkast og biter kjent i offentligheten. Det som er blitt kjent er
-for eksempel at TISA kan
-<a href="https://www.techdirt.com/articles/20150604/06324931218/tisa-agreement-might-outlaw-governments-mandating-open-source-software-many-situations.shtml">blokkere
-myndigheter fra å kreve bruk av fri programvare i mange
-situasjoner</a>, hvilket vil fjerne muligheten vår til å ha kontroll
-over egne datasystemer i slike tilfeller. Den kan også
-<a href="https://www.eff.org/deeplinks/2015/05/tisa-yet-another-leaked-treaty-youve-never-heard-makes-secret-rules-internet">blokkere
-Norges mulighet til å holde kontroll med overføring av
-personinformasjon ut av landet</a>, hvilket Snowden-bekreftelsene har
-dokumentert er svært problematisk.
-
-<p>Jeg ble derfor veldig glad da jeg i dag ble tipset i dag om at det
-allerede finnes en aktiv organisasjon,
-<a href="http://www.folkeaksjonenmottisa.no/">Folkeaksjonen mot
-TISA</a>, som jobber for å hindre at Norge signerer på TISA-avtalen.
-Her må alle gode krefter jobbe sammen. Jeg skal sende dem litt
-penger, og se om jeg har kapasitet til å bidra med mer.</p>
+ <title>Experience and updated recipe for using the Signal app without a mobile phone</title>
+ <link>http://people.skolelinux.org/pere/blog/Experience_and_updated_recipe_for_using_the_Signal_app_without_a_mobile_phone.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Experience_and_updated_recipe_for_using_the_Signal_app_without_a_mobile_phone.html</guid>
+ <pubDate>Mon, 10 Oct 2016 11:30:00 +0200</pubDate>
+ <description><p>In July
+<a href="http://people.skolelinux.org/pere/blog/How_to_use_the_Signal_app_if_you_only_have_a_land_line__ie_no_mobile_phone_.html">I
+wrote how to get the Signal Chrome/Chromium app working</a> without
+the ability to receive SMS messages (aka without a cell phone). It is
+time to share some experiences and provide an updated setup.</p>
+
+<p>The Signal app have worked fine for several months now, and I use
+it regularly to chat with my loved ones. I had a major snag at the
+end of my summer vacation, when the the app completely forgot my
+setup, identity and keys. The reason behind this major mess was
+running out of disk space. To avoid that ever happening again I have
+started storing everything in <tt>userdata/</tt> in git, to be able to
+roll back to an earlier version if the files are wiped by mistake. I
+had to use it once after introducing the git backup. When rolling
+back to an earlier version, one need to use the 'reset session' option
+in Signal to get going, and notify the people you talk with about the
+problem. I assume there is some sequence number tracking in the
+protocol to detect rollback attacks. The git repository is rather big
+(674 MiB so far), but I have not tried to figure out if some of the
+content can be added to a .gitignore file due to lack of spare
+time.</p>
+
+<p>I've also hit the 90 days timeout blocking, and noticed that this
+make it impossible to send messages using Signal. I could still
+receive them, but had to patch the code with a new timestamp to send.
+I believe the timeout is added by the developers to force people to
+upgrade to the latest version of the app, even when there is no
+protocol changes, to reduce the version skew among the user base and
+thus try to keep the number of support requests down.</p>
+
+<p>Since my original recipe, the Signal source code changed slightly,
+making the old patch fail to apply cleanly. Below is an updated
+patch, including the shell wrapper I use to start Signal. The
+original version required a new user to locate the JavaScript console
+and call a function from there. I got help from a friend with more
+JavaScript knowledge than me to modify the code to provide a GUI
+button instead. This mean that to get started you just need to run
+the wrapper and click the 'Register without mobile phone' to get going
+now. I've also modified the timeout code to always set it to 90 days
+in the future, to avoid having to patch the code regularly.</p>
+
+<p>So, the updated recipe for Debian Jessie:</p>
+
+<ol>
+
+<li>First, install required packages to get the source code and the
+browser you need. Signal only work with Chrome/Chromium, as far as I
+know, so you need to install it.
+
+<pre>
+apt install git tor chromium
+git clone https://github.com/WhisperSystems/Signal-Desktop.git
+</pre></li>
+
+<li>Modify the source code using command listed in the the patch
+block below.</li>
+
+<li>Start Signal using the run-signal-app wrapper (for example using
+<tt>`pwd`/run-signal-app</tt>).
+
+<li>Click on the 'Register without mobile phone', will in a phone
+number you can receive calls to the next minute, receive the
+verification code and enter it into the form field and press
+'Register'. Note, the phone number you use will be user Signal
+username, ie the way others can find you on Signal.</li>
+
+<li>You can now use Signal to contact others. Note, new contacts do
+not show up in the contact list until you restart Signal, and there is
+no way to assign names to Contacts. There is also no way to create or
+update chat groups. I suspect this is because the web app do not have
+a associated contact database.</li>
+
+</ol>
+
+<p>I am still a bit uneasy about using Signal, because of the way its
+main author moxie0 reject federation and accept dependencies to major
+corporations like Google (part of the code is fetched from Google) and
+Amazon (the central coordination point is owned by Amazon). See for
+example
+<a href="https://github.com/LibreSignal/LibreSignal/issues/37">the
+LibreSignal issue tracker</a> for a thread documenting the authors
+view on these issues. But the network effect is strong in this case,
+and several of the people I want to communicate with already use
+Signal. Perhaps we can all move to <a href="https://ring.cx/">Ring</a>
+once it <a href="https://bugs.debian.org/830265">work on my
+laptop</a>? It already work on Windows and Android, and is included
+in <a href="https://tracker.debian.org/pkg/ring">Debian</a> and
+<a href="https://launchpad.net/ubuntu/+source/ring">Ubuntu</a>, but not
+working on Debian Stable.</p>
+
+<p>Anyway, this is the patch I apply to the Signal code to get it
+working. It switch to the production servers, disable to timeout,
+make registration easier and add the shell wrapper:</p>
+
+<pre>
+cd Signal-Desktop; cat &lt;&lt;EOF | patch -p1
+diff --git a/js/background.js b/js/background.js
+index 24b4c1d..579345f 100644
+--- a/js/background.js
++++ b/js/background.js
+@@ -33,9 +33,9 @@
+ });
+ });
+
+- var SERVER_URL = 'https://textsecure-service-staging.whispersystems.org';
++ var SERVER_URL = 'https://textsecure-service-ca.whispersystems.org';
+ var SERVER_PORTS = [80, 4433, 8443];
+- var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com';
++ var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments.s3.amazonaws.com';
+ var messageReceiver;
+ window.getSocketStatus = function() {
+ if (messageReceiver) {
+diff --git a/js/expire.js b/js/expire.js
+index 639aeae..beb91c3 100644
+--- a/js/expire.js
++++ b/js/expire.js
+@@ -1,6 +1,6 @@
+ ;(function() {
+ 'use strict';
+- var BUILD_EXPIRATION = 0;
++ var BUILD_EXPIRATION = Date.now() + (90 * 24 * 60 * 60 * 1000);
+
+ window.extension = window.extension || {};
+
+diff --git a/js/views/install_view.js b/js/views/install_view.js
+index 7816f4f..1d6233b 100644
+--- a/js/views/install_view.js
++++ b/js/views/install_view.js
+@@ -38,7 +38,8 @@
+ return {
+ 'click .step1': this.selectStep.bind(this, 1),
+ 'click .step2': this.selectStep.bind(this, 2),
+- 'click .step3': this.selectStep.bind(this, 3)
++ 'click .step3': this.selectStep.bind(this, 3),
++ 'click .callreg': function() { extension.install('standalone') },
+ };
+ },
+ clearQR: function() {
+diff --git a/options.html b/options.html
+index dc0f28e..8d709f6 100644
+--- a/options.html
++++ b/options.html
+@@ -14,7 +14,10 @@
+ &lt;div class='nav'>
+ &lt;h1>{{ installWelcome }}&lt;/h1>
+ &lt;p>{{ installTagline }}&lt;/p>
+- &lt;div> &lt;a class='button step2'>{{ installGetStartedButton }}&lt;/a> &lt;/div>
++ &lt;div> &lt;a class='button step2'>{{ installGetStartedButton }}&lt;/a>
++ &lt;br> &lt;a class="button callreg">Register without mobile phone&lt;/a>
++
++ &lt;/div>
+ &lt;span class='dot step1 selected'>&lt;/span>
+ &lt;span class='dot step2'>&lt;/span>
+ &lt;span class='dot step3'>&lt;/span>
+--- /dev/null 2016-10-07 09:55:13.730181472 +0200
++++ b/run-signal-app 2016-10-10 08:54:09.434172391 +0200
+@@ -0,0 +1,12 @@
++#!/bin/sh
++set -e
++cd $(dirname $0)
++mkdir -p userdata
++userdata="`pwd`/userdata"
++if [ -d "$userdata" ] && [ ! -d "$userdata/.git" ] ; then
++ (cd $userdata && git init)
++fi
++(cd $userdata && git add . && git commit -m "Current status." || true)
++exec chromium \
++ --proxy-server="socks://localhost:9050" \
++ --user-data-dir=$userdata --load-and-launch-app=`pwd`
+EOF
+chmod a+rx run-signal-app
+</pre>
+
+<p>As usual, if you use Bitcoin and want to show your support of my
+activities, please send Bitcoin donations to my address
+<b><a href="bitcoin:15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b&label=PetterReinholdtsenBlog">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b</a></b>.</p>
projects / homepage.git / blobdiff