X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/4acecc09480c0ac4bded29987ca1fcc2b4a4eef1..a343ea015bdc671ed8b4333d6ec8bb50c9bb811e:/blog/index.html diff --git a/blog/index.html b/blog/index.html index d373d62b04..507a2fb5d2 100644 --- a/blog/index.html +++ b/blog/index.html @@ -20,151 +20,86 @@
-
Hyperions magasin Pegasus går for Creative Commons
-
22nd November 2016
-

For noen dager siden ble jeg tipset av min venn Andreas -Aanerud om at magasinet -Pegasus skulle ta i bruk -Creative -Commons-lisensiering på sine artikler. Han fortalte at den -direkte årsaken var at han hadde blitt inspirert av å lese -boken -Fri kultur og foreslått endringen. Jeg ble veldig glad for å høre -dette, da det er det første konkrete tilfellet jeg har hørt om der den -norske oversettelsen av -Lawrence Lessigs bok Free Culture som jeg ga ut i fjor høst hadde -fått noen til å ta i bruk Creative Commons.

- -

Andreas fikk boken av meg som takk for at han inviterte meg til -The Gathering, og jeg er veldig -glad for at den falt i smak. Jeg ble nysgjerrig på hva som var -bakgrunnen for denne policy-endringen hos Hyperion og han sa seg -villig til å la seg intervjue til bloggen min.

- -
- -

Hvilke tanker gjorde du deg da boken lå i hånden første -gang?

- -

Jeg husker da jeg fikk boken, etter en omvisning på The Gathering i -2016, der jeg var Core Organizer. The Gathering er jo et sted hvor en -fremmer delingskultur, i alt fra kode, til løsninger og «hacks», så en -kan vel si at boken er veldig relevant!

- -

Mine første tanker om boken, var at den trengte et grafisk løft. -Selv har jeg dysleksi og er ikke verdens beste i å lese, men for meg -så skal ikke det bety at jeg ikke klarer å lese. Jeg har jo også mine -egne tanker om «Fri kultur», ettersom jeg har jobbet med noen norske -filmer via NRK og TV2 og nå sitter som en teknisk leder i -filmavdelingen til Schjærven Reklamebyrå.

- -

Har du lest boken, og hva tenker du om den nå?

- -

Jeg har lest boken, og for meg er det jo veldig moro å kunne si at -Disney var en pirat og nå ha bevisene. Men det å gå fra Disney via -RIAA, og så igjennom en jungel av teknikk og programmering og ende opp -med spørsmålet om vi alle piratkopierer litt, er enda bedre. For ja, -boken klarer å få frem en diskusjon om åndsverk på en god måte -gjennom en samling historier, men den viste meg også et bilde, hvor -teknologi blir kneblet, og ikke får lov til å utvikle seg, ettersom -«opphavsrettsinnehaverne» bryr seg mer om sin industri enn om verden -går fremover. Ta f.eks. internettradio! Hvorfor tuller vi med DAB+ -og alt det der, når radio kan være en app på alle telefoner i dag. -Men den største tanken som jeg satt igjen med, er at vi må få færre -advokater og flere tenkere som kan dra oss vekk fra de feilene vi er i -ferd med å ende opp i.

- -

Har budskapet i boken påvirker deg og det du holder på -med?

- -

The Gathering sin moderforening er -KANDU, som er et stolt medlem av Hyperion. Hyperion har et mandat igjennom -sitt interne magasin Pegasus å fremme Hyperion sine -medlemsarrangementer og kultur. Dette tror jeg er veldig viktig, og en -av de viktigste virkemidlene det magasinet nå har fått, er pålegget om -å publisere alt under de forskjellige Creative Commons -retningslinjer. Grunnen til at Pegasus kan velge fritt blant lisensene -til Creative Commons er deres bruk av freelancere m.m. som også må få -sine rettigheter dekket.

- -

Det er et steg i riktig retning som jeg håper, vil gi lokalaviser, -nasjonale aviser, bloggere m.m. muligheten til å referere til Pegasus -sitt innhold uten å måtte be om tillatelse først, som i bunnen vil -hjelpe oss å spre vår kultur i Hyperion.

- -

Hva fikk Pegasus til å vedta retninglinjer om bruk av -Creative Commons, og hvordan kom dere frem til en slik -policy?

- -

Dette skjedde på Hyperion sitt landsting, hvor jeg ønsket å fremme -Creative Commons som en retning som flere mener magasinet burde ta, -hvordan Pegasus tar det i bruk er mer opp til redaksjonen. Det som var -trist er at en del har misforstått hva Creative Commons er. Vi fikk -en veldig het «debatt» på facebook i etterkant hvor noen blant annet -mener at dette vedtaket har drept Pegasus.

- -

Personlig syntes jeg disse reaksjonene er rare, ettersom Pegasus er -et medlemsmagasin og magasinet sitt mål er å spre vår fantastiske -kultur. Jeg mener at Ceative Commons-bruksvilkår på artikler skaper -en veldig god mulighet til å spre denne kulturen. Det gjør at større -og mindre aviser kan låne artikler fra medlemsmagasinet og publisere -det hos seg, slik at effekten nettopp er fremme vår kultur.

- -

Jeg gleder meg til å se hvordan redaksjonen håndhever bruken av -Creative Commons.

- -

Hvem tror du kunne ha mest nytte av å lese Fri -kultur?

- -

Jeg tror at boken Fri kultur bør leses av de som ønsker en debatt -om nye medier, samt de som jobber med medier og føler seg «truet» av -utviklingen. Kanskje det kan være et lysglimt om at vi må heller være -med å utvikle oss, enn å stoppe opp og «beskytte» våre eier-, penge- -og materielle interesser.

- -

Spørsmålet for redaksjoner vil vel være om de «tjener» på klikk og -sine artikler via annonser, i så fall ville jeg tenkt litt rundt -spredningen. Nettavisen Digi.no gjorde en analyse i 2015 som var -veldig fin. Hvor de måtte konkludere med at de fikk ut budskapet -bedre, men de mistet inntekter på annonsevisning.

- -

Derfor for et magasin som skal «spre» kultur, så burde Creative -Commons være en no-brainer, en kunne også kanskje argumentere med at -NRK også burde gjøre dette, ettersom de ikke lever av reklame, og vi -betaler for innholdet deres.

- -

Kommer du til å anbefale boken til noen du -kjenner?

- -

Absolutt! Jeg har faktisk tenkt å gi den videre som en vandrebok, -til redaksjonen i Pegasus slik at de kan lese den og få noen ider og -tanker om fri kultur.

- -

Du sier at boken klarer å få frem viktig en diskusjon om - vern av åndsverk. Boken er jo skrevet med bakgrunn i USAs - Copyright-lovgiving og ikke den norske åndsverksloven. Hva gjør at - du mener boken er relevant for den norske debatten?

- -

En av tingene boken pekte på var tanken om hvor opphavsretten skal -ligge. Skal den ligge hos den som skriver sangen, den som fremfører -eller den som tar opp sangen. Og når spørsmålet kom tilbake i en -software-utgave, «hvordan kan Adobe styre opphavsretten i sin eBook -Publisher» så føler jeg at vi kommer inn på spennende tanker som jeg -mener vi glemmer i norsk åndsverksdebatt. USA har rett å slett et -«større bilde» som kanskje vi kan ta lærdom av.

- -
- -

Jeg er veldig spent på hvordan redaksjonen i Pegasus kommer til å -ta i bruk Creative Commons, og gleder meg til neste tegn på at -bokutgivelsen har fått noen til å tenke mer på problemene med dagens -åndsverksvern.

+
A day in court challenging seizure of popcorn-time.no for #domstolkontroll
+
3rd February 2017
+

+ +

On Wednesday, I spent the entire day in court in Follo Tingrett +representing the member association +NUUG, alongside the member +association EFN and the DNS registrar +IMC, challenging the seizure of the DNS name popcorn-time.no. It +was interesting to sit in a court of law for the first time in my +life. Our team can be seen in the picture above: attorney Ola +Tellesbø, EFN board member Tom Fredrik Blenning, IMC CEO Morten Emil +Eriksen and NUUG board member Petter Reinholdtsen.

+ +

The +case at hand is that the Norwegian National Authority for +Investigation and Prosecution of Economic and Environmental Crime (aka +Økokrim) decided on their own, to seize a DNS domain early last +year, without following +the +official policy of the Norwegian DNS authority which require a +court decision. The web site in question was a site covering Popcorn +Time. And Popcorn Time is the name of a technology with both legal +and illegal applications. Popcorn Time is a client combining +searching a Bittorrent directory available on the Internet with +downloading/distribute content via Bittorrent and playing the +downloaded content on screen. It can be used illegally if it is used +to distribute content against the will of the right holder, but it can +also be used legally to play a lot of content, for example the +millions of movies +available from the +Internet Archive or the collection +available from Vodo. We created +a +video demonstrating legally use of Popcorn Time and played it in +Court. It can of course be downloaded using Bittorrent.

+ +

I did not quite know what to expect from a day in court. The +government held on to their version of the story and we held on to +ours, and I hope the judge is able to make sense of it all. We will +know in two weeks time. Unfortunately I do not have high hopes, as +the Government have the upper hand here with more knowledge about the +case, better training in handling criminal law and in general higher +standing in the courts than fairly unknown DNS registrar and member +associations. It is expensive to be right also in Norway. So far the +case have cost more than NOK 70 000,-. To help fund the case, NUUG +and EFN have asked for donations, and managed to collect around NOK 25 +000,- so far. Given the presentation from the Government, I expect +the government to appeal if the case go our way. And if the case do +not go our way, I hope we have enough funding to appeal.

+ +

From the other side came two people from Økokrim. On the benches, +appearing to be part of the group from the government were two people +from the Simonsen Vogt Wiik lawyer office, and three others I am not +quite sure who was. Økokrim had proposed to present two witnesses +from The Motion Picture Association, but this was rejected because +they did not speak Norwegian and it was a bit late to bring in a +translator, but perhaps the two from MPA were present anyway. All +seven appeared to know each other. Good to see the case is take +seriously.

+ +

If you, like me, believe the courts should be involved before a DNS +domain is hijacked by the government, or you believe the Popcorn Time +technology have a lot of useful and legal applications, I suggest you +too donate to +the NUUG defense fund. Both Bitcoin and bank transfer are +available. If NUUG get more than we need for the legal action (very +unlikely), the rest will be spend promoting free software, open +standards and unix-like operating systems in Norway, so no matter what +happens the money will be put to good use.

+ +

If you want to lean more about the case, I recommend you check out +the blog +posts from NUUG covering the case. They cover the legal arguments +on both sides.

- Tags: freeculture, norsk. + Tags: english, nuug, offentlig innsyn, opphavsrett.
@@ -172,45 +107,41 @@ bokutgivelsen har fått noen til å tenke mer på problemene med dagens
-
Coz profiler for multi-threaded software is now in Debian
-
13th November 2016
-

The Coz profiler, a nice -profiler able to run benchmarking experiments on the instrumented -multi-threaded program, finally -made it into -Debian unstable yesterday. Lluís Vilanova and I have spent many -months since -I -blogged about the coz tool in August working with upstream to make -it suitable for Debian. There are still issues with clang -compatibility, inline assembly only working x86 and minimized -JavaScript libraries.

- -

To test it, install 'coz-profiler' using apt and run it like this:

- -

-coz run --- /path/to/binary-with-debug-info -

- -

This will produce a profile.coz file in the current working -directory with the profiling information. This is then given to a -JavaScript application provided in the package and available from -a project web page. -To start the local copy, invoke it in a browser like this:

- -

-sensible-browser /usr/share/coz-profiler/viewer/index.htm -

- -

See the project home page and the -USENIX -;login: article on Coz for more information on how it is -working.

+
Nasjonalbiblioteket avslutter sin ulovlige bruk av Google Skjemaer
+
12th January 2017
+

I dag fikk jeg en skikkelig gladmelding. Bakgrunnen er at før jul +arrangerte Nasjonalbiblioteket +et +seminar om sitt knakende gode tiltak «verksregister». Eneste +måten å melde seg på dette seminaret var å sende personopplysninger +til Google via Google Skjemaer. Dette syntes jeg var tvilsom praksis, +da det bør være mulig å delta på seminarer arrangert av det offentlige +uten å måtte dele sine interesser, posisjon og andre +personopplysninger med Google. Jeg ba derfor om innsyn via +Mimes brønn i +avtaler +og vurderinger Nasjonalbiblioteket hadde rundt dette. +Personopplysningsloven legger klare rammer for hva som må være på +plass før en kan be tredjeparter, spesielt i utlandet, behandle +personopplysninger på sine vegne, så det burde eksistere grundig +dokumentasjon før noe slikt kan bli lovlig. To jurister hos +Nasjonalbiblioteket mente først dette var helt i orden, og at Googles +standardavtale kunne brukes som databehandlingsavtale. Det syntes jeg +var merkelig, men har ikke hatt kapasitet til å følge opp saken før +for to dager siden.

+ +

Gladnyheten i dag, som kom etter at jeg tipset Nasjonalbiblioteket +om at Datatilsynet underkjente Googles standardavtaler som +databehandleravtaler i 2011, er at Nasjonalbiblioteket har bestemt seg +for å avslutte bruken av Googles Skjemaer/Apps og gå i dialog med DIFI +for å finne bedre måter å håndtere påmeldinger i tråd med +personopplysningsloven. Det er fantastisk å se at av og til hjelper +det å spørre hva i alle dager det offentlige holder på med.

- Tags: debian, english. + Tags: norsk, personvern, surveillance, web.
@@ -218,118 +149,86 @@ working.

-
How to talk with your loved ones in private
-
7th November 2016
-

A few days ago I ran a very biased and informal survey to get an -idea about what options are being used to communicate with end to end -encryption with friends and family. I explicitly asked people not to -list options only used in a work setting. The background is the -uneasy feeling I get when using Signal, a feeling shared by others as -a blog post from Sander Venima about -why -he do not recommend Signal anymore (with -feedback from -the Signal author available from ycombinator). I wanted an -overview of the options being used, and hope to include those options -in a less biased survey later on. So far I have not taken the time to -look into the individual proposed systems. They range from text -sharing web pages, via file sharing and email to instant messaging, -VOIP and video conferencing. For those considering which system to -use, it is also useful to have a look at -the EFF Secure -messaging scorecard which is slightly out of date but still -provide valuable information.

- -

So, on to the list. There were some used by many, some used by a -few, some rarely used ones and a few mentioned but without anyone -claiming to use them. Notice the grouping is in reality quite random -given the biased self selected set of participants. First the ones -used by many:

- -
    +
    Bryter NAV sin egen personvernerklæring?
    +
    11th January 2017
    +

    Jeg leste med interesse en nyhetssak hos +digi.no +og +NRK +om at det ikke bare er meg, men at også NAV bedriver geolokalisering +av IP-adresser, og at det gjøres analyse av IP-adressene til de som +sendes inn meldekort for å se om meldekortet sendes inn fra +utenlandske IP-adresser. Politiadvokat i Drammen, Hans Lyder Haare, +er sitert i NRK på at «De to er jo blant annet avslørt av +IP-adresser. At man ser at meldekortet kommer fra utlandet.»

    + +

    Jeg synes det er fint at det blir bedre kjent at IP-adresser +knyttes til enkeltpersoner og at innsamlet informasjon brukes til å +stedsbestemme personer også av aktører her i Norge. Jeg ser det som +nok et argument for å bruke +Tor så mye som mulig for å +gjøre gjøre IP-lokalisering vanskeligere, slik at en kan beskytte sin +privatsfære og unngå å dele sin fysiske plassering med +uvedkommede.

    + +

    Men det er en ting som bekymrer meg rundt denne nyheten. Jeg ble +tipset (takk #nuug) om +NAVs +personvernerklæring, som under punktet «Personvern og statistikk» +lyder:

    -
  • Signal
    • -
  • Email w/OpenPGP (Enigmail, GPGSuite,etc)
    • -
  • Whatsapp
    • -
  • IRC w/OTR
    • -
  • XMPP w/OTR
    • - -
- -

Then the ones used by a few.

- - +

-

Then the ones used by even fewer people

+

«Når du besøker nav.no, etterlater du deg elektroniske spor. Sporene +dannes fordi din nettleser automatisk sender en rekke opplysninger til +NAVs tjener (server-maskin) hver gang du ber om å få vist en side. Det +er eksempelvis opplysninger om hvilken nettleser og -versjon du +bruker, og din internettadresse (ip-adresse). For hver side som vises, +lagres følgende opplysninger:

-

And finally the ones mentioned by not marked as used by -anyone. This might be a mistake, perhaps the person adding the entry -forgot to flag it as used?

- -
    +

    Ingen av opplysningene vil bli brukt til å identifisere +enkeltpersoner. NAV bruker disse opplysningene til å generere en +samlet statistikk som blant annet viser hvilke sider som er mest +populære. Statistikken er et redskap til å forbedre våre +tjenester.»

    -
  • Email w/Certificates S/MIME
    • -
  • Crypho
    • -
  • CryptPad
    • -
  • ricochet
    • - -
+

-

Given the network effect it seem obvious to me that we as a society -have been divided and conquered by those interested in keeping -encrypted and secure communication away from the masses. The -finishing remarks from Aral Balkan -in his talk "Free is a lie" about the usability of free software -really come into effect when you want to communicate in private with -your friends and family. We can not expect them to allow the -usability of communication tool to block their ability to talk to -their loved ones.

- -

Note for example the option IRC w/OTR. Most IRC clients do not -have OTR support, so in most cases OTR would not be an option, even if -you wanted to. In my personal experience, about 1 in 20 I talk to -have a IRC client with OTR. For private communication to really be -available, most people to talk to must have the option in their -currently used client. I can not simply ask my family to install an -IRC client. I need to guide them through a technical multi-step -process of adding extensions to the client to get them going. This is -a non-starter for most.

- -

I would like to be able to do video phone calls, audio phone calls, -exchange instant messages and share files with my loved ones, without -being forced to share with people I do not know. I do not want to -share the content of the conversations, and I do not want to share who -I communicate with or the fact that I communicate with someone. -Without all these factors in place, my private life is being more or -less invaded.

+

Jeg klarer ikke helt å se hvordan analyse av de besøkendes +IP-adresser for å se hvem som sender inn meldekort via web fra en +IP-adresse i utlandet kan gjøres uten å komme i strid med påstanden om +at «ingen av opplysningene vil bli brukt til å identifisere +enkeltpersoner». Det virker dermed for meg som at NAV bryter sine +egen personvernerklæring, hvilket +Datatilsynet +fortalte meg i starten av desember antagelig er brudd på +personopplysningsloven. + +

I tillegg er personvernerklæringen ganske misvisende i og med at +NAVs nettsider ikke bare forsyner NAV med personopplysninger, men i +tillegg ber brukernes nettleser kontakte fem andre nettjenere +(script.hotjar.com, static.hotjar.com, vars.hotjar.com, +www.google-analytics.com og www.googletagmanager.com), slik at +personopplysninger blir gjort tilgjengelig for selskapene Hotjar og +Google , og alle som kan lytte på trafikken på veien (som FRA, GCHQ og +NSA). Jeg klarer heller ikke se hvordan slikt spredning av +personopplysninger kan være i tråd med kravene i +personopplysningloven, eller i tråd med NAVs personvernerklæring.

+ +

Kanskje NAV bør ta en nøye titt på sin personvernerklæring? Eller +kanskje Datatilsynet bør gjøre det?

- Tags: english, personvern, sikkerhet, surveillance. + Tags: norsk, nuug, personvern, surveillance.
@@ -337,65 +236,164 @@ less invaded.

-
My own self balancing Lego Segway
-
4th November 2016
-

A while back I received a Gyro sensor for the NXT -Mindstorms controller as a birthday -present. It had been on my wishlist for a while, because I wanted to -build a Segway like balancing lego robot. I had already built -a simple balancing -robot with the kids, using the light/color sensor included in the -NXT kit as the balance sensor, but it was not working very well. It -could balance for a while, but was very sensitive to the light -condition in the room and the reflective properties of the surface and -would fall over after a short while. I wanted something more robust, -and had -the -gyro sensor from HiTechnic I believed would solve it on my -wishlist for some years before it suddenly showed up as a gift from my -loved ones. :)

- -

Unfortunately I have not had time to sit down and play with it -since then. But that changed some days ago, when I was searching for -lego segway information and came across a recipe from HiTechnic for -building -the -HTWay, a segway like balancing robot. Build instructions and -source -code was included, so it was just a question of putting it all -together. And thanks to the great work of many Debian developers, the -compiler needed to build the source for the NXT is already included in -Debian, so I was read to go in less than an hour. The resulting robot -do not look very impressive in its simplicity:

- -

- -

Because I lack the infrared sensor used to control the robot in the -design from HiTechnic, I had to comment out the last task -(taskControl). I simply placed /* and */ around it get the program -working without that sensor present. Now it balances just fine until -the battery status run low:

- -

- -

Now we would like to teach it how to follow a line and take remote -control instructions using the included Bluetooth receiver in the NXT.

- -

If you, like me, love LEGO and want to make sure we find the tools -they need to work with LEGO in Debian and all our derivative -distributions like Ubuntu, check out -the LEGO designers -project page and join the Debian LEGO team. Personally I own a -RCX and NXT controller (no EV3), and would like to make sure the -Debian tools needed to program the systems I own work as they -should.

+
Where did that package go? — geolocated IP traceroute
+
9th January 2017
+

Did you ever wonder where the web trafic really flow to reach the +web servers, and who own the network equipment it is flowing through? +It is possible to get a glimpse of this from using traceroute, but it +is hard to find all the details. Many years ago, I wrote a system to +map the Norwegian Internet (trying to figure out if our plans for a +network game service would get low enough latency, and who we needed +to talk to about setting up game servers close to the users. Back +then I used traceroute output from many locations (I asked my friends +to run a script and send me their traceroute output) to create the +graph and the map. The output from traceroute typically look like +this: + +

+traceroute to www.stortinget.no (85.88.67.10), 30 hops max, 60 byte packets
+ 1  uio-gw10.uio.no (129.240.202.1)  0.447 ms  0.486 ms  0.621 ms
+ 2  uio-gw8.uio.no (129.240.24.229)  0.467 ms  0.578 ms  0.675 ms
+ 3  oslo-gw1.uninett.no (128.39.65.17)  0.385 ms  0.373 ms  0.358 ms
+ 4  te3-1-2.br1.fn3.as2116.net (193.156.90.3)  1.174 ms  1.172 ms  1.153 ms
+ 5  he16-1-1.cr1.san110.as2116.net (195.0.244.234)  2.627 ms he16-1-1.cr2.oslosda310.as2116.net (195.0.244.48)  3.172 ms he16-1-1.cr1.san110.as2116.net (195.0.244.234)  2.857 ms
+ 6  ae1.ar8.oslosda310.as2116.net (195.0.242.39)  0.662 ms  0.637 ms ae0.ar8.oslosda310.as2116.net (195.0.242.23)  0.622 ms
+ 7  89.191.10.146 (89.191.10.146)  0.931 ms  0.917 ms  0.955 ms
+ 8  * * *
+ 9  * * *
+[...]
+

+ +

This show the DNS names and IP addresses of (at least some of the) +network equipment involved in getting the data traffic from me to the +www.stortinget.no server, and how long it took in milliseconds for a +package to reach the equipment and return to me. Three packages are +sent, and some times the packages do not follow the same path. This +is shown for hop 5, where three different IP addresses replied to the +traceroute request.

+ +

There are many ways to measure trace routes. Other good traceroute +implementations I use are traceroute (using ICMP packages) mtr (can do +both ICMP, UDP and TCP) and scapy (python library with ICMP, UDP, TCP +traceroute and a lot of other capabilities). All of them are easily +available in Debian.

+ +

This time around, I wanted to know the geographic location of +different route points, to visualize how visiting a web page spread +information about the visit to a lot of servers around the globe. The +background is that a web site today often will ask the browser to get +from many servers the parts (for example HTML, JSON, fonts, +JavaScript, CSS, video) required to display the content. This will +leak information about the visit to those controlling these servers +and anyone able to peek at the data traffic passing by (like your ISP, +the ISPs backbone provider, FRA, GCHQ, NSA and others).

+ +

Lets pick an example, the Norwegian parliament web site +www.stortinget.no. It is read daily by all members of parliament and +their staff, as well as political journalists, activits and many other +citizens of Norway. A visit to the www.stortinget.no web site will +ask your browser to contact 8 other servers: ajax.googleapis.com, +insights.hotjar.com, script.hotjar.com, static.hotjar.com, +stats.g.doubleclick.net, www.google-analytics.com, +www.googletagmanager.com and www.netigate.se. I extracted this by +asking PhantomJS to visit the +Stortinget web page and tell me all the URLs PhantomJS downloaded to +render the page (in HAR format using +their +netsniff example. I am very grateful to Gorm for showing me how +to do this). My goal is to visualize network traces to all IP +addresses behind these DNS names, do show where visitors personal +information is spread when visiting the page.

+ +

map of combined traces for URLs used by www.stortinget.no using GeoIP

+ +

When I had a look around for options, I could not find any good +free software tools to do this, and decided I needed my own traceroute +wrapper outputting KML based on locations looked up using GeoIP. KML +is easy to work with and easy to generate, and understood by several +of the GIS tools I have available. I got good help from by NUUG +colleague Anders Einar with this, and the result can be seen in +my +kmltraceroute git repository. Unfortunately, the quality of the +free GeoIP databases I could find (and the for-pay databases my +friends had access to) is not up to the task. The IP addresses of +central Internet infrastructure would typically be placed near the +controlling companies main office, and not where the router is really +located, as you can see from the +KML file I created using the GeoLite City dataset from MaxMind. + +

scapy traceroute graph for URLs used by www.stortinget.no

+ +

I also had a look at the visual traceroute graph created by +the scrapy project, +showing IP network ownership (aka AS owner) for the IP address in +question. +The +graph display a lot of useful information about the traceroute in SVG +format, and give a good indication on who control the network +equipment involved, but it do not include geolocation. This graph +make it possible to see the information is made available at least for +UNINETT, Catchcom, Stortinget, Nordunet, Google, Amazon, Telia, Level +3 Communications and NetDNA.

+ +

example geotraceroute view for www.stortinget.no

+ +

In the process, I came across the +web service GeoTraceroute by +Salim Gasmi. Its methology of combining guesses based on DNS names, +various location databases and finally use latecy times to rule out +candidate locations seemed to do a very good job of guessing correct +geolocation. But it could only do one trace at the time, did not have +a sensor in Norway and did not make the geolocations easily available +for postprocessing. So I contacted the developer and asked if he +would be willing to share the code (he refused until he had time to +clean it up), but he was interested in providing the geolocations in a +machine readable format, and willing to set up a sensor in Norway. So +since yesterday, it is possible to run traces from Norway in this +service thanks to a sensor node set up by +the NUUG assosiation, and get the +trace in KML format for further processing.

+ +

map of combined traces for URLs used by www.stortinget.no using geotraceroute

+ +

Here we can see a lot of trafic passes Sweden on its way to +Denmark, Germany, Holland and Ireland. Plenty of places where the +Snowden confirmations verified the traffic is read by various actors +without your best interest as their top priority.

+ +

Combining KML files is trivial using a text editor, so I could loop +over all the hosts behind the urls imported by www.stortinget.no and +ask for the KML file from GeoTraceroute, and create a combined KML +file with all the traces (unfortunately only one of the IP addresses +behind the DNS name is traced this time. To get them all, one would +have to request traces using IP number instead of DNS names from +GeoTraceroute). That might be the next step in this project.

+ +

Armed with these tools, I find it a lot easier to figure out where +the IP traffic moves and who control the boxes involved in moving it. +And every time the link crosses for example the Swedish border, we can +be sure Swedish Signal Intelligence (FRA) is listening, as GCHQ do in +Britain and NSA in USA and cables around the globe. (Hm, what should +we tell them? :) Keep that in mind if you ever send anything +unencrypted over the Internet.

+ +

PS: KML files are drawn using +the KML viewer from Ivan +Rublev, as it was less cluttered than the local Linux application +Marble. There are heaps of other options too.

+ +

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

- Tags: debian, english, robot. + Tags: debian, english, kart, nuug, personvern, stortinget, surveillance, web.
@@ -403,69 +401,77 @@ should.

-
Aktivitetsbånd som beskytter privatsfæren
-
3rd November 2016
-

Jeg ble så imponert over -dagens -gladnyhet på NRK, om at Forbrukerrådet klager inn vilkårene for -bruk av aktivitetsbånd fra Fitbit, Garmin, Jawbone og Mio til -Datatilsynet og forbrukerombudet, at jeg sendte følgende brev til -forbrukerrådet for å uttrykke min støtte: +

Introducing ical-archiver to split out old iCalendar entries
+
4th January 2017
+

Do you have a large iCalendar +file with lots of old entries, and would like to archive them to save +space and resources? At least those of us using KOrganizer know that +turning on and off an event set become slower and slower the more +entries are in the set. While working on migrating our calendars to a +Radicale CalDAV server on our +Freedombox server, my +loved one wondered if I could find a way to split up the calendar file +she had in KOrganizer, and I set out to write a tool. I spent a few +days writing and polishing the system, and it is now ready for general +consumption. The +code for +ical-archiver is publicly available from a git repository on +github. The system is written in Python and depend on +the vobject Python +module.

+ +

To use it, locate the iCalendar file you want to operate on and +give it as an argument to the ical-archiver script. This will +generate a set of new files, one file per component type per year for +all components expiring more than two years in the past. The vevent, +vtodo and vjournal entries are handled by the script. The remaining +entries are stored in a 'remaining' file.

+ +

This is what a test run can look like: -

+

+% ical-archiver t/2004-2016.ics 
+Found 3612 vevents
+Found 6 vtodos
+Found 2 vjournals
+Writing t/2004-2016.ics-subset-vevent-2004.ics
+Writing t/2004-2016.ics-subset-vevent-2005.ics
+Writing t/2004-2016.ics-subset-vevent-2006.ics
+Writing t/2004-2016.ics-subset-vevent-2007.ics
+Writing t/2004-2016.ics-subset-vevent-2008.ics
+Writing t/2004-2016.ics-subset-vevent-2009.ics
+Writing t/2004-2016.ics-subset-vevent-2010.ics
+Writing t/2004-2016.ics-subset-vevent-2011.ics
+Writing t/2004-2016.ics-subset-vevent-2012.ics
+Writing t/2004-2016.ics-subset-vevent-2013.ics
+Writing t/2004-2016.ics-subset-vevent-2014.ics
+Writing t/2004-2016.ics-subset-vjournal-2007.ics
+Writing t/2004-2016.ics-subset-vjournal-2011.ics
+Writing t/2004-2016.ics-subset-vtodo-2012.ics
+Writing t/2004-2016.ics-remaining.ics
+%
+

-

Jeg ble veldig glad over å lese at Forbrukerrådet -klager -inn flere aktivitetsbånd til Datatilsynet for dårlige vilkår. Jeg -har ønsket meg et aktivitetsbånd som kan måle puls, bevegelse og -gjerne også andre helserelaterte indikatorer en stund nå. De eneste -jeg har funnet i salg gjør, som dere også har oppdaget, graverende -inngrep i privatsfæren og sender informasjonen ut av huset til folk og -organisasjoner jeg ikke ønsker å dele aktivitets- og helseinformasjon -med. Jeg ønsker et alternativ som ikke sender informasjon til -skyen, men derimot bruker -en -fritt og åpent standardisert protokoll (eller i det minste en -dokumentert protokoll uten patent- og opphavsrettslige -bruksbegrensinger) til å kommunisere med datautstyr jeg kontrollerer. -Er jo ikke interessert i å betale noen for å tilrøve seg -personopplysninger fra meg. Desverre har jeg ikke funnet noe -alternativ så langt.

- -

Det holder ikke å endre på bruksvilkårene for enhetene, slik -Datatilsynet ofte legger opp til i sin behandling, når de gjør slik -f.eks. Fitbit (den jeg har sett mest på). Fitbit krypterer -informasjonen på enheten og sender den kryptert til leverandøren. Det -gjør det i praksis umulig både å sjekke hva slags informasjon som -sendes over, og umulig å ta imot informasjonen selv i stedet for -Fitbit. Uansett hva slags historie som forteller i bruksvilkårene er -en jo både prisgitt leverandørens godvilje og at de ikke tvinges av -sitt lands myndigheter til å lyve til sine kunder om hvorvidt -personopplysninger spres ut over det bruksvilkårene sier. Det er -veldokumentert hvordan f.eks. USA tvinger selskaper vha. såkalte -National security letters til å utlevere personopplysninger samtidig -som de ikke får lov til å fortelle dette til kundene sine.

- -

Stå på, jeg er veldig glade for at dere har sett på saken. Vet -dere om aktivitetsbånd i salg i dag som ikke tvinger en til å utlevere -aktivitets- og helseopplysninger med leverandøren?

+

As you can see, the original file is untouched and new files are +written with names derived from the original file. If you are happy +with their content, the *-remaining.ics file can replace the original +the the others can be archived or imported as historical calendar +collections.

-
+

The script should probably be improved a bit. The error handling +when discovering broken entries is not good, and I am not sure yet if +it make sense to split different entry types into separate files or +not. The program is thus likely to change. If you find it +interesting, please get in touch. :)

-

Jeg håper en konkurrent som respekterer kundenes privatliv klarer å -nå opp i markedet, slik at det finnes et reelt alternativ for oss som -har full tillit til at skyleverandører vil prioritere egen inntjening -og myndighetspålegg langt foran kundenes rett til privatliv. Jeg har -ingen tiltro til at Datatilsynet vil kreve noe mer enn at vilkårene -endres slik at de forklarer eksplisitt i hvor stor grad bruk av -produktene utraderer privatsfæren til kundene. Det vil nok gjøre de -innklagede armbåndene «lovlige», men fortsatt tvinge kundene til å -dele sine personopplysninger med leverandøren.

+

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

- Tags: norsk, personvern, sikkerhet, surveillance. + Tags: english, standard.
@@ -473,180 +479,87 @@ dele sine personopplysninger med leverandøren.

-
Experience and updated recipe for using the Signal app without a mobile phone
-
10th October 2016
-

In July -I -wrote how to get the Signal Chrome/Chromium app working without -the ability to receive SMS messages (aka without a cell phone). It is -time to share some experiences and provide an updated setup.

- -

The Signal app have worked fine for several months now, and I use -it regularly to chat with my loved ones. I had a major snag at the -end of my summer vacation, when the the app completely forgot my -setup, identity and keys. The reason behind this major mess was -running out of disk space. To avoid that ever happening again I have -started storing everything in userdata/ in git, to be able to -roll back to an earlier version if the files are wiped by mistake. I -had to use it once after introducing the git backup. When rolling -back to an earlier version, one need to use the 'reset session' option -in Signal to get going, and notify the people you talk with about the -problem. I assume there is some sequence number tracking in the -protocol to detect rollback attacks. The git repository is rather big -(674 MiB so far), but I have not tried to figure out if some of the -content can be added to a .gitignore file due to lack of spare -time.

- -

I've also hit the 90 days timeout blocking, and noticed that this -make it impossible to send messages using Signal. I could still -receive them, but had to patch the code with a new timestamp to send. -I believe the timeout is added by the developers to force people to -upgrade to the latest version of the app, even when there is no -protocol changes, to reduce the version skew among the user base and -thus try to keep the number of support requests down.

- -

Since my original recipe, the Signal source code changed slightly, -making the old patch fail to apply cleanly. Below is an updated -patch, including the shell wrapper I use to start Signal. The -original version required a new user to locate the JavaScript console -and call a function from there. I got help from a friend with more -JavaScript knowledge than me to modify the code to provide a GUI -button instead. This mean that to get started you just need to run -the wrapper and click the 'Register without mobile phone' to get going -now. I've also modified the timeout code to always set it to 90 days -in the future, to avoid having to patch the code regularly.

- -

So, the updated recipe for Debian Jessie:

- -
    - -
  1. First, install required packages to get the source code and the -browser you need. Signal only work with Chrome/Chromium, as far as I -know, so you need to install it. - -
    -apt install git tor chromium
-git clone https://github.com/WhisperSystems/Signal-Desktop.git
-
    2. - -
  2. Modify the source code using command listed in the the patch -block below.
    3. - -
  3. Start Signal using the run-signal-app wrapper (for example using -`pwd`/run-signal-app). - -
  4. Click on the 'Register without mobile phone', will in a phone -number you can receive calls to the next minute, receive the -verification code and enter it into the form field and press -'Register'. Note, the phone number you use will be user Signal -username, ie the way others can find you on Signal.
    5. - -
  5. You can now use Signal to contact others. Note, new contacts do -not show up in the contact list until you restart Signal, and there is -no way to assign names to Contacts. There is also no way to create or -update chat groups. I suspect this is because the web app do not have -a associated contact database.
    6. - -
- -

I am still a bit uneasy about using Signal, because of the way its -main author moxie0 reject federation and accept dependencies to major -corporations like Google (part of the code is fetched from Google) and -Amazon (the central coordination point is owned by Amazon). See for -example -the -LibreSignal issue tracker for a thread documenting the authors -view on these issues. But the network effect is strong in this case, -and several of the people I want to communicate with already use -Signal. Perhaps we can all move to Ring -once it work on my -laptop? It already work on Windows and Android, and is included -in Debian and -Ubuntu, but not -working on Debian Stable.

- -

Anyway, this is the patch I apply to the Signal code to get it -working. It switch to the production servers, disable to timeout, -make registration easier and add the shell wrapper:

- -
-cd Signal-Desktop; cat <<EOF | patch -p1
-diff --git a/js/background.js b/js/background.js
-index 24b4c1d..579345f 100644
---- a/js/background.js
-+++ b/js/background.js
-@@ -33,9 +33,9 @@
-         });
-     });
- 
--    var SERVER_URL = 'https://textsecure-service-staging.whispersystems.org';
-+    var SERVER_URL = 'https://textsecure-service-ca.whispersystems.org';
-     var SERVER_PORTS = [80, 4433, 8443];
--    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com';
-+    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments.s3.amazonaws.com';
-     var messageReceiver;
-     window.getSocketStatus = function() {
-         if (messageReceiver) {
-diff --git a/js/expire.js b/js/expire.js
-index 639aeae..beb91c3 100644
---- a/js/expire.js
-+++ b/js/expire.js
-@@ -1,6 +1,6 @@
- ;(function() {
-     'use strict';
--    var BUILD_EXPIRATION = 0;
-+    var BUILD_EXPIRATION = Date.now() + (90 * 24 * 60 * 60 * 1000);
- 
-     window.extension = window.extension || {};
- 
-diff --git a/js/views/install_view.js b/js/views/install_view.js
-index 7816f4f..1d6233b 100644
---- a/js/views/install_view.js
-+++ b/js/views/install_view.js
-@@ -38,7 +38,8 @@
-             return {
-                 'click .step1': this.selectStep.bind(this, 1),
-                 'click .step2': this.selectStep.bind(this, 2),
--                'click .step3': this.selectStep.bind(this, 3)
-+                'click .step3': this.selectStep.bind(this, 3),
-+                'click .callreg': function() { extension.install('standalone') },
-             };
-         },
-         clearQR: function() {
-diff --git a/options.html b/options.html
-index dc0f28e..8d709f6 100644
---- a/options.html
-+++ b/options.html
-@@ -14,7 +14,10 @@
-         <div class='nav'>
-           <h1>{{ installWelcome }}</h1>
-           <p>{{ installTagline }}</p>
--          <div> <a class='button step2'>{{ installGetStartedButton }}</a> </div>
-+          <div> <a class='button step2'>{{ installGetStartedButton }}</a>
-+	    <br> <a class="button callreg">Register without mobile phone</a>
-+
-+	  </div>
-           <span class='dot step1 selected'></span>
-           <span class='dot step2'></span>
-           <span class='dot step3'></span>
---- /dev/null   2016-10-07 09:55:13.730181472 +0200
-+++ b/run-signal-app   2016-10-10 08:54:09.434172391 +0200
-@@ -0,0 +1,12 @@
-+#!/bin/sh
-+set -e
-+cd $(dirname $0)
-+mkdir -p userdata
-+userdata="`pwd`/userdata"
-+if [ -d "$userdata" ] && [ ! -d "$userdata/.git" ] ; then
-+    (cd $userdata && git init)
-+fi
-+(cd $userdata && git add . && git commit -m "Current status." || true)
-+exec chromium \
-+  --proxy-server="socks://localhost:9050" \
-+  --user-data-dir=$userdata --load-and-launch-app=`pwd`
-EOF
-chmod a+rx run-signal-app
-
+
Appstream just learned how to map hardware to packages too!
+
23rd December 2016
+

I received a very nice Christmas present today. As my regular +readers probably know, I have been working on the +the Isenkram +system for many years. The goal of the Isenkram system is to make +it easier for users to figure out what to install to get a given piece +of hardware to work in Debian, and a key part of this system is a way +to map hardware to packages. Isenkram have its own mapping database, +and also uses data provided by each package using the AppStream +metadata format. And today, +AppStream in +Debian learned to look up hardware the same way Isenkram is doing it, +ie using fnmatch():

+ +

+% appstreamcli what-provides modalias \
+  usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
+Identifier: pymissile [generic]
+Name: pymissile
+Summary: Control original Striker USB Missile Launcher
+Package: pymissile
+% appstreamcli what-provides modalias usb:v0694p0002d0000
+Identifier: libnxt [generic]
+Name: libnxt
+Summary: utility library for talking to the LEGO Mindstorms NXT brick
+Package: libnxt
+---
+Identifier: t2n [generic]
+Name: t2n
+Summary: Simple command-line tool for Lego NXT
+Package: t2n
+---
+Identifier: python-nxt [generic]
+Name: python-nxt
+Summary: Python driver/interface/wrapper for the Lego Mindstorms NXT robot
+Package: python-nxt
+---
+Identifier: nbc [generic]
+Name: nbc
+Summary: C compiler for LEGO Mindstorms NXT bricks
+Package: nbc
+%
+

+ +

A similar query can be done using the combined AppStream and +Isenkram databases using the isenkram-lookup tool:

+ +

+% isenkram-lookup usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
+pymissile
+% isenkram-lookup usb:v0694p0002d0000
+libnxt
+nbc
+python-nxt
+t2n
+%
+

+ +

You can find modalias values relevant for your machine using +cat $(find /sys/devices/ -name modalias). + +

If you want to make this system a success and help Debian users +make the most of the hardware they have, please +helpadd +AppStream metadata for your package following the guidelines +documented in the wiki. So far only 11 packages provide such +information, among the several hundred hardware specific packages in +Debian. The Isenkram database on the other hand contain 101 packages, +mostly related to USB dongles. Most of the packages with hardware +mapping in AppStream are LEGO Mindstorms related, because I have, as +part of my involvement in +the Debian LEGO +team given priority to making sure LEGO users get proposed the +complete set of packages in Debian for that particular hardware. The +team also got a nice Christmas present today. The +nxt-firmware +package made it into Debian. With this package in place, it is +now possible to use the LEGO Mindstorms NXT unit with only free +software, as the nxt-firmware package contain the source and firmware +binaries for the NXT brick.

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address @@ -655,7 +568,7 @@ activities, please send Bitcoin donations to my address

- Tags: debian, english, sikkerhet, surveillance. + Tags: debian, english, isenkram.
@@ -663,129 +576,106 @@ activities, please send Bitcoin donations to my address
-
NRKs kildevern når NRK-epost deles med utenlands etterretning?
-
8th October 2016
-

NRK -lanserte -for noen uker siden en ny -varslerportal som bruker -SecureDrop til å ta imot tips der det er vesentlig at ingen -utenforstående får vite at NRK er tipset. Det er et langt steg -fremover for NRK, og når en leser bloggposten om hva de har tenkt på -og hvordan løsningen er satt opp virker det som om de har gjort en -grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via -SecureDrop, så varslersiden skriver "Nyhetstips som ikke krever denne -typen ekstra vern vil vi gjerne ha på nrk.no/03030", og 03030-siden -foreslår i tillegg til et webskjema å bruke epost, SMS, telefon, -personlig oppmøte og brevpost. Denne artikkelen handler disse andre -metodene.

- -

Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut -av landet til datamaskiner kontrollert av Microsoft. En kan sjekke -dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er -dette i dag "nrk-no.mail.protection.outlook.com". NRK har som en ser -valgt å sette bort epostmottaket sitt til de som står bak outlook.com, -dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien -gjennom Internett til epostmottaket vha. programmet -traceroute, og finne ut hvem som eier en Internett-adresse -vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no -ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com -går via Sverige mot enten Irland eller Tyskland (det varierer fra gang -til gang og kan endre seg over tid).

- -

Vi vet fra -introduksjonen av -FRA-loven at IP-trafikk som passerer grensen til Sverige avlyttes -av Försvarets radioanstalt (FRA). Vi vet videre takket være -Snowden-bekreftelsene at trafikk som passerer grensen til -Storbritannia avlyttes av Government Communications Headquarters -(GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at -forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til -Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland -gjør det samme. Poenget er uansett at utenlandsk etterretning har -mulighet til å snappe opp trafikken når en sender epost til @nrk.no. -I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs -jurisdiksjon og -samarbeider -med USAs etterretning på flere områder. De som tipser NRK om -nyheter via epost kan dermed gå ut fra at det blir kjent for mange -andre enn NRK at det er gjort.

- -

Bruk av SMS og telefon registreres av blant annet telefonselskapene -og er tilgjengelig i følge lov og forskrift for blant annet Politi, -NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene -og deres overordnede. Hvis innringer eller mottaker bruker -smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike -app-leverandører og de som lytter på trafikken mellom telefon og -app-leverandør, alt etter hva som er installert på telefonene som -brukes.

- -

Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres -og lagres av postens datastyrte postsorteringssentraler. Det vil ikke -overraske meg om det lagres hvor i landet hver konvolutt kommer fra og -hvor den er adressert, i hvert fall for en kortere periode. Jeg vet -heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan -være nok til å ringe inn potensielle kilder når det krysses med hvem -som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig -f.eks. hvis de bærer mobiltelefon eller bor i nærheten).

- -

Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste, -men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig -Sentralbanklovens -paragraf 14 og nekter folk å betale med kontanter. I stedet -krever de at en varsle sin bankkortutsteder om hvor en befinner seg -ved å bruke bankkort. Banktransaksjoner er tilgjengelig for -bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en -bank) i tillegg til politiet og i hvert fall tidligere med Se & Hør -(via utro tjenere, slik det ble avslørt etter utgivelsen av boken -«Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner -en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en -registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva -som skjer med det datasettet, men har grunn til å tro at det sendes ut -SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å -oppgi falskt navn.

- -

Når så tipset er kommet frem til NRK skal det behandles -redaksjonelt i NRK. Der vet jeg via ulike kilder at de fleste -journalistene bruker lokalt installert programvare, men noen bruker -Google Docs og andre skytjenester i strid med interne retningslinjer -når de skriver. Hvordan vet en hvem det gjelder? Ikke vet jeg, men -det kan være greit å spørre for å sjekke at journalisten har tenkt på -problemstillingen, før en gir et tips. Og hvis tipset omtales internt -på epost, er det jo grunn til å tro at også intern eposten vil deles -med Microsoft og utenlands etterretning, slik tidligere nevnt, men det -kan hende at det holdes internt i NRKs interne MS Exchange-løsning. -Men Microsoft ønsker å få alle Exchange-kunder over "i skyen" (eller -andre folks datamaskiner, som det jo innebærer), så jeg vet ikke hvor -lenge det i så fall vil vare.

- -

I tillegg vet en jo at -NRK -har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på -intern og ekstern Internett-trafikk hos NRK ved oppsett av såkalte -VDI-noder, på tross av -protester -fra NRKs journalistlag. Jeg vet ikke om den vil kunne snappe opp -dokumenter som lagres på interne filtjenere eller dokumenter som lages -i de interne webbaserte publiseringssystemene, men vet at hva noden -ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik -at det ikke gir så mye mening å sjekke hva noden ser etter i dag når -det kan endres automatisk i morgen.

- -

Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på -noe som kunne være en trussel mot den bestående makten i Norge eller -verden. Til det virker det å være for mange åpninger for -utenforstående med andre prioriteter enn NRKs journalistiske fokus. -Og den største truslen for en varsler er jo om metainformasjon kommer -på avveie, dvs. informasjon om at en har vært i kontakt med en -journalist. Det kan være nok til at en kommer i myndighetenes -søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle -slik flombelysning på sitt privatliv.

+
Isenkram updated with a lot more hardware-package mappings
+
20th December 2016
+

The Isenkram +system I wrote two years ago to make it easier in Debian to find +and install packages to get your hardware dongles to work, is still +going strong. It is a system to look up the hardware present on or +connected to the current system, and map the hardware to Debian +packages. It can either be done using the tools in isenkram-cli or +using the user space daemon in the isenkram package. The latter will +notify you, when inserting new hardware, about what packages to +install to get the dongle working. It will even provide a button to +click on to ask packagekit to install the packages.

+ +

Here is an command line example from my Thinkpad laptop:

+ +

+% isenkram-lookup  
+bluez
+cheese
+ethtool
+fprintd
+fprintd-demo
+gkrellm-thinkbat
+hdapsd
+libpam-fprintd
+pidgin-blinklight
+thinkfan
+tlp
+tp-smapi-dkms
+tp-smapi-source
+tpb
+%
+

+ +

It can also list the firware package providing firmware requested +by the load kernel modules, which in my case is an empty list because +I have all the firmware my machine need: + +

+% /usr/sbin/isenkram-autoinstall-firmware -l
+info: did not find any firmware files requested by loaded kernel modules.  exiting
+%
+

+ +

The last few days I had a look at several of the around 250 +packages in Debian with udev rules. These seem like good candidates +to install when a given hardware dongle is inserted, and I found +several that should be proposed by isenkram. I have not had time to +check all of them, but am happy to report that now there are 97 +packages packages mapped to hardware by Isenkram. 11 of these +packages provide hardware mapping using AppStream, while the rest are +listed in the modaliases file provided in isenkram.

+ +

These are the packages with hardware mappings at the moment. The +marked packages are also announcing their hardware +support using AppStream, for everyone to use:

+ +

air-quality-sensor, alsa-firmware-loaders, argyll, +array-info, avarice, avrdude, b43-fwcutter, +bit-babbler, bluez, bluez-firmware, brltty, +broadcom-sta-dkms, calibre, cgminer, cheese, colord, +colorhug-client, dahdi-firmware-nonfree, dahdi-linux, +dfu-util, dolphin-emu, ekeyd, ethtool, firmware-ipw2x00, fprintd, +fprintd-demo, galileo, gkrellm-thinkbat, gphoto2, +gpsbabel, gpsbabel-gui, gpsman, gpstrans, gqrx-sdr, gr-fcdproplus, +gr-osmosdr, gtkpod, hackrf, hdapsd, hdmi2usb-udev, hpijs-ppds, hplip, +ipw3945-source, ipw3945d, kde-config-tablet, kinect-audio-setup, +libnxt, libpam-fprintd, lomoco, +madwimax, minidisc-utils, mkgmap, msi-keyboard, mtkbabel, +nbc, nqc, nut-hal-drivers, ola, +open-vm-toolbox, open-vm-tools, openambit, pcgminer, pcmciautils, +pcscd, pidgin-blinklight, printer-driver-splix, +pymissile, python-nxt, qlandkartegt, +qlandkartegt-garmin, rosegarden, rt2x00-source, sispmctl, +soapysdr-module-hackrf, solaar, squeak-plugins-scratch, sunxi-tools, +t2n, thinkfan, thinkfinger-tools, tlp, tp-smapi-dkms, +tp-smapi-source, tpb, tucnak, uhd-host, usbmuxd, viking, +virtualbox-ose-guest-x11, w1retap, xawtv, xserver-xorg-input-vmmouse, +xserver-xorg-input-wacom, xserver-xorg-video-qxl, +xserver-xorg-video-vmware, yubikey-personalization and +zd1211-firmware

+ +

If you know of other packages, please let me know with a wishlist +bug report against the isenkram-cli package, and ask the package +maintainer to +add AppStream +metadata according to the guidelines to provide the information +for everyone. In time, I hope to get rid of the isenkram specific +hardware mapping and depend exclusively on AppStream.

+ +

Note, the AppStream metadata for broadcom-sta-dkms is matching too +much hardware, and suggest that the package with with any ethernet +card. See bug #838735 for +the details. I hope the maintainer find time to address it soon. In +the mean time I provide an override in isenkram.

- Tags: dld, norsk, personvern, sikkerhet, surveillance. + Tags: debian, english, isenkram.
@@ -793,116 +683,45 @@ slik flombelysning på sitt privatliv.

-
Isenkram, Appstream and udev make life as a LEGO builder easier
-
7th October 2016
-

The Isenkram -system provide a practical and easy way to figure out which -packages support the hardware in a given machine. The command line -tool isenkram-lookup and the tasksel options provide a -convenient way to list and install packages relevant for the current -hardware during system installation, both user space packages and -firmware packages. The GUI background daemon on the other hand provide -a pop-up proposing to install packages when a new dongle is inserted -while using the computer. For example, if you plug in a smart card -reader, the system will ask if you want to install pcscd if -that package isn't already installed, and if you plug in a USB video -camera the system will ask if you want to install cheese if -cheese is currently missing. This already work just fine.

- -

But Isenkram depend on a database mapping from hardware IDs to -package names. When I started no such database existed in Debian, so -I made my own data set and included it with the isenkram package and -made isenkram fetch the latest version of this database from git using -http. This way the isenkram users would get updated package proposals -as soon as I learned more about hardware related packages.

- -

The hardware is identified using modalias strings. The modalias -design is from the Linux kernel where most hardware descriptors are -made available as a strings that can be matched using filename style -globbing. It handle USB, PCI, DMI and a lot of other hardware related -identifiers.

- -

The downside to the Isenkram specific database is that there is no -information about relevant distribution / Debian version, making -isenkram propose obsolete packages too. But along came AppStream, a -cross distribution mechanism to store and collect metadata about -software packages. When I heard about the proposal, I contacted the -people involved and suggested to add a hardware matching rule using -modalias strings in the specification, to be able to use AppStream for -mapping hardware to packages. This idea was accepted and AppStream is -now a great way for a package to announce the hardware it support in a -distribution neutral way. I wrote -a -recipe on how to add such meta-information in a blog post last -December. If you have a hardware related package in Debian, please -announce the relevant hardware IDs using AppStream.

- -

In Debian, almost all packages that can talk to a LEGO Mindestorms -RCX or NXT unit, announce this support using AppStream. The effect is -that when you insert such LEGO robot controller into your Debian -machine, Isenkram will propose to install the packages needed to get -it working. The intention is that this should allow the local user to -start programming his robot controller right away without having to -guess what packages to use or which permissions to fix.

- -

But when I sat down with my son the other day to program our NXT -unit using his Debian Stretch computer, I discovered something -annoying. The local console user (ie my son) did not get access to -the USB device for programming the unit. This used to work, but no -longer in Jessie and Stretch. After some investigation and asking -around on #debian-devel, I discovered that this was because udev had -changed the mechanism used to grant access to local devices. The -ConsoleKit mechanism from /lib/udev/rules.d/70-udev-acl.rules -no longer applied, because LDAP users no longer was added to the -plugdev group during login. Michael Biebl told me that this method -was obsolete and the new method used ACLs instead. This was good -news, as the plugdev mechanism is a mess when using a remote user -directory like LDAP. Using ACLs would make sure a user lost device -access when she logged out, even if the user left behind a background -process which would retain the plugdev membership with the ConsoleKit -setup. Armed with this knowledge I moved on to fix the access problem -for the LEGO Mindstorms related packages.

- -

The new system uses a udev tag, 'uaccess'. It can either be -applied directly for a device, or is applied in -/lib/udev/rules.d/70-uaccess.rules for classes of devices. As the -LEGO Mindstorms udev rules did not have a class, I decided to add the -tag directly in the udev rules files included in the packages. Here -is one example. For the nqc C compiler for the RCX, the -/lib/udev/rules.d/60-nqc.rules file now look like this: - -

-SUBSYSTEM=="usb", ACTION=="add", ATTR{idVendor}=="0694", ATTR{idProduct}=="0001", \
-    SYMLINK+="rcx-%k", TAG+="uaccess"
-

- -

The key part is the 'TAG+="uaccess"' at the end. I suspect all -packages using plugdev in their /lib/udev/rules.d/ files should be -changed to use this tag (either directly or indirectly via -70-uaccess.rules). Perhaps a lintian check should be created -to detect this?

- -

I've been unable to find good documentation on the uaccess feature. -It is unclear to me if the uaccess tag is an internal implementation -detail like the udev-acl tag used by -/lib/udev/rules.d/70-udev-acl.rules. If it is, I guess the -indirect method is the preferred way. Michael -asked for more -documentation from the systemd project and I hope it will make -this clearer. For now I use the generic classes when they exist and -is already handled by 70-uaccess.rules, and add the tag -directly if no such class exist.

- -

To learn more about the isenkram system, please check out -my -blog posts tagged isenkram.

- -

To help out making life for LEGO constructors in Debian easier, -please join us on our IRC channel -#debian-lego and join -the Debian -LEGO team in the Alioth project we created yesterday. A mailing -list is not yet created, but we are working on it. :)

+
Oolite, a life in space as vagabond and mercenary - nice free software
+
11th December 2016
+

+ +

In my early years, I played +the epic game +Elite on my PC. I spent many months trading and fighting in +space, and reached the 'elite' fighting status before I moved on. The +original Elite game was available on Commodore 64 and the IBM PC +edition I played had a 64 KB executable. I am still impressed today +that the authors managed to squeeze both a 3D engine and details about +more than 2000 planet systems across 7 galaxies into a binary so +small.

+ +

I have known about the free +software game Oolite inspired by Elite for a while, but did not +really have time to test it properly until a few days ago. It was +great to discover that my old knowledge about trading routes were +still valid. But my fighting and flying abilities were gone, so I had +to retrain to be able to dock on a space station. And I am still not +able to make much resistance when I am attacked by pirates, so I +bougth and mounted the most powerful laser in the rear to be able to +put up at least some resistance while fleeing for my life. :)

+ +

When playing Elite in the late eighties, I had to discover +everything on my own, and I had long lists of prices seen on different +planets to be able to decide where to trade what. This time I had the +advantages of the +Elite wiki, +where information about each planet is easily available with common +price ranges and suggested trading routes. This improved my ability +to earn money and I have been able to earn enough to buy a lot of +useful equipent in a few days. I believe I originally played for +months before I could get a docking computer, while now I could get it +after less then a week.

+ +

If you like science fiction and dreamed of a life as a vagabond in +space, you should try out Oolite. It is available for Linux, MacOSX +and Windows, and is included in Debian and derivatives since 2011.

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address @@ -911,7 +730,7 @@ activities, please send Bitcoin donations to my address

- Tags: debian, english, isenkram. + Tags: debian, english, nice free software.
@@ -919,47 +738,381 @@ activities, please send Bitcoin donations to my address
-
Aftenposten-redaktøren med lua i hånda
-
9th September 2016
-

En av dagens nyheter er at Aftenpostens redaktør Espen Egil Hansen -bruker -forsiden -av papiravisen på et åpent brev til Facebooks sjef Mark Zuckerberg om -Facebooks fjerning av bilder, tekster og sider de ikke liker. Det -må være uvant for redaktøren i avisen Aftenposten å stå med lua i -handa og håpe på å bli hørt. Spesielt siden Aftenposten har vært med -på å gi Facebook makten de nå demonstrerer at de har. Ved å melde seg -inn i Facebook-samfunnet har de sagt ja til bruksvilkårene og inngått -en antagelig bindende avtale. Kanskje de skulle lest og vurdert -vilkårene litt nærmere før de sa ja, i stedet for å klage over at -reglende de har valgt å akseptere blir fulgt? Personlig synes jeg -vilkårene er uakseptable og det ville ikke falle meg inn å gå inn på -en avtale med slike vilkår. I tillegg til uakseptable vilkår er det -mange andre grunner til å unngå Facebook. Du kan finne en solid -gjennomgang av flere slike argumenter hos -Richard Stallmans side om -Facebook. - -

Jeg håper flere norske redaktører på samme vis må stå med lua i -hånden inntil de forstår at de selv er med på å føre samfunnet på -ville veier ved å omfavne Facebook slik de gjør når de omtaler og -løfter frem saker fra Facebook, og tar i bruk Facebook som -distribusjonskanal for sine nyheter. De bidrar til -overvåkningssamfunnet og raderer ut lesernes privatsfære når de lenker -til Facebook på sine sider, og låser seg selv inne i en omgivelse der -det er Facebook, og ikke redaktøren, som sitter med makta.

- -

Men det vil nok ta tid, i et Norge der de fleste nettredaktører -deler -sine leseres personopplysinger med utenlands etterretning.

- -

For øvrig burde varsleren Edward Snowden få politisk asyl i -Norge.

+
Er lover brutt når personvernpolicy ikke stemmer med praksis?
+
9th December 2016
+

Når jeg bruker Ghostery, +uBlock, +uMatrix, +ScriptSafe og andre +nettleserverktøy (de passer på hverandre) for å holde styr på hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til å utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker å være avvik mellom personvernpolicy og +praksis endel steder, og tok tak i et par konkrete eksempler og sendte +spørsmål til Datatilsynets kontaktpunkt for veiledning:

+ +
+ +

«Jeg har et spørsmål når det gjelder bruken av Google Analytics og +personvernpolicy. Er det lovlig for et nettsted å si en ting i +personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer +jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til +nettsidene ber lesernes nettleser om å kontakte Google Analytics og +slik overleverer sitt IP-nummer til Google, samtidig som +personvernpolicien hevder at Google Analytics kun får anonymiserte +data. Google får jo i slike tilfeller alltid overført fullt +IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke +lagre deler av IP-adressen (omtalt som anonymisering av Google +Analytics)

+ +

Et eksempel er Nettavisen digi.no. +Deres +personvernpolicy sier følgende:

+ +
+ «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun + anonymiserte data.» +
+ +

Men når en leser artikler der så blir maskiner i Norge, USA, +Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om +besøket og får dermed overlevert full IP-adresse, som datatilsynet har +uttalt er en personopplysning. Nettsidene er satt opp til be +nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av +dem er er under DNS-domenene digi.no og tek.no som tilhører samme +eier. I tillegg ber nettsidene ikke +Google +Analytics om å fjerne siste oktett i IP-adressen ved lagring, +dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte +Google Analytics.

+ +

Tilsvarende er også tilfelle for andre nettsteder, så digi.no er +ikke spesiell i så måte (dagbladet.no er et annet eksempel, det +gjelder flere).»

+ +
+ +

Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen +hos Datatilsynet fortelle det følgende:

+ +
+«Hei, og takk for din e-post.

+ +

Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere +i saken din, men gi deg råd og veiledning.

+ +

Ut ifra det du skriver er det antakelig flere bestemmelser i +personopplysingsloven som brytes dersom virksomhetens personvernpolicy +sier noe annet om behandlingen av personopplysninger enn det som +faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten +i personopplysingsloven §§ 18 og +19<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18> +dersom det gis feilinformasjon om at opplysningene utleveres. Det kan +også stilles spørsmål om grunnkravene for behandling av +personopplysninger vil være oppfylt ved en utlevering av +personopplysninger til en tredjepart, dersom dette ikke er inkludert +behandlingsgrunnlaget og formålet med behandlingen, se +personopplysingsloven § 11, jf. +8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11>» +

+ + + +

Oppdatert med kunnskap om lover og regler tok jeg så kontakt med +Dagbladet på epostadressen de annonserer på sine +personvernpolicysider:

+ +

+ +

«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer +på om dere hjelpe meg med å finne ut av følgende. Først litt +bakgrunnsinformasjon. +Dagbladets +personvernpolicy forteller følgende:

+ +
+

«3. Automatisk innhentet informasjon

+ +

For eksempel IP-adressen din (ikke synlig for andre) samt + statistisk, automatisk produsert informasjon, som når du sist var + innlogget på tjenesten. Dette er informasjon vi samler for å gjøre + tjenesten best mulig.»

+ +
+ + +

Men når en besøker nettsidene til Dagbladet, +f.eks. forsiden, så er nettsidene +satt opp til å kontakte mange tredjeparter som slik får tilgang til +både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken +artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges +ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick +med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 +nettsteder med 149 separate oppkoblinger. I hver av disse +oppkoblingene oversendes IP-adressen til leseren, og i følge +Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson».

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke + er synlig for andre?»

+ +
+ +
+ +

Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt +spørsmål, så neste steg er antagelig å høre om Datatilsynet er +interessert i å se på saken.

+ +

Men Dagbladet er ikke det eneste nettstedet som forteller at de +ikke deler personopplysninger med andre mens observerbar praksis +dokumenterer noe annet. Jeg sendte derfor også et spørsmål til +kontaktadressen til nettavisen Digi.no, og der var responsen mye +bedre:

+ +
+ +

«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, +og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. +Digi.nos +personvernpolicy forteller følgende:

+ +
+ «All personlig informasjon blir lagret i våre systemer, disse er ikke + tilgjengelig for tredjeparter, og blir ikke lagret i + informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, + TNS Gallup) får kun anonymiserte data.» +
+ +

Men når en besøker nettsidene til nettavisen, f.eks. +forsiden, så er nettsidene satt opp +til å kontakte mange tredjeparter som slik får tilgang til både fullt +IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser +hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder +både Google Analytics, Cxense blant og INS Gallum. Totalt ber +forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 +separate oppkoblinger. I hver av disse oppkoblingene sendes +IP-adressen til leseren over, og i følge Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson». +Det jeg ser virker ikke å være i tråd med personvernpolicyen.

+ +

Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til +Google Analytics, en for å hente ned programkoden som samler +informasjon fra nettleseren og sender over til Google (analytics.js), +og en for å overføre det som ble samlet inn. I den siste oppkoblingen +er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i +stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt +misvisende for «anonymisert» bruk av Google Analytics, i og med at +fullt IP-nummer blir sendt til Google og det er opp til Google om de +vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som +står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke +ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen +kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber +Google om å la være å lagre hele IP-adressen. Dette virker heller +ikke å være i tråd med personvernpolicyen.

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8. Det er uklart for meg om disse kravene er oppfylt +når IP-adresse og informasjon om hvilke websider som besøkes til +tredjeparter.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at «Tredjeparter + får kun anonymiserte data»?»

+ +
+ +
+ +

Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han +måtte komme tilbake til meg når han hadde med utviklingsavdelingen. +Seks dager senere lurte jeg på hva han fant ut, og etter noen timer +fikk jeg så følgende svar fra direktøren for teknologi og +forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:

+ +
+ +

«Takk for godt tips! Det er helt riktig at IP og referrer-adresse +potensielt kan leses ut av tredjepart.

+ +

Retningslinjene våre har vært uklare på dette tidspunktet, og vi +oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som +følger:

+ +
+

3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til +oss blir lagret i våre systemer, er ikke tilgjengelig for +tredjeparter, og blir ikke lagret i informasjonskapsler. +Informasjonen vil kun benyttes til å gi deg som bruker mer relevant +informasjon og bedre tjenester.

+ +

Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne +hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS +er pliktig å påse at disse tredjepartene behandler data i tråd med +norsk regelverk.

+
+ +

Ellers har vi nå aktivert anonymisering i Google Analytics +(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har +mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er +noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

+ +
+ +

Det var nyttig å vite at vi er enige om at formuleringen i +personvernpolicyen er misvisende. Derimot var det nedslående at i +stedet for å endre praksis for å følge det personvernpolicyen sier om +å ikke dele personinformasjon med tredjeparter, så velger Digi.no å +fortsette praksis og i stedet endre personvernpolicyen slik at den å +dokumentere dagens praksis med spredning av personopplysninger.

+ +

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til å håndtere endringen:

+ +
+ +

«Tusen takk for beskjed om endring av personvernpolicy for digi.no. +Gjelder endringen også andre nettsteder?

+ +

Vil tidligere håndteringen av IP-adresser og lesemønster i strid +med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd +med +personopplysningsforskriften +§ 2-6? Vil leserne bli varslet på en prominent og synlig måte om +at lesernes IP-adresser og lesemønster har vært utlevert til +tredjeparter i stid med tidligere formulering om at tredjeparter kun +får anonymiserte data, og at utleveringen fortsetter etter at +personvernpolicy er endret for å dokumentere praksis?

+ +

Appropos ekstra tilbud til betalende lesere, tilbyr dere en +mulighet for å betale for å lese som ikke innebærer at en må gjøre det +mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne +for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»

+
+ +

Jeg fikk raskt svar tilbake fra direktøren Høie:

+ +
+

«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.

+ +

Vi kommer til å ta en runde og gå over vår policy i forbindelse med +dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig +overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av +tredjeparts analyseverktøy og annonsetracking er helt på linje med det +som er normalt for norske kommersielle nettsteder.

+ +

Angående spørsmålet ditt: +
Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, +vi skrur bare av tredjeparts tracking.»

+
+ +

Det høres jo ikke bra ut at det er normalt for norske kommersielle +nettsteder å utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra gårdagens oppslag fra NRK gjelder +det også norske kommuner og andre offentlige aktører, og +jeg +skrev om omfanget av problemet i fjor. Det er uansett ikke en +praksis jeg tror er i tråd med kravene i personopplysningsloven, og +heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog +fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om +avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost +i går kveld:

+ +
+ +

«Kan du fortelle meg om dere anser det å være påkrevd å varsle +tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i +tråd med personvernpolicy?»

+ +
+ +

Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan +Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om +dette. Jeg planlegger å oppdatere denne bloggposten med svaret når +det kommer.

+ +

Jeg synes jo det er spesielt ille når barn får sine +personopplysninger spredt til utlandet, noe jeg +tok +opp med NRK i fjor. De to eksemplene jeg nevner er som dere +forstår ikke unike, men jeg har ikke full oversikt over hvor mange +nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å +lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende +meg tips på epost om andre nettsteder med avvik mellom policy og +praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje +noen til slutt endrer praksis og slutter å dele lesernes +personopplysninger med tredjeparter?

+ +

Apropos bruken av Google Analytics kan jeg forresten nevne at +Universitetet i Oslo også har tatt i bruk Google Analytics, men der +lagres programkoden som overføres til nettleserne lokalt og deler av +IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy +(tilgjengelig via +github) før informasjon sendes over til Google Analytics. Dermed +er det mulig for ansvarlige for nettstedet å vite at Google +ikke har tilgang til komplett IP-adresse. Årsaken til at denne +metoden brukes er at juristene ved universitetet har konkludert med at +det er eneste måten en kunne vurdere å bruke Google Analytics uten å +bryte loven. Risikoen for gjenidentifisering og +identifisering ved hjelp av +nettleserinformasjon er fortsatt tilstede, så det er ingen optimal +løsning, men det er bedre enn å håpe at f.eks. Google og alle som +lytter på veien skal prioritere norsk lov over sin lokale +lovgivning.

+ +

Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt +spørsmål litt etter at jeg hadde publisert denne artikkelen:

+ +
+ +

Vi kommer til å annonsere en oppdatert policy, og skal undersøke om +vi er pliktig å varsle Datatilsynet.

+ +

Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy +sammen med utviklerne og advokat, så vi er sikre på at vi går frem +riktig og at det ikke er flere tvetydigheter som skjuler seg i +teksten.

+ +

Har du andre idéer eller konkrete innspill til hva som kan gjøre +policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker +å være ryddige på.

+ +
+ +

Vi får se om de liker mine innspill, som i grunnen er å ikke pusse +på personvernpolicyen men i stedet slutte å spre lesernes +personopplysninger til eksterne aktører.

- Tags: norsk, surveillance. + Tags: norsk, personvern, surveillance.
@@ -967,159 +1120,209 @@ Norge.

-
E-tjenesten ber om innsyn i eposten til partiene på Stortinget
-
6th September 2016
-

I helga kom det et hårreisende forslag fra Lysne II-utvalget satt -ned av Forsvarsdepartementet. Lysne II-utvalget var bedt om å vurdere -ønskelista til Forsvarets etterretningstjeneste (e-tjenesten), og har -kommet med -forslag -om at e-tjenesten skal få lov til a avlytte all Internett-trafikk -som passerer Norges grenser. Få er klar over at dette innebærer at -e-tjenesten får tilgang til epost sendt til de fleste politiske -partiene på Stortinget. Regjeringspartiet Høyre (@hoyre.no), -støttepartiene Venstre (@venstre.no) og Kristelig Folkeparti (@krf.no) -samt Sosialistisk Ventreparti (@sv.no) og Miljøpartiet de grønne -(@mdg.no) har nemlig alle valgt å ta imot eposten sin via utenlandske -tjenester. Det betyr at hvis noen sender epost til noen med en slik -adresse vil innholdet i eposten, om dette forslaget blir vedtatt, gjøres -tilgjengelig for e-tjenesten. Venstre, Sosialistisk Ventreparti og -Miljøpartiet De Grønne har valgt å motta sin epost hos Google, -Kristelig Folkeparti har valgt å motta sin epost hos Microsoft, og -Høyre har valgt å motta sin epost hos Comendo med mottak i Danmark og -Irland. Kun Arbeiderpartiet og Fremskrittspartiet har valgt å motta -eposten sin i Norge, hos henholdsvis Intility AS og Telecomputing -AS.

- -

Konsekvensen er at epost inn og ut av de politiske organisasjonene, -til og fra partimedlemmer og partiets tillitsvalgte vil gjøres -tilgjengelig for e-tjenesten for analyse og sortering. Jeg mistenker -at kunnskapen som slik blir tilgjengelig vil være nyttig hvis en -ønsker å vite hvilke argumenter som treffer publikum når en ønsker å -påvirke Stortingets representanter.

Ved hjelp av MX-oppslag i DNS for epost-domene, tilhørende -whois-oppslag av IP-adressene og traceroute for å se hvorvidt -trafikken går via utlandet kan enhver få bekreftet at epost sendt til -de omtalte partiene vil gjøres tilgjengelig for forsvarets -etterretningstjeneste hvis forslaget blir vedtatt. En kan også bruke -den kjekke nett-tjenesten ipinfo.io -for å få en ide om hvor i verden en IP-adresse hører til.

- -

På den positive siden vil forslaget gjøre at enda flere blir -motivert til å ta grep for å bruke -Tor og krypterte -kommunikasjonsløsninger for å kommunisere med sine kjære, for å sikre -at privatsfæren vernes. Selv bruker jeg blant annet -FreedomBox og -Signal til slikt. Ingen av -dem er optimale, men de fungerer ganske bra allerede og øker kostnaden -for dem som ønsker å invadere mitt privatliv.

- -

For øvrig burde varsleren Edward Snowden få politisk asyl i -Norge.

- - +
Fri programvare-tilbakeblikk for 2015 og 2016
+
1st December 2016
+

Jeg er mer en gjennomsnittlig interessert i fri programvare og fri +kultur, og nå når et nytt år nærmer seg slutten tenkte jeg det var på +tide med et lite tilbakeblikk på årene som var. Jeg har vært +involvert i flere prosjekter og løsninger, og her er en liten +gjennomgang av de jeg kom på i farten.

+ +

Den største nyheten for meg fra 2015 var at jeg endelig, etter 2.5 +år med flekkvis innsats, fikk gitt ut en bokmålsutgave av den +klassiske boken Free Culture av +Lawrence Lessig. Boken forteller om bakgrunnen for fri +kultur-bevegelsen, beskriver problemer med dagens opphavsrett og +skisserer hvordan vi kan bøte på problemene både individuelt og som +samfunn. Jeg anbefaler alle å lese denne boken, som jeg med god hjelp +har gitt ut på engelsk, bokmål og fransk. Papirboken kan bestilles i +nettbokhandler i USA som Lulu +(Norsk, +Fransk, +Engelsk), +Amazon og Barnes & Noble takket være selvpubliseringsløsningen +lulu.com og +ebokutgave +samt alt som trengs for å oppdatere boken er tilgjengelig fra +github.

+ +

Et annet prosjekt jeg er veldig fornøyd med å ha deltatt i +lanseringen av, er Mimes +brønn, NUUG-tjenesten for å gjøre det enklere å be om innsyn i +offentlig forvaltning, og spare offentlig forvaltning for å måtte +besvare de samme innsynshenvendelsene gang på gang. Etter bare noen +måneders drift førte +en +henvendelse via tjenesten til +spørsmål +fra Stortinget til regjeringen. I dette og andre tilfeller har +NUUG finansiert utvidet klagesak for henvendelser som vi som står bak +tjenesten synes fortjener ekstra oppmerksomhet. Så langt har en liten +håndfull slike klagesaker blitt sendt til Sivilombudsmannen, der vi +fikk medhold i en saken (om .bv omtalt over) og avslag i en annen +(oppsummering fra møte i Pentagon om Internet-styring og nasjonal +sikkerhet).

+ +

Etter at jeg i lengre tid har manglet GPG-nøkkel registrert i +Debian (den opprinnelige ble fjernet på grunn av for kort +nøkkellengde) fikk jeg endelig fikset ny nøkkel og Debiantilgang i +slutten av 2015. Aktiviteten i Debian har ikke vært spesielt +skadelidende mens jeg manglet nøkkel (kjenner flere som er villig til +å laste opp på mine vegne), men da nøkkelen var på plass steg +motivasjonen og jeg har blant anne brukt tiden på å bidra til at +pakker relatert til lyd- og videokodekene fra +Xiph.org-stiftelsen (dvs. Ogg, +Vorbis, Theora, Opus, etc) er i bedre stand i Debian, og har bidratt +til å få liv i gruppen som vedlikeholder Xiph-relaterte slik at dette +forhåpentligvis skal fungere bedre også i fremtiden. Jeg har jobbet +litt mer systemene Isenkram og appstream, som gjør det enklere å +håndtere ulike dongler i Debian ved at systemet selv vet og foreslår +hvilke pakker som bør installeres for å få dongler til å fungere. Har +også fått inn eller hjulpet til å få inn endel nye programpakker, +spesielt fornøyd med +Sonic Pi, +OpenALPR og +Coz. + + +

Et Debian-relatert prosjekt jeg følger er +FreedomBox, som tar sikte på +å tilby en løsning (både programvare og maskinvare) der hvem som helst +kan beholde sin private informasjon hjemme hos seg selv i stedet for å +dele den med skytjenesteleverandører som Google, Facebook, Twitter, +Appear.in med flere. I tillegg til generell deltagelse i utvikling av +prosjektet har jeg jobbet med å få alle Debian-pakkene som brukes av +Freedombox "reproduserbare" i Debian, dvs. gjøre det mulig å sjekke at +pakken som brukes i Freedombox ikke inneholder annet enn det som +kommer fra kildekodepakken i Debian og gir et forutsigbart resultat +ved bygging. Har også fulgt opp endel feilrapporter relatert til +Freedombox-spesifikke pakker (som Plinth og freedombox-setup) og +pakker som utgjør tjenestene i en Freedombox.

+ +

I samarbeid med Skolelinuxprosjektet og foreningen NUUG har jeg +vært med å arrangere flere utviklersamlinger både i 2015 og 2016. Der +har oversettere og utviklere blitt lært opp og arbeidet med blant +annet dokumentasjon, feilfiksing og utvikling av Skolelinux og +Frikanalen. Relatert til dette arbeidet har jeg koordinert norsk +oversettelse av Håndbok for +Debian-administratorer til bokmål, og flyttet +oversetterarbeidet +av Skolelinux-håndboken fra Transifex til Weblate. Begge bøkene +er snart klare for første gangs korrekturlesing og vi drømmer om å +gjøre dem tilgjengelig på papir.

+ +

Gjennom hele perioden har jeg holdt et lite øye med NUUG-prosjektet +FiksGataMi, som stort sett går av seg selv uten manuelt vedlikehold, +men av og til er det problemer med enkelte mottakere (eposter i +retur). NUUG-drift oppgraderte tjenesten i løpet av 2016, og jeg +bisto Marius Halden litt i forbindelse med dette. Tjenesten får +stadig flere brukere, og flere kommuner har tatt kontakt for å lære +mer om hvordan FiksGataMi fungerer. + +

Den åpne TV-kanalen +Frikanalen har fått en god del +av min oppmerksomhet. Den var i starten av 2015 tilgjengelig på +RiksTV kanal 50, web. Kanalen har fått et REST-basert API, og dette +har jeg tatt i bruk for å fylle sendeplanen med NUUG-, TED- og +Debian-foredrag samt andre tekniske presentasjoner. Har lastet opp +mye nytt der og strømlinjeformet prosessen slik at både nye TED- og +NUUG-foredrag går veldig greit. På høsten tok jeg en titt på +multikast-spredning av kanalen til Uninett, og dette er nå kommet på +plass, slik at alle TV-er som bruker Uninetts TV-løsning nå kan se på +Frikanalen. Det jobbes for tiden med å få distribusjon på Altibox, og +dette håper vi skal være klart i starten av 2017.

+ +

Relatert til Frikanalen har jeg i lengre tid +forsøkt å +få klarhet i hva som er juridisk status for H.264 i Norge. Det er +fortsatt uklart for meg om Frikanalen må betale for retten til å +kringkaste eller ikke, og om vi risikerer å bryte opphavsrettsvilkår +ved å kringkaste på web med H.264. Har spurt ulike aktører for å +forsøke å finne ut hvordan de har vurdert situasjonen, uten å bli +klok.

+ +

Et prosjekt som var morsomt å se ta form var Ole Aamots +dokumentarprosjekt +om fri programvare i Norge. Han fikk intervjuet en god del av de +mest aktive folkene i Norge, og resultatet ble interessant og +severdig. Et nærmere prosjekt er NUUGs samarbeide med Oslo +dokumentarfilmfestival om visningen av Citizenfour, der NUUG tok opp +samtalen i forbindelse med visningen og publiserte opptaket på +Frikanalen. Jeg er veldig fornøyd med å ha lyktes med å få dette på +plass, selv om jeg ikke rakk å være med på visningen selv. Et annet +NUUG-foredrag jeg er spesielt fornøyd med å ha fått på plass er +besøket fra Bradley Kuhn fra Software Freedom Conservancy. Det tok +mange måneder å organisere i samarbeid med BLUG, men til slutt klarte +vi å finne et tidspunkt som passet alle, slik at han kunne besøke Oslo +og Bergen. Opptaket fra dette er også publisert på Frikanalen. +Generelt har jeg veldig fornøyd med at Frikanalen nå i praksis er +Tekno-TV med interessante faktaprogram og presentasjoner nesten hele +døgnet, hele uka.

+ +

Vi har i lengre tid forsøkt å få opp et Mesh-nett i Oslo, under +navnet dugnadsnett.no, uten at vi så langt har klart å nå kritisk +masse. Tanken er å gjøre det mulig å kommunisere direkte mellom +likeverdige parter uten sentrale knutepunkt som enkelt kan avlyttes. +Prosjektet er ikke dødt, men interessen blant oss som er med har ikke +vært stor nok til å kunne prioritere dette over alt annet.

+ +

En ting som har tatt prioritet for min del er NUUG og EFNs forsøk +på å få domstolvurdering av om det er greit for politiet å overta et +DNS-domene uten domstolvurdering. Bakgrunnen er at Økokrim tok beslag +i popcorn-time.no i mars 2016, med påstand om at nettstedet bidro til +opphavsrettsbrudd ved å omtale fri programvareløsningen Popcorn Time +og lenke til nettsteder der det var lenker til nettsteder der en kunne +laste ned Popcorn Time. For det første mener vi at domstolene bør +involveres før DNS-domener tas fra sine eiere, og for det andre mener +vi begrunnelsen er så søkt at domenet ikke burde beslaglegges i første +omgang. NUUG og EFN forsøkte først å protestere på egne vegne men ble +avvist av domstolene med at vi ikke hadde rettslig interesse. Mens +dette pågikk lyktes vi å få kontakt med registrar og regnskapsfører +som fikk ble raidet av seks stykker fra Økokrim, og i gjeldende runde +er det registrar og regnskapsfører som protesterer med støtte fra NUUG +og EFN. Advokattimene renner ut og vi håper vi holder ut til saken +har fått prøvd saken.

+ +

Et annet prosjekt, relatert til fri kultur og åndsverksvern, som +jeg har brukt endel tid på er å maskinelt kunne identifisere verk som +er falt i det fri i Norge. Jeg ønsker å vite hvor mange kunstuttrykk +som blir røvet fra fellesskapet hver gang vernetiden i åndsverksloven +blir utvidet, f.eks. nå sist når vernetiden for musikk ble utvidet med +20 år fra 50 til 70 år med tilbakevirkende kraft, som om de som laget +musikk for 60 år siden skulle bli mer motivert til å lage musikk av +utvidet vernetid. Har sett på å kombinere informasjon fra +Nasjonalbiblioteket, Deichmanske bibliotek, Wikipedia, Store Norske +Leksikon og WorldCat, og gleder meg til Nasjonalbibliotekets initiativ +for autorativ database over verk tar form.

+ +

Dårlig konkurranse på drivstoffmarkedet har irritert meg en stund, +og jeg laget for flere år siden en skraper som samlet inn prisdata fra +ulike kilder. Jeg ble derfor veldig glad da en økonomistudent tok +kontakt i starten av 2015 og lurte på om jeg kunne bidra med data til +hans masteroppgave om konkurransevilkårene i drivstoffmarkedet. Jeg +bidro med glede, og resultatet er publisert +i fulltekst som "Hemmeligheten bak bensinprisen : en empirisk analyse +av pumpeprisens drivkrefter" på BIBSYS Brage.

+ +

I tilegg til det jeg har gjort her har jeg rapportert og fikset en +rekke små og store feil i fri programvare, og hjulpet +Debian-bidragsytere og upstream-utviklerne med å forbedre forskjellig +fri programvare og få det inn i Debian.

+ +

Mye av det jeg har fått gjort rundt fri programvare og fri kultur +har vært mulig takket være at jeg får dekket 20% av arbeidstiden min +på Universitetet i Oslo fra +NUUG Foundation for å jobbe +med og koordinere fri programvareaktiviteter. Jeg er svært takknemlig +til dem og min arbeidsgiver USIT for at jeg har fått muligheten. Uten +dette hadde jeg ikke rukket over like mye etter hvert som ungene ble +større.

- Tags: norsk, surveillance. + Tags: norsk.
@@ -1134,6 +1337,15 @@ traceroute to mx03.telecomputing.no (95.128.105.102), 30 hops max, 60 byte packe

Archive