1 <?xml version=
"1.0" encoding=
"ISO-8859-1"?>
2 <rss version='
2.0' xmlns:lj='http://www.livejournal.org/rss/lj/
1.0/'
>
4 <title>Petter Reinholdtsen - Entries from October
2016</title>
5 <description>Entries from October
2016</description>
6 <link>http://people.skolelinux.org/pere/blog/
</link>
10 <title>NRKs kildevern når NRK-epost deles med utenlands etterretning?
</title>
11 <link>http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</link>
12 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/NRKs_kildevern_n_r_NRK_epost_deles_med_utenlands_etterretning_.html
</guid>
13 <pubDate>Sat,
8 Oct
2016 08:
15:
00 +
0200</pubDate>
14 <description><p
>NRK
15 <a href=
"https://nrkbeta.no/
2016/
09/
02/securing-whistleblowers/
">lanserte
16 for noen uker siden
</a
> en ny
17 <a href=
"https://www.nrk.no/varsle/
">varslerportal som bruker
18 SecureDrop til å ta imot tips
</a
> der det er vesentlig at ingen
19 utenforstående får vite at NRK er tipset. Det er et langt steg
20 fremover for NRK, og når en leser bloggposten om hva de har tenkt på
21 og hvordan lysningen er satt opp virker det som om de har gjort en
22 grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via
23 SecureDrop, så varslersiden skriver
"Nyhetstips som ikke krever denne
24 typen ekstra vern vil vi gjerne ha på nrk.no/
03030", og
03030-siden
25 foreslår i tillegg til et webskjema å bruke epost, SMS, telefon,
26 personlig oppmøte og brevpost. Denne artikkelen handler disse andre
29 <p
>Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut
30 av landet til datamaskiner kontrollert av Microsoft. En kan sjekke
31 dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er
32 dette i dag
"nrk-no.mail.protection.outlook.com
". NRK har som en ser
33 valgt å sette bort epostmottaket sitt til de som står bak outlook.com,
34 dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien
35 gjennom Internett til epostmottaket vha. programmet
36 <tt
>traceroute
</tt
>, og finne ut hvem som eier en Internett-adresse
37 vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no
38 ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com
39 går via Sverige mot enten Irland eller Tyskland (det varierer fra gang
40 til gang og kan endre seg over tid).
</p
>
43 <a href=
"https://no.wikipedia.org/wiki/FRA-loven
">introduksjonen av
44 FRA-loven
</a
> at IP-trafikk som passerer grensen til Sverige avlyttes
45 av Försvarets radioanstalt (FRA). Vi vet videre takket være
46 Snowden-bekreftelsene at trafikk som passerer grensen til
47 Storbritannia avlyttes av Government Communications Headquarters
48 (GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at
49 forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til
50 Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland
51 gjør det samme. Poenget er uansett at utenlandsk etterretning har
52 mulighet til å snappe opp trafikken når en sender epost til @nrk.no.
53 I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs
55 <a href=
"https://www.theguardian.com/world/
2013/jul/
11/microsoft-nsa-collaboration-user-data
">samarbeider
56 med USAs etterretning på flere områder
</a
>. De som tipser NRK om
57 nyheter via epost kan dermed gå ut fra at det blir kjent for mange
58 andre enn NRK at det er gjort.
</p
>
60 <p
>Bruk av SMS og telefon registreres av blant annet telefonselskapene
61 og er tilgjengelig i følge lov og forskrift for blant annet Politi,
62 NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene
63 og deres overordnede. Hvis innringer eller mottaker bruker
64 smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike
65 app-leverandører og de som lytter på trafikken mellom telefon og
66 app-leverandør, alt etter hva som er installert på telefonene som
69 <p
>Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres
70 og lagres av postens datastyrte postsorteringssentraler. Det vil ikke
71 overraske meg om det lagres hvor i landet hver konvolutt kommer fra og
72 hvor den er adressert, i hvert fall for en kortere periode. Jeg vet
73 heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan
74 være nok til å ringe inn potensielle kilder når det krysses med hvem
75 som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig
76 f.eks. hvis de bærer mobiltelefon eller bor i nærheten).
</p
>
78 <p
>Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste,
79 men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig
80 <a href=
"http://www.lovdata.no/all/hl-
19850524-
028.html#
14">Sentralbanklovens
81 paragraf
14</a
> og nekter folk å betale med kontanter. I stedet
82 krever de at en varsle sin bankkortutsteder om hvor en befinner seg
83 ved å bruke bankkort. Banktransaksjoner er tilgjengelig for
84 bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en
85 bank) i tillegg til politiet og i hvert fall tidligere med Se
& Hør
86 (via utro tjenere, slik det ble avslørt etter utgivelsen av boken
87 «Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner
88 en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en
89 registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva
90 som skjer med det datasettet, men har grunn til å tro at det sendes ut
91 SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å
92 oppgi falskt navn.
</p
>
94 <p
>Når så tipset er kommet frem til NRK skal det behandles
95 redaksjonelt i NRK. Der vet jeg via personlige bekjentskaper at de
96 fleste journalistene bruker lokalt installert programvare, men noen
97 bruker Google Docs og andre skytjenester i strid med interne
98 retningslinjer når de skriver. Hvordan vet en hvem det gjelder? Ikke
99 vet jeg, men det kan være greit å spørre for å sjekke at journalisten
100 har tenkt på problemstillingen, før en gir et tips. Og hvis tipset
101 omtales internt på epost, er det jo grunn til å tro at også intern
102 eposten vil deles med Microsoft og utenlands etterretning, slik
103 tidligere nevnt, men det kan hende at det holdes internt i NRKs
104 interne MS Exchange-løsning. Men Microsoft ønsker å få alle
105 Exchange-kunder over
"i skyen
" (eller andre folks datamaskiner, som
106 det jo innebærer), så jeg vet ikke hvor lenge det i så fall vil
109 <p
>I tillegg vet en jo at
110 <a href=
"https://www.nrk.no/ytring/elektronisk-kildevern-i-nrk-
1.11941196">NRK
111 har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på
112 intern og ekstern Internett-trafikk
</a
> hos NRK ved oppsett av såkalte
113 VDI-noder, på tross av
114 <a href=
"https://www.nrk.no/ytring/bekymring-for-nrks-kildevern-
1.11941584">protester
115 fra NRKs journalistlag
</a
>. Jeg vet ikke om den vil kunne snappe opp
116 dokumenter som lagres på interne filtjenere eller dokumenter som lages
117 i de interne webbaserte publiseringssystemene, men vet at hva noden
118 ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik
119 at det ikke gir så mye mening å sjekke hva noden ser etter i dag når
120 det kan endres automatisk i morgen.
</p
>
122 <p
>Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på
123 noe som kunne være en trussel mot den bestående makten i Norge eller
124 verden. Til det virker det å være for mange åpninger for
125 utenforstående med andre prioriteter enn NRKs journalistiske fokus.
126 Og den største truslen for en varsler er jo om metainformasjon kommer
127 på avveie, dvs. informasjon om at en har vært i kontakt med en
128 journalist. Det kan være nok til at en kommer i myndighetenes
129 søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle
130 slik flombelysning på sitt privatliv.
</p
>
135 <title>Isenkram, Appstream and udev make life as a LEGO builder easier
</title>
136 <link>http://people.skolelinux.org/pere/blog/Isenkram__Appstream_and_udev_make_life_as_a_LEGO_builder_easier.html
</link>
137 <guid isPermaLink=
"true">http://people.skolelinux.org/pere/blog/Isenkram__Appstream_and_udev_make_life_as_a_LEGO_builder_easier.html
</guid>
138 <pubDate>Fri,
7 Oct
2016 09:
50:
00 +
0200</pubDate>
139 <description><p
><a href=
"http://packages.qa.debian.org/isenkram
">The Isenkram
140 system
</a
> provide a practical and easy way to figure out which
141 packages support the hardware in a given machine. The command line
142 tool
<tt
>isenkram-lookup
</tt
> and the tasksel options provide a
143 convenient way to list and install packages relevant for the current
144 hardware during system installation, both user space packages and
145 firmware packages. The GUI background daemon on the other hand provide
146 a pop-up proposing to install packages when a new dongle is inserted
147 while using the computer. For example, if you plug in a smart card
148 reader, the system will ask if you want to install
<tt
>pcscd
</tt
> if
149 that package isn
't already installed, and if you plug in a USB video
150 camera the system will ask if you want to install
<tt
>cheese
</tt
> if
151 cheese is currently missing. This already work just fine.
</p
>
153 <p
>But Isenkram depend on a database mapping from hardware IDs to
154 package names. When I started no such database existed in Debian, so
155 I made my own data set and included it with the isenkram package and
156 made isenkram fetch the latest version of this database from git using
157 http. This way the isenkram users would get updated package proposals
158 as soon as I learned more about hardware related packages.
</p
>
160 <p
>The hardware is identified using modalias strings. The modalias
161 design is from the Linux kernel where most hardware descriptors are
162 made available as a strings that can be matched using filename style
163 globbing. It handle USB, PCI, DMI and a lot of other hardware related
164 identifiers.
</p
>
166 <p
>The downside to the Isenkram specific database is that there is no
167 information about relevant distribution / Debian version, making
168 isenkram propose obsolete packages too. But along came AppStream, a
169 cross distribution mechanism to store and collect metadata about
170 software packages. When I heard about the proposal, I contacted the
171 people involved and suggested to add a hardware matching rule using
172 modalias strings in the specification, to be able to use AppStream for
173 mapping hardware to packages. This idea was accepted and AppStream is
174 now a great way for a package to announce the hardware it support in a
175 distribution neutral way. I wrote
176 <a href=
"http://people.skolelinux.org/pere/blog/Using_appstream_with_isenkram_to_install_hardware_related_packages_in_Debian.html
">a
177 recipe on how to add such meta-information
</a
> in a blog post last
178 December. If you have a hardware related package in Debian, please
179 announce the relevant hardware IDs using AppStream.
</p
>
181 <p
>In Debian, almost all packages that can talk to a LEGO Mindestorms
182 RCX or NXT unit, announce this support using AppStream. The effect is
183 that when you insert such LEGO robot controller into your Debian
184 machine, Isenkram will propose to install the packages needed to get
185 it working. The intention is that this should allow the local user to
186 start programming his robot controller right away without having to
187 guess what packages to use or which permissions to fix.
</p
>
189 <p
>But when I sat down with my son the other day to program our NXT
190 unit using his Debian Stretch computer, I discovered something
191 annoying. The local console user (ie my son) did not get access to
192 the USB device for programming the unit. This used to work, but no
193 longer in Jessie and Stretch. After some investigation and asking
194 around on #debian-devel, I discovered that this was because udev had
195 changed the mechanism used to grant access to local devices. The
196 ConsoleKit mechanism from
<tt
>/lib/udev/rules.d/
70-udev-acl.rules
</tt
>
197 no longer applied, because LDAP users no longer was added to the
198 plugdev group during login. Michael Biebl told me that this method
199 was obsolete and the new method used ACLs instead. This was good
200 news, as the plugdev mechanism is a mess when using a remote user
201 directory like LDAP. Using ACLs would make sure a user lost device
202 access when she logged out, even if the user left behind a background
203 process which would retain the plugdev membership with the ConsoleKit
204 setup. Armed with this knowledge I moved on to fix the access problem
205 for the LEGO Mindstorms related packages.
</p
>
207 <p
>The new system uses a udev tag,
'uaccess
'. It can either be
208 applied directly for a device, or is applied in
209 /lib/udev/rules.d/
70-uaccess.rules for classes of devices. As the
210 LEGO Mindstorms udev rules did not have a class, I decided to add the
211 tag directly in the udev rules files included in the packages. Here
212 is one example. For the nqc C compiler for the RCX, the
213 <tt
>/lib/udev/rules.d/
60-nqc.rules
</tt
> file now look like this:
216 SUBSYSTEM==
"usb
", ACTION==
"add
", ATTR{idVendor}==
"0694", ATTR{idProduct}==
"0001", \
217 SYMLINK+=
"rcx-%k
", TAG+=
"uaccess
"
218 </pre
></p
>
220 <p
>The key part is the
'TAG+=
"uaccess
"' at the end. I suspect all
221 packages using plugdev in their /lib/udev/rules.d/ files should be
222 changed to use this tag (either directly or indirectly via
223 <tt
>70-uaccess.rules
</tt
>). Perhaps a lintian check should be created
224 to detect this?
</p
>
226 <p
>I
've been unable to find good documentation on the uaccess feature.
227 It is unclear to me if the uaccess tag is an internal implementation
228 detail like the udev-acl tag used by
229 <tt
>/lib/udev/rules.d/
70-udev-acl.rules
</tt
>. If it is, I guess the
230 indirect method is the preferred way. Michael
231 <a href=
"https://github.com/systemd/systemd/issues/
4288">asked for more
232 documentation from the systemd project
</a
> and I hope it will make
233 this clearer. For now I use the generic classes when they exist and
234 is already handled by
<tt
>70-uaccess.rules
</tt
>, and add the tag
235 directly if no such class exist.
</p
>
237 <p
>To learn more about the isenkram system, please check out
238 <a href=
"http://people.skolelinux.org/pere/blog/tags/isenkram/
">my
239 blog posts tagged isenkram
</a
>.
</p
>
241 <p
>To help out making life for LEGO constructors in Debian easier,
242 please join us on our IRC channel
243 <a href=
"irc://irc.debian.org/%
23debian-lego
">#debian-lego
</a
> and join
244 the
<a href=
"https://alioth.debian.org/projects/debian-lego/
">Debian
245 LEGO team
</a
> in the Alioth project we created yesterday. A mailing
246 list is not yet created, but we are working on it. :)
</p
>
248 <p
>As usual, if you use Bitcoin and want to show your support of my
249 activities, please send Bitcoin donations to my address
250 <b
><a href=
"bitcoin:
15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
&label=PetterReinholdtsenBlog
">15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b
</a
></b
>.
</p
>
projects / homepage.git / blob