Petter Reinholdtsen

NRK lanserte for noen uker siden en ny varslerportal som bruker SecureDrop til å ta imot tips der det er vesentlig at ingen utenforstående får vite at NRK er tipset. Det er et langt steg fremover for NRK, og når en leser bloggposten om hva de har tenkt på og hvordan lysningen er satt opp virker det som om de har gjort en grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via SecureDrop, så varslersiden skriver "Nyhetstips som ikke krever denne typen ekstra vern vil vi gjerne ha på nrk.no/03030", og 03030-siden foreslår i tillegg til et webskjema å bruke epost, SMS, telefon, personlig oppmøte og brevpost. Denne artikkelen handler disse andre metodene.

Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut av landet til datamaskiner kontrollert av Microsoft. En kan sjekke dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er dette i dag "nrk-no.mail.protection.outlook.com". NRK har som en ser valgt å sette bort epostmottaket sitt til de som står bak outlook.com, dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien gjennom Internett til epostmottaket vha. programmet traceroute, og finne ut hvem som eier en Internett-adresse vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com går via Sverige mot enten Irland eller Tyskland (det varierer fra gang til gang og kan endre seg over tid).

Vi vet fra introduksjonen av FRA-loven at IP-trafikk som passerer grensen til Sverige avlyttes av Försvarets radioanstalt (FRA). Vi vet videre takket være Snowden-bekreftelsene at trafikk som passerer grensen til Storbritannia avlyttes av Government Communications Headquarters (GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland gjør det samme. Poenget er uansett at utenlandsk etterretning har mulighet til å snappe opp trafikken når en sender epost til @nrk.no. I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs jurisdiksjon og samarbeider med USAs etterretning på flere områder. De som tipser NRK om nyheter via epost kan dermed gå ut fra at det blir kjent for mange andre enn NRK at det er gjort.

Bruk av SMS og telefon registreres av blant annet telefonselskapene og er tilgjengelig i følge lov og forskrift for blant annet Politi, NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene og deres overordnede. Hvis innringer eller mottaker bruker smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike app-leverandører og de som lytter på trafikken mellom telefon og app-leverandør, alt etter hva som er installert på telefonene som brukes.

Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres og lagres av postens datastyrte postsorteringssentraler. Det vil ikke overraske meg om det lagres hvor i landet hver konvolutt kommer fra og hvor den er adressert, i hvert fall for en kortere periode. Jeg vet heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan være nok til å ringe inn potensielle kilder når det krysses med hvem som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig f.eks. hvis de bærer mobiltelefon eller bor i nærheten).

Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste, men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig Sentralbanklovens paragraf 14 og nekter folk å betale med kontanter. I stedet krever de at en varsle sin bankkortutsteder om hvor en befinner seg ved å bruke bankkort. Banktransaksjoner er tilgjengelig for bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en bank) i tillegg til politiet og i hvert fall tidligere med Se & Hør (via utro tjenere, slik det ble avslørt etter utgivelsen av boken «Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva som skjer med det datasettet, men har grunn til å tro at det sendes ut SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å oppgi falskt navn.

Når så tipset er kommet frem til NRK skal det behandles redaksjonelt i NRK. Der vet jeg via personlige bekjentskaper at de fleste journalistene bruker lokalt installert programvare, men noen bruker Google Docs og andre skytjenester i strid med interne retningslinjer når de skriver. Hvordan vet en hvem det gjelder? Ikke vet jeg, men det kan være greit å spørre for å sjekke at journalisten har tenkt på problemstillingen, før en gir et tips. Og hvis tipset omtales internt på epost, er det jo grunn til å tro at også intern eposten vil deles med Microsoft og utenlands etterretning, slik tidligere nevnt, men det kan hende at det holdes internt i NRKs interne MS Exchange-løsning. Men Microsoft ønsker å få alle Exchange-kunder over "i skyen" (eller andre folks datamaskiner, som det jo innebærer), så jeg vet ikke hvor lenge det i så fall vil vare.

I tillegg vet en jo at NRK har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på intern og ekstern Internett-trafikk hos NRK ved oppsett av såkalte VDI-noder, på tross av protester fra NRKs journalistlag. Jeg vet ikke om den vil kunne snappe opp dokumenter som lagres på interne filtjenere eller dokumenter som lages i de interne webbaserte publiseringssystemene, men vet at hva noden ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik at det ikke gir så mye mening å sjekke hva noden ser etter i dag når det kan endres automatisk i morgen.

Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på noe som kunne være en trussel mot den bestående makten i Norge eller verden. Til det virker det å være for mange åpninger for utenforstående med andre prioriteter enn NRKs journalistiske fokus. Og den største truslen for en varsler er jo om metainformasjon kommer på avveie, dvs. informasjon om at en har vært i kontakt med en journalist. Det kan være nok til at en kommer i myndighetenes søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle slik flombelysning på sitt privatliv.

The Isenkram system provide a practical and easy way to figure out which packages support the hardware in a given machine. The command line tool isenkram-lookup and the tasksel options provide a convenient way to list and install packages relevant for the current hardware during system installation, both user space packages and firmware packages. The GUI background daemon on the other hand provide a pop-up proposing to install packages when a new dongle is inserted while using the computer. For example, if you plug in a smart card reader, the system will ask if you want to install pcscd if that package isn't already installed, and if you plug in a USB video camera the system will ask if you want to install cheese if cheese is currently missing. This already work just fine.

But Isenkram depend on a database mapping from hardware IDs to package names. When I started no such database existed in Debian, so I made my own data set and included it with the isenkram package and made isenkram fetch the latest version of this database from git using http. This way the isenkram users would get updated package proposals as soon as I learned more about hardware related packages.

The hardware is identified using modalias strings. The modalias design is from the Linux kernel where most hardware descriptors are made available as a strings that can be matched using filename style globbing. It handle USB, PCI, DMI and a lot of other hardware related identifiers.

The downside to the Isenkram specific database is that there is no information about relevant distribution / Debian version, making isenkram propose obsolete packages too. But along came AppStream, a cross distribution mechanism to store and collect metadata about software packages. When I heard about the proposal, I contacted the people involved and suggested to add a hardware matching rule using modalias strings in the specification, to be able to use AppStream for mapping hardware to packages. This idea was accepted and AppStream is now a great way for a package to announce the hardware it support in a distribution neutral way. I wrote a recipe on how to add such meta-information in a blog post last December. If you have a hardware related package in Debian, please announce the relevant hardware IDs using AppStream.

In Debian, almost all packages that can talk to a LEGO Mindestorms RCX or NXT unit, announce this support using AppStream. The effect is that when you insert such LEGO robot controller into your Debian machine, Isenkram will propose to install the packages needed to get it working. The intention is that this should allow the local user to start programming his robot controller right away without having to guess what packages to use or which permissions to fix.

But when I sat down with my son the other day to program our NXT unit using his Debian Stretch computer, I discovered something annoying. The local console user (ie my son) did not get access to the USB device for programming the unit. This used to work, but no longer in Jessie and Stretch. After some investigation and asking around on #debian-devel, I discovered that this was because udev had changed the mechanism used to grant access to local devices. The ConsoleKit mechanism from /lib/udev/rules.d/70-udev-acl.rules no longer applied, because LDAP users no longer was added to the plugdev group during login. Michael Biebl told me that this method was obsolete and the new method used ACLs instead. This was good news, as the plugdev mechanism is a mess when using a remote user directory like LDAP. Using ACLs would make sure a user lost device access when she logged out, even if the user left behind a background process which would retain the plugdev membership with the ConsoleKit setup. Armed with this knowledge I moved on to fix the access problem for the LEGO Mindstorms related packages.

The new system uses a udev tag, 'uaccess'. It can either be applied directly for a device, or is applied in /lib/udev/rules.d/70-uaccess.rules for classes of devices. As the LEGO Mindstorms udev rules did not have a class, I decided to add the tag directly in the udev rules files included in the packages. Here is one example. For the nqc C compiler for the RCX, the /lib/udev/rules.d/60-nqc.rules file now look like this:

SUBSYSTEM=="usb", ACTION=="add", ATTR{idVendor}=="0694", ATTR{idProduct}=="0001", \
    SYMLINK+="rcx-%k", TAG+="uaccess"

The key part is the 'TAG+="uaccess"' at the end. I suspect all packages using plugdev in their /lib/udev/rules.d/ files should be changed to use this tag (either directly or indirectly via 70-uaccess.rules). Perhaps a lintian check should be created to detect this?

I've been unable to find good documentation on the uaccess feature. It is unclear to me if the uaccess tag is an internal implementation detail like the udev-acl tag used by /lib/udev/rules.d/70-udev-acl.rules. If it is, I guess the indirect method is the preferred way. Michael asked for more documentation from the systemd project and I hope it will make this clearer. For now I use the generic classes when they exist and is already handled by 70-uaccess.rules, and add the tag directly if no such class exist.

To learn more about the isenkram system, please check out my blog posts tagged isenkram.

To help out making life for LEGO constructors in Debian easier, please join us on our IRC channel #debian-lego and join the Debian LEGO team in the Alioth project we created yesterday. A mailing list is not yet created, but we are working on it. :)

As usual, if you use Bitcoin and want to show your support of my activities, please send Bitcoin donations to my address 15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.