X-Git-Url: https://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/22433eecbaebdec4de0af204d146da0d9722ac1f..35bcc4f0426043d390b78cd27c2f0959ad39c3ca:/blog/tags/surveillance/index.html diff --git a/blog/tags/surveillance/index.html b/blog/tags/surveillance/index.html index 1f9205b81c..b459028c66 100644 --- a/blog/tags/surveillance/index.html +++ b/blog/tags/surveillance/index.html @@ -20,6 +20,1866 @@

Entries tagged "surveillance".

+
+
+ H, Ap, Frp og Venstre går for DNA-innsamling av hele befolkningen +
+
+ 14th March 2018 +
+
+

I går kom det nok et argument for å holde seg unna det norske +helsevesenet. Da annonserte et stortingsflertall, bestående av Høyre, +Arbeiderpartiet, Fremskrittspartiet og Venstre, at de går inn for å +samle inn og lagre DNA-prøver fra hele befolkningen i Norge til evig +tid. Endringen gjelder innsamlede blodprøver fra nyfødte i Norge. +Det vil dermed ta litt tid før en har hele befolkningen, men det er +dit vi havner gitt nok tid. I dag er det nesten hundre prosent +oppslutning om undersøkelsen som gjøres like etter fødselen, på +bakgrunn av blodprøven det er snakk om å lagre, for å oppdage endel +medfødte sykdommer. Blodprøven lagres i dag i inntil seks år. +Stortingets +flertallsinnstilling er at tidsbegrensingen skal fjernes, og mener +at tidsubegrenset lagring ikke vil påvirke oppslutningen om +undersøkelsen.

+ +

Datatilsynet har ikke akkurat applaudert forslaget:

+ +

+ +

«Datatilsynet mener forslaget ikke i tilstrekkelig grad + synliggjør hvilke etiske og personvernmessige utfordringer som må + diskuteres før en etablerer en nasjonal biobank med blodprøver fra + hele befolkningen.»

+ +

+ +

Det er flere historier om hvordan innsamlet biologisk materiale har +blitt brukt til andre formål enn de ble innsamlet til, og historien om +folkehelseinstituttets +lagring på vegne av politiet (Kripos) av innsamlet biologisk materiale +og DNA-informasjon i strid med loven viser at en ikke kan være +trygg på at lover og intensjoner beskytter de som blir berørt mot +misbruk av slik privat og personlig informasjon.

+ +

Det er verdt å merke seg at det kan forskes på de innsamlede +blodprøvene uten samtykke fra den det gjelder (eller foreldre når det +gjelder barn), etter en lovendring for en stund tilbake, med mindre +det er sendt inn skjema der en reserverer seg mot forskning uten +samtykke. Skjemaet er tilgjengelig fra +folkehelseinstituttets +websider, og jeg anbefaler, uavhengig av denne saken, varmt alle å +sende inn skjemaet for å dokumentere hvor mange som ikke synes det er +greit å fjerne krav om samtykke.

+ +

I tillegg bør en kreve destruering av alt biologisk materiale som +er samlet inn om en selv, for å redusere eventuelle negative +konsekvenser i fremtiden når materialet kommer på avveie eller blir +brukt uten samtykke, men det er så vidt jeg vet ikke noe system for +dette i dag.

+ +

Som vanlig, hvis du bruker Bitcoin og ønsker å vise din støtte til +det jeg driver med, setter jeg pris på om du sender Bitcoin-donasjoner +til min adresse +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+ +
+
+ + + Tags: norsk, personvern, surveillance. + + +
+
+
+ +
+
+ Overvåkning i Kina vs. Norge +
+
+ 12th February 2018 +
+
+

Jeg lar meg fascinere av en artikkel +i +Dagbladet om Kinas håndtering av Xinjiang, spesielt følgende +utsnitt:

+ +

+ +

«I den sørvestlige byen Kashgar nærmere grensa til +Sentral-Asia meldes det nå at 120.000 uigurer er internert i såkalte +omskoleringsleirer. Samtidig er det innført et omfattende +helsesjekk-program med innsamling og lagring av DNA-prøver fra +absolutt alle innbyggerne. De mest avanserte overvåkingsmetodene +testes ut her. Programmer for å gjenkjenne ansikter og stemmer er på +plass i regionen. Der har de lokale myndighetene begynt å installere +GPS-systemer i alle kjøretøy og egne sporingsapper i +mobiltelefoner.

+ +

Politimetodene griper så dypt inn i folks dagligliv at motstanden +mot Beijing-regimet øker.»

+ +

+ +

Beskrivelsen avviker jo desverre ikke så veldig mye fra tilstanden +her i Norge.

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
DataregistreringKinaNorge
Innsamling og lagring av DNA-prøver fra befolkningenJaDelvis, planlagt for alle nyfødte.
AnsiktsgjenkjenningJaJa
StemmegjenkjenningJaNei
Posisjons-sporing av mobiltelefonerJaJa
Posisjons-sporing av bilerJaJa
+ +

I Norge har jo situasjonen rundt Folkehelseinstituttets lagring av +DNA-informasjon på vegne av politiet, der de nektet å slette +informasjon politiet ikke hadde lov til å ta vare på, gjort det klart +at DNA tar vare på ganske lenge. I tillegg finnes det utallige +biobanker som lagres til evig tid, og det er planer om å innføre +evig +lagring av DNA-materiale fra alle spebarn som fødes (med mulighet +for å be om sletting).

+ +

I Norge er det system på plass for ansiktsgjenkjenning, som +en +NRK-artikkel fra 2015 forteller er aktiv på Gardermoen, samt +brukes +til å analysere bilder innsamlet av myndighetene. Brukes det også +flere plasser? Det er tett med overvåkningskamera kontrollert av +politi og andre myndigheter i for eksempel Oslo sentrum.

+ +

Jeg er ikke kjent med at Norge har noe system for identifisering av +personer ved hjelp av stemmegjenkjenning.

+ +

Posisjons-sporing av mobiltelefoner er ruinemessig tilgjengelig for +blant annet politi, NAV og Finanstilsynet, i tråd med krav i +telefonselskapenes konsesjon. I tillegg rapporterer smarttelefoner +sin posisjon til utviklerne av utallige mobil-apper, der myndigheter +og andre kan hente ut informasjon ved behov. Det er intet behov for +noen egen app for dette.

+ +

Posisjons-sporing av biler er rutinemessig tilgjengelig via et tett +nett av målepunkter på veiene (automatiske bomstasjoner, +køfribrikke-registrering, automatiske fartsmålere og andre veikamera). +Det er i tillegg vedtatt at alle nye biler skal selges med utstyr for +GPS-sporing (eCall).

+ +

Det er jammen godt vi lever i et liberalt demokrati, og ikke en +overvåkningsstat, eller?

+ +

Som vanlig, hvis du bruker Bitcoin og ønsker å vise din støtte til +det jeg driver med, setter jeg pris på om du sender Bitcoin-donasjoner +til min adresse +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+ +
+
+ + + Tags: norsk, surveillance. + + +
+
+
+ +
+
+ Visualizing GSM radio chatter using gr-gsm and Hopglass +
+
+ 29th September 2017 +
+
+

Every mobile phone announce its existence over radio to the nearby +mobile cell towers. And this radio chatter is available for anyone +with a radio receiver capable of receiving them. Details about the +mobile phones with very good accuracy is of course collected by the +phone companies, but this is not the topic of this blog post. The +mobile phone radio chatter make it possible to figure out when a cell +phone is nearby, as it include the SIM card ID (IMSI). By paying +attention over time, one can see when a phone arrive and when it leave +an area. I believe it would be nice to make this information more +available to the general public, to make more people aware of how +their phones are announcing their whereabouts to anyone that care to +listen.

+ +

I am very happy to report that we managed to get something +visualizing this information up and running for +Oslo Skaperfestival 2017 +(Oslo Makers Festival) taking place today and tomorrow at Deichmanske +library. The solution is based on the +simple +recipe for listening to GSM chatter I posted a few days ago, and +will show up at the stand of Åpen +Sone from the Computer Science department of the University of +Oslo. The presentation will show the nearby mobile phones (aka +IMSIs) as dots in a web browser graph, with lines to the dot +representing mobile base station it is talking to. It was working in +the lab yesterday, and was moved into place this morning.

+ +

We set up a fairly powerful desktop machine using Debian +Buster/Testing with several (five, I believe) RTL2838 DVB-T receivers +connected and visualize the visible cell phone towers using an +English version of +Hopglass. A fairly powerfull machine is needed as the +grgsm_livemon_headless processes from +gr-gsm converting +the radio signal to data packages is quite CPU intensive.

+ +

The frequencies to listen to, are identified using a slightly +patched scan-and-livemon (to set the --args values for each receiver), +and the Hopglass data is generated using the +patches +in my meshviewer-output branch. For some reason we could not get +more than four SDRs working. There is also a geographical map trying +to show the location of the base stations, but I believe their +coordinates are hardcoded to some random location in Germany, I +believe. The code should be replaced with code to look up location in +a text file, a sqlite database or one of the online databases +mentioned in +the github +issue for the topic. + +

If this sound interesting, visit the stand at the festival!

+ +
+
+ + + Tags: debian, english, personvern, surveillance. + + +
+
+
+ +
+
+ Easier recipe to observe the cell phones around you +
+
+ 24th September 2017 +
+
+

A little more than a month ago I wrote +how +to observe the SIM card ID (aka IMSI number) of mobile phones talking +to nearby mobile phone base stations using Debian GNU/Linux and a +cheap USB software defined radio, and thus being able to pinpoint +the location of people and equipment (like cars and trains) with an +accuracy of a few kilometer. Since then we have worked to make the +procedure even simpler, and it is now possible to do this without any +manual frequency tuning and without building your own packages.

+ +

The gr-gsm +package is now included in Debian testing and unstable, and the +IMSI-catcher code no longer require root access to fetch and decode +the GSM data collected using gr-gsm.

+ +

Here is an updated recipe, using packages built by Debian and a git +clone of two python scripts:

+ +
    + +
  1. Start with a Debian machine running the Buster version (aka + testing).
    2. + +
  2. Run 'apt install gr-gsm python-numpy python-scipy + python-scapy' as root to install required packages.
    3. + +
  3. Fetch the code decoding GSM packages using 'git clone + github.com/Oros42/IMSI-catcher.git'.
    4. + +
  4. Insert USB software defined radio supported by GNU Radio.
    5. + +
  5. Enter the IMSI-catcher directory and run 'python + scan-and-livemon' to locate the frequency of nearby base + stations and start listening for GSM packages on one of them.
    6. + +
  6. Enter the IMSI-catcher directory and run 'python + simple_IMSI-catcher.py' to display the collected information.
    7. + +
+ +

Note, due to a bug somewhere the scan-and-livemon program (actually +its underlying +program grgsm_scanner) do not work with the HackRF radio. It does +work with RTL 8232 and other similar USB radio receivers you can get +very cheaply +(for example +from ebay), so for now the solution is to scan using the RTL radio +and only use HackRF for fetching GSM data.

+ +

As far as I can tell, a cell phone only show up on one of the +frequencies at the time, so if you are going to track and count every +cell phone around you, you need to listen to all the frequencies used. +To listen to several frequencies, use the --numrecv argument to +scan-and-livemon to use several receivers. Further, I am not sure if +phones using 3G or 4G will show as talking GSM to base stations, so +this approach might not see all phones around you. I typically see +0-400 IMSI numbers an hour when looking around where I live.

+ +

I've tried to run the scanner on a +Raspberry Pi 2 and 3 +running Debian Buster, but the grgsm_livemon_headless process seem +to be too CPU intensive to keep up. When GNU Radio print 'O' to +stdout, I am told there it is caused by a buffer overflow between the +radio and GNU Radio, caused by the program being unable to read the +GSM data fast enough. If you see a stream of 'O's from the terminal +where you started scan-and-livemon, you need a give the process more +CPU power. Perhaps someone are able to optimize the code to a point +where it become possible to set up RPi3 based GSM sniffers? I tried +using Raspbian instead of Debian, but there seem to be something wrong +with GNU Radio on raspbian, causing glibc to abort().

+ +
+
+ + + Tags: debian, english, personvern, surveillance. + + +
+
+
+ +
+
+ Datalagringsdirektivet kaster skygger over Høyre og Arbeiderpartiet +
+
+ 7th September 2017 +
+
+

For noen dager siden publiserte Jon Wessel-Aas en bloggpost om +«Konklusjonen om datalagring som +EU-kommisjonen ikke ville at vi skulle få se». Det er en +interessant gjennomgang av EU-domstolens syn på snurpenotovervåkning +av befolkningen, som er klar på at det er i strid med +EU-lovgivingen.

+ +

Valgkampen går for fullt i Norge, og om noen få dager er siste +frist for å avgi stemme. En ting er sikkert, Høyre og Arbeiderpartiet +får ikke min stemme +denne +gangen heller. Jeg har ikke glemt at de tvang igjennom loven som +skulle pålegge alle data- og teletjenesteleverandører å overvåke alle +sine kunder. En lov som er vedtatt, og aldri opphevet igjen.

+ +

Det er tydelig fra diskusjonen rundt grenseløs digital overvåkning +(eller "Digital Grenseforsvar" som det kalles i Orvellisk nytale) at +hverken Høyre og Arbeiderpartiet har noen prinsipielle sperrer mot å +overvåke hele befolkningen, og diskusjonen så langt tyder på at flere +av de andre partiene heller ikke har det. Mange av +de som stemte +for Datalagringsdirektivet i Stortinget (64 fra Arbeiderpartiet, +25 fra Høyre) er fortsatt aktive og argumenterer fortsatt for å radere +vekk mer av innbyggernes privatsfære.

+ +

Når myndighetene demonstrerer sin mistillit til folket, tror jeg +folket selv bør legge litt innsats i å verne sitt privatliv, ved å ta +i bruk ende-til-ende-kryptert kommunikasjon med sine kjente og kjære, +og begrense hvor mye privat informasjon som deles med uvedkommende. +Det er jo ingenting som tyder på at myndighetene kommer til å være vår +privatsfære. +Det +er mange muligheter. Selv har jeg litt sans for +Ring, som er basert på p2p-teknologi +uten sentral kontroll, er fri programvare, og støtter meldinger, tale +og video. Systemet er tilgjengelig ut av boksen fra +Debian og +Ubuntu, og det +finnes pakker for Android, MacOSX og Windows. Foreløpig er det få +brukere med Ring, slik at jeg også bruker +Signal som nettleserutvidelse.

+ +
+
+ + + Tags: dld, norsk, personvern, stortinget, surveillance, valg. + + +
+
+
+ +
+
+ Simpler recipe on how to make a simple $7 IMSI Catcher using Debian +
+
+ 9th August 2017 +
+
+

On friday, I came across an interesting article in the Norwegian +web based ICT news magazine digi.no on +how +to collect the IMSI numbers of nearby cell phones using the cheap +DVB-T software defined radios. The article refered to instructions +and a recipe by +Keld Norman on Youtube on how to make a simple $7 IMSI Catcher, and I decided to test them out.

+ +

The instructions said to use Ubuntu, install pip using apt (to +bypass apt), use pip to install pybombs (to bypass both apt and pip), +and the ask pybombs to fetch and build everything you need from +scratch. I wanted to see if I could do the same on the most recent +Debian packages, but this did not work because pybombs tried to build +stuff that no longer build with the most recent openssl library or +some other version skew problem. While trying to get this recipe +working, I learned that the apt->pip->pybombs route was a long detour, +and the only piece of software dependency missing in Debian was the +gr-gsm package. I also found out that the lead upstream developer of +gr-gsm (the name stand for GNU Radio GSM) project already had a set of +Debian packages provided in an Ubuntu PPA repository. All I needed to +do was to dget the Debian source package and built it.

+ +

The IMSI collector is a python script listening for packages on the +loopback network device and printing to the terminal some specific GSM +packages with IMSI numbers in them. The code is fairly short and easy +to understand. The reason this work is because gr-gsm include a tool +to read GSM data from a software defined radio like a DVB-T USB stick +and other software defined radios, decode them and inject them into a +network device on your Linux machine (using the loopback device by +default). This proved to work just fine, and I've been testing the +collector for a few days now.

+ +

The updated and simpler recipe is thus to

+ +
    + +
  1. start with a Debian machine running Stretch or newer,
    2. + +
  2. build and install the gr-gsm package available from +http://ppa.launchpad.net/ptrkrysik/gr-gsm/ubuntu/pool/main/g/gr-gsm/,
    3. + +
  3. clone the git repostory from https://github.com/Oros42/IMSI-catcher,
    4. + +
  4. run grgsm_livemon and adjust the frequency until the terminal +where it was started is filled with a stream of text (meaning you +found a GSM station).
    5. + +
  5. go into the IMSI-catcher directory and run 'sudo python simple_IMSI-catcher.py' to extract the IMSI numbers.
    6. + +
+ +

To make it even easier in the future to get this sniffer up and +running, I decided to package +the gr-gsm project +for Debian (WNPP +#871055), and the package was uploaded into the NEW queue today. +Luckily the gnuradio maintainer has promised to help me, as I do not +know much about gnuradio stuff yet.

+ +

I doubt this "IMSI cacher" is anywhere near as powerfull as +commercial tools like +The +Spy Phone Portable IMSI / IMEI Catcher or the +Harris +Stingray, but I hope the existance of cheap alternatives can make +more people realise how their whereabouts when carrying a cell phone +is easily tracked. Seeing the data flow on the screen, realizing that +I live close to a police station and knowing that the police is also +wearing cell phones, I wonder how hard it would be for criminals to +track the position of the police officers to discover when there are +police near by, or for foreign military forces to track the location +of the Norwegian military forces, or for anyone to track the location +of government officials...

+ +

It is worth noting that the data reported by the IMSI-catcher +script mentioned above is only a fraction of the data broadcasted on +the GSM network. It will only collect one frequency at the time, +while a typical phone will be using several frequencies, and not all +phones will be using the frequencies tracked by the grgsm_livemod +program. Also, there is a lot of radio chatter being ignored by the +simple_IMSI-catcher script, which would be collected by extending the +parser code. I wonder if gr-gsm can be set up to listen to more than +one frequency?

+ +
+
+ + + Tags: debian, english, personvern, surveillance. + + +
+
+
+ +
+
+ How does it feel to be wiretapped, when you should be doing the wiretapping... +
+
+ 8th March 2017 +
+
+

So the new president in the United States of America claim to be +surprised to discover that he was wiretapped during the election +before he was elected president. He even claim this must be illegal. +Well, doh, if it is one thing the confirmations from Snowden +documented, it is that the entire population in USA is wiretapped, one +way or another. Of course the president candidates were wiretapped, +alongside the senators, judges and the rest of the people in USA.

+ +

Next, the Federal Bureau of Investigation ask the Department of +Justice to go public rejecting the claims that Donald Trump was +wiretapped illegally. I fail to see the relevance, given that I am +sure the surveillance industry in USA believe they have all the legal +backing they need to conduct mass surveillance on the entire +world.

+ +

There is even the director of the FBI stating that he never saw an +order requesting wiretapping of Donald Trump. That is not very +surprising, given how the FISA court work, with all its activity being +secret. Perhaps he only heard about it?

+ +

What I find most sad in this story is how Norwegian journalists +present it. In a news reports the other day in the radio from the +Norwegian National broadcasting Company (NRK), I heard the journalist +claim that 'the FBI denies any wiretapping', while the reality is that +'the FBI denies any illegal wiretapping'. There is a fundamental and +important difference, and it make me sad that the journalists are +unable to grasp it.

+ +

Update 2017-03-13: Look like +The +Intercept report that US Senator Rand Paul confirm what I state above.

+ +
+
+ + + Tags: english, surveillance. + + +
+
+
+ +
+
+ Nasjonalbiblioteket avslutter sin ulovlige bruk av Google Skjemaer +
+
+ 12th January 2017 +
+
+

I dag fikk jeg en skikkelig gladmelding. Bakgrunnen er at før jul +arrangerte Nasjonalbiblioteket +et +seminar om sitt knakende gode tiltak «verksregister». Eneste +måten å melde seg på dette seminaret var å sende personopplysninger +til Google via Google Skjemaer. Dette syntes jeg var tvilsom praksis, +da det bør være mulig å delta på seminarer arrangert av det offentlige +uten å måtte dele sine interesser, posisjon og andre +personopplysninger med Google. Jeg ba derfor om innsyn via +Mimes brønn i +avtaler +og vurderinger Nasjonalbiblioteket hadde rundt dette. +Personopplysningsloven legger klare rammer for hva som må være på +plass før en kan be tredjeparter, spesielt i utlandet, behandle +personopplysninger på sine vegne, så det burde eksistere grundig +dokumentasjon før noe slikt kan bli lovlig. To jurister hos +Nasjonalbiblioteket mente først dette var helt i orden, og at Googles +standardavtale kunne brukes som databehandlingsavtale. Det syntes jeg +var merkelig, men har ikke hatt kapasitet til å følge opp saken før +for to dager siden.

+ +

Gladnyheten i dag, som kom etter at jeg tipset Nasjonalbiblioteket +om at Datatilsynet underkjente Googles standardavtaler som +databehandleravtaler i 2011, er at Nasjonalbiblioteket har bestemt seg +for å avslutte bruken av Googles Skjemaer/Apps og gå i dialog med DIFI +for å finne bedre måter å håndtere påmeldinger i tråd med +personopplysningsloven. Det er fantastisk å se at av og til hjelper +det å spørre hva i alle dager det offentlige holder på med.

+ +
+
+ + + Tags: norsk, personvern, surveillance, web. + + +
+
+
+ +
+
+ Bryter NAV sin egen personvernerklæring? +
+
+ 11th January 2017 +
+
+

Jeg leste med interesse en nyhetssak hos +digi.no +og +NRK +om at det ikke bare er meg, men at også NAV bedriver geolokalisering +av IP-adresser, og at det gjøres analyse av IP-adressene til de som +sendes inn meldekort for å se om meldekortet sendes inn fra +utenlandske IP-adresser. Politiadvokat i Drammen, Hans Lyder Haare, +er sitert i NRK på at «De to er jo blant annet avslørt av +IP-adresser. At man ser at meldekortet kommer fra utlandet.»

+ +

Jeg synes det er fint at det blir bedre kjent at IP-adresser +knyttes til enkeltpersoner og at innsamlet informasjon brukes til å +stedsbestemme personer også av aktører her i Norge. Jeg ser det som +nok et argument for å bruke +Tor så mye som mulig for å +gjøre gjøre IP-lokalisering vanskeligere, slik at en kan beskytte sin +privatsfære og unngå å dele sin fysiske plassering med +uvedkommede.

+ +

Men det er en ting som bekymrer meg rundt denne nyheten. Jeg ble +tipset (takk #nuug) om +NAVs +personvernerklæring, som under punktet «Personvern og statistikk» +lyder:

+ +

+ +

«Når du besøker nav.no, etterlater du deg elektroniske spor. Sporene +dannes fordi din nettleser automatisk sender en rekke opplysninger til +NAVs tjener (server-maskin) hver gang du ber om å få vist en side. Det +er eksempelvis opplysninger om hvilken nettleser og -versjon du +bruker, og din internettadresse (ip-adresse). For hver side som vises, +lagres følgende opplysninger:

+ +
    +
  • hvilken side du ser pÃ¥
    • +
  • dato og tid
    • +
  • hvilken nettleser du bruker
    • +
  • din ip-adresse
    • +
+ +

Ingen av opplysningene vil bli brukt til å identifisere +enkeltpersoner. NAV bruker disse opplysningene til å generere en +samlet statistikk som blant annet viser hvilke sider som er mest +populære. Statistikken er et redskap til å forbedre våre +tjenester.»

+ +

+ +

Jeg klarer ikke helt å se hvordan analyse av de besøkendes +IP-adresser for å se hvem som sender inn meldekort via web fra en +IP-adresse i utlandet kan gjøres uten å komme i strid med påstanden om +at «ingen av opplysningene vil bli brukt til å identifisere +enkeltpersoner». Det virker dermed for meg som at NAV bryter sine +egen personvernerklæring, hvilket +Datatilsynet +fortalte meg i starten av desember antagelig er brudd på +personopplysningsloven. + +

I tillegg er personvernerklæringen ganske misvisende i og med at +NAVs nettsider ikke bare forsyner NAV med personopplysninger, men i +tillegg ber brukernes nettleser kontakte fem andre nettjenere +(script.hotjar.com, static.hotjar.com, vars.hotjar.com, +www.google-analytics.com og www.googletagmanager.com), slik at +personopplysninger blir gjort tilgjengelig for selskapene Hotjar og +Google , og alle som kan lytte på trafikken på veien (som FRA, GCHQ og +NSA). Jeg klarer heller ikke se hvordan slikt spredning av +personopplysninger kan være i tråd med kravene i +personopplysningloven, eller i tråd med NAVs personvernerklæring.

+ +

Kanskje NAV bør ta en nøye titt på sin personvernerklæring? Eller +kanskje Datatilsynet bør gjøre det?

+ +
+
+ + + Tags: norsk, nuug, personvern, surveillance. + + +
+
+
+ +
+
+ Where did that package go? — geolocated IP traceroute +
+
+ 9th January 2017 +
+
+

Did you ever wonder where the web trafic really flow to reach the +web servers, and who own the network equipment it is flowing through? +It is possible to get a glimpse of this from using traceroute, but it +is hard to find all the details. Many years ago, I wrote a system to +map the Norwegian Internet (trying to figure out if our plans for a +network game service would get low enough latency, and who we needed +to talk to about setting up game servers close to the users. Back +then I used traceroute output from many locations (I asked my friends +to run a script and send me their traceroute output) to create the +graph and the map. The output from traceroute typically look like +this: + +

+traceroute to www.stortinget.no (85.88.67.10), 30 hops max, 60 byte packets
+ 1  uio-gw10.uio.no (129.240.202.1)  0.447 ms  0.486 ms  0.621 ms
+ 2  uio-gw8.uio.no (129.240.24.229)  0.467 ms  0.578 ms  0.675 ms
+ 3  oslo-gw1.uninett.no (128.39.65.17)  0.385 ms  0.373 ms  0.358 ms
+ 4  te3-1-2.br1.fn3.as2116.net (193.156.90.3)  1.174 ms  1.172 ms  1.153 ms
+ 5  he16-1-1.cr1.san110.as2116.net (195.0.244.234)  2.627 ms he16-1-1.cr2.oslosda310.as2116.net (195.0.244.48)  3.172 ms he16-1-1.cr1.san110.as2116.net (195.0.244.234)  2.857 ms
+ 6  ae1.ar8.oslosda310.as2116.net (195.0.242.39)  0.662 ms  0.637 ms ae0.ar8.oslosda310.as2116.net (195.0.242.23)  0.622 ms
+ 7  89.191.10.146 (89.191.10.146)  0.931 ms  0.917 ms  0.955 ms
+ 8  * * *
+ 9  * * *
+[...]
+

+ +

This show the DNS names and IP addresses of (at least some of the) +network equipment involved in getting the data traffic from me to the +www.stortinget.no server, and how long it took in milliseconds for a +package to reach the equipment and return to me. Three packages are +sent, and some times the packages do not follow the same path. This +is shown for hop 5, where three different IP addresses replied to the +traceroute request.

+ +

There are many ways to measure trace routes. Other good traceroute +implementations I use are traceroute (using ICMP packages) mtr (can do +both ICMP, UDP and TCP) and scapy (python library with ICMP, UDP, TCP +traceroute and a lot of other capabilities). All of them are easily +available in Debian.

+ +

This time around, I wanted to know the geographic location of +different route points, to visualize how visiting a web page spread +information about the visit to a lot of servers around the globe. The +background is that a web site today often will ask the browser to get +from many servers the parts (for example HTML, JSON, fonts, +JavaScript, CSS, video) required to display the content. This will +leak information about the visit to those controlling these servers +and anyone able to peek at the data traffic passing by (like your ISP, +the ISPs backbone provider, FRA, GCHQ, NSA and others).

+ +

Lets pick an example, the Norwegian parliament web site +www.stortinget.no. It is read daily by all members of parliament and +their staff, as well as political journalists, activits and many other +citizens of Norway. A visit to the www.stortinget.no web site will +ask your browser to contact 8 other servers: ajax.googleapis.com, +insights.hotjar.com, script.hotjar.com, static.hotjar.com, +stats.g.doubleclick.net, www.google-analytics.com, +www.googletagmanager.com and www.netigate.se. I extracted this by +asking PhantomJS to visit the +Stortinget web page and tell me all the URLs PhantomJS downloaded to +render the page (in HAR format using +their +netsniff example. I am very grateful to Gorm for showing me how +to do this). My goal is to visualize network traces to all IP +addresses behind these DNS names, do show where visitors personal +information is spread when visiting the page.

+ +

map of combined traces for URLs used by www.stortinget.no using GeoIP

+ +

When I had a look around for options, I could not find any good +free software tools to do this, and decided I needed my own traceroute +wrapper outputting KML based on locations looked up using GeoIP. KML +is easy to work with and easy to generate, and understood by several +of the GIS tools I have available. I got good help from by NUUG +colleague Anders Einar with this, and the result can be seen in +my +kmltraceroute git repository. Unfortunately, the quality of the +free GeoIP databases I could find (and the for-pay databases my +friends had access to) is not up to the task. The IP addresses of +central Internet infrastructure would typically be placed near the +controlling companies main office, and not where the router is really +located, as you can see from the +KML file I created using the GeoLite City dataset from MaxMind. + +

scapy traceroute graph for URLs used by www.stortinget.no

+ +

I also had a look at the visual traceroute graph created by +the scrapy project, +showing IP network ownership (aka AS owner) for the IP address in +question. +The +graph display a lot of useful information about the traceroute in SVG +format, and give a good indication on who control the network +equipment involved, but it do not include geolocation. This graph +make it possible to see the information is made available at least for +UNINETT, Catchcom, Stortinget, Nordunet, Google, Amazon, Telia, Level +3 Communications and NetDNA.

+ +

example geotraceroute view for www.stortinget.no

+ +

In the process, I came across the +web service GeoTraceroute by +Salim Gasmi. Its methology of combining guesses based on DNS names, +various location databases and finally use latecy times to rule out +candidate locations seemed to do a very good job of guessing correct +geolocation. But it could only do one trace at the time, did not have +a sensor in Norway and did not make the geolocations easily available +for postprocessing. So I contacted the developer and asked if he +would be willing to share the code (he refused until he had time to +clean it up), but he was interested in providing the geolocations in a +machine readable format, and willing to set up a sensor in Norway. So +since yesterday, it is possible to run traces from Norway in this +service thanks to a sensor node set up by +the NUUG assosiation, and get the +trace in KML format for further processing.

+ +

map of combined traces for URLs used by www.stortinget.no using geotraceroute

+ +

Here we can see a lot of trafic passes Sweden on its way to +Denmark, Germany, Holland and Ireland. Plenty of places where the +Snowden confirmations verified the traffic is read by various actors +without your best interest as their top priority.

+ +

Combining KML files is trivial using a text editor, so I could loop +over all the hosts behind the urls imported by www.stortinget.no and +ask for the KML file from GeoTraceroute, and create a combined KML +file with all the traces (unfortunately only one of the IP addresses +behind the DNS name is traced this time. To get them all, one would +have to request traces using IP number instead of DNS names from +GeoTraceroute). That might be the next step in this project.

+ +

Armed with these tools, I find it a lot easier to figure out where +the IP traffic moves and who control the boxes involved in moving it. +And every time the link crosses for example the Swedish border, we can +be sure Swedish Signal Intelligence (FRA) is listening, as GCHQ do in +Britain and NSA in USA and cables around the globe. (Hm, what should +we tell them? :) Keep that in mind if you ever send anything +unencrypted over the Internet.

+ +

PS: KML files are drawn using +the KML viewer from Ivan +Rublev, as it was less cluttered than the local Linux application +Marble. There are heaps of other options too.

+ +

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+ +
+
+ + + Tags: debian, english, kart, nuug, personvern, stortinget, surveillance, web. + + +
+
+
+ +
+
+ Er lover brutt når personvernpolicy ikke stemmer med praksis? +
+
+ 9th December 2016 +
+
+

Når jeg bruker Ghostery, +uBlock, +uMatrix, +ScriptSafe og andre +nettleserverktøy (de passer på hverandre) for å holde styr på hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til å utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker å være avvik mellom personvernpolicy og +praksis endel steder, og tok tak i et par konkrete eksempler og sendte +spørsmål til Datatilsynets kontaktpunkt for veiledning:

+ +
+ +

«Jeg har et spørsmål når det gjelder bruken av Google Analytics og +personvernpolicy. Er det lovlig for et nettsted å si en ting i +personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer +jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til +nettsidene ber lesernes nettleser om å kontakte Google Analytics og +slik overleverer sitt IP-nummer til Google, samtidig som +personvernpolicien hevder at Google Analytics kun får anonymiserte +data. Google får jo i slike tilfeller alltid overført fullt +IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke +lagre deler av IP-adressen (omtalt som anonymisering av Google +Analytics)

+ +

Et eksempel er Nettavisen digi.no. +Deres +personvernpolicy sier følgende:

+ +
+ «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun + anonymiserte data.» +
+ +

Men når en leser artikler der så blir maskiner i Norge, USA, +Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om +besøket og får dermed overlevert full IP-adresse, som datatilsynet har +uttalt er en personopplysning. Nettsidene er satt opp til be +nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av +dem er er under DNS-domenene digi.no og tek.no som tilhører samme +eier. I tillegg ber nettsidene ikke +Google +Analytics om å fjerne siste oktett i IP-adressen ved lagring, +dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte +Google Analytics.

+ +

Tilsvarende er også tilfelle for andre nettsteder, så digi.no er +ikke spesiell i så måte (dagbladet.no er et annet eksempel, det +gjelder flere).»

+ +
+ +

Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen +hos Datatilsynet fortelle det følgende:

+ +
+«Hei, og takk for din e-post.

+ +

Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere +i saken din, men gi deg råd og veiledning.

+ +

Ut ifra det du skriver er det antakelig flere bestemmelser i +personopplysingsloven som brytes dersom virksomhetens personvernpolicy +sier noe annet om behandlingen av personopplysninger enn det som +faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten +i personopplysingsloven §§ 18 og +19<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18> +dersom det gis feilinformasjon om at opplysningene utleveres. Det kan +også stilles spørsmål om grunnkravene for behandling av +personopplysninger vil være oppfylt ved en utlevering av +personopplysninger til en tredjepart, dersom dette ikke er inkludert +behandlingsgrunnlaget og formålet med behandlingen, se +personopplysingsloven § 11, jf. +8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11>» +

+ + + +

Oppdatert med kunnskap om lover og regler tok jeg så kontakt med +Dagbladet på epostadressen de annonserer på sine +personvernpolicysider:

+ +

+ +

«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer +på om dere hjelpe meg med å finne ut av følgende. Først litt +bakgrunnsinformasjon. +Dagbladets +personvernpolicy forteller følgende:

+ +
+

«3. Automatisk innhentet informasjon

+ +

For eksempel IP-adressen din (ikke synlig for andre) samt + statistisk, automatisk produsert informasjon, som når du sist var + innlogget på tjenesten. Dette er informasjon vi samler for å gjøre + tjenesten best mulig.»

+ +
+ + +

Men når en besøker nettsidene til Dagbladet, +f.eks. forsiden, så er nettsidene +satt opp til å kontakte mange tredjeparter som slik får tilgang til +både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken +artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges +ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick +med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 +nettsteder med 149 separate oppkoblinger. I hver av disse +oppkoblingene oversendes IP-adressen til leseren, og i følge +Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson».

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke + er synlig for andre?»

+ +
+ +
+ +

Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt +spørsmål, så neste steg er antagelig å høre om Datatilsynet er +interessert i å se på saken.

+ +

Men Dagbladet er ikke det eneste nettstedet som forteller at de +ikke deler personopplysninger med andre mens observerbar praksis +dokumenterer noe annet. Jeg sendte derfor også et spørsmål til +kontaktadressen til nettavisen Digi.no, og der var responsen mye +bedre:

+ +
+ +

«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, +og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. +Digi.nos +personvernpolicy forteller følgende:

+ +
+ «All personlig informasjon blir lagret i våre systemer, disse er ikke + tilgjengelig for tredjeparter, og blir ikke lagret i + informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, + TNS Gallup) får kun anonymiserte data.» +
+ +

Men når en besøker nettsidene til nettavisen, f.eks. +forsiden, så er nettsidene satt opp +til å kontakte mange tredjeparter som slik får tilgang til både fullt +IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser +hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder +både Google Analytics, Cxense blant og INS Gallum. Totalt ber +forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 +separate oppkoblinger. I hver av disse oppkoblingene sendes +IP-adressen til leseren over, og i følge Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson». +Det jeg ser virker ikke å være i tråd med personvernpolicyen.

+ +

Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til +Google Analytics, en for å hente ned programkoden som samler +informasjon fra nettleseren og sender over til Google (analytics.js), +og en for å overføre det som ble samlet inn. I den siste oppkoblingen +er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i +stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt +misvisende for «anonymisert» bruk av Google Analytics, i og med at +fullt IP-nummer blir sendt til Google og det er opp til Google om de +vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som +står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke +ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen +kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber +Google om å la være å lagre hele IP-adressen. Dette virker heller +ikke å være i tråd med personvernpolicyen.

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8. Det er uklart for meg om disse kravene er oppfylt +når IP-adresse og informasjon om hvilke websider som besøkes til +tredjeparter.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at «Tredjeparter + får kun anonymiserte data»?»

+ +
+ +
+ +

Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han +måtte komme tilbake til meg når han hadde med utviklingsavdelingen. +Seks dager senere lurte jeg på hva han fant ut, og etter noen timer +fikk jeg så følgende svar fra direktøren for teknologi og +forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:

+ +
+ +

«Takk for godt tips! Det er helt riktig at IP og referrer-adresse +potensielt kan leses ut av tredjepart.

+ +

Retningslinjene våre har vært uklare på dette tidspunktet, og vi +oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som +følger:

+ +
+

3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til +oss blir lagret i våre systemer, er ikke tilgjengelig for +tredjeparter, og blir ikke lagret i informasjonskapsler. +Informasjonen vil kun benyttes til å gi deg som bruker mer relevant +informasjon og bedre tjenester.

+ +

Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne +hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS +er pliktig å påse at disse tredjepartene behandler data i tråd med +norsk regelverk.

+
+ +

Ellers har vi nå aktivert anonymisering i Google Analytics +(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har +mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er +noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

+ +
+ +

Det var nyttig å vite at vi er enige om at formuleringen i +personvernpolicyen er misvisende. Derimot var det nedslående at i +stedet for å endre praksis for å følge det personvernpolicyen sier om +å ikke dele personinformasjon med tredjeparter, så velger Digi.no å +fortsette praksis og i stedet endre personvernpolicyen slik at den å +dokumentere dagens praksis med spredning av personopplysninger.

+ +

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til å håndtere endringen:

+ +
+ +

«Tusen takk for beskjed om endring av personvernpolicy for digi.no. +Gjelder endringen også andre nettsteder?

+ +

Vil tidligere håndteringen av IP-adresser og lesemønster i strid +med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd +med +personopplysningsforskriften +§ 2-6? Vil leserne bli varslet på en prominent og synlig måte om +at lesernes IP-adresser og lesemønster har vært utlevert til +tredjeparter i stid med tidligere formulering om at tredjeparter kun +får anonymiserte data, og at utleveringen fortsetter etter at +personvernpolicy er endret for å dokumentere praksis?

+ +

Appropos ekstra tilbud til betalende lesere, tilbyr dere en +mulighet for å betale for å lese som ikke innebærer at en må gjøre det +mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne +for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»

+
+ +

Jeg fikk raskt svar tilbake fra direktøren Høie:

+ +
+

«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.

+ +

Vi kommer til å ta en runde og gå over vår policy i forbindelse med +dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig +overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av +tredjeparts analyseverktøy og annonsetracking er helt på linje med det +som er normalt for norske kommersielle nettsteder.

+ +

Angående spørsmålet ditt: +
Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, +vi skrur bare av tredjeparts tracking.»

+
+ +

Det høres jo ikke bra ut at det er normalt for norske kommersielle +nettsteder å utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra gårdagens oppslag fra NRK gjelder +det også norske kommuner og andre offentlige aktører, og +jeg +skrev om omfanget av problemet i fjor. Det er uansett ikke en +praksis jeg tror er i tråd med kravene i personopplysningsloven, og +heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog +fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om +avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost +i går kveld:

+ +
+ +

«Kan du fortelle meg om dere anser det å være påkrevd å varsle +tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i +tråd med personvernpolicy?»

+ +
+ +

Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan +Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om +dette. Jeg planlegger å oppdatere denne bloggposten med svaret når +det kommer.

+ +

Jeg synes jo det er spesielt ille når barn får sine +personopplysninger spredt til utlandet, noe jeg +tok +opp med NRK i fjor. De to eksemplene jeg nevner er som dere +forstår ikke unike, men jeg har ikke full oversikt over hvor mange +nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å +lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende +meg tips på epost om andre nettsteder med avvik mellom policy og +praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje +noen til slutt endrer praksis og slutter å dele lesernes +personopplysninger med tredjeparter?

+ +

Apropos bruken av Google Analytics kan jeg forresten nevne at +Universitetet i Oslo også har tatt i bruk Google Analytics, men der +lagres programkoden som overføres til nettleserne lokalt og deler av +IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy +(tilgjengelig via +github) før informasjon sendes over til Google Analytics. Dermed +er det mulig for ansvarlige for nettstedet å vite at Google +ikke har tilgang til komplett IP-adresse. Årsaken til at denne +metoden brukes er at juristene ved universitetet har konkludert med at +det er eneste måten en kunne vurdere å bruke Google Analytics uten å +bryte loven. Risikoen for gjenidentifisering og +identifisering ved hjelp av +nettleserinformasjon er fortsatt tilstede, så det er ingen optimal +løsning, men det er bedre enn å håpe at f.eks. Google og alle som +lytter på veien skal prioritere norsk lov over sin lokale +lovgivning.

+ +

Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt +spørsmål litt etter at jeg hadde publisert denne artikkelen:

+ +
+ +

Vi kommer til å annonsere en oppdatert policy, og skal undersøke om +vi er pliktig å varsle Datatilsynet.

+ +

Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy +sammen med utviklerne og advokat, så vi er sikre på at vi går frem +riktig og at det ikke er flere tvetydigheter som skjuler seg i +teksten.

+ +

Har du andre idéer eller konkrete innspill til hva som kan gjøre +policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker +å være ryddige på.

+ +
+ +

Vi får se om de liker mine innspill, som i grunnen er å ikke pusse +på personvernpolicyen men i stedet slutte å spre lesernes +personopplysninger til eksterne aktører.

+ +
+
+ + + Tags: norsk, personvern, surveillance. + + +
+
+
+ +
+
+ How to talk with your loved ones in private +
+
+ 7th November 2016 +
+
+

A few days ago I ran a very biased and informal survey to get an +idea about what options are being used to communicate with end to end +encryption with friends and family. I explicitly asked people not to +list options only used in a work setting. The background is the +uneasy feeling I get when using Signal, a feeling shared by others as +a blog post from Sander Venima about +why +he do not recommend Signal anymore (with +feedback from +the Signal author available from ycombinator). I wanted an +overview of the options being used, and hope to include those options +in a less biased survey later on. So far I have not taken the time to +look into the individual proposed systems. They range from text +sharing web pages, via file sharing and email to instant messaging, +VOIP and video conferencing. For those considering which system to +use, it is also useful to have a look at +the EFF Secure +messaging scorecard which is slightly out of date but still +provide valuable information.

+ +

So, on to the list. There were some used by many, some used by a +few, some rarely used ones and a few mentioned but without anyone +claiming to use them. Notice the grouping is in reality quite random +given the biased self selected set of participants. First the ones +used by many:

+ + + +

Then the ones used by a few.

+ + + +

Then the ones used by even fewer people

+ + + +

And finally the ones mentioned by not marked as used by +anyone. This might be a mistake, perhaps the person adding the entry +forgot to flag it as used?

+ + + +

Given the network effect it seem obvious to me that we as a society +have been divided and conquered by those interested in keeping +encrypted and secure communication away from the masses. The +finishing remarks from Aral Balkan +in his talk "Free is a lie" about the usability of free software +really come into effect when you want to communicate in private with +your friends and family. We can not expect them to allow the +usability of communication tool to block their ability to talk to +their loved ones.

+ +

Note for example the option IRC w/OTR. Most IRC clients do not +have OTR support, so in most cases OTR would not be an option, even if +you wanted to. In my personal experience, about 1 in 20 I talk to +have a IRC client with OTR. For private communication to really be +available, most people to talk to must have the option in their +currently used client. I can not simply ask my family to install an +IRC client. I need to guide them through a technical multi-step +process of adding extensions to the client to get them going. This is +a non-starter for most.

+ +

I would like to be able to do video phone calls, audio phone calls, +exchange instant messages and share files with my loved ones, without +being forced to share with people I do not know. I do not want to +share the content of the conversations, and I do not want to share who +I communicate with or the fact that I communicate with someone. +Without all these factors in place, my private life is being more or +less invaded.

+ +
+
+ + + Tags: english, personvern, sikkerhet, surveillance. + + +
+
+
+ +
+
+ Aktivitetsbånd som beskytter privatsfæren +
+
+ 3rd November 2016 +
+
+

Jeg ble så imponert over +dagens +gladnyhet på NRK, om at Forbrukerrådet klager inn vilkårene for +bruk av aktivitetsbånd fra Fitbit, Garmin, Jawbone og Mio til +Datatilsynet og forbrukerombudet, at jeg sendte følgende brev til +forbrukerrådet for å uttrykke min støtte: + +

+ +

Jeg ble veldig glad over å lese at Forbrukerrådet +klager +inn flere aktivitetsbånd til Datatilsynet for dårlige vilkår. Jeg +har ønsket meg et aktivitetsbånd som kan måle puls, bevegelse og +gjerne også andre helserelaterte indikatorer en stund nå. De eneste +jeg har funnet i salg gjør, som dere også har oppdaget, graverende +inngrep i privatsfæren og sender informasjonen ut av huset til folk og +organisasjoner jeg ikke ønsker å dele aktivitets- og helseinformasjon +med. Jeg ønsker et alternativ som ikke sender informasjon til +skyen, men derimot bruker +en +fritt og åpent standardisert protokoll (eller i det minste en +dokumentert protokoll uten patent- og opphavsrettslige +bruksbegrensinger) til å kommunisere med datautstyr jeg kontrollerer. +Er jo ikke interessert i å betale noen for å tilrøve seg +personopplysninger fra meg. Desverre har jeg ikke funnet noe +alternativ så langt.

+ +

Det holder ikke å endre på bruksvilkårene for enhetene, slik +Datatilsynet ofte legger opp til i sin behandling, når de gjør slik +f.eks. Fitbit (den jeg har sett mest på). Fitbit krypterer +informasjonen på enheten og sender den kryptert til leverandøren. Det +gjør det i praksis umulig både å sjekke hva slags informasjon som +sendes over, og umulig å ta imot informasjonen selv i stedet for +Fitbit. Uansett hva slags historie som forteller i bruksvilkårene er +en jo både prisgitt leverandørens godvilje og at de ikke tvinges av +sitt lands myndigheter til å lyve til sine kunder om hvorvidt +personopplysninger spres ut over det bruksvilkårene sier. Det er +veldokumentert hvordan f.eks. USA tvinger selskaper vha. såkalte +National security letters til å utlevere personopplysninger samtidig +som de ikke får lov til å fortelle dette til kundene sine.

+ +

Stå på, jeg er veldig glade for at dere har sett på saken. Vet +dere om aktivitetsbånd i salg i dag som ikke tvinger en til å utlevere +aktivitets- og helseopplysninger med leverandøren?

+ +
+ +

Jeg håper en konkurrent som respekterer kundenes privatliv klarer å +nå opp i markedet, slik at det finnes et reelt alternativ for oss som +har full tillit til at skyleverandører vil prioritere egen inntjening +og myndighetspålegg langt foran kundenes rett til privatliv. Jeg har +ingen tiltro til at Datatilsynet vil kreve noe mer enn at vilkårene +endres slik at de forklarer eksplisitt i hvor stor grad bruk av +produktene utraderer privatsfæren til kundene. Det vil nok gjøre de +innklagede armbåndene «lovlige», men fortsatt tvinge kundene til å +dele sine personopplysninger med leverandøren.

+ +
+
+ + + Tags: norsk, personvern, sikkerhet, surveillance. + + +
+
+
+ +
+
+ Experience and updated recipe for using the Signal app without a mobile phone +
+
+ 10th October 2016 +
+
+

In July +I +wrote how to get the Signal Chrome/Chromium app working without +the ability to receive SMS messages (aka without a cell phone). It is +time to share some experiences and provide an updated setup.

+ +

The Signal app have worked fine for several months now, and I use +it regularly to chat with my loved ones. I had a major snag at the +end of my summer vacation, when the the app completely forgot my +setup, identity and keys. The reason behind this major mess was +running out of disk space. To avoid that ever happening again I have +started storing everything in userdata/ in git, to be able to +roll back to an earlier version if the files are wiped by mistake. I +had to use it once after introducing the git backup. When rolling +back to an earlier version, one need to use the 'reset session' option +in Signal to get going, and notify the people you talk with about the +problem. I assume there is some sequence number tracking in the +protocol to detect rollback attacks. The git repository is rather big +(674 MiB so far), but I have not tried to figure out if some of the +content can be added to a .gitignore file due to lack of spare +time.

+ +

I've also hit the 90 days timeout blocking, and noticed that this +make it impossible to send messages using Signal. I could still +receive them, but had to patch the code with a new timestamp to send. +I believe the timeout is added by the developers to force people to +upgrade to the latest version of the app, even when there is no +protocol changes, to reduce the version skew among the user base and +thus try to keep the number of support requests down.

+ +

Since my original recipe, the Signal source code changed slightly, +making the old patch fail to apply cleanly. Below is an updated +patch, including the shell wrapper I use to start Signal. The +original version required a new user to locate the JavaScript console +and call a function from there. I got help from a friend with more +JavaScript knowledge than me to modify the code to provide a GUI +button instead. This mean that to get started you just need to run +the wrapper and click the 'Register without mobile phone' to get going +now. I've also modified the timeout code to always set it to 90 days +in the future, to avoid having to patch the code regularly.

+ +

So, the updated recipe for Debian Jessie:

+ +
    + +
  1. First, install required packages to get the source code and the +browser you need. Signal only work with Chrome/Chromium, as far as I +know, so you need to install it. + +
    +apt install git tor chromium
+git clone https://github.com/WhisperSystems/Signal-Desktop.git
+
    2. + +
  2. Modify the source code using command listed in the the patch +block below.
    3. + +
  3. Start Signal using the run-signal-app wrapper (for example using +`pwd`/run-signal-app). + +
  4. Click on the 'Register without mobile phone', will in a phone +number you can receive calls to the next minute, receive the +verification code and enter it into the form field and press +'Register'. Note, the phone number you use will be user Signal +username, ie the way others can find you on Signal.
    5. + +
  5. You can now use Signal to contact others. Note, new contacts do +not show up in the contact list until you restart Signal, and there is +no way to assign names to Contacts. There is also no way to create or +update chat groups. I suspect this is because the web app do not have +a associated contact database.
    6. + +
+ +

I am still a bit uneasy about using Signal, because of the way its +main author moxie0 reject federation and accept dependencies to major +corporations like Google (part of the code is fetched from Google) and +Amazon (the central coordination point is owned by Amazon). See for +example +the +LibreSignal issue tracker for a thread documenting the authors +view on these issues. But the network effect is strong in this case, +and several of the people I want to communicate with already use +Signal. Perhaps we can all move to Ring +once it work on my +laptop? It already work on Windows and Android, and is included +in Debian and +Ubuntu, but not +working on Debian Stable.

+ +

Anyway, this is the patch I apply to the Signal code to get it +working. It switch to the production servers, disable to timeout, +make registration easier and add the shell wrapper:

+ +
+cd Signal-Desktop; cat <<EOF | patch -p1
+diff --git a/js/background.js b/js/background.js
+index 24b4c1d..579345f 100644
+--- a/js/background.js
++++ b/js/background.js
+@@ -33,9 +33,9 @@
+         });
+     });
+ 
+-    var SERVER_URL = 'https://textsecure-service-staging.whispersystems.org';
++    var SERVER_URL = 'https://textsecure-service-ca.whispersystems.org';
+     var SERVER_PORTS = [80, 4433, 8443];
+-    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com';
++    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments.s3.amazonaws.com';
+     var messageReceiver;
+     window.getSocketStatus = function() {
+         if (messageReceiver) {
+diff --git a/js/expire.js b/js/expire.js
+index 639aeae..beb91c3 100644
+--- a/js/expire.js
++++ b/js/expire.js
+@@ -1,6 +1,6 @@
+ ;(function() {
+     'use strict';
+-    var BUILD_EXPIRATION = 0;
++    var BUILD_EXPIRATION = Date.now() + (90 * 24 * 60 * 60 * 1000);
+ 
+     window.extension = window.extension || {};
+ 
+diff --git a/js/views/install_view.js b/js/views/install_view.js
+index 7816f4f..1d6233b 100644
+--- a/js/views/install_view.js
++++ b/js/views/install_view.js
+@@ -38,7 +38,8 @@
+             return {
+                 'click .step1': this.selectStep.bind(this, 1),
+                 'click .step2': this.selectStep.bind(this, 2),
+-                'click .step3': this.selectStep.bind(this, 3)
++                'click .step3': this.selectStep.bind(this, 3),
++                'click .callreg': function() { extension.install('standalone') },
+             };
+         },
+         clearQR: function() {
+diff --git a/options.html b/options.html
+index dc0f28e..8d709f6 100644
+--- a/options.html
++++ b/options.html
+@@ -14,7 +14,10 @@
+         <div class='nav'>
+           <h1>{{ installWelcome }}</h1>
+           <p>{{ installTagline }}</p>
+-          <div> <a class='button step2'>{{ installGetStartedButton }}</a> </div>
++          <div> <a class='button step2'>{{ installGetStartedButton }}</a>
++	    <br> <a class="button callreg">Register without mobile phone</a>
++
++	  </div>
+           <span class='dot step1 selected'></span>
+           <span class='dot step2'></span>
+           <span class='dot step3'></span>
+--- /dev/null   2016-10-07 09:55:13.730181472 +0200
++++ b/run-signal-app   2016-10-10 08:54:09.434172391 +0200
+@@ -0,0 +1,12 @@
++#!/bin/sh
++set -e
++cd $(dirname $0)
++mkdir -p userdata
++userdata="`pwd`/userdata"
++if [ -d "$userdata" ] && [ ! -d "$userdata/.git" ] ; then
++    (cd $userdata && git init)
++fi
++(cd $userdata && git add . && git commit -m "Current status." || true)
++exec chromium \
++  --proxy-server="socks://localhost:9050" \
++  --user-data-dir=$userdata --load-and-launch-app=`pwd`
+EOF
+chmod a+rx run-signal-app
+
+ +

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+ +
+
+ + + Tags: debian, english, sikkerhet, surveillance. + + +
+
+
+ +
+
+ NRKs kildevern når NRK-epost deles med utenlands etterretning? +
+
+ 8th October 2016 +
+
+

NRK +lanserte +for noen uker siden en ny +varslerportal som bruker +SecureDrop til å ta imot tips der det er vesentlig at ingen +utenforstående får vite at NRK er tipset. Det er et langt steg +fremover for NRK, og når en leser bloggposten om hva de har tenkt på +og hvordan løsningen er satt opp virker det som om de har gjort en +grundig jobb der. Men det er ganske mye ekstra jobb å motta tips via +SecureDrop, så varslersiden skriver "Nyhetstips som ikke krever denne +typen ekstra vern vil vi gjerne ha på nrk.no/03030", og 03030-siden +foreslår i tillegg til et webskjema å bruke epost, SMS, telefon, +personlig oppmøte og brevpost. Denne artikkelen handler disse andre +metodene.

+ +

Når en sender epost til en @nrk.no-adresse så vil eposten sendes ut +av landet til datamaskiner kontrollert av Microsoft. En kan sjekke +dette selv ved å slå opp epostleveringsadresse (MX) i DNS. For NRK er +dette i dag "nrk-no.mail.protection.outlook.com". NRK har som en ser +valgt å sette bort epostmottaket sitt til de som står bak outlook.com, +dvs. Microsoft. En kan sjekke hvor nettverkstrafikken tar veien +gjennom Internett til epostmottaket vha. programmet +traceroute, og finne ut hvem som eier en Internett-adresse +vha. whois-systemet. Når en gjør dette for epost-trafikk til @nrk.no +ser en at trafikken fra Norge mot nrk-no.mail.protection.outlook.com +går via Sverige mot enten Irland eller Tyskland (det varierer fra gang +til gang og kan endre seg over tid).

+ +

Vi vet fra +introduksjonen av +FRA-loven at IP-trafikk som passerer grensen til Sverige avlyttes +av Försvarets radioanstalt (FRA). Vi vet videre takket være +Snowden-bekreftelsene at trafikk som passerer grensen til +Storbritannia avlyttes av Government Communications Headquarters +(GCHQ). I tillegg er er det nettopp lansert et forslag i Norge om at +forsvarets E-tjeneste skal få avlytte trafikk som krysser grensen til +Norge. Jeg er ikke kjent med dokumentasjon på at Irland og Tyskland +gjør det samme. Poenget er uansett at utenlandsk etterretning har +mulighet til å snappe opp trafikken når en sender epost til @nrk.no. +I tillegg er det selvsagt tilgjengelig for Microsoft som er underlagt USAs +jurisdiksjon og +samarbeider +med USAs etterretning på flere områder. De som tipser NRK om +nyheter via epost kan dermed gå ut fra at det blir kjent for mange +andre enn NRK at det er gjort.

+ +

Bruk av SMS og telefon registreres av blant annet telefonselskapene +og er tilgjengelig i følge lov og forskrift for blant annet Politi, +NAV og Finanstilsynet, i tillegg til IT-folkene hos telefonselskapene +og deres overordnede. Hvis innringer eller mottaker bruker +smarttelefon vil slik kontakt også gjøres tilgjengelig for ulike +app-leverandører og de som lytter på trafikken mellom telefon og +app-leverandør, alt etter hva som er installert på telefonene som +brukes.

+ +

Brevpost kan virke trygt, og jeg vet ikke hvor mye som registreres +og lagres av postens datastyrte postsorteringssentraler. Det vil ikke +overraske meg om det lagres hvor i landet hver konvolutt kommer fra og +hvor den er adressert, i hvert fall for en kortere periode. Jeg vet +heller ikke hvem slik informasjon gjøres tilgjengelig for. Det kan +være nok til å ringe inn potensielle kilder når det krysses med hvem +som kjente til aktuell informasjon og hvor de befant seg (tilgjengelig +f.eks. hvis de bærer mobiltelefon eller bor i nærheten).

+ +

Personlig oppmøte hos en NRK-journalist er antagelig det tryggeste, +men en bør passe seg for å bruke NRK-kantina. Der bryter de nemlig +Sentralbanklovens +paragraf 14 og nekter folk å betale med kontanter. I stedet +krever de at en varsle sin bankkortutsteder om hvor en befinner seg +ved å bruke bankkort. Banktransaksjoner er tilgjengelig for +bankkortutsteder (det være seg VISA, Mastercard, Nets og/eller en +bank) i tillegg til politiet og i hvert fall tidligere med Se & Hør +(via utro tjenere, slik det ble avslørt etter utgivelsen av boken +«Livet, det forbannede» av Ken B. Rasmussen). Men hvor mange kjenner +en NRK-journalist personlig? Besøk på NRK på Marienlyst krever at en +registrerer sin ankost elektronisk i besøkssystemet. Jeg vet ikke hva +som skjer med det datasettet, men har grunn til å tro at det sendes ut +SMS til den en skal besøke med navnet som er oppgitt. Kanskje greit å +oppgi falskt navn.

+ +

Når så tipset er kommet frem til NRK skal det behandles +redaksjonelt i NRK. Der vet jeg via ulike kilder at de fleste +journalistene bruker lokalt installert programvare, men noen bruker +Google Docs og andre skytjenester i strid med interne retningslinjer +når de skriver. Hvordan vet en hvem det gjelder? Ikke vet jeg, men +det kan være greit å spørre for å sjekke at journalisten har tenkt på +problemstillingen, før en gir et tips. Og hvis tipset omtales internt +på epost, er det jo grunn til å tro at også intern eposten vil deles +med Microsoft og utenlands etterretning, slik tidligere nevnt, men det +kan hende at det holdes internt i NRKs interne MS Exchange-løsning. +Men Microsoft ønsker å få alle Exchange-kunder over "i skyen" (eller +andre folks datamaskiner, som det jo innebærer), så jeg vet ikke hvor +lenge det i så fall vil vare.

+ +

I tillegg vet en jo at +NRK +har valgt å gi nasjonal sikkerhetsmyndighet (NSM) tilgang til å se på +intern og ekstern Internett-trafikk hos NRK ved oppsett av såkalte +VDI-noder, på tross av +protester +fra NRKs journalistlag. Jeg vet ikke om den vil kunne snappe opp +dokumenter som lagres på interne filtjenere eller dokumenter som lages +i de interne webbaserte publiseringssystemene, men vet at hva noden +ser etter på nettet kontrolleres av NSM og oppdateres automatisk, slik +at det ikke gir så mye mening å sjekke hva noden ser etter i dag når +det kan endres automatisk i morgen.

+ +

Personlig vet jeg ikke om jeg hadde turt tipse NRK hvis jeg satt på +noe som kunne være en trussel mot den bestående makten i Norge eller +verden. Til det virker det å være for mange åpninger for +utenforstående med andre prioriteter enn NRKs journalistiske fokus. +Og den største truslen for en varsler er jo om metainformasjon kommer +på avveie, dvs. informasjon om at en har vært i kontakt med en +journalist. Det kan være nok til at en kommer i myndighetenes +søkelys, og de færreste har nok operasjonell sikkerhet til at vil tåle +slik flombelysning på sitt privatliv.

+ +
+
+ + + Tags: dld, norsk, personvern, sikkerhet, surveillance. + + +
+
+
+ +
+
+ Aftenposten-redaktøren med lua i hånda +
+
+ 9th September 2016 +
+
+

En av dagens nyheter er at Aftenpostens redaktør Espen Egil Hansen +bruker +forsiden +av papiravisen på et åpent brev til Facebooks sjef Mark Zuckerberg om +Facebooks fjerning av bilder, tekster og sider de ikke liker. Det +må være uvant for redaktøren i avisen Aftenposten å stå med lua i +handa og håpe på å bli hørt. Spesielt siden Aftenposten har vært med +på å gi Facebook makten de nå demonstrerer at de har. Ved å melde seg +inn i Facebook-samfunnet har de sagt ja til bruksvilkårene og inngått +en antagelig bindende avtale. Kanskje de skulle lest og vurdert +vilkårene litt nærmere før de sa ja, i stedet for å klage over at +reglende de har valgt å akseptere blir fulgt? Personlig synes jeg +vilkårene er uakseptable og det ville ikke falle meg inn å gå inn på +en avtale med slike vilkår. I tillegg til uakseptable vilkår er det +mange andre grunner til å unngå Facebook. Du kan finne en solid +gjennomgang av flere slike argumenter hos +Richard Stallmans side om +Facebook. + +

Jeg håper flere norske redaktører på samme vis må stå med lua i +hånden inntil de forstår at de selv er med på å føre samfunnet på +ville veier ved å omfavne Facebook slik de gjør når de omtaler og +løfter frem saker fra Facebook, og tar i bruk Facebook som +distribusjonskanal for sine nyheter. De bidrar til +overvåkningssamfunnet og raderer ut lesernes privatsfære når de lenker +til Facebook på sine sider, og låser seg selv inne i en omgivelse der +det er Facebook, og ikke redaktøren, som sitter med makta.

+ +

Men det vil nok ta tid, i et Norge der de fleste nettredaktører +deler +sine leseres personopplysinger med utenlands etterretning.

+ +

For øvrig burde varsleren Edward Snowden få politisk asyl i +Norge.

+ +
+
+ + + Tags: norsk, surveillance. + + +
+
+
+
E-tjenesten ber om innsyn i eposten til partiene på Stortinget @@ -294,6 +2154,12 @@ those I knew could tell who I was on Signal. There are options avoiding such information leakage, but most of my friends are not using them, so I am stuck with Signal for now.

+

Update 2017-01-10: There is an updated blog post +on this topic in +Experience +and updated recipe for using the Signal app without a mobile +phone.

+
@@ -2371,7 +4237,7 @@ befolkningen, det vil si datalagringsdirektivet.

stortingsvoteringene om datalagringsdirektivet, så har nettstedet til Holder De Ord den (så vidt jeg vet) eneste komplette oversikten på sin temaside om -innføringen +innføringen av datalagringsdirektivet. Den har detaljene fra de 11 relevante forslagene som har vært fremmet så lagt. De har vært votert over 2011-04-04, 2011-04-11, 2012-06-11, 2012-10-05 og 2012-12-06.

@@ -2382,6 +4248,9 @@ fra Jon Wessel-Aas om temaet, samt informasjon fra foreningen Digitalt Personvern.

+

Oppdatering 2017-04-30: Endret lenke til temaside hos HDO etter at +den gamle URL-en sluttet å fungere.

+
@@ -3092,6 +4961,44 @@ automatisk over i spesialkartet.

Archive