Femte juli

Nätet till folket!

Henrik Alexandersson (HAX) under en inspelning av 5 juli-podden, september 2016

HAX: Kampen mot Storebror – ett flerfrontskrig

av

Kampen mot massövervakningen är bara en del av kampen mot Storebrorsstaten. Den berör det faktum att överheten vill veta vad vi säger, skriver, tycker och gör. Detta är viktiga verktyg för makthavare som vill kunna kontrollera folket och öka sin makt.

Men Storebrorsstaten handlar om så mycket mer än övervakning. Det handlar även om rätten och möjligheten att fritt uttrycka sig. Det är verktyg som kan användas för att inskränka denna rätt som vi nu ser med det i EU föreslagna uppladdningsfiltret, i Europols långsamt växande mandat att övervaka vad folk uttrycker för åsikter på nätet, och i en hetslagstiftning som allt mer inskränker yttrandefriheten.

Storebrorsstaten handlar även om vad folk skall få veta. Inte för mycket, tycks våra herrar tycka. Här finns för övrigt en ohelig allians mellan den politisk-byråkratiska klassen och ”gammelmedia” – mot alternativa röster, uppstickare och obekväm information.

Ett fritt och öppet internet är en garant för fria flöden av information, kors och tvärs, där vi alla ofta kan vara både avsändare och mottagare. Vilket i sin tur är en garanti mot auktoritära och totalitära tendenser i vårt samhälle, strömningar vars främsta vapen är konformism.

Men i stället är vi nu på väg mot en situation där alla våra kommunikationer övervakas, det fria ordet begränsas och information filtreras.

I grunden är detta en fråga om samhällssyn, om ”värdegrund” om man så vill. Är staten till för medborgarna – eller är det tvärtom? Är folket fria individer – eller undersåtar?

Makthavarna samlar på makt. Information är makt. Det är därför den härskande politiska klassen så hett avskyr fri information.

/HAX

Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 29 december 2017. Bilden togs under en podcastinspelning i Berlin Kreuzberg.

Peter Sunde: Släpp fildelningen fri!

av

”The solution to piracy is to re-define piracy. Make things available to everyone, without that being a crime.”

Peter Sunde, grundare av torrentindexsajten The Pirate Bay, i en intervju med Torrentfreak, där ”torrentpionjären” också menar att Netflix, Spotify och liknande hyllade tjänster inte är lösningen, utan snarare en del av samma mediekonglomerat som de tidiga piraterna kämpade mot.

India ID leak Aadhaar

Indiens ID-databas läckt – för 64 kronor

av

Indiska tidningen The Tribune lyckades få adminaccess till landets databas med över en miljard medborgares ID-uppgifter. En reporter på tidningen lyckades köpa inloggningsuppgifterna för 500 rupier, vilket motsvarar 64 kronor.

Buzzfeed spårade upp försäljaren, som berättade att han själv köpt tillgång till databasen för 6000 rupier (772 kronor). Denna summa lät honom skapa ett obegränsat antal adminkonton, som han nu höll på att sälja vidare för 500 rupier styck för att nå breakeven och förhoppningsvis börja tjäna pengar på sin investering.

Indiska regeringen gick ut och kallade The Tribunes scoop för ”fake news”:

Den här historien må vara extrem, men den visar på hur system för lagring av känsliga uppgifter aldrig är säkrare än de människor som handhar dem. På amerikanska Department of Homeland Security är det till exempel anställda (eller tidigare anställda) som står för de flesta läckorna.

Historien visar också hur ”fake news” används på ett allt mer lättvindigt sätt av regeringar som är missnöjda med vad fria medier rapporterar. Det kan vara värt att ha i bakhuvudet när demokratier som Tyskland och Frankrike vill förbjuda information de klassar som ”fake news”.

Huvudbilden är ett montage av foton av bill wegener och Marius MasalarUnsplash.

Sprid budskapet om lösenordshanterare!

av

Du som följer den här nyhetsbloggen är förmodligen mer tekniskt insatt än gemene man. Du är den som hjälper dina vänner med allt från att förklara vad nätneutralitet är till att installera en ny skrivare.

Kanske har du, som jag, under minst något decennium ständigt upprepat det här mantrat för dina tekniskt mindre bevandrade vänner: Backup, backup, backup! Jag säger det hellre för många än för få gånger. Jag vill inte höra från ännu en författare att hela romanen försvunnit. ”Vadå backup?” Och den som en gång blivit bränd sprider budskapet till sina bekanta för att andra inte ska åka på samma smäll.

Numera har folk i allmänhet kommit över den digitala barnsjukdomen att inte säkerhetskopiera. En medvetenhet har spritt sig, även bland tekniska dilettanter. Och så har det ju blivit så enkelt för vanligt folk att säkerhetskopiera – Apple och andra leverantörer gör det automatiskt genom Icloud och liknande tjänster som är påkopplade per default.

Nu, mina tekniska vänner, är det dags för nästa folkkampanj: Lösenordshanterare.

Folk måste sluta använda samma lösenord överallt. Att få sitt konto hackat för tio år sedan var visserligen inte roligt, men i dag är det en närmast existentiell katastrof. Ändå fortsätter folk välja idiotlösenord – här är topplistan över läckta lösenord för 2017, sammanställd av Motherboard:

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

En lösenordshanterare slumpar fram olika lösenord för varje sajt och du kan själv välja hur långt och komplicerat lösenordet ska vara. Det enda du behöver komma ihåg är huvudlösenordet, förslagsvis en lång mening som du aldrig glömmer. Resten sköts automatiskt – du ser aldrig lösenorden!

Många lösenordshanterare kommer med plugins till webbläsare, som i idealfallet gör inloggandet både smidigt och säkert. Dock bör man vara försiktig med autofill-funktionen; såväl webbläsare som tredjepartsplugins loggar in användaren automatiskt, vilket kan utnyttjas av annonsörer. Här måste man ge kanadensiska företaget Agilebits och deras lösenordshanterare 1password respekt, eftersom de av säkerhetsskäl vägrat införa autofill trots att många användare vill ha det, enligt en talesperson:

People ask us for automatic autofill, it’s a commonly requested feature. People post on our forums saying ’your competitors have automatic autofill and you don’t. I need this feature.’ They like the idea of going to a website and just being logged in.

Men även om olyckan skulle vara framme och ett lösenord blir kidnappat genom något elakt script på någon sajt, så gör en lösenordshanterare att detta lösenord i vilket fall inte används på någon annan sajt. Princetonforskaren Gunes Acar, som författade studien om hur annonsörer kan utnyttja autofillfunktionen, säger:

I think password managers in general are a positive security feature—password reuse is a big problem. But the defaults [to autofilling] should be reconsidered, users should be in the loop.

Läs mer om studien och om 1passwords resonerande i Wireds artikel med den talande titeln: GET A PASSWORD MANAGER. NO MORE EXCUSES.

Meltdown och Spectre – så farliga är veckans säkerhetshål

av

Så var det dags igen – två nya säkerhetshål har drabbat världen:

Meltdown och Spectre angriper processorns själva kärna, där data passerar okrypterat. Forskarna som upptäckte buggarna beskriver dem i detalj på Meltdownattack.com.

Eftersom Meltdown och Spectre arbetar på processornivå spelar det inte någon roll vilket operativsystem man har; Windows, Macos, Android med flera är lika utsatta – så länge de körs på processorer från Intel (Meltdown) eller Intel, AMD eller ARM (Spectre). Sårbarheten hittades i system med processorer från 2011 och framåt, men i teorin kan system med intelprocessorer ända från 1995 vara drabbade.

De goda nyheterna är att attacken måste ske lokalt på datorn. Det är åtminstone mycket svårare att åstadkomma den på distans.

Det är komplicerat och kommer att ta tid att täta hålen, skriver Techcrunch. Och eftersom tätningen handlar om att ”förstärka väggarna” i processorns innersta kommer det göra datorn långsammare.

Men kanske är det nödvändigt att sakta ner lite. Säkerhetshålen är ett resultat av att teknikföretagen hetsar varandra att hela tiden bygga snabbare processorer, och därmed försakar säkerhet redan i designstadiet, enligt forskarna, som avslutar sitt paper om Spectre med dessa ord:

The vulnerabilities in this paper, as well as many others, arise from a longstanding focus in the technology industry on maximizing performance. As a result, processors, compilers, device drivers, operating systems, and numerous other critical components have evolved compounding layers of complex optimizations that introduce security risks. As the costs of insecurity rise, these design choices need to be revisited, and in many cases alternate implementations optimized for security will be required.

Ett kontrollerat avslöjande (”joint disclosure”) av hålen verkar ha varit på gång, men efter en artikel i The Register var katten ute ur säcken.

 

Iran och Kongo stänger av mobilt internet

av

Det har blivit rutin för auktoritära regimer att kväsa uppror genom att blockera internet eller delar av det. Sedan Etiopien blockerade Facebook och vissa andra sociala medier häromveckan har turen nu kommit till Iran och Kongo:

  • I Iran beordrade myndigheter i lördags internetleverantörer att stänga ner sina mobila nätverk efter att videor publicerats från demonstrationer i städerna Khorramabad, Zanjan och Ahvaz.
  • I Kongo har myndigheterna stängt av åtkomsten till mobilt internet och även SMS, sedan polis i går drabbade samman med demonstranter i huvudstaden Kinshasa.

Internet och sociala medier är vad som gör det möjligt för dissidenter att organisera sig, men ovanstående händelser visar hur sårbar denna internetbaserade organisering är om ett lands regering har makten att helt enkelt stänga av kranen.

Regeringen vill avskaffa personuppgiftslagen

av

Den 25 maj 2018 träder EUs dataskyddsförordning i kraft. Med anledning av det har den svenska regeringen i dag presenterat en lagrådsremiss som föreslår att den svenska personuppgiftslagen upphävs samma datum, och ersätts med en ny dataskyddslag.

En av nyheterna i den nya lagen är att barn från 13 års ålder ska kunna ge sitt samtycke till att deras data behandlas av till exempel sociala medier. Enligt EUs dataskyddsförordning måste en förälder ge samtycke fram till att barnet är 16 år, men denna åldersgräns får sänkas nationellt.

Regeringen vill också att myndigheter som inte följer den nya dataskyddslagen ska kunna straffas med böter, en åtgärd som EU-förordningen bara kräver för privata företag.

En mer svårtolkad förändring beskrivs så här på regeringens hemsida:

Den föreslagna lagen innehåller bland annat bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, till exempel i verksamhet som rör nationell säkerhet.

Exakt vad som menas kanske framgår i lagrådsremissen, som jag inte läst än, men visst är känslan att det där med ”nationell säkerhet” ofta används för att rättfärdiga eventuella tveksamheter?

Ministerrådets ”julklapp” till EU-medborgarna: Fri rörlighet för data

av

Europeiska unionens råd vill ta bort nationella restriktioner kring var data får lagras och behandlas: Företag och myndigheter i ett EU-land ska kunna använda molntjänster i ett annat EU-land.

Beslutet välkomnas av industrin, som kallade det ”en tidig julklapp till EU-medborgarna”.

Tyska regeringen är däremot sedan tidigare kritisk, eftersom den vill att tyska myndigheters data ska lagras och behandlas ”på tysk mark”. Dessutom sätter förslaget käppar i hjulet för det tyska ”bundescloud” som regeringen planerar för.

Nu ska rådet inleda förhandlingar med Europaparlamentet.