Se Wikipedia-ändringar med Creeper

Inspirerat av WikiCreeperEdit så har jag fått hjälp med att skapa en sida på Creeper som visar samma ändringar, men lite mer sammanställt, och förhoppningsvis mer användarvänligt.

Sidan ligger nu uppe här: http://gnuheter.com/creeper/wikipedia

Samtidigt har jag publicerat källkoden på Github, för lite mer tillgängliggörande för den som vill hjälpa till med ändringar och förbättringar. Jag föredrar att ändringar skickas som pull requests, men det går naturligtvis bra att skicka ändringar direkt till mig i e-post om man inte vill skylta med sitt namn.

För den som vill skapa andra applikationer baserat på de IP-adresser som används av Creeper finns det nu en enklare JSON-publicering av adresserna. Vad som behövs är till exempel verktyg för att verifiera och administrera ändringar av adresserna. Men att bara verifiera IP-adresserna genom ett litet fiffigare webbgränssnitt än vad som är tillgängligt nu vore mycket bra att ha.

14
Feb 2015
POSTED BY
POSTED IN Creeper
DISCUSSION 0 Comments
TAGS

MAC-adresser är personuppgifter?

Den här artikeln är skriven till ett annat forum och är skriven för DFRI:s räkning, men publicerades aldrig.

En mobiltelefon med Wifi påslagen skickar ut en unik signal som går att avlyssna med enkel utrustning. Några som lyssnar på dessa signaler är Bumbee Labs, som byggt ett system kallat IOPS. Syftet med systemet är att mäta rörelsemönster i stadskärnor, och just nu testas det i Västerås och Borås.

iops01

I systemet sparas telefonens unika identitet, den så kallade MAC-adressen, samt vilka platser den befunnit sig på och vid vilken tidpunkt.  Bumbee Labs hävdar att de inte sparar telefonens MAC-adress, utan bara en kod som motsvarar den, och att det inte går att räkna ut i efterhand vilken MAC-adress koden motsvarar.

Forskning visar dock att det lätt går att göra baklängesberäkningar för att ta reda på vilken MAC-adress som koden motsvarar.  Men egentligen spelar det ingen roll. Genom att över tid titta på hur en telefon rör sig går det ändå att lista ut vilken individ som äger den, oavsett om MAC-adressen är tydligt utskriven eller bara motsvaras av en kod.

Det är också möjligt att missbruka systemet åt andra hållet. Genom att själv ta reda på en persons MAC-adress och se vilken kod den motsvarar i systemet kan man i datan sedan följa hur personen, tidigare eller i framtiden, rör sig.

Att avidentifiera data är med andra ord ingen lätt uppgift. Tyvärr har Bumbee Labs hittills inte gett oss någon information som tyder på att de lyckats. Tvärtom har flera av deras uttalanden fått oss att tvivla på att de förstår det grundläggande problemet.

När nu systemet byggs ut i stadskärnorna och efterfrågas av fler städer, skapas alltså en gigantisk databas över inidviders nationella rörelsemönster.

Vi tror inte att Bumbee Labs har för avsikt att övervaka individer, men det blir ändå konsekvensen av systemet. Faktum är att alla typer av storskalig datainsamling kan användas för att kartlägga individer om inte all data är helt avidentifierad.

Vi anser inte att det är fel i sig att samla in statistik över besöksströmmar, men insamlandet måste ske på ett sätt som inte kränker människors grundläggande rätt till integritet.

Vi anser också att ett minimikrav på ett sådant system är transparens, där alla som vistas i områden där kartläggningar pågår kan ta del av den tekniska lösningen, källkod till systemet, databasinnehåll och den statistik som tas fram. Utan dessa möjligheter kan vi inte veta om systemet faktiskt lever upp till att skydda vår integritet. Istället är vi hänvisade till uppgifter från företaget som ligger bakom.

Vår förhoppning är även att MAC-adresser, likt IP-adresser, som lagras på det här sättet klassas som personuppgifter och behandlas därefter. Allra minst ska det finnas tydliga skyltar om att MAC-adresserna samlas in, i likhet med vad som gäller för övervakningskameror.Något som är trivialt att bygga ut IOPS-systemet med är att fånga upp fler av de signaler som läcker ut samma väg som MAC-adressen. Många telefoner sänder också ut så kallade SSID:s för att snabbt koppla upp sig till nät kan vara tillgängliga. Dessa SSID:s kan avslöja var personen bor, vilket hotell man bott på och personens arbetsplats. Detta har demonstrerats i system som Snoopy och CreepyDOL.  Dessa system kopplar effektivt ihop mobiltelefoninnehavarens MAC-adress med andra databaser, och kan därmed med lite tur lätt identifiera en individs hemvist. Det är trivialt för Bumbee Labs att bygga ut IOPS med den här typen av funktionalitet. MAC-adressen blir en effektiv länk mot andra databaser som effektivt kan identifiera individer. Det är också lätt för andra som spanar efter en MAC-adress – arbetsgivare, polis eller kriminella organisationer – att fråga Bumbee Labs om rörelsemönster för en viss mobiltelefon. Särskilt problematiskt blir detta då de inte redovisar hur företaget skyddar sin databas eller hur länge de sparar data om din telefons rörelsemönster.

30
Jan 2015
POSTED BY
DISCUSSION 1 Comment

Tvåfaktorautentisering är lätt

Jag slog precis på tvåfaktorautentisering här på min blogg. Det tog ungefär tre minuter.

Om du vill slippa all teori omkring så gör man så här:

  1. Installera FreeOTP på din telefon.
  2. Ladda ner tillägget Two Factor Auth till din WordPress.
  3. Om den inte fungerar, installera php5-mcrypt och se till att den fungerar i din installation.
  4. Klicka på Two Factor Auth i win WordPress-meny och aktivera TOTP.
  5. Läs av QR-koden med FreeOTP på telefonen.
  6. Logga ut från WordPress.
  7. Logga in på WordPress med ditt vanliga lösenord. Nu får du frågan om OTP-koden.
  8. Generera koden i telefonen med FreeOTP och skriv in den i WordPress.

Så enkelt är det. Inga dyra RSA-dosor, inga SMS, och inga engångslösenord nedskrivna på en lapp.

Nästa blogginlägg får bli teorin kring denna lösning.

24
Sep 2014
POSTED BY
DISCUSSION 3 Comments
TAGS

Minecraft och öppen källkod

Min dotter har börjat spela Minecraft rätt mycket. I somras satte jag upp en Minecraft-server åt henne, och det tog rätt lång tid att sätta sig in i vad man egentligen ville köra för programvara. Företaget Mojang som gör spelet har en egen server som man kan installera och köra, men i grundutförandet så är den lite tråkig om man vill hitta på lite mer alternativa spel. Så jag installerade en programvara som heter CraftBukkit.

minecraft-pirateshipOm man klickar på länken nu får man reda på att den har utsatts för en DMCA-takedown.

Det upptäckte vi dock inte genom att surfa till CraftBukkit-projektet, utan att det helt enkelt inte gick in att logga in på servern längre. Snabbt felsöka, och upptäcka att det inte gick att hämta hem nyare versioner, då allt var nedtaget tack vare den amerikanska lagstiftningen Digital Millenium Copyright Act. Varför det inte gick att spela på servern längre var inte så lätt att förklara för en sjuåring. Så jag försökte istället hitta en annan programvara som inte tagits ner. Och alternativet tycktes vara Spigot. Sagt och gjort, en halvtimme senare kunde de logga in på servern och spela.

Idag upptäcker jag att även Spigot tagit emot en DMCA-takedown notice. Tack så mycket. Servern funkar dock fortfarande.

Allt tycks bero på att utvecklaren Wolvereness (Wesley Wolfe) bidragit med en stor mängd kod till Bukkit, och det här innebär en hel mängd licensbekymmer. Det sorgliga är att han nu skickar runt DMCA-takedowns till allt och alla. Här finns en summering av det som hänt hittills.

Återstår hoppet till att Mojang ska reda ut detta? Att det ska vara komplicerat med öppen programvara vs sluten programvara – det enklaste i det här läget är att göra all programvara för Minecraft-servrar som öppen källkod under en väldigt fri licens. Att förklara licensfrågor för en sjuåring tänker jag dock inte utsätta mig för.

04
Sep 2014
POSTED BY
DISCUSSION 0 Comments
TAGS

Många alternativa programvaror för DNS

Nästan alla kör BIND från ISC för sin DNS. Så är det bara. Men det finns många nya alternativa namnservrar som är minst lika bra, och som inte lider av det kod-arv som BIND 9 gör. BIND har skrivits om från grunden två gånger i modern tid, först från BIND 4 till BIND 8, och sedan till BIND 9. Ett tredje försök har gjorts under de senaste åren från ISCs sida, nämligen med det havererade BIND 10-projektet. ISC har dock varit väldigt öppna med hur och varför projektet havererade, och det är bara att konstatera att vi kommer att få dras med BIND 9 ett väldigt långt tag framöver.

 

Men under de senaste åren har ett par riktigt bra alternativ till BIND tagits fram av andra aktörer. Min favorit för auktoritativ DNS är Knot DNS från CZ.NIC. Som också ISC själva säger, framtida DNS-innovation kommer sannolikt att komma från andra aktörer än ISC. Ett av de nuvarande problemen med BIND är att den försöker göra allt. Den är både auktoritativ namnserver, och cacheande resolver, och säkert mycket annat också samtidigt. Knot DNS är “nästan bara” en auktoritativ namnserver. Men i nuvarande versioner har de även lagt till online-signering för DNSSEC, och kommer att i version 1.6 komma närmare OpenDNSSEC vad gäller hanteringen för nyckelsigneringspolicy – något som andra DNS-programvaror saknar helt. Man håller också på att byta från OpenSSL till GnuTLS, dels av kända anledningar, och dels för att GnuTLS har betydligt bättre stöd för PKCS#11, något som krävs om man vill använda HSM:er. Vidare har man även möjlighet att köra sina egna moduler för att utföra dynamisk hantering av DNS-svar, och för IPv6 kan man exempelvis också dynamiskt generera reverse-svaren för IP-adresserna. Se gärna presentationen från RIPE68.

Själv har jag kört Knot DNS ett långt tag på en av mina egna namnservrar. Den är både betydligt enklare att konfigurera, men den har också betydligt bättre prestanda än BIND. Något som jag förvisso inte har något större behov av, eftersom mina domäner inte drar särskilt mycket trafik. Som ett alternativ till Knot DNS finns också självklart NSD 4 från NLNet Labs, som har funnits betydligt längre, och används kanske mest av TLD:er idag – men också Yadifa från EURid.

Unbound

För att köra en cacheande resolver så kan man med fördel använda Unbound, också från NLNet Labs. Unbound har också givetvis fördelarna med att den är betydligt enklare att konfigurera, och har betydligt högre prestanda än BIND. En cacheande resolver kör man med fördel med DNSSEC påslaget för DNSSEC-validering, så nära de tjänster man har som behöver lita på DNS (det är i princip samtliga internet-tjänster).

Om man känner sig lite osäker på att behöva byta från BIND kan man kanske titta på antalet kända sårbarheter… Och som med alla monokulturer, de är sårbara för breda attacker. Därför är det också bra att börja köra alternativa programvara. Gärna på någon udda  CPU-arkitektur, så att inte alla kör Intel.

(Jag har fullständigt medvetet inte skrivit om programvaror som inte är öppen källkod.)

24
Jun 2014
POSTED BY
POSTED IN DNS
DISCUSSION 2 Comments
TAGS

DNS Privacy – krypterad DNS

I en serie poster tänkte jag nu framöver posta lite mer renskrivna texter om DNS från mina anteckningar på olika internet-konferenser. Jag hoppas detta kan vara till glädje för någon som är intresserad av vad som händer i DNS-världen.

DNS har funnits i drift i över 25 år. Det är bara under de senaste 15 åren som säkerhet i protokollet diskuterats, och 2005 gick RFC:erna för DNSSEC genom IETF. Men kravet i protokollet för att skydda den personliga integriteten har aldrig funnits – förrän under det senaste året.

Med anledning av Edward Snowdens avslöjanden så har IETF sakta börjat se över de protokoll som IETF i någon form ansvarar för, och med publiceringen av RFC 6973, “Privacy Considerations for Internet Protocols” så kan man säga att arbetet satt igång på allvar. Inom IETF har man också satt upp en mailinglista för att diskutera “pervasive surveillance” med ett lite bredare perspektiv, perpass@ietf.org.

Gamla protokoll designades i en annan tidsålder, innan övervakning var på agendan. Dessa protokoll läcker mycket för mycket metadata (och data). Men det finns många begränsningar i dessa protokoll som kan förhindra eller försvåra att man gör tillägg för att gynna den personliga integriteten såsom latency, stabilitet och att protokollen blivit universella.

En DNS-fråga avslöjar vem som frågar, och vad som frågas efter. Detta underminerar säkerheten i andra protokoll, som till exempel HTTPS. Vad finns då i qname-delen av en DNS-fråga? “www.political-party.example”, eller “_bittorrent-tracker._tcp.domain.example” – MPAA kan vara intresserade. “le-pc-de-pascal.domain.example” – personlig information, eller t.ex. PGP-nycklar i DNS. Helt enkelt saker som avslöjar saker om ditt internet-beteende som de protokoll du använder dig av normalt kanske skyddar – men där informationen skickas i klartext i DNS. Detta beteende i DNS vill man ju ändra på.

Vi behöver en lösning för att skydda informationen “on the wire” och “på servern”. Resolvrar kan också läcka information genom t.ex. sysadmins, och en cache innehåller också all denna information i klartext. Att skydda DNS-informationen på protokollnivå kräver dock ändå olika lösningar, en för att skydda klient-kommunikationen mot en resolver, och en annan för att skydda kommunikationen från en resolver till auktoritativa namnservrar.

Från att ha diskuterats på perpass flyttade diskussionen till dnsop, och nu är flyttad till en egen dnsprivacy-lista. Det finns en möjlig lösning implementerad (men inga andra), DNSoverTLSoverTCP. Ingen officiell working group ännu, men vem som helst kan ändå posta förslag till IETF.

Problem statement: draft-bortzmeyer-dnsop-dns-privacy – problemet behöver dokumenteras innan man kan lösa det…

Minimizing the qname – fulla frågenamnet behöver inte skickas till auktoritativa namnservrar högre upp i hierarkin. Detta går att implementera i Unbound och BIND, men ingen har gjort det ännu. Påverkar DNS-OARC och DITL, eftersom informationen att göra forskning på minskar. Vilket ju också är lite av poängen…

Tyvärr förekommer det alldeles för lite diskussion om dessa förslag på listorna, och intresset verkar lågt (trots riktigt stora möten på IETF). Att förändra DNS är också väldigt svårt.

Efter förra helgens DNS-OARC-möte skickade Paul Vixie ett mail till IETF:s dnsop-arbetsgrupp och uttalat sitt stöd för minimering av innehållet i frågorna, så det arbetet kanske tar lite fart igen.

21
May 2014
POSTED BY
DISCUSSION 0 Comments
TAGS

Crypto och lillebror

På söndag är det Cryptoparty på Cyklopen i Högdalen, med lite extra festligheter den här gången. DFRI och Sparvnästet arrangerar.

Där tänkte jag hålla i en liten workshop om vår översättning av Cory Doctorows bok Little Brother. Du behöver dock inte vara med där för att hjälpa till att översätta.

Bara två dagar efter Cryptoparty är jag med och arrangerar #MeraKrypto som är ett samarbete mellan DFRI, SNUS, Sunet och ISOC-SE!

Vi ses på något av arrangemangen hoppas jag!

23
Apr 2014
POSTED BY
POSTED IN Böcker Events
DISCUSSION 0 Comments
TAGS

Jag har en ny server

Jag har haft en del strul med den server som den här bloggen ligger på. Nu har jag uppdaterat allt innehåll i den servern utom PSU:n och lådan, och därmed också virtualiserat alla tjänster. Den här bloggen var den som låg sist i kön på saker att fixa, men nu är den uppe. Jag vet dock inte om allt är fixat riktigt, men det mesta tycks funka.

På att göra-listan står givetvis att fixa certifikatet, så att åtkomst över TLS fungerar. Kan därmed också passa på att göra lite reklam för seminariet #MeraKrypto som DFRI är med och arrangerar tillsammans med ISOC-SE, SNUS och Sunet.

Att ha återupplivat bloggen kanske också gör att jag bloggar mera här. Tills vidare kan man läsa mina andra blogginlägg hos iis.se.

06
Apr 2014
POSTED BY
POSTED IN Hårdvara Linux Svammel
DISCUSSION 0 Comments
TAGS

Virtualisering som helgnöje

Jag har börjat roa mig med att lära mig mycket om virtualisering. Dvs, att köra låtsasdatorer inuti mina servrar. Fast virtualisering är inte så mycket på låtsas längre, det är en av de snabbast framväxande marknaderna på Internet. Och jag är väl en av de få en inte har köpt en VPS (Virtual Private Server) för att köra mina tjänster på. Jag har riktig hårdvara. Med ett riktigt nät. Det finns virtuella nät också.

Först måste jag erkänna att jag trodde det var väldigt enkelt att köra virtualisering. Och det är det ju också på ytan, ända tills man vill börja göra lite mer intressanta saker med virtualisering.

Den första frågan man ställer sig när man vill börja köra lite virtuella maskiner är förstås vilken virtualiseringprogramvara man vill köra (eller “hypervisor“). Den självklara plattformen att köra hypervisor på är för mig idag Linux. Det finns lite att välja bland, men själv kom jag att fundera på Xen, VirtualBox eller nånting jag aldrig tittat på, Qemu-KVM. VirtualBox har jag kört litegrann på min MacOS-maskin för att snabbt och enkelt testa lite saker under andra operativsystem. Men aldrig för att permanent köra en virtuell server. Vad jag visste är dock att KVM finns i Linux-kärnan sedan ett par år tillbaka, och det har känts som om det är den tekniken som utvecklas mest just nu. Så jag bestämde mig för att titta närmare på Qemu och KVM.

Steg ett var att titta närmare på Qemu och komma underfund med hur det fungerade. För att skapa en virtuell maskin måste man först skapa en image att installera ett operativsystem på. Qcow2 är det image-format som man vill använda idag för att köra virtuella servrar. Mycket arbete pågår för att förbättra tekniken för hur virtualiserade operativsystem fungerar på dessa images, både vad gäller hur de växer i storlek med att den virtuella maskinen använder diskytan, men också prestandan kan förbättras både i den virtuella maskinen och i hypervisorn.

Hur som helst, skapa en 10GB qcow2-image med följande kommando:

twobot$~>qemu-img create -f qcow2 foo.img 10G
Formatting ‘foo.img’, fmt=qcow2 size=10737418240 encryption=off cluster_size=0

Man kan ha krypterade images, vilket ju är trevligt. Med AES-kryptering och ett långt lösenord borde det dessutom bli riktigt säkert.

Vad gäller dessa images i övrigt så verkar det finnas en del trevliga verktyg baserade på libguestfs att jobba med för att titta inuti dem. Med guestfish kan du manipulera filer direkt i en disk-image. Det är praktiskt om man vill duplicera många images, och därefter anpassa varje image med exempelvis hostnamn och annat. Görs lämpligast när maskinen inte körs förstås. Med guestmount används FUSE för att montera valt filsystem i en image direkt i det lokala filsystemet.

När man vill bygga sina virtuella servrar så vill man förstås att de ska få sina IP-adresser ut mot Internet, och inte bara vara lokalt åtkomliga från hypervisorn. Default-inställningen verkar vara att köra på väldigt lokala IP-adresser. I Linux kan man dock skapa ett bridge-interface för att hänga på de virtuella instanserna på det externa interfacet. Så i stället för att konfigurera eth0 som vanligt konfigurerar man upp sin br0 såhär:

auto br0
iface br0 inet static
bridge_ports eth0
bridge_stp off
bridge_fd 0
bridge_maxwait 0
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
gateway 192.168.0.1
broadcast 192.168.0.255
up ifconfig br0 add 2001:16d8:dead::dead/64

och sedan ersätter man sin eth0 såhär:

auto eth0
iface eth0 inet manual

br0 blir då statiskt konfigurerad. Hypervisorn kan dock köra en DHCP-server så att de virtuella servrarna får en automatiskt konfigurerad IP-adress. (Exemplet ovan är en Debian.)

Nu har vi en image och ett nätverk som är rätt konfigurerat. Då återstår bara att installera ett operativsystem. Mitt första försök använde qemu direkt för att installera operativsystemet. Man konfigurerar upp qemu för att montera på en cdrom, eftersom så fort man kör igång qemu så är det ju en virtuell maskin man startar.

sudo qemu -enable-kvm -k sv -ctrl-grab -hda foo.img -m 1024 -net nic,macaddr=DE:AD:BE:EF:A7:A2 -net tap,ifname=tap2 -monitor pty -vnc 0.0.0.0:1 -name foo-dator -cdrom debian-testing-i386-businesscard.iso -boot d

Tyvärr verkar det som om man måste köra qemu som root för att kunna köra mot bridge-interfacet. Kör man qemu såhär så når man den via VNC på den första lediga porten (VNC körs från port 5900 och uppåt). Anlut och se datorn boota upp, och förhoppningsvis boota från cdrom. Sedan när du installerat operativsystemet är det bara att boota om och köra igång det installerade systemet.

Vill man inte köra qemu-kommandona för hand kan man istället välja att köra ytterligare ett abstraktionslager högre upp. Det finns antagligen flera. Jag vet att Ubuntu har baserat något på virsh för att via grafiska gränssnitt för att konfigurera upp qemu, och förmodligen har alla OS sina verktyg. Virsh är dock ett CLI som verkar vanligt, och motsvarande qemu-kommando är detta:

virt-install –connect qemu:///system –virt-type kvm –accelerate –name demo –ram 1024 –disk path=debian.img,size=10,format=qcow2 -w bridge:br0 –mac=DE:AD:BE:EF:A7:A2 –graphics vnc,listen=0.0.0.0,keymap=sv,password=’foo’ –noautoconsole –cdrom debian-testing-i386-businesscard.iso

Det är viktigt att sätta olika MAC-adresser för de virtuella nätverksgränssnitten, annars kommer de att kollidera på ditt LAN. Hur som helst, poängen med att köra virsh framför qemu direkt är att du får ett management-lager ovanpå qemu som har koll på vilka virtuella maskiner som finns tillgängliga, vilka som är igång, hur mycket CPU de drar, och så vidare. Dessutom blir det enklare att skapa kloner av en maskin du kan utgå ifrån för att skapa nya projekt.

Jag inser vid det här laget att jag skulle kunna skriva tio bloggposter till, så det kommer jag att göra. Kan du inte slita dig från att lära dig så vet jag inte riktigt var man ska börja läsa. Men själv sitter jag och pluggar presentationerna från KVM-konferensen som var nu i augusti. Och jag har inte ens börjat skriva om user-mode-linux som jag tycker är väldigt trevligt. Eller virtuella nätverk.

Med ett oerhört kommersiellt intresse för virtualisering har jag insett att det händer oerhört mycket inom det här området. Mycket går givetvis mot att klämma in fler och fler virtuella maskiner i en och samma hypervisor för att kunna sälja till fler kunder, men också mot management och monitoring. Men det är ju intressant även för mig, som vill kunna använda min hårdvara till roliga saker också.

Vad har ni för erfarenheter av virtualisering?

04
Sep 2011
POSTED BY
DISCUSSION 8 Comments
TAGS

Utlämning av IP-adresser

IP-adresser kan tydligen utgöra en fara för rikets säkerhet. Finns det någon som tror på det?

Nåja. Med anledning av artikeln om hur Reinfeldt hävdar just detta, så sitter jag och funderar på om jag inte skulle ta och skruva till Creeper en aning. Jag har ju aldrig velat spåra enskilda individer, så därför sparar jag endast träffar från myndigheter osv, utan vidare analys. Men om jag t.ex. skulle sätta kakor för varje träff, skulle jag faktiskt kunna spåra enskilda användare. Jag skulle också vidare kunna matcha kakor som jag tidigare satt från andra nät än myndigheternas egna. Och då skulle jag kunna göra en ganska grov spårning.

Många tjänster har ofta användarnamn och liknande i URL-fältet. I kombination med analys av detta, samt kakspårningen, skulle det vara rätt trivialt (om än mer jobb för mig), att göra en ganska grov spårning av enskilda individer på exempelvis Regeringskansliet.

Så fort man använder IP-adressen är den ju liksom utlämnad. Så … fara för rikets säkerhet? Det för ni fundera själva kring…

Men ni som har Creeper-bilden på era sajter? Vore det ok att börja experimentera med kakor? Nu har jag ju inget licensavtal på nåt sätt för någon användning alls här, eftersom jag inte har någon relation med de som lägger upp Creeper-bilden.

04
Jul 2011
POSTED BY
POSTED IN Creeper Politik
DISCUSSION 11 Comments
TAGS

FRA:s gamla superdator

Jag upptäckte precis att Youtube äntligen processat mitt gamla klipp från Rapports inslag om FRA:s nyinköpta superdator. Men nu är den ju några år gammal, och ligger “bara” på 67:e plats på världens snabbaste superdatorer.

12
Apr 2011
POSTED BY
DISCUSSION 0 Comments
TAGS

Tänkte prova Soundcloud

Jag har provat Soundcloud ett tag. Men jag har aldrig lekt med deras inbäddade spelare. Så nu provar jag det.

 

Och det tycks ju funka. Men kanske inte om innehållet syndikeras till andra tjänster, vi får se. Prova gärna mina andra gamla låtar här. Det ligger en del annat runt nätet och skräpar också.

(Och så har jag bytt tema på min WordPress.)

21
Mar 2011
POSTED BY
POSTED IN Musik
DISCUSSION 2 Comments
TAGS

Alla borde köra SSL

Nu när det till och med går att köra både Facebook och Twitter krypterat med hjälp av SSL tycker jag att de flesta argument mot att köra SSL på sin webbplats faller. Det största argument som framhålls är att det kräver så mycket av webbservern. Det var säkert sant för 10 år sedan. Processorerna har utvecklats sedan dess och har numera bra funktioner för att även hjälpa till med de kryptooperationer som krävs. Ett annat vanligt argument är att det är dyrt. Det är det inte. Ifall man inte tycker att gratis är dyrt.

Jag vill gärna föregå med gott exempel, men tyvärr är det lite svårt. Helst av allt vill jag göra en 302 redirect från HTTP till HTTPS på alla mina webbplatser, men den enda jag har lyckats göra det med gott resultat på är vic20.blipp.com. Både blipp.com och gnuheter.com har jag slagit på SSL för. Problemet där beskrivs på engelska som “origin poisioning“. Som bloggare använder man gärna resurser på andra webbplatser, och dessa andra webbplatser saknar tyvärr ofta stöd för SSL. Vilket innebär att om man surfar till den här bloggen, pawal.blipp.com över SSL så får man inte det skinande fina hänglåset som markör som visar att sajten man surfar till är säker. Jag använder nämligen resurser hos exempelvis Flickr för att hämta några bilder. Flickr har inte stöd för SSL.

Men för att komma en liten bit på vägen så har jag för er som vill köra SSL hela vägen, sett till att ha stöd för det på Creeper. Så om man länkar till bilden med “https” istället, så funkar det bra. Jag har lagt till detta som en liten instruktion på howto-sidan för Creeper. Så ni som kör Creeper och läser detta, kan ni prova att byta ut era länkar? Då kan jag se om det blir något problem med att köra det på min sida. Det borde som sagt inte krävas särskilt mycket extra CPU för detta, och jag har en hel del CPU över om det ändå skulle göra det.

För är det så att du fortfarande länkar osäkra resurser på din webbsida så kan den som vill avlyssna trafiken hos läsaren fortfarande se vilka sidor användaren är inne på, även om inte klartexten på sajten går att läsa. Jag tycker att vi kan höja kvaliteten på den svenska webben nu, och göra läsaren lite extra trygg. Inte minst så att datalagringsdirektivet blir ännu lite mer tandlöst. För varför konstra med nya krypton och p2p-nät, när vi inte ens lyckas skydda den befintliga infrastrukturen med de verktyg som faktiskt finns tillgängliga?

(Certifikat som fungerar helt gratis hittar du bl.a. hos startssl.com.)

16
Mar 2011
POSTED BY
DISCUSSION 5 Comments
TAGS

Topp 10 Internethändelser 2010

Nu är ju 2010 slut. Så jag tänkte sammanfatta de största Internethändelserna 2010 så som jag ser det. Jag hoppas jag kommer ihåg rätt bara. Men det här är ungefär min uppfattning:

  1. Wikileaks – ingen har väl undgått effekterna av Wikileaks. Diplomatin, politiken och näringslivet är raaaaasande! Det fria och öppna Internet som vi känner är i farozonen. Julian Assange är konstigt. Openleaks utannonseras. Det finns hur mycket stoff för journalister och allmänheten som helst att hämta här.
  2. HTML5 – växer med stormsteg. Allt fler viktiga sajter kör allt mer bitar ur HTML5. Hur ska det gå för Flash?
  3. DNSSEC-signerad root. Som vi har väntat. .SE har varit signerad i över fem år. Men det är först nu när root är signerad som vi ser storskalig utrullning.
  4. Molnet – det använder du väl? Lite? Vänta, vad är det för något? Ingen vet, men alla talar om det.
  5. DDoS – 2010 blev året då allt DDoS:ades hela tiden. Av Anonymous. Och främmande makt.
  6. App Stores. Både Apple och Google har insett det som Linux-världen har förstått i över tio år. Att man vill ha ett praktiskt sätt att installera uppgradera sin programvara. Nu väntar vi bara på vettiga paketsystem.
  7. Facebook – är större än någonsin. Och en Hollywood-film.
  8. Google Chrome – en verkligt seriös utmanare till de andra webbläsarna, Firefox, Internet Explorer och Opera. Firefox tar dock fortfarande marknadsandelar, men Chrome har vi knappt sett början på. Webbläsarkriget bara fortsätter och fortsätter, men med nya fronter.
  9. iPad – har förändrat mångas användarbeteenden. Inte minst har den förvridit huvudet på tidningsredaktioner världen över. Snart vaknar de ur Apples dröm. Se andra-platsen.
  10. Domännamnsbyten. Alla gör det. Sveriges Radio. Bloggar. En del webbsajter flyttar till och med in på Facebook. Länkrötan tar över.

Och årets icke-händelse går nog till Pirate Bay-rättegång nummer två. Same procedure as last year. Men tråkigare.

Uppdatering: Jag visste att jag skulle glömma en sak på listan. Stuxnet var ju årets säkerhetshändelse, alla kategorier. Masken som innehöll fyra 0-days, och använde stulna certifikat, och attackerade väldigt specifik mjukvara för att attackera hårdvara. Konspirationsteorierna har svämmat över på nätet. Symantec har en riktigt bra analys (pdf).

04
Jan 2011
POSTED BY
POSTED IN Svammel
DISCUSSION 2 Comments
TAGS

När DNS ljuger

Man kan väl minst sagt konstatera att DNS hamnat i fokus den senaste veckan, inte minst i ljuset av Verisigns ompekningar av ett större antal domäner, men också Wikileaks problem med att vara tillgängliga. Senast ut med Wikileaks är att deras DNS-tjänst som sköttes av EveryDNS plockade bort wikileaks.org från sina namnservrar. Anledningen är att namnservrarna utsattes för en DDoS-attack, vilket skulle få nästan vilken leverantör som helst att ta bort det domännamn som är orsaken till problemet, eftersom detta går ut över alla andra kunder.

Företaget Renesys, känt för sina rapporter om olika aspekter av Internet, mer eller mindre bra, har i en bloggpost skissat på ett litet betygssystem för hur DNS hanteras i olika länder. Vi vet ju att man från operatörshåll i Sverige filtrerar visst innehåll. Så hur illa är detta i Renesys betygssystem? Först listar jag detta betygsystem här:

★★★★★

Entirely safe. Providers in this country respect DNS integrity and never rewrite DNS responses. Even if you mistype a domain, you get an obvious non-existent domain (NXDOMAIN) error message and not an advertisement. When asking questions you always receive the intended answers.

★★★★

Mostly safe. Providers in this country are allowed to rewrite queries to unknown domains to make money, but otherwise they leave DNS alone.

★★★

Use caution. In this country, DNS providers may be required to modify the recursive resolver responses in order to enforce local content laws.

★★

Strong caution. In this country, ISPs may be required to modify the recursive resolver responses in flight in order to enforce local content laws. In other words, ISPs listen in on your requests and alter the responses, no matter which server you query.

Danger. In this country, root server responses as well as recursive responses may be modified in flight, without warning, by any infrastructure providers.

Så var hamnar Sverige på betygsskalan? Den filtrering som görs sker ju på frivillig basis, men där Rikskriminalen tar fram blocklistorna. Dessa blocklistor är dock inte offentliga. Jag skulle nog påstå att Sverige får ★★★★. Men detta kan ju snabbt ändras. Vi har ju inga lagar om att innehåll måste blockeras av operatörerna genom DNS.

Men som vanligt, kör din egen DNS om du inte litar på hur andra gör. Och använd DNSSEC för att detektera omskrivningar av DNS-svar. Vid DNSSEC-validering måste man dessvärre signera sina domäner med DNSSEC, och till en utbredd användning här har vi en bit kvar.

03
Dec 2010
POSTED BY
POSTED IN DNS Säkerhet
DISCUSSION 3 Comments
TAGS

En kommande fragmentering av DNS

Med anledningen av att den “amerikanska regeringen” (Immigration & Customs Enforcement inom Department of Homeland Security) för snart en vecka bad Verisign peka om ett antal .com-domäner till en spärrsida liknande den som svenska ISP:er på frivillig basis implementerat mot barnpornografi, så har piratnördarna med Peter Sunde i spetsen skapat något slags initiativ för att bygga en P2P-baserad DNS-toppdomän, .p2p.

De krav (eller “mål”) som man har med detta är att få till en toppdomän där innehållet inte går att filtrera på det sätt som gjorts ovan. Men för att ta ett mål i taget, från deras wiki:

  • Undgå den “kontroll” som ICANN har idag. Ja, ICANN har inte särskilt mycket kontroll över ccTLD:er som t.ex. .se idag. De kan förstås tillsammans med NTIA ta bort .se från kartan, men det blir med största sannolikhet förhållandevis ganska komplicerade diplomatiska förhållanden mellan Sverige och USA då, samtidigt som ICANN förminskar sin egen roll genom minskat förtroende. Risken för detta är minimal. Att servera sina domäner under .com som drivs av ett amerikanskt företag har ju visat sig vara ödesdigert, men då borde slutsatsen vara att köra sina domäner under toppdomäner som har lagstiftning och myndigheter som man vet hur man uppför sig.
  • Kryptera DNS-uppslagningarna genom mekanismer i P2P-lösningen. Visst, det är ju bra. Men allt som skjuts långt bort i nätet, och bygger på någon form av realtidskrypto sänker prestandan. Nu kan man ju argumentera för att med högre säkerhet och anonymitet, så kan man offra prestanda. Nu har P2P-nät mycket sämre prestanda än DNS ändå, så oavsett vad man gör så blir uppslagningarna långsammare än vanlig DNS. Dessutom vill man inte göra särskilt mycket avancerad krypto i sådana här protokoll, eftersom detta lätt leder till DoS-attacker riktade mot den som ska validera signaturer eller dekryptera information.
  • Återanvända så mycket färdig bittorrent-kod som möjligt. Jag förstår inte varför detta ska vara ett mål, det känns som en teknikerlösning på ett teknikerproblem. Först designar man ett protokoll, sedan tittar man på om det finns färdig kod som kan lösa implementationsbiten.
  • Stöd för .p2p i alla OS och applikationer, genom “open source”. Ja, det är ju bra. Men det är inte så man designar protokoll. Man gör det genom att skriva extremt bra specifikationer som har flera oberoende implementationer, som faktiskt fungerar mellan varandra.
  • Denna uppslagningsmekanism ska inte påverka det övriga DNS-systemet, och här vill man inte betraktas som ett malware. Bra. Men svårt att undvika, eftersom vem som helst kommer att prångla ut “Phree Warez for the .p2p-domainz!1!”-applikationer, eftersom detta inte kommer att ingå som en standardkomponent i ditt operativsystem.
  • Zeroconf. Bra, men det är ju egentligen ingen protokollfråga, utan upp till den specifika applikationen att avgöra. Dessutom kan ju implementationen bara bli zeroconf i klientläge, knappast i den del som ska servera namn till .p2p-namnrymden.
  • Uppslagningsmekanismen ska vara säker och krypterad (sista punkten, end2end…). Ja, why not. DNS är ju inte krypterat idag, även om det förekommit flera förslag på hur man gör detta. Och med DNSSEC kan du vara säker på att DNS-svaren inte är manipulerade.

Min betraktelse här är att kravspecifikationen på ett nytt DNS-liknande protokoll så här långt är väldigt luddiga. Det är en massa önskemål. Men ingen information om hur man publicerar namn, vilka nycklar man ska lita på, och vem som litar på vem. (Det finns något obegripligt om web-of-trust och GPG.) Men mycket Alice and Bob blir det.

Rick Falkvinge har ökat på förvirringen genom att hävda att DNS redan är fragmenterat. Detta baserat på att man i Danmark har lagstiftat att operatörers resolvrar måste filtrera ut piratebay.org. Lösningen ovanför (vad den nu blir) kommer inte att lösa andra resolvrars DNS-filtrering. Här är lösningen givetvis att köra sin DNS-resolver själv. Men det måste man ju ändå om man ska få DNSSEC att skydda DNS-informationen hela vägen till klient-datorn. För det gör ni väl?

Jag är positiv till allt som utvecklar Internet och DNS. Men man löser inte diffusa problem med diffusa tekniska lösningar. Jag gissar att målet i förlängningen är att helt ersätta DNS, men att man vill börja med .p2p, eftersom det är något rimligare. Det är bra. Men då måste man modellera protokollet med vad DNS idag hanterar. Annars kommer det att bli något annat, och då ska man nog inte parasitera på DNS-namnrymden ens.

01
Dec 2010
POSTED BY
POSTED IN DNS Hacks Svammel
DISCUSSION 3 Comments
TAGS

Öppet brev till scenen

Man hittar mycket kul när man gräver i gamla gömmor. Men det jag hittade nyligen måste jag publicera här. Inte minst därför att det gått ganska bra för avsändarna. Det handlar om ett öppet brev till “scenen” om det dåliga med piratkopiering. Detta är publicerat i ett litet scen-fanzine i april 1992.

 

In Medias Res page 48

In Medias Res sida 48

 

Svaret från medlemmen Strider i Fairlight (inte FAGlight) följde på nästa:

In Medias Res sida 49

In Medias Res sida 49

Man kan väl sammanfatta detta med att det faktiskt gick ganska bra för Digital Illusions. Och jag tror inte att någon av ovanstående skribenter var medvetna om Bill Gates berömda brev Open Letter to Hobbyists.

Vad jag själv skrev på den här tiden hoppas jag är preskriberat.

21
Oct 2010
POSTED BY
POSTED IN OldSchool Svammel
DISCUSSION 2 Comments
TAGS

Lite fler Creeper-uppdateringar

Jag har under sommaren fått en del IP-adressuppdateringar och grävt en del själv. Idag tog jag mig dock tid att verifiera och söka efter en hel del IP-adresser. Dessutom tittade jag närmare på själva Creeperbildsprogrammet, och upptäckte att jag inte satte några cache-parametrar på bilden. Så nu har jag fixat lite så att webbläsare inte ska cachea bilden, vilket borde innebära lite fler träffar. Så här följer dagens uppdateringar.

+ Ingen cachening på creeper/image!
+ 195.67.26.48 - 195.67.26.51           Rikspolisstyrelsen
+ 195.67.45.136 - 195.67.45.143         Rikspolisstyrelsen
+ 195.198.83.24 - 195.198.83.31         Rikspolisstyrelsen
+ 194.17.50.88 - 194.17.50.95           Rikspolisstyrelsen
+ 62.65.85.16 - 62.65.85.31             Försvarsmakten LedTek Linköping
+ 194.16.218.60 - 194.16.218.63         Försvarsmakten
+ 194.18.111.24 - 194.18.111.27         Försvarsmakten
+ 194.103.14.0 - 194.103.15.255         Fortifikationsverket
~ 192.165.31.0 - 192.165.31.255         KBM > MSB
- 194.16.110.0 - 194.16.110.255         Krisberedskapsmyndigheten
+ 195.198.122.144 - 195.198.122.159     Myndigheten för Samhällsskydd och Beredskap MSB
+ 195.198.201.208 - 195.198.201.215     Riksdagen
+ 195.67.88.208 - 195.67.88.223         Riksdagen
+ 212.247.200.64 - 212.247.200.95       Sveriges Riksbank
+ 62.119.24.8 - 62.119.24.15            FOI, Totalförsvarets forskningsinstitut
+ 62.119.134.8 - 62.119.134.15          FOI, Totalförsvarets forskningsinstitut
+ 192.36.25.0 - 192.36.25.255           Boverket
+ 192.121.238.0 - 192.121.238.255       Patent och Registreringsverket
+ 194.14.184.0 - 194.14.186.255         Bolagsverket
+ 62.119.150.16 - 62.119.150.31         Skolinspektionen
+ 192.36.5.0 - 192.36.5.255             Riksrevisionen
+ 62.95.35.0 - 62.95.35.31              Lotteriinspektionen
+ 192.121.89.0 - 192.121.89.255         Kemikalieinspektionen
+ 195.67.83.80 - 195.67.83.95           Svenska Institutet
- 194.218.101.0 - 194.218.101.255       Polishögskolan
+ 130.242.25.0 - 130.242.25.255         Riksdagsförvaltningen
+ 195.67.14.64 - 195.67.14.127          Riksdagens Förvaltningskontor
+ 192.165.173.0 - 192.165.173.255       Myndigheten för Samhällsskydd och Beredskap MSB
+ 192.36.96.0 - 192.36.96.255           Myndigheten för Samhällsskydd och Beredskap MSB
+ 193.182.184.0 - 193.182.184.255       Myndigheten för Samhällsskydd och Beredskap MSB
+ 193.182.190.0 - 193.182.190.255       Myndigheten för Samhällsskydd och Beredskap MSB
+ 195.5.185.0 - 195.5.185.255           Myndigheten för Samhällsskydd och Beredskap MSB
04
Sep 2010
POSTED BY
POSTED IN Creeper
DISCUSSION 0 Comments
TAGS

Ersättare till “planet planet”

Jag har länge letat efter en ersättare till programvaran Planet, då det känns som om den börjar bli lite väl begränsad till vad jag eventuellt vill göra framöver med Gnuheter. Sedan över ett år tillbaka så har jag experimenterat lite med att köra WordPress som “planet”-mjukvara, med tillägget Feedwordpress. Det funkar hyggligt, och den är ungefär lika lättadministrerad som Planet (webb vs CLI).

Igår kväll satte jag mig ner och gjorde ett riktigt WordPress-tema för Planet Gnuheter, så att alla kan känna igen sig. Inte exakt likadant ännu, men jag jobbar på det. Det var väldigt lätt att skapa ett WordPress-tema. Några features utöver gamla Planet är att WordPress sparar all historik. Detta innebär att man kan söka i gamla inlägg, och även presentera historik på olika sätt. Jag har inte gjort funktionalitet för annat än sök ännu. Men jag kan släppa mitt SVN-repo för temat snart, så kan ni som är intresserade hacka vidare. Temat i övrigt kan säkert behöva en uppfräschning. Jag är ju ingen CSS-guru direkt.

Vad tycker ni? Titta på WordPress-sajten: Planet Gnuheter

25
Jul 2010
POSTED BY
DISCUSSION 4 Comments
TAGS

Att smyga in funktioner

En enda liten skillnad i en uppgradering från PHP 5.3.0 till 5.3.1 gjorde att Creeper inte längre fungerade. Jag fick ett meddelande om att Creeper inte längre visade några resultat, och det tog en stund att komma på vad felet var, och varför det hade uppstått.

De finurliga människorna bakom PHP tycker att det är en bra idé att föra in nya reserverade ord lite då och då. I Creeper har (numera hade) jag en funktion som heter getHostname som hämtade hostnamn-delen av HTTP-referern som jag vidarebehandlar. Om man lusläser changeloggen för PHP release 5.3.1 hittar man denna obetydliga rad:

Added gethostname() to return the current system host name. (Ilia)

Maken till featurecreep har jag sällan skådat. Kan man inte hålla sig till major-releaser innan man inför sådana här galenskaper? Hur gör folk för att hålla sina PHP-applikationer stabila över tid, när marken under dem gungar så här?

01
Mar 2010
POSTED BY
DISCUSSION 11 Comments
TAGS