Minnesanteckning Spridningskollen – Vilka operatörer har tvingats lämna ut uppgifter?

Minnesanteckning. Det har nog inte undgått någon att Spridningskollen ska börja skicka ut brev till människor vars IP-nummer trålats och identifierats som fildelande bittorrentnoder. Det känns som ett eko tillbaka till 2008 då man diskuterade piratjägarlagen IPRED. Vad som händer nu är konsekvenserna av detta, trots att många internetoperatörer har gjort motstånd mot lagens införande och praktik.

På Twitter diskuterades vilka operatörer som har tvingats (eller frivilligt) lämna ut uppgifter till Spridningskollen. Här kommer några screenshots från kundtjänsternas sociala-medierkonton där de svarar. Jag lägger dem bara här för arkivets skull (så man kan stämma av mot vilka, med vilken operatör, som faktiskt fått brev).

Om någon har kompletterade information, kommentera mer än gärna!

\\

Uppdatering: Jag kontaktade Telenors kundtjänst på Twitter och fin nummer på domarna som lett fram till att de tvingades lämna ut uppgifterna. Har lite annat att stå i för tillfället, men lägger ut dem här. Borde vara intressant läsning.


Stockholms tingsrätt:
Ärendenummer från domstolsbeslutet från 26 augusti:
Scanbox Entertainment./. Målnummer Ä8895-16
Crystalis Entertainment./. Målnummer Ä8785-16
Ärendenummer från tidigare fall, 17 december: Crystalis Entertainment./. Målnummer Ä14271-15
Ärendenummer från tidigare fall, 17 december, 16 juni 2015: Crystalis Entertainment./. Målnummer Ä4191-15

Hovrätten:
Detta domstolsbeslut överklagades till Hovrätten men fick avslag: Målnummer ÖÄ6116-15

\\

Uppdatering: På flashback har någon begärt ut två av domarna. Lägger kopia på pdferna för arkivets skull: Stockholms TR Å 8895-16 Slutligt beslut (ej särskilt uppsatt) 2016-08-26 och Stockholms TR Ä 8785-16 Slutligt beslut (ej särskilt uppsatt) 2016-08-26

\\

Telenor säger sig ha lämnat ut uppgifter till Spridningskollen:

telenor

Comhem svarar så här:

comhem

comhem2

Telia säger:

telia

Bredbandsbolaget verkar vara tydligast med sitt svar:

bredbandsbolaget

Uppdatering. Fick tips om någon som frågat Tele2. Tipstack och bra ställd fråga av Angelica på Facebook.

tele2

ISP liability and #09STOCKHOLM141

It is not only our infamous lobby organization Nepotia that wants to put an end to net neutrality in Sweden. The #09STOCKHOLM141 cable that was put on interweb by Wikileaks reveals a puppet-like behaviour by the Swedish Government concerning these issues.

What is at stake is nothing less than our tubes. ISP liability means that the Internet Service Providers are responsible for what packets of data that run through their infrastructure.

My fear is that ”ISP liability” will radically change internet in Sweden. It is conveyed in a scary language. The lobby organization Nepotia talks about ”responsibility” and ”business models”. What ISP liability means, and can not mean anything else, is systematic surveillance.

Let us take a look at #09STOCKHOLM141:

Now that the Enforcement Directive implementation will finally enter into force on April 1, and there will soon be a first District court decision in the Pirate Bay case — the Justice Ministry will turn its attention to other key issues, primarily the ISP liability issue and extra resources to investigative capabilities.

So, there was IPRED and nothing happened. There was the The Pirate Bay trial and nothing happened to files being copied between computers. Now, the Justice Ministry turn their attention to ISP liability and want something to happen,according to the cable . The lobby campaign of the industry, their ”front” being Nepotia, are timing this very well. A while ago they hired a Phd-candidate named Johan Axhamn to make a report about ISP liability to put some academic polish to cover up the industry demands.

The whole story is very gangsta-style when ventriloquized by the Embassy cables. One thing that the Swedish government needs to solve (crush) are the actual Internet Service Providers:

6. (SBU) Industry consultations/ISP liability: The GOS held a series of industry consultations in the summer/fall of 2008, with the explicit aim to discuss a voluntary industry agreement involving ISPs and right-holders organizations. Industry contacts reported that the ISP’s were not willing (they claim they are not able) to take on any action on a voluntary basis. The first round of consultations was concluded without results during the fall of 2008. The Justice Ministry is currently working internally in the GOS to get acceptance for a second round with a clear incentive for progress, i.e. threatening with legislation in the absence of a voluntary agreement. There is some resistance in the Center party led Ministry of Enterprise, Energy, and Communications, and negotiations are on-going at senior GOS-levels.

Lets ”threaten with legislation”. To me that sounds a bit like extortion. Either you start up your Deep Packet Inspection or we give you no choice but another law regulating your enterprise.

The ISPs of Sweden are really nice. We have a cutting edge fibre backbone and you can get a really fat pipe straight to your home for a reasonable cost. Sure, some of them don’t behave well all the time, for example Telia blocks some Skype in their wireless networks and tried to give Spotify a fast-lane in traffic management. But besides that, it is a real pleasure to surf the .se-nets.

The freedom of mere conduit, of well protected ISPs, is the fundamental material technology of freedom of speech in contemporary societies.

The US must withdraw their fingers from our fibres, and the lobby front organizations should be scrutinized more. Their inquiries and representatives smell like money, and when you can change laws with lollars, we sell out freedom of speech for some lousy entertainment.

The choice is still ours.

Kryptoparanoia

Det är mycket kryptering nu. Financial Times har en mycket intressant artikel om USCybercom som tar upp några globala strategier för att hantera de stora mängderna krypterad trafik som underrättelsetjänsterna vill åt. Som jag berättade i P3 Nyheter i fredags växer problemet med hjälp av bland annat fildelningslagar.

Kanske är det inte så dumt att krypteringsteknologierna når en större användarbas. Paranoia leder ibland till ökade kunskaper och en större vilja att ta sin internettrafik på allvar, att lära sig hur de vindlande nätverken fungerar. Men det är samtidigt en farlig väg att gå. Paranoia leder även till ett minskat tillit till främst de myndigheter och institutioner som egentligen borde vara till näts för att skydda oss (om myndigheter överhuvudtaget har i uppgift att skydda oss på nätet är en fråga man kan diskutera. Allt som oftast visar det sig att ”skydd” innebär övervakning).

I teknologiska termer är dock paranoian helt klart av accelererande karaktär. Begäret efter gratis underhållning från Hollywood i kombination med en tilltagande paranoia för IPRED-hyrsnuten eller HADOPI-myndigheten, skapar det perfekta upplägget för en accelerande kryptering, som blir allt starkare, allt mera försiktig. Det är dags att vi tar ansvar för våra chiffer, för om inte vi gör det så gör ett företag det. Och då går det snett.

Låt mig kasta mera ved på paranoians brasa! När man krypterar sin trafik finns det ett antal principer som man förr eller senare måste förhålla sig till. För det första måste man se till att behålla krypteringsnycklarnas integritet. Därför vill man helst ha dem så nära sig själv som möjligt, gärna på en egen hårddisk. Sen vill man helst kontrollera hela trafikflödet från end-to-end, alltså inte låta en tredje part i mitten ansvara för inloggningsuppgifter etc. För det tredje vill man, om paranoian är tillräckligt hög, gärna kunna läsa all källkod till programvaran man använder, eller åtminstone vara säker på att någon annan man litar på har gjort det. Annars finns alltid en risk för olika ”bakdörrar”.

Dessa kriterier utgör en slags händelsehorisont, och när man tar de på fullt allvar inser man snart att man måste ta krypteringen i egna händer. De flesta små trevliga program som finns i din dator förvandlas till säkerhetsrisker. Låt oss ta några exempel, som även nämns i Financial Timesartikeln ovan.

Skype är mycket osäkert och osympatiskt. Stängd källkod, snabba miljardköp av amerikanska företag, och misstänkt användarvänligt. Ingen riktig peer-review har skett, och det verkar som att högstbjudande kan köpa ett STASI-öra rakt in i våra samtal. Så är det i Kina. Tyskland däremot verkade inte ha tillräckligt med cash.

Blackberry-telefoner kommer härnäst. Återigen ett fall av stängd mjukvara och där ens data (mail, kalendrar etc.) sparas på Kanadensiska servrar. Överföringen sker krypterat, men inte med ditt egenhändigt tillverkade krypto, utan med ett corporate. Från FT:

Otherwise, Abu Dhabi warned, all BlackBerry communication in the ­country would be stopped. RIM had refused to budge (despite the fact that it had already agreed to allow China, India and Saudi Arabia access to unencrypted messages). The UAE government announced yesterday (Oct 8 ) that the threat to suspend BlackBerry services had been lifted as the provider now complied with the Gulf state’s regulatory framework.

Känner ni paranoian? Det blir inga skämt om sex i Blackberry-luren. Sånt är förbjudet i UAE. Man får akta sig att tala väl om Nobelpriset i Kina. Det är förbjudet att alliera sig med sådana där ”terrorister” som pratar mänskliga rättigheter. Men det blir värre:

BlackBerry is just the opening shot. India said last month it intends to ask Google and Skype to set up servers inside its borders so that it can monitor traffic over Gmail and Skype’s internet telephone system. Other countries seem set to follow

Meh, Google skulle ju vara snälla och inte stå på diktaturernas sida. Whatever man, den paranoide skulle aldrig köpa sådant snack. En gång inloggad till Google, alltid inloggad. Små kakor i din webläsare ser till att du ständigt är övervakad. Även när du surfar utanför Googles egna sidor finns Google-analyticskod nästan överallt, som sakta men säkert kartlägger dina minsta surfvanor och rapporterar tillbaka till Google. Eller Kina. Eller Indien.

Det är enkelt att kolla. Installera bara Firefox-pluginet Google Alarm.

För er som oroar er har denna blogg ingen kod från Google… det säger i alla fall Google Alarm… eller… kanske måste kolla igenom källkoden för säkerhets skull…

Det krypt(ograf)iska ansvaret

Förra veckans krypteringsnyheter väcker en rad intressanta frågor, som bland annat Hasse Rosén ställer i en tweet (ovan).

När kryptering blir allt vanligare får myndigheter som FRA och NSA ett tuffare jobb. Mera data måste dekrypteras, trafikmönstrena på internet blir allt otydligare och teknologier som Deep packet inspection blir allt svårare att implementera. Efter den senaste tidens stålbad av utökade övervakningslagar, tar internauter saker och ting i egna händer och använder sig av en slags teknologisk aktivism, som jag förutspår kommer att bli en brännande fråga inom en snar framtid. I Det nätpolitiska manifestet skriver jag:

Kombinationen av dessa två teknologier, kryptering och paketförmedling, ger upphov till ständigt nya darknets. Cyberspace blir cipherspace – ett krypterat internet inuti internet där det är nästintill omöjligt att röja en avändares identitet. Följden av denna identitetslöshet blir att inga lagar kan verkställas och inga straff utdömas; cipherspace är ett tillstånd av teknologisk anarki.

Ur detta tillstånd kan man påbörja ett resonemang om ansvar. Men inte vilket resonemang som helst, åtminstone inte om vi vill ta oss till själva sakfrågan. Att bara kräva att det tas ansvar innebär att man inte säger någonting alls. Att dessutom fastna för det suggestiva A-ordet i kryptoAnarki leder också fel, eftersom det tillsammans med A som i Ansvar i princip motsäger varandra redan per definition. Så låt oss ta en sak i taget och vandra från A till A varsamt.

För det första måste vi historicera debatten. Samma problemställningar diskuterades redan för 20 år sedan, bland annat av Timothy C. May i The Crypto Anarchist Manifesto (ca. 1992)*:

The State will of course try to slow or halt the spread of this technology, citing national security concerns, use of the technology by drug dealers and tax evaders, and fears of societal disintegration. Any of these concerns will be valid; crypto anarchy will allow national secrets to be trade freely and will allow illicit and stolen materials to be traded.

På nittiotalet var krypton klassade som ammunition, och i USA fördes en debatt om huruvida de skulle tillåtas över huvudtaget. Men mot slutet av nittiotalet beslöt man sig för att släppa kryptering helt fritt, eftersom det inte fanns några tecken som tydde på att varken nationell säkerhet skulle hotas, att det handlades med droger eller att samhällen kollapsade. Tvärtom stärkte anonymiteten människor som befann sig i diktaturer och under hot, men framförallt möjliggjorde krypteringen i princip IT-bubblan. Utan säkra kreditkortstransaktioner skulle vi inte ha handel på internet, vi skulle inte ha säkra login på Facebook etc.

Man skulle kunna säga att ansvaret istället vändes upp och ned. Det började ses som ansvarslöst att inte kryptera, eftersom man då exponerade användarna mot kreditkortsbedrägerier och att deras personliga data hamnade på vift. Så fort man har mer än en användare på sitt system argumenterar många för att man har en skyldighet att kryptera personliga data.

Detta bryggar över till den debatt som nu börjar formeras.

Andreas Ekström ställer ungefär samma fråga i sin kommentar till Det nätpolitiska manifestet, publicerad på Netopia. Men nu i ett nytt sammanhang, 20 år efter den första kryptoanarkidiskussionen:

Den digitala revolutionen fortsätter. Tydligen ska en miljon idiotiska småstrider behöva utkämpas innan världen på allvar blir bättre på grund av den – men striden om hur rättsstaten agerar eller utesluts från ett framtida genomkrypterat internet, den blir inte liten. Det är allas ansvar – och det säger jag trots att ganska lite i vår historia tyder på att kollektivt ansvarsutkrävande är en riktigt lyckad idé – att se till att den då åtminstone inte blir idiotisk.

Ekström öppnar åter den kanske ibland bortglömda frågan om relationen mellan stat och krypton. Den är inte alls mindre relevant idag. I länder som Kina, Iran, Förenade Arabemiraten, med flera, är kryptering hårt reglerad. Bara i veckorna har Förenade Arabemiraten haft stora problem med Blackberry-telefoner, vars kryptering är så stark att staten inte kan knäcka den (tillräckligt snabbt). Här tänker man sig att staten måste ta sig denna rätt för att förhindra hot mot den nationella säkerheten. Alltså, som Ekström argumenterar, rätsstaten släpps in i den krypterade trafiken.

Vems ansvar är det då? Och vad består ansvaret av? NSA tycker att franska Hadopi-myndigheten bär ansvar för att fildelare krypterar för mycket trafik. NSA utkräver (informellt) ansvar av Hadopi, och troligtvis dess motsvarigheter i andra EU-länder, att sluta upp med att övervaka ringa upphovsrättsöverträdelser så att de kan få tag på ”the bad guys”. I USA menas med detta allt som oftast terrorister.

När vi handlar roliga prylar på E-bay utkräver vi i rollen som konsumenter ansvar att E-bay inte skickar våra kreditkortsnummer i klartext hur som helst över internet. Vi kräver att våra mail förvaras på krypterade diskar så att de inte sprids vind för våg, och vi utkräver ansvar hos Facebook att data om exempelvis Iranska aktivister inte hamnar hos Basij-milisen.

Även kryptoaktivister utkräver ansvar, främst av sig själva. Att lova att ett system är fullständigt säkert innebär att man sätter någon annan i fara. Att inleda kommunikation med någon vars säkerhet man inte kan garantera är mycket dumdristigt, och kan leda till svåra konsekvenser om man exempelvis tunnlar in till/ut ifrån Kina.

Ansvar är således något som i princip alla utkräver av andra och sig själva i denna kryptiska ansvarsdebatt.

Jag skulle exempelvis mer än gärna vilja hålla Netopia ansvariga för en stundande konflikt med kryptorelaterade dimensioner. I sitt mantra om att ”rättsstaten” måste flytta in på internet, som om den skulle saknas där (så vitt jag vet gäller lagen lika mycket där som någon annan stans), så medför detta konsekvenser. Den ”rättsstat” som Netopia efterfrågar har teknologiska implikationer. Att skilja ett datapaket från ett annat, det ”lagliga” och det ”olagliga”, kräver alltid någon form av övervakning. Den senaste trenden är Deep packet inspection, som jag länkar ovan, vilket innebär att varje paket lyfts upp, analyseras, och släpps vidare. Om det inte är oönskat, för då stoppas det. Teknologin implementeras hos våra internetoperatörer, och blir därmed ofrivillig samt i många fall omedveten för användarna.

DPI kringgås mycket enkelt genom att man krypterar trafiken från sin egen dator till destinationen. Den ciphertext man skickar blir därmed meningslös för DPI-maskinen hos internetoperatören. Den sekund som de första paketen börjar droppas i kablarna, kommer först ett litet antal internauter att börja kryptera. När måltavlan blir exempelvis bittorrenttrafik kommer det tillkomma en strid ström av användare. NSAs problem ökar. Så även FRAs. Att utkräva ansvar för de ytterst få riktiga brott som äger rum i det vita brus av krypterad trafik som uppstår blir då allt svårare.

Det verkar som det ”kollektivt ansvarsutkrävande” som Ekström diskuterar inte fungerar. När man tar fram den breda håven på internet fångar man de vanliga användarna och inte de luriga bovarna. Samma förhållande gäller exempelvis med det läckta barnporrfiltret som Juliagruppen och AKZensur analyserade. Blockeringarna som Ecpat och Polisen överlämnar till internetoperatörerna leder till en allvarlig paradox. Den ”stora massan” får ett hemligt blockeringsfilter, medan barnporrsajterna får fortsätta att finnas. På en halvtimma kan man stänga ned sajterna istället och överlämna bevis till myndigheterna. Det kan vem som helst göra med hjälp av kommandot ”whois”.

Så frågan är om ”vem tar ansvaret?” verkligen alltid syftar till ”rättsamhället”? För det verkar som att de rättsvårdande myndigheterna knappast verkar bry sig. Det rättsvårdande samhället har överlämnat befogenheter och ansvar till privatpoliser när det gäller fildelning i och med IPRED1. Det verkar som att det blir allt svårare att motivera den manövern, med tanke på att IPRED-metoderna ständigt överklagas, kanske för att fällas i Europadomstolen.

För att återvända till Hasse Roséns inledande fråga om vilket ansvar ”de som bygger cipherspace” har för att anonymisering kan komma att missbrukas, kan man ställa upp ett svar ungefär så här:

I första hand upplever de flesta jag känner att det primära ansvaret är att se till att de som förlitar sig på kryptering inte i blindo litar på att tekniken fungerar. Trots att kryperingen idag är mycket stark finns det förödande misstag som man kan göra, och därmed avslöja sin identitet på helt fel ställe. En oförsiktig Egyptisk bloggare kan hamna i fängelse.

”De som bygger cipherspace” är inte en homogen grupp av nätaktivister. Tvärtom står privata företag för den största delen av den krypterade trafiken på internet. Kommersiella VPN-tjänster säljs dagligen till kunder som vill skydda sin trafik. Som privata företag är dessa pragmatiska med hur de ska ta ansvar. Man kalkylerar ett övervägande mellan hur man får maximalt antal kunder utan att riskera att komma i konflikt med polisen.

De mera avancerade projekten som I2P och Tor, som byggs upp av ”communities”, är kanske de mest intressanta. Dels bygger de upp en infrastruktur som siktar in sig på att vara ”kärnvapensäker”, alltså att det är omöjligt att fastställa identiteter och ta ned sajter och tjänster, även för utvecklarna själva. Här är ansvarsdiskussionerna mycket levande, till skillnad från de kommersiella tjänsternas mera pragmatiska hållning. Att sammanfatta dessa här och nu är kanske inte möjligt, men kanske finns det ändå några punkter att urskilja.

Principen om fri kommunikation går före rättsstatens ingrepp för att stävja eventuella brott. Dels fann man ju i USA på nittiotalet att brott över datornätverken i princip inte existerade. Men i juridiska termer skulle man kunna placera dessa principer i hierarkiska kategorier: fri kommunikation är för det mesta placerade som konstitutionella och fundamentala rättigheter, medan brottsbalkar intar en sekundär position.

Men kryptoanarki manifesterar sig sällan som en ”ideologi”, utan snarare som en praktik. Med hjälp av min dator kan jag förvandla klartext till chiffertext, sedan kan jag skicka data till vilken annan nod i nätverket (internet). När lagen inte skyddar mig, när exempelvis meddelarskyddet kringskärs av FRA, då ligger ansvaret hos mig istället för hos staten att garantera ett informationsflöde. Det kan tyckas vara orättvist, men vi är redan där idag.

Egentligen borde även våra traditionella massmedier ta det ansvaret. Hittills har jag sett väldigt lite av just detta. Om jag ska kontakta en redaktion, så finns det väldigt få vägar att göra det på utan att meddelarskyddet bryts. Vad spelar en grundlag för roll när min trafik ändå avlyssnas, här och nu. Med datalagringsdirektivet kommer telefonsamtalet att vara loggat. När jag mejlar kan mejlet ha snappats upp på vägen. När hyrsnuten har begärt ut mitt IP-nummer för en delad upphovsrättskskyddad fils skull, är min anonymitet bruten.

Jag är övertygad om att kryptoaktivister mer än gärna tar sitt ansvar att sprida kunskaperna och göra dem tillgängliga för fler. Ty de behövs.

* De kryptoanarkistiska manifesten finns samlade i Crypto Anarchy, Cyberstates, and Pirate Utopias av Peter Ludlow. För den som har i2p här.

** För en relaterad men annorlunda diskussion, se min ståndpunkt om transparens.

Om loggfilers politik

I morgon håller jag ett föredrag om datalagringsdirektivet i Göteborg i serien ”God Jul Storebror”, anordnat av Piratpartiet, Vänsterpartiet, Folkpartiet och Studieförbundet Vuxenskolan.

Lagar och direktiv är ju dock en sak för sig. Den stora frågan är ju hur de kommer att användas i praktiken och vilka konsekvenser de får för vår nätvaro. Med andra ord, hur förändras vad som lagras och hur man söker i loggar, och vem får tillgång till loggar?

Som empiriska filosofer måste vi därmed börja i lite grundläggande loggkunskap. (Speciellt tack till mina datorkunniga IRC-vänner som förklarade för mig).

Vi demonstrerar med loggar jag har tillgång till, eftersom jag är en sorts ISP som tillhandahåller tjänster till användare. Nu är ju mina loggar inte lika kraftfulla som hos till exempel Telia eller en bank, men man kommer ganska långt med de jag har.

Jag förmedlar ju bland annat skalåtkomst för IRC från en liten iMac G3 som står på mitt skrivbord. Loggar i Ubuntu Linux ligger i katalogen /var/log och ser ut så här:

Picture 8

Dessa filer ger mig massor av information om mina användare, information som jag var ovetande om att min dator loggade (jag är ju inte särskilt datorkunnig). Min tio år gamla maskintriumf klarar dock av ganska mycket på sina 600 megaherz. Ovan ser vi bland annat loggfiler för apache2 (webservern), mail, MySql-databasen, det lokala nätverket etc. Men den roligaste är auth.log som för detaljerad information om när användarna loggar in på min dator.

En typisk rad i loggen ser ut så här:

Dec 14 00:22:29 ubuntu sshd[32281]: Accepted password for chrisk from 192.168.1.1 port 51838 ssh2

Här ser jag att jag har loggat in den 14 december mitt i natten från mitt lokala nätverk (192.168.1.1). Information som kan vara mycket värdefull i exempelvis en rättegång, om mina andra användare begår ett brott vid en viss tidpunkt (eller varför inte jag själv). Här får FRA inte spana, men datalagringsdirektivet kan ge polisen tillträde kan tvinga mig att spara.

Att läsa loggar manuellt är dock begränsat av våra köttvärldshjärnors kapacitet att extrahera information ur en textfil. Men tack vare lite panspektrisk data-power kan vi börja leta efter lite rolig information. Genom följande kommando som nyttjar perl-script:

cat auth.log.0 | perl -lne’$f{$1}++if/Failed password for (S+)/}{foreach(sort{$f{$a}<=>$f{$b}}keys%f){print”$f{$_} $_”}’

… kan vi se hur många misslyckade inloggningsförsök vi har i senaste loggen. Detta visar förutom att några av mina användare lätt verkar slinta på tangenterna då och då att jag har haft 1720 invalida inloggningsförsök varav 881 stycken med användarnamnet ”root”, som är den ”super user” som kan ändra allt i ett Linuxsystem. Dock kör ju min server Ubuntu Linux där denna användare är avaktiverad per default.

Misstanken gror! Jag har haft intrångsförsök! Jag har inte som Anton Abele läst det i tidningen utan i mig egen logg!!! Loggarna ljuger ju aldrig (eller?) så grävandet går vidare (jag anonymiserar lite med xx). Från auth.log:

Dec 16 10:19:20 ubuntu sshd[11447]: Failed password for root from 202.69.xxx.xx port 55327 ssh2
Dec 16 10:19:25 ubuntu sshd[11457]: reverse mapping checking getaddrinfo for net-xxx-xx.jasatel.net.id failed – POSSIBLE BREAK-IN ATTEMPT!

För bara nån timma sedan försökte någon eller något att knäcka mitt (obefintliga) root-lösenord. Från Jakarta, Indonesien (enligt whois). Nu säger mina datorkunniga vänner att sådant ”händer hela tiden” och jag antar att det här rör sig om en kapad dator som utför någon form av ordlisteattack, eftersom inloggningsförsöken ibland både prövar olika användarnamn och ibland bara olika lösenord.

För att kartlägga mina användare kan jag enkelt bara söka efter dem i mina loggar som jag inte insåg att de existerade. Just nu har jag ingen skyldighet att spara dem, så jag kan likaväl radera dem. Dock finns det ju ett stort tekniskt värde i dem eftersom man kan spåra angrepp. Men, mina system behöver inte vara så säkra, jag är ju ISP for the lulz and for learning.

I datalagringsdirektivet, som jag kommer prata om på torsdag (kom gärna, det är gratis och trevligt), tvingas olika tjänsteleverantörer att spara olika typer av loggar i olika lång tid. Hur implementationen kommer se ut i Sverige vet vi inte riktigt än, men även om det är osannolikt så är det juridiskt tolkningsbart att jag skulle ha en laglig skyldighet att lagra loggarna. I fallet Ipred är detta helt avgörande just nu i striden mellan piratjägarna och internetoperatörerna.

Och då har vi inte räknat in att lagar som är tokiga inte behöver heller behöver lydas. ”Oups… den där filen råkade jag ta bort…”

Vi syns på torsdag. Då blir det mindre om min numera i bloggosfären omskrivna dator och mer om vad Datalagringsdirektiver betyder för oss internauter!

Pro-tip hört på IRC: För att enkelt inte spara loggar så ändrar man bara i /etc/syslog.conf. Istället för att spara loggarna i /var/log så ställer man in att de läggs i /dev/null så raderas de automagiskt.

Lulzologiska tutorials – del 1 – Darknet

Idag kopplar FRA in sina kablar. Det är en sorg. Men som Britney sjunger: Why should I be sad, for the stupid f*****g things that you do?

Därmed inleder Intensifier en bloggserie om hur man kan vara anonym på nätet. For the lulz, and for great justice.

Jag har tidigare skrivit om Ipredator, som ju bara delvis gör oss anonyma på nätet. FRA vakar ju vid samverkanspunkterna där de spelar på ”trafikstråkens” kvintetter. Ipred är knappt någon utmaning rent tekniskt, hets mot upphovsman har länge varit enkelt och bringat oss mycket lulz. Hets mot signalspanare kräver dock att man uppgraderar.

Det finns ingen universallösning på FRA-problemet, så tanken är att detta ska bli en serie präglad av diskussion. Dessutom är jag inte alls teknisk… men FRA har lyckats med att göra mig datorintresserad i alla fall.

Let’s roll some Darknet!

1. Skaffa en data

Om du inte har en överbliven gammal dator så kan du leta i soprum och källare. Nästan vad som helst duger, men helst bör de inte vara äldre än 10 år. Du ska installera Debian linux på dem, så de flesta arkitekturer stöds. På universitet och utanför företag brukar det finnas avancerade grejer som ligger och skräpar i containrar. Själv fick jag en gammal Pentiumdata av Kalle P när han flyttade, som hädanefter tjänar som krigsmaskin (i konkret bemärkelse).

2. Installera Debian Linux

Den mjukvara vi ska köra heter i2p och är javabaserad, så den funkar på en massa plattformar. Dock är jag inte så bra på Windows och sånt, så hädanefter blir det Linux, som är stabilt och ger prestanda ur det mesta som kan räkna ettor och nollor. Ladda ned Debian till den hårdvaruarkitektur som din data har (i 9 fall av 10 är det i386 du har, dvs. ”en vanlig data”). Det räcker med första cd-skivan.

Se till att datan bootar från CD och kör igång genom att starta om den. I princip ska du klara dig igenom installationen genom att bara trycka ”Yes”. Se till att du har nätverkskabeln inkopplad. Om din data är gammal och slö, välj bort att installera grafiskt interface utan kör bara med bassystemet. (du kan lägga till hur mycket som helst vid ett senare tillfälle).

3. Installera i2p

Werebuild.eu har en tutorial för flera operativsystem som har den kreativa titeln How to fuck with the FRA. Bidra gärna till den genom att expandera den!

4. Profit

Picture 4När allt funkar som det ska så har vi börjat skyffla darknettrafik. Genom att ställa browsern på localhost:7657 får vi upp en statussida som visar hur mörknätet mår. Efter ett tag börjar man routa runt hundratals andra peers från datorer utomlands.

Vad kan man då göra i darknetet?

  • Sätta upp en helt anonym hemsida som endast blir tillgänglig inom i2p-nätet. Sidan får en speciell .i2p address som inte avger ditt IP-nummer.
  • Chatta anonymt via IRC. Din lokala dator får en IRC-server som sedan tillåter dig att skapa anonyma chatkanaler.
  • Mejla anonymt.
  • Dela filer med bittorrent anonymt.

Vi kan belysa detta genom ett scenario.

Picture 5Bilden visar ett paketswitchat distribuerat nätverk, den teoretiska modellen för Internet. Kärnvapensäkert. Ett i2p-nät funkar på samma sätt som internet, förutom att det krypterar trafiken i tunnlar. Mycket förenklat:

Picture 5Låt säga att om Reinfeldt, Sarkozy, Berlusconi, Obama vill utväxla dokument om Acta med varandra utan att FRA vet om det, kan de skapa ett darknet mellan varandra (det röda ovan). Trots att trafiken passerar rikets gränser, så sker det i hemliga tunnlar. Dessutom, vilket bilden inte visar, skickas en massa annan trafik som de inte har en aning om genom deras datorer.

Om Obama tröttnar på Berlusconi för att han inte kan sluta kalla honom ”ung, vacker och solbränd” och för att han är fed up med att dela fotomodellsbilder med Silvio, kan man stänga av den noden. Darknetet består dock, eftersom det är paketswitchat och därmed kan trafiken gå genom andra noder, utan att bryta säkerheten. Sarkozy kan sedan dela Carla Brunis CD-skiva via bittorrent med Reinfeldt, utan att varken Hadopi stänger av honom eller Ipred-anmälan görs. Reifeldt kan därmed fortsätta att påstå att vi inte ska ”jaga en hel ungdomsgeneration”.

Och, framförallt, kan de fortsätta hålla Acta-dokumenten hemliga utan att de läcker.


Ipredator

Picture 1

Idag lanseras Ipredator till allmänheten. Jag har själv använt tjänsten ett tag nu och måste härmed lovorda den. På två sekunder byter jag min vanliga IP-adress mot en helt anonym. På två sekunder försvinner min trafik in i ett vitt brus av krypterad information. På två sekunder vet jag att oavsett vilken konstig uppkoppling jag råkar sitta på så är mina kreditkortsnummer, mina lösenord och mina personliga data är säkra.

Så länge inte kryptering förbjuds, eller VPN-tjänster faller under något datalagringsdirektiv, är denna typ av tjänster det som håller FRA och IPRED på armlängds avstånd. Sett ur detta perspektiv är Ipredator det mest konstruktiva som kommit ur FRA-motståndet. Ipredator bygger bort problemet.

Dessutom har Ipredator ibland den effekten att det till och med ger oss snabbare internet. Det är knappt märkbart i Sverige, men det finns länder där visa protokoll stryps och där deep packet inspection är standard i näten. Tänkte du på det Bodström?

Meddelande till FRA: Jag vet att ni inte avslöjar era metoder. De är såklart jetehemliga. Men jag är oerhört nyfiken på hur ni har tänkt er att all denna trafik skulle kunna avkodas. Ja, ni har en snabb superdator. Men ORLY, till och med en n00b som jag fattar att det inte funkar. Kan ni inte ringa mig och bjuda in mig till Lovön, jag kommer gärna på studiebesök.

Varför infrastruktur?

PICT0008
Mina anslutningar till världen. Elektroner, ettor och nollor, emotioner, analoga ljudsignaler…

Som ni kanske har märkt har denna blogg uppehållit sig vid nätets infrastruktur den senaste tiden. Det kan ju låta lite opersonligt och grått, ungefär som risiga motorvägar, rostig järnvägsräls och en och annan terpentindoftande flygplats. Låt mig därför ge en aningen mera personlig bild av varför frågor som nätneutralitet och tillgång till infrastruktur har engagerat mig.

Rasmus argumenterar att jag är en ISP, och i flera bemärkelser skulle man kunna säga att jag är det, trots att jag inte tjänar några pengar på det. Jag tycker det är trevligt att gå till näts med mina vänner, och när de kommer på besök i köttvärlden är det mer naturligt att bjuda på TCP/IP än att krysta fram en sunkigt blandad välkomstdrink eller ett välstädat vardagsrum. Samtidigt pumpar tre trådlösa routers ut öppet WiFi till mina grannar, dock måste jag stänga av ibland eftersom min ISP som jag köper access till internet av har en spärr vid 15 gigabyte per dygn. Internet… ja… på ett sätt köper jag ju access till internet av mitt lokala studentnät, samtidigt ger jag access till mina vänner. Var går gränsen? Vem levererar vad, egentligen?

PICT0006
WiFi är en fluga, Twisted Pair tillhör framtiden. Att bjuda på en ordentlig sladd är quality of service at Chrisk Networks (Kopimi).

Genom mina datorer strilar en jämn ström av datortrafik som jag själv varken kontrollerar eller initierar. Jag har kanske ett trettiotal användare på mina shellservrar, min bittorrentklient skyfflar data till peers, skype routar ibland samtal genom min dator utan att jag vet om det, etc. Juridiskt sett borde jag logga allt som görs på mitt lilla nät ut mot internäten, men allvarligt talat vet jag inte ens vilka loggfiler man i så fall skulle titta i. Och om jag skulle veta det skulle jag radera dem.

Som jag tidigare skrivit om, skapar det distribuerade nätverket ett redundant internet, något som inte minst aktualiseras av att The Pirate Bay har övergett tracker-funktionen i bittorrent, till förmån för bland annat distributed hash tables (DHT). Nätet gör sig som bäst som en multiplicitet av noder. En multiplicitet som är fraktalisk och befinner sig i den fjärde parameterrymden. Alltså, ett nät i ett nät i ett nät… etc. – mot evigheten. Alla länkar och bryggor däremellan skapar inter-näten.

PICT0003
600 megahertz räcker långt för att leverera de ssh-baserade tjänsterna till mina vänner via Ubuntu Linux. Dessutom bor i denna maskin mellan två och fem icke-människor (botar). Hur många de är vet jag inte riktigt.

Under Juliagruppens arrangemang på FSCONS blev jag mycket glad av att se så många deltagare på vårt seminarium. Några spontant tillverkade etherpad-anteckningar finns förevigade här (fyll gärna på om du har flera). Framförallt var det intressant att höra att det där med nätneutralitet var något som deltagarna verkade tycka var värt att utforska mera.

PICT0005
En data jag fick av Kalle P. Inte mycket att skryta med i termer av hårdvara, men med Debian Linux rullar allt som det ska. Gäster i min lägenhet får stå ut med det brummande fläktljudet.

Varför denna besatthet vid infrastruktur? Jag är ju inte ens särskilt skilled på ”det där med databiten”. Ända sen FRA har jag tjatat om kablar och nu på senare tid även om diken. Det är ganska enkelt. Internet är ett hack, en överkodning på existerande kabelinfrastruktur. Låt oss skruva tillbaka tiden sisådär femtio år och spana in följande bild:

Picture 27

Nätpolitik inkluderar de diken, antenner och satelliter som det paketswitchade nätet sedan kan nyttja som infrastruktur. Så är det fortfarande (tänk ADSL), och det är just det faktum att den riktigt stora kostnaden inte ligger i själva fibern eller i routrar och serverhallar, utan i dikesgrävning, som gör att denna nivå är viktig att tänka in i någon form av nät/informations/kommunikations-politisk agenda.

Mina kablar ligger inte och skräpar i mitt vardagsrum, även om det ser så ut. De är mitt vardagsrum, som är distribuerat över i princip hela jordklotet, ett vardagsrum som jag mer än gärna delar med mina vänner.

Och… FRA… det räcker numera att googla på mitt namn så vet ni vart mitt vardagsrum finns på internet via Copyriot (ni läser väl den, jag har inte sett er hos mig på länge). Detsamma gäller IPRED-hyrsnuten – Gör er inte besväret att fråga SGSnet (min accessleverantör som jag köper bandbredd av).

Har jag förresten berättat att jag planerar att bli tjänsteleverantör av fax? Även detta medium tillhör framtiden, och för att spana på faxar måste man lyssna på kablarna!

Internauts vs. Näringsdepartementet

Jag har fått massa feedback på Torstenssons replik till min artikel om telekompaketet. Jag hade inte tänkt svara här, men då det råder stiltje i bloggosfären gällande den kanske viktigaste internetfrågan på länge, så svarar jag i alla fall. Det finns nämligen fel i Torstenssons artikeln som är mycket allvarliga. Och om debatten nu skulle lyfta ännu mera, är det viktigt att dessa inte följer med.

Torstensson gillar inte att EU ska syssla med medborgarrätt, utan skriver:

Det är viktigt att nationella beslut tas på nationell nivå så att väljarna kan ställa sina nationella politiker till ansvar när det inför regler som de ogillar. Dessutom bör det tilläggas att så öppet som tillägg 138, och sedermera 46, är skrivet finns det en risk för att även civilrättsliga avtal kan träffas. Det skulle i så fall innebära att internetleverantörerna kan tvingas gå till domstol för att säga upp abonnemang för kunder som struntar i att betala sina fakturor eller som bedriver organiserat spammande.

För det första är internet är ingen nationell angelägenhet. Dels vet vi alla, inte minst i kölvattnet av FRA-lagen, att det inte finns något sådant som ett ”svenskt” och ett ”grekiskt” internet. Vad spelar det för roll om våra svenska internetoperatörer skulle mot förmodan vara skötsamma, om tyska eller franska operatörer har låst ute oss?

För det andra går det inte att välja vad som ska vara nationellt och vad som ska ligga på EU-nivå med godtycke. Ipred och datalagringsdirektivet ligger på EU-nivå – varför i hela världen skulle inte medborgerliga rättigheter till Internet också kunna göra det? Vi kan inte ha överstatlighet för vissa saker och tro att nationen skulle rädda oss sen!

Vidare är det olyckligt att Torstensson tar upp fakturabetalningar och spam. Detta stämmer inte alls. Erik Josefsson mejlade mig om detta, så jag pejstar in hans svar:

För det första ingår det inte i en internetanvändares grundläggande rättigheter att inte betala räkningen. Organiserat spammande är inte heller det en rättighet.

För det andra ingår 138:an i allmänna mål och regleringsprinciper för de nationella regleringsmyndigheterna och säger att de skall tillämpa (reglerings)principen att de inte ska ägna sig åt begränsningar i slutanvändarnas grundläggande rättigheter och friheter. Den uppgiften ligger istället hos rättsvårdande myndigheter. Som jag ser det är det alltså en avgränsning av PTS uppgifter som inte på något sätt tvingar internetleverantörerna att gå till domstol för att vidta åtgärder mot sina kunder.

Argumenten med fakturor och spam är alltså dimridåer. Jag antar att detta är smart retorik från Torstensson eftersom operatörer kan bli oroliga. Men låt mig då för säkerhets skull göra det fullkomligt klart vad som står i Citizens’ Rights Amendments (baserade på 138 och 166):

Traffic can be prioritized, blocked or filtered for certain streams only when such measures are both limited in time and supported by justified technical  reasons,  such as acute network congestion or in response to malicious activities threatening network security or end-user security. In any case, such measures should be as neutral as possible in respect of content and applications and must not result in the user not being able to access  content,  services  and applications.

Internetoperatörer kan alltså utan hinder underhålla sina nät. Om en dator infekteras med ett spammande virus kan operatörerna blocka denna dator temporärt. Däremot kan en operatör inte stänga av en viss innehållstjänst på ett systematiskt sätt. Exempelvis får inte Telia stänga av bittorrent, trafik till Spanien, eller hindra användare från att kommunicera med Tele2s kunder.

Sedan kommer vi kanske till en mera ideologisk skiljelinje. Torstensson:

Tvärtom finns det redan i dag ett starkt skydd för våra rättigheter och friheter i Sveriges grundlagar och på EU-nivå fastslår e-handelsdirektivet att internetleverantörer som huvudregel inte ska hållas ansvariga för vilken form av data som överförs i näten.

Sveriges grundlagar visade sig vara fullkomligt impotenta när det kom till exempelvis frågan om meddelarskyddet i förhållande till FRA-lagen. Inte heller kan vi åberopa dessa när HADOPI kommer hit. Det är uppenbart att Harbour och Trautmanns kompromiss öppnar precis tillräckligt mycket för att släppa in Sarkozys idéer om att stänga av fildelare från nätet. Storbritannien står bara och väntar på grönt ljus.

För att vi ska ha något att stå på när vi fem år senare tar itu med implementeringen av EU-direktiv (ex. Ipred, Datalagringsdirektivet) måste vi ändra på EU. Om regleringen kommer från Bryssel och Strasbourg måste det vara där, och inte i Sverige, som vi ser till att det går rätt till och att medborgarna inte kommer i kläm. Just nu, i Tyskland, jobbar aktivister för att stoppa datalagringsdirektivet i Europeiska domstolar. Franska aktivister försöker stoppa Sarkozy på EU-nivå. De behöver ett stärkt medborgarskydd i EU, och vi kommer behöva det alldeles snart. Oavsett om man gillar EU eller hatar överstatlighet är det fullkomligt logiskt och adekvat att åtminstone se till att lagar reglerar varandra på samma nivåer. Om något riskerar att kränka rättigheter på EU-nivå, måste det hindras på EU-nivå.

Isobel sammanfattar detta i Expressen med ”Döda inte nätet”. Det är precis detta som det handlar om. Om vi inte ser till att garantera nätneutralitet och medborgerliga perspektiv på internet, riskerar nätet att ändras i sin arkitektur. Ur medieindustrins och operatörskonglomeratens perspektiv är detta oproblematiskt. Men i användares ögon – du, jag, vi, svärmen, internet – är det förödande.


Tomorrow, one more round

A busy day on the internets. Telekompaketet.se has been under severe traffic load during the day, sometimes hard to reach, most of it owing to the doodle on The Pirate Bay.

However, we are making fantastic politics now! With my hands constantly on the keyboard, and my eyes plastered to tunnel vision irssi irc-screens, people in Sweden report having called ITRE-members in the UK, Spain, France, Finland… and hundreds of individually written e-mails are reaching MEPs as we speak. Raising the important issue of the telecoms package and amandment 138/42.

This is, in my opinion, how internet politics can function on a good day. Everyone can contribute with knowledge sharing, faster than any other media. By being many people riding the fastest communications media ever seen on planet earth, we can make a difference!

I usually only write about internet politics in Swedish. This is a failure – a failure in communications. The IPRED 1, the data retention directive, the telecoms package, etc. are all going down in Brussels, and by being limited to merely acting within the old nation states, we miss out doing what we are doing now – acting on EU-legislation in the making.

I am impressed by what so many people are doing right now in member states. There is one more day tomorrow. Make sure you wake ITRE-members up with a phone call saying that you care about an open internet. Instructions can be found on telekompaketet.se, or if the site goes down, go to La Quadrature du Net.

Traditional media (in Sweden) have not yet made any serious attempts at raising this issue, not even reporting about it. It is their failure in communications, not ours. We’ll just have to do it on our own…