Archive for juli, 2009

Att indexeras eller inte indexeras

2009/07/21

Att driva en tidning på nätet är tydligen inte helt lätt, dels så indexeras och samlas nyheterna på t.ex. Goggle Nyheter och det innebär tydligen förlorade reklamintäkter (hur det hänger ihop förstår jag inte eftersom Google Nyheter, vad jag kan se, länkar till tidningarna) och dels så genererar annonserna som lusar ned tidningarna inte tillräckligt med inkomster (kanske för att många gör som jag och blockerar annonser).

Johannes Åman på DN har en tankväckande artikel som avslutas med orden ”För det första saknas ännu system för betalning som är enkla nog. För det andra vet vi inte om det pris som nätsurfarna är beredda att betala är tillräckligt för att finansiera journalistik av hög kvalitet.”.

Nu verkar det som att tidningsutgivare i Europa samlar sig för att möta ”hotet” från nätet på olika sätt. Man vill lagstifta om att sökmotorerna ska implementera ett system som kallas ACAP som (förenklat) är en utveckling av robots.txt-konceptet.
Robots.txt är en fil som läggs på en webbserver för att styra vad som får indexeras av sökmotorerna och de flesta sökmotorer lyder direktiven i filen (sedan är det allmänt känt att man ska kika i robots.txt för att hitta ”hemliga” sidor), ACAP medger en större möjlighet till att detaljstyra sökmotorns beteende när den indexerar.

Frågan är om detta löser problemet egentligen, Google&co. kan mycket väl konfigurera sina sökmotorer på ett sådant sätt att man ignorerar att indexera sidor som är ACAP-taggade helt och hållet. Det skulle i sin tur innebära att förlusten blir större för tidningarna eftersom de i princip bara når personer som redan läser tidningen, och de måste själva ha söksystem på servrarna.
I dagsläget erbjuder de flesta sökmotorerna möjligheten att plocka bort en sajt ur sökindexet, om en tidning inte vill ha sina resultat på Google så kan man ganska enkelt välja att inte finnas med i registret.

När det kommer till intäkterna för det som publiceras på nätet så blir genast läget mer komplicerat. Att lägga hela ”tidningen” bakom lösenord som bara ges ut till betalande kunder kommer sannolikt inte att fungera. Att lägga visst innehåll bakom lösenord tror jag kommer fungera bättre, t.ex. så kan man erbjuda sammanfattningar av artiklarna gratis och kräva betalning för ”hela” artiklarna.
En variant jag har sett är att man lägger upp hela tidningen (pappersvarianten) som pdf som man erbjuder betalande kunder. Hur det fungerar i praktiken vet jag inte, men konceptet skulle funka för mig.

Det är en problematisk situation för tidningarna, det kan jag förstå. Men samtidigt så ser jag problem med att försöka kontrollera nyhetsflödet (vilket det i slutändan kokar ner till) alltför hårt. Dels så kommer ren fakta i artiklar att spridas via gratis nät-tidningar och dels så tror jag att antalet som väljer att betala för läsningen inte är tillräckligt stort för att inkomsterna ska bli högre än dagens reklamintäkter.

Dessutom så kan jag inte låta bli att påpeka att det är tidningen själv som väljer vad man publicerar på nätet, det finns ingen som tvingar tidningarna att publicera hela artiklar som de gör idag.
Jag vill även påpeka att jag är för en implementering av ACAP hos sökmotorerna, men det beror mest på att robots.txt är en mycket gammal lösning (dessutom tror jag att det ursprungligen var ett ”fulhack”). ACAP innebär en bättre kontroll av vad som indexeras och hur det indexeras.

Karl Sigfrid skriver också, precis som Amelia Andersdotter.

paf har en läsvärd postning om problemen med att knyta visst innehåll geografiskt, t.ex. Spotify’s spärrar som gör att man inte kan lyssna på all musik i alla länder.

Klamberg har några reflektioner från presskonferensen som hölls när Anders Eriksson presenterade slutbetänkandet Signalspaning för polisiära behov.

Rasmus skriver om upphovsrättsproblematik och politik.

Intressant

Annonser

Svaga lösenord

2009/07/20

DN skriver om en undersökning från PTS som konstaterar att många använder svaga lösenord som man dessutom återanvänder.

I min värld är detta knappast en nyhet, starka lösenord är svåra att skapa och svåra att komma ihåg. Har man olika lösenord på flera ställen så blir det snart omöjligt att komma ihåg dem alla.

Via Bruce Schneier hittade jag ett paper som ställer frågan om starka lösenord på webben verkligen gör någon nytta.

Min erfarenhet säger att nästan alla it-administratörer på skolor och på företag har ställt in systemen som så att kontot låses (tillfälligt) efter ett antal misslyckade inloggningsförsök. En annan variant är att uppkopplingen mot servern kopplas ner efter ett antal felaktiga försök (ofta i kombination med kontoutelåsning).
Detta påverkar en online brute-force-attack eftersom man bara har ett visst antal försök på sig, misslyckas man med att gissa rätt lösenord så får man vänta tills kontolåsningen är hävd. Kombineras detta med att förbindelsen kopplas ner så slöas sökningen ner ännu mer eftersom man måste koppla upp mot servern igen.

I detta scenariot kan även ett svagt lösenord motstå attack-försöken under en ganska lång tid, och förhoppningsvis så uppmärksammas intrångsförsöket innan intrång har skett.

Om vi då tittar på webbtjänster som kräver inloggning så har jag aldrig stött på en enda som tillämpar ovanstående metoder, trots att det inte är någon större svårighet att bygga ett system som antingen låser inloggningen under en tidsperiod (t.ex. en timme) eller skickar ett mejl till kontoinnehavaren med en länk som låser upp kontot igen. En annan variant hade varit att tillfälligt blockera attackerande IP-adress (t.ex. under 30 minuter första gången och sedan successivt ökande tidsperiod).

Detta skulle öka säkerheten en smula eftersom man gör så att en brute-forceattack tar längre tid även om lösenordet är svagt.

Observera att detta gäller så länge angriparen aktivt försöker logga in på systemet genom att försöka med olika lösenord, ifall angriparen har kommit över databasen med lösenord så innebär denna typen av spärrar inte något hinder eftersom man knäcker offline. Då är det bara ett starkt lösenord som gäller.

Hursomhelst så hade jag gärna sett att fler webbtjänster införde system där man efter ett visst antal felaktiga inloggningsförsök blockerar aktuell användare en stund, detta i kombination med system som kräver lösenord av en viss längd som kontrolleras mot en ordlista skulle minska risken för övertagna konton.
Och detta är viktigt i dagsläget där alltmer saker flyttas ut på nätet och skyddas med lösenord och användarnamn.

Intressant

Hur man slipper få sin laptop genomsökt av tullen

2009/07/18

I USA är det tydligen mer regel än undantag att resenärer får sina bärbara datorer genomsökta av tullen när de passerar gränsen (jag vet inte hur utbrett detta är, men det förekommer tydligen). Sannolikt kommer vi även få se detta i Europa inom en ganska snar framtid (finns vissa uppgifter som tyder på att detta är ett av förslagen i ACTA-förhandlingarna).

Jag är emot denna utvecklingen av flera skäl, men det tyngst vägande är dels risken att hemliga dokument kommer på vift och dels att en laptop kan innehålla en persons hela privatliv i form av bilder, mejl och adresser. Det krävs, i vanliga fall, ganska starka skäl för att en myndighet ska få tillgång till detta. Hursomhelst, det finns flera skäl till att kryptera hårddisken i en laptop.

Hur kan man då skydda sin laptop från att genomsökas av tullen, enbart disk-kryptering hjälper knappast eftersom du sannolikt kommer bli tillfrågad om krypteringsnyckeln. Och att hävda att man glömt den nyckeln är knappast en bra utväg i detta fallet eftersom nyckeln som krävs för att ens starta datorn antagligen är något som man ser till att inte glömma.

Bruce Schneier har en bloggpostning med en lösning, som dock medför vissa risker, där nyckeln som hårddisken krypteras med inte är känd av resenären.

Metoden bygger på sex steg som jag går igenom nedan.
1: Innan du lämnar huset så lägger du till en krypteringsnyckel till i hårddiskkrypteringssystemet och denna nyckeln ska vara lång och slumpmässig.
(Antagligen innebär detta att du lägger till en ny användare.)
I detta steget bör du skriva ned den nya nyckeln, men lägg den inte på minnet.

2: Skicka över den nya nyckeln till någon som du litar på på valfritt sätt. Se även till att nyckeln verkligen kommer fram och att den kommer fram i oförändrad form.

3: Förstör alla spår av den nya nyckeln som du har.

4: Gör det du brukar göra med datorn under resan.

5: Innan du passerar Tullen, radera den användaren (nyckeln) som du vanligen använder för att avkryptera hårddisken.
Detta innebär att du inte kommer kunna starta datorn eftersom du inte har rätt dekrypteringsnyckel (den enda nyckeln som kan avkryptera disken är den du skapade i punkt ett). Detta innebär att du inte behöver ljuga för tulltjänstemannen (förutsatt att du inte memorerade den nya nyckeln) om du ombeds uppge krypteringsnyckeln.

6: När du kommit igenom tullen är det bara att kontakta din vän, knappa in nyckeln och återigen lägga till den nyckeln du brukar använda.

Detta system innebär att du ensam inte kan dekryptera din hårddisk även om du uppmanas att göra det, det finns några risker med detta systemet dock. Först och främst så finns risken att den nya nyckeln korrumperas, och inte fungerar och då sitter man där med skägget i brevlådan.
En annan risk som man tar är att man hamnar i juridiskt trubbel eftersom man inte kan avkryptera disken, frågan är hur stor den chansen egentligen är. Man kan inte bortse från möjligheten att man kvarhålls eller att datorn beslagtas vid denna manövern, eftersom det kan ses som misstänkt att man själv inte har nyckeln till datorn man bär på.

Den tveeggade anonymiteten

2009/07/10

IPREDator är nu uppe och erbjuder anonymitet och den som vill betala en slant i månaden för det.
Vissa välkomnar det, andra trycker på stora larmknappen. Personligen så är jag en person som anser att det är en rättighet att få välja om man vill vara anonym, oavsett om det är på internet eller ute på gatan.

För det första så vill jag direkt påpeka att det Ipredator gör är absolut inget nytt alls, system liknande detta har funnits ett antal år. Det mest kända är antagligen den anonyma remailern anon.penet.fi som var igång i mitten av 90-talet.
För det andra så är det ganska underhållande att en del menar att dammluckorna har öppnats för både terrorister och pedofiler tack vare folket på pirate-bay, som sagt detta är ingen ny teknik som används. Pedofiler och terrorister använder redan såna här system och har gjort det länge. När det gäller grova brottslingar över huvudtaget så är dessa personerna ofta personer som håller god signal diciplin, för att använda en militär term, alltså kommer ipredator inte ge dem någon större fördel eftersom de redan använder sådan teknik.

Om vi då lämnar de grova brottslingarna så har vi kvar den stora gruppen ”vanliga människor” som nu börjar använda dessa teknikerna, frågan är varför?
Svaret är enkelt och skrämmande; tidigare och nuvarande regering har börjat inkräkta i medelsvenssons privata sfär även på internet lite för mycket.

För att ta ett analogt exempel; föreställ er att man kommer på att terrorister och grova brottslingar möts på caféer och diskuterar sina planer ansikte mot ansikte. Följer man logiken när det gäller nätövervakningen så är den naturliga följden att alla platser där människor kan mötas och samtala övervakas. Innehållet i samtalet behöver inte avlyssnas, man nöjer sig med att anteckna position, närvarande personer, tidpunkt, samtalslängd och vilka vägar personerna använder dit och därifrån. Nästa steg är att om personerna är intressanta så avlyssnas samtalet på lämpligt sätt.

Samma sak kan införas med brevförsändelser, eftersom även detta kommunikationssätt kan användas. Från vem till vem, tidpunkt och storlek på kuvertet lagras. Är adressaterna intressanta så kontrolleras innehållet.

Om man inför ovanstående så kommer vi få ett ramaskri, men när det gäller internet så är invånarna personer som protesterar på sitt egna sätt. På nätet är förändring det naturliga tillståndet, alltså visar man att övervakningen inte fungerar genom att helt enkelt kringgå den på olika sätt.

Dessutom så har nuvarande regering outsourcat en del av polisverksamheten på privata aktörer, och tycka vad man vill om fildelningen men att privata aktörer ges polisbefogenheter är aldrig någonsin rätt. Och eftersom internetgenerationen i ett tidigt skede insåg att det inte spelade någon roll vad man tyckte om saken så väljer man att gömma sig.
Att lagen dessutom är utformad på ett sätt som gör att oskyldiga riskerar att bli skuldsatta för livet på vaga grunder är ytterligare en anledning.

Summasummarum; anledningen till att anonymitetstjänsterna används av ett allt bredare klientel av ”vanliga” människor beror helt och hållet på att de styrande stiftar lagar som redan från början har ett tveksamt värde rent praktiskt.
Det handlar inte om gratis, det handlar om att få ha sin privata sfär även på nätet och det handlar om att säga att det är fel att privata aktörer får leka polis.

Jag kommer inte bli det minsta förvånad om våra folkvalda kommer till slutsatsen att anonymisering och, antagligen, kryptering är av ondo och därmed ska förbjudas. Antagligen kommer en sådan lag sakna all form av konsekvensanalys, vilket jag redan nu tycker saknas i övervakningsivern.
Helt plötsligt är man då ute på rejält minerad mark. Anonymisering kan som sagt ha ett berättigande. För att ta ett exempel så säger vi att någon upptäcker att säkerhetspolisen använder sig av tortyr och att det finns dokument som bevis på detta. Om personen delger en tidning dessa dokument så begår han ett lagbrott eftersom han bryter mot sekretessföreskrifter. Alltså har personen alla skäl i världen att kontakta tidningen och överföra dokumenten via anonyma kanaler.
Om då anonymiseringen i sig själv är olaglig så kommer personen ändå att straffas, kanske inte för att ha läckt dokumenten utan för att han skyddade sin identitet när han gjorde det.

Och om det blir olagligt att vara anonym på internet, varför ska vi då tillåta att personer skyddar sin identitet utanför internet?
Jag har samma möjligheter att skicka anonyma hotbrev via posten som jag har via internet, och vissa saker kan jag inte göra via internet alls. Tillexempel så är det svårt att klottra hotelser på någons dörr via nätet.

Anonymitet är inget hot, det stora hotet kommer från det som driver folk till att vilja vara anonyma.

Andra som skriver:
Anna Troberg (igen)
Ravenna

AES-256 teoretiskt sett försvagad

2009/07/02

Krypteringsalgoritmen AES är i 256-bitarsvarianten känslig för ett angrepp med besläktade nycklar, och en del kommer iochmed detta anse att AES(256) är knäckt i alla fall i akademisk mening eftersom det finns angrepp som går snabbare än Brute-force.

Frågan som många antagligen ställer sig nu är om man ska överge AES-256 till förmån för någon algoritm som inte är ”knäckt”, svaret på den frågan är från mig ”nej”.
Motiveringen är att angreppet fortfarande kräver 2^119 krypteringar för att lyckas, samtidigt som det krävs att man kan ordna relaterade nycklar.
Kontentan är att AES256 fortfarande är en säker algoritm för tillfället men i framtiden kan denna attacken, eller en utvecklad form av den, mycket väl innebära att AES knäcks i praktisk bemärkelse inom algoritmens beräknade livslängd.

Hursomhelst så kommer antagligen denna attacken leda till en massa ”reklam” för hemmabyggda algoritmer som hänvisar till att AES är knäckt.

När jag ändå är inne på området så har Schneier en rolig post om informationsläckage från kodlås. Jag har själv sett ett portlås där fyra knappar var väldigt skitiga jämfört med övriga.

Intressant

Det är pinsamt

2009/07/02

För en gångs skull så kan jag hålla med ett uttalande av Lars Ohly, i alla fall en liten bit: ”Det är pinsamt” fortsättningen håller jag dock inte med honom om nämligen att det är Piratpartiet som det är pinsamt för.

De det är pinsamt för enligt mig är Expressen, Sahlin och Ohly.

I går kunde Expressen avslöja att Henrik Alexandersson har jobbat som kameraman åt porrkungen Carl Serung.

”Jag skulle inte välja en sådan medarbetare. Det tycker jag inte att Piratpartiet borde göra heller”- Mona Sahlin.

Pinsamheten, både i Expressens ”avslöjande” och de båda partiledarnas kritik, är att Henrik Alexandersson var den som avslöjade Serung och hans verksamhet. Men som Hax själv säger; ”Men detta är kvällstidningslogik.

Intressant

Dagens vad-hände-nu-då?

2009/07/01

Nu såhär i sommartider så brukar jag få problem med att min gamla dator går varm, vilket får till följd att den antingen hänger sig eller stänger av sig och det blir lite irriterande i längden.

För att råda bot på detta så beslutade jag mig för att klocka ner den en skvätt tidigare idag (kan tillägga att den inte var överklockad tidigare) för att på såvis kyla processorn något.

Det spännande i kråksången är att HDD-lysdioden nu lyser konstant även om diskarna är overksamma. Jag gjorde en snabbsökning på problemet och hittade att det är några som haft det, men det verkar inte finnas någon direkt lösning på det mer än att koppla ur LED’en. Eller rättare sagt, det fanns några lösningar men ingen som kändes logisk för min del. Det som gör mig nyfiken är dock varför den lyser konstant av att jag bara ställde ner processorhastigheten.

Sitter även och funderar på om det är dags att installera om på den bärbara, fast det tar emot lite eftersom ominstallationer tar tid.

Sitter även och funderar på ett eventuellt Kult-äventyr, tänkte bolla lite med några andra personer och se om idén kan utvecklas.