Anonymisera facebookdata för forskning med hmac och hashlib

Om man vill samla in data från Facebook i forskningssyfte stöter man genast på forskningsetiska problem. Facebook ger alldeles för mycket information om informanterna, utan att man ens behöver be om lov.

Här tänkte jag bara ta upp en detalj som handlar om den “farligaste” uppgiften i den datamängd som man kan extrahera med Facebooks API: det unika id-numret.

Varje Facebookanvändare har ett femtonsiffrigt nummer tatuerat i sitt digitala skinn. Det ser ut så här (i (förkortat) json-format):

    {
     "id": "48236456782311475_63332119186437",
     "message": "This is a message written by an informant",
     "type": "status",
     "from": {
         "id": "121506454323368",
         "name": "Jane Doe"
     },
     "created_time": "2011-06-11T25:48:31+0000",
     "status_type": "wall_post",
     "is_expired": false
    }

De två fält som är uppenbart identifierande är alltså id och name. Här tänkte jag bara ta upp id-numret. Att ersätta namnet men behålla man/kvinna-distinktionen är ett problem som måste lösas på ett annat sätt.

För att kunna bevara det unika med id-numret utan att kunna identifiera en riktig person tänkte jag att man skulle kunna använda kryptering. Men jag är inte så duktig på det så jag undrar nu om detta kan vara ett vettigt angreppssätt.

Eftersom id-numrena alltid är femtonsiffriga så är det nämligen möjligt att räkna fram alla hashsummor, även om det skulle ta lite tid. Men om man däremot använder HMAC så lägger man till ett lager av säkerhet genom att man använder en unik hemlig nyckel och krypterar med. Så här tänkte jag ungefär:

from json import load
from os import listdir
import hmac
import hashlib

#Some code for reading files and parsing the data to jsondata

    for item in jsondata['data']:
        print("-" * 20)
        print("Name: " + item['from']['name'])
        print("Facebook id: " + item['from']['id'])
        digest_maker = hmac.new(b'replacewithsuperecretk3y', item['from']['id'].encode(), hashlib.sha256)
        print("Encrypted id: " + digest_maker.hexdigest())

Detta skriver ut:

Name: Jane Doe
Facebook id: 121506454323368
Encrypted id: dfef8d5bed530668b004e28a29488e8252e5a5224d3178f00c0f7d0bf48e4b6a

Detta gör att man kan bygga om forskningsdatan och ersätta id-numret med det krypterade numret.

Nu finns det tusen andra saker i materialet som kan avslöja en användares identitet. Men, bortsett från detta, tror ni att den här krypteringsmetoden är tillräckligt bra?

On PRISM, Snowden and encryption

This is not a post, just a note for my archive.

Last week I wrote an article in Expressen on the PRISM leaks. I argued that the most dramatic revelation of such a leak would contain details on encryption algorithms. Basically, which crypto-implementations can be compromised by the NSA, and which remain (reasonably) safe?

Today, Snowden chatted with the readers of The Guardian. Because such pages usually disappear in the anarchive of the internet, I paste a quote by Snowden below:

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.

Good. However, to rely on crypto systems, you first have to learn how to use them.

Tåg och data

Tåg är trevliga ting. Nuförtiden sitter ca 90% av passagerarna på Facebook hela resan. Personligen föredrar jag InterCity-tågens nätskugga, men eftersom de blir allt mer sällsynta (ersätts med obehagliga “regionaltåg”), så hamnar jag allt oftare på X2000.

Nåväl, nu till en teknisk detalj som förbryllar mig lite. Jag kan ju inte så mycket data, så jag kastar ut frågan här på bloggen.

När man ansluter till det trådlösa (okrypterade) nätverket (använd alltid kryptotunnel och https så inte nån snor ditt Facebook-login), dirigeras man till inloggningssidan som i mitt fall fick följande url:

http://sj.on.icomera.com/?mac=46:1D:50:0D:C0:5C&longitude=11.998720&latitude=57.718528&class=0&url=http://www.debian.org/

Mycket riktigt så är 46:1D:50:0D:C0:5C MAC-adressen för mitt nätverkskort. Nu byter jag ju i och för sig MAC-adress varje gång jag slår på och av mitt nätverkskort med det finurliga lilla programmet MACchanger. Även operativsystemet Debian gissas rätt av systemet. Men det lite överraskande är även att min geografiska position anges. Och den stämmer ganska bra med skynets karta.

Troligtvis avläses detta av systemets 3g-anslutning, eventuellt med GPS ombord. Men är det nån som vet exakt hur, eller exakt varför denna information är viktig för systemet? Och, en kanske lika relevant fråga, hur länge sparas min MAC-adress och GPS-position i en loggfil?

Tillbaka till Framtiden: Analogisering och digitalisering

Det är dags att återvända till “Framtiden”, som har sporrat dels en intressant diskussion hos Rasmus på Copyriot, samt en intressant reflektion av Anders Mildner (även om boken inte hänvisas till explicit, se nedan).

Diskussionen hos Copyriot handlar om vem som egentligen “Framtiden” polemiserar emot. Vi tar ett citat ur boken:

Precis som 1900-talets futurister var 2000-talets nätsvärmare besatta av hastigheter, flöden, affekter, massbeteenden och ny teknik. Precis som futuristerna vägrade nätsvärmarna att se världen som oföränderlig. De var övertygade om att samtiden bara kunde förstås genom berättelsen om den konstanta utvecklingen. (56)

Problemet är att “nätsvärmare”, “nätaktivister”, “pirater” osv. är beteckningar som minst sagt är svåra att definiera, lokalisera och polemisera emot. “Framtiden” är förvisso en essä i ett romanformat, så att stoppa in en fotnot skulle göra våld på formatet, men kanske göra väl för argumentet.

Det finns nämligen god grund för att argumentera det rakt motsatta. Nätaktivister är, och har varit, några av de främsta digitaliseringskritikerna, främst på området personlig integritet/självbestämmande. Exempel: Datalagringsdirektivet innebär en digitalisering av människors rörelsemönster, kontakter och sociala liv. Denna digitalisering får, enligt många nätaktivister, inte ens äga rum från första början. Ett annat exempel är hur köttslig tillvaro på hackerkonferenser ofta innefattar ett digitaliseringsförbud (inga foton, inga videokameror).

Och ett tredje exempel är den ganska konsekventa kritiken mot panspektron, som jag diskuterar i Det Nätpolitiska Manifestet:

I vår samtid är det inte längre den optiska blicken som övervakar oss, utan istället databaser och loggfiler, datorer och mobiltelefoner. De skapar en ny form av visibilitet bortom det mänskliga ögat. Panspektron markerar således de nya frontlinjer inom vilka breda spektra av analoga signaler kan göras digitala, och därmed synliga, på ett mycket mer omfattande sätt an tidigare.

Tvärtom är det främst företag och stater som vurmat för en “ökad” digitalisering, och kommit på förvirrande begrepp som “digitala ekonomier”, “Svenska ambassaden i Second Life”, “e-legitimationer” osv.

Det stora problemet med “Framtiden” är dess monolitiska syn på internet (med pyramiden som monolitiskt figurativ), i kombination med den fenomenologiska blick som strålar ut från en metropol i ett högindustrialiserat land i norra Europa. För att ta det enkelt: Internet är inte samma sak i SoFo som det är i Kairo eller Xinjiang. En bred civilisationskritik, kan inte ha en så smal utgångspunkt, och kan inte heller skrivas med Washington som utgångspunkt, även om det är en vanlig föreställning att politik har sitt epicentrum på sådana platser.

Anders Mildner skriver en ganska träffande reflektion över detta i SvD:

Ur medieperspektiv var så klart omsvängningen mot ökad internetskepticism väntad. I ett samhälle som är så starkt genomsyrat av medielogik som vårt, kommer det som en gång höjs till skyarna så småningom obönhörligen att plockas ned på marken igen. Där är vi i dag. Internetdiskussionen i samhället skiftar just nu fokus. Kultur-, delaktighets-, och demokratisnacket är på väg ut. Det är inte särskilt svårt att räkna ut vem som glädjs över den utvecklingen.

Denna tråd förtjänar att spinnas vidare på. Utgångspunkten “vårt samhälle” håller inte för internet, eftersom internet aldrig har varit ett samhälle. Analogisering – Digitalisering – Analogisering är tusen olika saker: I vissa fall, ganska få rent numerärt, är det kanske en protest i Egypten (analogisering) som digitaliseras, laddas upp på Youtube, och återanalogiseras på hundratusentals skärmar. I många fall, rent kvantitativt, sker denna transformation i långt mer vardagliga sammanhang. Jag sitter och fikar, twittrar ut ett foto med GPS-metadata, och nån som följer mig på Twitter återanalogiserar informationen i ett försök att slå ihjäl lite tid på kontoret. (total nollintensitet)

De båda händelserna är teknologiskt sett mycket lika varandra, analogisering-digitalisering (plus metadata) – ackumulation av arbetskraft hos ett storföretag (Google, Twitter) – återanalogisering på en annan plats i nätverket (plus koldioxidutsläpp).

Just på grund av dessa händelsers perfekta individualitet (deras status som haecceiteter och händelser) är de långt mera autentiska, mänskliga och egentliga än en universalistisk fenomenologi av fötter i gräs eller doften av hav. Mitt vardagstwittrande och en egyptisk youtubeuppladdning kan inte tänkas genom samma register. De är förvisso tekniskt nästan identiska, men de är fundamentalt olika som existensformer.

Vardagstwittrandets tvång, oket av att kolla sin Facebookstatus, livskrisen inför informationsöverflödet, ensamheten som uppstår när man har addat ytterligare en “friend” men ändå känner att det var mera autentiskt på åttiotalet när man satt och hade tråkigt lyssnandes på ett blandband eller tittade på Vetenskapens värld, är förvisso en intressant analys av en modern ångest som kanske drabbar och passiviserar ett och annat barn av IT-bubblans frammarsch. “Framtiden” gör helt rätt i att kritisera detta tillstånd, och slå hål på dess frihetsmyt.

Men ett sådant scenario utspelas inte i samma pyramid som en krypterad tunnel ut ifrån Kairo, en chatt genom The Golden Shield, eller nedladdningen av konfidentiell data från det militärindustriella komplexet. I dessa fall finns inte “digitalisering” som en övergripande samhällsförändring, utan endast som ytterst konkreta överväganden. Vad hamnar i loggfiler? Vad kan knäckas av någon som lyssnar? vem kan ta ned torrent-filen?

Internet undflyr på så sätt själva tanken om att vara något tekniskt, att ge upphov till ett Gestell, ett tillstånd som villkorar existensen. Jag har alltid brottats med att försöka förmedla denna tanke om radikal heterogenitet som den enda vägen till en trovärdig analys. Jag har använt obegripliga uttryck som “minoritetfraktal”, “panspektron” och “haecceiteter”, teknologisk “fylogenetik” och “chiffrets fjärde parameterrymd”. Allt för att destruera de gamla registren: “Teknik – existens – essens”, “cyberrymd – real life”, “demokrati, medborgarskap – transparens”. Begripligheten i dessa manövrar har på sin höjd lett till förvirring, och det är förvisso en effekt som inte ska underskattas.

Uppmaningen är dock densamma: “Ta din dator, tunnla dig runt en diktator eller en fångstapparat, ta kontroll över tekniken och böj och bänd den tills du kan koppla om till något bättre!”.

Krypto på krypto

Har den senaste veckan experimenterat lite med kryptovalutan Bitcoin. Tänker inte gå in på hur den funkar som valuta här, men för den som vill läsa mer kan man kika in hos Rick Falkvinge, som har konverterat alla sina besparingar till “bitmynt”. Även Gustav Nipe har skrivit intressant.

Personligen är jag mera fascinerad av tekniken, vilken möjliggör i princip helt anonyma ekonomiska transaktioner. När man kör bitcoin-klienten tillverkar man nämligen helt unika kryptografiska adresser, till vilka man kan skicka pengar.

Här är en adress som går till mig:

1FHtkkrBbRqWkUAFx2C8EqanPhWBZM3Lbo

Om man skickar bitcoins till den adressen, så hamnar de i min kryptoplånbok, och jag kan sedan skicka bitmynt till andra personer. Det enda jag behöver veta om dem är deras adresser. Med andra ord: kryptoanarki råder!

Men, ibland, speciellt när det gäller pengar, så vill man ju göra tvärtom. Alltså, bekräfta sin identitet. Som tur är funkar ju krypto åt båda hållen. Om jag vill verifiera att summan ovan tillhör mig, så kan jag använda min GPG-nyckel (se min tutorial).

Sen sätter man bara sin signatur på bitcoinadressen. I en terminal, kör:

echo Verified bitcoin-address for My Name: MyVeRyLongBitcoinaddress | gpg --clearsign >bitcoin.asc

Filen bitcoin.asc kan man sedan döpa om till .txt så den blir lättare att läsa på webben. När någon sedan vill skicka pengar till dig, kan hen enkelt läsa filen och se att den har signerats av en gpg-nyckel. Om personen är i ditt tillitsnät (web of trust) så är du på det torra. Min fil finns här.

Test your passwords the brutal way

What is there to do on an average Sunday? Well, you can for example work your way through 30 hacker movies. One movie is definately missing there though, namely 23. Learning German hacker slang is pretty cool, however, as your paranoia creeps up your spine, you may wanna check your own security for a bit. Fortunately, you can play NSA in your home nowadays, by toying with John the Ripper.

Even though John the Ripper doesn’t come with a nice 3D graphical user interface, which are common in the hacker movies, it is really easy to use, even if you are a newbie. And by using it, you will learn some fundamentals about how passwords are used on computers.

This is what you need:

1. A computer. The faster CPU it has, the better.

2. A modern operating system. John the Ripper works on many platforms, but it is much easier on real operating systems such as Linux.

3. You will need to be root/superuser on the system.

4. A shirt. You need to dress up a little to get the right kind of energy of the mind. (In Swedish it is called “hackarskjorta”)

Let’s do this.

First off, you install John the Ripper. In Debian/Ubunty just hit sudo apt-get install john. If you are on some other g33kstation, you head over to the project website to grab a download. Now, there is a small glitch here in versions on Debian and Ubuntu which may cause John not to work properly. The version in the repositories is quite old, and can’t handle sha 512 encryption (which will be what your system uses). I did this test by extracting passwords from an old Debian 5 machine. But to attack more recent versions, you need to follow some manual install instructions.

John can then perform 3 types of attacks on your passwords; Testing passwords against a wordlist of common password phrases (a so called dictionary attack), performing a single-crack attack on the user information provided by the system, or doing an incremental brute-force attack on the password.

These modes have their benefits and drawbacks. If you have an awesome wordlist with lots of common passphrases, the dictionary attack can be very powerful. The single-crack method utilizes, on the other hand, takes a shortcut via the /etc/password file. View it with cat /etc/password when logged in as super user. The third method is the most powerful, but, also it is the one in need of a fast cpu.

To warm up your CPU a little, you can start off by running john -test to benchmark the performance of the system. If needed, open the windows in your apartment or house to get air flowing.

Now, you first need to retrieve the password hashes from your system. Maybe you have friends that use your machine, and even though you have made a really long and secure password for yourself, your friends may be sloppier. Use the following command on your system:

unshadow /etc/passwd /etc/shadow > sekrit.phile.db

This will create a file with usernames and password hashes. The content of the file will be all users of the system, and it looks like this (don’t even try, I made up the hashsum by pressing randomly on the keyboard):

cameron:k6j3jnjjY)%¤gJ%¤%JJGJoI)()()/&()JJKhejk%&%%8:1000:1000:cameron,,,:/home/cameron:/bin/bash

Now, to unleash John the Ripper, just hit:

john sekrit.phile.db

And John will output its status when you hit any key. Pressing Ctrl-C will abort, but still save potentially cracked passwords. Looks like this:

Loaded 16 password hashes with 16 different salts (FreeBSD MD5 [32/64 X2])

guesses: 0 time: 0:00:51:18 (3) c/s: 5475 trying: trdjac - trdjah

guesses: 0 time: 0:00:54:37 (3) c/s: 5475 trying: 1213a - 1218e

guesses: 0 time: 0:00:57:24 (3) c/s: 5476 trying: potash1 - potashe

To make sure you are doing everything right, you can add a dummy user with a weak password. Then, unshadow again, and edit the text file (sekrit.phile.db). Remove all other passwords and just keep the dummy user. This is what mine looked like on first attempt:

root@turbot:~# cat sekrit.phile.db

clumsyfool:$1$pSWRdlUU$6aI6Mr4/GGQQpqYz9I7KV1:1015:1015:,,,:/home/clumsyfool:/bin/bash

Then just give the clumsy fool a dust of John the Ripper:

root@turbot:~# john sekrit.phile.db

Loaded 1 password hash (FreeBSD MD5 [32/64 X2])

abc (clumsyfool)

guesses: 1 time: 0:00:00:00 100% (2) c/s: 3103 trying: aaaaaa - abc

Oups, that was pretty easy. Protip: Don’t use abc as your password.

Oh, and one more thing. The unshadowed file should not just lye around on your system. Someone with a super computer could get hold of it and then you are 0wned. Make sure to get rid of it by:

shred sekrit.phile.db

rm sekrit.phile.db

Have a great Dark Sunday!

Skype escrowed

Idag gjorde jag ett litet inspel på DN.se och medverkade även i en chatt om datorsäkerhet.

Jag rekommenderar bland annat OTR-krypterad chatt.

Under chatten förekom en hel del frågor om hur säkert Skype är. Det är ju också krypterat! Jag är en “Skypekritiker” på en generell nivå, dels eftersom deras källkod är sluten, och dels för att de, hmm, samarbetar med TOM Skype i Kina. För att citera Skype själva år 2004:

Co-branded as TOM-Skype in China, the service will be launched on October 25 solely through TOM Online. Since its launch a little more than a year ago, Skype’s user base has grown rapidly to more than 13 million worldwide, with up to one million concurrent users. Its award-winning software, available to anyone with an Internet connection on Windows, Linux, Mac OS X and Pocket PC platforms, is easy to use and has superior CD-like, crystal clear voice quality.

Citatet är korrekt på en annan punkt. Skype är väldigt lätt att använda, funkar bra, alla har det, och man får till och med igång det hyfsat på öppna plattformar. Jag har själv programmet installerad på en av mina datorer… men jag undviker att starta det. Utan att vara paranoid, eller överdrivet misstänksam, så är det ändå så att just Skype är SPIONAKTIGT.

Dags att leta efter lite roliga läckor! Nu kommer jag länka till dokument som jag bara har hittat i i2p-darknätet, så om ni vill följa dem får ni först lära er i2p.

Vi börjar Delstaten Bayerns Trojanska bakdörr. Dokumentet beskriver en domstolsbegäran om att få lyssna in lite på Skypekonversationer mellan misstänkta kriminella. Det är inte helt enkelt, då krypteringen i Skype (som det visserligen säkert finns bakdörrar till) är stark. Men med vad som kallas för “Skype Capture-Software” är det ändå hyfsat överkomligt. Den kostar bara 3,500 Euro per licens. För den som läser tyska så finns det en djupare artikel att läsa hos heise.de.

Oups, hittade visst dokumentet på vaniljnätet också. Men installera ändå i2p så det blir anonymt!

Ett annat dokument är Responding to Law Enforcement Records Requests som släpptes av Crytome, men som verkar ha försvunnit därifrån, men som återfinns i de mörkaste av mörkernät.

Dokumentet beskriver hur man får ut information om användarna vid juridiska processer, och även om detta inte skiljer sig märkvärt från andra amerikanska företag (dock verkar Skype ha ett kontor i Luxemburg), så är det ändå lite roligt att de tar emot förfrågningar endast via fax:

When Skype’s LERM receives a faxed subpoena, the team will begin preparing the information, but will only release the records upon receipt of the mailed document.

Stort! Faxen sägs åter och åter ha dött ut, men inte ens i IP-telefonins tidsålder ger den ifrån sig dödsryckningar!

Således. Skype är ungefär lika säkert som din mobiltelefon. Det kan avlyssnas, det kan kapas med mjukvara från det säkerhetsindustriella komplexet, och dina personuppgifter kan lämnas ut till polisen via domstolsorder utan att du behöver få veta om det. Men, för det mesta pratar vi ju ändå i mobiltelefon, så det rör sig inte om någon avrådan från min sida. Det är dock alltid bättre att veta om brister än att förneka dem. Att Skype skulle rätta till dem är föga troligt. De har din data nu. Släpper man inte i första taget!

Den lokala nätläckan

Häromdagen publicerades min text ”Bortom Wikileaks” Om nätläckans infrastruktur på nätet. Den finare versionen finns dock bara i tryck, alltså i Tidskriften Ord & Bild som rekommenderas varmt att köpa. För övrigt har jag tidigare skrivit texten Robotar och krig i samma tidskrift.

För att teckna en liten utvecklingslinje kan vi se tillbaka till 2008 där Robotar och krig-texten avslutades med följande passage:

Är då verkligen frågan om intelligens hos icke-människor den mest relevanta idag? Jag skulle vilja argumentera för att en överskattning av singuariteten kan leda till att vi missar de singulariteter som pågår runt omkring oss hela tiden.

Dessa små singulariteter. De ska vi hålla ögonen på, om vi vill förstå hur vi som (föränderiga) människor ingår i en lika föränderlig teknologisk ekosfär. Men nu är det inte robotar som är temat, utan nätläckor.

Vad får nätet att läcka? Denna fråga är mycket viktigare än vem som får nätet att läcka, speciellt om denna vem reduceras till en människa.

Man kan säga att en läcksajt behöver tre komponenter utan inbördes rangordning för att fungera: Det måste finnas ett nätverk av volontärer som är beredda att arbeta med driften av läcksajten, det krävs att det finns ett distribuerat datornätverk för säker dokumentation, ett nätverk som vi idag känner som internet. Och det krävs kryptografi.

Det är dessa tre sociotekniska fenomen som ger upphov till singularitetspunkten “nätläcka”. Tillför vi människor som arbetar tillsammans, ett distribuerat datornätverk och kryptering så har vi bäddat för en rymd där hundratusentals nätläckor är möjliga. Till exempel Vaggerydleaks. I texten talar jag om den fiktiva “Åmålleaks”, men det verkar som den småländska verkligheten hann före. Jag gav en intervju till Värnamo Nyheter, som inte har någon nätupplaga, men en vänlig twittrare tog ett foto (klicka för förstoring, aningen suddigt):

Även om nu Vaggerydleaks verkar vara ganska nystartad och primitiv, är tanken med lokaliteten väldigt viktig. Mycket av det som påverkar våra vardagsliv sker på en lokal nivå, från skolor och dagisplatser till lokaltrafik och bibliotekspolitik.

En multiplicitet av läcksajter gör även att vi kan skapa transparens i förhållande till en annan mycket distribuerad maktstruktur som går under många namn; gubbslemmet, bastuklubben, nepotism, vänskapskorruption, konspirationer etc. Till Värnamo Nyheter säger jag:

-Vänskapskorruption är vanligt på lokal nivå. Den berömda bastuklubben liksom. Man fattar beslut utanför offentlighetens ljus. Olämpliga jargonger som exempelvis rasistiska är också bra att lyfta fram i ljuset menar Kullenberg.

För övrigt: Stort cred till Värnamo Nyheter för deras citeringsstil. Rakt av och grundat i talet, och inte tillrättalagt med korrekturer av såna där ord som “liksom”.

Så, genom att nätläckorna distribueras får vi inte bara en bättre och mera redundant infrastruktur för en ny form av transparens och möjligen även en ny form av demokrati (gillar inte att använda de två orden sådär, men ni förstår vad jag menar).

Men, den lokala läckan har ett nytt ansvar att axla, ett ansvar som ännu inte utforskats ordentligt. Ju mindre ett sammanhang blir, desto svårare blir anonymisering. Den lilla byn eller den lilla staden har en speciell form av hat och småsinthet. Det finns ingen massa att försvinna i, utan blir man uthängd på fel sätt kan det bli jobbigt.

Nåväl. Läs gärna min Ord&Bild-text. Den skrevs för övrigt i mellanrummen som uppstod på den 27 Chaos Communication Congress, där läckor minst sagt var på tal lite överallt. Känns som att framtiden har mycket att bjuda.

Och en sak till: Att Vaggeryds politiker ger kommentaren “Det känns suspekt”, känns för mig helt perfekt!

Bistånd, legitimitet och bitmynt

Det är väldigt intressant att både Hilary Clinton i USA och Gunilla Carlsson på svenska UD vill ge pengar till nätaktivister, som ett slags “bistånd” för att jobba för demokrati i diktaturer.

Det hela gör mig väldigt förvirrad, men samtidigt skapar det många intressanta frågor.

För det första, vad är en “nätaktivist”? Uttrycket är knappast etablerat men Carlsson använder det friskt:

-Nätaktivister är de nya demokratikämparna, säger biståndsministern till Dagens Nyheter.

Begreppet spänner från företag som aktivt arbetar med att göra sina tjänster tillgängliga i länder där de blir blockerade till anonyma hackers som aldrig röjer sin identitet på nätet. Till företag kan svenska Bambuser räknas in, men man skulle kunna inkludera Twitter och Facebook, som båda åtminstone litegrann har anpassat sina tjänster för att bli mera säkra i bland annat mellanönstern och nordafrika.

En annan fråga handlar om legitimitet, något som Rasmus diskuterar i sin mycket läsvärda recension av Evgeny Morozov. De flesta nätaktivister jag känner arbetar med direktaktioner mot svenska lagar. Att kringgå FRA-lagen eller det stundande datalagringdirektivet, att lura IPRED osv. är dock helt lagligt, och har alltid varit så, trots att det finns en och annan debattör som tycker att det är att gå för långt.

Det rör sig alltså inte ens om civil olydnad, utan snarare om att helt enkelt bygga bort den övervakning som har installerats. Internäten spänner ju över hela världen, och bistånd skulle likaväl kunna vara att kringgå svensk övervakning som egyptisk. Loggar skapas av datorer varhelst i världen, och de måste alla dränkas i krypto.

Men när det gäller “bistånd” så blir det lite annorlunda. Utan att nämna namn eller aktörer så kan man ganska lätt säga att de senaste händelserna i mellanöstern och nordafrika har varit lyckade ur ett nätaktivistiskt perspektiv genom att man de facto har överträdit lagar i “ockuperade nätverk”. Jag är själv mycket kritisk till överbelastningsattacker, men de har förekommit mot samtliga regeringars hemsidor, något som kan bli problematiskt med regeringspengar (det blir ju helt plötsligt en sån där “cyberattack” som Cecilia Malmström hela tiden varnar för). Hela nationella nätverk kartläggs även, och avancerade strategier används för att öppna nätverken inifrån (eller för att samla statistik). Ur ett Iranskt eller Bahrainskt perspektiv är detta IT-terrorism, och frågan är vad som händer om det står “Sponsored by Government of Sweden” på den.

En annan intressant grej är exit-noder för darknet, som exempelvis Tor och I2P. Dessa teknologier är ofta helt avgörande för att öppna nätverken och skydda användare från övervakning. Men, något som väldigt få vet är att en exit-nod är en neutral förmedlare av vilken trafik som helst. Detta gör att det ofta räcker med att den missbrukas av en enda pedofil, så kan en fumlig polis ta ned den. Exit-noder kostar pengar att driva, rätt mycket om man verkligen vill öka bandbredden och hjälpa människor, men frågan är vem som tar ansvaret när det blir gryningsräd i serverhallen på grund av en paedobear?

En tredje aspekt är att pengar är demokratiserande, och tvingar fram demokratiska strukturer. Distribuerade sammansvärjningar som exempelvis Telecomix och Anonymous fungerar ofta just på grund av att de saknar alla former av formella strukturer, och istället förlitar sig på mellanmänskligt förtroende. Utan att låta negativ, så är det en uppenbar risk att pengar slår split i ett sådant förtroende och allt rasar samman. Ett roligt exempel är Telecomix Flattr-konto, som innehåller 177 euro, vilket är de enda pengarna som finns, men som ingen har gjort något med eftersom det då skulle kräva att en juridisk person gjorde en banköverföring.

Kanske är det dags för en ny form av telekommunism för att undvika villkorade pengar. En sådan lösning är bitcoins (bitmynt?), en kryptografisk peer-to-peervaluta, som den senaste tiden har stigit i värde och accepteras av allt fler företag som betalningsvaluta. Donationer i bitcoins tas emot av bland annat Tor, Telecomix, I2P och EFF. En helt klart önskad bieffekt av bitcoins är att de skapar en anonym och ospårbar transaktion av “pengar”, något som är mycket fördelaktigt om man vill köpa infrastruktur i exempelvis Kina eller Iran.

Det ska kort sagt bli spännande att följa Carlssons satsning och se vem som tar emot pengarna och vad det gör med den där mystiska “nätaktivismen”.

Egypt – Network field report

Yesterday’s protests in Egypt have led to certain network restrictions in the telecommunications infrastructure. Although networks are still up and most sites and destinations are still available, here are some confirmed blocks that need circumvention. Please note that this information can change very fast, and is only accurate for some time.

Twitter

There is a controversy about whether Twitter is actively blocked or just down due to a network error. Vodafone Egypt denied blocking Twitter, however, Tor developer Jacob Appelbaum argues that there is filtering going on.

This block is easy to circumvent by using third party Twitter updaters. For example brizzly.com or the Telecomix service status.telecomix.org. You set these third party services to update your Twitter account, and then you are through.

The correct hashes for the https://twitter.com are shown on the image below:

Please be careful with verifying Twitter; if it is blocked, it may also become a target for man-in-the-middle attacks.

Other sites
Other blocks include the news site dostor.org and some have reported Al Jazeera news sites to be inaccessible. Also video streaming site Bambuser is reported to be blocked.

Circumvention

The Tor software is reported to work and is available for download. Use Tor with Torbutton.

It is recommended to patch up your browser with Https everywhere and NoScript to force as much encrypted traffic as possible and to avoid malicious scripts from hijacking your accounts.

Mirroring

Right now video services (such as Youtube) seem to work inside Egypt. However, the Streisand Team are pre-emptively downloading videos for fast mirroring if blocks get worse. If services go down, there will be a thousand copies.

This was all very technical. But security always comes first. So keep an eye on those https-certificates!

(If this blog post was useful, anyone is free to redistribute/translate/remix it.)

Update Parts of this post has been translated to arabic on a Telecomix resource page.