Radio-aktivitet: Egypten och Gud

I morse medverkade jag i P1s morgonsändning angående nedsläckningen av internet. Lyssna från SR här eller ladda ned en OGG-fil här (om du vill undvika skript och slutna filformat).

För den som vill hålla sig ajour med vad som händer i Egypten rekommenderas Telecomix wikisida där även IRC-kanalerna länkas. Just nu pågår arbete med att få igång radiolänkar över kortvåg för att sedan hålla twitter uppdaterat för internet.

Som sagt. Internet i princip nere. Endast ett fåtal företagsnätverk är igång, så helt stängt är det inte. Men följande graf från Renesys.com är en talande gravsten för nätet som infrastruktur:

Jag medverkade även i SR OBS i P1 i veckan med en radiokrönika om internet, yttrandefrihet och Gud. Lyssna här för sändningen. Texten jag läser upp finns även publicerad på SRs hemsida under titeln Är internet Gud?.

Egypt – Network field report

Yesterday’s protests in Egypt have led to certain network restrictions in the telecommunications infrastructure. Although networks are still up and most sites and destinations are still available, here are some confirmed blocks that need circumvention. Please note that this information can change very fast, and is only accurate for some time.

Twitter

There is a controversy about whether Twitter is actively blocked or just down due to a network error. Vodafone Egypt denied blocking Twitter, however, Tor developer Jacob Appelbaum argues that there is filtering going on.

This block is easy to circumvent by using third party Twitter updaters. For example brizzly.com or the Telecomix service status.telecomix.org. You set these third party services to update your Twitter account, and then you are through.

The correct hashes for the https://twitter.com are shown on the image below:

Please be careful with verifying Twitter; if it is blocked, it may also become a target for man-in-the-middle attacks.

Other sites
Other blocks include the news site dostor.org and some have reported Al Jazeera news sites to be inaccessible. Also video streaming site Bambuser is reported to be blocked.

Circumvention

The Tor software is reported to work and is available for download. Use Tor with Torbutton.

It is recommended to patch up your browser with Https everywhere and NoScript to force as much encrypted traffic as possible and to avoid malicious scripts from hijacking your accounts.

Mirroring

Right now video services (such as Youtube) seem to work inside Egypt. However, the Streisand Team are pre-emptively downloading videos for fast mirroring if blocks get worse. If services go down, there will be a thousand copies.

This was all very technical. But security always comes first. So keep an eye on those https-certificates!

(If this blog post was useful, anyone is free to redistribute/translate/remix it.)

Update Parts of this post has been translated to arabic on a Telecomix resource page.

Leaks+Streisandeffect=freedom of speech

In a previous post I wrote about how not to build a leak site. Now, Al Jazeera has made one, and it looks pretty good. Perhaps this is the first “big media” drop box.

It has https for secure transfers and a GPG public key for an extra layer of encryption. Also, it recommends using Tor to hide your destination. Update: A friend told me on IRC that the GPG key is only 2014 bits. 2048 bits is recommended. (I personally use 4096 for extra security/paranoia).

A good way of detecting a possible man-in-the-middle-attack is to always check the certificate. Also, to make a physical copy of the md5 and sha1 hashsums for continous verification (in Firefox it is under tools -> page info. See image below:

Moreover, Al Jazeera stores no log files, which is the proper way to go.

I am excited to see these technologies spread to lots of other media stations. And for them to be constantly reviewed to increase security.

Meanwhile, on an other corner of the internet, the Streisand Me project was launched this week. It is a mirror site for mirroring content that was blocked for some reasons. By adding fuel to the internet copy-machine, streisand.me utilizes the power of distributed networks to make sure nothing can be blocked… at least not easily.

Om konspirationer

Mitt förra inlägg om 09STOCKHOLM141 har lett till två diametralt olika reaktioner. Per Strömbäck tycker att jag är en konspirationsteoretiker och Rick Falkvinge diskuterar värdet i att se 09STOCKHOLM141 ur ett bredare perspektiv, till skillnad från min “sakfrågeorientering” kring operatörsansvar. Den senaste veckan har jag verkligen gjort alla besvikna och arga. Osäker på om det är bra eller dåligt dock… Som grädde på moset antyder Skandinav i Florida lite smygsamt att jag skulle tillhöra den anti-Assangeska konspirationen i svenska medier.

Mystiken tätnar!

Till detta vill jag lägga att jag är för konspirationer. Fast i latinets strikta etymologiska bemärkelse, att “andas tillsammans”. Man skulle kunna kalla detta för en slags konspirationskommunism. Förmågan att skapa nya konspirationer har vuxit starkt i och med internet och kryptering. Snabbt och enkelt kan man skapa globala konspirationer tillsammans med andra människor, ibland i syfte att omkullkasta regeringar. Oftast misslyckas det dock.

I min karriär som konspirationsteoretiker ställer jag mig hela tiden frågan hur är samvaro möjlig?. Hur kan vi andas tillsammans, även över distans?

Min erfarenhet säger mig att de bästa konspirationerna är de som sker mellan vänner. Mellan människor som delar ett livsöde med varandra och bygger upp förtroende som varar ibland livet ut. Sen finns det även tillfälliga konspirationer som kan vara mycket produktiva. Ett gäng nätaktivister sammansvärjer att spegla censurerat material så att det blir tillgängligt bakom brandväggarna. Mycket effektivt, samtidigt som det är mycket tillfälligt och flyktigt.

Problemet med konspirationsteoretiker är att de ofta rör sig i det abstrakta. Man letar med trubbiga verktyg efter vem som “ligger bakom” något. Ofta får USA’s regering, Illuminati, judarna, Frimurarna eller aliens skulden. Men sådana konspirationer finns inte. Abstrakta enheter andas inte tillsammans, bara människor gör det.

Så, för att korrigera min tidigare bloggpost som var slarvigt skriven, så vill jag tydligt säga att Netopia inte är en konspiration. Till alla foliehattar där ute – det finns ingen agenda att avslöja! Nope, det är bara en helt vanlig PR-produkt som har några branschorganisationers stöd (här har vi listan). De skriver rapporter, knyter forskare till sig som har goda kontakter i justitiedepartementet, hyr in en handfull skribenter, och har en PR-byrå bakom sig för att lansera det hela snyggt och prydligt (Troligtvis JKL), på samma sätt som Stim och Copyswede anlitar Westander PR. Om det är ett lyckat eller misslyckat projekt får framtiden utvisa.

Således, det finns ingen konspiration för att påverka Sveriges regering, inte heller är Netopia en konspiration och jag har aldrig träffat den “anti-assangeska mediemaffian”. De enda konspirationer jag känner till är de jag själv ingår i. De är rätt många och de är mycket hemliga!

Wikileaks, Netopia och det ansvar som talas om men aldrig tas

Förra veckan gjorde jag långa intervjuer med SvD och Dagens Arena om två skilda saker; Wikileaks och operatörsansvar. De hänger båda ihop, fast på ett lite långsökt sätt.

Vi börjar med Dagens Arena, som är en del i en längre artikelserie som tar avstamp i #cablegate-materialet som släpptes av Wikileaks. Del ett finns här.

Bakgrunden är telegram 09STOCKHOLM141 som berättar för oss hur vi står inför stundande påtryckningar mot internetoperatörerna om så kallad “ISP liability”, eller operatörsansvar.

Till skillnad från Piratpartiet bryr jag mig inte om formen utan om innehållet. Om man tycker att det är en skandal att Sverige låter sig påverkas av andra stater får man gärna göra det, men för att hitta den mycket aktuella striden under 2011 måste man se det som ett strategiskt dokument.

#09STOCKHOLM141 måste tolkas som en karta över planerade påtryckningar, som en slags handlingsplan. Den tydligaste operationella enheten för att utföra planen om att förändra internets infrastruktur är Netopia.

Det hela hakar i en större trend i Europa om att upphovsrättslobbyn blandar sig i våra nät. I Frankrike manifesteras det som en statlig myndighet med namnet HADOPI. I Storbritannien outsourcar man istället till internetoperatörerna att filtrera nätet (vilket alltid innebär att man först övervakar det). I Tyskland har IPRED-lagen blivit en egen industri där till exempel filmen Antichrist drar in mer pengar i böter än på biobesök och DVD-försäljning tillsammans.

Mitt i allt detta måste internetoperatörerna arbeta gratis åt contentindustrin och göra det de hatar att göra: övervaka användarna.

Vad är då Netopias plan för att övertyga politikerna snabbt och säkert. Johan Axhamn:

– Om vi har en utveckling där allt mer av våra liv sker på internet, där allt fler företag förväntas agera på nätet enligt lagar och regler – då tycker jag att det är ganska osunt om den som drabbats av en överträdelse inte på något sätt kan utkräva ansvar eller få rättelse.

– Det bör också vara möjligt att efter beslut av domstol kunna kräva att en operatör filtrerar sitt nät eller blockerar visst material, som en hemsida med olagligt innehåll, säger han.

Ansvar är argumentet. Ansvar, ansvar, ANSVAR! Argumentet är vid närmare gransking ett fluffigt ickeargument. En annan Netopiaskribent (yes, guilt by association, skriver man tar man ansvar), Andreas Ekström, gillar också ansvar. Cecilia Malmström tycker vi ska ta ansvar för cyberbrotten som kostar over 9000 miljarder. Eller nåt. Bara vi tar ansvar, till varje pris. En närmare granskning av Amelia Andersdotter visar att Malmström inte alls tar ansvar.

Netopia tvekar inte en sekund att samarbeta med den Malmströmska näthetsen. Om det går att snabbt associera det tveksamma argumentet “vi ska ha betalt for fuck’s sake” med barnporr eller terrorism så blir det där A-ordet mycket tyngre.

Axhamn får alltid till det mycket snyggt. Från SvD:

Med oönskat material avses till exempel integritetskränkningar, barnpornografi, information som uppmuntrar till människohandel, terrorism, otillbörlig marknadsföring, olaglig spelverksamhet eller upphovsrättsintrång.

Nice. Låt oss alla stämma upp i kör: “Vi tar ansvar”. Men när ska vi se igenom denna tomma retorik egentligen? Varken barnporrlobbyn eller upphovsrättslobbyn tar ju ansvar. När Juliagruppen tillsammans med AKZensur granskade nätfiltret, och kunde visa att man kan ta bort barnpornografiskt material på 30 minuter istället för att lättjefullt och inneffektivt blockera hördes ingenting. Filterlistorna är inte så långa. Om Malmström verkligen vill ta bort materialet är det inte så svårt. Det är bara att ringa ett par samtal.

Till sist ett ord om Wikileaks. Utan läcksajter, eller åtminstone läckor i allmänhet, skulle det inte vara möjligt att se igenom dessa tomma argument från näthatarna. Telegrammen måste läcka, barnporrlistorna måste läcka, ACTA-avtalet måste läcka. När det läcker spricker kommuniképolitiken och det postparlamentariska tillståndet. Vi befinner oss i en tidpunkt där nätläckorna kommer att mångfaldigas, vilket i allmänhet är till det bättre. Ibland får jag mejl av människor som tror att jag är emot läckor på grund av att jag kritiserar exempelvis Wikileaks eller Tradeleaks. Så är givetvis inte fallet, utan snarare är det av passion för läckorna som jag kritiserar hur man läcker. För det är viktigt.

Det är dags för en annan typ av ansvar bortom flosklerna. Europas skarpaste politiker, Amelia Andersdotter, formulerar det hela mycket bra:

/…/ internets effekter på demokratisk spridning och gemenskap världen över är positiv, att hennes [Cecilia Malmström] och Viviane Redings jobb blir överflödiga i en värld där aktivister tar saker i sina egna händer. Kanske för att demokratin i denna bemärkelse är fristående från henne och hennes geografiska verkningsområde.

Ansvaret tas inte av departement, politiker eller lobbygruppernas självgoda argument. Det tas av oss alla här och nu.

How NOT to run a leak site

Don’t get me wrong, I am totally in favour of more and more leak sites. So, I started to examine Tradeleaks a little closer, and tech-wise it strikes me that it lacks basic security.

If you enlarge the picture above you will soon see that there is no HTTPS connectivity. For an average user, this poses a threat of someone listening into the traffic. Basically, you will end up sending the leak in plaintext to the server. Even if you use a proxy, which is recommended, you will still end up with half your route being vulnerable. End-to-end encryption is the only solution for a serious leak site.

Moreover, it states:

TradeLeaks stores the IP addresses of sources who post on the TradeLeaks website. As such, we encourage all sources to ensure they use anonymous proxies before posting to our website. More information about anonymous proxies can be found here: Anonymous proxy (Wikipedia)

Why store log files? For any website, sure, you want statistics and maybe you want to sell the information to a third party. But a leak-site? No way. Logs should never be made, or sent directly to /dev/null. Any authority getting their hands on those machines can easily read the logs.

Third: The “Silicon-valley beacon”. Image below:

Tradeleaks tells Facebook, Google, Reinvogorate and Recaptcha that you have submitted a leak. The front page also tells Twitter. That’s like half of Silicon valley… They should never have this information. Just look at the Twitter (and probably lots of other) subpoenas!

The Technical Contact for Tradeleaks.com is:

Technical Contact:
Tradeleaks Pty Ltd
IT Department (info@tradeleaks.com.au)
+61.386772272
Fax:
PO Box 439
Albert Park, Australia 3206
AU

Hosting:

Rackspace Hosting
5000 Walzem Road
San Antonio
TX
US

So, once again: I really like the concept of more leak sites. And I am very happy to see more and more of them. But security is always the first issue, and these scripts, the failure of end-to-end encryption and the log files may put people in danger. If I were a Facebook or Google employee leaking information, I wouldn’t want scripts to call home to my boss, that is for sure.

Net Neutrality, 1972

Maybe it’s just me, or arent’t American documentaries from the Cold War fantastic? I advise anyone interested in internet to take a look at Computer Networks – The Heralds of Resource Sharing (Arpanet, 1972) (open video formats available!) .

Please not that this is two years before RFC 675 specifying what we now know as internetworking. Still it contains a very important discussion on network neutrality, where the interviewed persons argue that banks and corporations should not build separate one-purpose networks, but instead we should created public networks for multiple purposes and machines.

The corporate networks lost in the 1970’s. That was great indeed. But what about today? Who decides the structure of the common internetworks?

Svartkast

På videon ovan (se de övriga delarna hos Northern Lights TV) visas kanske den första presentationen i Sverige av konceptdatorn “Svartkast”. Presentationen av Raccoon är mycket utförlig och väl framförd. (Det dåliga ljudet försvinner efter nån minut).

Ett svartkast är en dator som lämnas i den urbana infrastrukturen och som kopplar upp sig mot internäten, för att därefter bidra till ett eller flera darknet. Ett darknet blir ju som bekant både snabbare och säkrare genom att man skickar mer trafik genom dem. På ett svartkast kan man sedan skapa hemsidor, irc-servrar och allt annat som kan pressas genom svartnätet, och förutom den kryptografiska anonymiseringen uppstår även en fysisk anonymisering av själva hårdvaran.

Ett svartkast kan även fjärrstyras anonymt eftersom man kan köra ssh över både Tor och I2P. Särskilt värdefulla är svartkast i regimer där man censurerar internet, och kanske till och med försöker blockera anoymiseringstjänster. Då kan svartkastet fungera som en relästation som tar internauterna upp på de svarta snårstigarna istället för de farliga digitala motorvägarna.

Läs mer om konceptet hos Telecomix Crypto Munitions Bureau.

Finns då svartkasten realiserade i det urbana syntaxet och inte bara i labbmiljö? Kanske, kanske inte. Hela poängen är ju att vi inte ska veta. Men en kort notis i SvD vittnar om en “mystisk extern dator på högskola” med krypterade diskar:

– Vi har ingen ägare och ingen misstanke, säger förvaltningschefen Ann Cederberg till Kristianstadsbladet. Hon funderar på att lämna in datorn som hittegods – för att eventuellt få tillbaka den efter tre månader.

Om det rör sig om ett svartkast kommer nog ingen att anmäla ägarskapet 🙂

Hacktivism Hour

Yesternight I was on my favourite radio station, the Hackerspaces|Signal, for two hours talking about all kinds of things concerning hacktivism and net politics.

The show also features Stef, who knows a lot about the media laws in Hungary, Rop Gonggrijp, the dutch hacker who also got Twitter subpoenas along with Jacob Applebaum and Birgitta Jónsdóttir, and we talk about subjects ranging from TOR and I2P darknets to social media replacements, from media laws to data retention.

The talk is pretty relaxed, not fast and soundbyted like commercial radio, and much more improvised. So it is very different from other radio shows that I have been on. It is more like Kapital, Identität, Macht but live.

Also, there is music in the show. All Creative Commons of course.

Download and put in your favourite player. OGG for the open minded here and MP3 for the narrow minded here. The archive also contains a lot of interesting shows.

Tunisian ciphers

In Tunisia, it has been reported, that the government hijacks Facebook accounts, e-mails and possibly other sensitive information.

This is indeed very dangerous, and here are a few security tips along the way. They may or may not work, but for sure they will keep your browser more secure not to get hijacked in the future.

1. Get the Firefox.

2. There is a Greasemonkey script, which deletes the last attempt at phishing accounts from your computer. Reports however indicate that the attack is no longer in use by the government. To install anyways, follow these instructions. (You will need to install the Greasemonkey addon and restart Firefox).

3. To prevent future attacks, they may be rough, it is good to secure the Firefox browser a bit more. Since encrypted web traffic has been switched off at times, you may be able to increase security with the https-everywhere add-on. If it detects a site that uses encryption, for example Twitter, it will choose https://twitter.com version instead of the unencrypted one. This is generally a recommended add-on which I use everyday. The more we encrypt, the more secure the internet becomes.

4. If future hijacking code is written in javascript, the NoScript addon may prevent or at least warn if there is an attack. By default it blocks all javascripts on a site, and you only allow the ones you trust. It comes very handy to all of interweb, and it makes surfing a lot more pleasurable and faster.

Oh, and these measures I use everyday, and they are recommended also for average users.

Take it easy and good luck.

By the way, concerning the mirror tutorial in the previous post, I also set up a Tor hidden service on hsctwsqfsl7ejbh7.onion/tnvideos/. By accessing that one over the Tor network, your traffic will be end-to-end encrypted, and you will barely leave any traces. But keep in mind it will be very slow. Go to Torproject.org to get the Tor software.