no wiz: hej, tänkte ladda ner något av det du föreslog för att skydda sin surfing.. men inget verkar funka till internet explorer, allt kräver att man kör firefox istället? (alltså, det står att jag måste skaffa firefox först.. alternativt att windows ej känner till programmet för att öppna programmet och sedan står det att det saknas version på svenska) varför har du valt dem?
Christopher Kullenberg: Hej no wiz. Ja, tilläggsprogrammen kräver Firefox. Detta beror på att det inte utvecklas lika mycket till Internet Explorer vilket dessutom är en av anledningarna till att jag inte valde att beskriva denna webläsare, som dessutom är begränsad till windowsplattformen. Firefox har öppen källkod, och är både fri och gratis att använda.
Orolig: Jag tror att någon har tillgång till mitt personnummer och mailadress. Vad kan man göra med den informationen ? Hur kan man förhindra olagligheter ?
Christopher Kullenberg:
Orolig: Personnummer är offentliga uppgifter i Sverige, så det är tillgängligt för alla. Din mailaddress är också lätt att få tag på. Olagligheter i detta fall anmäler man till polisen.
Elli: Många säkerhetsnissar säger att det bara är en myt att OS X och Linux inte har några virus. Jag är nyfiken på att veta exakt hur man kan få virus på sin Mac (obs VIRUS, inte trojaner) genom att t ex surfa. Och varför i sånna fall väldigt många andra kunniga människor inom datorer hävdar att birus till unix-baserade system idag är fortfarande ovanligt?
Christopher Kullenberg: Elli: Just virus är vanligast till windows, men det betyder inte att attacker mot unix och linux inte förekommer. Tvärtom är attacker mot dessa system väldigt vanliga (framförallt intrångsförsök) eftersom de flesta webservrar kör någon form av linux eller unixlösning.
Zl0b: Hej C, In an IP spoofing attack, what field of an IP packet does the attacker manipulate? A. The version field B. The source address field C. The source port field D. The destination address field MVH //Zl0b
Christopher Kullenberg: Hi ZIOb: In the case of the sofware described in this article, the most common attack is the man-in-the-middle attack. This is usally done by tampering with DNS or routing information in order to redirect the packets to a malicious destination. Could be done from your computer all the way out on the public internet. OTR gives a certain kind of protection against such attacks since you verify cryptographic hashsums at both ends.
Villmenkaninte: Finns det något hyfsat bra gratisprogram för kryptering.? Har tidigare använt PGP, men det verkar ha blivit helt kommersiellt nu.
Christopher Kullenberg: villmenkaninte: Ja, gnupg är både gratis och fritt (i termer av källkod). Fungerar som PGP. Ladda ned här http://gnupg.org/
zach: hur slipper man alla bakdörrar som finns i PGP och liknande program? För med dessa är krypteringen en ren illusion. När andra vet hur de skall gå in i kryptot blir säkerheten obefintlig. Men man kan säkert tjäna stora pengar på att lura folk.
Christopher Kullenberg: istället för att använda kommersiella PGP-lösningar använder du den öppna GPG-krypteringen http://gnupg.org/ . Eftersom den är öppen källkod kan du själv läsa den och leta efter bakdörrar, samt förlita dig på att andra gör det. Hundra procent säker kan man dock aldrig vara.
Gustav: Även om man är noga med att kryptera sin kommunikation och uppdatera sitt antivirusskydd och brandvägg så är man inte hjälpt av detta om det finns bakdörrar i det operativsystem man använder. Hur viktigt anser du att skillnaden med öppen mjukvara vs proprietär mjukvara vara i det här sammanhanget?
Christopher Kullenberg: Gustav: Öppen källkod ger möjligheten att läsa inanntill så att det inte finns några bakdörrar. Detta gör att öppna lösningar är beprövade av andra utvecklare, och ju fler ögon det finns på källkoden desto bättre. För en vanlig användare är detta dock inte görbart, så man får förlita sig på att "communityt" har koll. Personligen kör jag bara öppen källkod då jag har större tillit till medmänniskor än till företag som kommer och går.
Erik: Vi driver yttrandefrihetsprojekt i Vitryssland och undrar om det är säkert att köra Skypes "Video Calling", alltså röstsamtal dator till dator, när vi kontaktar våra samarbetspartners. Kan de lätt avlyssnas? Vi har fått uppgifter om att KBG har haft förhör där de har haft utskrivna "text-chatt" att visa upp. Har dock ingen uppgift om det rörde sig om Skype eller MSN eller liknande.
Christopher Kullenberg: Erik: Säkerheten i Skype varierar med hur mycket pengar en stat har och hur väl de samarbetar med företaget Skype. Skype kan väldigt enkelt avlyssnas om man styr om det så att det autentiserar mot servrar som kontrolleras av regeringen (detta händer i Kina).
Jag skulle se mig om efter en öppnare lösning
Erik Josefsson: Freedom Box introducerar begreppet privatlivsbaserad infrastruktur. Vilken roll tror du FBx kommer att få i förhållande till dagens företagsbaserade nät? Har du tankar om hur man bygger fri informationsinfrastruktur överhuvudtaget? Kan man jämföra FBx med förslagen om en "killswitch for the Internet"?
Christopher Kullenberg: Erik Josefsson: Freedom box är ett väldigt bra initiativ som för kontrollen närmare slutanvändarna. Men fiberkablarna i marken kommer fortfarande att ägas och kontrolleras av företag och stater. För att se till att denna infrastruktur blir schysst måste vi stifta lagar och regler så att de uppför sig. Eller så skramlar vi ihop och köper upp infrastrukturen själva :)
Jakob Wranne: Vanliga brev av papper, som läggs i kuvert, har ju en självklar säkerhet. Kan man få samma säkerhet i vanliga mail?
Christopher Kullenberg:
Det är ibland vilseledande att jämföra pappersbrev och elektroniska brev. Två helt skilda teknologier. Om du krypterar dina mail med GPG http://gnupg.org/ så blir innehållet i dem väldigt svårt att läsa för en utomstående. Men grundregeln är att allt som skickas över internet kan snappas upp längs vägen.
Jakob Wranne: Att facebook läcker som ett såll, hårt kritiserat av EFF t.ex, har du kommentar om det? och har du tips på vad man kan göra? och har du tips på andra fora?
Christopher Kullenberg:
Facebook är väldigt osäkert. Det är en öppen plattform som tekniskt är undermålig (endast begränsat stöd för kryptering). Jag rekommenderar att man följer och stödjer mera öppna lösningar som till exempel Diaspora eller Freedom Box som nämndes tidigare.
Lars: Hej Christopher och tack för bra artiklar och tips. Vilka råd och länktips har du till oss med MAC? Mvh, Lars
Christopher Kullenberg: Lars: Till Macintoshplattformen finns de flesta lösningarna. För krypterad chatt finns Adium, GPG för mail, Tor för att surfa anonymt. MacOS är visserligen inte öppen källkod, men har de flesta Unixprogram som man behöver, exempelvis SSH.
Lars Zetterström: Hej ! Jag har letat på marknaden efter en krypteringslösning som löser följande molnproblem: Vi är 4 personer som vill lagra arbetsdokument i t ex Dropbox krypterad. Det går att kryptera enskilt, t ex via PGP, men inte där det finns en grupplösning.
Christopher Kullenberg:
Jo, PGP använder sig av enskilda krypteringsnycklar. Vill man kan man skapa en ny nyckel som alla fyra personer använder sig av. Det går att exportera gpg-nycklar och ha dem på flera datorer.
En annan lösning är att kryptera endast med lösenord som ni delar gemensamt.
Jakob Wranne: Om jag vill veta mer om nätaktivism, var letar jag då? Lära mig om nätaktivism från grunden? Förstå vad det är och vilka grupper som finns? Vilka grupper rekommenderar du att man tar kontakt med? Finns det några som sysslar med andra tekniker, som att kombinera chatt, internet och kortvåg t.ex?
Christopher Kullenberg:
Jakob Wranne: Nätaktivister finns utspridda lite överallt. Kolla in telecomix.org och werebuild.eu för folk som sysslar med både internet och andra kommunikationsteknologier. Man hittar dem även i anslutning till hackerspaces-rörelsen på hackerspaces.org samt hos traditionella gamla hackerföreningar som Chaos Computer Club ccc.de
Sen kan man åka på konferenser som Chaos Communication Congress, Hacking at Random, FSCONS i Göteborg, eller söka upp hackerspaces. Till exempel forskningsavdelningen i Malmö, Gothenburg Hackerspace samt Sparvnästet/Hemliga Trädgården i Stockholm. Finns även i Umeå.
Lars: När folk i allmänhet verkligen skulle behöva använda kryptering och anonymitetsteknik, som t.ex. i Nordafrika just nu, så är det oftast inte riktigt läge att försöka lära sig. Man måste helt enkelt kunna det innan det blir skarpt läge. Vad tror du är det bästa sättet att uppmuntra människor att lära sig tekniken och att använda den fast de inte ser något behov av det just nu?
Christopher Kullenberg: Lars: Helt korrekt. Kryptering tar lite tid att lära sig, och i många fall måste man göra det innan man riskerar att bli kraftigt övervakad. Jag jobbar med att försöka sprida kunskaperna så gott jag kan på allmänna forum, som till exempel denna chatt. Viktigast tror jag det är att kunskaperna förmedlas från person till person, så alla som kan måste vara generösa med att lära andra.
Jakob Wranne: Tack för fantastiska tips. Zuckerberg har jag fattat är stor delägare i Diaspora. Ska man dra öronen åt sig på grund av det?
Christopher Kullenberg: Nej, jag tror att när det gäller Diaspora och Freedom Box och liknande alternativ så är det viktigaste att man håller ett öga på att källkoden behålls öppen och att det sker under en bra licens. Zuckerberg menade aldrig att skapa en osäker sajt, det bara blev så när man byggde ett företag som centraliserade tjänsten.
Pontus: För två dagar sen klickade jag på en ''du har vunnit 2 miljoner'' banner och nu börjar datorn uppföra sig konstigt. HJÄLP?
Christopher Kullenberg: Pontus: Man ska helst undvika banners och konstiga pop-upfönster. Om du kör windows bör du scanna efter virus med ett uppdaterat antivirusprogram. Eller så uppgraderar du till ett säkrare operativsystem som till exempel Ubuntu Linux, ubuntu.com
emil: hej. hur sannolikt är det att google skulle kunna tappa bort min data jag har lagrat hos dom (gmail, google docs etc) om jag själv inte slarvar bort den? hur ser deras backupstruktur ut? känns extremt tryggt men nyfiken
Christopher Kullenberg: Google har med största säkerhet en alldeles utmärkt backuplösning. Men vill du ha full kontroll bör du ladda hem allt till din egna dator. En viktigare fråga är vad och vem som får tillgång till din data hos Google.
Jakob Wranne: Wall Street Journal har haft en riktigt bra artikelserie om hur sedd man är på nätet "What they know". Nackhåren reser sig när man läser artiklarna. Temat är i mycket detsamma som för denna tjatt. De lägger tyngden på den organiserade insamlingen av data om den surfande personen, och hur många sidor och spårningsprogram samverkar till en antagligen ganska komplett bild av den surfande. Har du kommentarer?
Christopher Kullenberg: De stora IT-företagen som facebook och google lever på att samla in data om oss. Det är deras affärsmodell. Facebook är ett arkiv som vida överstiger de arkiv som till exempel STASI upprättade. Vi ger dem dock all data frivilligt och med samtycke. Google har dessutom analytics-kod över stora delar av webben.
Det är enorma mängder mycket exakt data. Vad man kan göra med dem förutom att tjäna pengar... tja... det är värt att fundera på.
Kalle P: Hur ser du på relationen mellan nätaktivism och filosofi?
Christopher Kullenberg: Kalle P: Relationen mellan filosofi och teknologi är tätt sammanknutna. Ibland filosoferar vi hur tekniken fungerar eller hur den bör utformas, ibland ger oss teknologin nya filosofiska problem och insikter.
Samma sak gäller för filosofi och nätaktivism. Nätaktivismen frågar sig ständigt "vad bör vi göra" "hur bör vi göra" osv. Dessa är filosofiska frågor och kan diskuteras som sådana. Men nätaktivism är ju även en praktik, något man gör. Och politisk praktik har alltid filosofiska konsekvenser. Jag ser de båda som samma mynt!
Jakob Wranne: Hur ser du på FRA-lagen och iPred, i förhållande till den massiva datainsamlandet på andra håll? Google analytics och facebbok t.ex.? Vår förra internetleverantör hade en snällt formulerad ri kontraktet "får använda sin kunskap om trafiken till sin marknadsföring". En försäljare ringde en dag och undrade om vi inte skulle ha trådlösa modem till våra tre bärbara. Han visste att vi hade tre bärbara. Har du kommentarer?
Christopher Kullenberg: statlig övervakning och företagsövervakning sker i olika syften och med olika metoder. personligen anser jag att man ska kringgå båda med kryptering.
Anna: Hej! Kan man generellt lita på att det är någorlunda säkert att använda internetbank, köp över nätet och så vidare? Sunt förnuft gäller förstås, och jag brukar hålla koll på hänglåset nere i högra hörnet, men finns det annat man kan och bör vara uppmärksam på just när man hanterar sin kontoinformation på nätet (ex banker, näthandel...) - något man kan titta efter som inte kräver doktorsexamen i it-säkerhet? :-)
Christopher Kullenberg: Anna: Banker har generellt ett bra skydd och ofta en extra säkerhet med "dosor" och skrapkoder. Men, även banker kan utsättas för attacker. Man bör kolla "hänglåset" om man är på en misstänkt anslutning, exempelvis på ett café. Samma sak gäller när man köper med kreditkort. Kolla alltid hänglåset, och läs gärna säkerhetscertifikatet som du kan klicka fram. Ser det skumt ut så leta efter en säkrare anslutning eller ring kundtjänsten och fråga.
moderator: Nu stänger chatten. Tack alla som medverkat!
Jakob Wranne: Vad är det viktigaste för en normal person att tänka på när man ska ut på nätet? Mer än brandvägg, virus och spårningsskydd?
Christopher Kullenberg:
Det viktigaste man bör tänka på när man sufrar på nätet är att den sida man är på verkligen är den som den utger sig för att vara. Detta kontrollerar man enklast genom att se om https-certifikaten stämmer. Man kan klicka fram dem manuellt för sin bank eller för sin mail, och kolla så att de stämmer om man är på en anslutning som man misstänker att någon har manipulerat.
Sen bör man även sortera ut skript som samlar onödigt mycket information om dig. Noscript för webbläsaren Firefox använder jag, och blockerar därmed bort sånt jag inte vill ha på webben.
////////////////////////////////////////