När jag kör

dmesg

får jag en bibba med rader som säger nf_conntrack: table full, dropping packet. Kollar jag då mina satta gränsvärden för detta ser jag att det är relativt lågt.


cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
...
net.ipv4.netfilter.ip_conntrack_max=16384
...


Jag skjuter från höften och höjer detta till 65536. För att slippa boota om routern skriver jag även in detta i /proc/sys/net/ipv4/netfilter/ip_conntrack_max. Det sägs även att man ska sätta kernelns hashsize till en fjärdedel av ip_conntrack_max. Någon får gärna förklara varför, men just i denna stund är jag nöjd med att det funkar.


echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo $(( 65536 / 4)) > /sys/module/nf_conntrack/parameters/hashsize


Jag hoppas att detta når dig i tid, jag gjorde en resa till Birmingham, Storbritannien och min handväska blev stulen med mitt internationella pass och mina kreditkort inuti. Ambassaden är villiga att hjälpa mig att ta ett flyg utan mitt pass, jag behöver bara betala för biljetten och hotellräkningarna. Till min förfäran kan jag inte få tillgång till mina fonder utan mitt kreditkort och kontakt med min bank, men de behöver mer tid för att kunna ge mig ett nytt kort. I den här olyckliga situationen tänkte jag fråga om ett avlöningsdagslån som jag kan betala tillbaka så fort som du kommer tillbaka. Jag behöver verkligen vara med på nästa flyg. Jag kan skicka detaljerna för hur fonderna kan skickas till mig.
Jag ser fram emot ditt svar,
Många hälsningar
Erik

Brevet är skickat ifrån ett yahoo-konto som tillhör min vän Erik (fabricerat namn i detta inlägg). Reply to-adressen är dock modifierad men väldigt snarlik den riktiga. Endast ett i är utbytt mot l. Erik är i detta fall en pensionär på över 70 som använder dator och surfplatta för e-post med mera. Speciellt välinsatt i datasäkerhet är han däremot inte.

Brevet är skickat via IP-adress 41.138.176.194 som enligt whois är registrerat i Nigeria. Detta verkar handla om en relativt omfattande kapning av yahoo- och gmail-adresser.

Eftersom jag själv blev utsatt för intrång i min gmail för några år sedan valde jag att sätta upp en egen e-postserver och sköta säkerheten på egen hand. Detta är dock något jag förstår att inte alla vill eller kan göra. Vad jag föreslår är istället att skaffa en e-postadress hos en mindre leverantör som därmed är mindre lukrativ för intrång, hos ett företag, en organisation eller en person du känner och litar på. Och viktigast, som råder under svensk lag med svenska avtal.

Tillägg: Ok, det funkade inte alls.

Jo då, det verkar funka bra. Kanske kan vara ett alternativ för de få tillfällen då jag inte har en dator nära tillhands.

Helt gratis service, utan någon catch (vad jag hittills upptäckt).

Jag brukar ogärna göra reklam för företag, särkilt utan att få betalt, men denna gång gör jag ett undantag. Jag har nu min Raspberry Pi igång i deras nät. I skrivande stund sedan 7 dagar tillbaka. Syftet är att flytta min e-postserver dit, om nu 512 MB RAM räcker. Annars hittar jag på något annat skoj med den.

Hoppas kunna återfå lite fart på bloggandet, för det är ju rätt trevligt faktiskt.

I LinkedIns Privay Policy framgår att de förbinder sig till att inte sälja eller ge ut personuppgifter till tredjepart. Om de nu har gjort så, vilket detta spam indikerar, har jag alltså blivit utsatt för avtalsbrott från ännu en stor och ”tillförlitlig” social tjänst.

I och med att regeringen nu antagit Datalagringsdirektivet är vi alla under ständig statlig övervakning. All vår digitala kommunikation registreras, på liknande sätt som tidigare endast skett mot skäligen misstänkta brottslingar. Sedan FRA-lagen antogs är all e-postkommunikation automatiskt registrerad (sånär som på den försumbara mängd som inte råkar passera en utländsk nod). Detta är de två allvarligaste hoten mot vår personliga integritet som införts i modern tid, då det är obligatorisk statlig övervakning, men trenden är oroväckande även hos andra instanser. Exempel är Stockholms Läns Lokaltrafik som i allt högre grad registrerar resor och knyter dessa till personer, Googles nya avtal som knyter samman användandet av youtube med e-postkonton och alla andra av Googles tjänster vi använder med mera. Listan kan göras lång, och längre för var dag som går.

Men det finns saker man som individ kan göra för att i viss mån skydda sig. Säkrast är att inte använda telefon eller Internet, men så långt är jag inte beredd att gå. Jag tänkte ta upp ett par knep som jag själv följer i möjligaste utsträckning. Det kräver viss uppoffring, men ger ett hyfsat skydd. En tradeoff som passar mig.

• Använd en telefon med fri mjukvara och oregistrerat kontantkort, betalat med kontanter. Jag använder en Androidbaserad Google Nexus S där jag bytt ut med medföljande Androidsystemet mot Replicant, som jag tidigare skrivit om. Replicant är helt fritt, vilket även inkluderar koden som hanterar själva modemet. Genom det kan jag försäkra mig om att modemet inte gör mer än det ska. Med tillverkarens proprietära kod kan du inte vara säker, men anta att modemet rapporterar så mycket status den bara kan komma över om dig till operatören.
• Kryptera din e-post på klientsidan. För att kunna skicka e-post krypterat till dig behöver avsändaren ha din publika GPG-nyckel. Skapa en sådan och gör den offentlig. Kräv sedan att den du tänker skicka e-post till gör samma sak. Observera dock att brevets rubrik inte kan krypteras, så skriv ingen känslig information däri. Detta är inte samma sak som krypterad förbindelse mot SMTP- och IMAP-servrar. Det är också bra, men skyddar inte mot statlig övervakning. Ett klientkrypterat brev är i princip omöjligt att läsa utan den hemliga nyckeln som bara du har, även om staten skulle ha en full kopia av brevets överföring från avsändaren till dig.
• Undvik stora centralt kontrollerade nätverkstjänster såsom Facebook, DropBox och Google+ för privata angelägenheter. Undvik dylika tjänster så långt det är möjligt. Om du måste använda dem, ha en separat webbläsare för var och en av dem. I Firefox kan du ha olika profiler, alltså separata instanser av webbläsaren där varje profil har sin egen avgränade låda med cookies, plugins och cache. Jag har en för Youtube, en för GMail (som vi använder på jobbet), en för min bank och en för allt som inte kräver inloggning i ett stort nätverk. Välj små tjänster före stora. Kompisens privata mailserver är mycket mindre intressant för potentiella angripare (staten inkluderad) än GMail. Själv har jag en egen e-postserver som bara jag och två nära personer använder.
• Stäng av Javascript, Flash, Java och cookies i din webbläsare och e-postklient. Till Firefox finns ett fantastiskt plugin som heter NoScript, där du kan stänga av alla dessa men lägga in undantag för webbsidor du litar på. Var restriktiv med undantagen och kombinera gärna med separat profil för tveksamma sidor som du trots allt väljer att exekvera script på.
• För stockholmare med registrerade SL Accesskort gäller att passera spärrarna utan att dra sitt kort så långt det går. Jag har med mig mitt kort, men använder det så lite jag kan. De höga glasdörrarna är enklast att passera genom att gå tätt bakom någon annan som drar sitt kort. Oftast märks det inte ens, och om man blir påkommen är det bara att förklara den bakomliggande anledningen. Det är förövrigt ett bra tillfälle att upplysa medmänniskor om den problematik som råder.

Det finns förstås mycket mer man kan göra, men här är en bra start. Tilläggas kan att om personer som avser begå brott tillämpar ovan nämnda knep går han eller hon rätt säker ur statens övervakningsmaskin. Resultatet blir att vi vanliga medborgare är de som övervakas, medan tekniskt kunniga brottslingar slipper undan. Är Ask med sina undersåtar inkompetenta nog att förstå det, eller är brottsligheten ett svepskäl för något annat mycket värre?

Detta kan betyda två saker. Antingen har någon gissat sig till denna unika adress, eller så har adressen på ett eller annat sätt läckt ut ur Googles databas.

Spamet var i massutskicksformat, om nu ingen listat ut att jag är i behov av V1aagra. Skulle massutskickare ägna tid åt att göra kvalificerade gissningar på folks möjliga e-postadresser? Tror inte det vore lönsamt. För mig lutar det äckligt mycket åt det andra alternativet. Google spiller data!

Men, Android är ju fritt och med öppen källkod?!

Nja. Androidsystemet i sig lyder under Apache License version 2, som är fri. Kärnan är Linux, som till stor del lyder under GPLv2. Linuxkärnan innehåller emellertid en stor del ickefria komponenter, av vilka vissa faktiskt används av Androidtelefoner. Det rör sig främst om drivrutiner till modem, GPS, kamera, mikrofon och dylikt. Ovanpå systemet finns det rikligt med applikationer som inte är fria. Googles svit av användarapplikationer, såsom Market, Maps, GMail och Calender är exempel på ickefri mjukvara. Det har redan sedan länge varit ett problem för exempelvis tredjepartsdistributionen CyanonogenMod, som fick med Google att göra efter att ha skickat med dessa appar med sina paket. Telefonoperatörer och tillverkare av mobiltelefoner har även som regel att bygga egna appar och även modifiera Android, varav utkomman sällan är fri mjukvara.

Android Market är som nämnt ickefri mjukvara, och inuti ”butiken” kryllar det av tredjepartsappar med tveksamma licenser. Engelskans vardagliga ord för gratis är just free, vilket olyckligtvis framkallar förvirring. Att Google väljer att kategorisera apparna i free och payed apps utan att tydligt ange vilken licens som gäller för respektive app, gör det svårt för användarna att veta vad som är möjligt att använda i ett fritt system.

Replicant är ett projekt som har till syfte att lösa dessa problem. Målet är Androidtelefoner med 100% fri mjukvara. Det finns en handfull modeller som man har lyckats porta Replicant för. Däribland Nexus S, Googles brandade Samsungtelefon. Det är den telefon man i skrivande stund kommit längst med i funktionellt avseende. Därför köpte jag en sådan just för att experimentera med Replicant.

Först tog jag hem källkoden till Replicant, då de färdiga image-filerna var utdaterade. 13 GB! Därefter följde jag kompileringsguiden, och bygget tog ca 2 timmar på min gamla trötta maskin. Jag mötte inga större problem på vägen. Därefter installerade jag mina nybakade image-filer på telefonen och vips så bootade jag ett helt fritt system.

Vad fungerar och vilka problem har jag stött på? De absolut viktigaste funktionerna är på plats. Ringa, ta emot samtal, skicka sms och ta emot funkar fint. Datatrafik har jag inte fått igång, men enligt utvecklarna jobbas det på det och ska redan under vissa förutsättningar fungera. Kamerorna fungerar att fotografera med, men förhandsvisningen är gråskalig. När jag provade att filma krashade kameraappen. Scanna streckkoder fungerar dock fint. Jag kör med Telia Refill, och dess koder för att ladda på och kolla saldo fungerar inte i nuläget. GPS, wifi och blåtand har i nuläget inga drivrutiner och det är oklart vilka av dessa delar som ens är möjliga att skriva fri kod för.

En liten detalj som förmodligen inte går att göra fri är bootloadern. Den kan jämföras med BIOS i en dator. Eftersom man i normala fall inte uppdaterar den, kan man likställa den med en del av hårdvaran, och hårdvaran är inte ett föremål för att göras fri, eftersom den är omöjlig (eller extremt svår) att kopiera. Att uppdatera bootloadern är inte heller riskfritt, då man kan bricka sin telefon (göra den oåterkalleligt obrukbar) om uppdateringen går snett. Givetvis vore det bra att ha även bootloadern fri, men det finns viktigare saker att lösa i första hand.

Så nu håller jag för första gången i mitt liv en mobiltelefon med helt fri mjukvara i min hand! Det finns saker att göra innan den funktionellt kan möta de krav som ställs på en modern telefon, men den är en bra bit på väg. Jag kommer fortsätta köra Replicant på denna och ska se till att hålla den fri från ickefri mjukvara. Till varje pris snarare än i den mån det går.