Kaos i IT-fabriken…

2012/10/14 15 kommentarer

Ibland när datorer är nere så blir folk rätt upprörda. ”Varför är datorerna nere?”, ”Varför är de FORTFARANDE nere?”, ”Vad fan SYSSLAR de med?”. Inatt hände en sån där sak som inte får hända, det blev totaltras i systemet och allting föll samman som ett korthus. Här är lite utdrag ur chatloggen vilket jag hoppas kanske kan få ni som inte är regelbundna besökare i datorhallar att få lite större förståelse för hur slitsamt det kan vara.

(vissa adresser och annan info som kan vara känslig är bortklippt, markerade med[...] som brukligt är)

[2012-10-13 17:44:05] Emelie Skoog: 504 på webbmailen. ;(
[2012-10-13 17:47:15] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 17:54:49] Toni ‘CLUEZ’ Cherfan: verkar vara rätt brutala problem med disk IO
[2012-10-13 17:57:52] Toni ‘CLUEZ’ Cherfan: hostarna verkar ha tappat kontakten med lagringsservern
[2012-10-13 17:58:24] XMPP: Kim ”Zash” Alvefur | Värt
[2012-10-13 17:59:05] Emil Isberg: Eh mail-servern startade om…
[2012-10-13 17:59:09] Toni ‘CLUEZ’ Cherfan: ja, mitt fel
[2012-10-13 17:59:12] Emil Isberg: snyft
[2012-10-13 17:59:23] Toni ‘CLUEZ’ Cherfan: hela konsollen var full med timeouts
[2012-10-13 17:59:40] Emil Isberg: Ja misstänkte det… :)
[2012-10-13 18:05:48] Toni ‘CLUEZ’ Cherfan: det är mysqlen som är trasig, ska starta om den
[2012-10-13 18:06:35] Toni ‘CLUEZ’ Cherfan: så, nu hoppade saker igång
[2012-10-13 18:07:32] Toni ‘CLUEZ’ Cherfan: och hela kernel-loggen är full med IO-fel på den där arrayen
[2012-10-13 18:07:35] Toni ‘CLUEZ’ Cherfan: jätteroligt.
[2012-10-13 18:08:23] Toni ‘CLUEZ’ Cherfan: nu jävlar måste jag ta mig till [...] och jobba (ja, på en lördag), sen måste jag packa och imorgon klockan 6 åker jag till malta. ser ni till att ha fixat in nya diskar tills dess så kan vi slippa det här
[2012-10-13 18:10:49] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 18:10:49] adbot: Nu skickar jag SMS till [...]
[2012-10-13 18:11:30] Toni ‘CLUEZ’ Cherfan: thank you.
[2012-10-13 18:12:02] Toni ‘CLUEZ’ Cherfan: men gnf.
[2012-10-13 18:12:49] Toni ‘CLUEZ’ Cherfan: jag tror problemet ligger i mysql-diskarna, någon har antagligen fått en trasig sektor och då kommer MD att vänta på den disken vilket orsakar timeouts
[2012-10-13 18:13:05] Toni ‘CLUEZ’ Cherfan: förhoppningsvis markeras den disken som fail och arrayen blir degraded snart
[2012-10-13 19:11:23] qeruiem: [den 13 oktober 2012 18:10] adbot:

<<< Nu skickar jag SMS till [...]

Good luck with that.
[2012-10-13 19:16:30] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 20:11:44] Plux Stahre: Q: GLHF botjävel liksom :D
[2012-10-13 20:15:53] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 20:30:37] Johan mlg Karlsson: ledning: Vi har serverstrul just nu. Vi misstänker att det är en disk som håller på att dö. Ifall vi har rätt så kommer saker förhoppningsvis att börja fungera bättre igen så fort disken faktiskt dör. Backupplan är att vi har en annan server vi kan byta till, men då det är en del arbete väntar vi helst tills i morgon och ser ifall det reder ut sig självt först.
[2012-10-13 21:15:19] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 21:40:29] ppbot: Från Rick Falkvinge i Piratfrågor (pf): Det verkar som om ettan är nere?
[2012-10-13 21:45:09] Toni ‘CLUEZ’ Cherfan: mlg, hur ser det ut för dig med tid? har du möjlighet att hämta upp mig i [...] och dra iväg mig till [...] för att reboota mysql-servern?
[2012-10-13 21:50:35] Plux Stahre: pf: Diskproblem, jobbas fernetiskt på att lösa det
[2012-10-13 21:51:32] Plux Stahre: pf: Ovanstånde som svar till Rick
[2012-10-13 22:07:49] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 22:08:10] Toni ‘CLUEZ’ Cherfan: vi har backup på PW
[2012-10-13 22:09:53] Mikael ”Acwder” Holm: som i från nu eller nu i dagarna?
[2012-10-13 22:10:03] Toni ‘CLUEZ’ Cherfan: för 2 minuter sen
[2012-10-13 22:10:07] Mikael ”Acwder” Holm: (y)
[2012-10-13 22:15:44] Toni ‘CLUEZ’ Cherfan: vi har nu backup på allt utom piratepad
[2012-10-13 22:17:07] Toni ‘CLUEZ’ Cherfan: jag gör ett försök att ta upp allt genom att döda piratepad
[2012-10-13 22:17:20] Toni ‘CLUEZ’ Cherfan: seems to work!
[2012-10-13 22:17:25] Toni ‘CLUEZ’ Cherfan: adbot: clearsite ettan
[2012-10-13 22:17:29] adbot: Site check normal for http://www.piratpartiet.se
[2012-10-13 22:18:38] Toni ‘CLUEZ’ Cherfan: oh yes, oh fucking yes
[2012-10-13 22:18:42] Toni ‘CLUEZ’ Cherfan: load på 1 istället för 4
[2012-10-13 22:19:27] Toni ‘CLUEZ’ Cherfan: ladies, kan vi leva med att piratepad är död ett tag så är problemet löst
[2012-10-13 22:19:37] Toni ‘CLUEZ’ Cherfan: for now
[2012-10-13 22:21:30] adbot: **** ALERT **** https://pirateweb.net/Pages/Public/CheckHeartBeat.ashx (PirateBot) DOWN (5 TRIES)
To retry, write adbot: clearsite https://pirateweb.net/Pages/Public/CheckHeartBeat.ashx
[2012-10-13 22:22:02] Toni ‘CLUEZ’ Cherfan: and fuck you too!
[2012-10-13 22:22:16] XMPP: Kim ”Zash” Alvefur | adbot: STFU
[2012-10-13 22:24:59] Toni ‘CLUEZ’ Cherfan: adbot: clearsite PirateBot
[2012-10-13 22:24:59] adbot: Site check normal for https://pirateweb.net/Pages/Public/CheckHeartBeat.ashx
[2012-10-13 22:30:18] adbot: **** ALERT **** http://piratepad.net/ep/admin/auth (PiratePad) DOWN (5 TRIES)
To retry, write adbot: clearsite http://piratepad.net/ep/admin/auth
[2012-10-13 22:31:41] Toni ‘CLUEZ’ Cherfan: captain obvious, at your service!
[2012-10-13 22:31:45] Toni ‘CLUEZ’ Cherfan: adbot: removesite PiratePad
[2012-10-13 22:31:45] adbot: Removed http://piratepad.net/ep/admin/auth
[2012-10-13 22:36:31] Plux Stahre: Toni: Folk kan ju alltid använda https://pad.plux.se ;)
[2012-10-13 22:36:51] XMPP: Kim ”Zash” Alvefur | Eller någon av alla tusen deployments
[2012-10-13 22:45:24] Johan mlg Karlsson: sorry to say, men det verkar inte som det funkade
[2012-10-13 22:45:25] Johan mlg Karlsson: :(
[2012-10-13 22:45:42] Toni ‘CLUEZ’ Cherfan: gnf. funkade ett tag
[2012-10-13 22:45:57] Johan mlg Karlsson: Toni: Är frågan ovan fortfarande aktuell?
[2012-10-13 22:46:08] Toni ‘CLUEZ’ Cherfan: jag vet inte.
[2012-10-13 22:46:13] Mikael ”Acwder” Holm: Har ni någon eta på när ni ska trycka in fler diskar?
[2012-10-13 22:46:26] Mikael ”Acwder” Holm: (för det är det som är felet?)
[2012-10-13 22:46:42] Johan mlg Karlsson: nej, just nu är problemet är att en av  dom diskarna som kör sql har kukat ur
[2012-10-13 22:47:02] Johan mlg Karlsson: att kötta in fler diskar löser dock det problemet också iom att då flyttas sqlen till nya diskklustret
[2012-10-13 22:47:59] Toni ‘CLUEZ’ Cherfan: problemet just nu är att jag inte vet om richie har checkat in åt mig hos ryanair
[2012-10-13 22:48:24] Johan mlg Karlsson: kan du inte bara checka in igen –> done?
[2012-10-13 22:48:26] Toni ‘CLUEZ’ Cherfan: om han gör det och jag får nån mat (jag har inte käkat annat än frukost) så kan jag jobba hela natten med det här förutsatt att jag får en timma på mig att packa
[2012-10-13 22:48:49] Johan mlg Karlsson: var är du nu?
[2012-10-13 22:48:54] Toni ‘CLUEZ’ Cherfan: [...]
[2012-10-13 22:50:05] Johan mlg Karlsson: som i [...]?
[2012-10-13 22:50:50] Toni ‘CLUEZ’ Cherfan: ja, [...]
[2012-10-13 22:51:01] Johan mlg Karlsson: när är du klar där?
[2012-10-13 22:53:33] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 22:53:33] Toni ‘CLUEZ’ Cherfan: typ nu tror jag
[2012-10-13 22:54:25] Johan mlg Karlsson: okej
[2012-10-13 22:54:30] Johan mlg Karlsson: ja, saker funkar bevisligen inte..
[2012-10-13 22:55:56] Johan mlg Karlsson: ifall vi gör så här;

jag plockar med mig servern, drar förbi donken och fixar mat till dig. under tiden så fixar du något installmedia (antar att du har någon usb-sticka på dig?) och hämtar upp dig så drar vi till portlane och fixar?
[2012-10-13 22:56:57] Toni ‘CLUEZ’ Cherfan: du menar 2950n?
[2012-10-13 22:57:01] Toni ‘CLUEZ’ Cherfan: och nej, jag saknar installmedia
[2012-10-13 22:57:16] Toni ‘CLUEZ’ Cherfan: vi kan dra till mitt jobb och fixa iofs
[2012-10-13 22:57:40] Johan mlg Karlsson: gnf. det är sjukt med jobbigt. ifall jag tar med en cd-skiva eller usb-sticka, kan du fixa relativt enkelt då?
[2012-10-13 22:58:20] Toni ‘CLUEZ’ Cherfan: jag saknar CD-brännare, och USB är lite halvmeckigt
[2012-10-13 22:58:32] Toni ‘CLUEZ’ Cherfan: kan vi slänga upp en centos på den där burken kommer det funka
[2012-10-13 22:58:57] Johan mlg Karlsson: i guess det går. då behöver vi installmedia för det
[2012-10-13 22:59:07] Johan mlg Karlsson: ifall jag tar med ett usb, kan du fixa en sådan?
[2012-10-13 22:59:32] Toni ‘CLUEZ’ Cherfan: gnf. det är inte heller så jävla lätt
[2012-10-13 23:00:38] Plux Stahre: gnf. Synd att ingenting är smidigt någonsin
[2012-10-13 23:00:47] Johan mlg Karlsson: jag tror jag har några ubuntu 10.04-skivor som ligger, men thats about it
[2012-10-13 23:01:27] Johan mlg Karlsson: verkar som jag kan låna cd-brännare av emelie
[2012-10-13 23:01:40] Johan mlg Karlsson: vill vi ha en esxi?
[2012-10-13 23:01:54] Toni ‘CLUEZ’ Cherfan: ja, kan vi få in det vore det bra
[2012-10-13 23:01:56] Toni ‘CLUEZ’ Cherfan: ESXi 5.1
[2012-10-13 23:02:38] Johan mlg Karlsson: var hittar man den?
[2012-10-13 23:03:42] Toni ‘CLUEZ’ Cherfan: gnf. ge mig 10min
[2012-10-13 23:03:49] Johan mlg Karlsson: jag kanske hittar
[2012-10-13 23:04:39] Johan mlg Karlsson: jo, jag har
[2012-10-13 23:05:29] Johan mlg Karlsson: laddar ner, håller på att bränna
[2012-10-13 23:06:13] Toni ‘CLUEZ’ Cherfan: tacka fan
[2012-10-13 23:06:16] Toni ‘CLUEZ’ Cherfan: helvete va skönt
[...]
[2012-10-13 23:08:13] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[2012-10-13 23:08:13] adbot: Nu skickar jag SMS till [...]
[2012-10-13 23:08:27] Toni ‘CLUEZ’ Cherfan: vi ska ha backup på kontoret. så nu kopierar jag backupen till TVÅ jävla ställen för att ha dubbelbackup på backupen
[2012-10-13 23:08:37] Johan mlg Karlsson: (y)
[2012-10-13 23:09:24] Johan mlg Karlsson: så, så här:

Jag tar med esxi, server och mat och hämtar upp dig om ~30 – 40 minuter

Du är här: http://goo.gl/maps/%5B...]
[2012-10-13 23:09:26] Johan mlg Karlsson: Right?
[2012-10-13 23:09:38] Toni ‘CLUEZ’ Cherfan: ja, exakt
[2012-10-13 23:10:26] Toni ‘CLUEZ’ Cherfan: also, angående mat tar jag gärna om jag får välja:

1st lilla menyn + extra hamburgare. båda naturella.
1st extra pommes.
Cola.
[2012-10-13 23:11:24] Johan mlg Karlsson: det hade vart enklare om du velat ha 5 cheezburgare, men sure :D
[2012-10-13 23:11:30] Toni ‘CLUEZ’ Cherfan: :D
[2012-10-13 23:12:45] Toni ‘CLUEZ’ Cherfan: also, ta med en mobilladdare
[2012-10-13 23:12:54] Toni ‘CLUEZ’ Cherfan: och ring upp richie och be honom checka in åt mig, förklara gärna varför
[2012-10-13 23:13:12] Johan mlg Karlsson: sure
[2012-10-13 23:13:15 | Edited 23:13:23] Plux Stahre: Toni: Smidigt att ha en egen liten betjänt :D
[2012-10-13 23:13:31] Johan mlg Karlsson: vad har han för nummer?
[2012-10-13 23:13:31] Toni ‘CLUEZ’ Cherfan: plux: this is how i die ;)
[2012-10-13 23:13:35] Toni ‘CLUEZ’ Cherfan: ehm
[2012-10-13 23:13:40] Toni ‘CLUEZ’ Cherfan: jag vet inte. för min mobil är död :D
[2012-10-13 23:13:48] Toni ‘CLUEZ’ Cherfan: ska kolla på intranätet
[2012-10-13 23:13:51] Johan mlg Karlsson: jag piratewebbar
[2012-10-13 23:14:46] Johan mlg Karlsson: hittat
[2012-10-13 23:15:22] Johan mlg Karlsson: han svarar inte i tele
[2012-10-13 23:15:47] Toni ‘CLUEZ’ Cherfan: fuuu
[2012-10-13 23:17:33] Johan mlg Karlsson: done
[2012-10-13 23:17:43] Johan mlg Karlsson: han var inte jätteroad över att bli väckt dock
[2012-10-13 23:17:52] Johan mlg Karlsson: 06:30 går planet, bilen går två timmar innan det
[2012-10-13 23:20:02] Toni ‘CLUEZ’ Cherfan: ja, har han checkat in mig?
[2012-10-13 23:20:06] Johan mlg Karlsson: yess
[2012-10-13 23:20:09] Toni ‘CLUEZ’ Cherfan: great
[2012-10-13 23:20:33] Johan mlg Karlsson: men yess, jag sticker rfn. är där om 30 – 40 minuter. [...] entre, y/n?
[2012-10-13 23:21:32] Toni ‘CLUEZ’ Cherfan: 00 måste jag vara ute härifrån, helst typ då
[2012-10-13 23:21:46] Johan mlg Karlsson: jag kör så fort bilen håller
[...]
[2012-10-13 23:22:18] Toni ‘CLUEZ’ Cherfan: jag tror det stämmer
[2012-10-13 23:23:10] Johan mlg Karlsson: great
[2012-10-13 23:23:15] Johan mlg Karlsson: sticker nu
[2012-10-13 23:23:16] Johan mlg Karlsson: (wave)
[2012-10-13 23:43:58] Mikael ”Acwder” Holm: Får jag spara den senaste timmens text här för att visa för folk som inte fattar varför saker inte är uppe efter 5 min och som inte greppar hur mycket tid vissa här inne lägger ner för att få liv i saker?
[00:06:55] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[01:05:36] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[01:37:54] Toni ‘CLUEZ’ Cherfan: mlg här. Vi håller på att installera en ny server som både lagring och virtualisering i ett. Den innehåller ett par lånade diskar som vi måste lämna tillbaka asap, dvs dags att köpa nya diskar jättesnart.
Vi kommer sänka all sql över natten för att flytta över till nya maskinen. Vi är tillbaka igen i morgon vid 12-tiden med lite tur :)
[01:38:31] Toni ‘CLUEZ’ Cherfan: pf: Vi håller på att installera en ny maskin. Vi kommer sänka all sql för att flytta över till den. Tillbaka i morgon klockan 12.
[01:38:38] Toni ‘CLUEZ’ Cherfan: ledning: Vi håller på att installera en ny maskin. Vi kommer sänka all sql för att flytta över till den. Tillbaka i morgon klockan 12.
[01:42:48] Toni ‘CLUEZ’ Cherfan: holm: mlg här, sure :) ta gärna och censurera adresser dock :)
[01:56:30] XMPP: Sikevux | Ni är bäst grabbar. Bara så ni vet.
[01:59:13] Toni ‘CLUEZ’ Cherfan: yay!
[02:03:56] adbot: **** ALERT **** http://www.piratpartiet.se (ettan) DOWN (5 TRIES)
To retry, write adbot: clearsite http://www.piratpartiet.se
[02:17:37] adbot: **** ALERT **** https://pirateweb.net/Pages/Public/CheckHeartBeat.ashx (PirateBot) DOWN (5 TRIES)
To retry, write adbot: clearsite https://pirateweb.net/Pages/Public/CheckHeartBeat.ashx
[02:34:02] Toni ‘CLUEZ’ Cherfan: adbot: arbeitung!
[02:34:03] adbot: *** Arbetsläge på, inga sms eller larm skickas ut ***
[02:35:06] Toni ‘CLUEZ’ Cherfan: nu ser jag. paddan läser REJÄLT långsamt, någon av diskarna har trasiga sektorer
[02:35:39] Toni ‘CLUEZ’ Cherfan: mycket är rena deadlocks, dessutom
[02:37:12] Toni ‘CLUEZ’ Cherfan: den där arrayen är alltså verkligen inte frisk.
[02:38:15] XMPP: Kim ”Zash” Alvefur | Kommer VMs att gå ner något?
[02:40:42] Toni ‘CLUEZ’ Cherfan: om jag får som jag vill: nej
[03:07:16] Johan mlg Karlsson:  men datat går att läsa ut?

And now you know.

Ett minne jag har från ett tidigt jobb på just ett datorcenter var att en IT-infarkt (i brist på bättre ord) hade följande händelsekedja:

  1. Terminalen larmar att nånting gått åt pipsvängen.
  2. Supporttelefonen börjar ringa. Från och med detta ögonblick kommer en person vara helt upptagen med att svara i telefon och ge samma svar om och om igen: Ja, det är datorproblem, ja det jobbas på det, nej vi kan inte säga när systemet fungerar igen.
  3. Övrig personal (i värsta fall bara en person beroende på när på dygnet infarkten inträffade) försöker komma på vad som är fel och lösa problemet.

Efter ett tag skaffade vi en telefonsvarare. Vid punkt 2 ovan lät vi helt enkelt telefonen ringa medans vi pratade in aktuell status (man brukade kunna höra den vilt ringandes i bakgrunden, vilket säkert adderade till känslan av att full verksamhet rådde ;) ) och sen fick telefonsvararen ta alla de där repetitiva förklaringarna och vi fick loss en person till.

När saker och ting verkligen jävlas då kanske det ser ut som nånting inte händer, i verkligheten brukar det vara tvärt om och det händer en jävla massa ”bakom scenen”. Toni och mlg (med hjälp av lite fler personer) jobbade röven av sig för att få upp servrarna igen inatt efter hårdvaruras. Hårdvaruras är sånt som händer oavsett hur bra rutiner man har och när det händer är det väldigt frustrerande att bli bombarderad med frågor om vad som hänt, hur lång tid det kommer ta eller vilka problem det här ställer till med för att man inte kan jobba etc.

Det RIKTIGT jobbiga är alla de som ”när de ändå har en på tråden” passar på att antingen häva ur sig massa ovett om saker som de tycker fungerar dåligt eller felrapporterar en skrivare som de kom på att de glömt bort att rapportera innan. Alltså, ärligt talat, brukar ni gå fram till en brandman som är fullt upptagen med att släcka en höghusbrand för att rapportera att din granne lagrar brandfarligt material i garaget…?

De som försöker fixa problemen är oftast väldigt medvetna om hur det här påverkar organisationen och gör sitt bästa, det bästa man kan göra då är att antingen fråga om det finns nånting man kan hjälpa till med (and trust me, att bara svara i telefon, hämta kaffe eller liknande är guld värt just då) eller helt enkelt bara hålla käften.

Arkiverad under Linux och datorer, Piratpartiet

Polisen och SÄPO ska stoppa våra terrorister!

2012/09/18 27 kommentarer

Så ska då polisen och SÄPO då äntligen få tillgång till FRAs signalspaning så de en gång för alla kan få bukt på den terroristplåga som drabbat landet. Vår balanserade och väl pålästa justitieminister Beatrice Ask meddelar att:

– Det är viktigt att Säkerhetspolisen och Rikskriminalpolisen kan få tillgång till information om utländska förhållanden som inhämtas genom signalspaning, säger justitieminister Beatrice Ask i ett pressmeddelande.

– Därigenom stärks Sveriges förmåga att förebygga och förhindra terrorism och sådan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen.

Som ni ser så är det enbart spaning mot utlandet som ska bedrivas, svenskarnas eget privatliv är därmed garanterat att inte kränkas. Tyvärr finns det förstås alltid rötägg i alla organisationer, så för att vara på den säkra sidan kommer här ett förslag på hur den orolige medborgaren kan garantera sig med hängslen om man inte riktigt tror att Asks livrem kommer hålla byxorna på plats. Lösningen heter Tails, eller The Amnesic Incognito Live System, och jag tänkte visa hur ma kan installera det under VirtualBox för att slippa ha en dedikerad maskin för det utan kan fortsätta köra den Windows, Linux eller OSX man är van vid.

I de skärmdumpar som följer har jag installerat VirtualBox i en XP som i sin tur kör i en VirtualBox som går i en Linux, men jag tänkte att fler är familjära med XP (plus att min VirtualBox i Linux är fullständigt nedlusad med olika ”maskiner” så det blir inte så överskådligt då) så XP it is! I en VirtualBox… I en Linux… MEN I ALLA FALL!

Uppdatering! Ola konstaterade i kommentarsfältet att texten utgår från att alla vet vad tex VirtualBox är och om man inte vet det blir det rätt maffigt att förstå vad allting handlar om. Här kommer en kort förklaring för att råda bot på det.

  • VirtualBox: VirtualBox är en mjukvara i vilken man kan köra virtuella maskiner. Det betyder att VirtualBox ”härmar” en PC och dess komponenter på ett sånt sätt att man kan installera ett operativsystem, tex Windows, och köra det precis som man gör på en fysisk dator. Man kan så att säga köra en dator i en dator, vilket är det som gör det möjligt att köra Linux i Windows som i det här fallet.
    Det finns fler typer av mjukvaror som kan köra virtuella maskiner, tex kvm, vmware, xen mm, men VirtualBox är den som jag upplever som mest användbar för såna här saker plus att av alla såna här system jag provat på är VirtualBox den som är lättast att komma igång med.
  • Linux: Alla har säkert hört om Linux, men för att vara på den säkra sidan så kör jag en kort introduktion av Linux med. Linux är ett fritt operativsystem som utvecklas helt öppet över Internet med bidrag både från privatpersoner och företag (tex IBM). Linux är alltså inte ett program (som tex Word) utan själva systemet (som Windows eller OSX som körs på Macintosh).
    Fast ska man vara riktigt petig är Linux bara själva kärnan i ett UNIX-kompatibelt system. UNIX å sin sida… Err, nä, skit i det. Vet ni vad UNIX är så behöver jag inte förklara, vet ni inte vad UNIX är så spelar det nog egentligen ingen roll för den här textens uppgift. Ni kan nog sova gott ändå. ;)
  • Tails: Linux är egentligen bara en liten del av det som behövs för en fungerande dator, men att installera Linux och alla andra saker som behövs är ett otroligt tidsödande arbete så därför finns det distributioner som i princip är sammanställningar av olika mjukvaror som gör att man snabbt och enkelt kan installera ett fungerande Linuxbaserat operativsystem på sin dator utan att vara en IT-expert eller behöva ägna dagar åt det.
    Eftersom Linuxvärlden inte kan komma överens om den optimala sammanställningen finns det ett ANTAL olika distributioner (detta kan vara rätt förvirrande ibland), de flesta av dessa är väldigt generella sammanställningar men vissa är väldigt specialgjorda för en dedikerad uppgift. Tails är en sån specialgjord distribution som alltså har som uppgift att försöka göra dig så anonym som möjligt när du är uppkopplad mot nätet.
  • Live-CD: Normalt sett brukar man bara använda CD (eller DVD) för att installera program från, men en så kallad Live-CD är alltså ett system som körs från själva CD:n. Det har flera fördelar, tex betyder det att man kan låna en dator och köra ett eget system på den utan att behöva förändra hårddisken på den lånade datorn. I Tails fall är fördelen dels det men även att det är svårare att infektera en dator som kör från en Live-CD eftersom man inte kan ändra innehållet på CDn. Får man in virus eller andra otäckheter på sitt system så kommer därför alla såna saker försvinna nästa gång man startar om just för att det inte finns några filer som kan infekteras.
    På senare tid har det dessutom dykt upp Live-USB eftersom USB-stickor är mycket snabbare att köra från än en mekanisk CD-spelare, men det är tekniskt lite stökigare att få till med…
  • TOR: TOR står för The Onion Router som försöker göra din trafik anonym genom att transportera den ”lager på lager” i olika krypterade tunnlar. Man skulle kunna säga att det påminner lite om de där magikerna som lägger en boll i en av tre koppar och sen snabbt försöker lura publiken genom att skyffla runt de tre kopparna väldigt fort så att publiken inte längre ska veta var bollen ligger. Fast sen finns det en större magiker som har stoppat den mindre magikern i en av tre större koppar och skyfflar runt dem i sin tur och sen är det en ÄNNU större magiker som…
    TOR är ingen absolut säkerhet. Det finns en del svagheter i systemet, men det gör det i allla fall väldigt mycket svårare att spåra trafiken just för att den hela tiden skyfflas runt men det är också denna omskyffling som gör systemet långsamt. Den största svagheten är om man surfar mot okrypterade siter (dvs de som börjar med http i stället för https) eller kör tex oskyddad imap (i stället för imaps) i sin mailklient, så tänker man inte på såna saker när man använder TOR ska man nog främst se det som en rökridå snarare än ett skydd.

Hoppas att det här gör resten av inlägget LITE klarare i alla fall…

Börja med att ladda ner och installera VirtualBox, det finns färdigkompilerat för Windows, Linux, OSX och Solaris och är tänkt för precis den här typen av uppgifter. Det är dessutom rätt enkelt att installera och alla som installerat ett program i respektive system borde inte ha några bekymmer med det. Klicka OK, Next och Install på lämpliga ställen och var glad. :)

När du är klar med installationen borde du få upp nåt i stil med det här.

Som synes är den vänstra vita ramen (där dina ”maskiner” ska synas) helt tom. Det råder man enklast bot på genom att klicka på ”New”.

Jag har döpt maskinen till Tails så jag kommer ihåg vad det är för nåt men det går att döpa den till precis vad som helst, tex Nisse. Tails är en Linux baserad på Debiandistributionen, därav att jag valt de inställningarna. Det ger VirtualBox lite mera info om vad det är den förväntas köra och kan göra en del antaganden och förändringar baserat på det. Hur mycket det påverkar vet jag faktiskt inte, men det kan inte skada att välja rätt. :D

Klicka sen Next så kommer du till minnesinställningar.

Virtuella maskiner är precis som ”vanliga” maskiner. Har de för lite minne kommer det gå långsamt att köra men det är lite farligt att bara dra på max eftersom då kommer alla program som körs i värdsystemet (dvs det OS du egentligen kör på din PC) få väldigt ont om minne i stället. Det här kan man dock ändra i efterhand så känner du dig osäker kan det vara smart att lämna värdet på det rekommenderade tills vidare.

Virtuella datorer har virtuella hårddiskar. I praktiken innebär det att det skapas filer på din dator som för den virtuella maskinen ser ut som om det vore äkta, fysiska hårddiskar. Tails är dock designat att boota från CD eller USB-sticka så i praktiken behövs ingen hårddisk så det är egentligen skit samma om man vill ha en hårddisk eller ej. Fördelen med att ha en hårddisk är att man har en lagringsplats som är permanent mellan sessionerna, fast det går att lösa på smartare sätt i VirtualBox när man blir lite mer varm i kläderna.

Eftersom det handlar om virtuella maskiner är det väldigt enkelt att experimentera loss, testa att installera en andra maskin parallellt med den första på ett annorlunda sätt, ta bort installationer igen etc. Det bästa sättet att lära sig är att testa runt lite och eftersom just Tails bootar från en CD kan man inte ha sönder nånting heller hur vilt man än beter sig. Och ja, man kan förstås lägga till eller ta bort en hårddisk i efterhand…

Grattis, du har nu skapat en virtuell maskin i din dator! Du kan nu välja att skapa en till om du känner för det, gå in i inställningar för maskinen och ändra på ”hårdvaran” eller ”slå på strömmen”. Tryck på Start.

VirtualBox kommer poppa upp lite olika dialoger när du börjar köra en ny maskin. De flesta kan du bara klicka i ”Do not show this message again” och vara glad för du kommer inte märka nån skillnad i alla fall, men just den här bör du läsa och förstå. Om du kör ett OS i en virtuell maskin som inte hanterar den virtuella miljön sömlöst (som det så vackert heter) så kommer OSet sno din muspekare och vägra släppa ifrån den. Det kan vara väldigt irriterande om man inte hänger med på vad som händer eftersom det inte finns något uppenbart sätt att sno tillbaka den igen! VirtualBox använder högra ctrl-tangenten (givetvis inställbart) för att man alltid ska kunna återfå kontrollen så det är viktigt att komma ihåg det! Just Tails hanterar dock detta snyggt, så där kommer det bara fungera av sig själv.

Om du inte gjort det innan är det för övrigt hög tid att ladda ner Tails nu. Eftersom du nu håller på att förbereda dig för att köra Tails i en virtuell maskin finns det två sätt att ladda CDn, antingen bränner du en fysisk CD i din brännare på normalt sätt eller så monterar du den iso-fil du laddat ner som en virtuell CD. En fysisk skiva har fördelen att den inte går att infektera med trojaner och annat (men är du så paranoid ska du nog inte köra Tails i en virtuell maskin utan i en dedikerad PC i stället) medans en virtuell CD har fördelen att Tails kommer bli mycket snabbare eftersom man slipper läsa från den långsamma CD-läsaren.

Om du tänker använda en fysisk CD kan du låta dialogen stå kvar på D:, stoppa i skivan och trycka Start. Om du vill använda iso-filen direkt får du trycka på den lilla folderikonen med grön pil och välja iso-filen.

UPPDATERING: I skärmdumpen ovan är det version 0.12.1 av Tails som visas, men det har kommit en ny version, 0.13, eftersom det visat sig att 0.12.1 inte är säker. Ladda mao ner version 0.13 (eller vad det nu är som är senaste versionen) när du laddar ner!

Här har jag markerat ISO-filen i fråga och här syns också det jag talade om innan; att det finns smartare sätt än en virtuell hårddisk om man vill lagra filer mellan sessionerna. S: är min delade folder som alla mina virtuella maskiner delar och som ligger direkt på min fysiska maskin så det är lätt att flytta filer mellan mina olika system. Det är dock lite utanför dagens övning att sätta upp en sån så det får ni lura ut själva. Det är faktiskt inte speciellt svårt, bara pilla runt lite i inställningarna så kommer ni troligen på hur man gör! ;)

Sen är det bara att titta på när ens nya virtuella maskin bootar. En stor fördel att köra två OS på det här sättet, det ena inuti det andra, är att man slipper välja antingen eller. Den klassiska lösningen för att kunna köra Linux och Windows på samma maskin är att man kör så kallad dual boot, dvs att man får välja vilken man vill starta när man slår på strömmen, men det här gör det möjligt att använda båda samtidigt. Väldigt mycket mera praktiskt.

När Tails har startat kommer du mötas av en väldigt enkel inloggningsskärm.

Här kan man välja språk och lite andra nationella inställningar. Tyvärr finns det inte möjlighet att välja svenska mer än vad gäller tangentbordslayoten, men när du valt det trycker du bara Login. Efter ett tag kommer du få upp en varning om att det kan vara ett säkerhetsproblem eftersom du kör i en virtuell maskin.

Om du tex kör Windows i normala fall och du får tex trojaner i din Windows så kan de otäckheterna förstås lyssna av inte bara det du gör i din Windows utan även vad du gör i Tails. Ska man vara riktigt säker ska man förstås köra direkt på en PC utan VirtualBox (helst från en CD som det inte går att ändra datat på heller) men det är ju lite omständigt så för de flesta vill jag påstå att det duger utmärkt att köra det i VirtualBox.

Det är dock värt att hålla i minnet att dina virtuella maskiner aldrig är säkrare än den ”riktiga” datorn. Själv har jag valt att vara lite försiktig med vad jag kör i mitt primära OS och har tex bara installerat flashstöd i en Firefox som sitter väl inkapslad i en virtuell maskin som har hand om sånt där osäkert elände (just Adobe har en lång tradition av att släppa mjukvara med säkerhetsläckor vilket gör att jag inte gärna litar på dem). Det blir lite omständigare att hålla reda på var man vill köra vad men eftersom datorn är mitt arbetsverktyg så vore det en mindre katastrof om min primära Linux blev infekterad eller saboterad!

Säkerhet är ofta en avvägning mellan bekvämlighet och skydd. Var man drar gränsen måste man avgöra själv, men ju viktigare och känsligare data man hanterar, dess mer bör man nog vara beredd på att offra en del bekvämlighet.

Om allt nu funkar som det ska så kommer du till slut få upp en browser som ser ut såhär!

Längst upp i statusraden för Tails finns det en liten ”statuslök”, bara nån cm hög eller så. Så länge den är grön är du uppkopplad mot TOR och allting du gör i Tails (surfar, läser mail, chattar etc) kommer alltså gå över TOR-nätverket och därmed väldigt svårt att spåra eller avlyssna, även för FRA. Det finns förstås aldrig nåt som är 100% omöjligt, men det är i alla fall FÖRBASKAT mycket mera omständigt än om du kör utan TOR. Om du dessutom bara tex uppsöker siter som kör krypterat (dvs att det står https: i stället för http: i URLen) så är det klipp omöjligt för någon utomstående att se vad du gör utan att de infiltrerar antingen din dator eller den site du besöker.

För att försöka åskådliggöra hur stor skillnaden är så använde jag ett program som avlyssnar nätverket för att ge ett exempel på hur trafiken ser ut med och utan TOR. Såhär ser det ut om man surfar till DN med en vanlig browser i Windows.

10.0.2.15 är Windowsdatorn själv, men alla övriga namn som dyker upp här är alltså dels, förstås, DN själva men i övrigt är det ”extrasiter” som lägger till tex annonser och annat på DNs hemsida men även spårar dina surfvanor etc.

Så förutom att tex FRA klart och tydligt kan se exakt vilken site du surfar till (och, om trafiken inte är krypterad, vilken data som skickas) så är det många andra aktörer som tjänar pengar på att kartlägga vad du sysslar med när du är online. Om du nu surfar i Tails i stället och all denna trafik (vilket då alltså inte är begränsat till just surfande) går via TOR så är det här vad en utomstående kan se.

10.0.2.15 är datorn, 10.0.2.255 är en lokal broadcast som råkade slinka med (det är bara lite automatisk administration av mitt lokala nät, inget att bry sig om) men alla övriga IP-nummer är servrar som handhar TOR-nätverket. Det är anonyma servrar som gör sitt bästa att obfuskera allting maximalt för att göra det så svårt som möjligt för en utomstående att klura ut vad som pågår. Nu finns det förstås aldrig någon garanti att någon anonymisering är absolut, men det är väldigt mycket bättre än inget!

Denna obfuskering kommer dock med ett pris, det brukar inte gå så jättefort att koppla upp sig via TOR så det är tex inte direkt nåt man använder för att spela onlinespel eller se på streamad video via. Det är dock användbart för tex folk som bor i diktaturer som vill meddela omvärlden vad som händer och med det övervakningsklimat som sakta växer fram här i väst med loggar och data som sparas i flera år är det kanske inte så himla roligt att lämna efter sig sökhistorik där man googlat på begrepp som kan se väldigt suspekta ut, tex om man vill skriva en blogpost om något känsligt ämne som inte är riktigt politiskt korrekt.

Fast vill man bara SURFA via TOR kan man nöja sig med att installera deras TOR-riggade browser. Det har jag beskrivit hur man gör här.

Arkiverad under Linux och datorer, Piratpartiet

Shatter – hur man säljer på 2000-talet

2012/03/30 2 kommentarer

Vad får man om man tar gamla klassiska breakout

och kombinerar med grafik från de riktigt coola demoreleaserna?

Tja… Shatter kanske?

Jag köpte Shatter för ett drygt år sen när Steam sålde ut det billigt och har ingen aning om hur många timmar jag spelat det. Det är klart vanebildande. Ok, spelidén är väl ungefär densamma som för ca 45 år sen (ja ok, det har tillkommit lite grejor) men grafiken och kanske ännu mer musiken gör det till en helt annan upplevelse idag än då.

Det är perfekt musik att lyssna på när man hackar med, problemet  är att den inte finns på Spotify (som brukar vara min primära musikfix här i livet) och på Grooveshark finns det bara ett par låtar så jag duckade runt lite och hittade faktiskt musiken lyssningsbar på Bandcamp. Fast att hålla reda på en speciell websida för ett visst album är ju bara jobbigt, så vafan…

Dessutom; jag köpte Shatter för 2 sketna Euro och tycker att jag haft roligare än så med spelet så jag tyckte jag kunde visa min tacksamhet för ett utmärkt spel genom att köpa och ladda ner musiken med. Det är inte direkt några förmögenheter det handlar om heller.

Jag förstår inte varför det är så svårt för den etablerade nöjesindustrin att fatta galoppen. Gör det enkelt att hitta, gör det enkelt att prova och, framför allt, gör det enkelt att ladda ner i de format kunden vill ha utan massa DRM och trams som gör att det måste spelas upp i en viss utrustning. Det är dags för den gamla Internetfientliga underhållningsindustrin att tänka om!

Det borde inte vara rocket science, faktiskt. Det handlar ju bara om IT…

Arkiverad under Linux och datorer, Musik, Piratpartiet, Remix

Farbror Google vill bara ditt bästa…

2012/02/22 7 kommentarer

Det kan nog inte vara många som missat att Google nu tänker förändra sin policy så man får en enhetlig policy för alla sina tjänster. Rent generellt så tycker jag att det låter som en bra grej, men det som är lite oroväckande är att det tydligen (och det har inte framkommit riktigt lika tydligt från Googlehåll) också kommer innebära att din historik i de olika tjänsterna kommer samköras så att Google kan få bättre detaljinformation om vem du är och vilka vanor du har.

Helt förvånande är det kanske inte. Google är, trots allt, ett kommersiellt företag och de lever på att samla och indexera information. Att de inte, likt IT-hamstrar, samlar på sig så mycket de kan om så många de kan utan försöker att uppvisa en viss måttfullhet ändrar inte det faktum att de förmodligen vid det här laget vet mer än rätt många vet om sig själva.

Idag är alltså rätt mycket av den informationen fortfarande fragmenterad över flera oberoende tjänster, men i och med policyförändringen kommer man kunna samköra mer information än tidigare vilket har potentialen att kunna vaska fram obehagligt många nya små bagateller om oss som individer. Bagateller som tillsammans kan bli en rätt komplett kartläggning.

Det är lätt att tänka att ”Äh, jag har inget att dölja” och sen känna att det här inte är nån fara eller att man försvinner i bruset. Problemet är att är det nånting datorer är bra på så är det att sortera ut signalen ur bruset och gräva fram information om dig som du troligen inte ens visste om själv att du spred.

Every time you go shopping, you share intimate details about your consumption patterns with retailers. And many of those retailers are studying those details to figure out what you like, what you need, and which coupons are most likely to make you happy. Target, for example, has figured out how to data-mine its way into your womb, to figure out whether you have a baby on the way long before you need to start buying diapers.

Google ses ofta som ”The good guys” och till viss del håller jag med. De verkar verkligen anstränga sig för att följa sitt måtto ”Don’t be evil”, men problemet är att ”Don’t be evil” inte automatiskt implicerar ”Be good” och jag tycker mig se allt oftare att Google gärna befinner sig i gråzonen däremellan. I Googles policydokument kan man läsa att:

Din integritet skyddas på samma sätt som tidigare

Målet är att ge dig så mycket öppenhet och valmöjlighet som möjligt med hjälp av produkter som Google Översikt, Annonspreferenshanteraren och andra verktyg. Våra sekretessprinciper har inte ändrats. Och vi kommer aldrig att sälja eller dela dina personliga uppgifter med andra utan ditt tillstånd (förutom i undantagsfall då vi måste göra det på grund av en giltig begäran från en domstol).

Så låt oss säga att vi verkligen tror på att Google menar vad de säger så innebär ändå det faktum att de sitter på världens förmodligen största samling med indexerad personlig data en möjlighet för tex myndigheter att kräva att Google lämnar ut information. Det har hänt förut och kommer med största sannolikhet hända igen.

Min farhåga med det här är alltså egentligen inte att Google kommer missbruka situationen utan att andra kommer kräva att få ut informationen så de i stället kan missbruka den. I det läget kommer Google hävda Force Majeure och lämna över den begärda informationen, även om de förmodligen gör det motvilligt.

Så även om jag på många sätt ändå gillar Google och kommer ha svårt att helt leva utan deras tjänster så kommer jag ändå göra fyra saker framöver:

  1. Radera min sökhistorik hos Google eftersom den egentligen inte är till nån nytta för mig själv.
  2. Börja använda andra söktjänster i stället, tex DuckDuckGo (och stänga av ”Search suggestions”).
  3. Sluta vara slentrianmässigt inloggad på Google utan ha en dedikerad Googlebrowser när jag behöver vara inloggad (troligen en Chromebrowser i en väl inkapslad virtuell maskin).
  4. Försöka hålla lite mer koll på hur mycket information Google (och andra) tjänster faktiskt slentrianmässigt sparar om mig (det är mer än man tror).

Det är möjligt att det kan ses som lite nojigt, men det måste vara upp till var och en hur pass mycket information man sprider om sig själv. Även om jag inte planerar att bli en IT-eremit så är jag ändå inte helt bekväm med att läcka information utan någon som helst kontroll eller något uppenbart syfte. Kan jag se en fördel med att jag delar med mig av privat information är det förstås en helt annan femma.

Som jänkarna säger, YMMV.

Arkiverad under Linux och datorer, Piratpartiet

Hur blir du datorsäker?

2012/02/14 15 kommentarer

Det blir allt tydligare att regeringen inte har några som helst skrupler att fortsätta öka avlyssnandet tills man når, eller passerar(?), nivåerna i forna DDR. Jag tycker det är rätt olustigt, för att uttrycka det milt, för även om jag kanske egentligen inte har något att dölja så är jag inte heller speciellt exhibitionistisk av mig. Jag föredrar att få vara i fred och tror att denna tendens att övervaka folket kommer leda till fler brott, inte färre. Det är också bevisat till leda att all form av insamlad information läcker och det enda som hjälper mot informationsläckor är att inte samla in informationen till att börja med.

Det näst bästa är att se till att även om informationen läcker så bör den vara så oanvändbar som möjligt och det enklaste sättet att göra det är att se till att man håller sina datorer uppsäkrade (så man undviker trojaner och spyware) och genom att se till att så mycket som möjligt av den information man anser vara privat är nödvändigt krypterad. När du kommunicerar med din bank sker det alltid via https och starka krypton, jag tycker faktiskt inte det är mer än rätt att vi även skyddar vårat privatliv på samma sätt.

Jag tycker datorsäkerhet är intressant. Inte intressant som att jag har snöat in på det totalt och försöker bli expert på det, men jag har en hälsosam relation till det och försöker att hålla datorer och lösenord så säkra att de ska agera ett litet större hinder än bara ett litet fartgupp rakt in på mina hårddiskar. Alla system kan förstås alltid bli säkrare och för militära organisationer finns det ofta incitament att dra saker och ting till sin spets, men det är att ta i för privat bruk.

Min erfarenhet, både privat och från att haft säkerhetsansvar i mitt jobb, är att den svagaste länken i princip alltid är användaren, dels hur användaren beter sig och dels vilka lösenord man väljer. Jag tänker inte diskutera farliga beteenden i den här postningen (men läs gärna tex den här artikeln) utan enbart skriva om vettig lösenordhantering.

Just vad gäller lösenord har det kommit många bra råd genom tiderna, men ofta hänger råden med för länge och passerar sitt bäst före-datum. Klassiska råd brukar vara saker som:

  • Använd inte namnet på någon person i familjen
  • Använd inte namnen på husdjuren
  • Använd inte ord som kan hittas i ordböcker

Osv. Ofta föreslog man i stället att man skulle göra lösenord som tex:

  • Använder första (eller andra) bokstaven från varje ord i en mening
  • Blandar siffror och små/stora bokstäver
  • Använder specialtecken

Skitbra råd. För 10-20 år sen. FULLSTÄNDIGT värdelösa, på gränsen till farliga, råd idag!

Så kallade dictionary attacks är idag old school och ofta är det lättare att helt enkelt knäcka korta lösenord med brute force. Dvs, enkelt förklarat, man testar med ”a”, ”b”, ”c”, ”d” osv, sen med ”aa”, ”ab”, ”ac” osv, vidare till ”ba”, ”bb”, ”bc” osv. Man hamrar på tills man tar sig in. Vanligtvis brukar algoritmerna vara lite smartare än så och börjar ofta med populära lösenord först för att öka oddsen, men det handlar fortfarande om att hamra på tills man lyckas i stället för att försöka gissa sig fram.

Så, katastrofala lösenord för 10 år sen var saker som:

  • Majken (min mormors namn)
  • Kenzo (en av våra hundar)
  • Volvo (om man kör en sån)

Hade man minsta lilla koll på en persons privatliv kunde man ofta testa sig fram med såna ord och skrämmande ofta var det framgångsrikt. Just detta fick säkerhetsexperter att föreslå att man skulle blanda små och stora bokstäver, siffror och specialtecken så tex Kenzo blev k3Nso. På den tiden attackerna ofta utfördes av människor eller väldigt enkla algoritmer som baserade sina försök på ordlistor var det väldigt effektivt, idag betyder det att tiden det tar att knäcka lösenordet ökar från nån sekund till sekunder. Knappast mycket att hurra för.

Så hur skriver man ett bra lösenord idag? Det finns bara en sak som rår på brute force och det är längd. Ju längre lösenord eller lösenfraser man tar till, dess fler bittar blir det att få rätt och tiden det tar att knäcka ett lösenord ökar exponentiellt. Som ren bonus blir lösenorden också ofta lättare att komma ihåg, väl så viktigt.

Om vi börjar enkelt och väljer ett slumpmässigt ord och bygger vidare på det så kommer ni förstå hur det funkar:

  • Barbie: ”Your password is very commonly used. It would be cracked almost instantly.”
  • b4rbi3: 8 sekunder
  • Barbie med: 412 år
  • b4rbi3 m3d: 32 år
  • Barbie med en: 147 000 000 år
  • b4rbi3 m3d_en: 122 000 000 år
  • Barbie med en smurf: 18 000 000 000 000 000 000 år.
  • b4rbi3 m3d_en sMurF: 5 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 år

Som ni kan se så är det inte säkert att obfuskering faktiskt alltid är bättre, men däremot är längd alltid en vinnare. Även om det är fullt vanliga ord så gör längden att det blir väldigt svårt att brute force-knäcka meningen och om man kombinerar det med en lite småknasig mening och lite inslängda ”konstiga tecken” så gör man även dictionary attacks svåra att genomföra. Det kan räcka med att byta ut enstaka tecken i vissa ord mot siffror så skyddar man sig oerhört effektivt mot attacker, men primärt är, som sagt, längd.

Den gamla tumregeln att 8 tecken är en bra längd stämmer inte med verkligheten längre! 8 tecken är en piss i havet och en modern dator knäcker ett valfritt sånt lösen på, i bästa fall, några timmar. Ett datorkluster behöver förmodligen bara några minuter eller sekunder för att knäcka det. Jag skulle vilja påstå att idag är 12 tecken minimum och 16 (eller mer) är att rekommendera.

Om du känner att du saknar fantasi för att komma på ett lösenord som inte är väldigt typiskt ”du” (och därmed lättgissat av folk som känner dig) kan du alltid utnyttja en av de tjänster som finns på nätet att slumpmässigt generera någonting som förhoppningsvis är relativt lätt att komma ihǻg. När jag tex bad den siten att generera ett slumpmässigt lösenord så fick jag tillbaka ”Coexist Beluga”, vilket bedömdes att hålla ungefär 10 000 000 000 år om en av dagens skrivbordsdatorer fick i uppgift att knäcka det. Det innebär förstås att även om man dedikerar ett enormt datorkluster så är uppgiften orimlig att lösa inom vår livstid och det är ganska rimligt att anta att säkerheten kommer vara så pass bra att när lösenordet väl kan knäckas så är det ointressant att göra det.

Fast man behöver förstås inte överdriva heller. Välj lösenord som är lätta (men långa) att komma ihåg och som ändå ger så många nollor i den uppskattade tiden det tar att knäcka dem att uppgiften blir lagom orimlig. Målet bör inte vara att göra det omöjligt att komma åt datat utan att det ska vara så svårt och omständigt att knäcka det att det är lättare att gå på dig som person i stället, dvs så du får veta att säkerheten är komprometterad och tex kan skrota dina gamla nycklar och lösenord och byta dem mot nya. Användaren är alltid en svag länk och vettig datorsäkerhet handlar mer om att se till att övriga länkar alltid är starkare. Att göra tex lösenorden oändligt starka är bortkastat så länge som man fortfarande är beroende av den säkerhetsmässigt svaga användaren.

Att veta när säkerheten är knäckt är minst lika viktigt som att investera i säkerhet till att börja med. Att tro att ett system är säkert utan att vara medveten om att tex ett lösenord är knäckt, eller kan knäckas utan större besvär, är en farligare osäkerhet än att inte ha någon säkerhet alls!

Arkiverad under Linux och datorer, Piratpartiet

Jag har passerat någon form av gräns…

2012/02/11 4 kommentarer

Jag brukar alltid skriva ut elektronikscheman om jag ska läsa dem för typiskt brukar det vara svårt att få överblick på en skärm eftersom man måste zooma in för att kunna se alla detaljer och då ser man ju, förstås, bara en liten bit i taget. Dvs det är så det brukar vara. Inte den här gången.

De två skärmarna till vänster agerar tillsammans som en enda stor skärm med en upplösning på 2048×1280 och ca 28″ storlek. Vid den upplösningen händer uppenbarligen nånting väldigt intressant för plötsligt har jag lättare att få överblick över konstruktionen och signalvägarna på skärmarna än vad jag får på utskriften. Detta trots avbrottet i mitten pga att det är två separata skärmar i stället för en kontinuerlig yta…

En 2560×1440-skärm (eller två) hamnade just nu ännu högre upp på önskelistan än det varit innan! Eller kanske ett helt batteri 1920×1080-skärmar vridna 90 grader! Undra hur många grafikkort man (praktiskt) kan trycka in i en dator…

Arkiverad under Linux och datorer, Mostly harmless

När har man tillräckligt med skärmyta…?

2012/01/31 1 kommentar

Jag vet inte när man har tillräckligt, men det senaste tillskottet var inte otrevligt alls, kan vi säga. :)

Första försöket gick sådär. Mitt primära kort, ett nVidia GeForce 9800 GT,  har två utgångar (tre egentligen, men den kan bara aktivera två i taget) men jag hittade ett gammalt Voodoo Banshee 3D blaster PCI (tillverkat nån gång i slutet av förra århundradet) och tänkte att det borde ju funka bra som den tredje utgången. Trodde jag ja. Maskinen tvärhängde i boot och jag lyckades inte lösa det så i brist på bättre hypoteser spekulerade jag runt att det kanske hade passerat bäst före-datum och hystat in handduken för gott. Alltså letade jag runt lite på prisjakt och hittade ett nVidia GeForce 8400 GS på gammal hederlig PCI och jag trodde i min enfald att det skulle fungera smärtfritt mtp att korten är så pass lika att de kör med samma drivare. Hej vad jag bedrog mig.

Jag mäcklade in kortet på den sista lediga PCI-platsen, drog igång maskinen och den vrålhängde. Det yttrades en del intressanta fraser som förmodligen skulle fått en frikyrkopastor att tappa talförmågan i i alla fall 10 sekunder. Lite google gav vid handen att andra lyckats bättre, men att de inte körde nåt så uråldrigt som en gammal Fedora 13 så jag gjorde som jag brukar göra när mina distar blir FÖR uråldriga; petade på yum för att få den att peka på ett nyare repo och sa åt den att uppgradera sig. Konfliktlistan blev allt annat än nådig. När det blev uppenbart att jag skulle få riva upp himmel och helvete för att få det att funka så kändes det lite som nä, det är nog dags att storstäda och kanske ta och byta från IDE till SATA som jag funderat på ett tag (jag har tom en trave diskar som bara väntat…).

Nya diskar mao. Från en gammal 500 GB Bluepoint IDE till ett smärre batteri blandade diskar, en gammal 200 GB Spinpoint till Windows (för spel), en 40 GB SSD som root och ett mirrorset på 2×2 TB som /home till linux. Eftersom jag börjat köra mer och mer i virtuella miljöer tänkte jag att det kunde vara smart med ett STABILT OS i botten! CentOS 6.2! What could possibly go wrong…?

Låt oss bara konstatera att CentOS är lite FÖR stabilt för att ha roliga finesser ämnade för vågade experiment utanför datorhallen. Så det fick bli Fedora 15 eftersom jag behövde få igång datorn och det är, trots allt, RedHat-releaser jag kan bäst. Sagt och gjort, trattade in Fedora, konstaterade att maskinen numera bootade igen men dock blåvägrade att hitta två grafikkort.

Efter lite googlande hittade jag att nouveau-drivaren (den fria för nVidiakort) tydligen inte supportar sånt så det blev att trycka in nVidias egen. Den hittade ett grafikkort.

Mer googlande. Nånstans hittade jag en text som påstod att grafikkort inte alltid gillar att dela IRQ med andra kort och om man byter PCI-plats så kan det lösa sig. Så jag gjorde det. Det hjälpte inte.

Mer googlande. Någon påstod att man kunde labba med kernelparametrarna ”pci=nommconf”, ”idle=poll” och ”maxcpus=1″ för att få det att funka. Jag provade och lyckades lobotomera min maskin från en dual core till single core, men fortfarande bara ett grafikkort.

Mer googlande. Hittade ett litet obskyrt forum där någon påstod att kernelparametern ”vmalloc=256M” skulle lösa biffen. Startade upp maskinen, den startade bara en skärm. Gick in i nvidia-settings och där fanns det … TVÅ GRAFIKKORT! Pillepillepilleställainpillepi*KABLAM* sa X-serven och jag blev utloggad.

Okeeeej? Logga in igen, pillepillepillep*KABLAM*

Inte pilla på den mao. Logga in igen, pillepillepillepillespara. Pillepillepillep*KABLAM* Repetera några gånger.

Avsluta med att editera xorg.conf manuellt för att rotera de två sidoskärmarna 90 grader. Det är riktigt trevligt att ha skärmar som sas är textorienterade, det har jag saknat ibland sen jag körde Mac. Rätt många saker (mail, pdf, surf etc) gör sig faktiskt imo mycket bättre i stående format så att bara kunna slänga ut ett sånt fönster på sen sidoskärm och maximera det är himla smutt. :)

Det här trodde jag, i min enfald, skulle ta en halv dag. Det var igår jag trodde det. Det tog hela dan igår och det mesta av idag så med parley i helgen och allt så har jag inte alls fått mycket gjort på sistone och min todolista har växt, ehm, lavinartat. Nu måste jag dessutom dra in alla program jag vant mig vid att ha, typ thunderbird, emacs, utvecklingsverktyg etc som plötsligt saknas, så jag är lite eeeeefter. Gah.

Datorer. Näst efter jurister är de civilisationens värsta förbannelse.

Arkiverad under Linux och datorer

Den där känslan att nästan, men inte riktigt, begripa vad fan man håller på med…

2012/01/06 6 kommentarer

Ponera följande:

Du har en kund som utvecklar en produkt. Denna kund sitter på en annan kontinent, de har anlitat dig för att utveckla mjukvaran till den MCU som sitter på kretskortet, det finns en irriterande jobbig deadline som kommer krypande och skiten bara FUNKAR inte. Eftersom deadlinen sakta kommer allt närmare så finns det inte riktigt tid att skeppa över ett kort, dessutom är nyttan av det begränsad eftersom det är ohyggligt svårt att utveckla på det kortet eftersom den MCU som sitter på kortet är så liten att det är svårt att lägga in vettigt debugstöd. Så du bygger en mockup för att utveckla på och när du ändå är igång tar du en rätt så mycket större MCU så att det finns gott om plats att lägga in tester och ha sig, helt enkelt för att det blir enklare så. Eller, ja, i teorin i alla fall.

Du utvecklar, sliter, justerar och allting fungerar utmärkt och stolt skickar du över programmet bara för att få veta att det funkar över huvud taget inte alls där borta på den andra kontinenten (ibland ger MCUn livstecken ifrån sig, men de är komplett stokastiska och ger inga ledtrådar) och eftersom det inte finns någon programmerare därborta är det näst intill omöjligt att lista ut vad som går fel. Alla elektriska signaler du ber dem mäta stämmer och det borde funka, men nånting gör att det lik förbannat inte riktigt faller på plats, så att säga. Det finns ju den där uppenbara skillnaden att den MCU du jobbar på visserligen är snarlik men det finns ändå vissa skillnader. Det är då den dyker upp, den där lilla naggande känslan att det förmodligen, troligen är det som gör att nånting inte funkar som det ska trots att koden är skriven samt dubbel- och trippelcheckad för att den ska klara av att ta hand om de där skillnaderna.

För det mesta är det kul och utmanande, men just i tankeprocessens ”vargatimme”, när man bara anar problemets vidd och art men inte riktigt har kopplat en dubbel Nelson på det, just den tidpunkten kan vara oerhört frustrerande. Dvs precis som nu. Man vet att det enda som krävs för att man ska lösa problemet är tid, det är svårt att säga exakt hur mycket tid det kommer ta, plötsligt kommer man bara inse vad det är som strular och likt Professor Balthazar så får man en snilleblixt, studsar bort till sin mackapär och bara fixar det. Just like that.

 

That’s what I do, jag utvecklar mjukvara för och löser problem i hårdvara jag ofta inte ens har sett.

Det är en utmaning. Har du en utmaning får du gärna höra av dig.

Arkiverad under Linux och datorer, Mostly harmless

Datalagringsdirektivets syfte är redan förlorat

2011/03/15 15 kommentarer

Här kommer en beskrivning för hur man undviker effekterna av datalagringsdirektivet. Det här är ett sätt, det finns dock massor av sätt man kan uppnå samma effekt men det vore för mycket jobb att ens försöka beskriva alla sätt. Jag kommer utgå från att den som läser det här kör Windows eftersom det, trots allt, är normalfallet. Det ser dock i princip likadant ut under Linux (som jag tex föredrar att köra) och jag förmodar att handgreppen är ungefär de samma under OSX.

Börja med att surfa till https://www.torproject.org/ (notera att URLen börjar med https i stället för http, mer om det senare) och klicka på ”Download Tor”.

Leta upp ”Tor Browser Bundle” för det OS du kör och klicka ”Download”.

Starta den exe-fil du laddat ner. Du kommer få upp ett fönster där du kan ändra sökväg till nåt som är lätt att komma ihåg. Tryck sen på ”Extract”.

Öppna en explorer och gå till den folder där ”Tor Browser” installerats (i det här fallet C:\Tor Browser) och klicka på ”Start Tor Browser”.

Det kommer nu komma upp ett fönster där du kan se hur datorn ansluter sig till Tor-nätverket och om allt går bra ska det till slut se ut såhär.

Grattis, du kan nu surfa anonymt och krypterat. Svårare än så är det inte att installera klienten.

Att surfa anonymt kräver dock att man tänker på vad man gör och det är lätt att röja sin identitet av misstag. Det finns en lista med exempel på faror, men i korthet ska man tänka på:

  • Surfhygien! Logga inte in på tex ditt vanliga Facebookkonto eller liknande via Tor. Det är viktigt är att hålla sitt surfande med och utan Tor skilda åt och aldrig blanda samman dem. Det är inte automatiskt en katastrof att göra fel, men det ökar definitivt risken för att någon kan koppla ihop ditt anonyma jag med ditt riktiga jag.
  • Anonymitet! Du kommer förmodligen behöva ett mailkonto för att kunna registrera dig på forum eller liknande och du ska givetvis inte använda din vanliga mail för det. Skaffa ett separat mailkonto för ditt säkra surfande, tex via tjänsten safe-mail.net. Givetvis surfar du bara dit via Tor (aldrig via en oskyddad browser) och alltid via https.
  • Läck inte sidoinformation! Tänk till exempel på vilka användarnamn du använder! Skapa inga användarnamn (eller lösenord, det finns siter som sparar lösenorden i klartext…) som enkelt kan associeras till dig som person, tex gamla smeknamn, hundens namn, ditt favoritfotbollslag etc. Bäst, men lite extremt, är förstås att skapa fullständigt slumpmässiga ord som garanterat inte avslöjar något om dig som person.
  • Undvik javascript, flash och liknande saker! Det finns många säkerhetsbrister i de olika scriptspråken som kan röja ditt riktiga IP (och därmed vem du är) så att till exempel slösurfa videositer via Tor är en dålig idé (och inte bara av säkerhetsskäl).
  • https i stället för http! Det lilla s:et som skiljer http från https står för ”secure” och betyder att all trafik mellan din browser och webservern är krypterad. Om du surfar via http kommer det vara möjligt (om än högst osannolikt) för någon utomstående att avlyssna trafiken eftersom den går i klartext del av sträckan.

Så hur pass säker är Tor, VPN och andra former av anonymiserande nätverk? Ja, det beror faktiskt mest på dig själv för den största risken att din identitet blir röjd är för att du själv klantar dig. Sannolikheten att någon ska knäcka krypteringen eller hitta andra svagheter i överföringen är förmodligen visserligen något högre än att Ulf Ekman ska konvertera till Islam, men inte mycket. Att surfa och tex använda safe-mail via Tor är alltså ett utmärkt sätt att kommunicera obehindrat och säkert med tex journalister eller Wikileaks om du vill dela med dig av information utan att riskera att du, som person, röjs och drabbas av repressalier (men lär av Bradley Manning och håll förih-e käften om det!).

Tor går förstås att använda till en uppsjö andra saker (tex mail, filöverföring, chattande etc) och det finns även andra sätt (tex olika former av VPN) att ta sig runt datalagringsdirektivet och annan form av spårning (tex FRA). Den primära orsaken till att jag författade den här texten är egentligen bara att visa hur pass enkel tekniken egentligen är från ett användarperspektiv. Rent tekniskt är det förstås mycket mer komplicerat, men det slipper man som användare tack och lov se nånting av, det sker automatiskt. Det här innebär förstås också att det är naivt att tro att tex kriminella och terroristnätverk inte redan använder sig av de här metoderna, vilket gör hela syftet med direktivet värdelöst och det i slutändan blir fel personer som får sin trafik genomgången och analyserad.

Så vad kan då tex våra politiker göra för att förhindra att anonymisering skjuter datalagringsdirektivet i sank? Ärligt talat, inte mycket. Jag kan tänka mig lite olika scenarios och dess konsekvenser:

  • Blockering av siter. En möjlig (och inte helt otrolig) konsekvens är att man kommer börja blockera vissa siter, tex safe-mail eller torproject. Om det görs på samma sätt som det så kallade barnporrdirektivet ”löser” det behöver användaren bara peka upp sin namnuppslagning mot lämplig fri tjänst (tex Googles som går att hitta bland annat på 8.8.8.8) och så är filtret förbigånget. Ett annat alternativ är att man sätter upp en motsvarighet till Kinas Golden Shield. Tja, dels läcker den som ett såll så de som vill igenom kommer igenom och dels vet vi i såna fall var vi har våra politiker.
  • Blockering av tjänster. Ett annat sätt är att man tex tvingar ISPerna att blockera vissa former av tjänster, tex genom att blockera portar. Ett enkelt sätt att ta sig runt det är att låta en tjänst köra på ”fel” portnummer, ett annat att man tunnlar trafiken eller låter den gå genom en proxy. De här teknikerna används av många för att kunna ansluta till Internet från Kina, många arabländer eller tex arbetsplatser som filtrerar ”olämpliga” siter.
  • Förbud av kryptoteknik. Det har försökts förr och det funkar sisådär kan vi väl konstatera.

Så datalagringsdirektivet är dömt att gå samma väg som tex fildelningsfrågan; mot ett totalt fiasko. Fildelningen har utvecklats från ganska enkla protokoll, som tex Napster, mot allt mer komplicerade och svårövervakade protokoll och om den nuvarande hetsjakten på fildelare fortsätter kommer fildelning med stor sannolikhet evolvera till ett krypterat, anonymiserat och fullständigt obfuskerat fildelningsnätverk där allt, även potentiellt oönskad (och kriminell) information, delas utan minsta möjlighet att kunna avgöra vilka som är inblandade.

Datalagringsdirektivet (och liknande lagar/direktiv) har med andra ord som effekt att alla de tjänster som uppstår som motreaktion gör det väldigt enkelt för tex kriminella att skydda sin trafik och gör det samtidigt i praktiken omöjligt för polisen att samla bevis online och det finns inget praktiskt sätt att motverka denna effekt utan att EU förvandlas till ett samhälle som på många sätt kommer påminna om dagens Kina.

Pingat på Intressant.

Arkiverad under Linux och datorer, Piratpartiet

IT-nostalgi

2010/09/08 1 kommentar

Tänk, min första PC hade en hårddisk på 1.2 GB, en snudd på ofattbart stor lagringskapacitet när det begav sig, och nu lyckas en sketen Gnome-applikation läcka samma mängd på bara en dryg vecka?

Jag vill inte på något sätt påstå att datorer var bättre förr, men någonstans i världen sitter det minst en programmerare som borde skämmas just nu…

Arkiverad under Linux och datorer

Äldre inlägg

Följ

Få meddelanden om nya inlägg via e-post.

Join 29 other followers

%d bloggers like this: