internethandelser_2015

Årets största internethändelser 2015

För femte året i rad listar jag årets största internethändelser. 2015 har varit ett synnerligen händelserikt år. Därför har jag utöver topp tio-listan även gjort en lista med bubblare. Lämna gärna era bidrag i kommentarsfältet om ni tycker att jag missat något!

Read this blog post in English.

01. Kontrollsamhället
02. Pirate Bay
03. Certifikat och ett krypterat internet
04. Dataläckaget tar aldrig slut
05. Nätkrig och psykologisk krigföring
06. HTTP/2
07. Annonsblockering och kakor
08. Flash är dött
09. Framtidens transaktioner, blockchains
10. Windows 10 & DDOS-attacker
11. Bubblare

1. Kontrollsamhället

Precis som förra året ser vi hur allt fler länder inför både hårdare censur och mer övervakning. Med händelserna i Paris i början av året stiftade Frankrike lagar som tillåter massövervakning av internet och telefoni. Efter novemberattackarna har fransmännen också redan hunnit presentera idéer om att förbjuda Tor och kryptering, men tvingats backa. Men det är ju idéer som återkommer allt oftare även i demokratiska länder, trots att det ibland låter som om man är överens om att förslag om övervakning är en dålig idé.

overvakningI Storbritannien finns det redan konkreta förslag på att förbjuda krypto “som inte går att knäcka”. Se för övrigt till att inte se suspekt ut när du shoppar på din resa till London, då kan bilden på ansikte spridas vidare till andra handlare genom systemet Facewatch.

Så kör i vind Frankrike med att massövervaka befolkningen, ni ingår i samma klubb som i år skaffar fler och bättre verktyg för massövervakning och censur, Uganda, Thailand, Ryssland, Eritrea, Turkiet och Kina.

Även Sverige börjar pendeln svänga mot mer avlyssning, och man går även ut med förslag om att polisen ska få hacka datorer. I somras publicerade Justitiedepartementet utredningen SOU 2015:31 – Datalagring och integritet som av samtliga remissinstanser som inte var rättsvårdande myndigheter sågs som en ren partsinlaga.

Vill vi kunna föra en öppen och fri debatt om vilket samhälle vi ska ha, kan inte nätet avlyssnas och censureras. Diskussionen om balansen mellan rättsäkerhet och massövervakning kommer att fortsätta under många år, och jag hoppas att alla vi som bryr oss om ett öppet internet inte sitter tysta.

2. Pirate Bay

Året inleddes med att sajten The Piratebay var nere efter en raid i december 2014. Precis efter nyår dök det upp en mystisk räknare på sajten, vilket folk listade ut betydde att sajten skulle återuppstå den 1:a februari. Vilket den också mycket riktigt gjorde.

piratRedan 2013 sa vi på IIS att vi inte planerade att stänga ner domänen piratebay.se, då vi anser det vara fel väg att gå. Sajten The Pirate Bay fortsätter under året att vara ett diskussionsämne i Sverige, inte minst under den rättegång som hölls i somras där utfallet av domen resulterade i att domännamnen  piratebay.se och thepiratebay.se skulle förverkas från domännamnsinnehavaren. Åklagaren fick dock inte rätt mot IIS Domen har dock överklagats, så det kommer att dröja tills vi får reda på exakt hur ett domännamn kan komma att förverkas i Sverige och IIS roll i frågan. Tills vidare finns sajten tillgänglig under ett antal olika toppdomäner, inte bara .se.

Utanför Sverige har flera länder beslutat att filtrera bort Pirate Bay helt och hållet. I Norge kom det en dom i tingsrätten i Oslo att man ålägger internetoperatörerna att filtrera bort Pirate Bay och flera andra piratsajter. I Portugal har den relativt nyinrättade domstolen för immaterialrätt beslutat att internetoperatörerna ska filtrera bort flera domännamn som förknippas med Pirate Bay. För att få en fullständig lista över vilka länder domäner relaterade till Pirate Bay filtreras i, kan man titta i Wikipedia.

Denna katt-och-råtta-lek kommer nog att fortsätta under många år, om den någonsin tar slut.

3. Certifikat och ett krypterat internet

Året har varit fullt av dåliga saker som hänt säkerheten på nätet, framför allt med inriktning på protokollet TLS. Det visade sig att datortillverkarna Lenovo och senare även Dell sålt datorer förinstallerade med egna root-certifikat. Lenovo-certifikatet knäcktes dessutom relativt omgående, och de utsatte därmed sina användare för allvarliga säkerhetsrisker.

Vidare har CA-strukturen visat sig sårbar än en gång, då CNNIC utfärdat certifikat för domäner de inte ska utfärda certifikat för. Detta ledde snabbt till att Google slängde ut CNNIC från Chrome, och strax efteråt beslöt också Mozilla att göra samma sak. Apples lösning var något mer diplomatisk, de valde att vitlista en delmängd certificat från CNNIC istället (för att inte stöta sig med samtliga Apple-kunder i Kina).

krypteringFörra året hade vi den första riktiga säkerhetsbuggen i TLS med en förberedd marknadsföringskampanj. Man kan säga att trenden fortsatte i år, men med lite mindre fokus på att ta fram en logotyp. “Freak” var först ut med en typ av nedgraderingsattack, följt av “Logjam” med en sårbarhet i Diffie-Hellman-handskakningen.

Förhoppningsvis blir dock situationen bättre, då TLS är en teknik vi har för att skydda vår kommunikation i de vanligaste protokollen. I april gick Mozilla ut med ett initiativ för att ta bort all okrypterad webbtrafik, och i somras meddelade Wikipedia att de går över helt till HTTPS (och givetvis många andra tjänster också).

Sedan finns det ytterligare en ljusglimt på horisonten. Nu i december gick initiativet Let’s Encrypt ut med en publik beta av sin CA. Det Let’s Encrypt gör är att de bygger en helautomatisk certifikatutfärdare som är gratis och byggd på standardiserade protokoll. Allt man som administratör behöver göra är att installera en kompatibel klient, och låta den skapa certifikat via “ACME”-protokollet. Listan på tillgängliga klienter för Letsencrypt ökar för varje dag, och flera klienter installerar automatiskt de skapade certifikaten direkt i webbservern åt dig. I kombination med Letsencrypt, Certificate Transparency, DANE och HSTS börjar vi äntligen få en säkerhetsmodell för TLS som fungerar.

4. Dataläckaget tar aldrig slut

Som vanligt har det under året förekommit ett rikligt antal dataläckage, där användaruppgifter och annan känslig information spridits vind för våg. Det intrång som kanske förekommit flitigast i svensk media är det mot otrohetssajten Ashley Madison. Användare på den sajten har hängts ut, utpressats, och på andra sätt drabbats. Inte minst sätter det här intrånget frågan om den personliga integriteten i fokus, både hur man faktiskt kan få sitt liv förändrat av att någon vet vad man gör, men också hur svårt det är att skydda sitt data.

datalackorEtt annat väldigt uppmärksammat intrång var det mot Hacking Team, ett italienskt säkerhetsföretag specialiserat på intrång och avlyssningsverktyg. I deras kundlista kunde man finna en stor andel länder som har ett minst sagt osunt förhållande till mänskliga rättigheter.

Förutom den digra listan på kunder och ytterligare bevis på en bristande affärsetik så kunde man bland materialet hitta en stor mängd Zero-days, bland annat två allvarliga sårbarheter i Flash, vilket ytterligare snabbade på Flashs snabba dödförklaring (se punkt 9 i listan). För den som vill söka i de mail som läckt från Hacking Team så har Wikileaks byggt en söktjänst (precis som de gjorde för förra årets Sony-läcka).

För en bra översikt av de största dataläckagen så kan man titta på en visualisering av World’s Biggest Data Breaches. Där finns väldigt få, om ens några svenska läckor presenterade, och det kan bero på att vi i Sverige inte har någon juridisk skyldighet att rapportera till användare när deras personuppgifter kommer på avvägar.

5. Nätkrig och psykologisk krigföring

Redan efter attentaten i Paris i januari började Anonymous att attackera jihadistiska webbsajter under operationsnamnet #opcharliehebdo. Men Anonymous styrka börjar dock ifrågasättas, och vid den senaste större operationen #OpParis efter novemberattackerna så har de inte lyckats uppvisa något vidare track-record.

Samtidigt som cyberangreppen mot Sverige ökar så skramlar stormakterna med sina cyber-vapen och under ytan pågår ett storskaligt cyberkrig. Ibland finns det en tillstymmelse till att vilja ha cyberfred, men egentligen förbereder sig alla för en ordentlig upptrappning. Sverige planerar inte att stå utanför, utan vi vill givetvis också kunna utföra cyberattacker.

psy-opsSamtidigt som Ryssland trappar upp sin militära närvaro lite överallt, inte minst sedan de börjat hjälpa till med attackerna i Syrien mot ISIS, så trappar de också upp sin propagandamaskin med väl utbildade nättroll. När Russia Today och Sputnik News pumpar ut sin Rysslandsvänliga journalistik bygger Sverige upp en hemlig grupp som ska försvara detta informationskrig.

Vi har bara sett början på cyberkriget.

6. HTTP/2

En uppdatering av HTTP-protokollet har varit efterlängtad, och i maj i år publicerades RFC 7540, “Hypertext Transfer Protocol Version 2 (HTTP/2)”. Vad betyder då det här? Enkelt förklarat betyder det för dig som användare att du på sikt får ett betydligt snabbare internet när du surfar på webben.

En något mer avancerad beskrivning är att du slipper skapa ett nytt TCP-koppel för varje förfrågan om en webbresurs, en webbläsare återutnyttjar en redan befintlig uppkoppling för att slippa en mängd overhead. Det betyder också ett en webbserver kan pusha tillbaka innehåll till webbläsaren.

En sådan här betydande infrastrukturuppgradering tar förstås lite tid, men med databasen Shodan kan man följa spridningen enkelt.

Cloudflare har satt ihop en rätt bra demonstration över vilken prestandaförbättring som HTTP/2 (kan också förkortas “h2”) ger.

För att se om din webbläsare har stöd för HTTP/2 kan du själv kolla på h2check.org. (TODO: denna sajt är nere just nu!) Om du använder Chrome finns det ett tillägg som kan visa ifall sajten du använder kör HTTP/2 (eller SPDY, den tidigare uppgraderingen till HTTP). Du kan också inspektera den interna HTTP/2-hanteringen i Chrome genom att öppna chrome://net-internals/#http2.

Tyvärr förändrade man inte hanteringen av kakor (se nästa plats på listan).

7. Annonsblockering och kakor

När Apple i somras släppte kod i iOS 9 som hade stöd för annonsblockering (adblockers) rasade reklamindustrin. Succén för adblocking-apparna var given, och en av de bättre apparna drogs tillbaka då utvecklaren Marco Arment fick dåligt samvete. Stora delar av innehållet på nätet betalas genom annonsering, så det är inte konstigt att reklambranschen försöker slå tillbaka. Många mediehus överväger nu starkt att låsa ute de som använder annonsblockering, om de inte betalar för innehållet på annat sätt.

kakorEn studie (pdf) som PageFair genomfört tillsammans med Adobe uppger att publicister förlorar intäkter på $22 miljarder under 2015 på grund av annonsblockering. 25% av användare i Sverige väljer att blockera annonser enligt studien.

Att det finns nästan 200 miljoner användare som blockerar annonser enligt studien ovan får en att undra varför man väljer att blockera annonser. Är det så enkelt som mediabranschen får det att låta? Det kanske finns fler anledningar till att användarna använder adblockers? För användarna finns det flera tydliga fördelar genom att sajterna går snabbare att ladda hem, och man slipper dessutom bli spårad på nätet. Många användare bryr sig om sin personliga integritet. Genom annonser och spårningsverktyg läcker även svenska sajter alla dina surfvanor, och i en uppmärksammad artikel i DN skriver Linus Larsson och Kristoffer Örstadius om hur svenska myndigheter lämnar ut dina webbsajtbesök till utländska företag. Joel Purra gjorde sin magisteruppsats hos oss på IIS, och kom fram till att vi svenskar är betydligt mer spårade på webben än vad vi tror.

De flesta dessa annonser och spårningsverktyg på webbsajterna sätter kakor i din webbläsare. PTS har ett regeringsuppdrag att vara tillsynsmyndighet för den lag vi har i Sverige sedan 2011 som reglerar användandet av kakor. Vi väntar fortfarande med spänning på hur PTS kommer att agera. De verkar gilla att utreda.

W3Cs Technical Architecture Group (TAG) publicerade i somras ett dokument, Unsanctioned Web Tracking som sammanfattar de anledningar till varför osanktionerad spårning är dåligt för webben.

Vi kommer förmodligen se ett 2016 där denna kamp mellan annonsering och annonsblockerare eskalerar, med fler betalväggar och ett begränsat obetalt läsande av artiklar på nyhetssajterna.

8. Flash är dött

Under nittiotalet experimenterades det för fullt med olika typer av tillägg till webbläsarna för att göra webben “levande”. Ett av alla dessa var FutureWave SmartSketch (som är basen för Flash) och som konkurrerade med Macromedia Shockwave. Macromedia köpte senare upp FutureWave och de i sin tur köptes sedan av Adobe. Resten är så att säga historia.

flashAdobe Flash har länge kritiserats för sina många säkerhetsbrister, men även för sin dåliga användbarhet, och ett dåligt skydd för den personliga integriteten. Flash har heller aldrig fått något stöd i Apples iOS-produkter, vilket lett till en ökad användning av HTML5 istället. Steve Jobs skrev en längre text om sina funderingar kring Flash och publicerade på Apples hemsida.

Nu har så äntligen rörelsen Occupy Flash fått rätt. Redan i januari gick Youtube över helt till HTML5-video, och i september började Google webbläsare Chrome att blockera Flash-annonser.

Nu säger Adobe själva farväl till Flash och siktar på verktyg för HTML5 under namnet Animate CC.

Hejdå Flash, vila i frid!

9. Framtidens transaktioner, blockchains

Det har gått lite upp och ner för Bitcoins under åren. Den underliggande tekniken för Bitcoins bygger på något som heter blockchains. Man kan kalla en blockchain för en digitalt distribuerad huvudbok, men man kan använda tekniken för lite vad som helst förutom digitala valutor. Bland annat utvecklar Namecoin ett alternativ till domännamnssystemet baserad på denna teknik.

Nu tittar våra svenska storbanker på hur de kan dra nytta av tekniken. Både Nordea och SEB tycks ha ingått i samma internationella samarbete för att skapa gemensamma bankstandarder för transaktioner med hjälp av blockchains.

IBM ger sig också in i blockchain-standardiseringen, och de vill skapa standarder för smarta kontrakt.

Tekniken är komplex, omogen och inte standardiserad, men kan ge enorma fördelar. Därför är det inte konstigt att alla vill skapa de nya standarderna inom områden som hittills ägs av några enskilda aktörer. En mer öppen plattform för den här typen av initiativ är Ethereum.

I år har vi sätt mängder med stora aktörer hoppa på blockchain-tåget. Klart är att det här är en teknik som är här för att stanna. Vi har dock inte sett nästa konkreta killar-app efter Bitcoins ännu, men de är på väg!

10. Windows 10 och överbelastningsattacker

När Windows 10 släpptes i somras var det många som trodde att internet skulle gå sönder. Antalet nedladdningar förväntades slå alla rekord. Folk uppmanades ladda ner Windows 10 så fort som möjligt innan internet gick sönder helt. Den här mängden trafik var tydligen 13 gånger större än när Apple släppte iOS 8.

Mycket annat är dock kontroversiellt runt Windows 10. Bland annat frågorna kring din personliga integritet. Problemen kring detta är mycket värre än hos Apple eller Google, inte minst vad gäller användaravtalen. Hos Slate hittar du en bra genomgång av vad man bör tänka på när man installerar Windows 10. Och det är en hel del. Svenska FOI är inte nådiga i sin kritik. För att spara bandbredd för distributionen av Windows 10, hjälper Windows 10 själv till att distribuera programvaran, och således använder de sig av din bandbredd också.

Den här typen av trafik liknar ju en hel del överbelastningsattacker. Den typen av attacktrafik över markant även i år, inte minst i utpressningssyfte. Betalar man inte med Bitcoins, så får man stå ut med en ordentligt DDoS. Enligt Akamais rapport State of the Internet ökar antalet DDoS-attacker rejält, men däremot så minskar den använda trafikmängden genomsnittligt.

I år såg vi också en större attack mot root-servrarna. Med fem miljoner DNS-frågor i sekunden lyckades man i princip slå ut sex av de tretton root-servrarna. Den rapport om händelserna som root-operatörerna gjorde visar dock att root-systemet fungerar som det var tänkt, och säger att den viktigaste åtgärden vi kan göra är att få våra operatörer att införa BCP–38 då nästan all typ av DDoS-trafik är spoofade UDP-paket.

Den totala bandbredden på internet ökar varje år, och så också storleken på både attacker och populära tjänster. Detta ställer högre krav på oss som tillhandahåller tjänster som måste fungera. Men internet överlevde i år också.

Bubblare

Sunet är i konflikt med BankID, och Sunet kan inte längre genomföra legitimeringar online, och Sunet har därmed har stängts ute från Skatteverkets tjänst Mina Meddelanden. Visserligen kanske detta användande av BankID stred mot användaravtalet. Sverige behöver en vettig legitimation för internetanvändare som går att använda av alla, när får vi det?

I oktober beslutade EU-domstolen att beslutet om Safe Harbor-avtalet med USA var ogiltigt. Nu tvingas europeiska företag lagra användaruppgifter inom Europa.

Edward Snowden finns numera på Twitter, och blev omedelbart möjligen den mest inflytelserika personen där.

Efter flera månaders frånvaro kom vecka.nu upp igen i februari.

Som ett aprilskämt dök det upp en märklig knapp på Reddit. Jag klickade aldrig och sällade mig därmed till The Greys. Här finns (nästan) alla teorier och spekulationer.

Donald Trump ska be Bill Gates om hjälp med att stänga av internet för terrorister.

Det stora bankrånet – läs om hur Carbarak-gänget länsade banker på en miljard dollar.

Allt fler gör betalningar med mobilen. Vår undersökning Svenskarna och Internet visar att 51% av de tillfrågade använder Swish. Den gamla banksektorn får dock allt störe konkurrens från nya spelare såsom Klarna och andra aktörer. Nu ska tidningarnas artiklar (se plats 7 om annonsblockering) hamna bakom Klarnas betallösning.

Texten till det internationella avtalet TTP har läckt ut, och i samband med det hölls demonstrationer med hundratusentals personer i Berlin. TTP-avtalet väntas likna det kommande TTIP-avtalet som är mellan EU och USA.

Det har varit ovanligt många IT-haverier i år. De som stuckit ut mest är kanske Karolinskas haveri, men även SAS var nere i ett helt dygn.

Etiketter: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Patrik Wallström DNS-expert på IIS Patrik är en av de som sett till att .se som första landstoppdomän i världen signerades med DNSSEC och att IIS var först med att erbjuda en kommersiell DNSSEC-tjänst. Patrik jobbade på IIS fram till hösten 2016.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Jacob Granert 25 december 2015, kl 12.10

    Tack!!

    Svara
  • Pär Lannerö 28 december 2015, kl 23.54

    Tack Pawal, läsvärt!

    Om jag inte missminner mig var det under 2015 som en viss internetrelaterad stiftelse bytte namn och logotyp. Bubblare?

    Svara
    • Per-Ola Mjömark
      Per-Ola Mjömark 29 december 2015, kl 13.14

      Personligen tycker iallafall jag att det är bubblarvänligt :)

      Svara