Kjerne 5.11.0-38 knakk nettverk i Ubuntu 20.04

I helga var det ei oppdatering av kjernen frå 5.11.0-37 til 5.11.0-38. Ho gjekk ikkje bra. Første gong knakk støtta for mitt oppsett med to skjermar. Ikkje kul om den eine skjermen vart gjenkjent og kunne brukast. Når eg køyrde oppstart, med den gamle kjernen frå oppstartsmenyen, virka alt. For å sleppe problem, fjerna eg den nye kjernen.

Eg gjorde fleire forsøk i løpet av veka utan å lukkast, men la merke til at òg nettverksdelen ikkje virka. Både trådlaust og kabla nettverk hadde fungert tidlegare, no fungerte ingen ting.

Eg gjorde eit siste forsøk i kveld og fekk skjermoppsettet til å fungere. Nettverksdelen fekk eg ikkje liv i. Eg prøvde òg eit USB-nettverkskort som fungerer med mykje, heller ikkje det løyste problemet. Det kan virke som om det er noko overordna innafor nettverk som er knekt i kjerne 5.11.0-38.

Eg er litt meir kompetent enn ein vanleg PC-brukar og greier å få mykje til fungere, men det er slike oppdateringar som ikkje kan kome ut om Ubuntu skal vere eit operativsystem alle kan bruke.

Handbrake i Ubuntu 20.04

Sidan eg kjøpte meg ein GoPro 7 Hero Black vinteren 2019, har eg teke opp timevis med video frå fotturane mine i nærområdet som eg redigerer ned. Før opplasting til Youtube har eg alltid lagra ei ferdigredigert fil i tilnærma tapsfri kvalitet. Ho blir stor, men sidan eg har fiber tek ikkje opplastinga så lang tid. Youtube får best mogleg kvalitet for deira omkoding. Den same fila omkodar eg med Handbrake til eit meir komprimert format for arkivering.

For litt sidan tok eg eit val om å gå over til Ubuntu som operativsystem. Eg har fått på plass all programvare eg treng, men Handbrake i programvarekatalogen til Ubuntu har ein vesentleg svakheit: Det er ingen støtte for å dra nytte grafikkortet (Nvidia RTX 2060) i kodinga av video. Når ein kan nytte Nvidia sin NVENC til kode video, tek kodinga ein brøkdel av tida om prosessoren (CPU) skal stå for det heile.

Løysinga finn du på Handbrake sine sider. I motsetning til versjonen Ubuntu serverer, støttar Flatpak-versjonen NVENC. Før du installerer den, må du installere støtte for Flatpak i Ubuntu. Naviger deg til https://flathub.org/apps/details/fr.handbrake.ghb. Gå inn på «Setup Guide» og vel Ubuntu. Sidan eg har Ubuntu 20.04, treng eg ikkje gjere del 2 av steg 1. Eg kortar det ned til følgjande kommandoar i terminal/kommandolina:

sudo apt install flatpak
sudo apt install gnome-software-plugin-flatpak
flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo

Ein omstart og du søker fram den nye applikasjonen for programvare som ser ut som ein lys koffert med taltastatur i ein sirkel. Her får du installert programvare frå begge programvarekatalogane til Ubuntu samt Flatpak.

Under fana Video skal det no vere mogleg å velje mellom H.264 (NVEnc) og H.265 (NVEnc)

Samsvar med GDPR, owncloud.online?

Som eg har skrive tidlegare, i fleire innlegg, er det framleis stor uvisse om ein i det heile kan bruke amerikanske tenester, sjølv om informasjonen er lagra i EU, EEA eller Noreg. Eg har sett på skytenester innan EU, om dei kan erstatte Microsoft og Google. Ein av aktørane er owncloud.online. Dette er ein tysk leverandør som køyrer programvara Owncloud. Fana med å vere i tråd med GDPR held dei høgt.

Alle som lovar mykje bør ein kontrollere om held ord. Ofte nyttar eg https://pagexray.fouanalytics.com/ til å få oversikt over kva som blir henta når ein vitjar ei side. Kontrollen av owncloud.online overraska meg:

Som du ser av kartlegging, vil du sjå at ein nyttar fleire amerikanske tenester:

  • Google Analytics
  • Cloudflare
  • Namecheap (jsdelivr.net)

Med tanke på at bruk av tenester som Google Analytics i fleire saker er klaga inn, synes det merkeleg at ein faneberar for GDPR vel å nytte amerikanske tenester som vil handsame informasjon om din nettaktivitet og einingen du nyttar. IP-adresse vert sett på å vere personidentifiserande, men om du sjekkar tenesta amiunique.org, vil du få ein indikasjon på kor unik din PC, nettbrett, telefon er.

For min stajonere PC fekk eg dette resultat:

Kombinasjonar av all informasjon som vert henta ut frå nettlesaren gjer meg unik. Berre det at eg køyrer Ubuntu 20.04 snevrar meg inn til kun 2,95% av datasettet, som omfattar alle som har køyrt testen. Det er enkelt for Google å følgje meg etterkvart som eg forflyttar meg rundt på nettet.

Kor unik er du?

Datatilsynet og Twitter

Etter to års vurdering om dei skulle opprette ei Facebook-side, konkluderte dei med at risiko var for stor. Har skumma den lange vurderinga og registrerer at eit av momenta er Facebook, som eit sosialt medium i sin natur, at kven som helst, også idiotar, kan poste kva som helst. Slikt er vanskeleg å handtere om ein vil ta eit fullstendig redaktøransvar for både tanketomme og ondsinna ytringar med spreiing av meir eller mindre sensitiv personinformasjon om individ.

Neste i søkelyset er Twitter, der dei faktisk har konto. Skumma policy for personvern og konkluderer med at dette nesten bør vere ein skikkeleg walkover.

Med unntak av ein parantes og ei setning som virkar som dei slenger med for å få ryggdekning:

…(where we rely on the EU standard contractual clauses these may be requested by inquiry as described below)…

…We do not rely on the EU-US or Swiss-US Privacy Shield as our lawful basis to transfer personal data from the European Union, EFTA States, or the United Kingdom, however…

forheld resten av teksten seg til Privacy Shield – som vart ugyldig 16. juli 2020. I parantesen vert det referert til at ein kan ein be om Standard Contractual Clauses. Dessverre greier eg ikkje å finne kor eg kan be om dei. Uansett, slike kan ligge fritt tilgjengelege sidan det er standardvilkår frå EU som ikkje skal/kan endrast.

Snart 15 månadar etter domen 16. juli 2020, er det lite som indikerer at Twitter har tilpassa seg gjeldande regelverk.

Mastodon.social

Kike litt på alternativ til Facebook, som eg forlot for eit par år sidan. Mastodon.social kom opp som eit alternativ. Kobla meg på for å sjå, men for ein som har år med innsikt i Facebook, virkar det heile kaotisk.

Du har straumane Felles og Lokal samt det du abonnerer på eller følgjer. Dei to første er berre reint kaos, virka som om alt som blir posta berre straume uhemma på. Straumen for det eg abonnerer på er temmeleg stille, fordi det er ingen, absolutt ingen andre personar eller tenester som er av interesse og er aktive. Sikkert nokon som finn nytte i Mastodon.social, men nokon erstatning for Facebook er det ikkje.

Kan legge til at eg har registrert enkelte profilar med svært grafiske hovudbilder som ikkje overlet noko til fantasien. Sarte sjeler bør halde seg unna.

Windows blir ikkje lenger standard

Windows 11 krev konto knytt til Microsoft og stiller store krav til maskinvare. Eldre maskiner kan berre gløyme å oppgradere. Chromebooks krev Google-konto. Apple Macs krev Apple-konto. Vel og bra for mange, men sett i lys av det siste året med Schrems II og CSAM stussar eg på kvifor vi skal lenkje oss til dei amerikanske selskapa lenger.

I tillegg har vi opplevd vel 4 år der USA har sokke lenger ned i ville fantasiar og fascistiske tendensar. Tiltrua til demokratiet som styreform er dalande. Kva dei kan vere truande til framover er ope. Det er på tide å sjå seg om. Eg ønskjer no å sjå om eg kan leve med Linux. Eg har køyrt Ubuntu 20.04 vel 1 månad på ein berbar PC. Til det daglege arbeidet har alt fungert. Må sei at eg ikkje har sakna noko. Til og med AirPods Pro fungerer utan problem mot Ubuntu 20.04. Eg må legge til at eg ikkje er fersk på Linux. Dei første forsøka gjorde eg rundt tusenårsskiftet med RedHat. Ubuntu har eg følgt med sidan nett før dei slapp Ubuntu 6.06 tilbake i 2006. Eg kan ikkje ting på rams, men eitt eller to søk og eg har løysinga på det meste. Med andre ord har eg noko meir kjennskap til systemet enn ein ordinær Windows-brukar.

No har eg sett opp Ubuntu 20.04 på ein av SSDane på arbeidsstasjonen. Her er det snakk om 16 GB RAM, AMD Ryzen 7 3700X og Nvidia RTX2060 samt 1TB NVME SSD og 1TB SATA SSD. Drivarane til grafikkortet er på plass og eg har fått gjort nokre mindre justeringar av skrivebordet. Eg har lagt til ein ferskare versjon Wine (frå WineHQ) for å kunne nokre få Windows-program. Hittil er IrfanView og WebSite Watcher installert og fungerer. Ubuntu 20.04 har ein eldre versjon av LibreOffice som eg skifta ut med den stabile kanalen for LibreOffice. Videoverktøyet Shotcut er på plass og kan bruke NVENC på Nvidia RTX2060, nett som på Windows. Mi personlege sky – Syncthing – er sett opp. Spotify spelar Iron Maiden si siste plate i bakgrunnen. Eg skal setje opp rclone for å kunne synkronisere mot GoogleDrive, OneDrive og andre skytenester. Informasjon som må sikrast blir kryptert med Cryptomator før krypterte filene blir synkronisert. Som på Windows har eg sett opp Firefox nettlesar samt Thunderbird. Sistnemnde er kopla med e-post, kalendar og kontaktar mot min norske leverandør. Evolution skal til vurdering for ei erstatning av Thunderbird.

Eg kan framleis velje å starte Windows 10 når eg (om)startar maskina. Inntil vidare treng eg det berre i dei få periodane i løpet av året eg spelar på gamle Call of Duty-serien, spela som kom for snart 20 år sidan. Det kan gå rundt året mellom kvar gong eg spelar.

Oppdatert rettleiar frå Datatilsynet stadfestar mitt syn

Eg har skrive ein god del tidlegare om Schrems-problematikken og følgt tett med på ting som skjer. La merke til at Datatilsynet kom med ein oppdatert rettleiar i forrige veke, 3. september 2021, som stadfestar mine vurdering:

Det er i strid med lovverket å bruke amerikanske skytenester der personinformasjon må handsamast i klartekst. Kan du lese det på ein skjerm, i f.eks. nettlesaren, har du fått servert klartekst eller menneskeleg forståeleg tekst. Som verksemd ryk høvet til å bruke eller levere tenester på Microsoft Azure, Microsoft 365, Google Cloud, Google Workspace, Apple, Oracle Cloud osv.

Eg vel å hente ut det sentrale frå rettleiaren med mine uthevingar:

Personvernforordningen inneholder ingen definisjon av begrepet «overføring». Vi legger til grunn at begrepet omfatter tilfeller hvor personopplysninger sendes til noen utenfor EØS. Vi legger også til grunn at begrepet omfatter tilfeller hvor noen utenfor EØS får tilgang til personopplysninger lagret i EØS. Grunnen til det er at de som har tilgang til personopplysningene, potensielt kan benytte dem videre eller dele dem med andre, slik som ved en fysisk overføring.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

….

Domstolen vurderte amerikansk lovgivning spesifikt og kom frem til at særlig Foreign Intelligence Surveillance Act (FISA) Section 702 og Executive Order (E.O.) 12333 er problematiske opp mot kriteriene ovenfor.

FISA 702 innebærer at amerikanske virksomheter kan motta begjæringer fra amerikanske myndigheter om uthenting av informasjon om bestemte personer. Her trakk EU-domstolen særlig frem manglende kontrollmekanismer for å gjennomgå etterretningens målretting på individnivå. E.O. 12333 tillater masselagring av data som sendes til USA uten rettslig prøving. Domstolen uttalte at omfanget av myndighetenes tilgang til data under E.O. ikke er tilstrekkelig klart og presist avgrenset.

Når det gjelder FISA 702 og E.O. 12333 gjør vi oppmerksom på følgende:

  • Amerikanske «electronic communication service providers» (tilbydere av elektroniske kommunikasjonstjenester) er underlagt FISA 702. Dette er definert vidt. For eksempel vil såkalte «remote computing services» være underlagt loven. Det er også viktig å være klar over at loven kan gjelde både innenfor og utenfor amerikansk territorium. Samtidig finnes det også eksempler på amerikansk tjenesteyting som ikke faller inn under denne loven. Dette kan for eksempel være tilfellet for teknisk støtte knyttet til enkelte on premise-løsninger.
  • I motsetning til FISA 702 krever ikke E.O. 12333 at amerikanske virksomheter hjelper amerikanske myndigheter å få tilgang til dataene, for eksempel ved å oppgi krypteringsnøkkelen.

….

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Dersom derimot en dataimportør i tredjeland sitter på krypteringsnøkkelen fordi den trenger å jobbe med dataene i klartekst, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter.

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Ad setning i siste avsnitt merka raudt. Schrems II-domen tok stilling til lovene i USA. Dei vurderte lovene og praksis til å gå for langt, ergo vil det vere innafor krenking av personvernet. Sjølv om det kan vere ein minimal sjanse for at ei krenking skjer, ved at data blir henta ut, er det OK å utsetja brukarar for dette? Eg er rimeleg sikker på at Datatilsynet ville vere fort oppe med bøteheftet.

CSAM til Apple dekonstruert

Eg føl med på kva som blir skrive om planane for CSAM*-deteksjon i iCloud Photos i iOS 15. Bruce Schneier, ein velkjent person med omfattane erfaring og kompetanse på kryptografi og informasjonsikkerheit, har hatt nokre innlegg i etterkant på sin blogg Schneier on Security.

* CSAM=Child Sexual Abuse Material

Driftige folk har teke tak i Apple sin NeuralHash-algoritme som vil bli brukt til å skanne bilete på dine Apple-einheit før opplasting til iCloud Photos. Ein har klart å dekonstruere (reverse engineer) algoritma. Etter sigande var ho allereie på plass i iOS 14.3, om enn ikkje aktivert. Ein klarte å eksportere modellen til ONNX (Open Neural Network Exchange). Du kan teste NeuralHash på Linux eller MacOS. Når eg ser på stega for å få generert ein hash (matematisk kontrollsum) for eit bilete, fell ting meir på plass i høve det eg har stussa på:

  1. Convert image to RGB.
  2. Resize image to 360×360.
  3. Normalize RGB values to [-1, 1] range.
  4. Perform inference on the NeuralHash model.
  5. Calculate dot product of a 96×128 matrix with the resulting vector of 128 floats.
  6. Apply binary step to the resulting 96 float vector.
  7. Convert the vector of 1.0 and 0.0 to bits, resulting in 96-bit binary data.

Det første steget konverterer bilete til eit standard fargerom. Steg to forminskar bilete til 360 ganger 360 punkt. Omsett til megapixels er det 0,1296 megapixels eller 129600 punkt. I dag fotograferer iPhone med 12 megapixels (12 million punkt). Bilete blir kraftig forminska som medfører at uhorveleg mykje informasjon/detaljar forsvinn. Eg har ei viss forståing for forminskinga dersom alt av bileter, ikkje berre det du fotograferer skal kontrollerast. Kvaliteten av det du tek vare på vil variere alt etter kjelda det kjem frå.

For meg betyr det at det er brøkdelen av informasjonen i eit bilete som dannar grunnlaget for kontrollsum. Dess mindre grunnlag ein har, dess større sjanse er at ein får samanfallande kontrollsum mellom to bilete. Apple sin påstand om at sjansen for kollisjon er 1 til 1 billion kjøper eg ikkje. Store talverdiar på amerikansk er million, billion, trillion. På norsk er det million, milliard, billion, billiard, trillion. Etter forminskinga går grunnlaget vidare til normalisering av fargeverdiane før ein er over i NeuralHash-modellen. Det ser ut til at dei splittar ting opp i matriser med eit visst punktareal, men dette går over hovudet på meg. Ver merksam på at det er ei maskinell «tolking» av bilete som vert vurdert, ikkje punkt for punkt:

Illustrasjon henta frå video til Sumsub

denne sida er det i gong ein diskusjon der ein har fleire bilete som er vidt forskjellige, som (etter påstand) genererer same kontrollsum: 59a34eebe31910abfb06f308. Du finn bileta sist i innlegget.

Min påstand er at kontrollsummane frå CSAM-bilete vil bli kjent. Årsaken til det kan være alt frå at organisasjonane blir hacka til ein ansatt (utru eller idelogisk) gjer dei kjent. Å gjere bileta kjent er straffbart som spreiing av barneporno, men ein kontrollsum, f.eks. 59a34eebe31910abfb06f308, kan ikkje avsløre bilete. Konsekvensane for å avsløre kontrollsummen vil vere vesentlig mindre. Deretter vil nokon starte å generere bilete som dannar tilsvarande kontrollsummar. Bileta vil bli brukt i kampanjar:

Tenk deg at du får ei melding om å betale x bitcoin for å unngå å få din Apple-konto sperra. Du betalar ikkje og får tilsendt bilete som har same kontrollsummane som CSAM-bilete. Ifølgje denne artikkelen vil 30 samsvarande kontrollsummar utløyse at kontoen din blir flagga hos Apple og deaktivert.

Det er her eg ser at Apple sin påstand om sjansen for same kontrollsum for to ulike bilete er urealistisk. 1 til 1 billion tilseier at det i praktisk vil være så godt som umogleg. Dersom så var, ville ikkje 30 treff det som skulle til for å flagge kontoen, men eit tal langt mindre. Eg hadde sett for meg 5, kanskje 10 treff for å ta godt i.

Etter flagging går bileta til manuelle gjennomsyn. Eg tippar det kan ta laaaang tid, spesielt om mange er råka av det same. I mellomtida er alt utstyr låst ute av kontoen din. Still deg spørsmåla:

  • Kva vil du kunne tape dersom du mister Apple-kontoen din?
  • Kor lenge tåler du at Apple-kontoen din kan vere deaktivert?

Bilete som genererer same kontrollsum i Apple NeuralHash:

Ventoy – oppstart frå ISO-filer på minnepinne

Eg har nokre USB-minnepinnar. Det er ikkje fordi eg lagrar data på dei, men fordi eg treng dei til ulike verktøy samt prøving og installasjon av operativsystem. Hittil har det vore å hente ned ISO-filer, det vil sei eit «disk-bilete» av ein DVD eller CD. Med Unetbootin eller Rufus har eg overført «disk-bilete» til ein USB-minnepinne. Du kan berre ha eit verktøy eller ein installasjon for kvar minnepinne. Har du få minnepinnar må du ofre noko for å klargjere noko anna.

I dag vart eg gjort merksam på eit nytt verktøy av Youtube-kanalen TechHut kalla Ventoy. Med Ventoy klargjer du ein minnepinne. Når det er gjort, kan du kopiere (alle) ISO-filene dine over på minnepinnen. Startar du PCen med minnepinnen, blir du presentert for ein meny med ISO-filene som ligg på han:

I eksempelet over har eg lagt inn 6 ISO-filer på minnepinnen og starta PCen med han. Ventoy let meg ha alt liggande på ein minnepinne. Vil eg skifte ut noko er det berre å slette ISO-filer og legge inn nye. Her har eg starta Windows 10-installasjon frå siste oppføringa i Ventoy-menyen over: