10 månadar med Android

Samsung S2I januar gjekk eg over frå Nokia N8 med Symbian Belle til Samsung S2 med Android 4.0.4 og seinare 4.1.2. Før du les vidare skal eg gjere deg merksam på at mine erfaringar med Samsung S2 og/eller Android er på ingen måte fordelaktige. Det har vore sagt og skrive mykje i forhold til Nokia og Symbian, men eg har ikkje noko å utsetja på det. Symbian gjorde jobben sin utan «dikkedariar».

Batteritid

Eg skal vere like kort. Batteritida er dårleg. Sjølv med mininal bruk må du lade kvar dag.

Android

Eg og for den del andre har opplevd eit par problem med telefonen og/eller Android som i det minste er kjedelege, men for meg er i klassen med «show-stoppers».

Kryptering av telefon

Telefonane no til dags er meir enn eit verktøy å ringe med. Dei skal krypterast slik at data ikkje kjem uvedkomande i hende om du misser han. Første gong eg krypterte telefonen såg alt ut til å gå som planlagt, men når han var ferdig hevda Android at han hadde vorte avbroten og måtte nullstillast. Heldigvis hadde eg teke sikkerheitskopi, men det tek alltid ei tid å få sett opp at telefonen slik ein vil ha han.

Aktivering av kryptering på ein anna Samsung S2 medførte ikkje den same meldinga, men telefonen måtte nullstillast til eigaren sin irritasjon då krypteringa hang seg opp.

Datapartisjon fylles sakte, men sikkert opp

Eg er på ingen måte ein aktive brukar av applikasjonar. Eg har ikkje spel, berre nokre få, nødvendige applikasjonar av eige val installert. Telefonen har ein partisjon til applikasjonar og data til desse. Nokre applikasjonar kan ein flytte over på SD-kortet, men det er heller få. Sakte men sikkert fekk telefonen i løpet av 6-7 månadar fyllt opp applikasjon- og datapartisjonen. Det var att mellom 100 og 200 MB som førte til at eg ikkje fekk oppdatert applikasjonar og telefonen klaga over at han hadde lågt med minne.

Problemet har andre opplevd mykje meir enn meg, med gjentekne nullstillingar av telefon som følgje. Eg har sett dette problemet på ein anna fabrikant sin telefon og anna modell av Samsung med eldre versjonar for Android. For meg tyder det på at eit eller anna med Android må vere riv ruskande gale når det ikkje greier å rydde opp etter seg. Ein skulle trudd at dette var på plass i versjon 4.1.2, men den gang ei!

Google Play Music applikasjon

Eg har ein del musikk på telefonen. For spelelister generert frå PC i t.d. m3u-format er det ikkje problem. Problemet er spelelistene eg lagar med applikasjonen. Ved ein restart av telefonen blir alle desse tømde. Spelelista er der, men ho innehald ikkje spor. Det verste med det er at det ikkje er noko nytt problem. Søk på Google etter google play music playlists empty eller google play music playlists disappear.

Konklusjon

Eg er i sterke tvil om min neste telefon blir basert på Android. På meg virkar Android som eit system som ikkje er mogent nok. Det er altfor mange lus og store fundamentale problem som fører til at ein utan dei rette forholdsreglane kan ende opp med store tap av data og bortkasta tid med å setje opp att telefonen.

Tåkelegg skya for godt

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

For å vere heilt sikker på at ingen kan lese dine data, må du kryptere alle data som blir lasta opp. Sjølv om aviser hevdar at NSA knekker kryptering, har eg ikkje sett konkret dokumentasjon på det. Med utgongspunkt i Dropbox, vel eg likevel å skissere ei totalløysing med EncFS. Du vil fort forstå at ho er enkel å tilpasse alle skytenester som SkyDrive, GoogleDrive osv. Formålet er å ikkje gi ut nokon informasjon om di sikring av filene dine.

  1. Det første du må gjere er å installere programvare i innlegget EncFS sikrar dine filer på nettet.
  2. Sett standardinnstillingar slik som skissert i EncFS sikrar dine filer på nettet.

Når alt er installert og du har starta EncFS for Windows, vil det kome opp ein nøkkel i systemfeltet (system tray) nede til høgre i skjermbilete av Windows:

  1. Høgreklikk på nøkkelen
  2. Vel Open/Create
  3. Opprett ei mappe under ditt brukarnamn med t.d. namnet Skya
  4. Vel stasjon, i mitt eksempel brukar eg stasjon S,  som skal vere “redigeringskanalen”. Stasjonen gir tilgang “on-the-fly” til den dekryptert versjonen av filene.
  5. Lag eit godt passord eller setning

Det som har skjedd no er at det er oppretta ei fil .encfs6.xlm i mappa Skya. Du skal aldri kopiere filer eller mapper over i mappa Skya. Alle mapper og filer som blir skrivne via den virtuelle stasjonen (stasjon S i mitt eksempel) i EncFS, blir kryptert etter innstillingane i .encfs6.xml og lagra i mappa Skya. Fila .encfs6.xml  inneheld ikkje passordet/setningen i klartekst, men i lys av udokumenterte påstandar i media, vel eg å fjerne informasjonen frå likninga. Utan fila eliminerer ein fleire variablar som gjer det umogleg å få tilgang til informasjonen i filene du lastar opp. Eg treng vel ikkje minne deg om at du må ta backup av .encfs6.xml? Utan fila får du ikkje tilgang til dine data. Ikkje eingong NSA eller høgare makter kan hjelpe deg.

  1. Monter mappa til stasjon ved å klikke på nøkkelen system feltet og velje Mount
  2. Opprett ei mappe Dropbox på stasjon S
  3. Flytt alt frå den originale Dropbox-mappa til S:\Dropbox
  4. Vent til Dropbox-appen slettar alle filer
  5. Når Dropbox-appen er ferdig, avslutt Dropbox-appen
  6. Når Dropbox-appen er avslutta, slett mappa Dropbox frå brukarmappa di i Windows, ikkje S:\Dropbox

Dropbox-appen har hardkoda Dropbox som mappenamn. Uansett kor du peikar han slenger han på Dropbox. Om du ser under mappa Skya vil du sjå det krypterte namnet til mappa S:\Dropbox. Her ser du korleis det ser ut hjå meg:

enfsdropbox

Det du må gjere er å lage ein link med namn Dropbox under brukarområdet ditt til det krypterte namnet til Dropbox-mappa under mappa Skya. Dette må gjerast frå kommandolina/Ledetekst i Windows:

  1. Opne Ledetekst under Alle programmer\Tilbehør i Start-menyen
  2. Skriv mklink /J Dropbox «C:\Users\<brukarnamnet ditt>\Skya\<Kryptert namn til Dropbox-katalogen>»
  3. Sjekk at lenka fungerer frå Windows utforskar
  4. Når alt fungerer, start Dropbox-appen
  5. Opplasting av krypterte filer startar

Når det gjeld punkt 2, er det viktig at du bruker hermeteikn rundt stien som linken skal peike til. Årsaka er at det kan kome bindeteikn tilsvarande mellomrom frå krypteringa av mappenamnet. Utan hermeteikn kan linken bli feil.

Alt som du lagrar i S:\Dropbox\ bli lasta opp kryptert. Her ser du korleis det set ut hjå meg:

dropbox

Det siste du bør gjere er å logge deg på http://www.dropbox.com og slå på visning av sletta filer og mapper og fjerne desse for godt.

ownCloud – god ide, men utruleg treg

oncloudDå har eg fått testa ownCloud i nokre dagar, og konklusjonen er at løysinga ikkje er mogen enno.

Til mine testar har eg nytta ei eldre AMD X2-4400+ maskin med 4 GB RAM og køyrande Windows XP 32-bit. ownCloud-serveren vart lagt på eit Raid 0 av 3 diskar. Eg nytta følgjande programvare:

  • WAMPSERVER (32 BITS & PHP 5.4) 2.4 med Apache : 2.4.4 MySQL : 5.6.12 PHP : 5.4.16 PHPMyAdmin : 4.0.4 SqlBuddy : 1.3.3 XDebug : 2.2.3
  • ownCloud 5.0.9
  • ownCloud-klient 1.3.0 for Windows og Linux

Meir om klargjeringa av ownCloud-server kan du lese i mitt tidlegare innlegg.

Sykronisering av filer til ownCloud-server er utruleg treg. Du merkar det ikkje så mykje om du dreg/oppdaterer nokre få filer om gongen . Problemet vart avdekka ved at eg nytta ei mappe som inneheld ca 235 MB med filer fordelt på 15 mapper og i overant av 4.300 filer. Filene er små og omfattar html, ini, css samt nokre ørsmå gif-filer. Windows-klienten køyrde på ei berbar maskin med SSD og Intel Core i5-540M-prosessor. Trafikken gjekk via eit trådlaust nettverk (70-80 Mb).

Det tok over 7 timar å synkronisere/laste opp mappa til server. Same mappa sykronisert til Ubuntu One, over ADSL-linje med 0,5 Mb ut, tek ein brøkdel av tida.

I ettermiddag har eg testa ut min siste teori. Eg la merke til at Apache ligg på 30-40% når det pågår ei synkronisering mot WAMP-serveren. Teorien var at det kunne vere noko med krypteringa av trafikken via SSL. Eg gjorde eit forsøk utan SSL internt og samanlinka farten på loggvisninga i klienten med når det var kryptert trafikk. Det var ingen merkbar skilnad og eg gidd ikkje vente nye 7 timar på å få det stadfesta.

Det neste eg hadde tenkt å gjere var å gå over til linux, i tilfelle det var noko med Windows-løysinga og WAMP som skapte problem. Dessverre ser det ut til at det ikkje er noko betre på ein linux-server.

ownCloud – ei privat sky

ownCloudI desse tider med Snowden som hevdar at etterretningstenster kan få tilgang til det meste av informasjon, har eg for moro skuld sett litt etter alternativ. Ikkje det at eg har så mykje interessant, men eg meinar at mine filer skal eg i utgongspunkt ha full kontroll. Inntil no har eg inngått visse kompromiss. Det viktigaste har eg sikra på best mogleg måte eller ikkje lagt på skytenester.

Eg har sett på ulike synkroniseringstenester som Tonido eller ei meir lokal teneste som  BiTtorrent Sync, Alt har sin pris eller sine ulemper. ownCloud virkar som eit betre alternativ Med Tonido må ein registrere konto. Kor er då krypteringsnøkkelen osv? BiTtorrent Sync fungerer greit innafor eige nettverk, men krev litt meir over internett. I tillegg vert ikkje filer lagra kryptert (på synkroniseringsserver). ownCloud virkar i så måte betre ved at ein mellom anna kryptering på serversida.

Til prøveoppsettet mitt brukar eg ein WAMP-server, komplett med Apache, MySQL og PHP er dette eit godt utgongspunkt. Eg justerte nokre rettar og passord på MySQL-serveren av personlege preferansar. Oppsettet av ownCloud gjekk rimeleg greitt. I første forsøk blinksa eg litt når det gjaldt kva for brukarnamn og passord relatert til MySQL. Eg trudde at ownCloud bad om å oppretta ein ny databasekonto, men det var root-kontoen (standard administrator) eg skulle legge inn. ownCloud-oppsettinga genrerer automatisk sin eigen brukarkonto til  MySQL.  I tillegg opplevde eg at eg vart låst ute av serveren når eg aktiverte kryptering av filer på server. Eg trur at det kan tilskrivast mine eksperiment. Når eg sette opp i andre forsøk, gjekk alt «meget bedre».

Med ownCloud oppe byrja arbeidet med å klargjere den for internett. Standard oppsett køyrer ownCloud over http utan kryptering. Dette er greitt nok over ditt eige private nettverk, men skal synkroniseringa skje via internett må ein implementere ein kryptert kanal, slik som nettbankane. Med ei linux-maskin fekk eg enkelt generert eit sertifikat som kunne brukast til å sikre kommunikasjonen:

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt

Ettter at sertifikatet var på plass og kommunikasjonen mellom klientena og server var sikra mot sniffing, var tida komen for å sikra Apache-sereren best mogleg. Ein må sørge for å reudsere svakheiter og slå av ulike modular samt gjere nokre justeringar i oppsettet. Mellom anna vil du ikkje ha grensesnittet til WAMP-serveren ute på internett. Tenaren din må ikkje vere ein open invitasjon til tvilsomme sjeler å hente ut mest mogleg informasjon. Eit søk etter hardening Apache server løyste det meste. Det som gjenstod var ei lita justering av internettrouteren slik at ein obskur port vart opna for å motta og vidareformidla trafikken til rett maskin.

Totalt sett trur eg at eg har greidd å sikre min eigen tenar rimeleg godt. Det som gjenstår er å sjå om synkroniseringa vil fungere tilfredsstillande…

Full oppstarspartisjon i Ubuntu 12.04

Eg køyrer Ubuntu 12.04 med fullstendig kryptering av disk. Det er sett opp ein liten oppstartspartisjon for å laste kjernen. Diverre hender det at partisjonen går full slik at eg ikkje få installert oppdateringar av kjernen. Dette er kjedeleg og eg har ikkje funne noko godt grafisk verktøy for å fjerne gamle kjernar og frigjere plass til den nye.  Heldigvis har eg kommandolina.

For å liste kjernar som er tilgjengeleg på systemet køyrer eg denne frå terminal:

dpkg --list | grep linux-image

For å fjerne ein av dei gamle kjernane skriv eg

sudo apt-get purge linux-image-X.X.X-X-* 

X = ulike siffer i nummereringa i kjernen.

Om du slettar for mykje
Du må ikkje ta vekk alle kjernane fordi då startar ikkje maskina. Det må minst ligge att ein når du køyrer den første lina for sjekke kor mange du har att. Skulle du vere uheldig å fjerne alt, må du for all del ikkje slå av eller starte om maskin. Køyr kommandoen:

sudo apt-get install linux-image-generic-lts-quantal xserver-xorg-lts-quantal

for å få på plass siste kjerne av versjon 3.5.X-X

Ubuntu 12.04 på SSD

octane s2Eg skifta ut platelageret med fastminne på min Lenovo Ideapad Z380. Etter ein kort periode med Windows, for å teste SSDen, har eg installert Ubuntu 12.04. Installasjon gjekk utan problem, men tek ikkje omsyn til SSD. Trim blir ikkje sett opp. Dette kan føre til at ein over tid får ein tregare skrivefart sidan ledige blokker på SSDen ikkje er klargjort for skriving. Heldigvis fins det oppskrifter på dette og eg har plukka litt frå bloggen for å redusere skriving til SSDen.

Flytte tmp-områder til minne

I fila /etc/fstab som administrator la eg til:

# tmp i ram for å spare ssd
tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0
tmpfs /var/tmp tmpfs defaults,noatime,mode=1777 0 0

Aktiver trim

Eg køyrer maskina med fullstendig diskryptering som fører til at eg må gjere justeringar i både /etc/fstab og /etc/crypttab. Oppskrift fann eg her. Maskina mi kallar eg noko så fantasifullt som Z380. På grunn av diskkryptering via «logical volume mapper», må eg leite fram lina som startar på /dev/mapper/maskinnamn-root og legge til det eg har utheva

/dev/mapper/Z380-root / ext4 discard,noatime,nodiratime,errors=remount-ro 0 1

discard gir beskjed om trim frå kjernen til SSD. noatime og nodiratime gjer at informasjon om tidspunkt for aksessering av filer og katalogar ikkje blir oppdatert og dermed sparer SSD for skriving. I tillegg må ein justere fila /etc/crypttab. På slutten av denne står det luks skal du endre det til at det står

luks,discard

Deretter køyrde eg:

sudo update-initramfs -c -k all

Maskina vart restarta eg maskin og eg sjekka at trim var aktivert. Alt fungerte som det skulle og som med Windows 7 er Ubuntu 12.04 på SSD lynrask.

Fullstendig kryptering av Android

kryptere telefon

Telefonane våre har vorte meir og meir eit sentralt hjelpemiddel i det daglege liv. Vi tek bilete og video, utvekslar meldingar, er tilkopla sosiale medier, lastar ned e-post frå ulike kjelder med meir. Kort sagt mykje personlege og eventuelt data frå arbeidsgivar blir samla på einingen. Ved eit tap eller avhending utan eit visst forabeid, kan det få store konsekvensar. I Sverige har ein testa 50 telefonar som tidlegare var brukt av verksemder:

http://e24.no/it/fant-sensitiv-informasjon-paa-en-av-tre-mobiler/20330071

Telefonane var tilbakestilt til fabrikkinnstillingar, men det er ikkje nok. Det betyr berre at standard konfigurasjonsfiler er kopiert over dine og dine data er «sletta». Du kan tru at det er borte, men i realiteten har du berre rive ut innhaldslista av ei bok. Sider blir berre erstatta etter kvart som ein fyller på med nye data. Med dei rette verktøya er det ikkje noko hokus pokus å hente tilbake, bilete, videoar, e-post osv.

Kryptere telefon

Dei fleste er van med å setje ein pin-kode på telefonen for å låse den. Ein iPhone blir automatisk kryptert når du set pin-kode eller passord.  I Android 3+ må du aktivt velje å kryptere telefonen, der er det ingen automatikk at data blir kryptert når telefonen får sett skjermlås.

Bilete til venstre er henta frå Samsung Galaxy S2. Telefonen er kryptert. Imotsetning til iPhone krev Samsung S2 at ein brukar passord på minimum 6 teikn der eitt av dei er eit tal for krypteringa. Det same passordet som blir brukt på skjermlåsen. Ulempa er at ein må forhalde seg til eit fullstendig tastatur på skjermen, som gjer det vanskelegare å treffe teikna. Eg let diskusjonen om det er god nok tryggleik at den same koden for skjermlås er den som òg låser opp ein kryptert telefon. Det er ikkje er ofte ein slår av og på ein telefon. Eit lite brukt passord kan lett gå i gløymeboka.

Før du krypterer, kopier ut data på telefonen i tilfelle det skulle oppstå problem under krypteringa. For å få lov til å starte krypteringa av Samsung Galaxy S2, må telefonen først ladast opp til 100%. Ladaren må stå i under krypteringa og set av tid til det. Eg tilrår at du syter for at heile dataområdet blir kryptert, for å hindre at restar av gamle filfragment kan gjenfinnast.

Ikkje gløym SD-kortet

kryptere sd-kort

Samsung Galaxy S2 støttar minnekort, som må krypterast separat. Før du krypterer, kopier ut data som ligg på SD-kortet i tilfelle det skulle oppstå problem under krypteringa. Du må passe på å kryptere heile kortet. Eg ser ingen grunn til å utelate multimediafiler. Du vil vel ikkje at dine bilete og/eller videoar skal vere tilgjengeleg dersom telefonen går tapt. Alt etter kor stort minnekortet ditt er, vil det ta noko tid.

Oppsummering

Når telefonen er kryptert, vil gjenoppretting til fabrikkinnstillingar føre til at krypteringsnøkkelen forsvinn. Det er ikkje mogleg å køyre gjenoppretting sidan dine krypterte data berre framstår som tilfeldige data.

Med andre ord skal det ikkje vere mogleg å finne data i tilsvarande omfang som rapportert i artikkelen over.

Ubuntu 12.04 manglar dvalemodus

CDon selde ut Asus U32U/X32U til halv pris med alle rabattar. Sidan Windows 8 er klar om litt, får eg med oppdatering for nokre få kroner. Grensesnittet i Windows har Microsoft valt å endre vesentleg. I mellomtida ville eg gi Ubuntu 12.04 med Unity eit ekstra forsøk.

Det vesentlegaste eg la merke til, etter ordinær installasjonen, var at moglegheita til dvalemodus ikkje var tilgjengeleg i strauminnstillingane eller frå systemmenyen. Eg søkte litt rundt og fann ut at dvalemodus hadde blitt slått av med hensikt. Avgjersla har med at det for enkelte nyare maskiner kan ha problem med dvalemodus. Ein del brukarar har gitt klar beskjed om kva dei meinar om å fjerne dvalemodus.

Oppdatering:
Etter at eg publiserte første utkast til løysing, har eg installert Ubuntu 12.04 på nytt, no med fullstendig kryptering av disk, ved hjelp av alternativ cd-versjon. Erfaringane tilseier at du må først må få  kvilemodus til å fungere. Utan kvilemodus på plass, vil du oppleve problem når maskina gå i dvalemodus.

1. Slå på Dvalemodus

  • Opne ein terminal
  • Skriv sudo gedit /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla
  • Trykk Enter/Linjeskift
  • Kopier og lim inn dette:
    [Re-enable hibernate by default]
    Identity=unix-user:*
    Action=org.freedesktop.upower.hibernate
    ResultActive=yes
  • Lagre fila
  • Restart maskin

gpg2go og gpg4u – sikker informasjonsutveksling

Dei siste åra har eg hatt ei enkel løysing for kryptering og signering av filer. Løysinga er bygd opp ved hjelp av batch-filer som nyttar gnupg og 7-zip for å løyse ymse oppgåver. Ho skal fungere i alt frå Windows XP til Windows 7.

I dag tok eg finpussen og sjekka ut løysingane slik at eg kunne dele dei med andre og kanskje få nokre innspel på forbetringar. Eg har laga til ei eiga side her på bloggen med lenker til kor du kan laste ned løysinga.

Ver obs på at du brukar dei på eige ansvar!

Ver merksam på online backuptenester

Eg har starta å sjå litt på tenester som tilbyr backup over nettet og har avskrive to.

Ubuntu One
Sidan eg har testa ymse versjonar av Ubuntu, sjekka eg ut Ubunu One. Dei er rimeleg opne og tydelege på at overføringa dit er sikra, men at lagringa ikkje skjer sikra/kryptert fordi du skal ha moglegheita til å dele filer med andre. Med andre ord har systemadministratorar eller brukarar med høge nok administrative tilgangar hjå Ubunu One moglegheit til å lese filene dine. I verste fall kan informasjonen lagra i dei bli utnytta. Det synes eg ikkje noko om.

Jotta
Jotta er ei norsk teneste som breier om seg, òg under andre merkenamn som PCWorld osv. Eg oppretta ein konto og testa klienten. Programvara er enkel å setje opp, men så la eg merke til at ein kunne dele filer med andre. Det betyr at Jotta enten må lagre dine data på sine serverar ukryptert/opne. Dersom data blir lagra kryptert er nøkkelen for å dekryptere, for deling, tilgjengeleg hos Jotta. Då sit ein att med same risiko som hos Ubunu One. Det synes eg ikkje noko om.

Det eg synes mindre om at Jotta ikkje er opne om det. I ofte stilte spørsmål unngår dei å svare på spørsmålet. Dei seier at overføringa er sikra, men så tek dei ein kjapp ein og berre svarar på om Jotta tilsette overvakar filene. Er data lagra ukryptert eller nøkkel for dekryptering tilgjengeleg hjå Jotta, kan tilsette hjå Jotta lese filene og i verste fall utnytte informasjonen i dei. Slike moglegheiter skal, ikkje må, men SKAL IKKJE vere til stade.

Slutning
Korkje Ubuntu One eller Jotta kan eg på noverande tidspunkt tilrå for dine tryggleikskopiar. Systemeigar har tilgang til dine data.