About pallih

Posts by pallih:

Frumvörp um kosningar á 146. þingi og afdrif þeirra

kjordagur-0881-1_1

Við hér hjá hinu stafræna samlagi, gogn.in, erum ekki bara áhugafólk um kosningar, heldur störfum við mörg hver við kosningar. Undirritaður hefur t.d. borið ábyrgð á meðferð utankjörfundaratkvæða við allar almennar kosningar í Reykjavík síðan 2011, auk þes að koma að uppgjöri og undirbúningi allra þeirra kosninga í samstarfi við starfsfólk Reykjavíkurborgar og yfirkjörstjórnir.

Á því þingi sem nú var að ljúka komu fram nokkur þingmál sem lúta að kosningum. Förum nú yfir þau.

Byrjum á þeim frumvörpum sem urðu að lögum:

Það er stuttur listi. Ekkert frumvarp sem lýtur að kosningum varð að lögum.

Eitt frumvarp náði alla leið í þriðju umræðu og atkvæðagreiðslu:

Frumvarp til laga um breytingu á lögum um kosningar til sveitarstjórna, nr. 5/1998, með síðari breytingum (kosningarréttur erlendra ríkisborgara)

Frumvarpið, sem er borið fram af þingmönnum Viðreisnar, miðar að því að stytta þann tíma sem erlendir ríkisborgarar þurfa að dvelja hér, áður en þeir fá kosningarétt (og kjörgengi) í sveitarstjórnarkosningum. Með frumvarpinu fylgdi tafla þar sem Norðurlöndin eru borin saman:

Screenshot 2017-06-01 21.58.08

Með frumvarpinu var lagt til að hér yrði staðan sú sama og í Danmörku og Svíþjóð. Stjórnskipunar- og eftirlitsnefnd fjallaði um frumvarpið, sendi 58 aðilum umsagnarbeiðnir og fékk 6. Allar umsagnir voru jákvæðar, nema umsögn lýðræðisfélagsins Öldu, sem vildi ganga enn lengra og afnema öll tímamörk á kosningarétti erlendra ríkisborgara. Eftir umfjöllun nefndarinnar varð það úr að hún lagði til að frumvarpinu yrðir vísað til ríkisstjórnarinnar til frekari meðferðar. Fyrsti flutningsmaður, Pawel Bartoszek lét þess getið í atkvæðagreiðslu um tillögu nefndarinnar (sem var samþykkt) að Dómsmálaráðuneytið mætti eiga von á að finna sinn “hlýja andardrátt á hnakka sínum” til að tryggja framgang málsins.

Þrjú frumvörp voru í nefnd þegar þingfundum var frestað.

Kosningar til sveitarstjórna (kosningaaldur)

Frumvarpið, sem er borið fram af fulltrúm allra flokka, er sett fram til að lækka kosningaaldur í kosningum til sveitarstjórna úr átján árum í sextán. Tuttugu umsagnir bárust allsherjar- og menntamálanefnd, nær allar jákvæðar. Íslenska Þjóðfylkingin sagði í sinni umsögn að “gjörningurinn væri arfa vitlaus”.

Sveitarstjórnarlög (íbúakosningar)

Píratar endurfluttu frumvarp sitt um breytingar á sveitarstjórnarlögum sem kveða á um að hlutfall íbúa sem þarf til að fara fram á íbúakosningu skuli vera 20% eða hærra. Frumvarpið miðar að því að afnema þann þröskuld og gefa sveitarstjórnum sjálfdæmi í því hversu hátt (eða lágt) hlutfallið þarf að vera. Frumvarpið gekk til umhverfis-og samgöngunefndar sem sendi 90 umsagnarbeiðnir en fékk einungis tvær sendar til sín. Önnur frá Fljótsdalshéraði sem tók ekki afstöðu og aðra frá ASÍ sem “gerir ekki athugasemdir við efni málsins”.

Sveitarstjórnarlög (fjöldi fulltrúa í sveitarstjórn)

Samgöngu- og sveitarstjórnarráðherra flutti stjórnarfrumvarp um breytingar á sveitarstjórnalögum þar sem lágmarksfjöldi aðalmann í sveitarstjórn í sveitarfélögum þar sem íbúar eru 100 þúsund eða fleiri skal vera 23. Einungis eitt sveitarfélag uppfyllir það, Reykjavíkurborg, en þar eru nú borgarfulltrúar fimmtán. Við komandi sveitarstjórnarkosningar verður því, samkvæmt núgildandi lögum, borgarfulltrúum fjölgað í 23 að lágmarki (og 31 að hámarki).
Frumvarpið gengur út á að afturkalla þessa fjölgun borgarfulltrúa en hún hefur verið hluti af lögunum allt frá setningu þeirra árið 2011, en þó með því bráðabirgðarákvæði þess efnis að breytingin tæki ekki gildi fyrr en við aðrar kosningar frá setningu. Semsagt í fyrsta lagi við sveitarstjórnarkosningar 2018.
Fjórar umsagnir bárust umhverfis- og samgöngunefnd. Ber þar helst að nefna umsögn forsætisnefndar Reykjavíkurborgar sem lagðist gegn málinu. Þar segir m.a.: “Forsætisnefnd hefur unnið markvisst að fjölgun borgarfulltrúa eftir gildandi lögum allt þetta kjörtímabil og furðar sig á því að undir lok þess kjósi löggjafinn einhliða að setja hlutverk hennar að þessu leyti í óvissu og hundsa með öllu fyrri umsögn hennar.”

Flest þessara frumvarpa fjalla um kosningar til sveitarstjórna sem verða næst haldnar eftir tæpt ár, í lok maí 2018. Ólíklegt verður talið að á haustþingi verði gerð sú breyting sem Samgöngu- og sveitarstjórnarráðherra lagði til (um afturköllun fjölgunar borgarfulltrúa). Markast það af því að þá verður tíminn til sveitarstjórnakosninga of skammur. Önnur frumvörp sem lúta að kosningarétti ungmenna og erlendra ríkisborgara gætu hins vegar vel verið afgreidd þá, enda eru þær breytingar einfaldari, þó þær séu að sjálfsögðu ekki smávægilegar.

Tvö frumvörp komu svo ekki til 1. umræðu, bæði borin fram af Viktori Orra Valgarðssyni, Pírata.
Kosningar til Alþingis (skipting þingsæta) og Kosningar til Alþingis (persónukjör þvert á flokka).

Að lokum er vert að minnast á viðamikið frumvarp um endurskoðun á undirbúningi og framkvæmd kosninga til Alþingis sem forsætisnefnd þingsins lagði fram á síðasta þing (því 145.) en kom ekki til afgreiðslu þá, og ekki heldur á nýafstöðnu þingi. Það frumvarp var samið af vinnuhópi um endurskoðun kosningalaga og inniheldur ýmsar nýjungar við framkvæmd kosninga til Alþingis. Helst má þar nefna ákvæði um að kjörskrá geti verið rafræn sem og að hlutverk Landskjörstjórnar er skýrt og eflt.

– Páll Hilmarsson

Lykilorð í Vodafone lekanum

Hluti af "signup" töflunni í Vodafone lekanum

Hluti af “signup” töflunni í Vodafone lekanum

Þann 30. nóvember 2013 láku gögn af netþjóni Vodafone á netið. Stærstur hluti lekans voru sms-skilaboð sem notendur höfðu sent í gegnum vef fyrirtækisins. Einnig var þar að finna gagnagrunnstöflur með símanúmerum, kennitölum, netföngum og lykilorðum notenda (svo fátt eitt sé nefnt). Lekinn hafði víðtæk áhrif, netöryggissveit Póst- og fjarskiptastofnunar skrifaði skýrslu um málið og nokkrir notendur fengu skaðabætur eftir dómsmál.

Forritarar Vodafone kusu að dulrita öll lykilorð í gagnagrunninum, yfirleitt í dálki nefndum ‘encpasswd’. Alls voru 104.754 lykilorð dulrituð þannig. Af þeim voru 30.140, eða um 29%, einnig ódulrituð í dálki nefndum ‘password’. Það eru þessi lykilorð sem við ætlum að líta aðeins á.

Mismunandi var hvort lykilorðin voru pöruð við netföng. Sumar töflur voru þannig að notendanafn var kennitala eða símanúmer. Það sem hér fer á eftir á við þau lykilorð sem ekki voru dulkóðuð og höfðu viðhengt netfang. Einnig fjarlægðum við tvítekningar. Eftir standa 26.654 lykilorð og netföng.

Byrjum á smá tölfræði.

Ekki er mikið um tvítekningar lykilorða. Hér eru efstu 20:

user@computer:$ cat top_20.txt
123456 = 21 (0.08%)
vodafone = 6 (0.02%)
pjakkur1 = 6 (0.02%)
abc123 = 6 (0.02%)
mamma123 = 6 (0.02%)
asdf1234 = 5 (0.02%)
skuggi = 5 (0.02%)
fokker50 = 5 (0.02%)
mamma1 = 5 (0.02%)
sumar123 = 5 (0.02%)
hekla1 = 5 (0.02%)
1234 = 5 (0.02%)
pjakkur = 5 (0.02%)
alexander1 = 5 (0.02%)
jonas123 = 5 (0.02%)
gaman123 = 5 (0.02%)
perla1 = 4 (0.02%)
voda123 = 4 (0.02%)
sandra = 4 (0.02%)

Ef við skoðum topp 20 þegar búið er að taka tákn og tölur af báðum endum:

user@computer:$ cat top_20_base.txt
mamma = 57 (0.21%)
siggi = 54 (0.2%)
anna = 51 (0.19%)
vodafone = 50 (0.19%)
sumar = 44 (0.17%)
gunnar = 42 (0.16%)
inga = 41 (0.15%)
helga = 37 (0.14%)
hundur = 36 (0.14%)
disa = 36 (0.14%)
nonni = 35 (0.13%)
simi = 33 (0.12%)
hildur = 31 (0.12%)
voda = 31 (0.12%)
sigrun = 31 (0.12%)
gummi = 31 (0.12%)
liverpool = 30 (0.11%)
sigga = 29 (0.11%)
ingi = 28 (0.11%)
vetur = 28 (0.11%)

Dreifing lengdar:

user@computer:$ cat top_length-lenght.txt
1 = 1 (0.0%)
2 = 3 (0.01%)
3 = 10 (0.04%)
4 = 41 (0.15%)
5 = 45 (0.17%)
6 = 3841 (14.41%)
7 = 3691 (13.85%)
8 = 8086 (30.34%)
9 = 4558 (17.1%)
10 = 3081 (11.56%)
11 = 1557 (5.84%)
12 = 927 (3.48%)
13 = 390 (1.46%)
14 = 203 (0.76%)
15 = 103 (0.39%)
16 = 61 (0.23%)
17 = 22 (0.08%)
18 = 11 (0.04%)
19 = 3 (0.01%)
20 = 10 (0.04%)
21 = 4 (0.02%)
23 = 4 (0.02%)
24 = 1 (0.0%)
32 = 1 (0.0%)

Og lengd röðuð eftir fjölda:

user@computer:$ cat top_20_length-count.txt
8 = 8086 (30.34%)
9 = 4558 (17.1%)
6 = 3841 (14.41%)
7 = 3691 (13.85%)
10 = 3081 (11.56%)
11 = 1557 (5.84%)
12 = 927 (3.48%)
13 = 390 (1.46%)
14 = 203 (0.76%)
15 = 103 (0.39%)
16 = 61 (0.23%)
5 = 45 (0.17%)
4 = 41 (0.15%)
17 = 22 (0.08%)
18 = 11 (0.04%)
20 = 10 (0.04%)
3 = 10 (0.04%)
23 = 4 (0.02%)
21 = 4 (0.02%)
2 = 3 (0.01%)
19 = 3 (0.01%)
32 = 1 (0.0%)
1 = 1 (0.0%)
24 = 1 (0.0%)

One to six characters = 3941 (14.79%)
One to eight characters = 15718 (58.97'%)
More than eight characters = 10936 (41.03%)

Samsetning lykilorðanna:

user@computer:$ cat characters.txt
Character sets
loweralphanum: 20084 (75.35%)
mixedalphanum: 3774 (14.16%)
loweralpha: 1498 (5.62%)
numeric: 529 (1.98%)
loweralphaspecialnum: 312 (1.17%)
mixedalphaspecialnum: 226 (0.85%)
mixedalpha: 110 (0.41%)
upperalphanum: 66 (0.25%)
loweralphaspecial: 26 (0.1%)
upperalpha: 15 (0.06%)
mixedalphaspecial: 9 (0.03%)
specialnum: 2 (0.01%)
upperalphaspecial: 1 (0.0%)

Character set ordering
stringdigit: 18207 (68.31%)
stringdigitstring: 2808 (10.54%)
allstring: 1623 (6.09%)
othermask: 1536 (5.76%)
digitstring: 1299 (4.87%)
alldigit: 529 (1.98%)
digitstringdigit: 349 (1.31%)
stringspecialdigit: 268 (1.01%)
stringspecialstring: 28 (0.11%)
stringspecial: 6 (0.02%)
specialstringspecial: 1 (0.0%)

Ok. Hvað vitum við nú?

  • Það er lítið um tvítekningar. Það er: fáir notendur eru að nota sama lykilorðið.
  • Eitthvað er um að notendur noti sömu orðin til að útbúa lykilorð (með viðbótum).
  • Flest lykilorð eru 6-10 stafir að lengd
  • Langflest lykilorð (75%) eru lágstafir+tölustafir
  • Mikill meirihluti (68%) eru strengur+tala/tölur

Skoðum núna hvort einhverjir notendur notuðu hluta af netföngum sínum sem lykilorð:

user@computer:$ cat emails.txt
Exact Matches
-------------
Whole Email Address
No Exact Matches

Just Name
Total: 175

Semsagt: 175 notendur voru með sama lykilorð og fyrri hluti netfangs. Dæmi (tilbúið):

Netfang: helgibest@tolvupostur.is
Lykilorð: helgibest

Ef við notumst við Levenshtein algrímið til að sjá hvort notendur eru að gera (smávægilegar) breytingar á fyrri hluta netfangs og nota það sem lykilorð:

user@computer:$ cat emails-levenshtein_3.txt
Levenshtein Results (max 3)
-------------------
Average distance (email) 16.59
Average distance (name) 8.47

Close Matches
-------------
Whole Email Address
Total: 1

Just Name
Total: 902

902 lykilorð eru þremur breytingum eða færra frá fyrri hluta netfangs notandans. Dæmi (tilbúið)

Netfang: helgibest@tolvupostur.is
Lykilorð: helgi6best

Eins og áður sagði voru öll lykilorð hjá Vodafone geymd dulkóðuð (þó stór hluti þeirra hafi einnig verið geymd ódulkóðuð). Dulkóðunin sem Vodafone valdi er bcrypt með 8 lotum. Ímyndum okkur nú að einhver hafi komist yfir gagnagrunninn og ekkert lykilorð hafi verið ódulkóðað, heldur einungis dulkóðaða útgáfan. Hverjir væru möguleikar hins illa hakkara til að komast í lykilorðin?

Hún gæti prófað allar samsetningar allra stafa, en það tæki óratíma. Til að stytta sér leið væri hægt að notast við orðalista. Einn sá helsti sem auðveldlega er hægt að nálgast er listi með lykilorðum frá bandaríska fyrirtækinu rockyou.

Skoðum hversu mörg lykilorð í rockyou listanum eru í listanum okkar:

user@computer:$ cat rockyou.txt | wc -l
4225

Lykilorð 4224 reikninga í Vodafone lekanum eru stafrétt eins og í rockyou lekanum. Það eru 16% af þeim sem við erum að vinna með.

Eitt helsta tól til að brjóta dulkóðuð lykilorð á þennan hátt (brute-force) er hashcat. Ef við keyrum hashcat á þau lykilorð sem eftir eru og bætum við einum tölustaf aftast í öll lykilorðin í rockyou listanum:

user@computer:$ cat rockyou?d.txt | wc -l
1467

Example:

grettir3:grettir3
gormur13:gormur13

Hér erum við semsagt búin að prófa öll lykilorðin í rockyou listanum og bæta við einni tölu aftast við hvert. Dæmi:

lykilorð: siggi1
prófað: siggi10, siggi11, siggi12, siggi13, siggi14, siggi15, siggi16, siggi17, siggi18, siggi19

En afhverju einn tölustafur? Jú við vitum að 68% lykilorða er strengur + tala/tölustafur.

Prófum að bæta við einni tölu enn (sú aðgerð er mun tímafrekari, en samt sem áður vel framkvæmanleg):

user@computer:$ cat rockyou?d?d.txt | wc -l
2855

Example:

G-striker79:G-striker79
Freyja28:Freyja28

Og þeirri þriðju:

user@computer:$ cat rockyou?d?d?d.txt | wc -l
920

Example:

Element2006:Element2006
Centrino123:Centrino123

Hér erum við semsagt komin með lykilorð 9467 reikninga, eða 36%.

Ímyndum okkur nú að hakkarinn okkar sé nokkuð kunnugur íslensku samfélagi og viti að grunnurinn sem hún er með í höndunum sé frá íslensku fyrirtæki. Mætti kannski hugsa sér að prófa sérsniðinn orðalista?

Notum orðalista Beygingarlýsingar íslensks nútímamáls (BÍN), en síum út orð með íslenskum sértáknum. Það gera um 730.000 orð:

user@computer:$ cat bin.txt | wc -l
106

Example:

stundum:stundum
surtur:surtur

Prófum að bæta við einum tölustaf:

user@computer:$ cat bin?d.txt | wc -l
223

Example:

brussa1:brussa1
Dadda1:Dadda1

Tveimur bætt við:

user@computer:$ cat bin?d?d.txt | wc -l
644

Example:

skepna79:skepna79
skemmtileg64:skemmtileg64

Þrír:

user@computer:$ cat bin?d?d?d.txt | wc -l
171

Example:

folda234:folda234
austur104:austur104

Hér bættust við 500 reikningar.

Prófum einn orðalista enn: Öll samþykkt mannanöfn, fengið héðan.

user@computer:$ cat mannanofn.txt | wc -l
1

Example:

hersir:hersir

Ekki gaf það mikið. Bætum við einum tölustaf:

user@computer:$ cat mannanofn?d.txt | wc -l
35

Example:

Sigurjon2:Sigurjon2
Kristall3:Kristall3

Tveir:

user@computer:$ cat mannanofn?d?d.txt | wc -l
87

Example:

Frosti06:Frosti06
Hafrun28:Hafrun28

Látum staðar numið hér. Með tiltölulega litlum tilkostnaði höfum við fundið lykilorð 10.774 reikninga, eða 40%.

Athugaðu að þegar við segjum “með litlum tilkostnaði”, þá er það ekki allskostar rétt. Það veltur allt á því hverskonar dulkóðun verið er að reyna að brjóta. Í tilfelli Vodafone var sjálf dulkóðunin nokkuð sterk, fyrir utan náttúrulega það ótrúlega verklag að geyma lykilorð ódulkóðuð. Það sem hinsvegar minnkar kostnaðinn er hvernig notendur samsetja lykilorðin sín. Það er mjög fyrirsjáanlegt, eins og við höfum sýnt fram á.

Nú höfum við ekkert til að bera saman við þennan lykilorðalista sem var í Vodafone lekanum, en það hefur sýnt sig erlendis að notendur nota sömu lykilorð á mismunandi stöðum (eins og við reyndar sýndum fram á með samanburðinum við rockyou listann). Það má því leiða líkur að því að í öðrum kerfum, velji íslenskir netnotendur sér lykilorð sem eru af svipuðum (eða jafnvel bara nákvæmlega eins) toga.

En hvað er þá til ráða? Hvernig á að velja lykilorð?

1. Besta lykilorðið er lykilorð sem þú kannt ekki.
Notaðu forrit til að halda utanum lykilorðin þín, og láttu það forrit útbúa þau sjálfkrafa. Hér eru nokkur góð: 1Password, LastPass, KeePass.

2. Ekki nota sama lykilorðið neinstaðar. Ég endurtek: ekki nota sama lykilorðið neinstaðar.
Ef hakkari finnur lykilorðið þitt á einni vefsíðu, og þú hefur notað það víðar, þá ertu búinn að tapa. Þá er allt búið.

3. Ef þú af einhverjum furðulegum ástæðum getur ekki notað eitt af þeim forritum hér að ofan til að halda utanum lykilorð, reyndu þá að útbúa lykilorðin þín þannig að þau séu ekki í líkingu við þau sem meirihluti notenda Vodafone útbjó. Landsbankinn birti nýlega ágætis grein um hvernig gott er að velja lykilorð.

Dæmi:
Skref 1: Búum til lykilorðasetningu:
Hví í ósköpunum þarf ég að muna svona mörg lykilorð?

Skref 2: Fjarlægjum orðabilin:
Hvííósköpunumþarfégaðmunasvonamörglykilorð?

Skref 3: Veljum stuttan bút úr setningunni:
íósköpun

Skref 4: Bætum tölustöfum og a.m.k. einum hástaf einhversstaðar inn:
íósKöpun73 (10 stafir með blöndu af bók- og tölustöfum, há- og lágstöfum).

Við þetta má bæta að ef þessi aðferð er notuð er gott að venja sig á að velja ekki bút úr setningunni sem hefst á orði. Dæmi um það væri t.d.:

unas3voNamö

Sá sem þetta ritar er með 826 lykilorð vistuð í því forriti sem heldur utanum lykilorð. Mögulega er það í hærri kantinum, en það er ljóst að meðal notandi þarf að halda utanum tugi lykilorða. Það er erfitt að muna flókin lykilorð, jafnvel þó hjálparsetningar séu notaðar. Lang, lang best er að nota forrit til að hjálpa sér við það.

20140205_141029

Rafrænar íbúakosningar og öryggi

Vorið 2013 voru samþykktar breytingar á sveitarstjórnarlögum, sérstaklega til að auðvelda framkvæmd rafrænna íbúakosninga. Þjóðskrá var falið að framfylgja því, þróa og reka kosningakerfi. Ári síðar var kynntur samningur Þjóðskrár og spænska fyrirtækisins Scytl um kaup á kerfi. Jafnframt var tilkynnt að stefnt væri að tilraunakosningum í tveimur sveitarfélögum á haustdögum 2014. Það gekk ekki eftir, en í samningnum er tilgreint að prufukeyrsla geti farið fram allt þar til 30. júní á þessu ári rennur upp.

Samhliða kynningunni á samningnum hélt þáverandi innanríkisráðherra, Hanna Birna Kristjánsdóttirfund fyrir sveitarfélög (varúð: PDF). Ég komst ekki á sjálfan fundinn, en fylgdist með netútsendingu og sendi inn svohljóðandi spurningu:

Það kom fram að kóði kerfis Scytl væri alfarið opinn og aðgengilegur.

Hvar er sá kóði? Það er, hvar er hægt að nálgast hann?

Nú man ég ekki nákvæmlega svarið, en það var eitthvað á það leið að verið væri að vinna í þessu öllu og fljótlega yrði þetta gert opinbert. Það er margt erfitt við framkvæmd á rafrænum kosningum, bæði tæknilega og félagslega, en ég ætla ekki að fara út í það hér. Geri það kannski seinna, en almennt get ég sagt að hrifning mín á kosningum yfir internet er ekki mikil. En ef á að fara slíka leið, þá er það eiginlega frumforsenda að hægt verði að fullvissa sig um að kerfið geri það sem það segist gera, ef traust á því og framkvæmd kosninganna á að vera eitthvert. Að öðrum kosti er tæknikerfið eins og einhverskonar svartur töfrakassi sem enginn/fáir vita hvort eða hvernig virkar.

Í júní í fyrra birtist svo grein á vef Þjóðskrár undir liðnum ‘Tíðindi af verkefninu’. Þar segir:

Rætt hefur verið um mikilvægi þess að kóði kosningakerfisins sé aðgengilegur til rýni, m.a. með það að markmiði að stuðla að gagnsæi og auka traust. Í samningi Þjóðskrár Íslands um notkun á kosningakerfi Scytl í tvennum tilraunakosningum er Þjóðskrá Íslands veittur aðgangur að frumkóða kerfisins ásamt heimild til að afhenda óháðum úttektaraðilum frumkóða til rýni. Í þeim tilraunakosningum sem framundan eru rýnir óháður íslenskur úttektaraðili frumkóðann og tekur út lykilþætti kerfisins.

Þannig er nú það. Ég hvet þig til að kynna þér efni um framkvæmd þessara ætluðu íbúakosninga og senda Þjóðskrá athugasemdir. Þar sýnist mér vera mikill vilji til að gera sem best.

Ekki síst hvet ég Þjóðskrá til að endurskoða þennan hluta framkvæmdarinnar, gera frumkóða kerfisins aðgengilegan til skoðunar.

“Truth is a human right” – ljost.is

Sunnudaginn 29. desember síðastliðinn, um kl 15, birti vefsíðan ljost.is gagnapakka með skjölum frá Glitni. Ljost.is er rekin af The Associated Whistleblowing Press sem er svona lýst á heimasíðu þeirra, www.awp.is:

The Associated Whistleblowing Press (AWP) is a nonprofit organization dedicated to the defense of the human rights by promoting transparency, freedom of information, freedom of speech, whistle-blowing and investigative journalism on a local and international level.

AWP virðist ætla að reka staðbundnar lekasíður í ýmsum löndum, og er sú íslenska þeirra fyrsta og byggir á GlobaLeaks verkefninu.

Gagnapakkinn sem birtur var samanstendur af 4 .zip skrám (Shareholders.zip, Loans.zip, Bok1000.zip og BjarniArmanssonExpensesPaid.zip) sem hver inniheldur .pdf skjöl með gögnum og svo skjali nefnt description.pdf. Þau skjöl innihalda stutta lýsingu frá útgefanda (ljost.is) á efni skjalanna.  Það sem vakti einna helst athygli í gær voru annarsvegar skjöl sem virðast sýna að Glitnir hafi greitt húsaleigu fyrir Bjarna Ármannsson í Osló, eftir að hann lét af störfum, og að aðstandendur ljost.is héldu því fram að Bjarni Benediktsson, núverandi fjármálaráðhérra hafi skuldað Glitni rúmlega 5 milljarða íslenskra króna. Það var svo orðað á síðunni:

Glitnir 2007-2008 loans list, featuring very low risk loans to enterprises owned by staff and a 5bi ISK loan to the current Icelandic minister of finance.

Í skjalinu description.pdf með þessu meinta lánalista segir svo:

This is a 2007 list of Glitnir loan grants, both in general but as well specified by employees. Employees had also companies, which turned out to be a strategy since when the shares became worthless and these assets were wiped out the loans still stood. When economic collapse arrived, companies which acquired loans went bankrupt and there were no more debt, whereas those who had personal loans were then hit by huge debt. Glitnir allowed their employees to put loans into companies. Values are in ISK thousands. Line nr 11 refers to Bjarni Benediktsson, the present minister of finance, 5bi ISK loan, although quotes from the SIC report point he owed ISK174m.

Jónas Kristjánsson stökk á þetta og birti færslu þar sem fullyrt var að Bjarni Ben hefði fengið 6 milljarða lán frá bankanum. Jónas virðist reyndar hafa skoðað gögnin, því hann tiltekur nákvæma tölu (5,967,126 ) sem fengin er úr skjalinu. Í kjölfarið birti DV svo frétt á vef sínum undir fyrirsögninni “Sex milljarða króna lán til Bjarna Ben“.

Ef gögnin eru hinsvegar skoðuð er ljóst að ekki er um að ræða upphæðir í íslenskum krónum heldur lista yfir handveðsett hlutabréf í bankanum (eða eins og segir í haus dálksins “Hand mortgages factors Objects”) á genginu 26.60. Það gerir skuld Bjarna um 159 milljónir á þeim tíma sem listinn er tekinn saman, sem er ekki svo fjarri þeirri tölu sem birt er í skýrslu Rannsóknarnefndar Alþingis og ljost.is vísar í í kynningu.

Síðar um daginn, eftir að ýmsir bentu á að lesskilningur ljost.is væri rangur, leiðrétti Jónas færsluna (með nýrri færslu: “Lekinn var villandi) og DV tók fréttina af forsíðu sinni og birti aðra (með undirfyrisögninni “Misskilningur varðandi meint lán Glitnis til Bjarna Ben”).

Ljost.is sendi svo frá sér fréttatilkynningu í morgun og breytti texta á síðunni um hluthafalistann í:

Glitnir 2007-2008 stockholders in objects. Featuring the current minister of finance as a major holder in 13th position.

Vandræðalegt? Frekar.

Lekasíður og samtök sem gera almenningi kleyft að koma nafnlausum upplýsingum á framfæri geta verið mikilvægar. Með nokkurri einföldun má segja að þegar komi að lekum séu tvennskonar hugmyndir uppi. Annarsvegar að allt eigi að birta, óritskoðað (WikiLeaks starfa að miklu leyti eftir þeirri hugmyndafræði) og hinsvegar að leka eigi að birta eftir einhverskonar staðfestingarferli (ekki ósvipað því sem fjölmiðlar hafa unnið eftir, eins og að upplýsingar verði að vera staðfest af tveimur heimildarmönnum).

Ljost.is virðist starfa eftir síðarnefndu hugmyndafræðinni. Á síðunni segir:

First of all staff members will perform a thorough cross-check to verify if the files correspond to true information. This will be done to the furthest extent possible, analyzing factors such possible motives for forgery, cost or difficulty of forgery. Should the case demand it, second opinions will be sought for.

Jafnframt segir:

Sometimes, files sent by whistle-blowers can be a threat to their own anonymity. In these cases, where content or meta-content can lead to the disclosure of a source’s identity, it is necessary to redact the information for safety reasons. This also applies to third parties who can have their privacy violated or are in situations when they might be endangered due to the nature of the information.

Þetta er mikilvægur punktur. Skjöl er hægt að rekja, t.d. ef efni þeirra inniheldur persónugreinanlegar upplýsingar eða ef ráða má uppruna þeirra af samhengi. Það er því pínlegt að nokkur þeirra pdf skjala sem ljost.is dreifði í gær innihalda “metadata” sem virðist vera persónugreinanlegt. Þannig er höfundur skjalsins sem rætt er um hér að ofan (Loans.pdf) tilgreindur sem “jonthh”.

Screenshot 2013-12-30 11.17.53

Annars virðist ljost.is og awp.is vera umhugað um nafnleysi þeirra sem vilja senda til þeirra upplýsingar. Kerfið sem notast er við til að senda skjöl fer í gegnum Tor, sem tryggir að sumu leyti nafnleysi. Að vísu virðist kerfið ekki vera álínis eins og er, en það stendur væntanlega til bóta. Einnig hvetja aðstandendur síðunnar uppljóstrara til að dulrita póst sem sendur er til síðunnar. Það er þó ómögulegt eins og er, þar sem tengill á public PGP lykil síðunnar er óvirkur (sjá hér þar sem slóðin á lykilinn er gefin upp sem þessi).

Það er grundvallaratriði að vel sé staðið að lekum sem þessum. Trúverðugleika er erfitt að vinna aftur, ef efasemdir um hæfni vakna. Ljost.is (og þeir fjölmiðlar sem hlupu á eftir þeim) féllu á því prófi. Það eyðileggur fyrir þeim, sem og öðrum sem vilja gera almenning kleyft að koma gögnum til birtingar nafnlaust. Það er ömurlegt.

 

Notendur einkamal.is

Í dag birtist í nettímaritinu Kjarnanum stutt umfjöllun um rannsókn sem við höfum unnið að undanfarið. Við söfnuðum upplýsingum um rétt rúmlega 12.000 notendanöfn stefnumótasíðunnar einkamal.is. Eins og eðlilegt er þá gefa notendur stefnumótasíðna upp ýmsar upplýsingar um sig. Þegar búið er að safna þeim saman á einn stað – og setja upp eins og skráning hvers notenda sé svar við könnun – kemur ýmislegt merkilegt í ljós.

En fyrst: Hérna geturðu nálgast hrágögn og hérna geturðu skoðað gögnin á frábærum vef DataMarket.

Áfram með stuðið!

Gögnunum var safnað með því að notast við leitarvél einkamal.is. Samkvæmt vefnum eru nú 30.936 skráð notendanöfn, en víðasta leit í hvert sinn skilar aðeins um 10.000 notendanöfnum. Daglega var safnað nýjum nöfnum og því er þýðið okkar 12.003 notendanöfn. Töluverðar daglegar nýskráningar virðast vera; þannig voru skráð 55 ný notendanöfn laugardaginn 13. október.

Hver notandi verður að gefa upp kyn (og hefur úr að velja „Karlmaður“ eða „Kvenmaður“ – hér er góð grein um ástæður þess að tvíhyggja í skráningu á kyni er ekki sérlega sniðug). Svona er kynjaskiptingin:

Hér má sjá að karlar eru í töluverðum meirihhluta.

Auk þess að skrá kyn verður hver skráning að innihalda aldur og staðsetningu. Hér má sjá aldursskiptingu kynjanna:

Tvennt vekur athygli hér: Hátt hlutfall 33 ára karla og sömuleiðis hátt hlutfall 19 ára kvenna. Hlutfall 33 ára karla má skýra með því að við nýskráningu er sjálfgefið val: Gagnkynhneigður karl á höfuðborgarsvæðinu, fæddur 1980. Hér er því um augljósan galla í hönnun vefsins að ræða. Enda kemur það vel fram þegar lýsing þessara notenda á sjálfum sér er lesin að nokkur hluti þeirra er alls ekki karlkyns og alls ekki 33 ára. Erfiðara er að segja til um hvers vegna 19 ára konur eru áberandi. Your guess is as good as mine.

Ef við skoðum aldursbil þá sést vel að meirihluti notendanafna eru skráð á aldrinum 20–34 ára.

Þriðja áskilda breytan er búseta:

Yfirgnæfandi meirihluti á höfuðborgarsvæðinu. Einungis 67 notendanöfn segjast búa á Vestfjörðum.

Auk þess að skrá þessar skylduupplýsingar þá getur notandi skráð svör við spurningunni „Hef áhuga á“. Þar eru þessir valmöguleikar: Stefnumót, vinátta/spjall, skyndikynni, BDSM, pör.  Svona er kynjaskipting þeirra sem merktu við þá flokka:

Hjá körlum eru tæplega 27% sem vilja skyndikynni – á móti 12% kvenna. Tæplega 45% kvenna vilja vináttu/spjall á móti tæplega 33% karla.

Auk þessara breyta geta skráðir notendur sett inn upplýsingar um sig, svo sem hæð, þyngd, augnlit, hárlit og hvort notandinn sækist eftir kynnum við karl eða konu.

Allt þetta má skoða hérna. Góða skemmtun!