Styrelsemöte 27 januari

DFRI håller ett öppet styrelsemöte måndag 2025-01-27 kl 18:00 på internet. Vi beräknas hålla på i ungefär en timme. Alla medlemmar och andra intresserade är välkomna.

Dagordning finns här (kan ändras ända fram till att mötet börjar).

Anmäl dig per mejl till dfri@dfri.se om du vill delta. Då får du också information om länk till anslutning för deltagande.


DFRI och Tor 2024

Systemadminstratörsgruppen som driver DFRI’s nät och tjänster höll videomöten nästan varje vecka under året med tre till sex deltagare. Ett fysiskt möte hölls under sommaren för att planera och umgås. Några av sakerna som hände under året nämns nedan.

DDoS mot Tor-nätet

Den 17:e februari utsattes DFRI för en stor överbelastningsattack (DDoS, Distributed Denial of Service). Massor av IP-paket skickades till vårt nätverk så att inte bara DFRI utan även flera av våra leverantörer drabbades negativt. Attacken var inte bara mot DFRI utan samtidigt utsattes även andra Tor-relän för angrepp. Den största delen av trafiken kom från 172.232.0.0/13 samt från fler prefix som tillhör Linode.

Trafikgraf från ett nätverksinterface
Trafikgraf från ett av flera nätverksinterface som överbelastades.

Nya servrar till datorhallar

Under 2024 köptes två begagnade servrar som förseddes med stboot och installerades i datorhallar. Med dessa två servrar finns nu totalt fyra stycken som är försedda med stboot, ett steg på vägen till vår implementering av System Transparency.

Tillsammans med en uppgradering av en fiberlänk möjliggör de ”nya” maskinerna att köra fler tjänster och stötta Tornätverket med mer bandbredd.

Ny attack mot Tor-nätet

I oktober började det komma in klagomål om att IP-adresser hos DFRI skickade oönskad trafik till andra adresser på Internet. Inte bara DFRI drabbades och utredning visade att det var förfalskade IP-paket med Tor-relän som avsändare. Detta orsakade onödiga klagomål till IT-leverantörer och i vissa fall även blockeringar eller att relän slutade köra. En beskrivning av attacken publicerades på https://delroth.net/posts/spoofed-mass-scan-abuse/. En senare uppdatering från Torprojektet om vad som hände finns på https://blog.torproject.org/defending-tor-mitigating-IP-spoofing/.

Attacken är inte specifik för Tor och skulle kunna drabba vilken organisation som helst på Internet. Händelserna visar också på vikten av att hantera klagomål till abuse@-adresser på ett tillförlitligt sätt. En vädjan om det var https://seclists.org/nanog/2024/Nov/24.

Nätverkstrafik

DFRI bidrog med cirka 4500 TiB Tortrafik under året. Våra relän listas på https://metrics.torproject.org/rs.html#search/171.25.193

DFRI's Tortrafik
Andel av Tornätet som DFRI bidrog med enligt https://nusenu.github.io/OrNetStats/dfri.se.html

Minskningen som syns under augusti hade att göra med att vi hade problem med en fiber-plugg (LC connector) vilket lyckligtvis i detta fall kunde lösas genom att helt enkelt ”lufta” pluggen, alltså ta loss den och sätta dit den igen. Efter att vi luftat pluggen fick vi färre droppade paket och mängden Tor-trafik gick upp igen vilket syns i grafen.

Stort tack till våra sponsorer.

Klagomål och andra ärenden

DFRI har angett adressen abuse(a)dfri.net för våra nätblock och bevakar vad som rapporteras till den och svarar vid behov. Oftast förklarar svaret att IP-adressen som någon mejlat om är en Tor-exit och vad det innebär.

Under året har vi slutat tillåta nätverkstrafik till port 22 ut från Tor-exit noder. Det finns goda skäl till att använda ssh över Tor men en avvägning har gjorts mot mängden klagomål som inkom på grund av till synes mindre goda skäl och risken att nät eller IP-adresser blockeras från att kunna nå delar av Internet. Antalet klagomål har sedan förändringen gått ner betydligt.

DFRI har aldrig tillgång till abonnemangsuppgifter och sparar därför inte några abonnemangsuppgifter eller andra uppgifter som knyter användningen av Tor-exit noder till individer eller betalningsinformation. Tor kan fritt användas anonymt av alla, tack vare dess design och frivilliga resurser och donationer från individer och föreningar som DFRI världen över.

2025?

Vi får se vad som händer under året. Har du både lust och tid över och vill göra något får du gärna höra av dig. För att ta eventuella nya tjänster i drift behöver det finnas flera intresserade personer med tid och kunskaper.


Styrelsemöte 9 januari

DFRI håller ett öppet styrelsemöte torsdag 2025-01-09 kl 18:00 på internet. Vi beräknas hålla på i ungefär en timme. Alla medlemmar och andra intresserade är välkomna.

Dagordning finns här (kan ändras ända fram till att mötet börjar).

Anmäl dig per mejl till dfri@dfri.se om du vill delta. Då får du också information om länk till anslutning för deltagande.


Styrelsemöte 16 december

DFRI håller ett öppet styrelsemöte måndag 2024-12-16 kl 18:00 på internet. Vi beräknas hålla på i ungefär en timme. Alla medlemmar och andra intresserade är välkomna.

Dagordning finns här (kan ändras ända fram till att mötet börjar).

Anmäl dig per mejl till dfri@dfri.se om du vill delta. Då får du också information om länk till anslutning för deltagande.


How do I remove my personal data from open online websites in Sweden? Here are the answers

This guide describes how to take control of your personal data and remove or hide it from open websites such as Ratsit.se, MrKoll.se, Eniro.se and Hitta.se.

Many of the sites that publish personal data have a so-called ‘certificate of publication’, which means that they are covered by exemptions from the GDPR’s provision on the right to erasure. For this reason, the GDPR cannot be fully applied. However, it is generally possible to remove or hide your data from public disclosure. In some cases, after a certain period of time, you may need to repeat the process.

Use the following links to remove your personal data from some of the most commonly used proof of publication sites:

Ratsit.se
Via Mobile BankID
https://www.ratsit.se/redigera/dolj

Merinfo.se
Via Mobile BankID
https://www.merinfo.se/ta-bort-uppgifter

Hitta.se
Via Mobile BankID
https://www.hitta.se/kontakta-oss/ta-bort-kontaktsida

Eniro.se
Via Mobile BankID
https://uppdatera.eniro.se/person

MrKoll.se
Via web form
https://mrkoll.se/om/kundservice-kundkontakt/

Upplysning.se
Via web form
https://www.upplysning.se/kontakta-oss

Birthday.se
Via e-mail
E-mail address: info@birthday.se

Biluppgifter.se
Via e-mail
E-mail address: info@biluppgifter.se

You only need to delete your data from the following sites if you have been convicted of an offence:

Krimfup.se
Via e-mail
E-mail address: support@krimfup.se

Lexbase.se
Via web form
https://www.lexbase.se/sida/kontakt?

For those pages that only delete or hide your data via email or web form, you can use the following template:

——————–

Subject:

Deletion of personal data

——————–

Body text:

Hello!

My social security number is: XXXXXX-XXXX

I would like to delete my personal data.

I request that all personal data linked to me be removed from your databases and websites. This means that no person will be able to see information about me, including legal documents and other data linked to my name and social security number, in your service. I also want you, as far as possible, to minimise and delete the data you hold about me internally.

You can find information on your obligations on the website of the Data Protection Authority(https://www.imy.se).

I look forward to receiving confirmation of my erasure request as soon as possible. Please feel free to contact me if you have any questions.

Yours sincerely
First name Last name

——————–

How do I remove my personal data from websites that are fully subject to the GDPR?

For organisations and pages that are not covered by the publication certificate, there are two options:

1. you can use the MyDataDoneRight website which helps you to use the GDPR in a simple way: https://mydatadoneright.eu/

2. you can use the email template below to exercise your right to erasure and thus delete your personal data. This also applies to information held internally within the organisation without being published. Please note that there may be legal obligations in the form of laws that prevent the organisation from completely deleting your data.

The template can be used for those pages where you are asked to email or fill in a message to the recipient. Be sure to change the parts in YELLOW to match your personal data.

You can open the email template directly in your email program by clicking here, or use the text below to copy, paste and customise it yourself.

——————–

Subject:

Erasure of personal data under Article 17 of the General Data Protection Regulation (GDPR)

——————–

Body text:

Hello!

My social security number is: XXXXXX-XXXX

I hereby wish to exercise my right to erasure under Article 17 of the General Data Protection Regulation (GDPR).

I request that all personal data linked to me be removed from your databases and websites. This means that no person will be able to see any information about me, including legal documents and other data linked to my name and social security number, in your service. I also want you, as far as possible, to minimise and delete the data you hold about me internally.

You can find information on your obligations on the website of the The Swedish Authority for Privacy Protection’s (IMY).

I look forward to receiving confirmation of my erasure request as soon as possible. Please feel free to contact me if you have any questions.

Yours sincerely
First name Last name

——————–

Tip 1:
The Police Union’s article on how to reduce your online visibility:

https://www.polisforbundet.se/rad-och-stod/hot-och-vald-mot-poliser/minska-din-synlighet-pa-internet/#:~:text=Mrkoll.se,exempel%20IMY%3As%20brevmall

Tip 2:
The Right to Be Forgotten – a form for removing personalised content from Google Search. Use the following template as ‘Reason for removal’:
https://reportcontent.google.com/forms/rtbf
——————–
1) This page is about me because it includes specific personal details such as my name and address. The content directly identifies me, and these details are private and sensitive.

(2) The continued presence of this information violates my rights under the General Data Protection Regulation (GDPR). Specifically, it infringes on my right to privacy and data protection as outlined in Article 17 (Right to Erasure) of the GDPR. The information is no longer necessary for the purposes for which it was originally collected or processed, and its continued publication is not justified by any overriding legitimate interest, thus requiring its removal to comply with EU data protection laws.
——————–
Tip 3:
Block your address from unauthorised change of address and mail forwarding with ”the address lock”:
https://www.adressandring.se/vara-tjanster/adresslaset

Tip 4:
Prevent others from changing your registered address with the Swedish Tax Agency:
https://www.skatteverket.se/privat/folkbokforing/flyttanmalan/sparraobehorigadressandring.4.361dc8c15312eff6fd2ca7c.html

Report the service to The Swedish Data Protection Authority (IMY) for enforcement if your wishes are not respected under the GDPR

The IMY can initiate enforcement against services with proof of publication. Therefore, it is a good idea to notify them if the service does not remove the data. Read more on the IMY website:
https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/utgivningsbevis/

Do you want to check, move, delete or retrieve your personal data under the GDPR? Use MyDataDoneRight.eu

Do you want to check, move, delete or retrieve your personal data from a company or organisation and their services? Then you can use the GDPR-safe platform MyDataDoneRight.eu. It helps you find, add and formulate your use of the GDPR. The platform does not store any personal data about you but does so if all organisations using contribute to add. Do you want to help in the project? See the DFRI project page here.

Support :DFRI – become a member, get involved or donate

Would you like to support the activities of the Danish Digital Rights and Freedoms Association to make similar guides and advocate for the right to privacy and protection of your personal data?

Welcome to become a member, get involved or donate.