Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Nya, men långsökta anklagelser mot Julian Assange

I skuggan av corona-krisen, BLM-protester och det allmänt uppskruvade debattkimatet – sitter Wikileaks grundare och chefredaktör Julian Assange i ett brittiskt högsäkerhetsfängelse i väntan på att den rättsliga prövningen av USA:s begäran om utlämning skall bli klar.

Om Assange utlämnas kan han komma att dömas till ett mer än livslångt fängelsestraff, upp till 175 år.

Det är viktigt att hålla ögonen på bollen. Oavsett vad man anser om Assange som person – så handlar hans fall om tryckfrihet, om rätten och möjligheten att avslöja och publicera uppgifter om oegentligheter och annat som makthavarna helst vill tysta ner.

Obama-administrationen ansåg att detta var en linje som inte bör överskridas. Eller i vart fall att en process mot honom skulle bli ett yttrandefrihetsmål som dels kan vara svårt för staten att vinna, dels ett PR-problem.

Trump-administrationen tycks dock inte ha några sådana hämningar. (Trots att Wikileaks de facto hjälpte till att få Trump vald till president.) Man anklagar bland annat Assange för spioneri – trots att han och Wikileaks inte gjort något annat än traditionellt journalistiskt arbete och i stora stycken publicerat samma information som till exempel The Guardian, The New York Times och Der Spiegel.

Möjligen börjar man inse att de misstankar och åtalspunkter som hitintills presenterats är skakiga. Därför försöker man  nu bygga ut sina anklagelser mot Assange.

Bland annat handlar det om att koppla honom till aktiva försök till dataintrång relaterade till den information som visselblåsaren Chelsea Manning läckte till Wikileaks – samt till det så kallade Stratfor-hacket (för vilket hackern Jeremy Hammond redan dömts). Några direkta bevis – mer än hörsägen – tycks dock inte finnas. (Det är i sammanhanget värt att notera att det amerikanska justitiedepartementet, delvis framgångsrikt, gav sig på den Dallas-baserade journalisten Barrett Brown på liknande grunder.)

TorrentFreak sammanfattar:

»Another indictment has been issued by the DOJ, making this its third attempt to throw the book at Assange. If the DOJ can prove Assange contributed to hacking attempts, it may end up with a case worth pursuing. But much of what the indictments deal with is normal journalism behavior: the cultivation of sources and the encouragement of sources to locate/leak newsworthy documents. The blurry line the DOJ is walking on is the same line the previous administration seemed to feel wasn’t worth crossing, no matter how much harm/embarrassment Assange had caused with the release of sensitive documents.«

Gizmodo noterar:

»DOJ omits several crucial details about the Stratfor hack in its attempts to name Assange as a conspirator in a breach that happened without his knowledge. Most notably, prosecutors exclude that the actual breach of Stratfor’s security, in late 2011, occurred 83 days prior to the events they describe, unknownst by anyone DOJ identifies as part of the conspiracy, including Assange.«

Enkelt uttryckt är frågan om man kan åtala någon för dataintrång – om personen i fråga inte varit medveten om intrånget förrän i efterhand.

Samtidigt som det amerikanska justitiedepartementet bygger på fallet med mer eller mindre långsökta åtalspunkter – så har Assange problem med att få en rimlig och rättvis utlämningförhandling i Storbritannien. Till exempel har han inte haft tillgång till allt det material och den utrustning han behöver för att förbereda sitt försvar. Dessutom har det varit problem med att upprätthålla kontakten mellan Assange och hans advokater under corona-krisen.

Länkar:
• TorentFreak: New Indictment Tries To Tie Julian Assange To A Hacking He Had Nothing To Do With »
• Gizmodo: DOJ’s New WikiLeaks Indictment Has Significant, Convenient Plot Holes »

Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst

Trots årtionden av rättsprocesser lever The Pirate Bay vidare som vanligt.

Samtidigt fortsätter nöjesindustrin sina försök att få stopp på verksamheten. Nu senast är det filmbolagen SF och Nordisk Film som är på krigsstigen.

Spåren ledde till Coludflare, vidare till ISP:n OBEnetwork och slutligen till VPN-operatören OVPN. Nu har filmbolagen begärt ett informationsföreläggande mot OVPN hos Patent- och Marknadsdomstolen. Men OVPN konstaterar att de inte kan lämna den begärda informationen – då de varken lagrar trafikuppgifter, tidsstämplar, DNS-upplag, IP-adresser, MAC-adresser eller information om ackumulerad bandbredd.

Det skall bli intressant att se hur detta kommer att utvecklas. För oavsett om det beslutas om vite, så finns det inga loggar att lämna ut. VPN-tjänster omfattas inte av kravet på datalagring.

OVPN:s advokat, Michael Lettius på Glimstedts Advokatbyrå konstaterar i sin inlaga:

Tillhandahållandet av VPN-tjänster utgör inte en sådan anmälningspliktig verksamhet som avses i 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) och därmed omfattas inte heller tillhandahållande av sådana tjänster av lagringsskyldigheten i 6 kap. 16 a § LEK. Av förarbetena till den gällande lydelsen av lagrummet framgår att bl.a. VPN-tjänster inte omfattas då ”det konstateras att förslaget inte innebär att sådana uppgifter ska lagras eftersom sådana tjänster aktiveras först efter internetåtkomsten”.

Ändringen avseende lagringsskyldigheten (och flera andra lagändringar) var påkallade av EU-domstolens dom i det s.k. Tele2-målet 2016. EU-domstolen fastslog i detta och ett annat mål bl.a. att undantag från skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt och att, vad gäller lagring, de lagrade uppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats.

Sammantaget medför det anförda att OVPN – som alltså inte tillhandahåller någon elektronisk kommunikationstjänst – inte omfattas av lagringsskyldigheten enligt LEK och därmed inte heller av rekvisiten i det åberopade lagrummet i lagen (1960:729) om upphovsrätt litterära och konstnärliga verk (…)

En lärdom, om man gräver ner sig i länkarna, är dock att det under vissa omständigheter kan gå att se vem som använder en viss IP-adress just nu. Detta är dock inget som behöver bekymra vanliga VPN-användare, som ju hoppar till nya IP-adresser varje gång de kopplar upp sig. Men vill man verkligen känna sig säker – till exempel om man vill sända ett synnerligen konfidentiellt meddelande – då kan det kanske vara lämpligt att koppla upp och ner sig mot sin VPN för just detta tillfälle. Men det får betraktas som överkurs.

OVPN kommenterar fallet:

»Vi bestrider helt och hållet Rättighetsalliansens påstående att OVPN har ”illojala syften” och att vår affärsidé är att hjälpa kriminella undgå rättsvårdande myndigheter. Tvärtom används OVPN av flera olika kundgrupper, som exempelvis journalister, advokater, politiker, myndigheter och konsumenter. För att vara helt tydlig: Vi stödjer inte på något sätt eller förespråkar användning av OVPN för att begå brott. Det är väldigt tydligt i våra Allmänna Villkor.

OVPN:s huvudfokus är att skydda människor från hackare och massövervakning. Vi går mot tider där regeringar, lagligt eller olagligt, avlyssnar sina och andras medborgare på en orimligt stor skala. Vi anser helhjärtat att människor bör uppleva samma integritet oavsett om man talar med en person på internet eller ansikte-mot-ansikte.

Vi står fast vid vår övertygelse om ett övervakningsfritt samhälle.«

Fortsättning lär följa.

Länkar:
• OVPN bestrider informationsföreläggande »
• Rättighetsalliansens ansökan om informationsföreläggande (PDF) »
• Inlaga från OVPN:s advokat (PDF) »
• TorrentFreak: The Pirate Bay’s IP Address Belongs to a VPN Provider, ISP Tells Court »

Fyll gärna på i kommentarsfältet om du hittar något intressant i dokumenten eller om du har nyheter i ärendet.

COVI-PASS Digital Health Passport lanseras – även i Sverige

Det var kanske bara en tidsfråga, men nu lanseras ett COVI-PASS Digital Health Passport – även i Sverige.

Electronic Specifier rapporterar (redan den 13 maj):

»The COVI-PASS Digital Health Passport can be used as an authenticated gateway for Public Services, Businesses and Employees to manage a safe return to work, life, and safe travel.«

Det handlar alltså om en kommersiellt framtagen app, som är tänkt att kunna användas såväl av företag som av myndigheter.

»Powered by VST Enterprises’ cyber security technology VCode & VPlatform, Circle Pass Enterprises has contracted with VST Enterprises for a fully secure Digital Health Passport – COVI-PASS, to be paired with approved testing kits. CPE is to start shipping orders from next week for the first phased release of 50M COVI-PASS Digital Health Passports to both the private sector and Governments in over 15 countries, including Italy, Portugal, France, Panama, India, the US, Canada, Sweden, Spain, South Africa, Mexico, United Arab Emirates and The Netherlands.

The COVI-PASS Digital Health Passport works on an intelligent colour mapping system (green, amber, red) to authenticate and validate a COVID-19 test providing test history and relevant health information. This allows for accurate data metrics to assess those who have tested positive and negative and the location only of their testing.«

Appen är förvisso frivillig (än så länge) – men kan komma att krävas till exempel om du vill resa, gå på en fotbollsmatch, besöka en konsert, gå på bio eller på annat sätt vistas nära många andra människor. Bli inte förvånad om den kommer att krävas till och med för att gå på restaurang.

Appen förefaller dessutom vara en del i en mycket större plan:

»VSTE are also providing its VCode & VPlatform technology to work with the UNITED NATIONS as part of their SDG Collaboratory (Sustainable Development Goals) program – to provide a wide range of technology services to 9 Billion people by 2030 and which will be announced in the coming weeks.«

Även om företaget bakom appen talar om en hög grad av dataskydd och respekt för individens rätt till privatliv återstår att se hur den egentligen fungerar.

Man kan också notera att ett COVID-19-test endast visar om man är smittad just vid provtillfället. Så något heltäckande skydd är det knappast fråga om.

Det finns många frågetecken. Men framförallt är frågan om vi vill ha en app som fungerar som något slags inrikespass.

Electronic Specifier: Digital health passports supplied to 15 countries »

Sociala media och Hong Kong

Bland andra Facebook, Twitter, Google, WhatsApp och Telegram har meddelat att de inte kommer att samarbeta med Hong Kongs polis – efter införandet av de nya kinesiska säkerhetslagarna.

Samtidigt meddelar TikTok att de helt lämnar Hong Kong inom de närmaste dagarna. Dock skall man komma ihåg att TikToks ägare, det kinesiska företaget ByteDance – äger en snarlik app, Douyin, för den kinesiska marknaden. Så uppoffringen kanske inte är så stor…

BBC: TikTok to exit Hong Kong ’within days’ »

Och nu – ännu mer nätcensur från EU

Det tycks aldrig ta slut. Nu kommer uppgifter om mer planerad nätcensur från EU-kommissionen. Denna gång är ursäkten kampen mot barnpornografi – vilket är ett säkert kort att spela ut för att tysta kritiker och undvika debatt.

Det som planeras är enligt uppgift att kommissionen kommer att lägga fram en rapport på nästa EU Internet Forum.

Det första kravet är mer obligatorisk censur i form av uppladdningsfilter.

Det verkar med andra ord som om EU-kommissionen nu försöker etablera uppladdningsfilter som något slags universallösning. Det började med upphovsrättsdirektivet, fortsatte med den aktuella förordningen mot terror-relateat innehåll online – och är nu alltså tänkt att utökas med insatser mot övergrepp på minderåriga online. Förmodligen krattar man manegen för en bredare utrullning av uppladdningsfilter i den Digital Services Act som kommer att läggas fram senare under mandatperioden.

Precis som man kunde befara öppnade artikel 13/17 i upphovsrättsdirektivet dammluckorna för en bredare användning av uppladdningsfilter,

Det andra kravet är åtgärder mot krypterade meddelandetjänster.

Här bedriver EU (samt USA) ett ständigt krypskytte för att underminera och kringgå kryptering. Vilket – som bekant – innebär försämrad säkerhet online för alla, eftersom till exempel bakdörrar även kan användas av kriminella, främmande makt och andra som vill skada användare, företag och institutioner.

Vad gäller EU Internet Forum är det ett samverkansorgan med bland annat politiker, nätjättar och teleoperatörer samt allehanda särintressen. Vid flera tillfällen har det framförts kritik – bland annat från EU:s ombudsman – mot hemlighetsmakeri och bristande transparens. Enkelt uttryckt är det här politiken, Big Data och andra aktörer gör upp och skapar politiska förslag bakom stängda dörrar.

Denna gång gömmer man sig bakom kampen mot barnporr. Och vem vill eller vågar då kritisera de förslag som läggs fram – även om de begränsar informationens frihet och gör nätet mindre säkert för alla?

Fake news, yttrandefrihet och rättssäkerhet i corona-krisens spår

Det förekommer medvetet felaktig information på nätet om corona-krisen. Det kan handla om allt från främmande makt som vill använda krisen för att destabilisera det västeuropeiska, fria och öppna samhället – till reklam för verkningslösa eller farliga läkemedel.

Det hela kompliceras av att även myndigheterna ofta är osäkra på vad som verkligen gäller. En annan faktor är att de sociala plattformarna har skurit ner på den manuella granskningen i smitto-tider – för att istället luta sig mer mot automatiserade beslut som fattas av algoritmer. Frågan är dessutom känslig – eftersom EU-kommissionen samtidigt är kritisk mot inskränkningar av det fria ordet och den fria informationen i länder som Ungern och Polen.

Inte sällan blir det fel. Till exempel har Europaparlamentets vice talman Marcel Kolaja (PP; CZ) fått en post om krisstöd till nystartade företag (med länk till EU-kommissionen) stoppad av Facebook.

EU-kommissionen har utfärdat en »joint communication« om desinformation och fake news om Covid-19 (PDF). Denna erbjuder dock inget skydd att tala om för den som fått poster på sociala media stoppade på felaktiga grunder. Kolaja säger:

»I support the united European action against disinformation; however, it should go hand in hand with clear safeguards for freedom of expression in case of wrongful labeling of content.«

Han påpekar bland annat att det mer klart måste definieras exakt vad som avses med desinformation. Till exempel måste större vikt läggas vid uppsåtet. Och om man väl har en definition – då är frågan vem som avgöra om informationen är autentisk, korrekt och trovärdig. Det måste dessutom finnas rutiner för att överklaga felaktiga beslut om nedtagning av poster och annan information.

Tyvärr är EU-kommissionen otydlig på dessa punkter – vilket blir problematiskt om man ser till till yttrandefrihet, det fria ordet, fri information och ett fritt och öppet internet.

Länkar:
• European joint action on disinformation »
• Kolaja vs. Facebook »
• EU-kommissionens styrdokument (PDF) »

Vad hände med vårt fria, öppna internet?

Ett problem med sociala media är att du oftast inte själv kan bestämma vad du får se – och vad av ditt innehåll andra kan se.

Det hänger delvis samman med den oerhörda mängd material som publiceras. Det finns helt enkelt ingen möjlighet att visa allt från alla vänner och konton du följer. Detta försöker man hantera med algoritmer som gissar sig till vad du vill se och som oftast prioriterar användare och grupper som du ofta interagerar med. Vilket kan vara problematiskt om du vill nå ut brett eller om det finns speciella konton som du vill följa i detalj.

Ett annat och lömskare problem är politisk bias. På senare tid har bland andra amerikanska Project Veritas visat att Facebooks moderatorer tar politisk ställning i sitt arbete. (Länk 1 » | Länk 2 ») PV är förvisso en kontroversiell kanal som ibland drar saker till sin spets. Men det går inte att komma runt att det finns moderatorer som – på video med dold kamera – rakt upp och ner erkänner och till och med skryter om att de låter sina personliga politiska preferenser styra vad som godkänns och vad som stoppas.

Med tanke på Facebooks dominerande ställning på marknaden är  detta ett problem – även om Facebook, som ett privat företag – naturligtvis har rätt att själva styra användarvillkor och vad de kan tänka sig att publicera. Saken är bara att om de styr innehåll, då blir de snarare ett slags publicist än en plattform. Vilket lett till att deras budbärarimmunitet kommit att ifrågasättas, inte minst i USA. (Budbärarimmuniteten innebär att en plattform inte kan hållas ansvarig för vad deras användare publicerar, så länge de inte själva agerar grindvakt eller kommenterar flödet.)

Hur det ser ut bland svenska moderatorer vet vi inte. Och om det finns en problematisk granskningskultur hos Facebook måste man fråga sig om samma sak även gäller hos till exempel Twitter och Youtube.

Vad vi däremot vet är att regeringen har haft möten med de sociala nätverken, eftersom den ogillar mycket av det som publiceras. Vilket kan ses som ett sätt att begränsa yttrandefriheten utan att behöva krångla med demokratiskt lagstiftningsarbete och rättsliga processer. Det är mycket enklare för politikerna att få plattformarna att vrida åt sina användarvillkor och att plocka bort sådant som den politiska makten stör sig på. Vilket är ett uppenbart demokratiskt problem.

Vi vet också att EU är inne i en process för att censurera, kräva uppladdningsfilter och skapa nya, enhetliga regler för vad som får lov att sägas på nätet. Vilket naturligtvis sätter extra press på plattformarna.

Lägg till detta att det tycks vara populärt i vissa kretsar att massanmäla inslag som man ogillar – även om de inte bryter mot några regler. Ibland tycks denna taktik fungera och leder då till att helt korrekta och sakliga inlägg specialgranskas och ibland stoppas.

Dessutom finns en kommersiell komponent. Många annonsörer vill helt enkelt inte synas i kontroversiella sammanhang, vilket leder till att sådant material blockeras, får minskad spridning eller inte kan dra in annonsintäkter (Youtube). Detta även om materialet är korrekt, av allmänintresse och följer alla användarvillkor.

Allt detta är problematiskt – om man ser till det fria ordet, den fria debatten och det fria flödet av information.

Som de flesta plattformar fungerar idag är internet helt enkelt inte den globala anslagstavla som vi kanske tror.

Frågan är hur vi hittar tillbaka till ett fritt och öppet internet.

Europa hopplöst efter i plattformsekonomin

Gång på gång har EU fattat beslut om att bli ledande inom IT och digital ekonomi.

Det går som synes inte så bra. (Infographic från Dr. Holger Schmidt.)

Detta är kanske inte att förvånas över – då EU ständigt överreglerar och reglerar sönder marknaden.

Ta dataskyddsförordningen, GDPR, som exempel. Intentionen att användare skall ha makt över sin egen data är vällovlig. Men blev det så? För den vanlige användaren har denna lagstiftning inte märkts på annat sätt än att vi slentrianmässigt måste godkänna cookies oftare. Och för företagen har det inneburit påtagligt ökad administration och ökade kostnader. Då är det enklare för entreprenörer och riskkapitalister att söka sig utanför EU.

Eller EU:s nya upphovsrättslagstiftning. Regler som kräver uppladdningsfilter och idiotiska idéer som den så kallade länkskatten skrämmer företagen bort från Europa. Till exempel överväger Youtube om det överhuvudtaget går att verka inom EU när direktivet blir lag i medlemsstaterna. Vem vill starta något nytt i detta politiska klimat? Och även om nätjättarna – med alla sina resurser – klarar av att hantera kostsamma och komplicerade krav på till exempel uppladdningsfilter – så stängs dörren i ansiktet på alla små och nya aktörer. Därför kommer vi inte att få se nya nätplattformar, morgondagens nätjättar växa fram i Europa.

Exemplen är fler och nya krav på uppladdningsfilter och kontroll av innehåll är på väg i bland annat den nya förordningen om terror-relaterat innehåll online och med EU:s nya Digital Services Act.

EU håller helt enkelt på att hamna i digitalt bakvatten – som en direkt konsekvens av medvetet fattade politiska beslut.