Krack och Roca – så farliga är veckans säkerhetshål

Amerikanska Electronic Frontier Foundation (EFF) har publicerat en grundlig genomgång av Krack, det vill säga den sårbarhet för trådlösa nätverk som presenterades i måndags.

EFFs slutsats är att Krack inte är så farligt som man kan tro, eftersom:

Note that WPA’s privacy goals were always very limited. It was never intended to provide complete confidentiality of your data all the way to its final destination. Instead, protocols like TLS (and HTTPS) exist which protect your data end-to-end.

EFF har varit en förespråkare av krypterad webbtrafik, HTTPS, just för att komma runt risken för avlyssning i både kabel och trådlösa nät.

Krack möjliggör förvisso avlyssning av trafik, men avlyssnaren måste vara på plats med en antenn, vilket gör att tekniken är olämplig att använda i större skala. EFF menar att den krackfria avlyssning som sker på ISP-nivå är lika allvarlig.

Detta sagt, patcha upp era trådlösa routrar och enheterna som ansluter till dem, avslutar EFF.

Och hur farligt är Roca?

Just som Krack sågs som det värsta hotet presenterade tjeckiska och slovakiska forskare Roca – Return of Coppersmith’s Attack.

Roca gör det möjligt att använda den publika delen av en RSA-nyckel för att lista ut den privata delen. Attacken fungerar bara på nycklar som genererats med ett kodbibliotek utvecklat av det tyska företaget Infineon Technologies AG.

Wccftech beskriver den viktigaste skillnaden mellan Krack och Roca:

While KRACK may have been taking all of the news space, ROCA is an even bigger issue since while KRACK only works for attackers that are within range, ROCA has serious ramifications both in the government and outside.

Forskarna kommer ge närmare detaljer under en säkerhetskonferens i Dallas den 2 november.

EU kräver registrering för gratis wifi

I avsnitt 56 av 5 juli-podden diskuterade och kritiserade vi EUs planer på att införa gratis wifi i 8 000 stadskärnor runt om i unionen.

Nu har Europeiska kommissionen meddelat att projektet – med det tuffa namnet Wifi4EU – kommer kräva att användarna registrerar sig, detta för att kunna utöva ”ett minimum av kontroll”. Autentiseringen kommer att ske via mobiltelefonnumret, enligt Netzpolitik.

Budgeten för Wifi4EU är 120 miljoner euro, eller 15 000 euro per stad. För denna summa ska staden driva och underhålla – under minst tre år – ett trådlöst nät som ska vara gratis för användarna. Vi får väl se hur det kommer falla ut.

Netzpolitik noterar också att medborgarinitiativet Freifunk inte blivit tillfrågade om att hjälpa till – Wifi4EU ska enbart innefatta kommersiella aktörer som kan garantera driften.

Schweizare kräver folkomröstning om nätspärrar

En ny spellag i Schweiz kräver att internetoperatörerna spärrar utländska kasinosajter.

Nu har ett antal organisationer gått samman och startat en namninsamling för folkomröstning om internetspärrarna.

Precis som när nätspärrar diskuterades i Tyskland för några år sedan – då var det barnporr som skulle blockeras – varnar kritikerna för faran med att bygga upp en infrastruktur för censur, som sedan kan användas godtyckligt av framtida makthavare.

Nu har Google fått in 3 miljarder (!) anmälningar om upphovsrättsbrott

Google har ett formulär där rättighetsinnehavare kan anmäla länkar i sökresultat som leder till upphovsrättsskyddat material. Företagets senaste transparensrapport visar att detta formulär nu använts över 3 miljarder (!) gånger, rapporterar Torrentfreak.

Bakom den höga siffran finns förmodligen många automatgenererade anmälningar, som till exempel den där Warner Bros anmälde sin egen sajt för upphovsrättsintrång.

Sveriges justitieminister läxar upp privat företag

Internetoperatören Bahnhof har låtit sin advokat Wilhelm Dahlborn granska regeringens delbetänkande om den svenska datalagringen. Han är minst sagt kritisk:

Trots att man (halvhjärtat) försöker hävda motsatsen så föreslår man en fortsatt generell lagring och där lagring är huvudregel. Det är helt i strid med EU-domstolens dom.

Läs pressmeddelandet från Bahnhof här.

Bahnhofs vd Jon Karlung skrev till Morgan Johansson på Twitter:

Det oväntade svaret från Sveriges justitie- och inrikesminister:

Karlung, ditt bolag vill inte hjälpa polisen att klara upp bl a mycket grova barnpornografibrott. Är du stolt över det?

Jon Karlung:

Jag vill att du ser till så att polisen gör sitt jobb. Riktade tekniska insatser & spaning skulle fånga fler Brevbäraren ska inte vara polis

Morgan Johansson:

Det var inte min fråga. Min fråga var om du är stolt över att ditt bolag inte vill hjälpa polisen i att klara upp barnpornografibrott.

Jon Karlung:

Jag är angelägen om att vidriga brott klaras upp. Bahnhof bistår polisen. Men tekniska insatser måste ske på rättsäkert & mer effektivt sätt

Morgan Johansson:

Nej. Bahnhof är ett av de företag som inte vill samarbeta med polisen. Fråga NOA. Men ska jag tolka det som att ni nu ska börja göra det?

Jon Karlung:

Varför ska alla massövervakas bara för att du fikat med Anders på NOA? Det är för mycket populism. Analysera EU domen & satsa på polisarbete

Vad är mest anmärkningsvärt i detta ordutbyte?

Att en minister punktmarkerar ett svenskt företag och kräver att företaget ska agera på visst sätt – vilket är ansvariga myndigheters uppgift?

Eller att en minister insinuerar att företagets vd medverkar till att ”mycket grova barnpornografibrott” inte klaras upp?

Nej, det allvarligaste är nog att det som Morgan Johansson uppmanar Bahnhof till är att bryta mot lagen, så som Bahnhof tolkat den utifrån EU-domstolens förbud av generell datalagring.

Rick Falkvinge kommenterar:

How can a Minister of Justice have come to a point, where following the law appears totally optional and mostly an obstacle in doing your job, to the point where they are actually not afraid of shaming a major civil liberties defender publicly like this, just for following the law and due process?

Transparens: Bahnhof är en av grundarna till 5 juli-stiftelsen, som driver Femte juli (den här nyhetssajten). Både Jon Karlung och Wilhelm Dahlborn ingår i 5 juli-stiftelsens styrelse. De har ingen insyn i hur vi driver det redaktionella arbetet på Femte juli. Läs mer om 5 juli-stiftelsen och dess grundare här.

Human Rights Watch attackerar Europeiska kommissionens förslag

Human Rights Watch har tillsammans med ett femtiotal andra organisationer, däribland Reportrar utan gränser, skrivit ett öppet brev till Europeiska kommissionen, Europaparlamentet och Europeiska rådet.

Organisationerna protesterar mot det uppladdningsfilter – den ökända Artikel 13 eller ”censurmaskinen” – som är på förslag i det upphovsrättsdirektiv som just nu är under förhandling och omröstning i diverse utskott.

Om filtret införs kommer ”onlinetjänster” inte ha något annat val än att ”övervaka, filtrera och blockera EU-medborgares kommunikation”, enligt undertecknarna. Detta strider mot EUs stadga om de grundläggande rättigheterna, och kan därför i slutändan diskvalificeras av EU-domstolen på samma sätt som hände med den generella datalagringen nyligen.

Organisationerna kräver därför att Artikel 13 stryks ur förslaget på nytt upphovsrättsdirektiv.

Copybuzz har en tänkvärd kommentar:

It is especially striking that organisations such as Reporters without Borders and Human Rights Watch, which are known to intervene for the protection of human rights in less democratic countries, have now been moved to the point where they felt the need to voice their concerns in this matter to ensure that EU citizens are safeguarded from the EU’s copyright agenda crushing their fundamental rights.

Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, Libe, ska snart rösta om upphovsrättsdirektivet. Detta är sista steget innan utskottet för rättsliga frågor, Juri, sammanfattar utskottens åsikter och kommer fram till en samlad linje som EU-parlamentarikerna kan ta ställning till.

Pornhub inför ansiktsigenkänning

Den amerikanska porrsajten Pornhub berättar i ett pressmeddelande att de håller på att införa ansiktsigenkänning av personerna som förekommer i videorna på sajten.

Genom maskininlärning har Pornhub lyckats få systemet att känna igen 10 000 professionella porrstjärnor, vars filmer nu kan hittas lättare av besökarna. Hittills har man skannat igenom 50 000 filmer, men under det kommande året ska Pornhubs samtliga fem miljoner videor skannas.

Naturligtvis väcker detta frågor. Till exempel om hur ansiktsigenkänning påverkar de glada amatörer som lägger upp sina egna filmer från sovrummet. I nästa steg skulle ansiktsigenkänning kunna kopplas till sociala media-konton, vilket kanske skulle ses som olyckligt av många.

Detta är Pornhub medvetna om, och kommer därför bara tillämpa ansiktsigenkänningen på kända porrstjärnor. Men som tyska Netzpolitik skriver:

Även om Pornhub använder teknologin etiskt oklanderligt, så är det inte uteslutet att tredje part kan använda den allt lättillgängligare mjukvaran för ansikts- och mönsterigenkänning för att avslöja skådespelare och även offer för hemliga inspelningar, för att stalka dem eller pressa dem.

(Auch wenn Pornhub die Technologie ethisch einwandfrei anwendet, ist nicht ausgeschlossen, dass die in den nächsten Jahren immer einfacher verfügbare Software für Gesichts- und Mustererkennung von Dritten genutzt werden kann, um Darstellerinnen und Darsteller sowie Opfer heimlicher Aufnahmen zu enttarnen, zu stalken oder unter Druck zu setzen.)

Pornhub grundades 2007 och säger sig vara världens största porrsajt med över 80 miljoner besökare per dag.

Trevlig helg!

Datalagringen begränsas – inte

Så har då utredarna Sigurd Heuman, Mikael Kullberg och Christofer Gatenheim lämnat över sitt delbetänkande om den svenska datalagringen till justitie- och inrikesminister Morgan Johansson.

Utredarna skriver i en debattartikel:

EU-domstolen har fastslagit att den svenska datalagringen inte är förenlig med EU-rätten. Att enbart upphäva de svenska reglerna är emellertid inte någon möjlighet.

Utredningen har undersökt olika former av datalagring. Den enda rimliga modellen är en som liknar den nuvarande, men som är ännu mer begränsad.

Det låter ju bra, men när man går in på detaljer visar det sig att utredarnas förslag på många sätt innebär en utökning av datalagringen – inte en begränsing. Till exempel vill utredarna differentiera längden för datalagringen, från dagens sex månader till tre olika längder: Två, sex och tio månader, beroende på hur viktig informationen är för polisen.

Att lagra viss information i tio månader i stället för sex månader låter inte som en begränsning. Bahnhofs vd Jon Karlung kommenterar syrligt på Twitter:

Även Journalistförbundet är kritiska. Jonas Nordling och Stephen Lindholm skriver i en replik till utredarna:

Vi säger inte att polisen aldrig ska få tillgång till uppgifter, men det måste finnas en rimlig balans mellan polisens intressen och den enskildes intressen. I andra EU-länder lyckas polisen utreda brott utan att länderna bryter mot mänskliga rättigheter. Det måste gå att lösa i Sverige också.

De menar rentav att den mjäkiga utredningen kan göra polisens arbete svårare:

Utredarna skriver att syftet med förslaget är just att ge polisen verktygen för att lösa brott. Men förslaget kan istället få motsatt effekt och riskerar dra ut på polisens problem ytterligare. Eftersom lagen troligtvis även i fortsättningen kommer att strida mot EU-rätten finns det en stor risk att det blir en vända till av domstolsprövningar. Det kommer att ta tid och kommer antagligen leda till att EU-domstolen återigen konstaterar att svensk lagstiftning inte håller måttet.

Men tillbaka till utredarnas debattartikel. Utredarna föreslår att ”samtal och meddelanden inom det fasta nätet” undantas från datalagring, men formuleringarna gör att man undrar om de förstår hur internet fungerar:

Polisen har störst behov av uppgifter från mobiltelefoner och internet. Samtal och meddelanden inom det fasta nätet behöver därför enligt utredningen inte längre lagras. Detta innebär till exempel att samtal från hemtelefonen eller mejl som skickas från en fast internetanslutning inte längre kommer att lagras. När det gäller internetåtkomst kan däremot inte samma begränsning göras, eftersom en stor del av internetbrotten begås från datorer med fast anslutning.

”När det gäller internetåtkomst”? Men mejl är ju internetåtkomst. E-post är en del av internet. Så är även telefonsamtal numera – den så kallade ”hemtelefonen” kopplar upp sig via internet. Menar de i själva verket ”webben” när de skriver ”internetåtkomst”? Det är oklart – kanske förklaras det närmare i utredningen, som jag inte läst än.

Värt att notera är även utredarnas retorik i debattartikeln. Man målar som vanligt upp en bild av de allvarliga brott där datalagring anses vara viktig:

Polisen får veta vilka platser en gärningsman varit på, vilka personer som gärningsmannen haft kontakt med och vilka personer som befunnit sig nära en brottsplats. Polisen får även reda på vem som använt den ip-adress som till exempel kan knytas till spridning av barnpornografi eller narkotikaförsäljning. Även i underrättelsearbetet är informationen viktig, inte minst för att upptäcka terrorister och illegala underrättelseagenter.

Knark, barnporr och terrorism alltså. Men i verkligheten är det en annan brottstyp som dominerar polisens förfrågningar till internetleverantörerna, nämligen fildelning, enligt siffror som internetleverantören Bahnhof offentliggjorde 2016:

fildelning_diagram

Lägg till detta att utredarna föreslår en utökning av möjligheterna att koppla en IP-adress till en person:

Utredningen föreslår också att regleringen ska utformas så att en användare bakom en ip-adress alltid ska kunna spåras oavsett vilken teknik som operatören använder sig av. Så är inte fallet i dag.

Just denna punkt tycker jag spontant, utan att känna till de tekniska eller juridiska detaljerna, känns mest skrämmande. Varenda fotavtryck som görs på internet ska alltså kunna kopplas till en verklig person. Total övervakning.

Vi får nog anledning att återkomma till detaljerna i utredningen.

Delbetänkandet Datalagring – brottsbekämpning och integritet är en del av den större Utredningen om datalagring och EU-rätten, som beställdes av regeringen i februari 2017 för att ta reda på hur svensk lagstiftning ska förhålla sig till den dom i EU-domstolen från december 2016 som underkände generell datalagring.

Lyssna

Datalagringen har varit en följetong i 5 juli-podden. Lyssna gärna på avsnitt 33, där vi fördjupar oss i EU-domstolens förbud av generell datalagring och undrar hur svenska politiker kommer förhålla sig till domen:

Kroppskameran avslöjade polisen – nu vill åklagaren ändra lagen

I det allra sista avsnittet (för den här gången i alla fall) av 5 juli-podden tog vi upp en nyhet från Baltimore i USA:

En polis hade satt på kroppskameran för att spela in hur man letade efter knark och även hittade detta. Men en funktion hos kroppskameran som tar med 30 sekunders inspelning innan man sätter på den verkade visa hur polisen först lägger knarket på plats. Det hela såg ut som bevisplantering och Baltimores åklagare var tvungen att lägga ner ett antal ärenden eftersom polisens bevis inte höll längre.

Nu har Baltimores chefsåklagare och två medlemmar i Baltimores ”county council” lagt ett förslag som ska begränsa allmänhetens möjligheter att ta del av det som polisens kroppskameror filmat:

Baltimore County’s top prosecutor and two members of the County Council want state lawmakers to consider tightening rules that govern public access to police body camera footage. They say they’re concerned about the potential for invasions of privacy.

American Civil Liberties Union (ACLU) är kritiska:

The ACLU has opposed legislation to limit access to police video, saying it’s critical that the public be able to view police interactions with citizens.

Rådet ska rösta om förslaget den 16 oktober 2017.