Hemlig dataavläsning
Hemlig dataavläsning handlar om att myndigheterna tillåts installera spionprogram på människors datorer och digitala enheter. För att detta skall vara möjligt krävs att man utnyttjar säkerhetsluckor - som då förblir öppna och även kan användas av till exempel kriminella och andra illasinnade aktörer. Säkerhetsluckor bör istället rapporteras in och åtgärdas, för allas vår säkerhet.
Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera
Nu föreslås att din webb-läsare måste acceptera allt som regeringen säger att den skall acceptera – helt utanför HTTPS certifikatsystem.
Vid behandlingen av EU:s Digital Identity Framework (eIDAS) har det lagts fram ett oroväckande ändringsförslag: Den browser du använder skall tvingas acceptera interaktion med sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.
See what they did there?
2019 försökte Kazakstans regering något liknande. Den använde certifikat-knepet för att övervaka sin befolkning. Men då kunde Chrome, Firefox och Safari blockera det aktuella certifikatet och därmed försvara kazakstanernas rätt till privatliv.
Med förslaget ovan kommer en sådan blockering inte längre vara möjlig i EU. I vart fall inte laglig. Då kommer staten att kunna snoka och placera ut vad som helst via vårt webb-interface. Det är orimligt.
Dessutom skapar man ett allmänt säkerhetsproblem. EFF:
»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«
Läs mer hos EFF: EU’s Digital Identity Framework Endangers Browser Security »
Analys: Tyskland gör en u-sväng i övervakningsfrågorna
Kommer den nya tyska regeringen att lyckas vända marschen in i övervakningsstaten? Man tänker i vart fall göra ett försök.
Som vi tidigare rapporterat är den nya tyska regeringen betydligt mer skeptisk till massövervakning än ministären Merkel. Nu är frågan hur detta kommer att omsättas i praktisk handling.
• Kryptering
I koalitionsfördraget skriver man att rätten till kryptering skall garanteras. Detta kolliderar med bland andra Europols ambitioner att knäcka eller kringgå kryptering. Frågan är knepig. Man kan tänka sig något slags inriktning av krypto-knäckning som bara får omfatta misstänkta för brott. Men det löser inte grundproblemet med att bakdörrar (eller andra sätt att kringgå eller knäcka kryptering) kommer att leda till att all kryptering utsätts för risker. Vilket i så fall kommer att göra oss alla mindre säkra. Det skall bli intressant att se hur man tänkt leverera på denna punkt.
• ChatControl 2
Fördraget säger vidare nej till generell övervakning, speciellt av privat kommunikation. Vilket kolliderar med EU:s planer på att göra det obligatoriskt för meddelande- och mailtjänster att av-kryptera och granska innehållet i alla användares alla elektroniska kommunikationer. Här är även vad som ovan nämns om kryptering tillämpligt.
I alla EU:s institutioner finns idag ett brett stöd för ChatControl 2. Det skall bli mycket intressant att se vad som händer om unionens tyngsta medlemsland plötsligt säger nej. Förutsättningarna för Tyskland att stoppa förslaget i EU är inte jättegoda, men tyska regeringar med liberala justitieministrar har lyckats med liknande saker förr.
• Datalagring
Av samma skäl som när det gäller ChatControl lär den nya tyska regeringen säga nej till datalagring, så väl inom landet som planerna på ett nytt datalagringsdirektiv i EU.
Med detta ansluter sig den nya regeringen till EU-domstolens linje. Domstolen har upphävt EU:s tidigare datalagringsdirektiv – och vid upprepade tillfällen påpekat för medlemsstater att det inte är tillåtet med svepande insamling av data om alla medborgares alla tele- och datakommunikationer utan konkret brottsmisstanke.
Räkna med att den nya linjen kommer att möta hårt motstånd från polis och underrättelsetjänst.
• Hemlig dataavläsning
Koalitionsfördraget säger även att alla säkerhetsbrister inom IT skall rapporteras in. Vilket i så fall kolliderar med användningen av hemlig dataavläsning (”Bundestrojaner”). Sådan bygger på att hålla ännu icke allmänt kända säkerhetsbrister öppna – för att sedan myndigheterna skall kunna använda dem för installation av spionprogram. Men den nya regeringen sätter istället allas säkerhet online främst.
Så sent som i somras beslutade Bundestag om ökad användning av hemlig dataavläsning. Men nu är det alltså tänkt att man skall göra helt om i frågan. Vilket säkert kommer att orsaka en del gnissel.
• Nej till biometrisk massövervakning
Detta är möjligen en mer omstridd fråga i Tyskland än i EU. Medan tysk polis redan prövat kameraövervakning med automatisk ansiktsigenkänning, finns ett klart motstånd mot användning av sådan teknik på EU-nivå – inte minst i Europaparlamentet.
Detta är bara några exempel. Du hittar en mer utförlig lista här.
Nu återstår att se om den nya regeringen kan leverera enligt sin överenskommelse. Det finns skäl att misstänka att socialdemokraterna (som ju satt i den förra regeringen, vilken drev en annan politik) inte är helt förtjusta.
Men framförallt är det i EU som den nya tyska linjen kan komma att skapa oreda. Förhoppningsvis blir det en ögonöppnare när det största EU-landet säger nej till mer kontroll och övervakning. Det kan bli ett tillfälle för mindre länder (som tidigare tyckt att motstånd är meningslöst) att ta sitt förnuft till fånga.
Tyskarna vet ju hur det kan gå. Så de har en viss avsändarlegitimitet i dessa frågor.
Övervakning av icke misstänkta – hur resonerar regeringen?
Hur tänker egentligen regeringen kring det där med övervakning av personer som inte är misstänkta för något konkret brott? Hur rimmar det med rättsstat och medborgerliga fri- och rättigheter? Vi kikar igenom regeringens utredningsdirektiv om ”Preventiva tvångsmedel för att förhindra allvarlig brottslighet”.
Innan vi gör något annat måste vi notera att det inte handlar om total avsaknad av misstanke. Det handlar om personer som är anknutna till gängkriminella miljöer och som kan förväntas ha något djävulskap för sig.
Inte desto mindre kommer preventiv övervakning utan konkret brottsmisstanke att orsaka sidoskador genom att fullständigt oskyldiga människor blir drabbade. Collateral damage.
Plus att det är en viktig princip i en demokratisk rättsstat att staten inte övervakar vanligt, hederligt folk. Det är till exempel därför EU-domstolen säger nej till urskiljningslös lagring av data om alla medborgares alla tele- och datakommunikationer.
Nu vet vi inte hur utredningens förslag kommer att se ut. Men direktivet finns tillgängligt. På sidan två kan vi läsa:
”Utredaren ska noga väga behovet av en effektiv brottsbekämpning mot den enskildes rätt till skydd för grundläggande fri- och rättigheter såsom den personliga integriteten. Förslagen ska uppfylla högt ställda krav på rättssäkerhet.”
Vilket låter som en lovande ambition. Men hur det blir med den saken kan vi inte veta förrän utredningen lägger fram sitt förslag. En ständigt allt mer omfattande övervakning får samtidigt allt svårare att respektera just de värden som nämns ovan.
Vi får även en överblick av vilka verktyg som finns idag:
”De hemliga tvångsmedlen utgörs av hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation, hemlig kameraövervakning, hemlig rumsavlyssning och kvarhållande av en försändelse. Sedan den 1 april 2020 finns också ett nytt hemligt tvångsmedel, hemlig dataavläsning. Även inhämtning enligt lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet, förkortad inhämtningslagen, är ett hemligt tvångsmedel.”
Dessa tvångsmedel används alltså när det finns en misstanke om att ett visst, identifierbart brott planeras eller att ett sådant har utförts. Men nu vill man ta ytterligare ett steg.
”Termen preventiva tvångsmedel används här för att beteckna hemliga tvångsmedel som får beslutas utan att en förundersökning har inletts, jfr propositionen Hemliga tvångsmedel mot allvarliga brott (prop. 2013/14:237 s. 98). Preventiva tvångsmedel har till skillnad från hemliga tvångsmedel under en förundersökning till syfte att förhindra framtida brottslighet. I en förundersökning är syftet att utreda ett begånget brott.”
Pre-crime, med andra ord. Vilket väcker en del så väl praktiska som filosofiska frågor.
Läser vi vidare upptäcker vi att det redan finns massor av relaterade lagar på området. Som inhämtningslagen och preventivlagen.
Inhämtningslagen är dock begränsad till historiska uppgifter, uppger man, för att sedan på nästa rad skriva:
”Enligt lagen får uppgifter hämtas in om omständigheterna är sådana att åtgärden är av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott vilka har ett straffminimum på fängelse i minst två år eller om det är fråga om brottslig verksamhet som innefattar vissa särskilt angivna samhällsfarliga brott inom Säkerhetspolisens ansvarsområde. Det krävs således inte att det finns misstankar om ett konkret brott. Åtgärden behöver inte heller kopplas till en viss specifik person.”
Utöver att utredningsdirektivet möjligen innehåller en del märkliga självmotsägelser om vad som gäller, så förefaller det som om vi redan har en lag som gör ungefär det som efterfrågas. Eller två:
”Enligt preventivlagen får tillstånd till bl.a. hemlig avlyssning av elektronisk kommunikation, hemlig övervakning av elektronisk kommunikation och hemlig kameraövervakning meddelas i underrättelseskedet, om det med hänsyn till omständigheterna finns en påtaglig risk för att en person kommer att utöva viss särskilt allvarlig brottslig verksamhet som innefattar en i lagen särskilt angiven gärning, t.ex. terroristbrott.”
Man konstaterar även att vad som gäller för de två ovanstående lagarna också i huvudsak överensstämmer med villkoren för hemlig dataavläsning.
Dessutom har man redan två andra utredningar på gång. Man utreder ”regleringen om hemliga tvångsmedel med syftet att ta ställning till hur hemliga tvångsmedel ska kunna användas i större utsträckning för att bekämpa allvarlig brottslighet”. Visserligen lägger den tonvikten vid hemliga tvångsmedel vid förundersökning, men befinner sig helt klart i en liknande kontext som den nya utredningen.
Den andra utredningen handlar om datalagring vid brottsbekämpning, med ”syfte att säkerställa att de brottsbekämpande myndigheternas tillgång till information förbättras och upprätthålls över tid i takt med teknikutvecklingen och förändrade kommunikationsvanor”.
Det känns som om det redan finns rätt gott om lagar och utredningar på området. Används dessa lagar? Vad skiljer dem egentligen från vad som nu skall utredas? Skulle man inte kunna uppnå synergieffekter genom att samordna dessa utredningar? Vet den ena handen vad den andra gör?
Så, vad har direktivet att säga om rättsstatens principer och medborgarnas fri- och rättigheter?
”Dessa grundläggande fri- och rättigheter får begränsas endast genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig gå utöver vad som är nödvändigt eller utgöra ett hot mot den fria åsiktsbildningen (2 kap. 20 och 21 §§ RF).”
Inte desto mindre innebär övervakning av icke misstänkta medborgares kommunikationer de facto ett brott mot den grundläggande rätten till privatliv.
Sedan fortsätter man med att räkna upp allehanda konventioner som en ny lag kan vara på väg att bryta mot. Europakonventionen till skydd för de mänskliga rättigheterna, Internationella konventionen om medborgerliga och politiska rättigheter och EU:s stadga om de grundläggande rättigheterna. Plus FN:s barnkonvention.
Man skriver även:
”Konsekvensbeskrivningen som gäller jämställdhet ska omfatta en analys av eventuella skillnader mellan vilka konsekvenser förslagen får för kvinnor respektive män och hur förslagen kan bidra till att de jämställdhetspolitiska delmålen uppnås.”
Vilket, givet sammanhanget – insatser mot våldsam gängkriminalitet – blir en smula komiskt. Skall man inte ha med något om klimatet också?
Jag är inte säker på att detta direktiv är helt genomtänkt. Jag blir misstänksam när jag upptäcker att frågan är ett gungfly av redan existerande lagstiftning och utredningar. Och jag är skeptisk till planen att möta gängkriminalitet med en mur av byråkrati.
Vet regeringen verkligen vad den sysslar med? Är det hela bara ett försök att finta bort frågan från dagordningen? Är det valtaktik?
Sedan har vi naturligtvis det större perspektivet: Om staten ges möjlighet att övervaka även människor som inte misstänks för något brottsligt – är det då någon som tror att detta bara kommer att användas mot gängkriminella? Och hur kan ett sådant verktyg inte komma att användas av ondsinta (eller inkompetenta) politiska krafter i framtiden?
Ju mer man gräver ner sig i detta, ju märkligare blir det. Jag föreslår att vi håller oss till principen att människor som inte misstänks för något brottsligt inte heller skall övervakas av staten.
Övervakning utan brottsmisstanke – fler frågetecken än svar efter regeringens presskonferens
Övervakning utan misstanke om brott är naturligtvis inte acceptabelt. Men är det vad regeringen föreslår? Vet den ens själv? Och bakom rubrikerna finns andra och fler problematiska frågor. Några svar kommer vi dock inte att få förrän efter nästa riksdagsval.
Regeringen har idag meddelat att man tillsätter en utredning om ”utökade möjligheter att använda preventiva tvångsmedel för att förhindra allvarlig brottslighet”. De centrala punkterna är:
• Se över hur exempelvis hemlig avlyssning ska kunna användas i större utsträckning för att förhindra allvarliga brott som begås inom ramen för kriminella nätverk.
• Undersöka nya möjligheter till husrannsakan i preventivt syfte.
• Modernare och utökade möjligheter till datalagring och biometri i brottsbekämpningen utreds.
En intressant fråga är möjligheten att använda tvångsmedel utan brottsmisstanke. Här tycks en del förvirring råda – då något slags misstanke om delaktighet i pågående eller framtida gängbrottslighet ändå kommer att krävas. Så en viss grad av misstanke måste alltså finnas.
Frågan är därför snarare om man skall kunna använda tvångsmedel mot personer som på goda grunder kan misstänkas begå brott eller bara mot personer som konkret misstänks begå ett visst, identifierat brott.
Var man skall dra gränsen är en fråga som bollas över till utredningen. Och innan vi vet vad som faktiskt kommer att föreslås blir det mesta bara spekulationer.
En detalj som kommer att bli viktig att granska när utredningen väl presentras (februari 2023) är risken för ändamålsglidning. En sådan är redan på gång i och med att man nu vill utöka möjligheten till förebyggande övervakning från terrorism till gängbrottslighet. Kommer det att stanna där? Vi ser ju ofta hur övervakning och kontroll som införs på ett område med tiden utvidgas till andra syften – för att till slut även komma att omfatta mindre förseelser där intrånget i medborgarnas privatliv inte alls står i proportion till eventuell brottslighets allvar.
Man får lätt en känsla av att denna utredning är ett sätt för regeringen att triangulera vad gäller oppositionens krav på avlyssning utan brottsmisstanke. Att ”oskadliggöra” ett krav från Moderaterna & Co under valåret, med hänvisning till att man utreder frågan. Detta kan mycket väl vara det verkliga skälet till dagens presskonferens.
En annan intressant detalj som skall utredas handlar om hemlig husrannsakan. Det vill säga att polisen skall kunna gå in i någons bostad (eller annan plats) utan att den som utsätts informeras eller känner till saken. Önskemålet kommer enligt inrikesministern från Säpo, men regeringen vill även utreda att ge detta verktyg till polisen.
Avslutningsvis är punkten ”Modernare och utökade möjligheter till datalagring och biometri i brottsbekämpningen” intressant. Givet sammanhanget i vilket den presenterades kan man undra om regeringen avser datalagring mot misstänkta (OK enligt EU-domstolen) eller utökad allmän, urskiljningslös lagring av data om allas alla tele- och datakommunikationer (inte OK enligt domstolen).
Sedan är begreppet ”biometri i brottsbekämpningen” väldigt luddigt. Det kan innebära allt från fingeravtryck (inte kontroversiellt) till automatiserad ansiktsigenkänning med kameraövervakning på allmän plats i realtid, med samkörning mot allehanda register. Vad gäller det senare pågår en dragkamp i EU där kommissionen och parlamentet säger nej – men flera av medlemsstaterna gärna vill använda ett sådant verktyg.
På det hela taget känns dagens presskonferens med inrikesministern rätt meningslös. (Som en repris av presskonferensen den 27 augusti.) Inget nytt presenterades egentligen (mer än att en utredning om redan kända förslag nu formellt tillsätts). Frågetecknen blev fler än svaren. Och vad som egentligen kommer att föreslås får vi inte veta förrän våren 2023, efter valet. Syftet med övningen var nog mest att framstå som handlingskraftig mot gängbrottsligheten i media.
• Länk: Regeringens pressmeddelande med video och Powerpoint (dock inget utredningsdirektiv ännu) »
FBI hemlighöll dekrypterings-nyckel för företag som drabbats av ransomware
»The FBI refrained for almost three weeks from helping to unlock the computers of hundreds of businesses and institutions hobbled by a major ransomware attack this summer, even though the bureau had secretly obtained the digital key needed to do so, according to several current and former U.S. officials. The key was obtained through access to the servers of the Russia-based criminal gang behind the July attack. Deploying it immediately could have helped the victims, including schools and hospitals, avoid what analysts estimate was millions of dollars in recovery costs. But the FBI held on to the key, with the agreement of other agencies, in part because it was planning to carry out an operation to disrupt the hackers, a group known as REvil, and the bureau did not want to tip them off.«
Det hela påminner lite om hur svensk polis hemlighåller nya säkerhetsluckor, för att själv kunna utnyttja dem för hemlig dataavläsning.
Pegasus och annan statlig spyware sågas av FN-kommissionär
Europarådet har hållit en utfrågning kring spionprogramvaran Pegasus, som enligt uppgift använts för att övervaka journalister, oppositionella och politiker runt om i världen. Bland annat medverkade FN:s människorättskommissionär Michelle Bachelet. Här är ett par citat ur hennes anförande.
»Without minimal safeguards and control, expensive and highly intrusive technologies will continue to be used to monitor voices regarded as critical or hostile at home and abroad. These technologies, that detect and exploit vulnerabilities of digital communications without leaving any trace will keep being used as weapons to silence dissent and punish independent reporting.«
»First and foremost, the human rights law applicable here is clear: surveillance measures can only be justified in narrowly defined circumstances, based on the law. In addition, such measures must be both necessary and proportionate to a legitimate goal. Government hacking at the scale reported is never going to meet these criteria.«
Det skall tilläggas att även svenska myndigheter använder Pegasus eller snarlik spyware för övervakning, inom ramen för hemlig dataavläsning.
• Statement by United Nations High Commissioner for Human Rights, Michelle Bachelet »
Australien inför nya lagar för att övervaka digitala enheter, kommunikationer och internetkonton
Australien inför nya omfattande övervakningslagar. Digital Rights Watch konstaterar uppgivet:
»The Australian government has new laws on the books to hack your computer, your online accounts, and just about any piece of technology and networks you come into contact with. It can happen without a warrant and without you ever knowing. That’s just the start of it.«
Låt oss titta närmare på beståndsdelarna i denna Surveillance Legislation Amendment (Identify and Disrupt) Bill, speciellt då övervakningslagar tenderar att sprida sig till andra länder.
Data Disruption Warrants: Tillåter myndigheterna att lägga till, kopiera, ändra eller radera data på digitala enheter. Ordet ”warrant” är i sammanhanget något missvisande, då någon sådan inte kommer att krävas i brådskande fall. En DDW kan utfärdas även om en individs identitet inte är känd, om enheten kan antas vara kopplad till kriminell verksamhet eller om enhetens data kan tänkas bidra till en utredning.
Detta tycks vara något av en gummiparagraf som kan användas lite hur som helst. Vad gäller att ”lägga till” information kan man anta att det öppnar för användning av spionprogram (motsvarigheten till Tysklands Bundestjojaner och Sveriges hemliga dataavläsning).
Account Takeover Warrant: Detta ger myndigheterna rätt att ta över eller låsa ett konto i upp till 90 dagar.
Network Activity Warrant: Ger tillgång till hela nätverk om det finns misstanke om brott. Vilket innebär att om någon som misstänks för brott använder till exempel WhatsApp – då kan myndigheterna bereda sig tillgång till hela WhatsApp. Ett syfte tycks var att kringgå krypterade meddelandetjänster.
DRW rapporterar vidare:
»As it stands, the Australian government remains uninterested in allowing individuals to defend their rights: there is no one to argue on your behalf, and there is never any notification to the individual (even after the fact) so you will never know if you were subject to any of these powers.«
Svensk lagstiftning gör oss mindre säkra mot zero-day-attacker
Computer Sweden har en läsvärd artikel om så kallade zero day-attacker – det vill säga IT-sårbarheter där mjuk- eller hårdvarutillverkare ännu inte hunnit utveckla en patch. De är med andra ord sårbarheter som vi i princip ännu inte kan skydda oss emot.
CS noterar helt korrekt att det inte bara är kriminella aktörer som drar nytta av zero-day-sårbarheter:
»Både kinesiska och amerikanska underrättelsetjänster samlar in information om dagnollsårbarheter för att kunna använda den för spioneri eller sabotage. Ett omtalat exempel är den sårbarhet i protokollet SMB (även känt som CIFS) i Microsoft WIndows som upptäcktes av USA:s signalspaningstjänst National security agency, NSA. NSA höll tyst om upptäckten och utvecklade nolldagsverktyget Eternalblue för att kunna utnyttja sårbarheten. Men Eternalblue stals senare av kriminella hackare som använde programmet för att skapa utpressningsprogrammet Wannacry.«
Det borde vara uppenbart att myndigheterna skall rapportera in säkerhetsluckor, så att de kan täppas till – istället för att lämna dem öppna för missbruk.
Detta är ett kärnproblemen med den svenska polisens hemliga dataavläsning. Den utnyttjar zero-day-sårbarheter och skapar ett intresse av att vissa av dem skall fortsätta existera – för att polisen skall ha möjlighet att installera sina spionprogram. Vilket gör oss alla mindre säkra.
Märkligt nog är det i princip helt tyst om detta i den svenska debatten. Inte ens när CS skriver om ämnet nämns den svenska hemliga dataavläsningen.
Zero-day-angrepp är alltså inte bara definitionsmässigt okända hot – utan även hot som förvärras och rent av möjliggörs genom svensk lagstiftning.
Pegasus: Övervakning, ändamålsglidning och dubbelmoral
NSO-gruppens spionprogramvara Pegasus har väckt uppmärksamhet i internationell press den senaste tiden. Bland annat tycks den ha använts för politiskt spionage i Mexiko och för att spionera på journalister i Ungern.
Även om ett land skaffar sig möjlighet att övervaka människors telekommunikationer i syfte att bekämpa brottslighet och terrorism – så tenderar sådana verktyg alltid att användas för mindre ädla syften.
Vilket är värt att hålla i minne – då mycket talar för att även svensk polis använder just Pegasus för sin hemliga dataavläsning.
Dessutom finns ett grundläggande problem, som ständigt måste påpekas: För att spionprogram skall kunna användas för till exempel hemlig dataavläsning krävs att säkerhetshål i vår IT-infrastruktur lämnas öppna och oskyddade, för att kunna användas av myndigheterna. På så sätt blir vi alla mindre säkra – när dessa säkerhetsluckor lämnas öppna även för till exempel kriminella och främmande makt.
Runt om i EU vrider politikerna nu på sig. Hur skall de till exempel kunna kritisera Ungerns påstådda spioneri mot media och medborgarrättsaktivister när de själva ofta använder samma spionprogramvara; när de givit Europol i uppdrag att knäcka krypterad kommunikation – och när de givit grönt ljus för meddelandetjänster och e-post-företag att avkryptera och granska sina användares kommunikationer i jakt på olämpligt innehåll?