Femte juli

Nätet till folket!

Hemlig dataavläsning

Hemlig dataavläsning handlar om att myndigheterna tillåts installera spionprogram på människors datorer och digitala enheter. För att detta skall vara möjligt krävs att man utnyttjar säkerhetsluckor - som då förblir öppna och även kan användas av till exempel kriminella och andra illasinnade aktörer. Säkerhetsluckor bör istället rapporteras in och åtgärdas, för allas vår säkerhet.

Kommer hemlig dataavläsning att klubbas av riksdagen utan någon debatt om dess risker?

av

Om en vecka – torsdag den 6 februari – har riksdagens justitieutskott (JuU) åter hemlig dataavläsning på dagordningen. Ännu har man bara beslutat i formfrågor, som att skjuta fram lagens ikraftträdande en månad på grund av för kort ledtid efter att lagen klubbas i riksdagen (19 februari).

Att riksdag och regering inte bryr sig om integritet, det har vi tyvärr fått vänja oss vid. Men här finns även en uppenbar och påtaglig fara, vad gäller datasäkerhet. Dock finns det inget som tyder på att riksdagen kommer att bry sig om det heller.

Säkerhetsproblemet är som följer: För att kunna installera spionprogram på människors datorer, telefoner, plattor m.m. – så måste kända säkerhetsluckor hållas öppna. Detta gör hela vår IT-infrastruktur sårbar för cyberattacker, ransomware, bankbedragare, spionage och annan databrottslighet.

Detta är inte något utredningen brytt sig om, inget som regeringen brytt sig om, inget som lagrådet brytt sig om, inget justitieutskottet bryr sig om – och inget som riksdagen verkar bry sig om. Det är som om man tror att om man undviker att diskutera detta problem, då försvinner det. Vilket naturligtvis är oansvarigt önsketänkande. Det hela kommer att sluta med att vi alla blir mindre säkra.

Nu håller tiden på att rinna ut. Om vi alls skall få någon debatt om riskerna med hemlig dataavläsning – då måste den komma nu, innan det är för sent.

Datalagring även för meddelandeappar och sociala media?

av

Säkerhetspolisen och regeringskansliet har idag haft en smått förvirrad kommunikation om datalagring, genom media.

Först ut var Säpo-chefen Klas Friberg, i DN:

»Ett nytt EU-direktiv ger medlems­staterna möjlighet att låta brottsbekämpande myndigheter få tillgång till information från meddelandetjänster i appar och sociala medier. Men ett förslag som bereds i Regeringskansliet innebär att Sverige nu avstår från den möjligheten. Konsekvensen blir att svenska brottsbekämpande myndigheter kommer att sakna viktiga och moderna verktyg för att hantera terroristbrott, spioneri och annan allvarlig brottslighet. Regeringen måste nu skyndsamt utreda frågan.«

Sedan var det dags för digitaliseringsminister Anders Ygeman i SR:

»– Jag delar i grunden säkerhetspolisens bedömning att kommunikationstjänster som liknar sms och andra, ska omfattas av dagens reglering, säger han.« (…)

»– Jag tror att det finns ett missförstånd, mellan regeringskansliet och säkerhetspolisen i vilken lagstiftning du kan reglera den här möjligheten, där Säkerhetspolisen menar att det här bör gå att reglera inom ramen för EU-kodexen, och där regeringskansliets uppfattning är att det här inte räcker, utan att du också måste ändra inhämtningslagen, och då får vi sätta oss ner mellan regeringskansliets och säkerhetspolisens jurister, för att se hur vi bäst kan lösa det.«

Enkelt uttryckt: Både Säpo och regeringen är överens om att datalagringen även bör omfatta meddelandeappar och sociala media.

Hur det skall gå till är dock oklart. Plattformar som Facebook lagrar förvisso radan allt användarna gör. Men hur det skall gå till att få alla olika meddelandeappar med i datalagringen framgår inte.

Sedan är frågan om det alls behövs. Vi har redan den vanliga datalagringen – som lagrar data om alla svenskars alla telekommunikationer, e-postmeddelanden, nätuppkopplingar, mobilpositioner med mera. Snart får vi även hemlig dataavläsning. Vilket innebär att myndigheterna kan bereda sig tillgång till misstänkta personers (m.fl.) smartphones, plattor, datorer m.m. – där de dels kan undersöka allt innehåll (filer, bilder, videos, ljud, kontakter, meddelanden etc.); dels använda kamera och mikrofon för övervakning; dels se allt som görs på enheten i realtid; dels  dels läsa meddelanden som sänds via appar innan de krypterats eller efter att de avkrypterats.

Myndigheterna har alltså redan mycket omfattande tillgång till både icke-misstänktas och misstänktas kommunikationer. Nu vill man utvidga detta till att gälla alla svenskars alla meddelanden via appar. Man tänker uppenbarligen inte ge sig förrän man har kontroll över alla folkets kommunikationer.

Vilket är ett uttryck för att våra politiker betraktar hela svenska folket som potentiella skurkar och terrorister – som ständigt måste övervakas och kontrolleras. Vilket står i kontrast till Europakonventionen om skydd för de de mänskliga rättigheterna – som slår fast att den som inte är misstänkt för brott har rätt till privatliv och privat korrespondens. Och i kontrast mot EU-domstolens principbeslut om att staten inte får bedriva urskiljningslös övervakning av hela folkets telekommunikationer utan misstanke om brott.

Länkar:
• DN Debatt: ”Regeringsnej till EU-direktiv gör Säpos arbete svårare” »
• SR: Säpochefen kritiserar regeringsförslag »
• SR: Ygeman – det råder ett missförstånd »

Uppdatering: Efter att ha ägnat en stor del av dagen till att rota i EU-dokument och att försöka förstå Säpo-chefens utspel – så får jag nog hålla med digitaliseringsminister Ygeman om att Säpo tycks ha missuppfattat saken. Eller så är det ett märkligt PR-utspel med oklart syfte. Men någon egentlig substans bakom Klas Fribergs uttalanden är svåra att finna.

Hemlig dataavläsning: Kräv svar om säkerheten!

av

Om drygt två månader – den 19 februari – röstar riksdagen om regeringens proposition om hemlig dataavläsning.

Allt tyder på att förslaget kommer att gå igenom, med bred majoritet.

Innan dess behöver vi en diskussion om integritet, rätten till privatliv, rättssäkerhet och riskerna för missbruk eller ändamålsglidning.

Vi bör ta oss en funderare på vad det innebär att tillåta statliga spionprogram på våra telefoner, plattor, datorer, spelkonsoler, tv-apparater, smarta högtalare – för den händelse morgondagens politiska makthavare skulle vilja använda detta verktyg för att förtrycka enskilda individer eller grupper av människor.

Någon sådan debatt kommer vi dock knappast att få. Riksdagen är så gott som enig. Och bland väljarna verkar det som om det också finns ett utbrett stöd för mer övervakning. Tyvärr.

Däremot bör det gå att få till en debatt om hemlig dataavläsning och IT-säkerhet.

Om det finns säkerhetsbrister i våra operativsystem – då är detta ett högst påtagligt problem. Det öppnar för cyberbrottslighet, bankbedrägerier och spionage. Sådant måste åtgärdas.

Men med regeringens förslag kommer vissa av dessa säkerhetsluckor att förbli öppna. Helt enkelt för att de behövs för att den hemliga dataavläsningen skall vara tekniskt möjlig att genomföra.

På så sätt kommer hemlig dataavläsning att göra alla användare, alla företag och alla myndigheter mindre säkra mot IT-attacker, bedrägerier och hackare.

Detta är en konkret och begriplig aspekt på frågan. Och ett högst verkligt och påtagligt hot.

Så även om politikerna försöker ducka principfrågorna – så skall de inte komma undan de säkerhetsrelaterade frågor som är kopplade till hemlig dataavläsning.

Här bör alla vanliga användare – och hela IT-Sverige – kräva svar. Innan den 19 februari.

/ HAX

19 februari röstar riksdagen om hemlig dataavläsning

av

Onsdag den 19 februari röstar riksdagen om hemlig dataavläsning – det vill säga statliga spionprogram. Här beskriver vi några av problemen med förslaget.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Video: Principerna, makten och övervakningsstaten

av

Politikens hantering av övervakningsfrågorna är såväl principlös som ovärdig och farlig.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Österrike: Domstol stoppar hemlig dataavläsning

av

I Österrike har konstitutionsdomstolen satt stopp för landets lag om hemlig dataavläsning. EDRi rapporterar:

»On 11 December 2019, the Austrian Constitutional Court decided that the surveillance law that permits the use of spying software to read encrypted messages violates the fundamental right to respect for private life (article 8 ECHR), the fundamental right to data protection (§ 1 Austrian data protection law) and the constitutionally granted right that prohibits unreasonable searches (Art 9 Austrian bill of rights – Staatsgrundgesetz).«

Detta är högintressant även i ett svenskt perspektiv. Speciellt som domstolen anser att hemlig dataavläsning strider mot den europeiska konventionen om mänskliga rättigheter.

I Sverige har regeringen just lagt fram sin proposition om hemlig dataavläsning – som lider av i stort sett samma grundläggande problem som den österrikiska lagen.

EDRi: Austrian government hacking law is unconstitutional »

Ständigt, mer kontroll och övervakning

av

Jag antar att det finns något slags smärttröskel, där övervakningsstaten börjar bli så påtaglig och påträngande att folk helt enkelt får nog. Men vi är tydligen inte där ännu.

Med EU:s upphovsrättsdirektiv som verktyg har franska och tyska mediejättar skapat en situation där allt som folk laddar upp på nätplattformarna måste granskas och godkännas av en maskin först. Automatiserad förhandscensur. Snart i en digital miljö nära dig.

Lagrådet köpte regeringens förslag till stats-trojan – hemlig dataavläsning. Det är förmodligen en strikt juridisk bedömning. Man ger grönt ljus om en domstol får besluta först. Men man bortser från risken för ändamålsglidning, när statennu  ger sig själv nya övervakningsverktyg. Man blundar för de gigantiska digitala säkerhetsrisker detta kommer att medföra för såväl individer som företag och samhällsinstitutioner.

Bara tanken på att staten nu på riktigt skall få lov att ta sig in i folks mobiler…

Inte för att jag tror att någon skulle vara så nedrig; men som förslaget är skrivet så känns det som om man skapat ett verktyg som – i princip – i teorin – även skulle kunna användas för att plantera eller manipulera digitala bevis. Blotta misstanken om en sådan möjlighet borde få regeringen att backa.

I Europaparlamentet har den svenska EU-kommisionären Ylva Johansson – som är ansvarig för allt från upprätthållande av allmän ordning till att möta flyktingströmmen – sagt att det nu är dags för EU att anta ett nytt datalagringsdirektiv.

Vilket kan bli en skumpig resa – inte minst som EU-domstolen upphävde det förra datalagringsdirektivet för att det stred mot de mänskliga rättigheterna.

Principen man slåss över är rätt vacker: Att ingen människa skall övervakas utan ett moraliskt försvarbart skäl. Som vid utredning av ett allvarligt brott. Men inte annars. En hederlig människa som inte skadar eller stör sin omgivning skall inte behöva känna att staten kanske tittar över hennes axel. Alla skall ha rätt till en privat sfär, där de kan vara sig själva.

Det är denna princip man gör våld på när man bereder sig tillgång till data om alla medborgares alla tele- och nätkommunikationer.

Detta är vad som sker när staten inte längre har förtroende för sin befolkning, utan betraktar alla som potentiella tjuvar och terrorister.

Och så där håller det på. Hela tiden är det mer reglering; fler inskränkningar i nätets och informationens frihet; mer övervakning; fler kompromisser mellan grundläggande rättigheter och säkerhet; ständigt fler orimligheter från Big Entertainment, Big Media, Big Data och Big Government. Och tänk på barnen!

Allt rör sig, rätt snabbt, i riktning mot en avancerad kontroll- och övervakningsstat.

Vilket svenska folket kanske tvingas leva med och på något sätt måste förhålla sig till.

Är det inte hög tid att vi stannar upp ett ögonblick – och funderar igenom det här med övervakningsstaten innan vi rusar vidare? Så att medborgarnas fri- och rättigheter inte kommer bort på vägen.

/ HAX

Europol slår till mot samma slags trojan som regeringen vill låta svensk polis använda

av

Polisen i Australien har i samarbete med Europol slagit till mot ful-hackare som använt sig av en »Imminent Monitor Remote Access Trojan« (IM-RAT). Så här fungerar den:

»Once installed upon a victim’s computer the, now defunct, IM-RAT software allowed a remote user to access and view documents, photographs and other files, record all the keystrokes entered and even activate the webcam on the victim’s computer – all of which could be done without the victim’s knowledge. (…)

The number of victims is unknown but estimates suggest it could globally be in the tens of thousands. Investigators have identified evidence of stolen personal details, passwords, private photographs, video footage and data. Forensic analysis on the large number of computers and internet accounts continues, with investigators working to identify potential victims. However with the source-software now no longer available, access to victims has been shut off.«

Detta är alltså en trojan av precis samma typ som regeringen föreslår att svensk polis skall få använda sig av för hemlig dataavläsning.

För att polisen skall kunna göra detta måste säkerhetsluckor – liknande den som öppnat för IM-RAT – lämnas öppna. Vilket ökar risken för att alla användare kan komma drabbas av illasinnade hacker-attacker, trojaner, nätbedrägerier, dataintrång och olaglig övervakning.

Länkar:
Polisen i Australien: The Rat Trap: international cybercrime investigation shuts down insidious malware operation »
Polisen i Australien: Advice for potential victims of IM-RAT malware »
Europol: International crackdown on RAT spyware which takes total control of victims’ PCs »

Journalistförbundet: Hemlig dataavläsning hotar källskyddet

av

Nu går Journalistförbundet, med dess ordförande Ulrika Hyllert ut i debatten om hemlig dataavläsning. Deras vinkel är att den hotar källskyddet. Vilket den uppenbarligen gör. Plus att den reser en angelägen fråga om, när och i vilken kapacitet myndigheterna får övervaka en journalist.

»De nya reglerna om hemlig dataavläsning är ett hot mot källskyddet. Den regel som ska skydda journalisternas källor är dessutom inte utformad efter den digitala verklighet journalister verkar i. Källor som använder ”fel” kontaktväg faller utanför skyddet.«

Jo, så är det väl. Regeringen tänker sig media som att alla sitter på samma ställe, alltid endast talar med folk genom redaktionens ångtelefon och har presskortet i hattbrättet. Men en journalist kan se ut hur som helst nu för tiden – och har inte vattentäta skott mellan arbete och privatliv. Skulle staten av någon anledning vilja spana på medias källor – eller för all del på visselblåsare och dissidenter, då har den nu verktyget som krävs.

Journalisten: Därför hotar de nya reglerna om dataavläsning källskyddet »

DFRI: Risken för brottslighet kan öka med hemlig dataavläsning

av

Jag sitter och plöjer papper om regeringens föreslagna hemliga dataavläsning. Bland annat hittar jag remissyttrandet från Föreningen för Digitala Fri- och Rättigheter, :DFRI – som går rakt på det som är viktigt:

»Målet med brottsbekämpning borde vara att göra tillvaron säkrare för landets invånare, inte att utsätta oskyldiga för större risker. Det riskerar dock att bli fallet eftersom de verktyg som utvecklas för att genomföra hemlig dataavläsning kan komma att användas för helt andra syften, om de kommer i händerna på exempelvis kriminella ligor eller utländska underrättelsetjänster. Genom att aktivt söka efter eller köpa sårbarheter i informationssystem och sedan bygga verktyg för att utnyttja dessa säkerhetsluckor utsätts allmänheten för stora risker. Om man väljer att inte rapportera dessa brister, för att istället kunna använda dem till hemlig dataavläsning av ett litet fåtal brottsmisstänkta individer, lämnas alla andra fortsatt allt mer sårbara för intrång.«

Länk till DFRI » Risken för brottslighet kan öka med hemlig dataavläsning »

Läs även » Erik Lakomaa: Stora risker med statliga trojaner »