Femte juli

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

Tysklands författningsdomstol stoppar massövervakning

av

Den tyska författningsdomstolen har meddelat en principiellt viktig dom vad gäller underrättelsetjänsten BND:s massövervakning av icke-tyska medborgare utanför Tyskland: Verksamheten måste avvecklas, då den tyska författningen även omfattar hur tyska myndigheter behandlar människor i andra länder.

DW rapporterar:

»The ruling said that non-Germans were also protected by Germany’s constitutional rights, and that the current law lacked special protection for the work of lawyers and journalists. This applied both to the collection and processing of data as well as passing on that data to other intelligence agencies.«

Detta innebär rimligen att Tyskland inte längre kommer att kunna mata amerikanska NSA med massinsamlad data.

Övervakning får fortsatt förekomma – men måste då vara inriktad mot verkliga, konkreta hot. Det vill säga att vanligt, hederligt folk som inte kan misstänkas för något brottsligt skall lämnas ifred.

Intressant nog har domen mötts med positiva kommentarer från såväl regering som opposition.

Denna nyhet var tillräckligt stor för att till och med gå före corona-krisen i de tyska tv-nyheterna i går. Övervakningsfrågorna är glädjande nog stora i den tyska debatten.

I sammanhanget är det värt att notera att svenska FRA ägnar sig åt samma sak som tyska BND nu förbjuds att göra. Den svenska FRA-lagen skall för övrigt prövas av Europadomstolen för de Mänskliga Rättigheterna inom kort.

Länkar:
• DW: German intelligence can’t spy on foreigners outside Germany »
• Politico: Top German court deems spying on foreigners’ internet traffic is unconstitutional »
• The Local: Court slams German spies’ foreign internet surveillance »
• CCC: German Federal Constitutional Court demands more oversight on BND spying »

EU:s samordnare mot terrorism vill se EU-lag för att kringgå kryptering

av

EU:s samordnare mot terrorism, belgaren Gilles de Kerchove vill att den nya Digital Services Act skall omfatta lagstiftning om kryptering.

Enligt tyska Netzpolitik vill han att service providers skall åläggas att tillhandahålla läsbar, okrypterad tillgång till meddelanden som myndigheterna är intresserade av.

Netzpolitik skriver (med reservation för översättningen):

»Kryptering är inte bara allmänt förekommande på Internet, den är också viktig. Den skyddar konfidentialitet och äkthet mot allestädes närvarande attacker från alla – såväl underrättelsetjänster som brottslingar. Det finns ingen kryptering som kan de-krypteras av polisen i Berlin och Budapest, men inte av internetbrottslingar och ryska myndigheter. de Kerchove känner till detta dilemma, men han ignorerar det. Han kräver en ”optimal lösning” som gör det möjligt för användare att ”njuta av fördelarna med kryptering när det gäller integritet och dataskydd”, samtidigt som den europeiska polisen och underrättelsetjänsterna får tillgång till okrypterat innehåll. Han säger inte hur den lösningen ska se ut – eftersom den inte existerar. Han förnekar att han vill ha en statlig bakdörr, som enligt hans definition skulle vara ”permanent tillgång” för stater. Istället vill han ha åtkomst när polis och underrättelsetjänster begär ut  okrypterad data, vilket han kallar ”en ytterdörr”. Denna definitionsmässiga akrobatik förändrar inte det grundläggande problemet: kryptering skyddar antingen mot alla – eller mot ingen.«

Debatten står med andra ord och stampar på samma ställe som för tio år sedan.

»de Kerchove kritiserar att tillverkare som Google introducerar kryptering utan att först be EU om tillstånd. Han kräver en ”laglig skyldighet för leverantörer” att ”arbeta tillsammans med statliga myndigheter på teknisk nivå” och diskutera deras kryptering tillsammans.«

Att de Kerchove ger sig in i debatten just nu beror naturligtvis på att han vill ha in lagstiftning om kryptering i EU:s nya Digital Services Act, som just nu håller på att utformas.

Artikeln avslutas med en engelskspråkig text som ger en översikt över krypteringsfrågan i EU.

Netzpolitik: Anti-Terror-Koordinator der EU fordert Gesetz gegen Verschlüsselung »

USA:s Attorney General mullrar mot Apples försvar av användarnas rätt till privatliv och säkerhet

av

Attorney General Bill Barr uttrycker sig i hotfulla termer efter att Apple inte velat – och inte kunnat – låsa upp en misstänkt skytts telefon. Detta trots att FBI lyckats låsa upp telefonen i fråga utan Apples hjälp. Barr hotar nu med lagstiftning för att skapa en bakdörr. Och Apple slår tillbaka:

»It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers.«

»There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.«

Detta är ett ställningskrig som pågått länge nu. Myndigheterna hoppas kanske vinna genom att ständigt återkomma med sina krav om bakdörrar, som något slags utmattningstaktik. Men eftersom det skulle hota säkerheten för alla användare måste teknikföretagen stå fast och säga nej.

Men detta är inte det enda hotet från den amerikanska staten mot nätanvändarnas rätt till privatliv. Vox skriver:

»Barr raising the legislative solution specter is well-timed. A bipartisan bill called the EARN IT Act, which would essentially force platforms like Facebook, Reddit, and even end-to-end encrypted apps like WhatsApp and Signal to give the government a backdoor to any and all customer information is currently making its way through the Senate. There’s also the bill reauthorizing the Patriot Act, for which a painfully close Senate vote defeated an attempt to exclude web search history and browser information from warrantless surveillance by the FBI. The bill, once resolved by the House and Senate, will go to President Trump’s desk to sign.«

I sammanhanget skall man komma ihåg att lagar som rör övervakning i USA har en förmåga att leta sig över till EU med tiden. Vilket bland annat kan bero på ett nära underrättelsesamarbete (i vilket Sverige tycks spela en framträdande roll).

Vox: Why Attorney General Bill Barr is mad at Apple »

Försvara brevhemligheten

av

Rätten till privatliv – däribland privat korrespondens – är en mänsklig rättighet.

Länge har man på olika sätt gjort avsteg från denna princip när det gäller korrespondens online. Vilket är problematiskt. Samma regler bör gälla på internet som i övriga samhället.

Nu »harmoniseras« detta – på ett dåligt sätt, genom att regeringen vill utreda om den grundlagsskyddade brevhemligheten kan upphävas.

Digitaliseringsminister Anders Ygeman (S) förnekar inte att detta är problematiskt. Till SVT säger han:

– Det handlar om den knepiga avvägningen mellan den grundlagsfästa brevhemligheten och värdet av att kunna bekämpa den här brottsligheten, säger han.

Ständigt dessa »avvägningar« mellan grundläggande fri- och rättigheter och det ena eller andra. Varje gång en sådan avvägning eller kompromiss görs innebär det – med nödvändighet – att våra fri- och rättigheter inskränks.

Våra fri- och rättigheter är ytterst medborgarnas garanti mot övergrepp från överheten och mot maktmissbruk. Därför skall de inte begränsas över huvud taget.

Så rullas kontroll- och övervakningsstaten ut i corona-krisens spår

av

Förra veckan ställde vi frågan om vi kanske ändå kan bli påtvingade corona-appar – om vi vill ut och resa. Och häromdagen dök detta upp hos Politico:

»As the U.K. rolls out a coronavirus contact-tracing app, its government is already considering another technological tool to help loosen lockdown restrictions — the immunity passport.

The idea behind so-called digital “passports” is that they would allow people who have recovered from the coronavirus to signal their immunity and thus move around freely, enabling economies to open up.

But there are fears such a system, which is at a preliminary stage of discussion with the developer, could lead to discrimination, create perverse incentives to get infected, and violate privacy.

The scheme also relies on reliable antibody testing and enough kits for large-scale testing — neither of which exist, yet. Not to mention that health experts don’t know whether immunity to the coronavirus even exists and, if it does, how long it lasts.«

Något liknande kommer förmodligen även att rullas ut i EU, för att göra resor mellan medlemsstaterna möjliga.

Vilket – i så fall – innebär att man först måste bli smittad, sjuk och friskförklarad innan man återfår sin frihet att resa. Till att börja med är detta en inskränkning av våra grundläggande fri- och rättigheter som EU-medborgare. Dessutom kommer det att leda till massor av oförutsedda och oönskade konsekvenser och (som texten ovan nämner) till absurda incitament i människors beslutsfattande.

Den som vill ha en översikt över vilka länder som rullar ut corona-appar och hur de fungerar kan gå till denna sammanställning hos MIT Technology Review.  Än så länge finns 23 länder på listan, varav bara fem verkar ha valt den Apple/Google-lösning som anonymiserar användaren.

Och i Singapore har man även sänt ut Boston Dynamics robot-hund för att upprätthålla socialt avstånd i parkerna.

I sammanhanget vill vi rekommendera SR Vetenskaps program »Corona och övervakningen – Hälsan före allt«, med bland andra Yuval Noah Harari.

»I USA och Australien ska man nu börja använda vad som kallas för pandemidrönare. Det är drönare utrustade med värmekameror som kan känna av om du har feber. Tack vare artificiell intelligens kan de också utifrån kamerabilder, läsa av både hjärtslag, andning och i en folksamling upptäcka personer som nyser eller hostar.« (…)

»Förutom drönare handlar det om appar för smittspårning, och utegångsförbud som övervakas med hjälp av ansiktsigenkänning. Ofta sker det här i demokratiska länder där det tidigare ansetts otänkbart.«

Avsnitt ett sändes idag. Del två sänds i morgon i P1, efter tolvslaget.

Läs mer » | Lyssna till avsnitt 1 »

Ur programmet:

«Problemet är att när krisen väl är över, så visar forskning att det är svårt att göra sig av med de nya övervakningssystemen och att de istället blir permanenta. Christel Backman är forskare inom övervakningsstudier vid Göteborgs universitet.

– Vi vänjer oss vid övervakningssystemen under kristiden och vi kanske också upplever att de skyddar bra mot någon typ av hot. Och så tenderar vi kanske snarare att utvidga användningsområdena för det här, som från början var exceptionella åtgärder, snarare än att vi backar eller tar bort dem, säger hon.«

Corona-krisen verkar alltså bli den ursäkt som behövdes för att rulla ut övervakningsstaten ytterligare.

Bruce Schneier: Corona-appar är värdelösa

av

Den välkände dataskyddsexpeerten Bruce Schneier sågar planerna på smittspårningsappar.

BuzzFeedNews:

”My problem with contact tracing apps is that they have absolutely no value,” Bruce Schneier, a privacy expert and fellow at the Berkman Klein Center for Internet & Society at Harvard University, told BuzzFeed News. ”I’m not even talking about the privacy concerns, I mean the efficacy. Does anybody think this will do something useful? … This is just something governments want to do for the hell of it. To me, it’s just techies doing techie things because they don’t know what else to do.”

På sin egen blogg förklarar Schneier problemet med falska positiva och falska negativa statusmeddelanden:

False positives: Any app will have a precise definition of a contact: let’s say it’s less than six feet for more than ten minutes. The false positive rate is the percentage of contacts that don’t result in transmissions. This will be because of several reasons. One, the app’s location and proximity systems — based on GPS and Bluetooth — just aren’t accurate enough to capture every contact. Two, the app won’t be aware of any extenuating circumstances, like walls or partitions. And three, not every contact results in transmission; the disease has some transmission rate that’s less than 100% (and I don’t know what that is).

False negatives: This is the rate the app fails to register a contact when an infection occurs. This also will be because of several reasons. One, errors in the app’s location and proximity systems. Two, transmissions that occur from people who don’t have the app (even Singapore didn’t get above a 20% adoption rate for the app). And three, not every transmission is a result of that precisely defined contact — the virus sometimes travels further.

Han påpekar också att utan tillgång till snabb och enkel provtagning blir det hela än mer meningslöst.

Schneier on Security: Me on COVID-19 Contact Tracing Apps »

GDPR – för dyrt även för staten?

av

EU:s dataskyddsförordning – GDPR – har ett mycket vällovligt syfte: Att skydda medborgarnas persondata.

Men för många förtag har GDPR medfört kostnader och krångel. Samtidigt tycks de flesta användare slentrianmässigt klicka OK på alla relaterade dialogrutor som kommer upp, ofta utan att läsa vad det handlar om.

Och nu visar det sig att även EU:s medlemsstater tycker att GDPR håller på att bli för dyrt. Irish Times skriver:

»Digital privacy regulations introduced in Europe nearly two years ago are in danger of failing because regulators have not been properly resourced, a new report claims.

As the second anniversary of the introduction of General Data Protection Regulation (GDPR) nears, the study claims regulators are not being given the tools they need to enforce it.«

Och de natioinella dataskyddsmyndigheterna lär knappast få mer pengar nu, efter den ekonomiska kraschen till följd av corona-krisen.

Irish Times: GDPR at risk of failing due to underfunding of regulators, study finds »

EU:s upphovsrättsdirektiv ett år senare: It’s a mess

av

Som så mycket annat har processen kring implementeringen av EU:s nya upphovsrättsdirektiv gått i stå under corna-krisen. Vissa mönster kan dock börja urskiljas.

Tydligast är att detta kommer att bli ett lapptäcke av skiftande lagstiftning i EU:s olika medlemsstater. Vilket är problematiskt, eftersom internet inte känner några gränser – och då nätplattformarna är internationellt verksamma. Man kan undra hur de senare alls skall kunna verka i Europa med så skiftande lagar. Därmed faller mycket av tanken med ett EU-direktiv – som ju rimligen måste ha syftat till att harmonisera reglerna istället för att balkanisera internet.

EU-kommissionen har visserligen försökt skapa en dialog, i syfte att ta fram gemensamma riktlinjer. Men just nu ligger detta arbete i stort sett nere, på grund av den pågående hälsokrisen. Direktivet skall dock vara nationell lag i alla medlemsstater senast den 7 juni 2021 – så klockan tickar.

I Frankrike finns både planerade och klubbade lagar som kan sägas överimplementera direktivet – och som lett till en bitter strid om den så kallade länkskatten, som tvingar Google att både länka till franska media och att betala för det. I Tyskland diskuteras någon form av »fair use«-regler, men bara på kommersiella plattformar (vilket kan göra ett visst innehåll lagligt på Facebook men olagligt på en privat blogg eller på Wikipedia). Och i Sverige gömmer sig justitiedepartementet bakom en öppen konsultation – som man är noga med att påpeka inte speglar regeringens åsikt.

It’s a mess.

Detta är på väg att bli precis så illa som man kunde frukta, kanske värre. Enklast vore att skrota hela direktivet, göra ett omtag och sedan lägga fram en enhetlig förordning (som gäller direkt, utan att behöva implementeras i nationell lag) – helst utan länkskatt och uppladdningsfilter. Men som framförallt är enhetligt för alla medlemsstater, så att vi får samma regler i hela EU. Annars faller liksom hela tanken med EU-samarbetet och en gemensam marknad.

Några matnyttiga länkar från Communia:
• Copyright in the DSM Directive – one year after »
• A better way to implement Article 17? New German proposal to avoid overblocking »
• Copyright Directive – Implementation – March news »

Cybersäkerhets-experter varnar för brittisk corona-app

av

Storbritannien och Frankrike har som bekant valt en mer centraliserad modell för sina smittspårnings-appar. Nu varnar 177 cybersäkerhets-experter den brittiska regeringen.

TLDR:

  • 177 cybersecurity and privacy experts have signed an open letter to the UK government asking it to ensure the contact tracing app it’s deploying to track the spread of coronavirus doesn’t then get used as a mass-surveillance tool.
  • The UK announced this week it was eschewing Apple and Google’s contact-tracing API to build its app, which will process users’ data centrally.
  • Experts warn this could create a database that could then be used to de-anonymize users.

Nyckelcitat:

”Such invasive information can include the ’social graph’ of who someone has physically met over a period of time. With access to the social graph, a bad actor (state, private sector, or hacker) could spy on citizens’ real-world activities. We are particularly unnerved by a declaration that such a social graph is indeed aimed for by NHSX,” the experts write.

Länk: 170 cybersecurity experts warn that British government’s contact tracing app could be used to surveil people even after coronavirus has gone »

Bra att veta innan du laddar ner den senaste corona-appen

av

Piratpartiet har en bra översikt av den nya smittspridningsapp som nu lanseras i Sverige, baserad på den brittiska Covid-19 Symptom Tracker. Här är några saker att tänka på för den som kanske funderar på att ladda ner den.

  1. Data kan lämnas ut till amerikanska aktörer.
  2. Zoe är inte speciellt tydliga med vilka uppgifter om appanvändarna som man faktiskt samlar in.
  3. Insamlad data delas med flera andra aktörer än de svenska forskare man kan ledas att tro tar del av den.
  4. Zoe anger inget slutdatum för lagring av hälsodatan.
  5. Man delar ospecificerade personuppgifter med en stor mängd tredjepartsaktörer.
  6. Man länkar inte till källkoden för appen någonstans på sin officiella sida.

Läs mer här: Ny svensk corona-app »