När EU går terroristernas ärenden

Att skydda medborgarna mot terrorism är en fråga på flera plan. Dels handlar det om att förhindra terrorattentat. Dels handlar det om ett försvar mot terrorismens underliggande mål – det vill säga dess strävan att ödelägga vårt öppna, fria, demokratiska samhälle.

Vad gäller det första – att förhindra terrorattentat – pekar erfarenhet och forskning på att massövervakning inte ger det skydd man hoppats. De flesta terrorister som genomfört attentat har varit kända för och flaggade av myndigheterna. Men man har inte haft resurser att hålla ögonen på dem. Istället har man satsat på att övervaka allt som hela befolkningen har för sig. Vilket inte gör oss tryggare, utan snarare tvärt om.

När det gäller att försvara vårt öppna, fria, demokratiska samhälle bör det rimligen innebära att försvara våra mänskliga och medborgerliga fri- och rättigheter. I detta ingår till exempel rätten till privatliv och yttrandefriheten. Men det är inte vad som sker. Istället gör EU gemensam sak med terroristerna för att undergräva dessa värden.

Just nu arbetar EU-maskineriet med flera olika ärenden som är problematiska.

Regulation on Terrorist Content Online

EU-kommissionen föreslår en ny reglering för att bekämpa terror-relaterat material online. EDRi sammanfattar några av regleringens centrala punkter:

  • Obligations to take down content on the basis of removal orders within one hour.
  • An arbitrary system of referrals of arbitrarily designated potentially dangerous (but not illegal) content to internet service providers. The removal of this content is decided by the provider, based on their terms of service and not the law.
  • Unclear, arbitrary “proactive” measures to be imposed on an unclear subset of service providers to remove unspecified content.

I regleringens förklarande delar öppnar man för att operatörer och plattformar skall kunna använda AI för att identifiera och avlägsna oönskat, terror-relaterat material. Vilket, speciellt då denna teknik än så länge är i sin vagga, är teknik som varken är speciellt tillförlitlig eller allmänt tillgänglig. I den mån den finns och kan användas kommer den att leda till överfiltrering, det vill säga att man censurerar mer än vad som är tänkt och nödvändigt. Dessutom är detta en teknik som förmodligen bara de stora plattformarna kommer att ha resurser för att använda. Den blir alltså en barriär som hindrar små och nya aktörer från att ge sig in på marknaden.

Överfiltrering ses för övrigt inte som ett problem i regleringen, utan ett mål.

Därtill kommer det ständiga problemet att ansvaret för censuren flyttas från lagstiftning och rättsväsende till privata operatörer och deras användarvillkor. Vilket gör individen rättslös.

I slutändan landar detta i att allt material som vi laddar upp på olika plattformar kommer att övervakas, granskas och analyseras. Allt.

Länk: Terrorist content regulation – prior authorisation for all uploads? »

Europaparlamentets TERR-utskott

Samtidigt pågår arbetet med en icke-bindande rapport i Europaparlamentets speciella, hemlighetsfulla »Special Committee on Terrorism« (TERR). Dess syfte tycks i stort sett vara att understödja de initiativ som kommer från EU-kommissionen på området.

Även här har EDRi en slagkraftig sammanfattning…

Unfortunately, references to fundamental rights were so scarce that Committee members chose to add a preamble to the Report to introduce vague considerations for the respect of fundamental rights and freedoms instead of mainstreaming our fundamental rights in the text. For instance, the Report calls for the alignment of the European counter-terrorist policies with the Charter of Fundamental Rights of the European Union, while proposing measures that are in contradiction to this principle. (…)

Compensating repressive and freedom-restrictive measures with superficial references to fundamental rights (such as removing more content online “but without endangering freedom of speech” or balancing interoperability with “fundamental rights of the data subjects”) is utterly insufficient at best and duplicitous at worst. Fundamental rights deserve stronger protection.

Rapporten upprepar även det farliga och orealistiska kravet på bakdörrar till kryptering. EDRi igen…

Worse still, it exacerbates the initial provisions on encryption, by requesting the development of a hub for decryption, including decryption tools and expertise within Europol, to access data obtained in the course of criminal investigations. Weakening encryption to supposedly support law enforcement services actually creates vulnerabilities and increases security risks.

Vilket öppnar allt vi gör på nätet för främmande makt och allsköns cyberbrottslighet.

Denna rapport (som alltså lyckligtvis inte är bindande, men ändå allvarlig) kommer upp till votering i plenum på någon av Europaparlamentets sessioner nu i vinter.

Länk: The TERR Committee votes on its irreparable draft Report »

/ HAX

5 juli-podden går på porrfilmsfestival med Oscar Swartz

Klicka här för att visa innehåll från YouTube

Klicka här för att visa innehåll från SoundCloud

I ett specialavsnitt av 5 juli-podden går vi på Berlins trettonde porrfilmsfestival på den alternativa bion Moviemento i Kreuzberg. Vi såg Ovidies film ”Everything’s better than a hooker” – eller ”I Sverige finns inga horor”, som den heter på svenska. En fransk film om den svenska sexköpslagen och dess tragiska konsekvenser.

Vi diskuterar filmen och intervjuar både filmskaparen Ovidie och filmfestivalens arrangör Manuela Kay – två feministiska ikoner som är starkt kritiska till situationen i Sverige.

”I Sverige finns inga horor” visas den 20 november 2018 på Capitol, Sankt Eriksgatan 82 i Stockholm, klockan 18 – missa inte! Filmen följs av ett panelsamtal där filmskaparen själv medverkar. (Läs mer hos Capitol.)

Reportaget spelades in den 25 oktober 2018. Medverkar gör, förutom Ovidie och Manuela Kay, Oscar Swartz, Henrik HAX Alexandersson och Karl Andersson.

Följ oss här:

Ladda ner avsnittet här:

Porrfilmsfestival i Berlin med Oscar Swartz och Ovidie (MP3, 23 MB)

Cory Doctorow: What the Internet Is For

The theory of change that goes, “We will walk away from politics and use the internet to evade state oppression” is a dead letter. It always has been.

But the theory that goes, “The internet will let us organize to hold the government to account, to topple the corrupt, to rally the honorable and expose the wicked” – that theory has never been more important.

The internet is not a revolutionary technology, but it makes revolution more possible than ever before. That’s why it’s so important to defend it, to keep it free and fair and open. A corrupted, surveillant, controlled internet is a place where our lives are torn open by the powerful, logged, and distorted. A free, fair, and open internet is how we fight back.

Cory Doctorow: What the Internet Is For »

EU vill göra datalagringen gränslös

Det går alltid till på samma sätt. Först så föreslås någon ny typ av massövervakning eller registrering. Politikerna lovar dyrt och heligt att denna bara skall användas om man behöver utreda verkligt allvarliga brott.

Men så blir det ju inte i verkligheten. Knappt hade FRA-lagen trätt i kraft förrän »FRA-shoppen« öppnade för en rad andra myndigheter. Samma sak gäller teledatalagringen / datalagringsdirektivet som (innan EU-domstolen upphävde det och upprepade gånger givit Sverige smäll på fingrarna) huvudsakligen kom att användas för att jaga fildelare och för att låta Skatteverket snoka i folks privatliv.

Grundpremissen bör vara att om man alls skall ägna sig åt massövervakning eller massregistrering – då innebär detta ett så stort intrång i den enskildes rätt till privatliv att informationen bara får användas när det verkligen, verkligen är viktigt. Vår rätt till privatliv stadgas i sin tur i Europakonventionen om de mänskliga rättigheterna, som en av våra grundläggande rättigheter som inte får fuskas bort.

Därför är det anmärkningsvärt att se det förslag till »eBevis« som EU-kommissionen nu försöker få igenom. Där finns inga sådana spärrar. Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst. Någon nedre gräns för när detta kan anses vara befogat anges inte.

Vilket är en signal om att dammluckorna nu kan öppnas – och att personlig information skall utlämnas även till EU-länder vars rättsstat, rättssäkerhet och sätt att hantera känslig information kan ifrågasättas.

Denna information skall lämnas ut inom tio dagar, eller i brådskande fall inom sex timmar. Och det är internetoperatören, den sociala plattformen eller appens ägare som skall göra en första bedömning av om en sådan begäran är i enlighet med svensk lag eller ej. Svenska rättsvårdande myndigheter är i normalfallet inte inblandade alls. Vilket kommer att skapa problem när till exempel polska myndigheter begär ut information som är relaterad till en handling som är brottslig i Polen men inte i Sverige.

EU-kommissionen signalerar även att man i framtiden vill kunna ägna sig åt realtidsavlyssning och direktåtkomst till information som lagras i molnet och på operatörernas servrar.

Hur detta går ihop med att EU-domstolen upphävt det direktiv som tillåter urskiljningslös datalagring (eftersom den strider mot de mänskliga rättigheterna) är oklart.

Länkar:
• Svensk operatör om EU-förslag: En katastrof »
• Ännu ett hot mot rättssäkerheten i EU »
• Independent study reveals the pitfalls of “e-evidence” proposals »
• Cecilia Wikström om e-bevis: Ett sjukt dåligt förslag »
• European Commission rolls out its proposal for a so-called eEvidence law »
• EU-kommissionen om eBevis »
• E-evidence – cross-border access to electronic evidence »
• Riksdagen: Förordning om tillgång till e-bevisning inom EU och Direktiv om utseende av representant för utlämnande av e-bevisning »

Internet som medborgarrättsrörelse

Ryska GRU-agenter som förgiftar kritiker i exil eller försöker hacka sig in i nätverket hos den internationella organisationen för förbud mot kemiska vapen. Saudiernas bestialiska mord på den obekväme journalisten Jamal Khashoggi, på landets konsulat i Istanbul. I alla tre fallen växer bilden fram av hur det blir allt svårare för stater att hålla smutsiga operationer hemliga i en uppkopplad värld.

Man bör visserligen hålla i minnet att i exemplen ovan kommer mycket av informationen från brittiska, nederländska och turkiska myndigheter – som naturligtvis bara släpper information som passar dem och deras agenda. Men samtidigt växer en ny form av journalistik som bygger på informationsforensik, som Bellingcat fram. Och de senare går – vad vi vet – inte i någons ledband.

Detta är i och för sig inget nytt. Till exempel kan nämnas att mycket av den information som användes i kampanjen för att försöka stoppa FRA-lagen, år 2008, fanns tillgänglig på den delen av internet som döljer sig bortom förstasidan i Googles sökresultat. Dessutom skapades synergieffekter genom att bloggare med expertis inom områden som politik, juridik, IT och medborgarrätt kunde komplettera varandra och bygga vidare på varandras uppgifter.

NSA-whistleblowern Edward Snowden och Wikileaks är exempel på hur maktens instrument kan vändas tillbaka, mot överheten helt enkelt genom att göras offentliga. Den amerikanske journalisten Barrett Brown utmanade med sitt kollaborativa research-initiativ Project PM hela det amerikanska cyber-militär-industriella komplexet och då speciellt sådan underrättelseverksamhet som hålls borta från demokratisk kontroll genom outsourcing.

I EU stoppade nätaktivismen (och dess politiska gren i form av Piratpartiet) planerna på att stänga av fildelare från internet utan föregående rättslig prövning. Det samma gäller ACTA-avtalet, som ville göra internetoperatörerna till nätpoliser. Och nu står striden om »länkskatt« och uppladdningsfilter i EU:s nya direktiv om upphovsrätt. I dessa fall handlar det såväl om att bygga en stark argumentation som att skapa uppmärksamhet och väcka en slumrande opinion.

Vad gäller EU behövs verkligen mer medborgarjournalistik och aktivism. Här är problemet att det är svårt att skapa uppmärksamhet och opinion i tid. Helt enkelt eftersom nästan ingen vet vad som är på gång. Samtidigt är många frågor som nu ligger i beredning i EU-apparaten högintressanta. Några exempel: ett initiativ mot falska nyheter; ett nytt direktiv mot terrorism; åtgärder mot hot och hat på nätet (vilket innebär inskränkningar i yttrandefriheten); vissa medlemsstaters försök att undergräva nätoperatörernas budbärarimmunitet (mere conduit).

Saken är att det alltid är lättare att försöka påverka en politisk process i dess början – innan positionerna blir låsta och prestige sätts framför fakta och medborgerliga rättigheter. Detta måste ske på nätsiter och genom nätaktivism, eftersom svenska media är urusla på att rapportera om vad som är på gång i EU. Som regel kommer media in först när vi mer eller mindre står inför fullbordat faktum. Och då blir det som vanligt i EU: Först beslutar man. Därefter debatterar man. Och slutligen tar man reda på fakta. Men då är det som regel redan för sent.

Sverige behöver mer nätaktivism, mer medborgarjournalistik, mer nätbaserad korsbefruktning av expertis från olika discipliner, fler crowdsourcade granskningar, en nätbaserad medborgarrättsrörelse – och plattformar för sådant samarbete. Vill man försvara vår frihet mot överheten, då måste det alltid ske underifrån.

Tillsammans kan vi skaka om politiken och stoppa förslag som inskränker internets öppenhet och våra medborgerliga fri- och rättigheter. Tillsammans kan vi bygga kunskapsbanker som kan mäta sig med etablerade medias grävredaktioner, myndigheter och till och med i vissa avseenden med statens underrättelseverksamhet. Tillsammans vet vi mer och har större samlad kunskap och kompetens än den fria informationens och det öppna samhällets fiender.

Vad vi behöver göra är att fundera på hur detta kan organiseras och struktureras – i så platta och decentraliserade former som möjligt.

 

Relaterat: Techcrunch – Khashoggi’s fate shows the flip side of the surveillance state »

Europaparlamentet kräver mer övervakning

Hur skall EU hantera terrorismen? Den frågan har stötts och blötts i ett specialinrättat utskott i Europaparlamentet – European Parliament’s Special Committee on Terrorism, förkortat TERR. Till skillnad från parlamentets övriga utskott har TERR de flesta av sina möten bakom stängda dörrar.

Nu har man producerat en rapport. Parlamentets egna initiativrapporter är egentligen rätt meningslösa papper. De har ingen lagstiftande effekt, utan sänds helt enkelt över till EU-kommissionen och andra eventuellt intresserade för påseende. Parlamentet tycker saker, helt enkelt.

Men ibland kan en sådan rapport användas för att EU:s enda folkvalda förtroendemän (ledamöterna i parlamentet) förväntas legitimera kontroversiella saker som EU-kommissionen och medlemsstaterna i ministerrådet redan jobbar med. Vad gäller rapporten från TERR tyder mycket på att den är just ett sådant beställningsarbete.

Till exempel kan TERR-rapporten kan användas för att backa upp EU-kommissionens förslag om nätcensur, som lades fram den 12 september.

Frankrikes president, Emanuel Macron, har för övrigt redan meddelat att EU-valet nästa vår till stor del kommer att handla om att sätta koppel på internet. Även här passar TERR-rapporten väl in i pusslet.

Bland de förslag som vädras finns bland annat utökad datalagring, urholkat krypteringsskydd, utökad registrering av medborgarnas resor – och inte minst en ny, gigantisk Storebrors-databas för hela EU.

Det har lagts fram 1.519 ändringsförslag till rapporten. En del är bra, andra förfärliga. Problemet med så omfattande voteringar är att de blir fullständigt kaotiska – och därmed lätta att styra från presidiet.

I en kritisk kommentar skriver EDRi:

”The fact that the TERR Committee draft’s “spontaneously” chose to propose similar wording to what the Commission proposed is important. It means that the two rapporteurs have led the European Parliament a long way towards adopting a position that fully aligns with the terms of the proposed Terrorist content Regulation before the vast majority of Parliamentarians were aware of what the Commission was about to propose as binding legislation. If deliberate, this would be a serious attack on institutional integrity of the European Parliament.”

I oktober och november bereds TERR-rapporten i sitt hemliga specialutskott. Preliminärt väntas den komma upp till votering i Europaparlamentets plenum i december.

Även om rapporten inte är lagstiftning måste den kritiseras, helst röstas ner – då den öppnar dörren för så mycket andra Storebrors-påfund.

 

Läs mer hos EDRi: EU Parliament’s anti-terrorism draft Report raises major concerns »

Nytt avsnitt av 5 juli-podden – om Linux, Grindr och EU

Klicka här för att visa innehåll från YouTube

Klicka här för att visa innehåll från SoundCloud

I ett färskt höstavsnitt går vi igenom de senaste nätskandalerna:

  • Vi diskuterar uppförandekoder med anledning av coc-bråket i Linuxgemenskapen.
  • Dejtingappen Grindr outar bögar i repressiva länder genom att låta tredjepartsappar positionsbestämma användarna extremt exakt.

HAX rapporterar om det senaste i EU:

  • Upphovsrättspaketet har gått in i trialogfasen
  • EU-domstolen har godkänt att myndigheter kan få ut data om användare hos nät- och teleoperatörer även för misstanke om ringa brott.
  • Europaparlamentet har röstat igenom lagstiftning om 30 procent europeiskt innehåll på strömningstjänster.

Dessutom:

  • Karl rapporterar från den nätpolitiska konferensen NP14 i Berlin och intervjuar Jillian C. York från amerikanska Electronic Frontier Foundation om deras projekt Offline.
  • Tim Berners Lees kapselprojekt ska begränsa hur mycket åtkomst sociala media-företag får till våra data.
  • Explosionen av strömningstjänster kan ha lett till ökad piratkopiering.

5 juli-podden görs av Karl Andersson och Henrik HAX Alexandersson på uppdrag av 5 juli-stiftelsen som arbetar för mänskliga rättigheter på internet.

Följ oss här:

Ladda ner avsnittet här:

70: Linuxgate, Grindrfail och EU-skandaler (MP3)

Dating app Grindr collage

Dejtingappen Grindr skvallrar om sina användares sexuella preferenser och exakta position – läs och darra!

Grindr, som beskriver sig som ”världens största dejtingapp för HBTQ-personer”, har länge hävdat att de bara avslöjar sina användares ungefärliga position. Nu visar en snillrik användning av appens API att man kan ta reda på den exakta positionen – på metern när.

Tredjepartsappen Fuckr utvecklades för att visa just detta. Appen använder triangulering för att få en mer exakt position på användarnas telefoner än den som Grindr tillhandahåller.

Det ska nämnas att Grindrs huvudsakliga funktion är att låta användarna se vilka andra användare som befinner sig i samma område. Telefoners positionsfunktion är alltså själva förutsättningen för appen och anledningen till dess framgång.

Spionage från fåtöljen

En journalist på Queer Europe följde en väns lördagskväll genom Fuckr:

While sitting behind my laptop, I could see in which restaurants he was eating, in which cafes he was drinking, and in which nightclubs he was dancing. I could also see that he went to the gay sauna at 1 a.m. and then slept at a stranger’s house at 3 a.m.

Lägg till detta att Grindr knappt har några begränsningar för antalet API-förfrågningar: Man kan söka på 600 användare per förfrågning – och det är tillåtet att göra flera förfrågningar samtidigt.

I praktiken innebär det att man kan kartlägga samtliga Grindr-användare i till exempel Stockholm med deras exakta position varje minut under en vecka.

Sexuella preferenser och hivstatus

Men inte nog med det: Man kan också få tillgång till dessa användares personliga data såsom profilnamn, foto, ålder, längd, vikt, etnicitet, kroppstyp, förhållandestatus, sexuella preferenser, och – inte minst – hivstatus.

Detta är varje övervakares våta dröm. Ja, det överträffar rentav Bahnhofs gamla aprilskämt P.st, där man kunde kolla ”vad som helst om vem som helst”.

För att vrida skruven ett varv till kan vi nämna att Grindr är kinesiskt sedan grundarna i januari 2018 sålde företaget till Kunlun Group.

Trevligt.

Dubbelmackning avslöjar positionen

Det ska finnas sätt att undgå att bli positionerad på detta sätt. Grindr-användarna kan till exempel i inställningarna välja att inte avslöja sin position, men detta döljer bara positionen för andra användare och tredjepartsappar. Grindr placerar en fortfarande i listan över inloggade användare baserat på distans. Och då är det bara att ta reda på positionen för dem som kommer före och efter i listan – man kan så att säga ”sandwicha” fram positionen även för den som valt att inte avslöja den.

Man kan invända att ”sandwichning” inte fungerar i ett område där de flesta användare väljer att dölja sin position. Men även där kan en kartläggare skapa ett antal fejkkonton med öppen position. Dessa konton kan sedan användas för att dubbelmacka sig fram till positionen för andra användare.

Kartläggning av bögar

Grindr har efter tidigare kritik stängt av distansfunktionen för användare i öppet homofoba länder som Ryssland, Nigera, Egypten, Irak och Saudiarabien.

Men det är fortfarande fritt fram att kartlägga användare (eller låt oss tala klarspråk: bögar) i tveksamma länder som Algeriet, Turkiet, Vitryssland, Etiopien, Qatar, Oman, Azerbajdzjan, Kina, Malaysia och Indonesien.

Avstängd från Github

Fuckr utvecklades som ett ”proof of concept” för att visa hur stora företag sätter sina användares säkerhet på spel. Notera att det inte på något vis handlar om hackning, utan om att använda de möjligheter som Grindr ger via sitt API.

Appen har nu tagits bort från Github, men inget hindrar att någon annan utvecklar en liknande tredjepartsapp.

Läs mer

Queer Europe: It is Still Possible to Obtain the Exact Location of Millions of Cruising Men on Grindr

EU:s censurmaskin är även en övervakningsmaskin

En av delarna i EU:s nya direktiv om upphovsrätt är det uppladdningsfilter för användargenererat material som nätplattformarna blir tvingade att installera. Syftet är att stoppa material som kan antas vara skyddat av upphovsrätt.

Detta har fått omfattande kritik. Men en aspekt tycker jag har hamnat i skymundan:

Skall man filtrera material måste allt som läggs upp förhandsgranskas. Alla de bilder du lägger upp. Alla texter du skriver. Alla videosnuttar och ljudfiler.

Dina bilder från familjens semester eller festen, dina tankar om stort och smått, videosnutten från barnens skolavslutning… Allt kommer att granskas, analyseras och jämföras.

Visserligen kommer denna granskning i huvudsak att utföras av maskiner som styrs av algoritmer. Men likväl kommer allt du lägger upp att granskas – av privata företag på statens uppdrag.

För det första är detta en allomfattande övervakning av människor som inte är misstänkta för något brottsligt. Vilket i sig är en kränkning av medborgarnas rätt till privatliv.

Vidare skall man inte förvänta sig annat än att Facebook, Google och alla andra kommer att spara de data som extraheras – för att skaffa sig en än mer omfattande bild av dig och ditt liv. Vilket borde väcka en del upprördhet bland alla som redan oroas av att nätjättarna vet för mycket om oss.

/ HAX