Ylva Johansson flaggar för ett nytt datalagringsdirektiv i EU

Det var kanske bara en tidsfråga. Men nu säger alltså EU:s nya »säkerhetskommissionär« Ylva Johansson att det behövs ett nytt datalagringssdirektiv – trots att EU-domstolen har slagit fast att svepande övervakning av alla människor utan brottsmisstanke inte är tillåten.

Ovan en screendump av en tweet från den tyske piratpartisten och ledamoten av Europaparlamentet Patrick Breyer, som hört henne tala om saken i parlamentets utskott för mänskliga rättigheter (LIBE).

Frågan är hur detta är tänkt att gå till, med tanke på att EU-domstolen upphävt det förra direktivet på principiella grunder (att det bryter mot vad de mänskliga rättigheterna stadgar om rätten till privatliv).

Ylva Johanssons partikamrater i den svenska regeringen lär dock bli glada. De har ju just drivit igenom en ny svensk lag om datalagring som står i strid med EU-domstolens upprepade beslut.

(Tweetens länk »)

Lästips: Ansiktsigenkänning och grundläggande rättigheter

Denna text hos EDRi rekommenderas för dig som vill läsa på om ansiktsigenkänning och grundläggande rättigheter:

Facial recognition and fundamental rights 101 »

»This is the first post in a series about the fundamental rights impacts of facial recognition. Private companies and governments worldwide are already experimenting with facial recognition technology. Individuals, lawmakers, developers – and everyone in between – should be aware of the rise of facial recognition, and the risks it poses to rights to privacy, freedom, democracy and non-discrimination.«

Europol slår till mot samma slags trojan som regeringen vill låta svensk polis använda

Polisen i Australien har i samarbete med Europol slagit till mot ful-hackare som använt sig av en »Imminent Monitor Remote Access Trojan« (IM-RAT). Så här fungerar den:

»Once installed upon a victim’s computer the, now defunct, IM-RAT software allowed a remote user to access and view documents, photographs and other files, record all the keystrokes entered and even activate the webcam on the victim’s computer – all of which could be done without the victim’s knowledge. (…)

The number of victims is unknown but estimates suggest it could globally be in the tens of thousands. Investigators have identified evidence of stolen personal details, passwords, private photographs, video footage and data. Forensic analysis on the large number of computers and internet accounts continues, with investigators working to identify potential victims. However with the source-software now no longer available, access to victims has been shut off.«

Detta är alltså en trojan av precis samma typ som regeringen föreslår att svensk polis skall få använda sig av för hemlig dataavläsning.

För att polisen skall kunna göra detta måste säkerhetsluckor – liknande den som öppnat för IM-RAT – lämnas öppna. Vilket ökar risken för att alla användare kan komma drabbas av illasinnade hacker-attacker, trojaner, nätbedrägerier, dataintrång och olaglig övervakning.

Länkar:
Polisen i Australien: The Rat Trap: international cybercrime investigation shuts down insidious malware operation »
Polisen i Australien: Advice for potential victims of IM-RAT malware »
Europol: International crackdown on RAT spyware which takes total control of victims’ PCs »

Nytt förslag om utlämning av användarinformation till 60 länder – utan rättslig prövning

Som om det inte räcker med att EU är på väg att införa eBevis – som ger medlemsstaternas myndigheter rätt att hämta ut data som lagras i en annan medlemsstat – så arbetar nu Europarådet på ett snarlikt förslag.

EFF:

»Now, a global major effort is currently being negotiated at the Council of Europe (CoE)—an intergovernmental organization, not to be confused with the European Council, nor the European Union. Currently, the CoE Cybercrime Committee (TC-Y) is working on a set of additions to the Budapest Convention, CoE’s major international treaty on cybercrime that has been ratified by more than 60 countries around the world.

This set of additions, known as the Second Additional Protocol, seeks to make it much easier for police in one country to get users’ data from companies in another country, typically foreign Internet companies and ISPs. This mechanism of police-to-company direct cooperation is limited to narrow requests for information about the identity of a subscriber, but the Protocol’s vague scope means that other types of data could be swept in as well.«

Detta är ytterligare ett exempel på internationella police-to-company-requests som nu tycks bli allt vanligare – och som inte ens tar hänsyn till om den handling som utreds är brottslig i landet från vilken informationen begärs ut.

Detta vore problematiskt ur ett rättssäkerhetsperspektiv även om vi levde i en för övrigt perfekt värld. Men nu råkar vi leva i en verklighet där många länders rättsvårdande myndigheter bedriver sin verksamhet under former som lämnar mer att önska. Samt att det finns tydliga problem med korruption av ordningsmakten på sina håll.

Vad kan väl möjligen gå fel?

EFF: The Council of Europe Shouldn’t Throw Out Our Privacy Rights Just to Speed Up Police Access »

Journalistförbundet: Hemlig dataavläsning hotar källskyddet

Nu går Journalistförbundet, med dess ordförande Ulrika Hyllert ut i debatten om hemlig dataavläsning. Deras vinkel är att den hotar källskyddet. Vilket den uppenbarligen gör. Plus att den reser en angelägen fråga om, när och i vilken kapacitet myndigheterna får övervaka en journalist.

»De nya reglerna om hemlig dataavläsning är ett hot mot källskyddet. Den regel som ska skydda journalisternas källor är dessutom inte utformad efter den digitala verklighet journalister verkar i. Källor som använder ”fel” kontaktväg faller utanför skyddet.«

Jo, så är det väl. Regeringen tänker sig media som att alla sitter på samma ställe, alltid endast talar med folk genom redaktionens ångtelefon och har presskortet i hattbrättet. Men en journalist kan se ut hur som helst nu för tiden – och har inte vattentäta skott mellan arbete och privatliv. Skulle staten av någon anledning vilja spana på medias källor – eller för all del på visselblåsare och dissidenter, då har den nu verktyget som krävs.

Journalisten: Därför hotar de nya reglerna om dataavläsning källskyddet »

DFRI: Risken för brottslighet kan öka med hemlig dataavläsning

Jag sitter och plöjer papper om regeringens föreslagna hemliga dataavläsning. Bland annat hittar jag remissyttrandet från Föreningen för Digitala Fri- och Rättigheter, :DFRI – som går rakt på det som är viktigt:

»Målet med brottsbekämpning borde vara att göra tillvaron säkrare för landets invånare, inte att utsätta oskyldiga för större risker. Det riskerar dock att bli fallet eftersom de verktyg som utvecklas för att genomföra hemlig dataavläsning kan komma att användas för helt andra syften, om de kommer i händerna på exempelvis kriminella ligor eller utländska underrättelsetjänster. Genom att aktivt söka efter eller köpa sårbarheter i informationssystem och sedan bygga verktyg för att utnyttja dessa säkerhetsluckor utsätts allmänheten för stora risker. Om man väljer att inte rapportera dessa brister, för att istället kunna använda dem till hemlig dataavläsning av ett litet fåtal brottsmisstänkta individer, lämnas alla andra fortsatt allt mer sårbara för intrång.«

Länk till DFRI » Risken för brottslighet kan öka med hemlig dataavläsning »

Läs även » Erik Lakomaa: Stora risker med statliga trojaner »

USA: FBI duckar om övervakning av sociala media

Techdirt:

The ACLU is one step closer to obtaining documents detailing the FBI’s use of social media monitoring tools. The FBI replied to the ACLU’s FOIA request with a Glomar and a denial.

First, it neither confirmed nor denied it had responsive records. Then it said even if it did have some, it still wouldn’t release them. According to the FBI, releasing documents about the government’s well-known use of social media monitoring software would somehow allow criminals to take a peek at super-secret law enforcement tools. It made these assertions despite the fact it publicly secured contracts for social media monitoring tools.

Länk: Judge Says The FBI Can’t Keep Refusing To Confirm Or Deny The Existence Of Social Media Monitoring Document »

Lagrådet säger ja till hemlig dataavläsning

Regeringens förslag om att införa hemlig dataavläsning har fått klartecken från lagrådet. Vilket innebär att en proposition nu kan läggas fram för riksdagen – där det finns en massiv majoritet för förslaget.

Lagrådets enda brasklapp är, enligt SR Ekot:

»Lagrådet betonar dock att det bör göras en ingående utvärdering av ”behovet, nyttan och proportionaliteten” innan det fattas beslut om huruvida lagstiftningen – efter fem år – ska förlängas eller permanentas.«

Vilket innebär att man skjuter sina principiellt svåra överväganden på framtiden.

Något som däremot inte kan skjutas upp är frågan om de tekniska riskerna. Med hemlig dataavläsning kommer polisen att utnyttja existerande säkerhetshål för att installera programvara för avlyssning, övervakning och manipulation av misstänktas datorer. Det innebär att dessa säkerhetshål kommer att förbli öppna och »okända« – vilket gör dem till en säkerhetsrisk för vanligt folk, företag och hela vår IT-infrastruktur. Men bankbedragare, utpressare och spioner lär i vart fall bli glada.

Detta är dock inget som lagrådet har att bedöma. Istället är detta en risk som användare, nätaktivister och tekniker måste försöka få regering och riskdag att förstå – innan det är försent.

Vad kan möjligen gå fel?

En aldrig tidigare skådad övervakningsapparat rullas ut – av partier som anser att SD är ett hot mot demokratin.

Samtidigt har SD blivit största politiska parti i opinionen.

Alltså sätter man verktyg som kan missbrukas för att förtrycka enskilda, grupper eller hela folket i händerna på den politiska makten – samtidigt som denna politiska makt håller på att glida över till ett parti som man anser saknar demokratisk trovärdighet.

Det blir lite som när Demokraterna i USA insåg att de byggt upp en apparat för massövervakning, som plötsligt låg under Donald Trumps kontroll.