Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

EU och Europol satsar på att knäcka kryptering

av

EU-kommissionen arbetar just nu på en ny studie om hur man kan forcera end-to-end-krypterade meddelanden.

Europols European Centre for Cybercrime (EC3) i Haag arbetar redan med att knäcka krypterat innehåll och krypterade lagringsmedia. Enligt uppgift lyckas man i 39% av fallen. Målet är att i framtiden även kunna forcera krypterade meddelanden.

Matthias Monroy skriver på sin blogg:

»In the future, the „decryption platform“ is to use supercomputers of the European Union. For this purpose, Europol has concluded an agreement with the Joint Research Centre of the EU Commission, according to which the attacks on encrypted content are to be carried out in Ispra, Italy, at Lake Maggiore. Europol says, however, that the commissioning of the facility, which was planned last year, has been delayed and is now to take place in the summer of this year. Problems have therefore arisen with the secure connection between Ispra and Europol’s control room in The Hague.«

En särskild expertgrupp har nu tillsatts för att ta sig an frågan om krypterade meddelanden. I ett dokument från EU-kommissionen flaggas även för en ny approach. Monroy:

»Internet service providers such as Google, Facebook and Microsoft are to create opportunities to read end-to-end encrypted communications. If criminal content is found, it should be reported to the relevant law enforcement authorities. To this end, the Commission has initiated an „expert process“ with the companies in the framework of the EU Internet Forum, which is to make proposals in a study.«

Detta är intressant. Man vill alltså tvinga nätjättarna att läsa krypterad kommunikation. Vilket kan bli komplicerat för de företag som valt system för kryptering som inte ens de själva kan knäcka. Om de sedan hittar något misstänkt skall det anmälas till relevanta myndigheter.

Utöver att staten bereder sig tillgång till medborgarnas privata kommunikation (och därmed kränker rätten till privatliv och privat korrespondens) innebär knäckt kryptering ett mindre säkert internet för oss alla – oavsett om det handlar om bakdörrar eller att forcera krypterad kommunikation. Sådana verktyg blir, förr eller senare, även tillgängliga för andra – som kan ha en helt annan agenda. Till exempel bör man komma ihåg att en läcka avslöjade många av de verktyg för övervakning och dataintrång som används av amerikanska myndigheter – vilka nu hamnat i händerna på kriminella element runt om i världen.

Länk: European Commission starts new attack on end-to-end encryption »

Tyska EU-ordförandeskapet vill se mer övervakning och kontroll

av

Detta halvår är Tyskland ordförandeland i EU. Bloggaren och aktivisten Matthias Monroy har gjort en djupdykning i dess planer för polis och övervakning:

»The German Federal Ministry of the Interior wants to expand Europol and the international exchange of data during its EU Presidency. European police authorities will be supported with face recognition and decryption capabilities. Also on the agenda are the Europe-wide query of police files and the exchange on a definition of persons which pose „a potential terrorist/extremist threat“.«

Några av planerna, i punktform:

  • Ökat gränsöverskridande polissamarbete.
  • Ökat gränsöverskridande datautbyte mellan nationella polismyndigheter (och underrättelseorgan).
  • Utökat mandat för Europol.
  • Utökad lagring av och tillgång till data i Schengen Information System (SIS). Detta gäller bland annat biometrisk data och DNA. Man vill även ge SIS en ny sökportal.
  • Utökat samarbete mellan Europol och privata företag.
  • Inköp av mer och ny mjukvara för övervakning.
  • Europol skall bli en hub för att forcera kryptering.
  • Europol skall mer fokusera på att bekämpa »extremism«.
  • Integration av olika existerande system för biometrisk data.
  • Gemensam EU-databas för automatiserad ansiktsigenkänning.
  • Gränsöverskridande tillgång till utredningsfiler, även för avslutade fall.
  • Sjösätta förordningen om terror-relaterat innehåll online.
  • Samarbete om hälso-data.

EU kommer alltså att fortsätta rulla ut kontroll- och övervakningsstaten – med verktyg som kan orsaka stor skada i fel händer.

Med dessa verktyg får vi verkligen hoppas att alla EU:s 27 medlemsstater är stabila demokratier – för all framtid – som inte kommer att använda dem för att förtrycka oliktänkande eller på andra sätt missbruka dem.

Vi får också hoppas att alla de 27 medlemsstaternas myndigheter för polis och underrättelseverksamhet – för all framtid – är fria från korruption, kopplingar till kriminalitet  och läckor.

Matthias Monroy: EU Presidency – Germany advocates „European Police Partnership“ »

EU:s nya censurmaskin

av

I EU står just nu ännu en strid om huruvida staten skall få censurera internet – och införa uppladdningsfilter.

Den här gången handlar det inte om upphovsrätt. (Även om principen om uppladdningsfilter etablerades i EU:s hårt kritiserade upphovsrättsdirektiv.) Det aktuella förslaget handlar om att automatiskt censurera vissa åsikter.

Sorry Dave, I cannot post this text.

Vidriga åsikter, förvisso. Vad det handlar om är att man inte får göra terrorpropaganda. Vilket dock kan få en del oväntade och oönskade konsekvenser. Det farliga blir inte mindre farligt bara för att vi inte kan se det. Snarare tvärt om. Och om verksamhet går under jorden, riskerar inte sådant att påskynda radikalisering?

Men detta kommer inte att stanna vid terror-relaterat innehåll.

Med tiden kommer censurmaskinen att drabbas av ändamålsglidning.

Dels har vi redan olyckliga internetlagar i allt fler EU-länder som reglerar vad användare får skriva och säga på nätet. Och vad passar då bättre än att använda uppladdningsfilter?

Dels har vi allt hallå om vad folk rent allmänt skall få tycka, med stora inslag av ängslighet. Det diskuteras – på fullt allvar – vilka åsikter som skall tillåtas, vilka ord som får användas, vilka böcker som skall rensas ut och vem som bör lynchas för en tweet. Att toppa denna drevkultur med en statligt kontrollerad censurmaskin känns oroväckande.

Tiden för EU:s censurmaskin känns – förfärande nog – mogen.

Så här står det till i sak:

I EU förhandlar man just nu fram en förordning om terrorrelaterat innehåll online (TERREG). Worst case är att flaggat material måste avlägsnas från internet inom en timma – och att det införs automatiserade uppladdningsfilter. (Och detta är bara de två värsta, av många dåliga idéer i förslaget.)

I sammanhanget skall man komma ihåg att ett uppladdningsfilter måste filtrera allt för att fungera. Även den som anser sig ha rent mjöl i sin påse och därför inte ha något att frukta – kommer att få all sin elektroniska kommunikation filtrerad och kontrollerad. Allt som alla gör på nätet kommer att granskas och analyseras, av maskiner.

Precis som EU:s upphovsrättsdirektiv användes som murbräcka för att etablera principen om uppladdningsfilter – på samma sätt använder man nu terrorismen som ursäkt för att införa nätcensur. Sedan är det bara att hoppas att ingen kommer att använda censuren till något dumt. Någonsin.

Det värsta är att jag tror att de flesta i EU-apparaten inte riktigt förstår vad de håller på att ställa till med.

Statskontrollerad, automatiserad nätcensur. I turbulenta tider. Det känns onödigt dystopiskt.

Skrota EU:s förordning om terrorrelaterat innehåll online. Eller gör i vart fall som Europaparlamentet vill – och lyft bort de värsta delarna.

Överföring av persondata mellan EU och USA i limbo efter EU-dom

av

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

Europol kan få rätt att samla in data från nätplattformar i »förebyggande syfte«

av

Gällande regler för EU:s polissamarbete – Europol – ger rätt att mottaga, men inte formellt kunna kräva information från privata nätföretag. Man kan anta att till exempel Facebook och Twitter tycker att det är enklare att samarbeta än att bråka med Europol. Vilket landar i ett system där ingen juridisk instans (som en domstol) behöver kopplas in. Detta hotar dels rättssäkerheten, omöjliggör dels överprövning och förhindrar dels demokratisk insyn och kontroll.

Regelverket var tänkt att granskas och utvärderas redan våren 2019. Det går dock inte att finna någon information om att en sådan granskning skett, än mindre vad den i så fall skulle ha kommit fram till.

Trots detta har EU-kommissionen och EU:s ministerråd kommit fram till att regelverket begränsar Europols arbete – och att mandatet därför behöver utökas.

EDRi kommenterar:

»One of the main policy option foreseen is to lift the ban on Europol’s ability to proactively request data from private companies or query databases managed by private parties (e.g. WHOIS). However, disclosures by private actors would remain “voluntary”. Just as the EU Internet Referral Unit operates without any procedural safeguards or strong judicial oversight, this extension of Europol’s executive powers would barely comply with the EU Charter of Fundamental Rights – that requires that restrictions of fundamental rights (on the right to privacy in this case) must be necessary, proportionate and “provided for by law” (rather than on ad hoc “cooperation” arrangements).«

EDRi: Europol – Non-accountable cooperation with IT companies could go further »

Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

av

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Förtryckets verktyg – snart i svenska polisens händer

av

Polisen och Säkerhetspolisen skall nu köpa in verktyg för att kunna bedriva den av riksdagen godkända hemliga dataavläsningen. Det vill säga statstrojaner som kan ta sig in i datorer och komma åt allt, även krypterade meddelanden – innan de krypteras eller efter att de avkrypterats.

Detta uppmärksammas av SVT som har undersökt marknaden och talat med SÄPO.

Det handlar om leverantörer som är ökända för att deras produkter använts för att kränka mänskliga rättigheter, för att förfölja oppositionella, för att lura journalister i döden och annat som aldrig får förekomma i en demokratisk rättsstat.

Därför finns det ett visst moraliskt intresse i vilken leverantör de svenska myndigheterna väljer. Kommer till exempel den svenska polisen att använda sig av samma verktyg mot sitt eget folk som Saudiarabien, Egypten och Kina använder mot sina? Det vore intressant att få veta. Men SÄPO tiger, naturligtvis.

»Vi kommenterar aldrig våra metoder eller teknik, säger Säkerhetspolisens generaldirektör Klas Friberg.«

SVT:s Fredrik Laurin ställer en del intressanta frågor till Säkerhetspolisens presschef Karl Melin. Och det rör mer än leverantörerna.

Hur är det till exempel med att andra, till exempel kriminella, kan använda samma säkerhetshål som Säpo – om inte dessa säkerhetshål rapporteras in och blir kända? Svaret är inte helt lätt att tyda. Men jag tror att Melin menar att om det förekommer databrottslighet, då skall man vända sig till polisen. Vilket kan skapa något av en intressekonflikt – om det samtidigt ligger i polisens intresse att dessa säkerhetshål förblir okända.

Min gissning är för övrigt att ordern går till NSO Group.

Länk till SVT – läs både texten och se intervjun »

 

När övervakning blir rasistisk

av

»Ett vanligt beteende kan i en övervakad situation bli uppseendeväckande. För den övervakade betyder det en inskränkning av det vardagliga och naturliga, du slutar slappna av. I fallet med ansiktsigenkänningens problem att särskilja en mörkhyad från en annan läggs en ytterligare dimension till: Övervakningen kan innebära större inskränkningar för en grupp än en annan. Den blonda kan hinna till jobbet, den svarthåriga tas till förhör.«

– Johanna Grönbäck, tatsvetare och kommunikationschef vid Ratio, i Borås Tidning

Vilket möjligen sätter regeringen i en konstig situation – när den både vill ha automatiserad ansiktsigenkänning och vara anti-rasistisk.

Inre borgerlig opposition mot övervakningsstaten

av

»Integritet är en lyx som enbart går att åtnjuta när andra intressen står tillfredställda, skulle man kunna sammanfatta doktrinen. Detta är i grunden är en omöjlig hållning. Tanken att staten någonsin skulle nå denna punkt och i stället börja ge ifrån sig redan beviljade maktmedel är fullständigt orealistisk.«

Adam Danieli, på Timbros Smedjan: Borgerligheten måste åter ta strid mot övervakningssamhället »