Nätet till folket!
I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.
Hemlig avlyssning, FRA-lagen, datalagring, hemlig dataavläsning… När är det nog? När blir all övervakning farlig för demokratin, rättsstaten och våra medborgerliga fri- och rättigheter?
Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.
Denna nyhet är till att börja med intressant i sig själv:
»Det israeliska bolaget NSO ska ha hackat sig in i 1400 konton på Whatsapp mellan januari 2018 och maj i år, enligt en stämning som lämnats in till rätten i San Francisco. Attacken ska särskilt ha riktat in sig på juridiska ombud, journalister, människorättsaktivister, politiska avhoppare, diplomater och andra statliga högre tjänstemän, enligt Bloomberg News.
Det installerade spionprogrammet Pegasus kan användas till att läsa all e-post och meddelanden på telefonen, lyssna på samtal och slå på kameran och mikrofonen för att se och lyssna på det som händer omkring, enligt Financial Times.«
Än mer intressant blir den med tanke på att regeringen vill införa hemlig dataavläsning i Sverige. Då är det precis sådana här verktyg som kommer att användas, på det sätt som beskrivs ovan. Kanske till och med Pegasus från NSO.
»NSO slår tillbaka mot anklagelserna med att deras teknik inte används mot människorättsaktivister och journalister utan är till för att hjälpa stater att bekämpa terrorism och svåra brott.
Människorättsorganisationer har dock genom åren varnat för att NSO:s produkter används av stater mot kritiker och journalister. Visselblåsaren Edward Snowden hävdade förra hösten att NSO hade hjälpt Saudiarabien att spåra och döda kritikern Jamal Khashoggi.«
Här har vi något att hålla ögonen på när/om riksdagen säger ja till hemlig dataavlyssning: Vilka verktyg kommer att användas? Vilka demokratiskt och säkerhetsmässigt tveksamma aktiviteter stöder man genom att använda dessa verktyg?
DI Digital: Facebook stämmer spionbolag efter hackerattack »
Techdirt skriver…
»India must be looking across the border at China and nodding approvingly. India is rolling up the global censorship charts, firing off thousands of takedown demands and court orders to American social media companies. The government also seems overly-concerned with ”fake news” and has been abusing its national security laws to make social media posts (and sometimes their posters) disappear into the ether. « (…)
»The country is seeking to assemble one of the world’s largest facial recognition databases, as well as everything needed to make use of it, including cellphone apps for cops running scans and searches while on patrol.«
Techdirt: India Looking To Be The Next China, Sends Out Call For Bids On Massive Facial Recognition Program »
Gå till Göteborgs-Posten och läs Amelia Andersdotters och Christer Spörndlys utmärkta debattartikel om regeringens föreslag till lag om hemlig dataavläsning. Ett citat…
”Frågan vi bör ställa oss är alltså hur många bankbedrägerier och falska fakturor vi ska stå ut med för att polis och säkerhetstjänst ska få ta reda på var misstänkta terrorister ska fika?
För vi ska komma ihåg att Säpo själva redan konstaterat att dessa typer av brottslingar är kunniga nog för att förstå att inte prata om känslig information över datorn eller telefon.”
Den Brysselbaserade gruppen för digitala rättigheter, EDRi, har sammanfattat Europaparlamentets utfrågning av de nya EU-kommissionärerna.
Om den nya svenska kommissionären Ylva Johansson skriver man så här:
Sweden’s Ylva Johansson, Commissioner-designate for Home affairs, will inherit a portfolio including cybercrime, terrorist content Regulation and issues relating to privacy and surveillance. Whilst her hearing was relatively light on digital questions, it was certainly heavy in evasive answers. Her insistence on fundamental rights was a good start, but her call for compromise between security and privacy fell into the age-old myth of the two rights as mutually exclusive.
Det är dags för grupparbete kring regeringens lagrådsremiss om hemlig dataavläsning. Länk (PDF) »
Här är några nedslag i den föreslagna lagtexten. Vi börjar med begreppsdefinitionerna (2.1.1§, sid 8):
I lagen avses med avläsningsbart informationssystem: en elektronisk kommunikationsutrustning eller ett användarkonto till, eller en på motsvarande sätt avgränsad del av, en kommunikationstjänst, lagringstjänst eller liknande tjänst,
Notera att man inte bara vill kunna installera spionprogram på datorer, telefoner, surfplattor, spelkonsoler, smarta tv-apparater, smarta högtalare m.m. – utan även komma åt användarkonton för till exempel e-post, molntjänster och appar.
Detta backas upp i 2.1.4§ på sidan 9, där det även framgår att det handlar om informationssystem som den misstänkte kan tänkas komma att använda men ännu inte använder:
Hemlig dataavläsning som gäller kommunikationsavlyssnings-, kommunikationsövervaknings- eller platsuppgifter får även avse ett avläsningsbart informationssystem som det finns synnerlig anledning att anta att den misstänkte under den tid som tillståndet avser har kontaktat eller kommer att kontakta.
I 2.1.6§ på sidan 9 kan vi även läsa följande:
Hemlig dataavläsning enligt första stycket får användas endast på en plats där det finns särskild anledning att anta att den misstänkte kommer att uppehålla sig. Om platsen är någon annan stadigvarande bostad än den misstänktes, får tillstånd till hemlig dataavläsning beviljas endast om det finns synnerlig anledning att anta att den misstänkte kommer att uppehålla sig där.
Notera att de statliga spionprogrammen alltså även skall kunna användas på annan utrustning än den som tillhör den misstänkte. Till exempel sådan som tillhör flick/pojkvänner, släkt och vänner, arbetsplats etc. I 8§ framgår att detta även gäller e-post, molntjänster m.m.
Så till 2.1.12§ på sidan 11:
Vid hemlig dataavläsning får den verkställande myndigheten, efter särskilt tillstånd, i hemlighet skaffa sig tillträde till och installera tekniska hjälpmedel på en plats som annars skyddas mot intrång.
Det är svårt att tolka detta på annat sätt än att myndigheterna – utöver att hacka sig in i människors datorer m.m. – även får rätt att göra inbrott för att installera spionprogram.
Och vad gäller hackandet, så skriver man i 2.1.22§ på sidan 13:
När ett tillstånd till hemlig dataavläsning har beviljats får de tekniska hjälpmedel som behövs för avläsningen och upptagningen användas. Om det är nödvändigt får systemskydd brytas eller kringgås och tekniska sårbarheter utnyttjas.
Vilket bekräftar misstanken att myndigheterna, när de får tillgång till hemlig dataavläsning, kommer att vara mer intresserade av att utnyttja säkerhetsbrister i våra IT-system än att sådana åtgärdas. Vilket naturligtvis kommer att försämra IT-säkerheten för alla.
Så långt den primära lagtexten. Det bör även nämnas att det framgår att polisen får »använda såväl hårdvara som programvara« för att bereda sig tillgång till människors datorer och tekniska utrustning.
Det finns mer att ösa ur i lagrådsremissen. Men redan de delar av lagtexten som återges ovan borde få riksdagen att tänka till innan man godkänner lagen.
Det handlar inte bara om en extremt integritetskränkande form av övervakning – som även kommer att drabba andra än människor som är misstänkta för brott – utan även om att lämna hela vår IT-infrastruktur sårbar för kända säkerhetsbrister.
Det pågår en kapprustning vad gäller tillgång till medborgares, företags och organisationers information som finns lagrad i till exempel molntjänster. I USA finns en så kallad Cloud Act, som ger myndigheterna rätt att begära ut information oavsett i vilket land den finns lagrad. Och som vi har rapporterat tidigare följer EU efter med eEvidence, eller eBevis:
»Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare [edit: samt kommunikationsdata och lagrad information] från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst. Någon nedre gräns för när detta kan anses vara befogat anges inte.
Vilket är en signal om att dammluckorna nu kan öppnas – och att (…) information skall utlämnas även till EU-länder vars rättsstat, rättssäkerhet och sätt att hantera känslig information kan ifrågasättas.
Denna information skall lämnas ut inom tio dagar, eller i brådskande fall inom sex timmar.«
Detta är en fråga som tyvärr hamnat i medieskugga medan andra EU-förslag som det nya upphovsrättsdirektivet har diskuterats. Därför är det välkommet att fler nu börjar uppmärksamma frågan. I Svenska Dagbladet har tankesmedjan Fores vikarierande programchef för digitala samhällsfrågor Jonas Andersson Schwarz idag en i stort sett korrekt debattartikel om eBevis. Han skriver bland annat:
»Sveriges EU-parlamentariker bör tydligt motsätta sig rådets förslag av en rad principiella skäl. EU:s digitaliseringspolitik bör inte landa i en kapprustning med USA och Kina om vem som snabbast kan underminera medborgerlig integritet och nationell suveränitet. Det finns en rad progressiva saker kommissionen och parlamentet har gjort och bör fortsätta göra för att stärka rättssäkerheten och stävja problemen med vissa it-tjänsteföretags stora dominans. Men att urholka medborgares möjligheter att överklaga datauthämtningsorder från fjärran länder kommer inte att göra mycket åt det problemet, snarare befästa rådande ordning.«
I Sverige har regeringen redan påbörjat arbetet med eBevis i form av en förordning våren 2018.
Länkar:
• Vår tidigare bloggpost om eBevis med länksamling och resurser »
I en nästan tre timmar lång podcast samtalar den amerikanske komikern och Youtube-profilen Joe Rogan med NSA-visselblåsaren Edward Snowden.
Det är ett mycket intressant samtal. Och om du inte orkar lyssna igenom hela podcasten, då finns några highlights i skriftlig form här: The Most Important Moments From Edward Snowden’s Appearance On Joe Rogan’s Podcast »
Och här är en länk till en av Snowdens tekniska referenser: The Many Identifiers in Our Pockets – A primer on mobile privacy and security »
Enjoy!
Samtidigt som många länder säger nej till ansiktsigenkänning – på grund av att den är allt för integritetskränkande och svepande – får den svenska polisen grönt ljus av Datainspektionen.
»Datainspektionen konstaterar att polisen har ett berättigat intresse av att använda ansiktsigenkänning och att Nationellt forensiskt centrum får hantera personuppgifterna på det sätt som föreslås. Polisen har också vidtagit lämpliga åtgärder för att skydda de uppgifter som hanteras. (…)
– Det är angeläget att polisen tar ställning till hur länge uppgifterna får sparas innan de startar skarpt med ansiktsigenkänningen eftersom det är viktigt ur integritetssynpunkt, säger Linda Olander som är jurist på Datainspektionen.«
Datainspektionen: Polisen får använda ansiktsigenkänning för att utreda brott »
Nu lägger regeringen fram sitt förslag om hemlig dataavläsning. Här går vi igenom några av problemen med denna nya form av övervakning.
Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.