Nätet till folket!
I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.
”The new law, which has been pushed for since at least 2017, requires that companies provide a way to get at encrypted communications and data via a warrant process. It also imposes fines of up to A$10 million for companies that do not comply and A$50,000 for individuals who do not comply. In short, the law thwarts (or at least tries to thwart) strong encryption.”
ArsTechnica: Australia passes new law to thwart strong encryption »
”The biggest threat to our rights and freedoms, though, is a paradigm shift underlying all these new police laws: the required condition for surveillance measures is changing from a concrete suspicion to an “impending threat”. This takes away a fundamental principle under the rule of law: people will no longer know by which behaviour they can avoid being targeted by police measures. The vagueness of terms and the lack of requirement for reasonable suspicion increase risks of arbitrariness in the use of police force.”
EDRi – Germany: New police law proposals threaten civil rights »
The Guardian: ’Extreme surveillance’ becomes UK law with barely a whimper »
”A bill giving the UK intelligence agencies and police the most sweeping surveillance powers in the western world has passed into law with barely a whimper, meeting only token resistance over the past 12 months from inside parliament and barely any from outside.” (…)
”It legalises hacking by the security agencies into computers and mobile phones and allows them access to masses of stored personal data, even if the person under scrutiny is not suspected of any wrongdoing.”
Snart även i ett land nära dig.
Att skydda medborgarna mot terrorism är en fråga på flera plan. Dels handlar det om att förhindra terrorattentat. Dels handlar det om ett försvar mot terrorismens underliggande mål – det vill säga dess strävan att ödelägga vårt öppna, fria, demokratiska samhälle.
Vad gäller det första – att förhindra terrorattentat – pekar erfarenhet och forskning på att massövervakning inte ger det skydd man hoppats. De flesta terrorister som genomfört attentat har varit kända för och flaggade av myndigheterna. Men man har inte haft resurser att hålla ögonen på dem. Istället har man satsat på att övervaka allt som hela befolkningen har för sig. Vilket inte gör oss tryggare, utan snarare tvärt om.
När det gäller att försvara vårt öppna, fria, demokratiska samhälle bör det rimligen innebära att försvara våra mänskliga och medborgerliga fri- och rättigheter. I detta ingår till exempel rätten till privatliv och yttrandefriheten. Men det är inte vad som sker. Istället gör EU gemensam sak med terroristerna för att undergräva dessa värden.
Just nu arbetar EU-maskineriet med flera olika ärenden som är problematiska.
EU-kommissionen föreslår en ny reglering för att bekämpa terror-relaterat material online. EDRi sammanfattar några av regleringens centrala punkter:
I regleringens förklarande delar öppnar man för att operatörer och plattformar skall kunna använda AI för att identifiera och avlägsna oönskat, terror-relaterat material. Vilket, speciellt då denna teknik än så länge är i sin vagga, är teknik som varken är speciellt tillförlitlig eller allmänt tillgänglig. I den mån den finns och kan användas kommer den att leda till överfiltrering, det vill säga att man censurerar mer än vad som är tänkt och nödvändigt. Dessutom är detta en teknik som förmodligen bara de stora plattformarna kommer att ha resurser för att använda. Den blir alltså en barriär som hindrar små och nya aktörer från att ge sig in på marknaden.
Överfiltrering ses för övrigt inte som ett problem i regleringen, utan ett mål.
Därtill kommer det ständiga problemet att ansvaret för censuren flyttas från lagstiftning och rättsväsende till privata operatörer och deras användarvillkor. Vilket gör individen rättslös.
I slutändan landar detta i att allt material som vi laddar upp på olika plattformar kommer att övervakas, granskas och analyseras. Allt.
Länk: Terrorist content regulation – prior authorisation for all uploads? »
Samtidigt pågår arbetet med en icke-bindande rapport i Europaparlamentets speciella, hemlighetsfulla »Special Committee on Terrorism« (TERR). Dess syfte tycks i stort sett vara att understödja de initiativ som kommer från EU-kommissionen på området.
Även här har EDRi en slagkraftig sammanfattning…
Unfortunately, references to fundamental rights were so scarce that Committee members chose to add a preamble to the Report to introduce vague considerations for the respect of fundamental rights and freedoms instead of mainstreaming our fundamental rights in the text. For instance, the Report calls for the alignment of the European counter-terrorist policies with the Charter of Fundamental Rights of the European Union, while proposing measures that are in contradiction to this principle. (…)
Compensating repressive and freedom-restrictive measures with superficial references to fundamental rights (such as removing more content online “but without endangering freedom of speech” or balancing interoperability with “fundamental rights of the data subjects”) is utterly insufficient at best and duplicitous at worst. Fundamental rights deserve stronger protection.
Rapporten upprepar även det farliga och orealistiska kravet på bakdörrar till kryptering. EDRi igen…
Worse still, it exacerbates the initial provisions on encryption, by requesting the development of a hub for decryption, including decryption tools and expertise within Europol, to access data obtained in the course of criminal investigations. Weakening encryption to supposedly support law enforcement services actually creates vulnerabilities and increases security risks.
Vilket öppnar allt vi gör på nätet för främmande makt och allsköns cyberbrottslighet.
Denna rapport (som alltså lyckligtvis inte är bindande, men ändå allvarlig) kommer upp till votering i plenum på någon av Europaparlamentets sessioner nu i vinter.
Länk: The TERR Committee votes on its irreparable draft Report »
/ HAX
The theory of change that goes, “We will walk away from politics and use the internet to evade state oppression” is a dead letter. It always has been.
But the theory that goes, “The internet will let us organize to hold the government to account, to topple the corrupt, to rally the honorable and expose the wicked” – that theory has never been more important.
The internet is not a revolutionary technology, but it makes revolution more possible than ever before. That’s why it’s so important to defend it, to keep it free and fair and open. A corrupted, surveillant, controlled internet is a place where our lives are torn open by the powerful, logged, and distorted. A free, fair, and open internet is how we fight back.
Cory Doctorow: What the Internet Is For »
Det går alltid till på samma sätt. Först så föreslås någon ny typ av massövervakning eller registrering. Politikerna lovar dyrt och heligt att denna bara skall användas om man behöver utreda verkligt allvarliga brott.
Men så blir det ju inte i verkligheten. Knappt hade FRA-lagen trätt i kraft förrän »FRA-shoppen« öppnade för en rad andra myndigheter. Samma sak gäller teledatalagringen / datalagringsdirektivet som (innan EU-domstolen upphävde det och upprepade gånger givit Sverige smäll på fingrarna) huvudsakligen kom att användas för att jaga fildelare och för att låta Skatteverket snoka i folks privatliv.
Grundpremissen bör vara att om man alls skall ägna sig åt massövervakning eller massregistrering – då innebär detta ett så stort intrång i den enskildes rätt till privatliv att informationen bara får användas när det verkligen, verkligen är viktigt. Vår rätt till privatliv stadgas i sin tur i Europakonventionen om de mänskliga rättigheterna, som en av våra grundläggande rättigheter som inte får fuskas bort.
Därför är det anmärkningsvärt att se det förslag till »eBevis« som EU-kommissionen nu försöker få igenom. Där finns inga sådana spärrar. Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst. Någon nedre gräns för när detta kan anses vara befogat anges inte.
Vilket är en signal om att dammluckorna nu kan öppnas – och att personlig information skall utlämnas även till EU-länder vars rättsstat, rättssäkerhet och sätt att hantera känslig information kan ifrågasättas.
Denna information skall lämnas ut inom tio dagar, eller i brådskande fall inom sex timmar. Och det är internetoperatören, den sociala plattformen eller appens ägare som skall göra en första bedömning av om en sådan begäran är i enlighet med svensk lag eller ej. Svenska rättsvårdande myndigheter är i normalfallet inte inblandade alls. Vilket kommer att skapa problem när till exempel polska myndigheter begär ut information som är relaterad till en handling som är brottslig i Polen men inte i Sverige.
EU-kommissionen signalerar även att man i framtiden vill kunna ägna sig åt realtidsavlyssning och direktåtkomst till information som lagras i molnet och på operatörernas servrar.
Hur detta går ihop med att EU-domstolen upphävt det direktiv som tillåter urskiljningslös datalagring (eftersom den strider mot de mänskliga rättigheterna) är oklart.
Länkar:
• Svensk operatör om EU-förslag: En katastrof »
• Ännu ett hot mot rättssäkerheten i EU »
• Independent study reveals the pitfalls of “e-evidence” proposals »
• Cecilia Wikström om e-bevis: Ett sjukt dåligt förslag »
• European Commission rolls out its proposal for a so-called eEvidence law »
• EU-kommissionen om eBevis »
• E-evidence – cross-border access to electronic evidence »
• Riksdagen: Förordning om tillgång till e-bevisning inom EU och Direktiv om utseende av representant för utlämnande av e-bevisning »
Ryska GRU-agenter som förgiftar kritiker i exil eller försöker hacka sig in i nätverket hos den internationella organisationen för förbud mot kemiska vapen. Saudiernas bestialiska mord på den obekväme journalisten Jamal Khashoggi, på landets konsulat i Istanbul. I alla tre fallen växer bilden fram av hur det blir allt svårare för stater att hålla smutsiga operationer hemliga i en uppkopplad värld.
Man bör visserligen hålla i minnet att i exemplen ovan kommer mycket av informationen från brittiska, nederländska och turkiska myndigheter – som naturligtvis bara släpper information som passar dem och deras agenda. Men samtidigt växer en ny form av journalistik som bygger på informationsforensik, som Bellingcat fram. Och de senare går – vad vi vet – inte i någons ledband.
Detta är i och för sig inget nytt. Till exempel kan nämnas att mycket av den information som användes i kampanjen för att försöka stoppa FRA-lagen, år 2008, fanns tillgänglig på den delen av internet som döljer sig bortom förstasidan i Googles sökresultat. Dessutom skapades synergieffekter genom att bloggare med expertis inom områden som politik, juridik, IT och medborgarrätt kunde komplettera varandra och bygga vidare på varandras uppgifter.
NSA-whistleblowern Edward Snowden och Wikileaks är exempel på hur maktens instrument kan vändas tillbaka, mot överheten helt enkelt genom att göras offentliga. Den amerikanske journalisten Barrett Brown utmanade med sitt kollaborativa research-initiativ Project PM hela det amerikanska cyber-militär-industriella komplexet och då speciellt sådan underrättelseverksamhet som hålls borta från demokratisk kontroll genom outsourcing.
I EU stoppade nätaktivismen (och dess politiska gren i form av Piratpartiet) planerna på att stänga av fildelare från internet utan föregående rättslig prövning. Det samma gäller ACTA-avtalet, som ville göra internetoperatörerna till nätpoliser. Och nu står striden om »länkskatt« och uppladdningsfilter i EU:s nya direktiv om upphovsrätt. I dessa fall handlar det såväl om att bygga en stark argumentation som att skapa uppmärksamhet och väcka en slumrande opinion.
Vad gäller EU behövs verkligen mer medborgarjournalistik och aktivism. Här är problemet att det är svårt att skapa uppmärksamhet och opinion i tid. Helt enkelt eftersom nästan ingen vet vad som är på gång. Samtidigt är många frågor som nu ligger i beredning i EU-apparaten högintressanta. Några exempel: ett initiativ mot falska nyheter; ett nytt direktiv mot terrorism; åtgärder mot hot och hat på nätet (vilket innebär inskränkningar i yttrandefriheten); vissa medlemsstaters försök att undergräva nätoperatörernas budbärarimmunitet (mere conduit).
Saken är att det alltid är lättare att försöka påverka en politisk process i dess början – innan positionerna blir låsta och prestige sätts framför fakta och medborgerliga rättigheter. Detta måste ske på nätsiter och genom nätaktivism, eftersom svenska media är urusla på att rapportera om vad som är på gång i EU. Som regel kommer media in först när vi mer eller mindre står inför fullbordat faktum. Och då blir det som vanligt i EU: Först beslutar man. Därefter debatterar man. Och slutligen tar man reda på fakta. Men då är det som regel redan för sent.
Sverige behöver mer nätaktivism, mer medborgarjournalistik, mer nätbaserad korsbefruktning av expertis från olika discipliner, fler crowdsourcade granskningar, en nätbaserad medborgarrättsrörelse – och plattformar för sådant samarbete. Vill man försvara vår frihet mot överheten, då måste det alltid ske underifrån.
Tillsammans kan vi skaka om politiken och stoppa förslag som inskränker internets öppenhet och våra medborgerliga fri- och rättigheter. Tillsammans kan vi bygga kunskapsbanker som kan mäta sig med etablerade medias grävredaktioner, myndigheter och till och med i vissa avseenden med statens underrättelseverksamhet. Tillsammans vet vi mer och har större samlad kunskap och kompetens än den fria informationens och det öppna samhällets fiender.
Vad vi behöver göra är att fundera på hur detta kan organiseras och struktureras – i så platta och decentraliserade former som möjligt.
Relaterat: Techcrunch – Khashoggi’s fate shows the flip side of the surveillance state »
Hur skall EU hantera terrorismen? Den frågan har stötts och blötts i ett specialinrättat utskott i Europaparlamentet – European Parliament’s Special Committee on Terrorism, förkortat TERR. Till skillnad från parlamentets övriga utskott har TERR de flesta av sina möten bakom stängda dörrar.
Nu har man producerat en rapport. Parlamentets egna initiativrapporter är egentligen rätt meningslösa papper. De har ingen lagstiftande effekt, utan sänds helt enkelt över till EU-kommissionen och andra eventuellt intresserade för påseende. Parlamentet tycker saker, helt enkelt.
Men ibland kan en sådan rapport användas för att EU:s enda folkvalda förtroendemän (ledamöterna i parlamentet) förväntas legitimera kontroversiella saker som EU-kommissionen och medlemsstaterna i ministerrådet redan jobbar med. Vad gäller rapporten från TERR tyder mycket på att den är just ett sådant beställningsarbete.
Till exempel kan TERR-rapporten kan användas för att backa upp EU-kommissionens förslag om nätcensur, som lades fram den 12 september.
Frankrikes president, Emanuel Macron, har för övrigt redan meddelat att EU-valet nästa vår till stor del kommer att handla om att sätta koppel på internet. Även här passar TERR-rapporten väl in i pusslet.
Bland de förslag som vädras finns bland annat utökad datalagring, urholkat krypteringsskydd, utökad registrering av medborgarnas resor – och inte minst en ny, gigantisk Storebrors-databas för hela EU.
Det har lagts fram 1.519 ändringsförslag till rapporten. En del är bra, andra förfärliga. Problemet med så omfattande voteringar är att de blir fullständigt kaotiska – och därmed lätta att styra från presidiet.
I en kritisk kommentar skriver EDRi:
”The fact that the TERR Committee draft’s “spontaneously” chose to propose similar wording to what the Commission proposed is important. It means that the two rapporteurs have led the European Parliament a long way towards adopting a position that fully aligns with the terms of the proposed Terrorist content Regulation before the vast majority of Parliamentarians were aware of what the Commission was about to propose as binding legislation. If deliberate, this would be a serious attack on institutional integrity of the European Parliament.”
I oktober och november bereds TERR-rapporten i sitt hemliga specialutskott. Preliminärt väntas den komma upp till votering i Europaparlamentets plenum i december.
Även om rapporten inte är lagstiftning måste den kritiseras, helst röstas ner – då den öppnar dörren för så mycket andra Storebrors-påfund.
Läs mer hos EDRi: EU Parliament’s anti-terrorism draft Report raises major concerns »
Grindr, som beskriver sig som ”världens största dejtingapp för HBTQ-personer”, har länge hävdat att de bara avslöjar sina användares ungefärliga position. Nu visar en snillrik användning av appens API att man kan ta reda på den exakta positionen – på metern när.
Tredjepartsappen Fuckr utvecklades för att visa just detta. Appen använder triangulering för att få en mer exakt position på användarnas telefoner än den som Grindr tillhandahåller.
Det ska nämnas att Grindrs huvudsakliga funktion är att låta användarna se vilka andra användare som befinner sig i samma område. Telefoners positionsfunktion är alltså själva förutsättningen för appen och anledningen till dess framgång.
En journalist på Queer Europe följde en väns lördagskväll genom Fuckr:
While sitting behind my laptop, I could see in which restaurants he was eating, in which cafes he was drinking, and in which nightclubs he was dancing. I could also see that he went to the gay sauna at 1 a.m. and then slept at a stranger’s house at 3 a.m.
Lägg till detta att Grindr knappt har några begränsningar för antalet API-förfrågningar: Man kan söka på 600 användare per förfrågning – och det är tillåtet att göra flera förfrågningar samtidigt.
I praktiken innebär det att man kan kartlägga samtliga Grindr-användare i till exempel Stockholm med deras exakta position varje minut under en vecka.
Men inte nog med det: Man kan också få tillgång till dessa användares personliga data såsom profilnamn, foto, ålder, längd, vikt, etnicitet, kroppstyp, förhållandestatus, sexuella preferenser, och – inte minst – hivstatus.
Detta är varje övervakares våta dröm. Ja, det överträffar rentav Bahnhofs gamla aprilskämt P.st, där man kunde kolla ”vad som helst om vem som helst”.
För att vrida skruven ett varv till kan vi nämna att Grindr är kinesiskt sedan grundarna i januari 2018 sålde företaget till Kunlun Group.
Trevligt.
Det ska finnas sätt att undgå att bli positionerad på detta sätt. Grindr-användarna kan till exempel i inställningarna välja att inte avslöja sin position, men detta döljer bara positionen för andra användare och tredjepartsappar. Grindr placerar en fortfarande i listan över inloggade användare baserat på distans. Och då är det bara att ta reda på positionen för dem som kommer före och efter i listan – man kan så att säga ”sandwicha” fram positionen även för den som valt att inte avslöja den.
Man kan invända att ”sandwichning” inte fungerar i ett område där de flesta användare väljer att dölja sin position. Men även där kan en kartläggare skapa ett antal fejkkonton med öppen position. Dessa konton kan sedan användas för att dubbelmacka sig fram till positionen för andra användare.
Grindr har efter tidigare kritik stängt av distansfunktionen för användare i öppet homofoba länder som Ryssland, Nigera, Egypten, Irak och Saudiarabien.
Men det är fortfarande fritt fram att kartlägga användare (eller låt oss tala klarspråk: bögar) i tveksamma länder som Algeriet, Turkiet, Vitryssland, Etiopien, Qatar, Oman, Azerbajdzjan, Kina, Malaysia och Indonesien.
Fuckr utvecklades som ett ”proof of concept” för att visa hur stora företag sätter sina användares säkerhet på spel. Notera att det inte på något vis handlar om hackning, utan om att använda de möjligheter som Grindr ger via sitt API.
Appen har nu tagits bort från Github, men inget hindrar att någon annan utvecklar en liknande tredjepartsapp.
Queer Europe: It is Still Possible to Obtain the Exact Location of Millions of Cruising Men on Grindr