Femte juli

Nätet till folket!

Övervakning

I denna kategori samlar vi nyheter som har med övervakning och massövervakning att göra. Det gäller såväl på nätet som i den fysiska världen.

FRA kritiserar FRA, typ

av

Är det en ödets ironi eller en ironisk blinkning att ”EU:s byrå för grundläggande rättigheter” förkortas FRA – Agency for Fundamental Rights?

Bokstäverna kommer ju inte ens i rätt ordning.

Vi vet i alla fall att byrån inrättades 2007, samma år som FRA-lagen var ett hett diskussionsämne i Sverige. (FRA-lagen röstades igenom 2008 och gav Försvarets radioanstalt ökade befogenheter att avlyssna kommunikation som passerade Sveriges gränser.)

Nu har FRA – byrån alltså, inte anstalten – släppt del två av en rapport där de undersöker hur övervakning påverkar de grundläggande rättigheterna.

FRAs grundpremiss är att “the mere existence of legislation allowing for surveillance constitutes an interference with the right to private life” – men man menar också att viss övervakning är nödvändig:

With terrorism, cyber-attacks and sophisticated cross-border criminal networks posing growing threats, the work of intelligence services has become more urgent, complex and international. Such work can strongly interfere with fundamental rights, especially privacy and data protection.

Edri har sammanfattat huvudlinjerna i rapporten:

  • Alla medlemsstater har någon form av tillsynsmyndighet för övervakningen.
  • Vissa av EUs medlemsstater har lagar där massövervakning får användas om det gynnar ”nationella intressen”. FRA kritiserar att dessa ”nationella intressen” inte specifieras.
  • Möjligheten för enskilda medborgare att få insyn i hur övervakningen går till är mycket begränsad.

Del ett av rapporten släpptes 2015, men flera terrordåd detta år gjorde att många länder ändrade sin övervakningslagstiftning snabbt, vilket föranledde del två av översynen.

 

USA vill införa ansiktsigenkänning vid gränsen

av

I dag anordnar amerikanska Department of Homeland Security ett event för techindustrin i Silicon Valley. Målet är att hitta samarbetspartner för att införa avancerade ansiktsigenkänning av personer som inte är amerikanska medborgare och som passerar gränsen till USA, framförallt i bil, skriver Nextgov:

DHS’ Silicon Valley outpost is hosting an industry day Nov. 14 to solicit solutions that would let Customs and Border Protection scan people’s faces, even if they’re wearing sunglasses, hats or are looking away from the camera, without requiring them to slow down or exit the car.

Förutom amerikanska medborgare ska även diplomater och personer under 14 och över 79 år undantas från ansiktsigenkänningen.

Uppkopplad dildo spelade in sin användare

av

En sexleksak som kan styras via en app i telefonen spelade in och lagrade en ljudfil under användandet, hävdar redditorer:

The lovense remote control vibrator app (used to control remote control sex toys made by lovense, such as this one) seems to be recording while the vibrator is on […] The file was a FULL audio recording 6 minutes long of the last time I had used the app to control my SO’s remote control vibrator

Tillverkaren har bett om ursäkt och släppt en uppdatering av appen som inte ska spela in användaren.

Men man kan väl lugnt konstatera att de som alltid varit skeptiska mot sexleksaker som är uppkopplade på nätet nu fått vatten på sin kvarn.

EU kräver registrering för gratis wifi

av

I avsnitt 56 av 5 juli-podden diskuterade och kritiserade vi EUs planer på att införa gratis wifi i 8 000 stadskärnor runt om i unionen.

Nu har Europeiska kommissionen meddelat att projektet – med det tuffa namnet Wifi4EU – kommer kräva att användarna registrerar sig, detta för att kunna utöva ”ett minimum av kontroll”. Autentiseringen kommer att ske via mobiltelefonnumret, enligt Netzpolitik.

Budgeten för Wifi4EU är 120 miljoner euro, eller 15 000 euro per stad. För denna summa ska staden driva och underhålla – under minst tre år – ett trådlöst nät som ska vara gratis för användarna. Vi får väl se hur det kommer falla ut.

Netzpolitik noterar också att medborgarinitiativet Freifunk inte blivit tillfrågade om att hjälpa till – Wifi4EU ska enbart innefatta kommersiella aktörer som kan garantera driften.

Kroppskameran avslöjade polisen – nu vill åklagaren ändra lagen

av

I det allra sista avsnittet (för den här gången i alla fall) av 5 juli-podden tog vi upp en nyhet från Baltimore i USA:

En polis hade satt på kroppskameran för att spela in hur man letade efter knark och även hittade detta. Men en funktion hos kroppskameran som tar med 30 sekunders inspelning innan man sätter på den verkade visa hur polisen först lägger knarket på plats. Det hela såg ut som bevisplantering och Baltimores åklagare var tvungen att lägga ner ett antal ärenden eftersom polisens bevis inte höll längre.

Nu har Baltimores chefsåklagare och två medlemmar i Baltimores ”county council” lagt ett förslag som ska begränsa allmänhetens möjligheter att ta del av det som polisens kroppskameror filmat:

Baltimore County’s top prosecutor and two members of the County Council want state lawmakers to consider tightening rules that govern public access to police body camera footage. They say they’re concerned about the potential for invasions of privacy.

American Civil Liberties Union (ACLU) är kritiska:

The ACLU has opposed legislation to limit access to police video, saying it’s critical that the public be able to view police interactions with citizens.

Rådet ska rösta om förslaget den 16 oktober 2017.

Look who’s stalking – två till utskott säger sitt om Eprivacyförordningen

av

Efter att konsumentutskottet Imco vände sig mot konsumenterna i förra veckans omröstning om EUs eprivacyförordning har nu två andra utskott kommit fram till betydligt bättre yttranden, rapporterar Edri.

  • Utskottet för rättsliga frågor, Juri, har röstat för formuleringar som stärker EU-konsumenternas integritet, enligt Edri. Till exempel tycker Juri inte att det spelar någon roll för ett mejls sekretess om det är ”in transit” eller lagras – operatören ska ändå hålla fingrarna borta. Därmed går man emot Imco i denna fråga.
  • På samma tema har utskottet för Industrifrågor, forskning och energi, Itre, röstat för rätten till stark kryptering.

De två utskotten röstade den 2 oktober 2017 om sina slutgiltiga yttranden om Eprivacyförordningen, som varit ute på remiss sedan 2016.

De olika utskottens yttranden kommer sammanvägas när ”superutskottet” Libe nästa vecka fattar det beslut som kommer ligga till underlag för hur EU-parlamentet röstar.

Libe är utskottet för Medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor.

Förutom Eprivacyförordningen kommer Libe att rösta om Upphovsrättsdirektivet, och då inte minst det kontroversiella uppladdningsfiltret (”censurmaskinen”) och den kritiserade länkskatten (”googleskatten”). I de frågorna är det dock Juri som är huvudutskott och som kommer sammanväga övriga utskotts betänkanden.

Och här har vi Edris roliga satirbild i dess helhet:

lookwhostaking_poster_750_80

Striden om privatsfären

av

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.

 

Switch

Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor

av

Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.

Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.

Anonymt surfande

Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.

Det var detta BND ville ta reda på.

Offentlig forskning

BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.

En gåva till NSA

Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:

The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.

Samarbete med NSA och GCHQ

BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:

One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.

Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:

Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“

Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:

The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.

Är Tor knäckt?

Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?

Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.

Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:

We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.

Apple tar användarnas parti mot fräcka annonsörer – hyllas av EFF

av

I förrgår släpptes Ios 11, den senaste versionen av Apples operativsystem för mobila enheter som Iphone och Ipad.

En nyhet värd att uppmärksamma är det som Apple kallar ”intelligent tracking prevention”, som blockerar tredjepartscookies i webbläsaren Safari. Blockeringen är så effektiv att den fått sex amerikanska annonsörsorganisationer att protestera mot funktionen i ett öppet brev, som publicerats av Adweek (via The Guardian).

Apple kontrar med att man inte blockerar annonsörer som spelar med öppna kort, bara dem som spårar surfarna över flera webbplatser. Läs mer om tekniken hos Webkit, som är den renderingsmotor, baserad på öppen källkod, som Safari använder.

Apple hyllas nu av amerikanska Electronic Frontier Foundation (EFF), som noterar att Apple ligger i framkant i integritetsfrågorna:

Apple has been a powerful force in user privacy on a mass scale in recent years, as reflected by their support for encryption, the intelligent processing of user data on device rather than in the cloud, and limitations on ad tracking on mobile and desktop.

EFF riktar också kritik mot annonsindustrin:

Rather than attacking Apple for serving their users, the advertising industry should treat this as an opportunity to change direction and develop advertising models that respect (and not exploit) users.

Kultfakta: Den svenska knutpunktsoperatören Netnod meddelade att trafiken slog rekord klockan 19 den 19 september 2017 – se graf nedan (facebooklänk). Netnod kan inte se vad trafiken gällde, men det var just då som Ios 11 blev tillgängligt att ladda ner!

Netnod-graf över intenettrafiken i Skandinavien den 19 september 2017, när Ios 11 släpptes

Mer kultfakta: En hel del av nyheterna på Femte juli skrivs numera på en Ipad Pro med Ios 11.