Magert resultat för NSA:s massövervakning

Bruce Schneier:

»A National Security Agency system that analyzed logs of Americans’ domestic phone calls and text messages cost $100 million from 2015 to 2019, but yielded only a single significant investigation, according to a newly declassified study.

Moreover, only twice during that four-year period did the program generate unique information that the F.B.I. did not already possess, said the study, which was produced by the Privacy and Civil Liberties Oversight Board and briefed to Congress on Tuesday.«

Länk: Newly Declassified Study Demonstrates Uselessness of NSA’s Phone Metadata Program »

Europol hjälper EU-länder knäcka kryptering

Från Matthias Monroys blogg om säkerhetsarkitektur och polissamarbete i EU:

»Since last year, Europol has included the „decryption platform“ among the services offered by its newly established „innovation laboratory“. Its areas of responsibility include police handling of anonymisation and encryption on the Internet and darknet. Europol is also researching the use of quantum computers.«

Samtidigt verkar det som om spionprogramvara (statstrojaner / hemlig dataavläsning) kommer att vara den vanligaste approachen för medlemsstater som vill komma åt krypterade meddelanden.

Länk: Backdoors vs. Trojans: Europol is examining „solutions“ against end-to-end encryption »

Video: Senaste nätnyheterna

De senaste nätnyheterna från denna blogg: Hemlig dataavläsning, EU:s uppladdningsfilter. Britterna kliver av GDPR. Sverige och massövervakningen & Assange – mystiken tätnar.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Nej till hemlig dataavläsning

På onsdag (19 februari) röstar riksdagen om hemlig dataavläsning. Det vill säga att polisen (m.fl.) skall kunna installera spionprogram på människors telefoner, surfplattor, datorer, smart-tv-apparater, spelkonsoler, smarta högtalare etc.

Med dessa spionprogram kommer myndigheterna att kunna se all aktivitet på enheten i realtid samt använda kamera och mikrofon för övervakning. Man kommer dessutom att komma åt alla filer, alla bilder, alla filmer, alla kontakter, alla meddelanden, alla appar och allt annat som finns på till exempel en telefon eller dator.

Bortsett från integritetsfrågan och risken för missbruk – så är detta det starkaste argumentet för att säga nej:

  • För att kunna installera spionprogram måste polisen använda säkerhetsluckor i vår kommunikationsutrustning.
  • Det innebär att dessa säkerhetsluckor – som hotar hela vår IT-säkerhet – kommer att förbli öppna och okända.
  • Detta öppnar i sin tur dörren för cyberbrottslighet – som dataintrång, ransomware, virus, bankbedrägerier och spioneri.

Riksdagen är alltså på väg att göra hela vår IT-infrastruktur mindre säker. Och vi vet från andra länder att sådana här verktyg har en tendens att hamna i orätta händer.

Det är inte en fråga om – utan när – detta kommer att bli ett problem för såväl privatpersoner som företag, organisationer och myndigheter.

Därför bör riksdagen rösta nej till lagen om hemlig dataavläsning.

Stoppa lagen om hemlig dataavläsning!

I morgon, torsdag den 6 februari, har riksdagens justitieutskott sammanträde. På dagordningen finns bland annat frågan om hemlig dataavläsning – som är tänkt att klubbas i kammaren den 19 februari.

Att riksdagen inte längre bryr sig om integritet och individens rätt till privatliv är sedan länge uppenbart. Men i detta fall är man även på väg att skapa ett system med allvarliga säkerhetsbrister. Någon diskussion om dessa har i princip inte förekommit. Berörda riksdagsledamöter har inte ens kommenterat saken. Vilket både är arrogant och oroväckande.

Hemlig dataavläsning bygger på att polisen (m.fl.) skall få installera spionprogram på brottsmisstänktas (m.fl.) datorer, smartphones, surfplattor, spelkonsoler, smart-tv-apparater, smarta högtalare m.m.

Här kommer man att kunna bedriva övervakning genom kamera och mikrofon. Polisen kommer även att komma åt alla filer, alla bilder, alla filmer, alla kontakter, alla meddelanden, alla appar och allt annat som finns på till exempel en telefon. Dessutom kommer man att kunna avläsa meddelanden som sänds via krypterade meddelande-appar, genom att i realtid kunna se vad användaren skriver – och även i de aktuella apparna innan meddelanden krypterats eller avkrypterats. (Teoretiskt sett är det även möjligt att plantera eller manipulera bevis på en enhet.)

För att detta skall kunna ske behöver polisen använda sig av existerande säkerhetsluckor i vår IT-infrastruktur.

Det vill säga att säkerhetsbrister som borde anmälas och täppas igen kommer att förbli öppna.

Det innebär att systembrister, bakdörrar, zero-day-exploits, verktyg för dataintrång m.m. kommer att lämnas som de är. Vilket öppnar dörren på vid gavel för till exempel kriminella, black hat hackers och främmande makt.

Detta kommer att utsätta oss alla – privatpersoner, företag, myndigheter, organisationer – för en ökad risk för till exempel dataintrång, cyberbrottslighet, bankbedrägerier, ransomware och spionage.

Lagen om hemlig dataavläsning kommer helt enkelt att göra oss alla mindre säkra och hela vårt samhälles IT-infrastruktur mer sårbar. Och så vill vi verkligen inte ha det!

Riksdagen är just nu på väg att göra ett gigantiskt misstag. Men de politiska partierna kan inte säga att de inte blivit varnade. Det är hos dem ansvaret nu vilar – och det är där ansvar kommer att utkrävas, när den dagen kommer.

Det minsta man kan kräva är att riksdagens beslut skjuts upp genom en minoritetsbordläggning – och att man använder denna tid till att noga analysera den hemliga dataavläsningens säkerhetsproblem.

EU-miljard till forskning om övervakning

Privacy International har gjort en sammanställning över kända EU-finansierade projekt på övervakningsområdet.

Några exempel ur detta akronymernas helvete:

  • Prediction and Visual Intelligence for Security Information (PREVISION); €8m (2019-2021); A predictive platform running analytics through data obtained from ”online social networks, the open web, the Darknet, CCTV and video surveillance systems, traffic and financial data sources, and many more”.
  • Prediction and Visual Intelligence for Security Information (ROXANNE); €7m (2019-2022); Project aimed at identifying people in intercepted communications using face & speech identification, soon to be trialled in 9 countries.
  • Fighting Crime and TerroRism with an IoT-enabled Autonomous Platform based on an Ecosystem of Advanced IntelligEnce, Operations, and InveStigation Technologies (CREST); €7m (2019-2022); A predictive analytics platform monitoring online content and data from ”Internet of Things” (IoT) devices, and for sharing ”digital evidence based on blockchain” technology.
  • InterCONnected NEXt-Generation Immersive IoT Platform of Crime and Terrorism DetectiON, PredictiON, InvestigatiON, and PreventiON Services (CONNEXION); €5m (2018-2021); A predictive policing tool relying on social media, ’dark web’, and IoT data.
  • From mobile phones to court – A complete FORensic investigation chain targeting MOBILE devices (FORMOBILE); €6.9m (2019-2022); Another mobile phone extraction system, which will also develop ”tools” for ”the acquisition of previously unavailable mobile data, unlocking mobile devices, as well as the decoding and analysis of mobile data”.
  • Multimedia Analysis and Correlation Engine for Organised Crime Prevention and Investigation (MAGNETO); €5.3 (2018-2021); Data analytics platform to conduct tasks like relationship mapping in large datasets and predicting threats.
  • Advanced tools for fighting oNline Illegal TrAfficking (ANITA); €4.9m (2018-2021); Data analytics programme monitoring data from the internet and crypto-currencies.
  • Intelligence Network and Secure Platform for Evidence Correlation and Transfer (INSPECTr); €6.9m (2019-2022); Another analytics platform for ”gathering, analysing, prioritising and presenting key data to help in the prediction, detection and management of crime”.
  • Novel Social Data Mining Platform to Detect and Defeat Violent Online Radicalization (INSIKT); €1.5m (2017-2020); Software developed by a Spanish companies which scrapes through social media to identify terrorist propaganda.
  • Lawful evidence collecting and continuity platform development (LOCARD); €6.8m (2019-2022); A forensics system to extract data from devices for use in court, which also includes ”a crawler to detect and correlate online deviant behaviour”.
  • Video analysis for Investigation of Criminal and TerrORIst Activities (VICTORIA); €5m (2017-2020); An automatic surveillance video analysis system.
  • Analysis System for Gathered Raw Data (ASGARD); €12m (2016-2020); This project will develop, maintain and evolve a tool set for the extraction, fusion, exchange and analysis of Big Data, including cyber-offense data for forensic investigation.

Till detta kommer ett antal program för bland annat gränsbevakning och för att avskräcka flyktingar från att söka sig till Europa. Under perioden 2014-20 handlar det om c:a 80 miljoner euro, det vill säga över 800 miljoner SEK. För hela listan och utförligare beskrivning, följ länken nedan.

Om vi fokuserar på projekten ovan, då kan man räkna med att flera kommer att ingå i framtidens automatiserade, AI-styrda övervakningsapparat – kopplad till kameraövervakning med beteendeanalys, automatiserad ansiktsigenkänning i realtid och samkörd med allehanda register och övervakningssystem.

Notera för övrigt kopplingen till analys av medborgarnas aktiviteter på internet i flera av punkterna.

Om endast några av projekten ovan blir verklighet kommer vi inte bara att leva i en övervakningsstat av aldrig tidigare skådad omfattning – utan även i en automatiserad övervakningsstat, där algoritmer styr vem och vad som kommer att anses vara suspekt.

Privacy International: MONITORYOU: the MilliONs beIng spenT by the eu on develOping surveillance tech to taRget YOU »

Video: Veckans nätnyheter

De senaste nätnyheterna från denna blogg: Automatiserad ansiktsigenkänning; UK nobbar EU:s upphovsrättsdirektiv; ECHR: Anonyma SIM-kort är ingen rättighet; EU:s uppladdningsfilter; Hemlig dataavläsning.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

EU-kommissionen backar om förbud mot ansiktsigenkänning

För en dryg vecka sedan läckte information ut om att EU-kommissionen ville se ett tillfälligt förbud mot användning av automatiserad ansiktsigenkänning på allmän plats, i tre till fem år – medan man utreder systemets risker och möjligheter.

Nu finns en ny variant av kommissionens arbetspapper. I detta dokument är det tidigare nämnda tillfälliga förbudet bortplockat.

EURACTIV rapporterar:

There should be “clear criteria” in the future mass-scale rollout of Biometric Identification Systems in the EU, a recently leaked draft of the EU’s Artificial Intelligence strategy seen by EURACTIV reveals.

The document, an update on an earlier leaked version, has also scrapped the idea of a temporary ban on facial recognition technologies in public spaces.

The document notes that the lack of information about the use of biometric identification systems prohibits the Commission from making a broad analysis of the implications of this technology, which analyses a person’s physical features for computational purposes.

Allt toppat med sedvanligt snömos:

“Thus, the ecosystem of trust should give citizens the confidence to welcome artificial intelligence and give companies the legal certainty to innovate with artificial intelligence,” the paper states.

Förmodligen är det medlemsstaternas inrikesministrar som vill kunna använda automatiserad ansiktsigenkänning för övervakning, så snart som möjligt. Och då får EU-kommissionens betänkligheter om rätten till privatliv stå tillbaka.

EURACTIVE: EU seeks ‘clear criteria’ for use of biometric AI on mass scale »

Kommer hemlig dataavläsning att klubbas av riksdagen utan någon debatt om dess risker?

Om en vecka – torsdag den 6 februari – har riksdagens justitieutskott (JuU) åter hemlig dataavläsning på dagordningen. Ännu har man bara beslutat i formfrågor, som att skjuta fram lagens ikraftträdande en månad på grund av för kort ledtid efter att lagen klubbas i riksdagen (19 februari).

Att riksdag och regering inte bryr sig om integritet, det har vi tyvärr fått vänja oss vid. Men här finns även en uppenbar och påtaglig fara, vad gäller datasäkerhet. Dock finns det inget som tyder på att riksdagen kommer att bry sig om det heller.

Säkerhetsproblemet är som följer: För att kunna installera spionprogram på människors datorer, telefoner, plattor m.m. – så måste kända säkerhetsluckor hållas öppna. Detta gör hela vår IT-infrastruktur sårbar för cyberattacker, ransomware, bankbedragare, spionage och annan databrottslighet.

Detta är inte något utredningen brytt sig om, inget som regeringen brytt sig om, inget som lagrådet brytt sig om, inget justitieutskottet bryr sig om – och inget som riksdagen verkar bry sig om. Det är som om man tror att om man undviker att diskutera detta problem, då försvinner det. Vilket naturligtvis är oansvarigt önsketänkande. Det hela kommer att sluta med att vi alla blir mindre säkra.

Nu håller tiden på att rinna ut. Om vi alls skall få någon debatt om riskerna med hemlig dataavläsning – då måste den komma nu, innan det är för sent.

Europadomstolen fattar beslut om anonyma SIM-kort

På torsdag, 30 januari, fattar Europadomstolen för de mänskliga rättigheterna beslut i ett mål som rör anonyma SIM-kort. Det är den piratpartistiske ledamoten av Europaprlamentet Patrick Breyer som anmält den tyska lag som kräver identifiering vid köp av så kallade kontantkort.

»A blanket and indiscriminate ban on anonymous prepaid mobile phone cards endangers the freedom of communications and of the Internet«, explains complainant Patrick Breyer. »Anonymity is essential, for example, to press sources, to confidential business dealings, to coordinating political protest, to psychological, medical or legal consultations as well as to self-help groups.«

Såväl EU-kommissionen som Europarådet har tidigare kritiserat förbud mot anonyma SIM/kontantkort.

Nu skall man komma ihåg att detta inte är EU-domstolen (EU) utan Europadomstolen för de mänskliga rättigheterna (Europarådet). Så ett beslut får inte nödvändigtvis direkt effekt. Men såväl EU som dess medlemsstater har ändå förbundit sig att respektera Europadomstolens beslut.

Om domstolen säger nej till förbud mot anonyma SIM/kontantkort kommer det även att få konsekvenser för svensk politik – då regeringen redan har meddelat att den tänker införa ett sådant förbud.

Patrick Breyers pressmeddelande »

Uppdatering: Europadomstolen tillåter fortsatt ID-krav för SIM-kort »