Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Nästa stridsfråga: Hemlig dataavläsning

av

Enligt regeringens plan skall förslaget om hemlig dataavläsning gå till riksdagen i september. Än så länge har vi dock varken sett någon lagrådsremiss eller proposition, vilket möjligen tyder på att regeringen vet att detta kommer att bli en stridsfråga.

Vad är då hemlig dataavläsning? Från regeringens hemsida:

»Utredningens utgångspunkt har varit att hemlig dataavläsning är en metod för de brottsbekämpande myndigheterna att med någon form av tekniskt hjälpmedel i hemlighet bereda sig tillgång till en dator eller annan teknisk utrustning som kan användas för kommunikation och därigenom få besked om hur utrustningen används eller har använts och vilken information som finns i den.

Med metoden kan man komma åt både uppgifter som i dag får hämtas in med nuvarande hemliga tvångsmedel, till exempel innehåll i meddelanden, och uppgifter som i dag inte får hämtas in med hemliga tvångsmedel, till exempel uppgifter som finns lagrade i en dator eller telefon.«

Även om vissa partier vill ha en »avvägning« mellan myndigheternas påstådda behov och rätten till privatliv (vilket med nödvändighet innebär en inskränkning av rätten till privatliv) – så finns det en bred majoritet för förslaget i riksdagen.

Vilka är då problemen?

  • Staten bereder sig tillgång till medborgarnas datorer och smarta enheter och får då tillgång till bland annat alla kontakter, bilder, filmer, meddelanden, kalendrar och filer som finns på dem. Liksom kamera och mikrofon. Myndigheterna kan då även läsa krypterade meddelanden innan de krypteras eller efter att de avkrypteras. Detta är ett omfattande ingrepp i den personliga integriteten.
  • Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.
  • En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.
  • Även om regeringen menar att hemlig dataavläsning bara kommer att användas för att utreda ett fåtal allvarliga brott – så vet vi från till exempel datalagringen att det finns risk för ändamålsglidning. Det vill säga att verktyget med tiden kommer att användas för att utreda mer bagatellartade brott, där intrånget i den personliga integriteten inte står i proportion till den eventuella nyttan. Dessutom tenderar tillstånd för att använda denna typ av hemliga tvångsmedel att beviljas slentrianmässigt.

Det finns många fler invändningar, vilket bland annat påpekats av Datainspektionen och Advokatsamfundet.

Förmodligen kommer en lagrådsremiss så snart riksdagen samlas igen efter sommaren. Och då gäller det att vara inläst på argumenten, att försöka lyfta frågan i debatten och att påpeka förslagets svagheter.

/ HAX

Länk till regeringens hemsida: Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet »

Trump vill göra sociala media till pre-crime-verktyg

av

Efter varje tragisk masskjutning i USA utbryter ett intensivt fingerpekande – och ett antal mer eller mindre genomtänkta förslag läggs fram. Denna gång är det president Trump som vill att sociala media skall användas för att i förväg identifiera potentiella massmördare. Vilket är en betydligt mer komplicerad fråga än man först skulle kunna tro.

President Trump, enligt The Verge:

»I am directing the Department of Justice to work in partnership with local state and federal agencies, as well as social media companies, to develop tools that can detect mass shooters before they strike.«

Pre-crime-tools är till sin natur vanskliga, eftersom de rör brott som ännu inte begåtts – och som kanske aldrig kommer att begås. Folk säger och skriver en massa konstiga saker. Vad som bara är ord och vad som är verkliga hot kan vara svårt att avgöra – och antalet »falska positiva« blir ohanterligt stort även om analysverktygen har hög träffsäkerhet. (Vilket de knappast har.)

Nu rapporterar sociala media redan akuta hot som de upptäcker eller tipsas om till myndigheterna. Man har även teknik som syftar till att identifiera terror-relaterat innehåll och det finns rutiner för att försöka förhindra självmord. Vilket i sammanhanget är mindre komplicerat än att försöka identifiera potentiellt farliga individer i ett brett spektrum.

Förmodligen är det bästa verktyget andra användare som gör plattformen eller myndigheterna uppmärksamma på att våldsamma handlingar kan vara förestående.

Vox recode skriver:

As Ben Wizner, a lawyer for the ACLU, put it, “The problem with that is we don’t yet have the tech to determine pre-crime, Minority Report notwithstanding. We need to understand that even if all mass shooters have said X, the vast majority of people who have said X don’t become mass shooters.”

What’s more likely to happen is that all sorts of speech — and people — would get swept up in the technology dragnets Trump seems to be proposing.

Och vad gör det med ett samhälle – om dess medborgare måste tänka på att allt de uttrycker kommer att granskas och analyseras av myndigheterna? Speciellt som risken är att få dörren inslagen av polis i en gryningsräd och att man kan komma att hållas fängslad tills allt (förhoppningsvis) reds ut.

Dessutom riskerar Trumps förslag att bli en symbolhandling, medan de verkliga orsakerna (vilka de nu är) och de meningsfulla motåtgärderna förbigås.

Länkar:
• Trump wants social media to detect mass shooters before they commit crimes »
• Trump Calls On Social Media Companies To Become Pre-Crime Agents »
• Trump calls for social media companies to ‘detect mass shooters before they strike’

EU skyndar på registrering av våra tåg- och båtresor

av

Som vi tidigare rapporterat diskuterar det finska EU-ordförandeskapet att utöka registreringen av våra resor (PNR) från flyg till att även omfatta tåg- och båtresor. Tidigare i sommar verkade det som att man först tänkte invänta utslaget i ett rättsfall om PNR. Nu vill man göra frågan prioriterad.

Statewatch: EU Council Presidency proposes follow-up on extending PNR to sea and rail traffic »

Vi närmar oss en punkt där anonymt resande blir omöjligt.

WhatsApp – motstridiga uppgifter om bakdörr

av

Forbes avslöjade häromdagen att WhatsApp planerar en bakdörr för att göra tjänstens end-to-end-krypterade meddelanden tillgängliga:

In Facebook’s vision, the actual end-to-end encryption client itself such as WhatsApp will include embedded content moderation and blacklist filtering algorithms. These algorithms will be continually updated from a central cloud service, but will run locally on the user’s device, scanning each cleartext message before it is sent and each encrypted message after it is decrypted.

The company even noted that when it detects violations it will need to quietly stream a copy of the formerly encrypted content back to its central servers to analyze further, even if the user objects, acting as true wiretapping service.

Detta får kanske ses som en lösning för att komma åt meddelanden utan att ge myndigheterna en bakdörr. Men det är ändå ett intrång i användarnas privata kommunikation.

Man kan även anta att om ett sådant system sjösätts, då kommer myndigheterna ändå att vilja ha direkt tillgång till alla flaggade meddelanden. Bruce Schneier kommenterar:

Once this is in place, it’s easy for the government to demand that Facebook add another filter — one that searches for communications that they care about — and alert them when it gets triggered.

Of course alternatives like Signal will exist for those who don’t want to be subject to Facebook’s content moderation, but what happens when this filtering technology is built into operating systems?

Idag kommer så en dementi från WhatsApp. Forbes:

On July 25th, WhatsApp’s parent company Facebook did not dispute the characterization posed to it that it planned to ”moderat[e] end to end encrypted conversations such as WhatsApp by using on device algorithms,” with the spokesperson pointing to Zuckerberg’s own blog post calling for precisely such filtering. This afternoon, Vice President of WhatsApp Will Cathcart contradicted this, offering “we have not done this, have zero plans to do so, and if we ever did it would be quite obvious and detectable that we had done it. We understand the serious concerns this type of approach would raise which is why we are opposed to it.”

Motstridiga uppgifter, således. Möjligen kan det vara uppmärksamheten som fått WhatsApp att backa. Eller så finns det delade meningar mellan WhatsApp och dess ägare Facebook.

Intressant nog sker detta samtidigt som de så kallade Five Eyes-nationerna efterlyser en bakdörr till WhatsApp och andra krypterade meddelandetjänster. The Guardian:

British, American and other intelligence agencies from English-speaking countries have concluded a two-day meeting in London amid calls for spies and police officers to be given special, backdoor access to WhatsApp and other encrypted communications.

Myndigheternas krav på tillgång till krypterade meddelanden i de vanligaste apparna avsedda för konsumenter är något av en följetong. Och de verkar aldrig ge sig.

Samtidigt finns det andra metoder – som end-to-end-krypterad e-post – att ta till för den som verkligen vill dölja innehållet i sin kommunikation med andra. Vilket i praktiken aldrig går att knäcka eller förbjuda.

Det långsiktiga hotet mot vår rätt till privat kommunikation kan dock – som Bruce Schneier påpekar ovan – komma från att bakdörrar byggs in redan i datorernas och våra smarta enheters operativsystem. Och från statliga spionprogram som kan komma åt allt på våra enheter och läsa våra krypterade meddelanden innan de krypterats eller efter att de avkrypterats.

Länkar:
• Forbes: The Encryption Debate Is Over – Dead At The Hands Of Facebook »
• Bruce Schneier: Facebook Plans on Backdooring WhatsApp »
• The Guardian: Calls for backdoor access to WhatsApp as Five Eyes nations meet »

Det ständiga kriget om kryptering

av

I årtionden har det rasat en strid där myndigheter i olika länder antingen vill förbjuda kryptering eller ha »bakdörrar« till krypterade meddelandetjänster. Nu senast är det US Attorney General William Barr som givit sig in i debatten:

While speaking today in New York, Barr demanded eavesdropping mechanisms be added to consumer-level software and devices, mechanisms that can be used by investigators to forcibly decrypt and pry into strongly end-to-end encrypted chats, emails, files, and calls. No ifs, no buts.

Men inte heller Barr kan förklara hur man skall kunna knäcka krypterade meddelanden utan att skapa säkerhetsluckor som kan utnyttjas av till exempel kriminella, terrorister eller främmande makt. Och vi vet ju att myndigheternas olika övervakningsverktyg förr eller senare läcker ut till obehöriga.

Dessutom håller ordningsmakt och säkerhetstjänster i ett antal länder på att lansera »stats-trojaner«, det vill säga spionprogram som låter myndigheterna övervaka misstänktas datorer och smarta enheter – för att bland annat kunna fånga upp data innan den krypteras och efter att den blivit avkrypterad. Även detta är ett otrevligt och integritetskränkande verktyg som lätt kan hamna i orätta händer och missbrukas. Men det inriktas i vart fall (lämpligen) mot människor som faktiskt är misstänkta för något brottsligt, inte mot hela befolkningen. Så myndigheterna har faktiskt redan ett slags bakdörr. (I Sverige är en lag om »hemlig dataavläsning« på väg till riksdagen.)

Samtidigt finns det ingen politiker i världen som (på ett rimligt sätt) kan förbjuda kryptering som sådan eller kräva bakdörrar till exempelvis privat, end-to-end-krypterad e-post. Den som verkligen vill kunna sända och ta emot krypterade meddelanden som myndigheterna inte kan läsa kommer alltid att kunna göra det. Det går liksom inte att »av-uppfinna« krypteringen.

Länkar:
• Tech firms “can and must” put backdoors in encryption, AG Barr says »
• Low Barr: Don’t give me that crap about security, just put the backdoors in the encryption, roars US Attorney General »
• EFF: Don’t Let Encrypted Messaging Become a Hollow Promise »

Facebooks jätteböter – betyder de något i praktiken?

av

Facebook har fått böta fem miljarder dollar i USA, för sin roll i Cambridge Analytica-affären. Men vad innebär det i praktiken? För den vanlige nätanvändaren är det knappast någon garanti mot framtida missbruk av persondata.

Cambridge Analytica-affären har blivit ett politiskt slagträ, som används för att ifrågasätta valet av Donald Trump till president i USA och resultatet av Brexit-omröstningen i Storbritannien. Detta har kommit att överskugga historiens kärna: Att Facebook gav CA tillgång till persondata för 50 miljoner användare – och att CA fortsatte använda denna även efter att Facebook insett sitt misstag och återkallat företagets rätt att använda nämnda data.

Att Facebook kapitaliserar på sina användares persondata är inget unikt. Det är deras affärsidé.

Skillnaden är att denna gång användes det i politiska syften istället för att marknadsföra konsumentprodukter. Men i grunden är kärnfrågan densamma oavsett om persondatan används för att sälja Trump eller schampo: Manipulation av enskilda individer med hjälp av stora mängder personlig data.

Det är alltså inte reklam eller marknadsföring som sådan som väckt uppmärksamhet. Det råder en rätt allmänt utbredd insikt om att persondata är priset man får betala för tillgång till tjänster som Facebook, Google, Twitter & Co. Och då kommer det alltid att finnas en moralisk gråzon för i vilka syften denna data används.

De flesta lär vara överens om att det är i sin ordning för politiska partier att använda sociala media och annonsering i dessa för att nå potentiella väljare. (En av CA:s medarbetare kom från Obamas allmänt hyllade sociala medie-satsning.) Och redan med ett fåtal datapunkter är det möjligt att göra sådan marknadsföring synnerligen effektiv. Vilket även riktar moralens strålkastare mot de politiska partierna. Hur djupt borrar till exempel de svenska partierna i persondata under sina kampanjer?

Genom åren har Socialdemokraterna varit mästare på något liknande – fast analogt. Med hjälp av röstlängder, opinionssiffror, valdeltagande, tidigare valresultat samt så mycket demografisk data de kan få fram lyckas de välja ut områden där partiets valmaskineri kan nå bäst resultat. Detta är knappast något man kan eller vill förbjuda. Men det ligger i stor sett inom samma verksamhetsfält som vad CA sysslar med.

Oaktat Facebook och CA eller vad vi tycker om saken – så är detta den verklighet som gäller.

I fallet med CA var datakällan från Facebook gigantisk. Och även om den dörren nu kanske är stängd för politiska spindoctors under överskådlig framtid – så är Facebook långt ifrån den enda källan till användbar persondata. Och CA är (var) inte det enda bolag som sysslar med att samla in och djupanalysera persondata. Enda skillnaden är att dessa aktörer är mer eller mindre okända för allmänheten och media.

Dessutom finns ett sidospår i debatten som få tycks ägna någon uppmärksamhet: Vilken data och vilken dataanalys har staten tillgång till – och i vilket syfte? Detta är en gigantisk godispåse för myndigheter och politiker – som kan användas för allt från att effektivisera kollektivtrafiken till att kartlägga personer med avvikande åsikter eller beteende.

Frågan om Facebook & Cambridge Analyticas roll i den amerikanska presidentvalskampanjen och Brexit-kampanjen är i sig intressant. Men bakom den debatten döljer sig ett stort, känsligt och i stora delar outforskat frågekomplex – som reser frågor om de politiska partiernas förhållande till folket och statens förhållande till medborgaren.

Länkar:
• Nu är det klart: Facebook får böta 47 miljarder för dataskandalen »
• Facebook to pay $5bn fine as regulator settles Cambridge Analytica complaint »
• Wikipedia: Facebook–Cambridge Analytica data scandal »
• Trots dataskandaler och rekordböter – Facebook går bättre än väntat »
• 9 reasons the Facebook FTC settlement is a joke »
• Netflix släpper dokumentär om Cambridge Analytica »
• Netflix documentary explores Facebook-Cambridge Analytica data scandal »
• EU privacy ruling against Facebook to come by end 2019 »

Krav på att EU utreder datalagringens risker

av

EU:s ministerråd vill gärna se ett nytt datalagringsdirektiv, efter det som ogiltigförklarats av EU-domstolen. Den avgående EU-kommissionen har inte velat röra datalagringen. Så nu är frågan vad den nya EU-kommissionen kommer att göra.

I väntan på besked skriver 30 europeiska organisationer för nätfrihet och digitala rättigheter brev till EU-kommissionen. Ur innehållet…

While the concept of blanket data retention appeals to law enforcement agencies, it has never been shown that the indiscriminate retention of traffic and location data of over 500 million Europeans was necessary, proportionate or even effective.

Blanket data retention is an invasive surveillance measure of the entire population. This can entail the collection of sensitive information about social contacts (including business contacts), movements and private lives (e.g. contacts with physicians, lawyers, workers councils, psychologists, helplines, etc.) of hundreds of millions of Europeans, in the absence of any suspicion. Telecommunications data retention undermines professional confidentiality and deters citizens from making confidential communications via electronic communication networks. The retained data is also of high interest for criminal organisations and unauthorized state actors from all over the world. Several successful data breaches have been documented. Blanket data retention also undermines the protection of journalistic sources and thus compromises the freedom of the press. Overall, it damages preconditions of open and democratic societies.

Brevet mynnar sedan ut i ett önskemål om en grundlig utvärdering av datalagringen – inte minst ur ett medborgarrättsligt perspektiv – innan man går vidare.

Läs hela brevet här: Civil society calls for a proper assessment of data retention »

Krav på samtycke för ansiktsigenkänning

av

I veckan har EU-ländernas dataskyddsmyndigheter träffats i Bryssel. Bland annat har man diskuterat att kräva samtycke för automatiserad ansiktigenkänning.

Politico rapporterar:

In particular, the watchdogs are looking to reclassify facial recognition data as ”biometric data,” which under the GDPR is considered ”sensitive data” and requires explicit consent from the person whose data is being collected as well as other stricter privacy protections. Without these, collection of the data is forbidden.

Räkna med att detta kommer att möta motstånd bland EU:s justitie- och inrikesministrar – som ju i princip aldrig missar en chans till utökad övervakning och kontroll av medborgarna.

Politico: Europe eyes stricter rules on facial recognition »

Fingerprinting – det alternativa sättet att spåra dig online

av

Allt fler skyddar sig mot trackers och cookies online. Men det finns ett annat sätt att spåra och identifiera nätanvändare – fingerprinting. Det går ut på att kombinera information om faktorer som skärmupplösning, processor m.m. för att skapa en unik, identifierbar profil.

Brian X. Chen förklarar saken i New York Times:

What is it exactly? Fingerprinting involves looking at the many characteristics of your mobile device or computer, like the screen resolution, operating system and model, and triangulating this information to pinpoint and follow you as you browse the web and use apps. Once enough device characteristics are known, the theory goes, the data can be assembled into a profile that helps identify you the way a fingerprint would.

“Get enough of those attributes together and it creates essentially a bar code,” said Peter Dolanjski, a product lead for Mozilla’s Firefox web browser, who is studying fingerprinting. “That bar code is absolutely uniquely identifiable.”

Än så länge används fingerprinting rätt sparsamt, men tycks samtidigt bli vanligare. Skälet till att denna teknik utvecklas är förmodligen just det faktum att allt fler användare och browsers blockerar de gamla sätten att identifiera användare.

Så vad kan man göra? Apples Safari sägs ha skydd mot fingerprinting. Och det finns även i nyare versioner av Mozillas Firefox, även om det där måste aktiveras av de enskilda användarna. Vad gäller appar på mobila enheter verkar det dock svårare att skydda sig.

Läs mer: ‘Fingerprinting’ to Track Us Online Is on the Rise. Here’s What to Do. »

Nu vill EU även registrera våra tåg- och båtresor

av

Under rubriken »vad var det vi sa«: Det finska EU-ordförandeskapet vill gå vidare med registrering av våra resor till att även omfatta tåg och båt.

EU har redan ett kritiserat system för registrering av upp till 60 datapunkter kring våra flygresor, PNR.

Nu har det finska EU-ordförandeskapet lyft frågan om att utöka registreringen till internationella resor med tåg och båt. Övriga EU-länder sägs vara i stort sett positiva till förslaget, även om man avvaktar ett rättsfall om PNR. Förmodligen kommer ett skarpt förslag under våren nästa år.

Som tongångarna är i EU kan man även förvänta sig att hyrbilar och hotellövernattningar kommer att registreras i nästa steg.

Länk: Finnland treibt Komplettüberwachung aller Reisebewegungen in der EU voran »