Vill vi verkligen offra våra fri- och rättigheter på säkerhetens altare?

De flesta människor tycks ha problem med att hålla mer än en tanke åt gången i huvudet.

Gängbrottslighet, skjutningar, explosioner och terrorhot har lett till att en majoritet av svenska folket tycks vara för mer övervakning.

Nyansen att för mycket och automatiserad övervakning kan göra det svårare att identifiera verkliga hot (genom det överväldigande antalet falska positiva) tycks ha gått de flesta förbi. Man kan även notera att av alla terrorister som varit verksamma i Europa på senare år, så har de flesta redan varit flaggade av myndigheterna. Men man har inte haft resurser för att övervaka dessa redan kända potentiella säkerhetshot. Däremot har man satsat stort på att övervaka alla andra – som inte är misstänkta för något brottsligt eller farligt.

Om ovan nämnda praktiska aspekter av övervakningen hamnat i diskussionens skugga – så råder fullständigt mörker när det gäller de principiella frågorna.

I grunden handlar det om våra grundläggande mänskliga och medborgerliga fri- och rättigheter. Dessa är ytterst en garanti för att överheten inte skall kunna förtrycka enskilda eller grupper av individer. I dessa ingår även rätten till privatliv. Utan rätt till en privat sfär finns ingen verklig frihet.

Tanken som de flesta inte tycks tänka är om det verkligen är värt att offra de principer som garanterar individens rätt i en demokratisk rättsstat. Är det lämpligt att försöka lösa ett problem genom att offra grundläggande rättigheter – vilket kan ge oss andra, betydligt värre problem på lite sikt? Vill vi verkligen montera ner principer till skydd för individen som det tagit århundraden att bygga upp?

Problemet är att frågan knappt ens diskuteras. Istället rusar vi vidare in i en Storebrors- och övervakningsstat av aldrig tidigare skådad omfattning. Och vi drivs av rädsla – vilket är en ovanligt snäv och olämplig drivkraft om man vill fatta rationella beslut.

Rimligen måste det finnas sätt att skydda oss mot brott, våld och terrorism utan att offra våra grundläggande fri- och rättigheter. Om inte, då är vi riktigt illa ute. Då var vårt öppna, fria, demokratiska samhälle bara en parentes.

Förbättrade integritetsinställningar i Apples iOS 13

I dagarna släpper Apple den senaste versionen av sitt operativsystem för mobiler. Och det innehåller – faktiskt – en del små, men ändå rätt tydliga förändringar för att bättre skydda användarnas rätt till privatliv.

Apple is adding more ways to control your personal information. If an app needs your location for something, you can now grant access to your location just once. The app will have to ask for your permission the next time.

Similarly, iOS 13 can tell you when an app has been silently tracking your location in the background with a map of those data points.

Apple is shaming app developers directly by saying “This app has used 40 locations in the background in the past 2 days” and showing you a map. You can turn off location tracking directly in the popup. Facebook is already freaking out and wrote a blog post last week to tell you that it cares about your privacy.

Sedan är det naturligtvis en annan fråga hur mycket information Apple själva samlar (och delar) om sina användare.

TechCrunch: iOS 13 pushes the envelope across the board »

Mobiloperatör vill se europeisk digital järnridå

EURACTIV rapporterar:

»Europe should consider establishing a ‘digital border control,’ as a means of obstructing internet access to hostile actors in the event of a serious cyberattack, the head of Deutsche Telekom’s cybersecurity division has told EURACTIV.«

»EURACTIV also heard from MEP Patrick Breyer, who sits with the Greens in the European Parliament. He had some even tougher words to say. “Kill-switch capacities could be abused by hackers and make the Internet less safe. Scare stories about terrorists wanting to shut the Internet down are mostly fairy tales. We shouldn’t use the same means that we deplore,” he said.«

Att kunna stänga internet i Europa mot omvärlden är ett verktyg som är som klippt och skuret för eventuella framtida auktoritära ledare. Och finns möjligheten, då kommer den att utnyttjas.

Länk: Europe needs ‘digital border controls,’ industry chief says »

Mesh-nätverk låter Hong Kongs demonstranter kommunicera under kinesiska statens radar

Hur lyckas demonstranterna i Hong Kong kommunicera fritt och under radarn när staten har koll på SMS, e-post, WeChat med flera kommunikationskanaler? Svaret är peer-to-peer mesh broadcasting networks.

Man använder den brittiska appen Brirdgefy – som låter användare koppla upp ett mesh-nätverk via Bluetooth. Detta kräver en viss täthet mellan användarna, men i samband med Hong Kong-protesterna är det inget problem.

Forbes har talat med Bridgefys medgrundare och CEO Jorge Rios:

»Bridgefy is a messaging app that works with or without Internet. It’s based on Bluetooth instead, and we built it because we know that the lack of communication can be vital in many places and situations. Most people download it before going to a large music of sporting event, but we’re currently having huge spikes in downloads from Hong Kong due to the protests.«

»We’ve seen more than 60,000 app installations in just the past seven days, most of them from Hong Kong. People are using it to organize themselves and to stay safe, without having to depend on an Internet connection.«

Men appen är inte bara användbar vid oppositionella politiska protester:

»Whenever there’s a hurricane or earthquake in the world, we see spikes in app downloads. It’s important for us to say that our core technology is also available to developers, so that they may integrate it into their own apps and make them work offline. We license it based on the amount of offline users, and are currently working so that some day we might be able to use apps like WeChat, Tinder, Uber, and Whatsapp without Internet.«

Det är så att man undrar varför denna lösning inte varit tillgänglig på konsumentmarknaden tidigare. Mesh-nätverk i olika former är ju inget nytt.

Det hela påminner lite om finansmannens Jan Stenbecks ord när han lanserade TV3. Politik slår pengar. Teknik slår politik.

Länk: Hong Kong Protestors Using Mesh Messaging App China Can’t Block: Usage Up 3685% »

Säkerhet: Supply chain-attacker ökar

IDG.se/Techworld rapporterar:

”Flera attacker på senare tid visar att hackare i allt högre grad siktar in sig på att plantera in skadlig kod i källkod som publicerats på exempelvis Github. Utvecklare måste bli bättre på att skydda sin kod.” (…)

”Supply chain-attackerna mot öppen källkod kan få stora konsekvenser då många av dessa projekt utvecklar kod för tunga och viktiga serverapplikationer för exempelvis epost- och webbservrar. Tyvärr är det enda sättet att bli av med dessa bakdörrar att bygga om hela systemet, ett arbete så betungande att många administratörer av de uppåt 100 000 system som smittats av de bakdörrar som upptäckts den senaste tiden hellre avstår.”

Länk: Skydda din kod – Supply chain-attacker mot öppen källkod ökar »

Alla register läcker. Men vissa läckor är värre än andra.

IDG.se:

»Data från fingeravtryck, ansiktsmönster och annan biometrisk data låg tills helt nyligen okrypterade på en öppen databas tillhörande plattformen Biostar 2 från Suprema. Miljontals personer är drabbade.« (…)

»Till skillnad från då användarnamn och lösenord har läckt från en databas, och de drabbade till viss del kan rädda situationen genom att byta lösenord, är det naturligtvis omöjligt att byta fingeravtryck eller ansikte.«

Länkar:
• IDG.se/Techworld: Jätteläcka av biometridata – miljontals fingeravtryck och ansiktsmönster »
• The Guardian: Major breach found in biometrics system used by banks, UK police and defence firms »

Så kan GDPR användas för att komma åt andras privata information

EU:s dataskyddsförordning – GDPR – var tänkt att ge användare ökad kontroll över sina egna data. Nu visar det sig att rätten att få ut persondata lätt kan missbrukas av andra.

Vice berättar om en student som arbetar med cybersäkerhet kunde få ut oroväckande mycket informatioin om sin flickvän (som givit honom sitt medgivande för experimentet).

He started with just Knerr’s full name, a couple of email addresses, phone numbers, and any other low-hanging fruit that he could find online. In other words, “the weakest possible form of attack,” as he put it in his paper. Then, he sent requests to 75 companies, and then to another 75 using the new data—such as home addresses—he found through the first wave of requests using an email address designed to look like that of Knerr.

Thanks to these requests, Pavur was able to get his fiance’s Social Security Number, date of birth, mother’s maiden name, passwords, previous home addresses, travel and hotel logs, high school grades, partial credit card numbers, and whether she had ever been a user of online dating services.

Nu var det inte alla företag som lämnade ut information lika lättvindigt. Men tillräckligt många för att det skall vara ett problem.

According to Pavur and Knerr, 25 percent of companies he contacted never responded. Two thirds of companies, including online dating services, responded with enough information to reveal that Pavur’s fiance had an account with them. Of those who responded, 25 percent provided sensitive data without properly verifying the identity of the sender. Another 15 percent requested data that could have easily been forged, while 40 percent requested identifying information that would’ve been relatively hard to fake, according to the study.

Att sparas under rubriken oförutsedda och oönskade konsekvenser.

Länk: Researchers Show How Europe’s Data Protection Laws Can Dox People »

Nästa stridsfråga: Hemlig dataavläsning

Enligt regeringens plan skall förslaget om hemlig dataavläsning gå till riksdagen i september. Än så länge har vi dock varken sett någon lagrådsremiss eller proposition, vilket möjligen tyder på att regeringen vet att detta kommer att bli en stridsfråga.

Vad är då hemlig dataavläsning? Från regeringens hemsida:

»Utredningens utgångspunkt har varit att hemlig dataavläsning är en metod för de brottsbekämpande myndigheterna att med någon form av tekniskt hjälpmedel i hemlighet bereda sig tillgång till en dator eller annan teknisk utrustning som kan användas för kommunikation och därigenom få besked om hur utrustningen används eller har använts och vilken information som finns i den.

Med metoden kan man komma åt både uppgifter som i dag får hämtas in med nuvarande hemliga tvångsmedel, till exempel innehåll i meddelanden, och uppgifter som i dag inte får hämtas in med hemliga tvångsmedel, till exempel uppgifter som finns lagrade i en dator eller telefon.«

Även om vissa partier vill ha en »avvägning« mellan myndigheternas påstådda behov och rätten till privatliv (vilket med nödvändighet innebär en inskränkning av rätten till privatliv) – så finns det en bred majoritet för förslaget i riksdagen.

Vilka är då problemen?

  • Staten bereder sig tillgång till medborgarnas datorer och smarta enheter och får då tillgång till bland annat alla kontakter, bilder, filmer, meddelanden, kalendrar och filer som finns på dem. Liksom kamera och mikrofon. Myndigheterna kan då även läsa krypterade meddelanden innan de krypteras eller efter att de avkrypteras. Detta är ett omfattande ingrepp i den personliga integriteten.
  • Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.
  • En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.
  • Även om regeringen menar att hemlig dataavläsning bara kommer att användas för att utreda ett fåtal allvarliga brott – så vet vi från till exempel datalagringen att det finns risk för ändamålsglidning. Det vill säga att verktyget med tiden kommer att användas för att utreda mer bagatellartade brott, där intrånget i den personliga integriteten inte står i proportion till den eventuella nyttan. Dessutom tenderar tillstånd för att använda denna typ av hemliga tvångsmedel att beviljas slentrianmässigt.

Det finns många fler invändningar, vilket bland annat påpekats av Datainspektionen och Advokatsamfundet.

Förmodligen kommer en lagrådsremiss så snart riksdagen samlas igen efter sommaren. Och då gäller det att vara inläst på argumenten, att försöka lyfta frågan i debatten och att påpeka förslagets svagheter.

/ HAX

Länk till regeringens hemsida: Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet »