Tysk säkerhetsskandal med ironisk twist

I Tyskland har ett antal offentliga personer, främst politiker blivit doxade. På Twitter har spridits bilder av dem från Facebook, hemliga mobilnummer, räkningar och sådant. Detta hann pågå i form av en adventskalender med en tweet varje dag under hela december månad, innan någon kom sig för att reagera.

Den 20-årige gärningsmannen är studerande och bor i sitt pojkrum hemma hos mamma och pappa. Han är nu försatt på fri fot. Vilket i sig är lite uppseendeväckande. Köpte statens högsta säkerhetsapparat verkligen förklaringen att landets ledning blivit doxad på kul, bara sådär? Håller den tyska statsförvaltningen på att utveckla humor?

Ynglingen har faktiskt medgivit ett slags politiskt motiv. Att han har doxat personer som han tycker sagt dumma saker. Sedan finns naturligtvis reservationen i att ingen från AfD blivit uthängd.

Däremot har det blivit ett himla hallå i regeringskretsar. Krismöten, presskonferenser, kraftåtgärder och muller. Av tv-nyheterna förstod jag att man nu avser att öka säkerheten. Men jag är inte riktigt säker på att det framgick hur. Eller för vem.

Kalabalik i en statsapparat som själv suger upp information om medborgarna. Som feedar amerikanska NSA & Co med astronomiska mängder insamlad data om människors kommunikationer. Och som sedan får skrivet på näsan att information läcker. Detta är närmast sedelärande.

Plötsligt dök det alltså upp en Twittrare – mitt i övervakningsstaten – som hann lägga ut lite privata data om överheten. Merkels senaste räkning från Amazon, kanske. Och säkert en hel del rätt känsliga saker.

Detta har varit huvudnyhet på tyska tv-nyheterna i flera dagar. Men ironin tycks än så länge ha gått journalistkåren förbi. Och tanken är ju faktiskt att folket skall veta allt om makten. Om överheten inte har något att dölja – då har den enligt sitt eget sätt att resonera inte heller något att frukta. Eller hur?

Men vad staten vet om medborgarna, det är allt för få bekymrade över. (Och då bor jag ändå i Tyskland, där det faktiskt finns en ideologiskt driven och rättighetsmedveten nätfrihetsrörelse.)

Samtidigt växer övervakningen av folket över tid, i takt med teknikhopp och politiska initiativ. Frågan medborgarna förr eller senare bör ställa sig är om de verkligen är redo att utelämna sig helt, inför överhetens granskande ögon.

Detta gäller ju inte bara Tyskland, utan nästan alla länder. Inte minst Sverige. Är det någon som över huvud taget har en helhetsbild av den svenska övervakningsstatens totala verksamhet och verktyg?

Hela historien om Twitter-doxaren, på engelska, med detaljer, hittar du hos The Local.de.

/ HAX

Ingen kommer undan Facebook

En majoritet (61%) av de Android-appar som testats sänder data till Facebook – även om du inte är inloggad där, eller ens har Facebook. Detta avslöjade den brittiska organisationen Privacy International på Chaos Communication Congress i mellandagarna.

Facebook routinely tracks users, non-users and logged-out users outside its platform through Facebook Business Tools. App developers share data with Facebook through the Facebook Software Development Kit (SDK), a set of software development tools that help developers build apps for a specific operating system. Using the free and open source software tool called ”mitmproxy”, an interactive HTTPS proxy, Privacy International has analyzed the data that 34 apps on Android, each with an install base from 10 to 500 million, transmit to Facebook through the Facebook SDK.

Detta kan alltså ha drabbat upp till en halv miljard användare världen runt.

Facebook lägger i sin tur ansvaret på app-utvecklarna. De säger också att detta inte är något som är specifikt för Facebook, utan att samma sak gäller för till exempel Amazon, Google och Twitter.

Detta väcker principiellt viktiga frågor. Är det över huvud taget möjligt för Andriod-användare att använda sina telefoner och plattor utan att mata nätjättarna med (ofta känslig) privat data? Med vilken rätt samlar man in data om användare som inte givit sitt samtycke?

I ett vidare perspektiv kan man även konstatera att det är ytterst oklart i vilken utsträckning nätjättarna delar information med olika myndigheter. (För att de måste, eller för att de helt enkelt säljer information till dem.)

Detta kan bli ett viktigt test vad gäller EU:s dataskyddsförordning, GDPR. Och det kan då komma att bli riktigt dyrt för Facebook.

För vanliga användare finns bara en slutsats att dra: Använder man modern teknik, då måste man alltid utgå från att det resulterar i att nätjättarna samlar in persondata om oss. Data, som sedan kan komma att delas med andra.

Länkar:
• Privacy International: How Apps on Android Share Data with Facebook – Report »
• Video, ljudfiler och slides från PI:s presentation på CCC »
• ZDNet: Privacy International hits out at unconsented Facebook tracking within apps »
• Computer Sweden: Populära appar skickar data till Facebook – även om du inte har ett konto »

/ HAX

EU-miljoner till white hat-hackare

Piratpartiets tyska ledamot av Europaparlamentet skriver på sin blogg…

In January the European Commission is launching 14 out of a total of 15 bug bounties on Free Software projects that the EU institutions rely on. A bug bounty is a prize for people who actively search for security issues. The amount of the bounty depends on the severity of the issue uncovered and the relative importance of the software. The software projects chosen were previously identified as candidates in the inventories and a public survey.

Se där vad som kan hända när man väljer in folk som begriper vad de sysslar med i parlamentet. Här görs inte bara EU:s tekniska infrastruktur säkrare – utan hela vår IT-ekosystem, eftersom detta handlar om teknik som vi alla är beroende av.

Länk: In January, the EU starts running Bug Bounties on Free and Open Source Software »

Säpo kräver datalagring och trojaner

Samtidigt som polisens användning av hemliga tvångsmedel (avlyssning) ökar, vill Säkerhetspolisen ha mer övervakning.

I ett pressutspel pekar Säpos chef, Klas Friberg, på tre punkter.

Den kanske minst kontroversiella punkten är att ge Säkerhetspolisen rätt att ta del av uppgifter från signalspaning även under pågående förundersökning. Detta är en konsekvens av FRA-lagstiftningen, som jag aldrig riktigt lyckats förstå. Om man ändå redan bedriver signalspaning är det bara märkligt denna information – som man alltså ändå samlar in – inte får användas i pågående förundersökningar. Eller missar jag något här?

Nästa punkt är att Säpo vill att datalagringen – som EU-domstolen upphävt på grund av att den strider mot grundläggande mänskliga rättigheter – skall återupptas.

Vilket får mig att undra: Om Säpos uppgift är att försvara den svenska demokratin, varför envisas man då med att vilja ha verktyg för övervakning som EU:s högsta domstol anser vara i strid med den demokratiska rättsstatens principer?

Den tredje punkten handlar om kryptering och stats-trojaner. Säpo ogillar kryptering, eftersom den gör det svårare för dem att övervaka folk. Samtidigt är kryptering ett viktigt, ofta nödvändigt verktyg för företag, organisationer och individer.

Att skapa bakdörrar till kryptering vore att underminera säkerheten för alla, inklusive för centrala samhällsfunktioner. Det skulle öppna dörren för allehanda cyberbrottslingar och främmande stater.

Detta vill Säpo lösa genom så kallad hemlig dataavläsning, det vill säga en stats-trojan. Genom att i hemlighet installera spionprogramvara på folks datorer, plattor och telefoner vill man kunna avlyssna, övervaka och se alla filer och allt som görs på enheten. På så sätt kommer man bland annat att komma åt information när den – i okrypterat tillstånd – skrivs in eller läses.

Återigen handlar detta om ett verktyg som – när det hamnar i orätta händer, vilket det förr eller senare kommer att göra – försämrar säkerheten för alla. Det är rena drömmen för brottslingar, spioner och trollfabriker.

Säpo borde vara angeläget om att öka IT-säkerheten, inte medvetet försvaga den.

Slutligen: Det är ingen som protesterar mot att man övervakar människor som är misstänkta för brott eller som utgör en påtaglig fara för andra. Men detta måste gå att lösa utan svepande massövervakning av hela folket – och utan att underminera vårt samhälles IT-säkerhet.

/ HAX

Online-event: How Encryption Saves Lives and Fuels our Economy

Tisdag den 27 november håller New America’s Open Technology Institute ett event med temat: How Encryption Saves Lives and Fuels our Economy.

Crypto Wars 2.0 has gone global. For five years, advocates for strong encryption have been locked in a debate with U.S. law enforcement officials over their demands that companies build encryption backdoors into their products. Yet both here and abroad, in countries like the U.K., France, and Australia, the focus has primarily been on whether it is feasible to build a secure backdoor. But what about the potential human costs of an encryption backdoor?

Bland programpunkterna:
• The Faces Behind the Algorithms: The Real People Encryption Protects
• A Discussion on Human Rights and the International Crypto Debate
• How Encryption Backdoors Would Affect Consumers and Innovation

Här kan du läsa mer, boka in en påminnelse för att följa eventet live / titta direkt den 27 november kl 18 »

 

Europaparlamentet kräver mer övervakning

Hur skall EU hantera terrorismen? Den frågan har stötts och blötts i ett specialinrättat utskott i Europaparlamentet – European Parliament’s Special Committee on Terrorism, förkortat TERR. Till skillnad från parlamentets övriga utskott har TERR de flesta av sina möten bakom stängda dörrar.

Nu har man producerat en rapport. Parlamentets egna initiativrapporter är egentligen rätt meningslösa papper. De har ingen lagstiftande effekt, utan sänds helt enkelt över till EU-kommissionen och andra eventuellt intresserade för påseende. Parlamentet tycker saker, helt enkelt.

Men ibland kan en sådan rapport användas för att EU:s enda folkvalda förtroendemän (ledamöterna i parlamentet) förväntas legitimera kontroversiella saker som EU-kommissionen och medlemsstaterna i ministerrådet redan jobbar med. Vad gäller rapporten från TERR tyder mycket på att den är just ett sådant beställningsarbete.

Till exempel kan TERR-rapporten kan användas för att backa upp EU-kommissionens förslag om nätcensur, som lades fram den 12 september.

Frankrikes president, Emanuel Macron, har för övrigt redan meddelat att EU-valet nästa vår till stor del kommer att handla om att sätta koppel på internet. Även här passar TERR-rapporten väl in i pusslet.

Bland de förslag som vädras finns bland annat utökad datalagring, urholkat krypteringsskydd, utökad registrering av medborgarnas resor – och inte minst en ny, gigantisk Storebrors-databas för hela EU.

Det har lagts fram 1.519 ändringsförslag till rapporten. En del är bra, andra förfärliga. Problemet med så omfattande voteringar är att de blir fullständigt kaotiska – och därmed lätta att styra från presidiet.

I en kritisk kommentar skriver EDRi:

”The fact that the TERR Committee draft’s “spontaneously” chose to propose similar wording to what the Commission proposed is important. It means that the two rapporteurs have led the European Parliament a long way towards adopting a position that fully aligns with the terms of the proposed Terrorist content Regulation before the vast majority of Parliamentarians were aware of what the Commission was about to propose as binding legislation. If deliberate, this would be a serious attack on institutional integrity of the European Parliament.”

I oktober och november bereds TERR-rapporten i sitt hemliga specialutskott. Preliminärt väntas den komma upp till votering i Europaparlamentets plenum i december.

Även om rapporten inte är lagstiftning måste den kritiseras, helst röstas ner – då den öppnar dörren för så mycket andra Storebrors-påfund.

 

Läs mer hos EDRi: EU Parliament’s anti-terrorism draft Report raises major concerns »

Säkerhetskris hos nätjättarna

Nätjättarna fortsätter att dras med säkerhetsproblem.

Facebooks senaste säkerhetslucka antyder att man faktiskt inte riktigt har grepp om vad man sysslar med. I The Guardian skriver kulturkritikern Rachel Withers…

”This latest blunder also builds on our picture of Facebook as unreliable and undependable, but this time it’s because they can’t protect us, not because they won’t. The Cambridge Analytica story was shocking but unsurprising: it revealed that Facebook didn’t care about our data, except insofar as it could sell it off, packaging it up for the consumption and use of the highest bidder. (…)

But in this case, it’s not just Facebook’s callousness and carelessness that’s been revealed: it’s their incompetence. Facebook missed serious holes in their security system. People didn’t (or no longer) expect Facebook to look out for them, but they thought Facebook was smarter than this.”

Samtidigt har Google drabbats av säkerhetsproblem, som leder till att man nu kommer att stänga ner Google+.

Vad som är extra allvarligt i detta fall tycks vara att Google känt till säkerhetsluckan men låtit bli att informera användarna. Vilket ju är en taktik som aldrig håller i längden.

Engadget skriver…

”Following a massive data breach first reported on by The Wall Street Journal, Google announced today that it is shutting down its social network Google+ for consumers. The company finally admitted that Google+ never received the broad adoption or engagement with users that it had hoped for — according to a blog post, 90 percent of Google+ user sessions last for less than five seconds. In light of these newly revealed security concerns with Google+’s API, the company has opted to put it out of its misery over the next ten months rather than try and make the social network more secure.”

Lite känns det som att Google fick en anledning att stänga ner G+. Vilket är tråkigt. Även om G+ aldrig riktigt fått luft under vingarna och även om det är en rätt osexig plattform, så har det ändå varit ett alternativ. Nu knuffas än fler användare över till Facebook, där våra data inte heller är säkra.

Det är på allvar hög tid för nya decentraliserade sociala plattformar, som bygger på öppen källkod och som sätter sina användares säkerhet och privatliv i främsta rummet.

Efail

EFAIL är här – avaktivera din PGP-plugin!

Tyska forskare har upptäckt en sårbarhet i PGP, den 27 år gamla krypteringsstandarden för epost. På webbplatsen Efail.de presenterar de sina resultat, som i korthet går ut på att en angripare kan passa på och läsa krypterade mejl efter att användarens epostklient avkrypterat dem genom ett insticksprogram (plugin) för PGP. Rådet är därför att tillsvidare avaktivera sådana insticksprogram.

Amerikanska Electronic Frontier Foundation sammanfattar denna potentiella megafail och berättar att de själva förlitar sig på PGP i sin kommunikation – både internt och externt.

Tills sårbarheten är tätad gör man bäst i att kryptera och avkryptera manuellt, eller kommunicera över andra krypterade kanaler. OTR-krypterad XMPP-chatt är ett bra alternativ – använd gärna 5 juli-stiftelsens jabberserver!

Podcast: Premiär för boksnack!

5 juli-podden goes bokcirkel, typ, och först ut är Kevin Mitnicks bok The Art of Invisibility.

Boken blir vår utgångspunkt för ett samtal om personlig it-säkerhet: Truecrypt och Veracrypt, evil maid- och cold boot-attacker, USB rubber ducky och inte minst de ack så viktiga USB-kondomerna.

Är boken då läsvärd? Nej. Varför får du höra i avsnittet.

Vi nämner även boken Dark Territory: The Secret History of Cyber War av Fred Kaplan.

Githubprojektet vi nämner är sshluks: LUKS crypto containers over SSHFS on untrusted remote storage.

Vi hälsar Karl Ståhl välkommen till 5 juli-podden, som leds av Karl Andersson som en del av 5 juli-stiftelsens arbete för ett fritt internet.

Inspelat i Stockholm och Berlin fredagen den 16 februari 2018.

Ladda ner

68: Premiär för boksnack! (MP3)

Strava global heatmap

Data från fitnessappar kan avslöja militärer

Fitnessappen Strava har hamnat i blåsväder sedan det visat sig att deras globala ”heat map” visar var amerikanska soldater i krigsområden tar sin morgonjogg. Washington post förklarar hur:

In war zones and deserts in countries such as Iraq and Syria, the heat map becomes almost entirely dark — except for scattered pinpricks of activity. Zooming in on those areas brings into focus the locations and outlines of known U.S. military bases, as well as of other unknown and potentially sensitive sites — presumably because American soldiers and other personnel are using fitness trackers as they move around.

En heat map – eller värmekarta – visar vilka sträckor som är mest populära bland appens användare; ju fler som använt sin GPS för sin cykeltur eller löprunda på en viss väg, desto tydligare syns den vägen på kartan. Så här ser Stravas heat map för centrala Stockholm ut:

Strava heat map Stockholm

Strava har nu svarat på kritiken genom att be användarna i känsliga områden att göra sina aktiviteter privata – då används de inte i värmekartan nämligen. Företaget antyder också att de kan komma att samarbeta med militären:

We take the safety of our community seriously and are committed to working with military and government officials to address sensitive areas that might appear.

Slutligen tipsar Strava sina användare om en äldre bloggpost som visar hur man gör sin profil eller sina aktiviteter privata.

Kommentar

Det finns fler skäl än militära hänsyn att se över sina inställningar i GPS-appar. Skulle det till exempel vara möjligt att försäkringsbolag använder ens GPS-data i en rättegång efter en olycka för att leda i bevis att man cyklat alldeles för fort – vid olyckstillfället eller kanske i största allmänhet? Att man cyklat mot enkelriktat eller har för vana att undvika cykelbanor? Tja, vem vet. GPS-apparna är ännu i sin linda, men själv har jag som mångårig användare av just Strava sedan länge gjort min profil privat.