Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Nätcensur, uppladdningsfilter, datalagring och åtgärder mot kryptering krav från EU:s ministerråd

av

Fredag den 13 november höll EU:s justitie- och inrikesministrar ett ministerrådsmöte online. Vad gäller kampen mot terrorismen gjorde man ett gemensamt uttalande, som bland annat innehåller följande:

  • Användning av artificiell intelligens (ingen närmare förklaring ges dock).
  • Datalagring – trots att EU:s datalagringsdirektiv underkänts av EU-domstolen för att det strider mot de mänskliga rättigheterna. (Det har redan kommit signaler från EU-kommissionen om ett nytt direktiv.)
  • Ökad insamling, delning och analys av data.
  • Förstärkning av Europol.
  • Nätcensur och uppladdningsfilter (förordningen om terror-relaterat innehåll online, TERREG/TCO).
  • Man välkomnar EU-kommissionens arbete med att skapa EU-gemensamma regler mot hat och hets mot folkgrupp.
  • Åtgärder för att komma åt innehållet i krypterade meddelande-appar.
  • Åtgärder mot radikalisering i online-spel och mot »algoritmisk förstärkning« i samarbete med EU Internet Forum-.

Mer konkreta och möjligen också fler förslag kommer på nästa möte, i början av december. Vilket även är den tid då EU-kommissionen planerar att presentera sin Digital Services Act, DSA.

Inför fredagens möte kunde riksdagens EU-nämnd inte diskutera och ge förhållningsorder som vanligt – då regeringen inte vill sända ut (de innan mötet) hemligstämplade dokumenten via e-post. Vilket ställde till det då en stor del av riksdagen är hemförlovad på grund av corona-pandemin. Därför kunde EU-nämnden inte ge instruktioner, vilket är olyckligt – då den vid tidigare tillfällen avfärdat bl.a. uppladdningsfilter. Här kan du lyssna på ett inslag i SR Ekot om saken »

Striden om krypteringen står här och nu

av

Varje gång ett terrorattentat sker flyttar politikerna fram övervakningsstatens positioner. Nu vill EU:s ministerråd ge myndigheterna »bakdörrar« till krypterade meddelande-appar – och i vidare mening ge sig efter kryptering som sådan, hur nu det är tänkt att gå till.

Det är rätt uppenbart att det är underrättelsetjänsterna i EU:s medlemsstater som är pådrivande. Med en svans av olika myndigheter som anser sig ha nytta av att ta del av medborgarnas kommunikationer. Nyfikenhetsbranschen.

Naturligtvis spanar man också efter terrorhot – även om de flesta terrordåd i Europa utförts av redan kända potentiella terrorister. Övervaka gärna sådana element, noga. Men offra inte alla vanliga människors rätt till privat kommunikation.

För övrigt har polisen i de flesta länder (inklusive Sverige) rätt att ägna sig åt hemlig dataavläsning vad gäller personer som är misstänkta för något riktigt allvarligt. Med denna teknik övervakas den tekniska enheten – när den visar användaren meddelanden i klartext innan de krypterats eller efter att de av-krypterats. Så polisen saknar inte verktyg.

Det börjar alltid med att man säger att man måste ha en viss form av övervakning för att kunna skydda den befolkning man själva skrämmer upp. Ta till exempel datalagringen. Den skulle bara få användas för att stoppa terrorister och grov organiserad brottslighet. Men istället kom den främst att användas för att jaga fildelare. Även Skatteverket märks bland de mest entusiastiska användarna. Övervakningslagar drabbas alltid av ändamålsglidning.

Historien lär oss att nästan vad som helst kan hända och just nu lever vi i turbulenta tider. Vem som betraktas som statens fiende behöver inte vara densamma idag som i morgon. Det är en definitionsfråga och ett politiskt beslut. Och vi har ingen aning om när vi får vår första seriöst auktoritära regering. Men det är troligt att det kommer att ske, förr eller senare. Vill vi att den skall ha rätt att ta del av medborgarnas privata kommunikationer?

Naturligtvis är den härskande politiska klassen nyfiken. (Att det till exempel heter Försvarets Radioanstalt döljer dels att det är en civil myndighet, dels att regeringskansliet och UD är storkunder.) Övervakning är en oemotståndlig godispåse för politiker och byråkrater. Så att de vet vad vänner och fiender har för sig. Information är makt.

Hur tänker man gå runt krypteringen?

Så nu går man fram på bred front. Five Eyes-samarbetet (underrättelsetjänsterna i USA, UK, Kanada, Australien & Nya Zeeland), EU:s ministerråd plus spridda länder som Japan och Indien gör något slags samordnad attack mot kryptering. Till och med formuleringarna i de dokument som läggs fram är i delar de samma.

Enkelt uttryckt handlar det om att den som driver en meddelande-app kan komma att tvingas hjälpa till att av-kryptera användares meddelanden genom att tillhandahålla en nyckel när myndigheterna gör en man-in-the-middle-attack.

Om detta är tekniskt möjligt tänker man inte ta någon hänsyn till. Och man struntar uppenbarligen i att bakdörrar och säkerhetsbrister även kan utnyttjas av till exempel kriminella, terrorister och främmande makt.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»Contrary to what governments would have us believe, we have to choose between interception and security. Those who want to sacrifice secure encryption in order to enable eavesdropping will destroy the protection of private secrets, business secrets and state secrets, and open the door to mass-spying by foreign intelligence services as well as hacker attacks. There is no such thing as a ‘partial backdoor’ to online communications. The security of all our communications must be given priority. This has been the clear position of the European Parliament since 2017.«

Det verkar dock som om ministerrådet i nuläget inte tänker ge sig på P2P-kryptering av vanlig e-post. I den mån det alls är möjligt.

Vad händer nu?

Österrikiska Radio FM4 har en utmärkt sammanfattning, här i en förvånansvärt bra Google-översättning från tyska:

»According to the document – any final objections are requested – this resolution of the Council of Ministers is not only almost completely formulated. It has apparently already been voted on in the Council. On November 19, it is to be adopted in the Council Working Group on Cooperation in the National Security Sector (COSI); on November 25, it is planned to submit it to the Council of Permanent Representatives of the EU Member States (COREPER). There the council decision already has the status of an I-item, so it can pass without further discussion.

The decision will then be celebrated in a virtual meeting of the Council of Interior and Justice Ministers planned for the beginning of December. What will follow is clear, namely an order from the Council of Ministers to the EU Commission to draw up a draft regulation, which will then go through the usual procedure by Parliament and the Council.

In view of the apparent unanimity, however, it would be possible in the Council of Ministers to implement the planned regulation in its core even without the involvement of Parliament. That has already happened in connection with surveillance. The famous decision in the Council’s Fisheries Committee of 1995 on the monitorability of the then new GSM networks was carried through as an A-Item (decided matter), of which the EU Parliament only became aware after it came into force in 1996.«

Tack och lov är Europaparlamentet denna gång medvetet om vad som är på väg att ske. Men samtidigt finns det skäl att tro att ministerrådets linje har stöd i parlamentets större partigrupper.

Detta är ett generalangrepp på vår rätt till säker krypterad personlig kommunikation, till privat korrespondens. Vill vi försvara denna rätt – då är det hög tid att ta striden, här och nu.

Länkar:
• Sweclockers: EU kan kräva krypteringsnycklar till meddelandeappar »
• Radio FM4: Auf den Terroranschlag folgt EU-Verschlüsselungsverbot »
• EU:s ministerråd: Draft Council Resolution on Encryption – Security through encryption and security despite encryption (PDF) »
• MEP Patrick Breyer, PP, DE »
• MEP Patrick Breyer frågar ut ministerrådets talesman (video) »

Filmindustrin till attack mot Tor och VPN

av

Är du ”pirat” om du tittar på en streamingtjänst som du själv betalt för? Enligt filmindustrin är svaret ja, i vart fall ibland.

TorrentFreak rapporterar:

”The Motion Picture Association says that circumvention services such as VPNs, DNS masks and Tor networks can pose a direct threat to legitimate streaming services.” (…)

”While many of the concerns and complaints are not new, there are a few that stand out, starting with the MPA’s concern about ‘circumvention services’ such as VPNs and the Tor Network, which can be used by ‘geolocation pirates’.”

En ”geolocation pirate” kan till exempel vara någon som ser på sin vanliga – betalda – stremingtjänst från ett annat land under resa eller semester. Eller den som flyttat till ett visst land, men som av språkliga (dubbning, textning) skäl vill ha tillgång till t.ex. sitt ursprungslands Netflix.

Sedan används ibland VPN för att titta på stremingtjänster som visar material som bara är tillgängligt i ett annat land. Men är det verkligen ett jättelikt problem – om den som tittar faktiskt betalar för det?

Är ”geolocation piracy” över huvud taget ett stort problem? Och är det i så fall ett tillräckligt stort problem för att stoppa Tor och VPN-tjänster som används för säker kommunikation, för att kringgå censur, för att oppositionella i vissa länder skall kunna uttrycka sig anonymt, för att ge kineser och andra förtryckta folk tillgång till nyheter från omvärlden – eller för att ta del av innehåll på nätet som ingen annan har något med att göra?

Som vanligt är nöjesindustrin villig att offra ett fritt och öppet internet på upphovsrättens altare.

TorrentFreak – Movie Industry: VPNs and Tor Pose a Threat to Legitimate Streaming Platforms »

Ett oväntat hinder för övervakningsstaten: 5G

av

Som vi tidigare rapporterat satsar EU nu på att knäcka eller kringgå kryptering av meddelanden. Även länderna i det så kallade Five Eyes-samarbetet (US, UK, Kanada, Australien och Nya Zeeland) satsar på att skapa bakdörrar till kryptering. Japan och Indien är andra länder som satsar på området.

Utöver att bakdörrar till kryptering gör hela vår IT-infrastruktur osäker – så finns det ett problem som övervakningsstaten måste lösa först: 5G.

Statewatch rapporterar:

»A new senior police working group will try to advance the police demand to retain wiretapping abilities with 5G technology. However, the technical architecture of 5G makes this extremely difficult, if not impossible. The German Presidency is seeking formal recognition from the Council’s Law Enforcement Working Party for this new body, named the ’European Heads of Lawful Interception Units’. As well as EU and Schengen states, the UK will apparently also be involved.«

Det visar sig alltså att 5G-tekniken är ett påtagligt hinder för övervakning och avlyssning.

Och då har massövervakningens vänner ett mer akut problem än kryptering att hantera. Skall man över huvud taget kunna knäcka ett krypterat meddelande, då måste man ju komma åt det först.

Om 5G omöjliggör traditionell övervakning, då måste myndigheterna förmodligen kapa (den fortfarande krypterade) trafiken där den övergått i kabel på väg in till meddelandetjänsten. Förmodligen i samarbete med varje respektive meddelandetjänst, som vanligtvis finns i andra jurisdiktioner.

Det blir krångligt att hantera, om alls möjligt. Därav EU:s nyvaknade intresse för hemlig dataavläsning (stats-trojaner med tillgång till allt som finns och sker på en dator, smartphone eller annan enhet). Men i stor skala kan sådan nog bara genomföras med för ändamålet förinstallerad mjuk- eller hårdvara. Vilket i sin tur rimligen bör kräva lagstiftning, i en öppen demokratisk process.

Vi får se om förslaget till EU:s nya Digital Services Act ger några ledtrådar, när det släpps i början av december.

Flash: Förslag om digitalt EU-ID

av

EU-kommissionens ordförande Ursula von der Leyen har just levererat sitt första linjetal i Europaparlamentet.

Bland annat flaggar hon för en europeisk digital identitet.

Tanken har varit uppe länge. Bland annat har det talats om att det skall krävas ett EU-ID för att kunna koppla upp sig på internet.

Detta kan bli ett hot såväl mot rätten till privatliv / anonymitet som ett verktyg för att kringgå kryptering (nycklar kopplade till EUeID).

Nu är det dags att vara vaksam.

EU och Europol satsar på att knäcka kryptering

av

EU-kommissionen arbetar just nu på en ny studie om hur man kan forcera end-to-end-krypterade meddelanden.

Europols European Centre for Cybercrime (EC3) i Haag arbetar redan med att knäcka krypterat innehåll och krypterade lagringsmedia. Enligt uppgift lyckas man i 39% av fallen. Målet är att i framtiden även kunna forcera krypterade meddelanden.

Matthias Monroy skriver på sin blogg:

»In the future, the „decryption platform“ is to use supercomputers of the European Union. For this purpose, Europol has concluded an agreement with the Joint Research Centre of the EU Commission, according to which the attacks on encrypted content are to be carried out in Ispra, Italy, at Lake Maggiore. Europol says, however, that the commissioning of the facility, which was planned last year, has been delayed and is now to take place in the summer of this year. Problems have therefore arisen with the secure connection between Ispra and Europol’s control room in The Hague.«

En särskild expertgrupp har nu tillsatts för att ta sig an frågan om krypterade meddelanden. I ett dokument från EU-kommissionen flaggas även för en ny approach. Monroy:

»Internet service providers such as Google, Facebook and Microsoft are to create opportunities to read end-to-end encrypted communications. If criminal content is found, it should be reported to the relevant law enforcement authorities. To this end, the Commission has initiated an „expert process“ with the companies in the framework of the EU Internet Forum, which is to make proposals in a study.«

Detta är intressant. Man vill alltså tvinga nätjättarna att läsa krypterad kommunikation. Vilket kan bli komplicerat för de företag som valt system för kryptering som inte ens de själva kan knäcka. Om de sedan hittar något misstänkt skall det anmälas till relevanta myndigheter.

Utöver att staten bereder sig tillgång till medborgarnas privata kommunikation (och därmed kränker rätten till privatliv och privat korrespondens) innebär knäckt kryptering ett mindre säkert internet för oss alla – oavsett om det handlar om bakdörrar eller att forcera krypterad kommunikation. Sådana verktyg blir, förr eller senare, även tillgängliga för andra – som kan ha en helt annan agenda. Till exempel bör man komma ihåg att en läcka avslöjade många av de verktyg för övervakning och dataintrång som används av amerikanska myndigheter – vilka nu hamnat i händerna på kriminella element runt om i världen.

Länk: European Commission starts new attack on end-to-end encryption »

TikTok och storpolitiken

av

»Lika illavarslande är att när ingreppen kommer från presidenten skapas krav på tacksamhet och lojalitet från företagens sida, vilket lätt slår över i ett likriktat medieklimat. För Trump är detta en föga dold ambition, han är särskilt kritisk mot företag som äger medier som kritiserar honom.

Den fria världen är under sådant styre på väg att underminera sina unika fördelar: lagstyre, fri konkurrens, medial pluralism och öppenhet mot omvärlden – kanske till och med den en gång så starka dominansen inom popkulturen.«

Mattias Svensson i DN: Tiktok påminner om att popkultur är storpolitik och att den fria världen har motvind »

Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

av

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Regeringen vill smyglansera automatiserad ansiktsigenkänning

av

SVT rapporterar:

»Efterlysta personer eller misstänkta för allvarlig brottslighet ska avslöjas vid gränsen – genom ansiktsigenkänning. Det föreslår regeringen i ett nytt lagförslag som ska göra det möjligt för polisen att testa tekniken på Skavsta flygplats.« (…)

»Passagerare kommer att fotograferas vid gränskontrollen. Med hjälp av biometrisk ansiktsverifiering jämförs bilden sedan med den biometriska bild som finns lagrad på en minneskrets i passagerarens pass.«

I sig är detta kanske inte så uppseendeväckande: Man vill kontrollera att personen vid gränskontrollen är samma person som i passet.

Justitieminister Morgan Johansson (S) säger »Jag tror att det finns en stor förståelse bland svenska folket för att vi behöver den här tekniken vid våra gränspassager.«

Detta är en trojansk häst.

Regeringen banar väg för automatiserad ansiktsigenkänning genom en någorlunda rimlig applikation som kan antas vara godtagbar eller rent av önskvärd bland befolkningen.

Men automatiserad ansiktsigenkänning kan även vara ständig övervakning och spårning av alla som rör sig i samhället, i realtid. Det kan vara automatiserad registrering eller identifiering av deltagare på ett politiskt möte. Det kan vara skattemyndigheten som vill snoka i dina förehavanden. Det kan vara myndigheter som vill bygga sociogram ör att kartlägga människors förhållande till varandra. Och som vanligt kommer antalet falska positiva att vara överväldigande – även om träffsäkerheten skulle vara 99%, vilket inget system kommer i närheten av idag.

Om vi skall ha gränskontroller är det naturligtvis rimligt att man kan kontrollera att den inresande är den han eller hon uppger sig vara i sin identitetshandling. Men det gäller att se upp, så att detta inte blir en bakdörr för att öppna upp för en teknik för massövervakning och kontroll av vanligt, hederligt folk.

SVT: Regeringen vill testa ansiktsigenkänning på svensk flygplats »

EU:s samordnare mot terrorism vill se EU-lag för att kringgå kryptering

av

EU:s samordnare mot terrorism, belgaren Gilles de Kerchove vill att den nya Digital Services Act skall omfatta lagstiftning om kryptering.

Enligt tyska Netzpolitik vill han att service providers skall åläggas att tillhandahålla läsbar, okrypterad tillgång till meddelanden som myndigheterna är intresserade av.

Netzpolitik skriver (med reservation för översättningen):

»Kryptering är inte bara allmänt förekommande på Internet, den är också viktig. Den skyddar konfidentialitet och äkthet mot allestädes närvarande attacker från alla – såväl underrättelsetjänster som brottslingar. Det finns ingen kryptering som kan de-krypteras av polisen i Berlin och Budapest, men inte av internetbrottslingar och ryska myndigheter. de Kerchove känner till detta dilemma, men han ignorerar det. Han kräver en ”optimal lösning” som gör det möjligt för användare att ”njuta av fördelarna med kryptering när det gäller integritet och dataskydd”, samtidigt som den europeiska polisen och underrättelsetjänsterna får tillgång till okrypterat innehåll. Han säger inte hur den lösningen ska se ut – eftersom den inte existerar. Han förnekar att han vill ha en statlig bakdörr, som enligt hans definition skulle vara ”permanent tillgång” för stater. Istället vill han ha åtkomst när polis och underrättelsetjänster begär ut  okrypterad data, vilket han kallar ”en ytterdörr”. Denna definitionsmässiga akrobatik förändrar inte det grundläggande problemet: kryptering skyddar antingen mot alla – eller mot ingen.«

Debatten står med andra ord och stampar på samma ställe som för tio år sedan.

»de Kerchove kritiserar att tillverkare som Google introducerar kryptering utan att först be EU om tillstånd. Han kräver en ”laglig skyldighet för leverantörer” att ”arbeta tillsammans med statliga myndigheter på teknisk nivå” och diskutera deras kryptering tillsammans.«

Att de Kerchove ger sig in i debatten just nu beror naturligtvis på att han vill ha in lagstiftning om kryptering i EU:s nya Digital Services Act, som just nu håller på att utformas.

Artikeln avslutas med en engelskspråkig text som ger en översikt över krypteringsfrågan i EU.

Netzpolitik: Anti-Terror-Koordinator der EU fordert Gesetz gegen Verschlüsselung »