Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Bra att veta innan du laddar ner den senaste corona-appen

av

Piratpartiet har en bra översikt av den nya smittspridningsapp som nu lanseras i Sverige, baserad på den brittiska Covid-19 Symptom Tracker. Här är några saker att tänka på för den som kanske funderar på att ladda ner den.

  1. Data kan lämnas ut till amerikanska aktörer.
  2. Zoe är inte speciellt tydliga med vilka uppgifter om appanvändarna som man faktiskt samlar in.
  3. Insamlad data delas med flera andra aktörer än de svenska forskare man kan ledas att tro tar del av den.
  4. Zoe anger inget slutdatum för lagring av hälsodatan.
  5. Man delar ospecificerade personuppgifter med en stor mängd tredjepartsaktörer.
  6. Man länkar inte till källkoden för appen någonstans på sin officiella sida.

Läs mer här: Ny svensk corona-app »

Mobilspårning – Vad? Hur? Varför?

av

De stora teleoperatörerna tänker dela mobilpositionsdata med EU. Förmodligen har detta redan börjat. Syftet är att följa virusets väg och utbredning. Hur man nu tänkt göra det.

Inrikesminister Ygeman verkar inte veta så mycket om det här, hänvisar till EU, kan inte ge något tydligt svar på om svenska mobilkunder omfattas – men är i stora drag positiv till verksamheten.

Till och med Vänsterpartiet – som var den sista bastionen för privatlivets helgd i riksdagen – har vikt ner sig. SR:

Tillfällig datainsamling vore positivt, anser Jens Holm, riksdagsledamot i Vänsterpartiet.

– Jag ser det här som någonting ytterst begränsat som man gör under coronakrisen som vi befinner oss i, säger han.

Moderaterna hugger till med att detta är en fråga för Folkhälsoinstitutet.

Den totala förvirringen tyder på att man befinner sig i panik. Vilket är ett dåligt tecken.

Och det hela kan ändå redan vara igång, i EU:s regi.

Vi har inte ens fått reda på vad detta egentligen handlar om, hur det är tänkt att fungera och hur man avser använda verktyget. Gäller det »bara« heatmaps över koncentration av människor och deras resor – eller kan man göra spårning ner på individnivå?

En sak kan vi dock vara rätt säkra på: När systemet väl är infört – då kommer det att bli kvar. Sedan blir det värre. Så är det i princip alltid.

Den information övervakning ger upphov till är en allt för stor frestelse för de styrande. Åter till SR:

Samarbetet får också kritik. Datadelningen kan leda till utökad övervakning av mobilanvändare, enligt aktivisten och den tidigare Pirate Bay-grundaren Peter Sunde.

– Jag tror det finns konsekvenser som vi inte hinner tänka igenom och som jag tror är farligare än smittan, säger Peter Sunde.

EU:s egen Data Protection Supervisor Wojciech Wiewiorowski säger:

– The EDPS often stresses that such developments usually do not contain the possibility to step back when the emergency is gone.

Visst, EU meddelar att datan skall vara anonymiserad. Man säger även att all data skall raderas efter krisen. Men hur kan vi vara säkra på det? Hur går det till? Det räcker inte med löften – om det inte finns någon öppenhet och insyn.

Och här måste jag undra: Om EU:s mål med mobilspårningen är att följa virusets väg och utbredning – hur är det tänkt att fungera om datan skall vara anonymiserad? Då vet man ju inte vilka av alla dem man följer som är smittade, sjuka, tillfrisknade eller friska. Vilket man knappast vet ändå, eftersom testning inte sker av hela befolkningen.

Vad man däremot kan göra är att observera befolkningens grad av rörlighet. För att kontrollera i vilken mån vi lyder. Vilket ger rätt starka Storebrors-vibbar. Men är detta verkligen skäl nog för att introducera ännu ett verktyg för övervakning av befolkningen?

Men vi verkar, som sagt, stå inför fullbordat faktum. Nu gäller att man respekterar följande punkter:

  • Man måste vara helt säker på att all data verkligen är anonymiserad.
  • Verksamheten måste upphöra så fort krisen är över.
  • Allt måste ske med total öppenhet och transparens vad gäller vilken data som samlas in, hur det sker, hur den anonymiseras, vilket syftet är och hur informationen är tänkt att användas.

Alla tre punkterna är nödvändiga krav som måste ställas – och uppfyllas.

För att slutligen påpeka det uppenbara: Mobilspårning kan missbrukas av rädda, fega, principlösa, inkompetenta eller onda makthavare. Och som verktyg för att hålla ett öga på vad folket har för sig i största allmänhet passar det naturligtvis överheten utmärkt.

Länkar:
• Politiker positiva till att spåra viruset via mobiler »
• Vodafone, Deutsche Telekom, 6 other telcos to help EU track virus »
• Corona: Mobiloperatörer delar nu platsdata med EU »

Relaterat: Europe quietly becoming a spy superpower »

Kommer smitto-krisen att leda oss in i en Storebrors-stat?

av

Den pågående smitto-krisen kan leda in i en Storebrors-stat.

Ett exempel är hur appar snabbt och enkelt kan sättas upp för att hålla koll på människors risk-status och var de befinner sig. I Kina är detta redan verklighet. I Aftonbladet beskriver Mattias Beijmo några av riskerna:

För de som tycker att stater mer fritt ska få tillgång till våra digitala fotspår är coronaviruset en gudagåva. På samma sätt som kriget mot terrorismen varit ständig förklaringsmodell för allsköns kränkningar av vår integritet, kommer nu viruset vara det som öppnar portarna för att innovativt använda appar som redan finns i vår mobil för att skydda samhället.

Så kan det säkert vara. Dagens Nyheter tycks redan driva den linjen på ledarplats. Det är bara en tidsfråga tills myndigheter och politiska partier hakar på.

När systemet sedan är infört, då är risken uppenbar att det blir kvar. För att det kan vara bra att ha. För att polisen tycker det är praktiskt. För att det underlättar planering av kollektivtrafiken. Och så vidare.

Våra mobiler är redan idag spårsändare som låter myndigheterna kartlägga var vi befunnit oss, så infrastrukturen finns redan på plats. Företag som Google och Facebook säljer redan data om användarnas beteende. Och det finns redan appar som övervakar vår hälsa.

Något större principiellt paradigmskifte är det inte heller. Med FRA-lagen är det redan klart att staten kan skanna av en stor del av våra elektroniska kommunikationer. Och med datalagringen har en princip etablerats som ger myndigheterna klartecken till att betrakta hela befolkningen som potentiella skurkar och terrorister.

Om smitto-krisen tvingar på oss en ny typ av övervakning, då står sista försvarslinjen vid hur lagstiftningen reglerar hur den får användas. Vilket inte är något absolut skydd mot missbruk av systemet. Men det enda som i så fall står mellan oss och ett dystopiskt Storebrors-samhälle.

Nu gäller det att vara uppmärksam och vaksam.

/ HAX

Vägrade avkryptera hårddisken – fri efter fyra år i häkte

av

Vi noterar att Francis Rawls vann slaget om huruvida man i USA måste uppge lösenordet till sina krypterade hårddiskar när polisen kommer på besök.

”Vann” är kanske fel ord, eftersom domstolen, Court of Appeals for the Third Circuit, menade att man i alla fall inte kan sitta fängslad längre än 18 månader för detta brott. 18 månader är dock förmodligen kortare än det straff för barnpornografibrott som Rawls skulle kunna få om han uppgav lösenordet och på sätt riskerade stärka bevisen mot sig själv.

Det finns vissa frågetecken kring den här rättsprocessen. Till exempel har det visat sig att det redan fanns en hel del bevis mot Rawls som skulle kunna få honom fälld för barnpornografibrott. Så varför agerade man inte på det man hade? Kanske för att åklagarna ville åstadkomma ett prejudikat kring huruvida man har rätt att ”glömma” lösenordet. Alltså drog man ut på rättsprocessen för att få ett svar i den frågan först, enligt en kommentator.

Läs mer

Se även vår tidigare rapportering om Rawls (augusti 2017):

Har USA kriminaliserat kryptering?

EU vill dela polisiär information med Balkan-länderna

av

»Even without imminent EU accession, all third countries in South-East Europe will gradually be connected to European information systems. They will set up a fingerprint database along the lines of the EU model and, as in the Prüm Treaty, will make it possible to query biometric data. Secret services in the Western Balkans also use the Schengen Information System through a back door.

Albania, Northern Macedonia, Serbia and Montenegro are EU accession candidates, Bosnia and Herzegovina and Kosovo are considered potential candidate countries.«

Vilket innebär att länder med bristande rättssäkerhet kan komma att få tillgång till känslig information från bl.a. svenska myndigheters register.

Länk » Western Balkans: Clandestine connection to EU databases «

EU jobbar på gemensamt system för automatisk ansiktsigenkänning

av

Ibland går det undan i EU.

Först ville EU-kommissionen införa ett tre- till femårigt förbud mot teknik för automatiserad ansiktsigenkänning på allmän plats – medan man utvärderar risker och möjligheter.

Sedan försvann detta förbud plötsligt ur de aktuella arbetsdokumenten.

Och nu: EU har givit konsultjätten Deloitte i uppdrag att utreda hur medlemsstaterna kan samordna register och system för automatiserad ansiktsigenkänning.

Från inte alls till alla alltid. En fullständig u-sväng, med andra ord.

Länk: EU police plan massive facial recognition database »

Europol hjälper EU-länder knäcka kryptering

av

Från Matthias Monroys blogg om säkerhetsarkitektur och polissamarbete i EU:

»Since last year, Europol has included the „decryption platform“ among the services offered by its newly established „innovation laboratory“. Its areas of responsibility include police handling of anonymisation and encryption on the Internet and darknet. Europol is also researching the use of quantum computers.«

Samtidigt verkar det som om spionprogramvara (statstrojaner / hemlig dataavläsning) kommer att vara den vanligaste approachen för medlemsstater som vill komma åt krypterade meddelanden.

Länk: Backdoors vs. Trojans: Europol is examining „solutions“ against end-to-end encryption »

Nej till hemlig dataavläsning

av

På onsdag (19 februari) röstar riksdagen om hemlig dataavläsning. Det vill säga att polisen (m.fl.) skall kunna installera spionprogram på människors telefoner, surfplattor, datorer, smart-tv-apparater, spelkonsoler, smarta högtalare etc.

Med dessa spionprogram kommer myndigheterna att kunna se all aktivitet på enheten i realtid samt använda kamera och mikrofon för övervakning. Man kommer dessutom att komma åt alla filer, alla bilder, alla filmer, alla kontakter, alla meddelanden, alla appar och allt annat som finns på till exempel en telefon eller dator.

Bortsett från integritetsfrågan och risken för missbruk – så är detta det starkaste argumentet för att säga nej:

  • För att kunna installera spionprogram måste polisen använda säkerhetsluckor i vår kommunikationsutrustning.
  • Det innebär att dessa säkerhetsluckor – som hotar hela vår IT-säkerhet – kommer att förbli öppna och okända.
  • Detta öppnar i sin tur dörren för cyberbrottslighet – som dataintrång, ransomware, virus, bankbedrägerier och spioneri.

Riksdagen är alltså på väg att göra hela vår IT-infrastruktur mindre säker. Och vi vet från andra länder att sådana här verktyg har en tendens att hamna i orätta händer.

Det är inte en fråga om – utan när – detta kommer att bli ett problem för såväl privatpersoner som företag, organisationer och myndigheter.

Därför bör riksdagen rösta nej till lagen om hemlig dataavläsning.

Stoppa lagen om hemlig dataavläsning!

av

I morgon, torsdag den 6 februari, har riksdagens justitieutskott sammanträde. På dagordningen finns bland annat frågan om hemlig dataavläsning – som är tänkt att klubbas i kammaren den 19 februari.

Att riksdagen inte längre bryr sig om integritet och individens rätt till privatliv är sedan länge uppenbart. Men i detta fall är man även på väg att skapa ett system med allvarliga säkerhetsbrister. Någon diskussion om dessa har i princip inte förekommit. Berörda riksdagsledamöter har inte ens kommenterat saken. Vilket både är arrogant och oroväckande.

Hemlig dataavläsning bygger på att polisen (m.fl.) skall få installera spionprogram på brottsmisstänktas (m.fl.) datorer, smartphones, surfplattor, spelkonsoler, smart-tv-apparater, smarta högtalare m.m.

Här kommer man att kunna bedriva övervakning genom kamera och mikrofon. Polisen kommer även att komma åt alla filer, alla bilder, alla filmer, alla kontakter, alla meddelanden, alla appar och allt annat som finns på till exempel en telefon. Dessutom kommer man att kunna avläsa meddelanden som sänds via krypterade meddelande-appar, genom att i realtid kunna se vad användaren skriver – och även i de aktuella apparna innan meddelanden krypterats eller avkrypterats. (Teoretiskt sett är det även möjligt att plantera eller manipulera bevis på en enhet.)

För att detta skall kunna ske behöver polisen använda sig av existerande säkerhetsluckor i vår IT-infrastruktur.

Det vill säga att säkerhetsbrister som borde anmälas och täppas igen kommer att förbli öppna.

Det innebär att systembrister, bakdörrar, zero-day-exploits, verktyg för dataintrång m.m. kommer att lämnas som de är. Vilket öppnar dörren på vid gavel för till exempel kriminella, black hat hackers och främmande makt.

Detta kommer att utsätta oss alla – privatpersoner, företag, myndigheter, organisationer – för en ökad risk för till exempel dataintrång, cyberbrottslighet, bankbedrägerier, ransomware och spionage.

Lagen om hemlig dataavläsning kommer helt enkelt att göra oss alla mindre säkra och hela vårt samhälles IT-infrastruktur mer sårbar. Och så vill vi verkligen inte ha det!

Riksdagen är just nu på väg att göra ett gigantiskt misstag. Men de politiska partierna kan inte säga att de inte blivit varnade. Det är hos dem ansvaret nu vilar – och det är där ansvar kommer att utkrävas, när den dagen kommer.

Det minsta man kan kräva är att riksdagens beslut skjuts upp genom en minoritetsbordläggning – och att man använder denna tid till att noga analysera den hemliga dataavläsningens säkerhetsproblem.

EU-miljard till forskning om övervakning

av

Privacy International har gjort en sammanställning över kända EU-finansierade projekt på övervakningsområdet.

Några exempel ur detta akronymernas helvete:

  • Prediction and Visual Intelligence for Security Information (PREVISION); €8m (2019-2021); A predictive platform running analytics through data obtained from ”online social networks, the open web, the Darknet, CCTV and video surveillance systems, traffic and financial data sources, and many more”.
  • Prediction and Visual Intelligence for Security Information (ROXANNE); €7m (2019-2022); Project aimed at identifying people in intercepted communications using face & speech identification, soon to be trialled in 9 countries.
  • Fighting Crime and TerroRism with an IoT-enabled Autonomous Platform based on an Ecosystem of Advanced IntelligEnce, Operations, and InveStigation Technologies (CREST); €7m (2019-2022); A predictive analytics platform monitoring online content and data from ”Internet of Things” (IoT) devices, and for sharing ”digital evidence based on blockchain” technology.
  • InterCONnected NEXt-Generation Immersive IoT Platform of Crime and Terrorism DetectiON, PredictiON, InvestigatiON, and PreventiON Services (CONNEXION); €5m (2018-2021); A predictive policing tool relying on social media, ’dark web’, and IoT data.
  • From mobile phones to court – A complete FORensic investigation chain targeting MOBILE devices (FORMOBILE); €6.9m (2019-2022); Another mobile phone extraction system, which will also develop ”tools” for ”the acquisition of previously unavailable mobile data, unlocking mobile devices, as well as the decoding and analysis of mobile data”.
  • Multimedia Analysis and Correlation Engine for Organised Crime Prevention and Investigation (MAGNETO); €5.3 (2018-2021); Data analytics platform to conduct tasks like relationship mapping in large datasets and predicting threats.
  • Advanced tools for fighting oNline Illegal TrAfficking (ANITA); €4.9m (2018-2021); Data analytics programme monitoring data from the internet and crypto-currencies.
  • Intelligence Network and Secure Platform for Evidence Correlation and Transfer (INSPECTr); €6.9m (2019-2022); Another analytics platform for ”gathering, analysing, prioritising and presenting key data to help in the prediction, detection and management of crime”.
  • Novel Social Data Mining Platform to Detect and Defeat Violent Online Radicalization (INSIKT); €1.5m (2017-2020); Software developed by a Spanish companies which scrapes through social media to identify terrorist propaganda.
  • Lawful evidence collecting and continuity platform development (LOCARD); €6.8m (2019-2022); A forensics system to extract data from devices for use in court, which also includes ”a crawler to detect and correlate online deviant behaviour”.
  • Video analysis for Investigation of Criminal and TerrORIst Activities (VICTORIA); €5m (2017-2020); An automatic surveillance video analysis system.
  • Analysis System for Gathered Raw Data (ASGARD); €12m (2016-2020); This project will develop, maintain and evolve a tool set for the extraction, fusion, exchange and analysis of Big Data, including cyber-offense data for forensic investigation.

Till detta kommer ett antal program för bland annat gränsbevakning och för att avskräcka flyktingar från att söka sig till Europa. Under perioden 2014-20 handlar det om c:a 80 miljoner euro, det vill säga över 800 miljoner SEK. För hela listan och utförligare beskrivning, följ länken nedan.

Om vi fokuserar på projekten ovan, då kan man räkna med att flera kommer att ingå i framtidens automatiserade, AI-styrda övervakningsapparat – kopplad till kameraövervakning med beteendeanalys, automatiserad ansiktsigenkänning i realtid och samkörd med allehanda register och övervakningssystem.

Notera för övrigt kopplingen till analys av medborgarnas aktiviteter på internet i flera av punkterna.

Om endast några av projekten ovan blir verklighet kommer vi inte bara att leva i en övervakningsstat av aldrig tidigare skådad omfattning – utan även i en automatiserad övervakningsstat, där algoritmer styr vem och vad som kommer att anses vara suspekt.

Privacy International: MONITORYOU: the MilliONs beIng spenT by the eu on develOping surveillance tech to taRget YOU »