Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Tyska »statstrojaner« till författningsdomstolen

av

I Tyskland har Gesellschaft für Freiheitsrechte (GFF) anmält bruket av så kallade statstrojaner till författningsdomstolen.

Det handlar om program som myndigheterna kan låta installera på datorer, telefoner, plattor och andra enheter för att till exempel övervaka och avlyssna dess användare. Detta är relevant även för oss, då regeringen just nu förbereder en svensk variant – hemlig dataavläsning.

»As a form of government surveillance, state trojans present unique and grave threats to privacy and security. It has the potential to be far more intrusive than any other surveillance technique, permitting the government to remotely and surreptitiously access personal devices and all the intimate information they store. It also permits the government to conduct novel forms of real-time surveillance, by covertly turning on a device’s microphone, camera, or GPS-based locator technology, or by capturing continuous screenshots or seeing anything input into and output from the device. The use of trojans allows governments to manipulate data on devices, by deleting, corrupting or planting data; recovering data that has been deleted; or adding or editing code to alter or add capabilities, all while erasing any trace of the intrusion. These targets are not confined to devices. They can extend also to communications networks and their underlying infrastructure.

At the same time, the use of state trojans has the potential to undermine the security of targeted devices, networks or infrastructure, and potentially even the internet as a whole. Computer systems are complex and, almost with certainty, contain vulnerabilities that third parties can exploit to compromise their security. Government use of state trojans often depends on exploiting vulnerabilities in systems to facilitate a surveillance objective. Government hacking may also involve manipulating people to interfere with their own systems. These latter techniques prey on user trust, the loss of which can undermine the security of systems and the internet.«

Statewatch: GFF Challenge to use of government spyware (Germany) »

Tysk polis stormar cyber-bunker

av

Med 600 (!) poliser har tyska myndigheter slagit till mot en cyber-bunker i närheten av Mosel-dalen.

ArsTechnica:

»On September 26, a data center in a former NATO military bunker in the town of Traben-Trarbach, Germany, was raided by police, according to a report by the Associated Press. Set up by a man whom authorities describe as a 59-year-old Dutchman, the ”CyberBunker” offered ”bulletproof” hosting services—promising to keep hosted sites secure from law enforcement actions and operational regardless of legal demands.«

Länk: German police seize “bulletproof” hosting data center in former NATO bunker »

Nice – Frankrikes mest övervakade stad

av

Politico rapporterar:

»The deployment of more than 2,600 CCTV cameras was just a first step. In February, Nice became the first French city to start trialing facial recognition tools in its streets thanks to cameras that scanned the faces of thousands of adults attending a carnival, matching their likenesses against a database of faces as part of a large-scale experiment.

Now, the regional authority that runs schools around Nice is waiting for an opinion from regulators for another first: deploying facial recognition at the entrances of two regional high schools, in an experiment that has led to howls of protest from parents, teachers’ unions and privacy activists.«

Taking the nice out of Nice.

Länk: How facial recognition is taking over a French city »

När staten vill kompromissa bort medborgarnas skydd mot staten

av

Det talas ständigt om att skapa en »balans« mellan övervakning och grundläggande mänskliga och medborgerliga rättigheter. Nu senast dyker tanken upp i EU:s arbetsdokument för den nya mandatperioden.

Ministerrådet:

”The introduction and increased use of new technologies unquestionably poses a threat to the legitimate needs of the law enforcement sector. (…)

Therefore, it is important to identify the relevant threats, challenges and opportunities that come with the new technological measures, as well as to find a balance between efficient criminal investigations on the one hand and the protection of fundamental rights and data protection on the other.

Detta är bara ett av en lång rad exempel.

Men hur gör man det? Hur »balanserar« eller avväger man övervakning mot grundläggande rättigheter?

Varje sådan »balansering« innebär med nödvändighet att de grundläggande rättigheterna inskränks. Till slut blir påsen tom.

Tanken med »grundläggande« fri- och rättigheter är att de inte skall gå att kringgå. Det är hela idén med att kalla dem grundläggande och att skriva in dem i bindande internationella konventioner.

Dessa grundläggande rättigheter är individens yttersta garanti mot att bli utsatt för övergrepp från överheten. Inskränker man dem – till exempel genom resonemang om att »balansera« dem mot ditt och datt – då inskränker man också medborgarnas skydd mot staten. (Och vi kan ju aldrig veta vem som styr staten i morgon. Eller om dagens makthavare är så goda demokrater som de vill göra gällande.)

Speciellt anmärkningsvärt är detta när de skäl som anges är så gemena som att öka statens övervakning och kontroll av medborgarna. Detta borde snarare vara ett skäl som aldrig får användas för att begränsa folkets rättigheter. Det skäl som anges är ju i själva verket själva anledningen till att dessa rättigheter finns och måste vara orubbliga.

Urgröpningen och devalveringen av de medborgerliga och mänskliga fri- och rättigheterna för att »balansera« dem mot det ena eller andra har pågått i årtionden. Och då blir det till slut inget kvar. Då har medborgarna inte längre något skydd mot staten.

Det vore mycket märkligt om det inte skulle gå att bedriva till exempel effektivt polisarbete utan att avveckla de mänskliga rättigheterna.

Statewatch: Here we go again! EU seeks to ”balance” privacy and rights against the demands of law enforcement agencies »

Vill vi verkligen offra våra fri- och rättigheter på säkerhetens altare?

av

De flesta människor tycks ha problem med att hålla mer än en tanke åt gången i huvudet.

Gängbrottslighet, skjutningar, explosioner och terrorhot har lett till att en majoritet av svenska folket tycks vara för mer övervakning.

Nyansen att för mycket och automatiserad övervakning kan göra det svårare att identifiera verkliga hot (genom det överväldigande antalet falska positiva) tycks ha gått de flesta förbi. Man kan även notera att av alla terrorister som varit verksamma i Europa på senare år, så har de flesta redan varit flaggade av myndigheterna. Men man har inte haft resurser för att övervaka dessa redan kända potentiella säkerhetshot. Däremot har man satsat stort på att övervaka alla andra – som inte är misstänkta för något brottsligt eller farligt.

Om ovan nämnda praktiska aspekter av övervakningen hamnat i diskussionens skugga – så råder fullständigt mörker när det gäller de principiella frågorna.

I grunden handlar det om våra grundläggande mänskliga och medborgerliga fri- och rättigheter. Dessa är ytterst en garanti för att överheten inte skall kunna förtrycka enskilda eller grupper av individer. I dessa ingår även rätten till privatliv. Utan rätt till en privat sfär finns ingen verklig frihet.

Tanken som de flesta inte tycks tänka är om det verkligen är värt att offra de principer som garanterar individens rätt i en demokratisk rättsstat. Är det lämpligt att försöka lösa ett problem genom att offra grundläggande rättigheter – vilket kan ge oss andra, betydligt värre problem på lite sikt? Vill vi verkligen montera ner principer till skydd för individen som det tagit århundraden att bygga upp?

Problemet är att frågan knappt ens diskuteras. Istället rusar vi vidare in i en Storebrors- och övervakningsstat av aldrig tidigare skådad omfattning. Och vi drivs av rädsla – vilket är en ovanligt snäv och olämplig drivkraft om man vill fatta rationella beslut.

Rimligen måste det finnas sätt att skydda oss mot brott, våld och terrorism utan att offra våra grundläggande fri- och rättigheter. Om inte, då är vi riktigt illa ute. Då var vårt öppna, fria, demokratiska samhälle bara en parentes.

Förbättrade integritetsinställningar i Apples iOS 13

av

I dagarna släpper Apple den senaste versionen av sitt operativsystem för mobiler. Och det innehåller – faktiskt – en del små, men ändå rätt tydliga förändringar för att bättre skydda användarnas rätt till privatliv.

Apple is adding more ways to control your personal information. If an app needs your location for something, you can now grant access to your location just once. The app will have to ask for your permission the next time.

Similarly, iOS 13 can tell you when an app has been silently tracking your location in the background with a map of those data points.

Apple is shaming app developers directly by saying “This app has used 40 locations in the background in the past 2 days” and showing you a map. You can turn off location tracking directly in the popup. Facebook is already freaking out and wrote a blog post last week to tell you that it cares about your privacy.

Sedan är det naturligtvis en annan fråga hur mycket information Apple själva samlar (och delar) om sina användare.

TechCrunch: iOS 13 pushes the envelope across the board »

Mobiloperatör vill se europeisk digital järnridå

av

EURACTIV rapporterar:

»Europe should consider establishing a ‘digital border control,’ as a means of obstructing internet access to hostile actors in the event of a serious cyberattack, the head of Deutsche Telekom’s cybersecurity division has told EURACTIV.«

»EURACTIV also heard from MEP Patrick Breyer, who sits with the Greens in the European Parliament. He had some even tougher words to say. “Kill-switch capacities could be abused by hackers and make the Internet less safe. Scare stories about terrorists wanting to shut the Internet down are mostly fairy tales. We shouldn’t use the same means that we deplore,” he said.«

Att kunna stänga internet i Europa mot omvärlden är ett verktyg som är som klippt och skuret för eventuella framtida auktoritära ledare. Och finns möjligheten, då kommer den att utnyttjas.

Länk: Europe needs ‘digital border controls,’ industry chief says »

Mesh-nätverk låter Hong Kongs demonstranter kommunicera under kinesiska statens radar

av

Hur lyckas demonstranterna i Hong Kong kommunicera fritt och under radarn när staten har koll på SMS, e-post, WeChat med flera kommunikationskanaler? Svaret är peer-to-peer mesh broadcasting networks.

Man använder den brittiska appen Brirdgefy – som låter användare koppla upp ett mesh-nätverk via Bluetooth. Detta kräver en viss täthet mellan användarna, men i samband med Hong Kong-protesterna är det inget problem.

Forbes har talat med Bridgefys medgrundare och CEO Jorge Rios:

»Bridgefy is a messaging app that works with or without Internet. It’s based on Bluetooth instead, and we built it because we know that the lack of communication can be vital in many places and situations. Most people download it before going to a large music of sporting event, but we’re currently having huge spikes in downloads from Hong Kong due to the protests.«

»We’ve seen more than 60,000 app installations in just the past seven days, most of them from Hong Kong. People are using it to organize themselves and to stay safe, without having to depend on an Internet connection.«

Men appen är inte bara användbar vid oppositionella politiska protester:

»Whenever there’s a hurricane or earthquake in the world, we see spikes in app downloads. It’s important for us to say that our core technology is also available to developers, so that they may integrate it into their own apps and make them work offline. We license it based on the amount of offline users, and are currently working so that some day we might be able to use apps like WeChat, Tinder, Uber, and Whatsapp without Internet.«

Det är så att man undrar varför denna lösning inte varit tillgänglig på konsumentmarknaden tidigare. Mesh-nätverk i olika former är ju inget nytt.

Det hela påminner lite om finansmannens Jan Stenbecks ord när han lanserade TV3. Politik slår pengar. Teknik slår politik.

Länk: Hong Kong Protestors Using Mesh Messaging App China Can’t Block: Usage Up 3685% »

Säkerhet: Supply chain-attacker ökar

av

IDG.se/Techworld rapporterar:

”Flera attacker på senare tid visar att hackare i allt högre grad siktar in sig på att plantera in skadlig kod i källkod som publicerats på exempelvis Github. Utvecklare måste bli bättre på att skydda sin kod.” (…)

”Supply chain-attackerna mot öppen källkod kan få stora konsekvenser då många av dessa projekt utvecklar kod för tunga och viktiga serverapplikationer för exempelvis epost- och webbservrar. Tyvärr är det enda sättet att bli av med dessa bakdörrar att bygga om hela systemet, ett arbete så betungande att många administratörer av de uppåt 100 000 system som smittats av de bakdörrar som upptäckts den senaste tiden hellre avstår.”

Länk: Skydda din kod – Supply chain-attacker mot öppen källkod ökar »

Lästips: FBI vill dammsuga sociala medier

av

Computer Sweden:

»I ett försök att stävja masskjutningar begär FBI in förslag från teknikleverantörer för hur den federala polisen ska kunna dammsuga sociala medier på data om misstänkta personer.«

Den spontana uppfattningen i olika nätforum tycks vara att detta ändå redan sker.

Länk: FBI vill dammsuga sociala medier på personuppgifter »