Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

Warshipping: Hacking med fysiska paket

av

Medan nästan all uppmärksamhet riktas mot traditionella online-metoder för dataintrång, så rapporterar säkerhetsforskarna på IBM X-Force Red om en lucka de upptäckt: Post/budpaket med inbyggd utrustning för att komma åt WiFi-nätverk.

BoingBoing förklarar:

The device scans for visible wifi networks; once it senses a network associated with its target (indicating that it has arrived on the target company’s premises), it alerts its controllers over the cellular radio, and then scans the local wifi for instance in which users’ devices are initiating new connections to the network. It captures the handshake data from these connections, transmits them over the cellular network to its controllers, and they can then crack the password offline, send login credentials to the warshipping device, login to the target network, and attack the network from within.

Länkar:
• With warshipping, hackers ship their exploits directly to their target’s mail room »
• Warshipping: attack a target network by shipping a cellular-enabled wifi cracker to a company’s mail-room »

Trump vill göra sociala media till pre-crime-verktyg

av

Efter varje tragisk masskjutning i USA utbryter ett intensivt fingerpekande – och ett antal mer eller mindre genomtänkta förslag läggs fram. Denna gång är det president Trump som vill att sociala media skall användas för att i förväg identifiera potentiella massmördare. Vilket är en betydligt mer komplicerad fråga än man först skulle kunna tro.

President Trump, enligt The Verge:

»I am directing the Department of Justice to work in partnership with local state and federal agencies, as well as social media companies, to develop tools that can detect mass shooters before they strike.«

Pre-crime-tools är till sin natur vanskliga, eftersom de rör brott som ännu inte begåtts – och som kanske aldrig kommer att begås. Folk säger och skriver en massa konstiga saker. Vad som bara är ord och vad som är verkliga hot kan vara svårt att avgöra – och antalet »falska positiva« blir ohanterligt stort även om analysverktygen har hög träffsäkerhet. (Vilket de knappast har.)

Nu rapporterar sociala media redan akuta hot som de upptäcker eller tipsas om till myndigheterna. Man har även teknik som syftar till att identifiera terror-relaterat innehåll och det finns rutiner för att försöka förhindra självmord. Vilket i sammanhanget är mindre komplicerat än att försöka identifiera potentiellt farliga individer i ett brett spektrum.

Förmodligen är det bästa verktyget andra användare som gör plattformen eller myndigheterna uppmärksamma på att våldsamma handlingar kan vara förestående.

Vox recode skriver:

As Ben Wizner, a lawyer for the ACLU, put it, “The problem with that is we don’t yet have the tech to determine pre-crime, Minority Report notwithstanding. We need to understand that even if all mass shooters have said X, the vast majority of people who have said X don’t become mass shooters.”

What’s more likely to happen is that all sorts of speech — and people — would get swept up in the technology dragnets Trump seems to be proposing.

Och vad gör det med ett samhälle – om dess medborgare måste tänka på att allt de uttrycker kommer att granskas och analyseras av myndigheterna? Speciellt som risken är att få dörren inslagen av polis i en gryningsräd och att man kan komma att hållas fängslad tills allt (förhoppningsvis) reds ut.

Dessutom riskerar Trumps förslag att bli en symbolhandling, medan de verkliga orsakerna (vilka de nu är) och de meningsfulla motåtgärderna förbigås.

Länkar:
• Trump wants social media to detect mass shooters before they commit crimes »
• Trump Calls On Social Media Companies To Become Pre-Crime Agents »
• Trump calls for social media companies to ‘detect mass shooters before they strike’

WhatsApp – motstridiga uppgifter om bakdörr

av

Forbes avslöjade häromdagen att WhatsApp planerar en bakdörr för att göra tjänstens end-to-end-krypterade meddelanden tillgängliga:

In Facebook’s vision, the actual end-to-end encryption client itself such as WhatsApp will include embedded content moderation and blacklist filtering algorithms. These algorithms will be continually updated from a central cloud service, but will run locally on the user’s device, scanning each cleartext message before it is sent and each encrypted message after it is decrypted.

The company even noted that when it detects violations it will need to quietly stream a copy of the formerly encrypted content back to its central servers to analyze further, even if the user objects, acting as true wiretapping service.

Detta får kanske ses som en lösning för att komma åt meddelanden utan att ge myndigheterna en bakdörr. Men det är ändå ett intrång i användarnas privata kommunikation.

Man kan även anta att om ett sådant system sjösätts, då kommer myndigheterna ändå att vilja ha direkt tillgång till alla flaggade meddelanden. Bruce Schneier kommenterar:

Once this is in place, it’s easy for the government to demand that Facebook add another filter — one that searches for communications that they care about — and alert them when it gets triggered.

Of course alternatives like Signal will exist for those who don’t want to be subject to Facebook’s content moderation, but what happens when this filtering technology is built into operating systems?

Idag kommer så en dementi från WhatsApp. Forbes:

On July 25th, WhatsApp’s parent company Facebook did not dispute the characterization posed to it that it planned to ”moderat[e] end to end encrypted conversations such as WhatsApp by using on device algorithms,” with the spokesperson pointing to Zuckerberg’s own blog post calling for precisely such filtering. This afternoon, Vice President of WhatsApp Will Cathcart contradicted this, offering “we have not done this, have zero plans to do so, and if we ever did it would be quite obvious and detectable that we had done it. We understand the serious concerns this type of approach would raise which is why we are opposed to it.”

Motstridiga uppgifter, således. Möjligen kan det vara uppmärksamheten som fått WhatsApp att backa. Eller så finns det delade meningar mellan WhatsApp och dess ägare Facebook.

Intressant nog sker detta samtidigt som de så kallade Five Eyes-nationerna efterlyser en bakdörr till WhatsApp och andra krypterade meddelandetjänster. The Guardian:

British, American and other intelligence agencies from English-speaking countries have concluded a two-day meeting in London amid calls for spies and police officers to be given special, backdoor access to WhatsApp and other encrypted communications.

Myndigheternas krav på tillgång till krypterade meddelanden i de vanligaste apparna avsedda för konsumenter är något av en följetong. Och de verkar aldrig ge sig.

Samtidigt finns det andra metoder – som end-to-end-krypterad e-post – att ta till för den som verkligen vill dölja innehållet i sin kommunikation med andra. Vilket i praktiken aldrig går att knäcka eller förbjuda.

Det långsiktiga hotet mot vår rätt till privat kommunikation kan dock – som Bruce Schneier påpekar ovan – komma från att bakdörrar byggs in redan i datorernas och våra smarta enheters operativsystem. Och från statliga spionprogram som kan komma åt allt på våra enheter och läsa våra krypterade meddelanden innan de krypterats eller efter att de avkrypterats.

Länkar:
• Forbes: The Encryption Debate Is Over – Dead At The Hands Of Facebook »
• Bruce Schneier: Facebook Plans on Backdooring WhatsApp »
• The Guardian: Calls for backdoor access to WhatsApp as Five Eyes nations meet »

Det ständiga kriget om kryptering

av

I årtionden har det rasat en strid där myndigheter i olika länder antingen vill förbjuda kryptering eller ha »bakdörrar« till krypterade meddelandetjänster. Nu senast är det US Attorney General William Barr som givit sig in i debatten:

While speaking today in New York, Barr demanded eavesdropping mechanisms be added to consumer-level software and devices, mechanisms that can be used by investigators to forcibly decrypt and pry into strongly end-to-end encrypted chats, emails, files, and calls. No ifs, no buts.

Men inte heller Barr kan förklara hur man skall kunna knäcka krypterade meddelanden utan att skapa säkerhetsluckor som kan utnyttjas av till exempel kriminella, terrorister eller främmande makt. Och vi vet ju att myndigheternas olika övervakningsverktyg förr eller senare läcker ut till obehöriga.

Dessutom håller ordningsmakt och säkerhetstjänster i ett antal länder på att lansera »stats-trojaner«, det vill säga spionprogram som låter myndigheterna övervaka misstänktas datorer och smarta enheter – för att bland annat kunna fånga upp data innan den krypteras och efter att den blivit avkrypterad. Även detta är ett otrevligt och integritetskränkande verktyg som lätt kan hamna i orätta händer och missbrukas. Men det inriktas i vart fall (lämpligen) mot människor som faktiskt är misstänkta för något brottsligt, inte mot hela befolkningen. Så myndigheterna har faktiskt redan ett slags bakdörr. (I Sverige är en lag om »hemlig dataavläsning« på väg till riksdagen.)

Samtidigt finns det ingen politiker i världen som (på ett rimligt sätt) kan förbjuda kryptering som sådan eller kräva bakdörrar till exempelvis privat, end-to-end-krypterad e-post. Den som verkligen vill kunna sända och ta emot krypterade meddelanden som myndigheterna inte kan läsa kommer alltid att kunna göra det. Det går liksom inte att »av-uppfinna« krypteringen.

Länkar:
• Tech firms “can and must” put backdoors in encryption, AG Barr says »
• Low Barr: Don’t give me that crap about security, just put the backdoors in the encryption, roars US Attorney General »
• EFF: Don’t Let Encrypted Messaging Become a Hollow Promise »

USA diskuterar förbud mot säker kryptering

av

Man skulle kunna tycka att debatten om kryptering borde vara över. Att göra kryptering olaglig är såväl idiotiskt som omöjligt. Och att skapa bakdörrar utsätter oss inte bara för Storebrors nyfikna granskning – utan gör oss dessutom sårbara för angrepp från till exempel cyberbrottslingar och främmande makt, eftersom sådana verktyg bevisligen läcker.

Men det hindrar inte politiker och byråkrater…

»Senior Trump administration officials met on Wednesday to discuss whether to seek legislation prohibiting tech companies from using forms of encryption that law enforcement can’t break — a provocative step that would reopen a long-running feud between federal authorities and Silicon Valley.« (…)

»The DOJ and the FBI argue that catching criminals and terrorists should be the top priority, even if watered-down encryption creates hacking risks. The Commerce and State Departments disagree, pointing to the economic, security and diplomatic consequences of mandating encryption “backdoors.” DHS is internally divided.«

Politico: Trump officials weigh encryption crackdown »

Video: Tre problem med riksdagens nya lag om datalagring

av

Riksdagen har just klubbat en ny lag om datalagring. Det vill säga lagring av data om alla svenskars telekommunikationer.

Låt oss peka på tre problem med detta. (Video ovan, sammanfattning nedan.)

1. Nya lagen om datalagring är olaglig

EU-domstolen har upprepade gånger kommit fram till att man inte får ha svepande lagring av data om alla människors telekommunikationer – och inte utan att det finns misstanke om brott.

Riksdagens beslut strider mot dessa domar.

2. Nya lagen om datalagring kränker de mänskliga rättigheterna

Skälet till att EU-domstolen underkänt datalagringen är att den bryter mot vad aktuella konventioner om de mänskliga rättigheterna har att säga om rätten till privatliv.

Riksdagens beslut strider således mot de mänskliga rättigheterna.

3. Datalagring är inte effektivt polisarbete

I en rapport konstaterar Brottsförbyggande Rådet att myndigheterna inte har resurser att hantera IT-relaterade brottsutredningar på ett effektivt och rättssäkert sätt.

Och amerikanska NSA påstår att de har slutat med datalagring eftersom verksamheten inte är effektiv.

Riksdagens beslut gör oss alltså knappast säkrare.

Den nya svenska lagen kommer med säkerhet att överklagas hela vägen upp till EU-domstolen. Igen.

Som kommer att ogiltigförklara den. Igen.

Vilket är en bra sak.

Staten skall helt enkelt inte veta allt om alla.

Youtube »

Alla register läcker

av

»Images of travelers and their license plates collected by US Customs and Border Protection (CBP) have been compromised, thanks to a federal contractor who did not follow protocol. The agency contacted members of Congress to inform them that they are investigating the incident in conjunction with law enforcement agencies and cybersecurity experts, though initial reports did not specify which agencies are involved.«

Länk: CBP Traveler and License Plate Photos Stolen »

EU:s institutioner bryter mot EU:s egna regler för dataskydd och datasäkerhet

av

Hemsidorna för sju av de tio tyngsta EU-institutionerna uppvisar brister vad gäller dataskydd och datasäkerhet. Det gäller inte minst regler som EU själv satt upp. Detta visar en granskning som utförts av European Data Protection Supervisor (EDPS). De berörda institutionerna har meddelat att de nu arbetar med att åtgärda bristerna.

An inspection carried out by the European Data Protection Supervisor (EDPS) on the websites of major EU institutions and bodies revealed data protection and data security issues in seven out of the ten websites inspected. Each of the institutions concerned has received recommendations from the EDPS on how to ensure their websites are fully compliant with data protection rules and the relevant institutions have reacted swiftly to start rectifying the problems identified, the European Data Protection Supervisor said today.

Länk: EDPS flags data protection issues on EU institutions’ websites »