Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

#ChatControl – Ylva Johansson säger orimliga saker, del 1

av

Nedan en utskrift av en del av Svenska Dagbladets ledar-podd den 23 mars 2023. I detta utsnitt medverkar Ylva Johansson, EU-kommissionär med ansvar för förslaget om Chat Control (kontroll av innehållet i alla människors elektroniska meddelanden) och SvD:s Andreas Ericson.

AE: Får jag bara fråga dig en sak, Ylva. Om det är så, kommer du och jag kunna ha kontakt i framtiden. Om du exempelvis känner att du vill vara visselblåsare på EU-kommissionen och höra av dig till Svenska Dagbladet under källskydd, kommer du och jag kunna ha krypterad kontakt som myndigheterna inte kommer läsa i framtiden. Även med det här förslaget?

YJ: Ja, det är självklart.

AE: Men om det är så, kommer inte då alla pedofiler använda samma krypterade kontakt? Vad är i så fall vunnet?

YJ: Nej men grejen är att det enda som… Sexuella övergrepp på barn, bilder på det är alltid kriminellt.

AE: Ja men de kommer väl ändå kunna… Om du och jag kommer kunna kryptera vår kommunikation, då kommer väl pedofiler också kunna krypteras sin?

YJ: Om man delar det materialet så kan det vara så att det detekteras det materialet. Men det är ju inte så att man kan läsa någons kommunikation. Och det finns tekniker att detektera utan att bryta krypteringen. Jag tror det är väldigt viktigt att vi försvarar möjligheten och rätten till krypterad kommunikation. Men det betyder inte att man ska säga att så länge du använder krypterad kommunikation gör vi inga åtgärder för att komma åt sexuella övergrepp på barn.

Man kan undra hur det är tänkt att gå till – att respektera kryptering och samtidigt inspektera innehållet i våra meddelanden.

Människan förstår uppenbarligen inte vad hon sysslar med.

Fortsättning följer. Det blir mycket värre…

• Läs mer om Chat Control »

Statligt ”Bank-ID”?

av

Myndigheten för digital förvaltning (DIGG) har fått i uppdrag att ta fram en statlig e-legitimation. En positiv aspekt är att man gör detta på ett mjukt sätt, utan att tvinga någon.

Ett statligt elektroniskt ID kan vara förfärligt och farligt om det inte finns några alternativ.

Men desto bättre är tanken att det skall vara ett av flera eID, tillsammans med dagens aktörer som till exempel BankID, Freja eID, AB Svenska Pass och Foreign eID.

Det vill säga på ungefär samma sätt som det nationella ID-kortet finns för den som inte har (eller vill använda) körkort eller annan godkänd svensk ID-handling.

Ett statligt eID kan vara en bra lösning för personer med samordningsnummer och andra som inte kan eller vill använda dagens lösningar.

Men det räcker inte med mångfald av alternativ, utan det krävs även möjlighet att använda dem. Idag är BankID ofta det enda alternativet på olika tjänster. Idealt bör alla godkända former av eID fungera på alla plattformar.

Samtidigt bör man se upp så att eID inte kommer att krävas i större omfattning än nödvändigt. Det måste till exempel finnas utrymme för anonymitet och privat kommunikation på nätet. Det kan även hända att man vill ha en ”identitet” privat och en i jobbet.

ID-krav bör rent generellt bara förekomma när det är nödvändigt, inte av slentrian.

Möjligheten att välja eID måste även fungera med EU:s planerade digitala plånbok (EU:s eIDAS Regulation). Det talas om att denna kan bli ett alternativ för inloggningar på nätet.

• DIGG: Statlig e-legitimation »
• SVT: Så kan en statligt e-legitimation utformas »

Och nu – biometrisk massövervakning

av

Vi närmar oss en punkt där vi inte bara skall kameraövervakas på offentlig plats – utan även identifieras och få vårt beteende analyserat i realtid, av massövervakningens algoritmer.

Artificiell Intelligens (AI) är det senaste EU vill reglera. Något slutligt förslag finns inte ännu, men väl ett läckt arbetsdokument (PDF).

Den nya förordningen täcker väldigt mycket – men tycks göra undantag när det gäller övervakning. Vilket öppnar för en del dystopiska perspektiv.

Idag används AI bland annat för system med biometrisk identifiering. Vilket blivit en stridsfråga.

Sådan kan i sin tur delas upp i flera delar. I sin enklaste form kan det handla om kontroll av till exempel fingeravtryck, ansiktsform eller iris när man passerar EU:s yttre gräns. Eller för att fastställa en persons identitet vid andra tillfällen.

(Ett sådant system användes av de västliga styrkorna i Afghanistan. Tyvärr tycks det ha fallit i talibanernas händer, med potentiellt katastrofala konsekvenser för enskilda.)

Även om man kan tycka att det är rationellt att använda biometriska data för identifiering vid en viss säkerhetspunkt (som en gräns) – så kan systemet även användas för massövervakning. Till exempel genom att identifiera alla som passerar en viss knutpunkt. (Och spara biometrisk data om dem man ej lyckas identifiera.)

Då är man plötsligt inne på att massövervaka människor som inte misstänks för något brott – utan bara för att de rört sig på allmän plats. Vilket inte är OK. Det strider mot människans rätt till privatliv.

Sedan har vi användning av automatiserad ansiktsigenkänning för att identifiera personer på exempelvis en övervakningsfilm från en plats där ett brott de facto begåtts. Vilket är mindre problematiskt.

Dock har det visat sig finnas risker med att endast granska övervakningsvideos med maskiner. I jakt på ett ansikte kan det vara lätt hänt att algoritmen missar andra detaljer och händelser som är relevanta i sammanhanget.

Den tredje delen är automatiserad ansiktsigenkänning i realtid, med livefeed från övervakningskameror. När man sedan identifierat en person kan det kopplas direkt till olika databaser med information om personen i fråga.

EU har under årtionden finansierat utvecklingen av sådana system (gm. INDECT) – trots varningar och protester. Och nu tycks dystopin vara fullbordad.

Som vanligt är det en fråga om hur systemet används. För att till exempel skugga en misstänkt brottsling eller för att avvärja konkret fara kan det kanske vara försvarligt. Men finns det någon som tror att det stannar där?

Det finns även add-ons (vilka också finansierats av EU) som att koppla ljudupptagning med akustisk analys till systemen ovan. Ett annat exempel är automatiserad beteendeanalys för att upptäcka avvikande beteende.

Blotta vetskapen om att man är ständigt observerad, identifierad och att ens handlingar i varje stund analyseras av maskiner kommer att påverka människor och deras psykiska hälsa.

Detta för att inte nämna problemet med falska positiva. Även i ett system med orealistiska 99,9% träffsäkerhet kommer tusentals och åter tusentals människor att flaggas med fel identitet eller för helt oskyldigt avvikande beteende. Vilket kan få allvarliga konsekvenser.

Som vanligt tycks det finnas en övertro på teknisk övervakning, där polisen sitter vid en skärm istället för att patrullera gatorna och ägna sig åt traditionellt polisarbete. Vilket kan komma att straffa sig genom att i slutändan göra oss alla mindre säkra.

• EU governments open the door for biometric mass surveillance in public spaces »

Europol brainstormar om att knäcka krypterade kommunikationer

av

Myndigheternas krig mot krypterad information fortsätter. Samtidigt vill EU:s ministerråd begränsa insynen i hur polisen använder artificiell intelligens i sitt arbete.

Bakdörrar, superdatorer och samarbete med internetoperatörer var några av de idéer som diskuterades när EU:s olika polis- och säkerhetsorgan nyligen brainstormade hur man kan gå vidare för att knäcka krypterade kommunikationer.

Detta skedde på en konferens med EU Innovation Hub for Internal Security som hölls förra månaden, enligt Statewatch som har utskrifter av vad som diskuterades.

Särskilt uppseendeväckande är att man öppnar för att hålla säkerhetsluckor i vår IT-infrastruktur öppna istället för att anmäla dem – för att själva kunna utnyttja dessa för övervakning.

Men sådana säkerhetsluckor kan även användas av andra, till exempel kriminella och främmande makt. Vilket gör oss alla mindre säkra.

Statewatch rapporterar:

»At a recent event hosted by Europol’s Innovation Hub, participants discussed questions relating to encrypted data and the ability of law enforcement authorities to access digital information. One issue raised was a possible ”EU Vulnerability Management Policy for Internal Security,” which could allow for ”temporary retention of vulnerabilities and their exploitation by the relevant authorities.” In effect, this would mean identifying weaknesses in software and, rather than informing the software developers of the problem, exploiting it for law enforcement purposes.«

EU Innovation Hub for Internal Security består av nio olika EU-myndigheter och organ som på olika sätt arbetar med polisiära och säkerhetsrelaterade frågor. Spindeln i nätet är EU:s polismyndighet Europol. Såväl EU-kommissionen som ministerrådet är medlemmar – men inte Europaparlamentet.

I övrigt diskuterade man även hur artificiell intelligens (AI) kan användas i polisiärt arbete samt vad man kan göra för att komma åt elektroniska kommunikationer i 5G-nätet (vilket tydligen är oväntat krångligt).

Intressant nog vill EU:s ministerråd begränsa transparensen vad gäller hur polisiära myndigheter använder AI i sitt arbete. Statewatch skriver:

»The Czech Presidency of the Council has inserted new provisions into the proposed AI Act that would make it possible to greatly limit the transparency obligations placed on law enforcement authorities using ”artificial intelligence” technologies. A new ”specific carve-out for sensitive operational data” has been added to a number of articles. If the provisions survive the negotiations, the question then becomes: what exactly counts as ”sensitive operational data”? And does the carve-out concern just the data itself, or the algorithms and systems it feeds as well?«

Detta är ytterligare en het fråga som lär hamna på det svenska EU-ordförandeskapets bord efter årsskiftet.

Läs mer:
• Statewatch: EU: Discussion on encryption ponders ”retention of vulnerabilities and exploitation by the authorities” »
• ”Wicked problem”: Europol considers vulnerability exploitation to break encryption »
• Statewatch: EU: AI Act: Council Presidency seeks more secrecy over police use of AI technology »

En grundlig sågning av #ChatControl

av

Bloggen Lawfare levererar svidande kritik mot EU-kommissionens förslag om Chat Control / meddelandekontroll. Läs mer nedan, där du även hittar länkar och resurser i ämnet.

#ChatControl är nätaktivisternas namn på EU-kommissiones förslag för att bekämpa (känd och tidigare okänd) barnpornografi samt sexuella övergrepp mot barn online.

Förslaget innebär bland annat att innehållet i dina meddelanden och din e-post skall granskas. (Artikel 7.) Och för att så skall kunna ske måste dess kryptering brytas eller kringgås, vilket är ytterst olämpligt.

Dessutom kommer det att leda till en 18-årsgräns för användning av meddelandeappar. (Artikel 6.)

Kritiken har varit omfattande. Till exempel står den ovan nämnda meddelandekontrollen i strid med vad Europakonventionen om de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Dessa är att anse som grundläggande mänskliga rättigheter.

Nyligen levererade Lawfare-bloggen en omfattande och genomarbetad kritik, som är rekommenderad läsning. Några nedslag i texten:

»The EU proposal would undo 20 years of progress in securing communications, while employing a set of technologies unlikely to achieve its stated goals. Even worse, the solutions it proposes for handling CSAM would create national security risks by weakening the best tool available for securing communications, end-to-end encryption, and defining a mission without the technology to accomplish it.«

»This lack of current technology leads to the fundamental flaw of the EU proposal. The proposal sets up a bureaucracy requiring industry solutions to a problem that no one—not service or hosting providers, nor governments—has technical solutions for or knows how to operate at this scale.«

»(A) lack of technical methods to effectively accomplish what the proposal claims to do with a strong likelihood that the technologies at hand would fail to produce the desired effect.«

»EU human rights law requires that surveillance solutions be proportionate. The proposal argues that the recommendations are indeed proportionate, but it does so on the basis of technology that does not yet exist (“EU Centre should facilitate access to reliable detection technologies to providers”). A surveillance solution with a low likelihood of accomplishing its goals without impeding fundamental privacy protections cannot be proportionate. Until and unless there is a technology that satisfies the requirements of low false positives and false negatives successfully operating at scale on encrypted communications, the claim that this proposal is proportionate is not a meaningful one.«

Förslaget har försenats på vägen, huvudsakligen på grund av dess bristande kontakt med verkligheten och dess nonchalans inför grundläggande mänskliga rättigheter. Kritiken inifrån EU-kommissionen har också varit hård.

Läs mer:
• EU-kommissionens förslag »
• EU avskaffar rätten till privat korrespondens »
• Resurs-sida: Chatcontrol.eu »
• Granskning: Lobbykampanjen för #ChatControl ›
• Går Chat Control att stoppa? »
• Chat Control är en idiotisk och farlig idé »
• EU-förslag: 18-årsgräns för alla meddelandeappar »
• The EU’s Proposal on CSAM Is a Dangerous Misfire »

Läckta EU-dokument: Ministerrådet vill ha allmän meddelandekontroll och lagstifta om kryptering

av

Att EU verkligen har ambitionen att granska innehållet i alla människors alla elektroniska kommunikationer framgår av ministerrådets egna dokument.

Nyligen skrev jag om riskerna med EU:s nya Chat Control / meddelandekontoll. Det vill säga av-kryptering och inspektion av innehållet i alla dina elektroniska kommunikationer. Vars syfte är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn.

Jag påpekade även risken för ändamålsglidning. Nu visar det sig att EU:s ministerråd redan planerat för sådan.

I ett läckt dokument från 11 april visar det sig att medlemsstaternas justitie- och inrikesministrar (Morgan Johansson för Sverige) enkelt uttryckt vill utöka idén om Chat Control till att även gälla terrorism. Och det finns även dokument som pekar på att Chat Control är tänkt att omfatta kamp mot all slags brottslighet:

»… lawful and targeted access to encrypted information in the context of criminal investigations and prosecutions…«

Tänk på barnen, var alltså bara en förevändning. En murbräcka.

Ministrarna vill också ha en EU-förordning om »tillgång till digital information inklusive krypterad data«.

Man tänker alltså lagstifta om att ge myndigheterna tillgång till krypterad information. Vilket med nödvändighet leder till att sådan kryptering korrumperas och blir osäker. Antingen har man säker kryptering eller så har man det inte. Man kan inte bli bara lite gravid.

Dessutom vill ministrarna att AI skall användas för att processa massdata i kampen mot allvarlig brottslighet, våldsam extremism och terrorism. Fler syften lär tillkomma, som vanligt.

Här kan det vara på sin plats att påpeka att Europakonventionen om de mänskliga rättigheterna slår fast att rätten till privatliv och privat korrespondens är en grundläggande mänsklig rättighet.

Vilket är den princip som EU-domstolen lutade sig mot när den upphävde EU:s datalagringsdirektiv 2014.

Då handlade det om att samla in data om alla människors alla elektroniska kommunikationer, utan misstanke om brott. Nu vill man alltså göra ett liknande försök, men inriktat på innehållet i våra kommunikationer. Vilket känns en smula skamlöst.

Detta och mycket annat kommer att diskuteras på ministerrådsmötet i Luxemburg den 9 juni.

• Data retention and decryption: Justice and Home Affairs Council wants more surveillance »
• EU counter-terror shopping list: sanctions against “radical rhetoric”, intelligence agencies in asylum proceedings »

Apple, Google och Microsoft inför inloggning utan lösenord

av

Öppna din telefon och du kan också nå dina sidor på nätet, utan lösenord. Detta är den lösning Apple, Google och Microsoft presenterar idag.

Apple förklarar:

»The expanded standards-based capabilities will give websites and apps the ability to offer an end-to-end passwordless option. Users will sign in through the same action that they take multiple times each day to unlock their devices, such as a simple verification of their fingerprint or face, or a device PIN. This new approach protects against phishing and sign-in will be radically more secure when compared to passwords and legacy multi-factor technologies such as one-time passcodes sent over SMS.«

The Hacker News:

»The new Fast IDentity Online (FIDO) sign-in system does away with passwords entirely in favor of displaying a prompt asking a user to unlock the phone when signing into a website or an application.

This is made possible by storing a cryptographically secured FIDO credential called a passkey on the phone that’s used to log in to the online account after unlocking the device.

”Once you’ve done this, you won’t need your phone again and you can sign-in by just unlocking your computer,” Google said.

”Even if you lose your phone, your passkeys will securely sync to your new phone from cloud backup, allowing you to pick up right where your old device left off.”«

Det skall bli intressant att se hur detta kommer att fungera i praktiken, till exempel vid inloggning på delade enheter.

• Apple: Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless sign‑ins »
• The Hacker News: Google to Add Passwordless Authentication Support to Android and Chrome »

Mer information och sämre säkerhet i EU:s nya superregister

av

Det franska EU-ordförandeskapet vill utvidga lagringen av DNA, biometrisk data och persondata – automatisera den och samköra allt med AI-baserade övervakningssystem.

Statewatch rapporterar:

»The French Presidency of the Council is seeking EU-wide comparisons of every DNA profile held by police forces against all those held by other national police forces, as well as EU policing agency Europol, as part of plans to upgrade the ‘Prüm’ network of police databases. It also hopes to automate the police exchange of facial images by eliminating requirements for human review.«

»The proposals come in an amended version of a proposal originally published by the European Commission in December 2021, which will upgrade the Prüm network of DNA, fingerprint and vehicle registration databases to include facial images and “police records”, as well as driving licence data, if the Council has its way.«

Man vill alltså se registrering av fler personuppgifter och underlätta för medlemsstaterna att göra automatiska sökningar i registren, utan mänsklig kontroll.

Vilket innebär att även myndigheter i länder som Rumänien kommer att få automatisk tillgång till flera av den svenska polisens databaser. Länder med dålig IT-säkerhet. Länder som redan har problem med korruption. Länder som misstänks läcka information till kriminella nätverk och främmande makt.

Med Europols nya mandat godkänns även dess tidigare olagliga lagring av data om personer som inte är misstänkta för brott. Man får också direkt tillgång till data hos bland andra Google och Microsoft. Allt det ovanstående kan nu knytas samman i ett nätverk, tillgängligt för myndigheterna i alla 27 EU-länder plus Storbritannien.

Det skall också noteras att Frankrike driver på för mer automatiserad och AI-baserad övervakning i realtid, kopplad till just sådana register som här diskuteras.

Riskerna för informationsläckage och missbruk är uppenbara.

• EU: Policing: France proposes massive EU-wide DNA sweep, automated exchange of facial images »

Nu granskas hemlig europeisk övervakning i politiska syften

av

Idag har Europaparlamentet startat utfrågningar om spionprogramvaran Pegasus, som bland annat använts för att spionera mot oppositionella i Polen och Spanien.

Pegasus är en spionprogramvara som tillverkas av israeliska NSO Group. Enkelt uttryckt möjliggör den hemlig dataavläsning och ger tillgång till det mesta som finns på en mobil eller surfplatta.

Det finns gott om exempel på hur Pegasus använts för att övervaka journalister och oppositionella runt om i världen. Det gäller även europeiska länder som Polen och Spanien.

Katalanska politiker, ledamöter av Europaparlamentet, jurister, människorättsaktivister och deras anhöriga är exempel på personer som övervakats med detta verktyg.

Att detta är ett demokratiskt problem är uppenbart. Men problemet är även tekniskt. För att kunna använda hemlig dataavläsning behöver myndigheterna utnyttja tidigare okända säkerhetsluckor i vår IT-infrastruktur. Dessa luckor lämnas sedan öppna, istället för att täppas till – för att övervakningen skall kunna fortsätta. På så sätt blir vi alla mindre säkra.

Även svensk polis använder sig av hemlig dataavläsning. Om det sker med Pegasus går inte att få reda på. Men svenska staten har alltså samma slags verktyg för övervakning som de länder som inte kunnat motstå frestelsen att använda den i politiska syften.

• Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru »
• More Polish opposition figures found to have been targeted by Pegasus spyware »
• Pegasus och annan statlig spyware sågas av FN-kommissionär »

EU-förbud mot anonyma kryptobetalningar

av

Europaparlamentets utskott för mänskliga rättigheter (LIBE) respektive ekonomi (ECON) föreslår ett förbud mot anonyma kryptobetalningar. En förordning kan komma mycket snabbt.

Det började med att EU-kommissionen föreslog ett förbud mot anonyma kryptobetalningar över 1.000 euro, vilket är dumt nog i sig.

En reglering kommer inte bara att drabba kryptobranschen, utan även alla som sänder eller tar emot betalning i kryptovaluta. Allt måste registreras.

Innan kryptotillgångar realiseras skall den handelsplats du använder kontrollera att du inte ägnar dig åt penningtvätt eller terrorfinansiering. Det blir med andra ord samma tjafs som om du försöker hantera kontanter på banken.

Som vanligt blir resultatet att bara de stora, etablerade aktörerna kommer att ha råd med all administration, all juridik och allt krångel. Startups och andra mindre aktörer på kryptomarknaden kommer att slås ut.

Service providers som handelsplatser skall registreras och godkännas. Alla andra skall stoppas. Hur man nu tänkt sig att det skall gå till.

Även enskilda personer som har en fristående (self-hosted) kryptoplånbok måste hålla en förteckning över sina transaktioner. I detta fall verkar det dock som om anmälningsplikt uppstår först vid transaktioner på över 1.000 euro.

Utöver penningtvätt och terrorfinansiering anger man även Rysslands invasion av Ukraina som skäl till förslaget. Vilket är ironiskt då kryptovalutor kan vara räddningen för många på flykt som inte har tillgång till sin ukrainska bank.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar förslaget:

»Banning anonymous crypto currency payments altogether would not have any significant effect on crime, but would deprive law-abiding citizens of their financial freedom. For example, opposition figures like Alexei Nawalny are increasingly dependent on anonymous donations in virtual currencies. Banks have also cut off donations to Wikileaks in the past. With the creeping abolition of real and virtual cash, there is the threat of negative interest rates and the shutting off of the money supply at any time. We should have a right to be able to pay and donate online without our financial transactions being recorded in a personalised way.«

»To disrupt the promising development of alternative and decentralised options in finance in this way is outrageous. We need to find ways to take the best features of cash into our digital future. The Pirates will continue to fight for the proposal to be thrown off the table.«

Detta för att inte nämna säkerhetsriskerna med nya databaser för transaktioner med kryptovaluta. En honungsburk för cyberskurkar och för dem som vill snoka i folks liv.

Elefanten i rummet är att resten av världen inte kommer att bry sig om EU:s nya regler. Eller har man tänkt blockera alla de miljontals aktörer som handlar med eller i kryptovalutor utanför unionen?

EU är på väg att stifta en lag som inte går att upprätthålla. Samtidigt gör den miljontals vanliga människor till brottslingar om de använder sina egna kryptotillgångar utan att det rapporteras till staten. Detta är tecken på en dålig lag.

Dessutom driver vi ännu en del av IT-branschen ut ur EU genom överdriven reglering, ogenomtänkta lagar och onödigt krångel. Kryptovalutor kommer att forma vår framtid. Men Europa kommer inte längre att vara i framkant. Det hela är häpnadsväckande inskränkt.

Så vad händer nu? Europaparlamentet skall rösta om saken i plenum. Det kan ske redan denna vecka, även om ärendet inte kommit upp på dagordningen ännu. Annars lär det bli i början av maj.

Sedan går frågan till trilogförhandlingar med ministerrådet och EU-kommissionen. Utfallet av dessa förhandlingar skall sedan godkännas av både ministerrådet och parlamentet. Sedan blir det lag. (Under vissa förutsättningar kan det gå ännu snabbare.)

Som det ser ut nu kommer parlamentet att rösta igenom utskottens förslag med bred majoritet – om det inte uppstår en folkstorm illa kvickt.

Länkar:
• Coindesk: EU Parliament Passes Privacy-Busting Crypto Rules Despite Industry Criticism »
• Euronews: EU lawmakers back tough traceability rules on crypto transfers in fight against money laundering »
• MEP Patrick Breyer (PP, DE): Digital cash: EU Parliament attacks anonymous payments in cryptocurrencies »