Femte juli

Nätet till folket!

Säkerhet

Under denna kategori samlar vi nyheter och notiser som handlar om säkerhet för nätanvändare. Det kan till exempel gälla persondata, kryptering, säkerhetsbrister eller läckor och illasinnade hack som exponerar användare.

FBI hemlighöll dekrypterings-nyckel för företag som drabbats av ransomware

av

The Washington Post:

»The FBI refrained for almost three weeks from helping to unlock the computers of hundreds of businesses and institutions hobbled by a major ransomware attack this summer, even though the bureau had secretly obtained the digital key needed to do so, according to several current and former U.S. officials. The key was obtained through access to the servers of the Russia-based criminal gang behind the July attack. Deploying it immediately could have helped the victims, including schools and hospitals, avoid what analysts estimate was millions of dollars in recovery costs. But the FBI held on to the key, with the agreement of other agencies, in part because it was planning to carry out an operation to disrupt the hackers, a group known as REvil, and the bureau did not want to tip them off.«

Det hela påminner lite om hur svensk polis hemlighåller nya säkerhetsluckor, för att själv kunna utnyttja dem för hemlig dataavläsning.

Nya FRA-lagen: Sveriges dubbla lojaliteter

av

Den nya FRA-lagen öppnar dörrarna för utökat samarbete vad gäller underrättelseverksamhet och signalspaning med USA och dess närmaste allierade. Samtidigt kan den leda till intressekonflikter gentemot EU:s haltande underrättelsesamarbete.

När regeringen nu vill ge utländska underrättelsetjänster direkt tillgång till Försvarets Radioanstalts (FRA) signalspaning är det uppenbart amerikanska NSA och Five Eyes-länderna (USA, Kanada, UK, Australien och Nya Zeeland) det handlar om.

Detta är i och för sig ingen nyhet. Sverige har till och med status som särskild samarbetspartner (kodnamn SARDINE) i Five Eyes och tillgång till NSA:s ”spion-google” XKeyscore. Och i april 2007 (året innan FRA-lagen antogs) skrev regeringen Reinfeldt ett avtal med USA om fördjupat underrättelsesamarbete.

Som FRA själva uttrycker saken, så lagregleras nu saker som tidigare befunnit sig i en gråzon. Det vill säga att sådant man gjort hela tiden nu blir lagligt.

Att Sverige tillhör den västliga, USA-ledda militära sfären är välkänt och samarbete i underrättelsefrågor har pågått ända sedan 1950-talet. En faktor som komplicerar det hela är att Sverige nu även är med i EU och att de flesta EU-länder inte har samma nära, speciella samarbete med USA / Five Eyes som Sverige.

Däremot har EU ett eget underrättelsesamarbete. Det handlar framförallt som informationsutbyte. Men det fungerar sådär, eftersom medlemsstaterna uppenbarligen är ovilliga att dela information till andra medlemsstater, som alla är potentiella läckor eller kan ha andra intressen. Dessutom är nationell säkerhet utanför EU:s formella kompetens – och är upp till respektive EU-land.

Man kan ana att ett ännu närmare samarbete mellan Sverige och USA / Five Eyes kommer att väcka viss irritation i EU. I sammanhanget kan nämnas att Europaparlamentet uttalat att Sverige bör se över sitt samarbete med NSA. Och Europadomstolen vill att Sverige skriver om FRA-lagen bland annat på grund av bristande dataskydd vid utbyte av information med andra länder.

Sverige har å sin sida vägrat låta FRA medverka vid Europaparlamentets utfrågningar om massövervakningen. Sverige har även varit med och blockerat en bredare utredning av massövervakningen i EU. Och 2015 stoppade riksdagen med överväldigande majoritet en utredning av samarbetet mellan FRA och NSA.

I slutet av förra året kom nyheten att Danmark hjälpt NSA att spionera på svensk försvarsindustri och möjligen också på svenska politiker och andra svenska mål. Detta var något som försvarsministern lovade att gå till botten med. Men det tycks ha runnit ut i sanden… I det perspektivet är det en smula uppseendeväckande att nu ge NSA direkttillgång till svensk signalspaning, dess information och persondata.

Förmodligen är USA/Nato/Five Eyes bättre att hålla i handen än EU om det bränner till i säkerhetspolitiken. Men det ändrar inte det faktum att Sverige sitter på två stolar vad gäller underrättelsesamarbete. Vilket kan bli komplicerat, till exempel nu när relationerna mellan Frankrike och USA/UK plötsligt blivit iskalla. Intressekonflikter kommer att bli möjliga, rent av troliga.

Detta kan bli intressant. Och möjligen lite snärjigt för regeringen, oavsett dess färg.

G7: Kamp mot kryptering, ökad registrering av resor och mer resurser till Interpol

av

G7-länderna har hållit möte med sina inrikes- och justitieministrar. Åter reser man kravet på bakdörrar till krypterade meddelandetjänster, samtidigt som man påstår att detta inte kommer att påverka vårt behov av säkra kommunikationer. Man vill även utöka registreringen av våra resor samt utöka Interpols mandat.

G7-gruppen (Frankrike, Italien, Japan, Kanada, Storbritannien, Tyskland och USA plus EU) skriver efter sitt möte i London bland annat följande om kryptering:

»We reject that, in democratic societies with strong human rights laws and procedural safeguards, there is inevitably a choice to be made between either protecting the confidentiality of digital communications and other activities or protecting our citizens from harm.«

Vilket är lite som att uttala att månen är en grön ost. Antingen är kryptering säker. Eller så har man bakdörrar – och då är krypteringen inte längre säker.

Man förväntar sig bland annat att internetföretagen skall vara samarbetsvilliga i att ge myndigheterna tillgång till krypterad kommunikation..

Vidare vill man utsöka Interpols mandat. Här skall man hålla i minne att även skurkstater är medlemmar i Interpol, så till exempel ökad informationsdelning kan vara problematisk.

Och så vill man se mer registrering av våra resor genom att utvidga det rådande PNR-systemet (Passenger Name Record).

Utöver detta fastnade jag för punkt 8 i G7-mötets slutdokument. Det handlar om våldsam extremism och terrorism. Man talar här om »anti-government, anti-authority and other violent grievances«.

Det verkar alltså som att man ser motstånd mot staten eller sittande regim samt anti-auktoritär verksamhet som ett problem. Och man kopplar detta till våld. Det kan naturligtvis förekomma. Men det kan vara värt att påpeka att sådan verksamhet till sin natur ofta är baserad på principer om anti-våld och lika rättigheter.

Statewatch: G7: Still coming after encryption, plans to reinforce Interpol and global travel surveillance »

Biometriskt ID-register kan ha fallit i talibanernas händer

av

Vi brukar varna för att övervakningsverktyg och databaser kan komma att användas av andra än de som införde dem. Detta är ett problem som just håller på att bli påtagligt i Afghanistan.

Under sin militära insats i Afghanistan började USA använda HIDE (Handheld Interagency Identity Detection Equipment), som är ett verktyg kopplat till en databas för att identifiera individer. Systemet använder sig av biometrisk data som iris-skanning, fingeravtryck och andra biometriska data.

Syftet var att registrera och kunna identifiera rebellkrigare. Av något slags effektivitetsskäl utökades användningen av HIDE till att även verifiera identiteten hos personer som arbetade för den västliga militära alliansen.

Nu fruktar man att HIDE har fallit i talibanernas händer, hos vilka det kan användas för att identifiera personer som samarbetat med USA och andra västländer. Med uppenbart potentiellt katastrofala konsekvenser för den enskilde.

Detta är egentligen ingen nyhet. Enligt uppgift skall HIDE ha använts av talibaner som stoppat bussar för att kontrollera passagerare redan 2016 och 2017. Så de kan ha haft HIDE-enheter redan för fem år sedan.

Inspirerade av det amerikanska systemet har även afghanska myndigheter introducerat ett nationellt ID-kort med biometriska data. Bland de registrerade finns studerande på universitet, soldater, samt innehavare av pass och körkort.

Fenomenet är inte unikt. Redan på 1930-talet registrerade man människors religion i Nederländerna, i syfte att fördela skattepengar till de olika samfunden. Detta register föll sedan i den tyska ockupationsmaktens händer – och kunde korsrefereras med medborgarnas ID-kort. På så sätt fick de ett effektivt sätt att skilja ut judar att sända till dödslägren. Den 27 mars 1943 genomförde motståndsrörelsen en attack för att förstöra registret. Tyvärr lyckades man bara förstöra ungefär 15% av registerkorten.

Vi kan lära något av detta. Förr eller senare kan vårt land komma att ledas eller kontrolleras av en regering med auktoritära tendenser, odemokratiska eller kriminella element inom förvaltningen eller rent av främmande makt. Då kommer olika register och former av biometrisk information att kunna användas emot oss. Därför bör man vara försiktig med att rulla ut sådana.

• The Conversation: The Taliban may have access to the biometric data of civilians who helped the U.S. military »

Kameraövervakningen revisited

av

Förr i tiden var övervakningskameror den stora integritetsfrågan. Då var kamerorna ändå rätt dumma. De sände en signal till någon som tittade på en monitor. Eller så bandade man bara, ifall det skulle hända något, för att kunna titta i efterhand. Vilket nu plötsligt framstår som relativt oskyldigt.

Nu för tiden kan kameraövervakning – om man vill – kompletteras med automatisk ansiktsigenkänning och följa enskilda personer i realtid. Ditt ansikte skannas av kameror lite varstans på stan. Sedan kan myndigheterna skaffa sig en god bild av hur du rört dig och var du befunnit dig. (Skatteverket måste älska det här.)

För de myndigheter som till äventyrs vill registrera vilka personer som deltar i ett politiskt möte eller en demonstration är detta ett fantastiskt verktyg. Se till exempel hur tekniken används av Kina i Hong Kong.

Du behöver inte vara en person of interest för att bli aktivt övervakad. De nya systemen använder AI för att identifiera och rent av förutse problem. De analyserar allas beteende, flocken. Algoritmer studerar våra rörelsemönster, vårt humör och våra små egenheter. Gör du något som bryter mot mönstret noteras det. Ditt beteende matas in i matrisen.

EU har finansierat sådana här projekt i årtionden. Trots visst motstånd i Europaparlamentet. INDECT var mest på tapeten när jag jobbade där.

Än så länge är automatiserad ansiktsigenkänning allt för kontroversiellt i de flesta europeiska länder. Men tekniken finns där. Den är betald av EU:s skattebetalare. Och Frankrike, vars ledare är positiva till automatisk ansiktsigenkänning, ser sig som ett föregångsland.

Det är rätt tydligt vart vi är på väg om vi inte sätter stopp för det här. Men det är inte helt tydligt var gränsen mellan vad som är acceptabelt och massövervakning går.

För vad det är värt snubblade jag över en internationell studie från år 2019 om hur effektiv video/kameraövervakning egentligen är. Några slutsatser:

  • Kameraövervakning har ingen effekt mot våldsbrott. Däremot minskar den droghandel och egendomsbrott.
  • Kameraövervakning minkar brottsligheten på parkeringsplatser och i kollektivtrafiken, men inte lika mycket i bostadsområden och inte alls i stadskärnor och bostadshus.
  • Vill man stoppa brottslighet räcker det inte med att banda det som sker, utan det kräver även en aktivt bevakat live-feed och direkt respons.
  • Det räcker inte med bara kameraövervakning. För att bli effektiv behöver den kompletteras med allt från bättre gatubelysning till säkerhetsvakter.
  • Enligt erfarenheter från Sverige, USA och Kanada minskar kameraövervakning inte antalet brott – vilket däremot är fallet i Sydkorea och Storbritannien.

De flesta svenskar är positiva till mer kameraövervakning. Men då kan det vara värt att komma ihåg att den inte är någon universallösning – och att det mest är en tidsfråga innan den blir en del av den automatiserade massövervakning som inte gör någon skillnad mellan att hålla ett öga på kriminella och att övervaka vanliga, hederliga människor som bara sköter sitt.

Svensk lagstiftning gör oss mindre säkra mot zero-day-attacker

av

Computer Sweden har en läsvärd artikel om så kallade zero day-attacker – det vill säga IT-sårbarheter där mjuk- eller hårdvarutillverkare ännu inte hunnit utveckla en patch. De är med andra ord sårbarheter som vi i princip ännu inte kan skydda oss emot.

CS noterar helt korrekt att det inte bara är kriminella aktörer som drar nytta av zero-day-sårbarheter:

»Både kinesiska och amerikanska underrättelsetjänster samlar in information om dagnollsårbarheter för att kunna använda den för spioneri eller sabotage. Ett omtalat exempel är den sårbarhet i protokollet SMB (även känt som CIFS) i Microsoft WIndows som upptäcktes av USA:s signalspaningstjänst National security agency, NSA. NSA höll tyst om upptäckten och utvecklade nolldagsverktyget Eternalblue för att kunna utnyttja sårbarheten. Men Eternalblue stals senare av kriminella hackare som använde programmet för att skapa utpressningsprogrammet Wannacry.«

Det borde vara uppenbart att myndigheterna skall rapportera in säkerhetsluckor, så att de kan täppas till – istället för att lämna dem öppna för missbruk.

Detta är ett kärnproblemen med den svenska polisens hemliga dataavläsning. Den utnyttjar zero-day-sårbarheter och skapar ett intresse av att vissa av dem skall fortsätta existera – för att polisen skall ha möjlighet att installera sina spionprogram. Vilket gör oss alla mindre säkra.

Märkligt nog är det i princip helt tyst om detta i den svenska debatten. Inte ens när CS skriver om ämnet nämns den svenska hemliga dataavläsningen.

Zero-day-angrepp är alltså inte bara definitionsmässigt okända hot – utan även hot som förvärras och rent av möjliggörs genom svensk lagstiftning.

EU överväger Apples lösning för att identifiera övergrepp mot barn online

av

Förra veckan rapporterade vi om Apples plan på att granska meddelanden och bilder på avsändarens telefon och på så sätt föregripa att de sänds redan innan de krypterats – i syfte att bekämpa sexuella övergrepp mot barn (CSA). Det visade sig att detta är en lösning som Apple främst tänkt sig använda i USA. Men snabbt dök det upp information som visar att EU överväger samma modell.

I ett läckt diskussionspapper från EU-kommissionen (PDF) visar det sig att man överväger att göra i princip samma sak som Apple presenterade förra veckan och fick hård kritik för. Man kan till exempel fråga sig vad som alls är vitsen med end-to-end-krypterad (E2EE) kommunikation om den ändå granskas redan innan den hunnit krypteras och sändas. Dessutom finns en berättigad oro för ändamålsglidning, då denna metod även kan användas i andra syften och på så sätt undergräva rätten till privat kommunikation i ett vidare perspektiv.

I EU-kommissionens dokument skissas på en rad olika lösningar. Vissa är väldigt komplicerade och integritetskränkande. Några är lite enklare – till exempel ovanstående, som i princip är en kopia av vad Apple föreslagit. Men likväl illavarslande.

Vilken väg EU-kommissionen tänker föreslå är fortfarande okänt. Men det kan vara rimligt att anta att man kommer att vara öppna för en modell som redan används av en av de stora aktörerna på andra delar av dess marknad.

IT-attacken mot Coop – och polisens hemliga dataavläsning

av

IT-attacken från gruppen rEvil som bland annat tagit ner Coops kassasystem bygger enligt uppgift på en zero-day-exploit – det vill säga en tidigare okänd säkerhetslucka.

Därför är detta ett lämpligt tillfälle att påminna om att myndigheternas användning av hemlig dataavläsning bygger på att det finns säkerhetsluckor – samt att dessa förblir okända och öppna för angrepp. De är en förutsättning för att polisen skall kunna installera sina spionprogram.

Säkerhetsluckor måste uppmärksammas och åtgärdas – om vi inte skall lämna dörren öppen för till exempel ransomware (som i detta fall), nätbedragare och spioner. Men istället lämnas dessa säkerhetsluckor fortsatt öppna, med polisens goda minne. På så sätt blir vi alla mindre säkra.

Nu går det naturligtvis inte att säga om det finns en direkt koppling mellan rEvils angrepp i detta fall och svensk eller utländsk polis användning av trojaner – eftersom det är hemligt vilka verktyg som används. Men det beskriver risken på ett pedagogiskt sätt.

I det aktuella fallet skulle det behövas en haverikommission som inte bara utreder vad som skett – utan även om myndigheterna haft något ansvar för att attacken kunnat äga rum.

Tyskland utökar användning av »Bundestrojaner«

av

Den tyska förbundsdagen (Bundestag) har beslutat att utöka användningen av hemlig dataavläsning, så kallade Bundestrojaner. Nu görs den tillgänglig för fler polis och underrättelsetjänster i förbundsstaterna. Myndigheterna får även rätt att infiltrera datasystem i utlandet.

I en twist fastnade dock den federala polisens rätt att använda spionprogram i förbundsrådet (Bundesrat). Tanken var att tillåta avlyssning utan konkret misstanke om att den övervakade faktiskt begått något brott. Nu lät den delen av lagstiftningen komma att skjutas upp till efter höstens förbundsdagsval.

Matthias Monroy har en uttömmande beskrivning på sin blogg: Germany – The state hacks along »

Ett grundläggande problem med hemlig dataavläsning är att den lämnar säkerhetsluckor öppna i våra datorer och IT-system, som sedan även kan användas av till exempel kriminella och främmande makt. På så sätt gör man ironiskt nog oss alla mindre säkra.

European Digital Identity Wallets

av

Idag presenterade EU-kommissionen huvuddragen för en förordning om European Digital Identity Wallets.

Det blir lite som Bank-ID plus en wallet för saker som digitala körkort, kreditkort, licenser, försäkringsbrev, sjukvårdsinformation, recept, kollektivtrafikkort och annat som kan vara bra att ha. Det skall fungera i hela EU. Och det sägs bli frivilligt.

Alla som bott på kontinenten, med dess viktorianska folkbokföringssystem, inser vilken teknisk och praktisk revolution detta kommer att bli i vissa länder. För oss svenskar som redan har Bank-ID, en wallet i iPhonen och betalar med mobilen blir livet möjligen ytterligare lite mer bekvämt.

Det talas även om att detta nya EU-ID skall kunna användas för inloggning på till exempel sociala media. Kommissionen påpekar att användaren då kan välja vilka data hon vill dela med sig av. Här gäller det att se upp så att EU-ID inte övergår från att vara ett möjligt val till att bli obligatoriskt.

Som vi påpekade igår, så kommer detta inte utan risker vad gäller övervakning, demokrati och säkerhet. Ytterst handlar det om huruvida vi är beredda att betro staten med nyckeln till våra liv. Och då skall man tänka på att svenska folket redan lever i ett i princip kontantlöst samhälle. Man kan bli väldigt sårbar om man kommer på kant med myndigheterna.

EU-kommissionen:
• Commission proposes a trusted and secure Digital Identity for all Europeans »
• Commission proposes trusted and secure Digital Identity for all Europeans – Questions and Answers »