Privacy International: How bulk interception works

Storbritannien och Sydafrika medger bulk-avlyssning av internetkablar. Men Sverige..?

Privacy International rapporterar:

»Six years after NSA contractor Edward Snowden leaked documents providing details about how states’ mass surveillance programmes function, two states – the UK and South Africa – publicly admit using bulk interception capabilities.

Both governments have been conducting bulk interception of internet traffic by tapping undersea fibre optic cables landing in the UK and South Africa respectively in secret for years.«

Detta handlar om ett samarbete för global övervakning där vi – genom Edward Snowdens avslöjanden och efter utfrågningar i Europaparlamentet – vet att Sverige spelar en viktig roll.

Det rör dels den tele- och datatrafik som passerar Sveriges gränser som sådan. FRA-lagen möjliggör övervakning, skanning och analys av all sådan trafik. (Vilket omfattar det mesta vi gör på nätet.) Dels vilka Sverige delar denna information med och vad vi i så fall får i utbyte.

Under Europaparlamentets utfrågningar om massövervakningen 2013-14 framkom att den svenska signalspaningen i kabel i princip gjort oss till det »sjätte ögat« i det så kallade »Five Eyes«-samarbetet i vilket USA, Storbritannien, Kanada, Australien och Nya Zeeland samlar in så mycket trafikdata och innehåll som de kommer åt.

Att Sverige är en viktig aktör i detta samarbete kan illustreras med att svenska FRA (enligt bl.a. Snowden-läckan) har tillgång till den amerikanska spiondatabasen XKeyscore, ofta kallad spionernas Google. Den innehåller sådant som uppsnappats genom massövervakningen och som man tror kan vara bra att ha. Databasen innehåller med säkerhet uppgifter om svenskar och svenska förhållanden. Vilket i stora delar är information som FRA aldrig skulle få laglig rätt att samla in på egen hand – men alltså ändå har tillgång till via XKeyscore.

Men om detta finns idag ingen offentlig diskussion i Sverige.

Privacy International: Two states admit bulk interception practices: why does it matter? »

Trump vill göra sociala media till pre-crime-verktyg

Efter varje tragisk masskjutning i USA utbryter ett intensivt fingerpekande – och ett antal mer eller mindre genomtänkta förslag läggs fram. Denna gång är det president Trump som vill att sociala media skall användas för att i förväg identifiera potentiella massmördare. Vilket är en betydligt mer komplicerad fråga än man först skulle kunna tro.

President Trump, enligt The Verge:

»I am directing the Department of Justice to work in partnership with local state and federal agencies, as well as social media companies, to develop tools that can detect mass shooters before they strike.«

Pre-crime-tools är till sin natur vanskliga, eftersom de rör brott som ännu inte begåtts – och som kanske aldrig kommer att begås. Folk säger och skriver en massa konstiga saker. Vad som bara är ord och vad som är verkliga hot kan vara svårt att avgöra – och antalet »falska positiva« blir ohanterligt stort även om analysverktygen har hög träffsäkerhet. (Vilket de knappast har.)

Nu rapporterar sociala media redan akuta hot som de upptäcker eller tipsas om till myndigheterna. Man har även teknik som syftar till att identifiera terror-relaterat innehåll och det finns rutiner för att försöka förhindra självmord. Vilket i sammanhanget är mindre komplicerat än att försöka identifiera potentiellt farliga individer i ett brett spektrum.

Förmodligen är det bästa verktyget andra användare som gör plattformen eller myndigheterna uppmärksamma på att våldsamma handlingar kan vara förestående.

Vox recode skriver:

As Ben Wizner, a lawyer for the ACLU, put it, “The problem with that is we don’t yet have the tech to determine pre-crime, Minority Report notwithstanding. We need to understand that even if all mass shooters have said X, the vast majority of people who have said X don’t become mass shooters.”

What’s more likely to happen is that all sorts of speech — and people — would get swept up in the technology dragnets Trump seems to be proposing.

Och vad gör det med ett samhälle – om dess medborgare måste tänka på att allt de uttrycker kommer att granskas och analyseras av myndigheterna? Speciellt som risken är att få dörren inslagen av polis i en gryningsräd och att man kan komma att hållas fängslad tills allt (förhoppningsvis) reds ut.

Dessutom riskerar Trumps förslag att bli en symbolhandling, medan de verkliga orsakerna (vilka de nu är) och de meningsfulla motåtgärderna förbigås.

Länkar:
• Trump wants social media to detect mass shooters before they commit crimes »
• Trump Calls On Social Media Companies To Become Pre-Crime Agents »
• Trump calls for social media companies to ‘detect mass shooters before they strike’

Det ständiga kriget om kryptering

I årtionden har det rasat en strid där myndigheter i olika länder antingen vill förbjuda kryptering eller ha »bakdörrar« till krypterade meddelandetjänster. Nu senast är det US Attorney General William Barr som givit sig in i debatten:

While speaking today in New York, Barr demanded eavesdropping mechanisms be added to consumer-level software and devices, mechanisms that can be used by investigators to forcibly decrypt and pry into strongly end-to-end encrypted chats, emails, files, and calls. No ifs, no buts.

Men inte heller Barr kan förklara hur man skall kunna knäcka krypterade meddelanden utan att skapa säkerhetsluckor som kan utnyttjas av till exempel kriminella, terrorister eller främmande makt. Och vi vet ju att myndigheternas olika övervakningsverktyg förr eller senare läcker ut till obehöriga.

Dessutom håller ordningsmakt och säkerhetstjänster i ett antal länder på att lansera »stats-trojaner«, det vill säga spionprogram som låter myndigheterna övervaka misstänktas datorer och smarta enheter – för att bland annat kunna fånga upp data innan den krypteras och efter att den blivit avkrypterad. Även detta är ett otrevligt och integritetskränkande verktyg som lätt kan hamna i orätta händer och missbrukas. Men det inriktas i vart fall (lämpligen) mot människor som faktiskt är misstänkta för något brottsligt, inte mot hela befolkningen. Så myndigheterna har faktiskt redan ett slags bakdörr. (I Sverige är en lag om »hemlig dataavläsning« på väg till riksdagen.)

Samtidigt finns det ingen politiker i världen som (på ett rimligt sätt) kan förbjuda kryptering som sådan eller kräva bakdörrar till exempelvis privat, end-to-end-krypterad e-post. Den som verkligen vill kunna sända och ta emot krypterade meddelanden som myndigheterna inte kan läsa kommer alltid att kunna göra det. Det går liksom inte att »av-uppfinna« krypteringen.

Länkar:
• Tech firms “can and must” put backdoors in encryption, AG Barr says »
• Low Barr: Don’t give me that crap about security, just put the backdoors in the encryption, roars US Attorney General »
• EFF: Don’t Let Encrypted Messaging Become a Hollow Promise »

Säpo kräver datalagring och trojaner

Samtidigt som polisens användning av hemliga tvångsmedel (avlyssning) ökar, vill Säkerhetspolisen ha mer övervakning.

I ett pressutspel pekar Säpos chef, Klas Friberg, på tre punkter.

Den kanske minst kontroversiella punkten är att ge Säkerhetspolisen rätt att ta del av uppgifter från signalspaning även under pågående förundersökning. Detta är en konsekvens av FRA-lagstiftningen, som jag aldrig riktigt lyckats förstå. Om man ändå redan bedriver signalspaning är det bara märkligt denna information – som man alltså ändå samlar in – inte får användas i pågående förundersökningar. Eller missar jag något här?

Nästa punkt är att Säpo vill att datalagringen – som EU-domstolen upphävt på grund av att den strider mot grundläggande mänskliga rättigheter – skall återupptas.

Vilket får mig att undra: Om Säpos uppgift är att försvara den svenska demokratin, varför envisas man då med att vilja ha verktyg för övervakning som EU:s högsta domstol anser vara i strid med den demokratiska rättsstatens principer?

Den tredje punkten handlar om kryptering och stats-trojaner. Säpo ogillar kryptering, eftersom den gör det svårare för dem att övervaka folk. Samtidigt är kryptering ett viktigt, ofta nödvändigt verktyg för företag, organisationer och individer.

Att skapa bakdörrar till kryptering vore att underminera säkerheten för alla, inklusive för centrala samhällsfunktioner. Det skulle öppna dörren för allehanda cyberbrottslingar och främmande stater.

Detta vill Säpo lösa genom så kallad hemlig dataavläsning, det vill säga en stats-trojan. Genom att i hemlighet installera spionprogramvara på folks datorer, plattor och telefoner vill man kunna avlyssna, övervaka och se alla filer och allt som görs på enheten. På så sätt kommer man bland annat att komma åt information när den – i okrypterat tillstånd – skrivs in eller läses.

Återigen handlar detta om ett verktyg som – när det hamnar i orätta händer, vilket det förr eller senare kommer att göra – försämrar säkerheten för alla. Det är rena drömmen för brottslingar, spioner och trollfabriker.

Säpo borde vara angeläget om att öka IT-säkerheten, inte medvetet försvaga den.

Slutligen: Det är ingen som protesterar mot att man övervakar människor som är misstänkta för brott eller som utgör en påtaglig fara för andra. Men detta måste gå att lösa utan svepande massövervakning av hela folket – och utan att underminera vårt samhälles IT-säkerhet.

/ HAX

Internet som medborgarrättsrörelse

Ryska GRU-agenter som förgiftar kritiker i exil eller försöker hacka sig in i nätverket hos den internationella organisationen för förbud mot kemiska vapen. Saudiernas bestialiska mord på den obekväme journalisten Jamal Khashoggi, på landets konsulat i Istanbul. I alla tre fallen växer bilden fram av hur det blir allt svårare för stater att hålla smutsiga operationer hemliga i en uppkopplad värld.

Man bör visserligen hålla i minnet att i exemplen ovan kommer mycket av informationen från brittiska, nederländska och turkiska myndigheter – som naturligtvis bara släpper information som passar dem och deras agenda. Men samtidigt växer en ny form av journalistik som bygger på informationsforensik, som Bellingcat fram. Och de senare går – vad vi vet – inte i någons ledband.

Detta är i och för sig inget nytt. Till exempel kan nämnas att mycket av den information som användes i kampanjen för att försöka stoppa FRA-lagen, år 2008, fanns tillgänglig på den delen av internet som döljer sig bortom förstasidan i Googles sökresultat. Dessutom skapades synergieffekter genom att bloggare med expertis inom områden som politik, juridik, IT och medborgarrätt kunde komplettera varandra och bygga vidare på varandras uppgifter.

NSA-whistleblowern Edward Snowden och Wikileaks är exempel på hur maktens instrument kan vändas tillbaka, mot överheten helt enkelt genom att göras offentliga. Den amerikanske journalisten Barrett Brown utmanade med sitt kollaborativa research-initiativ Project PM hela det amerikanska cyber-militär-industriella komplexet och då speciellt sådan underrättelseverksamhet som hålls borta från demokratisk kontroll genom outsourcing.

I EU stoppade nätaktivismen (och dess politiska gren i form av Piratpartiet) planerna på att stänga av fildelare från internet utan föregående rättslig prövning. Det samma gäller ACTA-avtalet, som ville göra internetoperatörerna till nätpoliser. Och nu står striden om »länkskatt« och uppladdningsfilter i EU:s nya direktiv om upphovsrätt. I dessa fall handlar det såväl om att bygga en stark argumentation som att skapa uppmärksamhet och väcka en slumrande opinion.

Vad gäller EU behövs verkligen mer medborgarjournalistik och aktivism. Här är problemet att det är svårt att skapa uppmärksamhet och opinion i tid. Helt enkelt eftersom nästan ingen vet vad som är på gång. Samtidigt är många frågor som nu ligger i beredning i EU-apparaten högintressanta. Några exempel: ett initiativ mot falska nyheter; ett nytt direktiv mot terrorism; åtgärder mot hot och hat på nätet (vilket innebär inskränkningar i yttrandefriheten); vissa medlemsstaters försök att undergräva nätoperatörernas budbärarimmunitet (mere conduit).

Saken är att det alltid är lättare att försöka påverka en politisk process i dess början – innan positionerna blir låsta och prestige sätts framför fakta och medborgerliga rättigheter. Detta måste ske på nätsiter och genom nätaktivism, eftersom svenska media är urusla på att rapportera om vad som är på gång i EU. Som regel kommer media in först när vi mer eller mindre står inför fullbordat faktum. Och då blir det som vanligt i EU: Först beslutar man. Därefter debatterar man. Och slutligen tar man reda på fakta. Men då är det som regel redan för sent.

Sverige behöver mer nätaktivism, mer medborgarjournalistik, mer nätbaserad korsbefruktning av expertis från olika discipliner, fler crowdsourcade granskningar, en nätbaserad medborgarrättsrörelse – och plattformar för sådant samarbete. Vill man försvara vår frihet mot överheten, då måste det alltid ske underifrån.

Tillsammans kan vi skaka om politiken och stoppa förslag som inskränker internets öppenhet och våra medborgerliga fri- och rättigheter. Tillsammans kan vi bygga kunskapsbanker som kan mäta sig med etablerade medias grävredaktioner, myndigheter och till och med i vissa avseenden med statens underrättelseverksamhet. Tillsammans vet vi mer och har större samlad kunskap och kompetens än den fria informationens och det öppna samhällets fiender.

Vad vi behöver göra är att fundera på hur detta kan organiseras och struktureras – i så platta och decentraliserade former som möjligt.

 

Relaterat: Techcrunch – Khashoggi’s fate shows the flip side of the surveillance state »

Henrik Alexandersson (HAX)

HAX: Hemlig dataavläsning – låt er inte luras!

Så har då utredningen om hemlig dataavläsning presenterats. Den föreslår att myndigheterna skall få installera spionprogram på folks datorer, plattor och telefoner. Med stor sannolikhet kommer regeringens proposition att ligga mycket nära utredarens förslag.

Det sägs att detta mycket integritetskränkande verktyg bara skall få användas för att bekämpa allvarlig brottslighet. Känns det igen? Det sa man om datalagringen också – som sedan kom att användas till exempel för att jaga fildelare och för att låta skattemyndigheterna snoka i folks privatliv.

Ger man staten sådana här verktyg – då är det inte en fråga om ifall utan när ändamålsglidningen kommer att ske.

Den lilla debatt som alls förekommit i media har mest handlat om detaljer. Men – vad jag har kunnat se – har den inte alls berört den stora frågan: Att det är en dålig idé att skapa bakdörrar som undergräver allas vår it-säkerhet.

Vi har redan sett hur sådana verktyg har hamnat i orätta händer efter att ha läckts från amerikanska myndigheter. Även om Sverige skulle ta fram en helt egen ”statstrojan” är det – återigen – inte en fråga om om utan när den läcker och hamnar i händerna på till exempel kriminella och främmande makt.

Dessutom bygger sådana här verktyg så gott som alltid på sårbarheter och säkerhetsluckor som är kända eller på väg att bli kända. Vilket innebär att andra mycket väl kan komma att utnyttja den bakdörr till våra datorer som politikerna nu vill öppna.

Svenska staten håller med andra ord på att bli ett hot mot svensk it-säkerhet.

Slutligen kan man konstatera att en proposition från regeringen i denna fråga kommer att bli ännu ett svek från (regeringspartiet) Miljöpartiet i integritetsfrågorna. Dess svek är nu totalt.

Låt oss se till att få upp en debatt om hemlig dataavläsning på banan så snart som möjligt – medan det fortfarande är möjligt att påverka med sakliga argument och innan positionerna blir alltför låsta.

Och vill regeringen och övervakningspartierna ha en integritetsdebatt lagom till valåret 2018 – då ska de också få en.

Battle stations!

/HAX

Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 19 november 2017. Bilden togs under en tågresa till Prag 2016. Foto: TE.

Sverige får sin första statstrojan

I dag presenterade regeringens särskilda utredare Petra Lundh delbetänkandet Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet.

Utredaren föreslår att Sverige inför en tidsbegränsad lag som tillåter ”hemlig dataavläsning”.

Regeringen förklarar vad som menas:

Med hemlig dataavläsning kan man med hjälp av tekniska hjälpmedel, till exempel programvara, i hemlighet läsa meddelanden som skickas till eller från exempelvis mobiltelefoner. Det är redan i dag tillåtet att samla in sådan information men inte alltid möjligt på grund av bland annat kryptering.

I klartext innebär detta att regeringen vill komma runt Whatsapps och andra meddelandeappars end-to-end-kryptering. Eftersom det inte är något alternativ att knäcka krypteringen återstår bara för staten att läsa meddelandena på de berördas telefoner innan de krypterats och efter att de avkrypterats.

Tyskarna har gett tekniken namnet ”statstrojan” – tyska underrättelsetjänsten BND satsade under förra året 150 miljoner euro på att försöka komma runt krypteringen i meddelandeappar, något vi berättade om i 5 juli-poddens avsnitt 31.

Och belgarna gav nyligen Big Brother-priset 2017 till ”den europeiska trenden state hacking”.

Säga vad man vill om Sveriges justitie- och inrikesminister Morgan Johansson, men han är i alla fall väldigt trendig.

FRA kritiserar FRA, typ

Är det en ödets ironi eller en ironisk blinkning att ”EU:s byrå för grundläggande rättigheter” förkortas FRA – Agency for Fundamental Rights?

Bokstäverna kommer ju inte ens i rätt ordning.

Vi vet i alla fall att byrån inrättades 2007, samma år som FRA-lagen var ett hett diskussionsämne i Sverige. (FRA-lagen röstades igenom 2008 och gav Försvarets radioanstalt ökade befogenheter att avlyssna kommunikation som passerade Sveriges gränser.)

Nu har FRA – byrån alltså, inte anstalten – släppt del två av en rapport där de undersöker hur övervakning påverkar de grundläggande rättigheterna.

FRAs grundpremiss är att “the mere existence of legislation allowing for surveillance constitutes an interference with the right to private life” – men man menar också att viss övervakning är nödvändig:

With terrorism, cyber-attacks and sophisticated cross-border criminal networks posing growing threats, the work of intelligence services has become more urgent, complex and international. Such work can strongly interfere with fundamental rights, especially privacy and data protection.

Edri har sammanfattat huvudlinjerna i rapporten:

  • Alla medlemsstater har någon form av tillsynsmyndighet för övervakningen.
  • Vissa av EUs medlemsstater har lagar där massövervakning får användas om det gynnar ”nationella intressen”. FRA kritiserar att dessa ”nationella intressen” inte specifieras.
  • Möjligheten för enskilda medborgare att få insyn i hur övervakningen går till är mycket begränsad.

Del ett av rapporten släpptes 2015, men flera terrordåd detta år gjorde att många länder ändrade sin övervakningslagstiftning snabbt, vilket föranledde del två av översynen.

 

Striden om privatsfären

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.