Henrik Alexandersson (HAX)

HAX: Hemlig dataavläsning – låt er inte luras!

Så har då utredningen om hemlig dataavläsning presenterats. Den föreslår att myndigheterna skall få installera spionprogram på folks datorer, plattor och telefoner. Med stor sannolikhet kommer regeringens proposition att ligga mycket nära utredarens förslag.

Det sägs att detta mycket integritetskränkande verktyg bara skall få användas för att bekämpa allvarlig brottslighet. Känns det igen? Det sa man om datalagringen också – som sedan kom att användas till exempel för att jaga fildelare och för att låta skattemyndigheterna snoka i folks privatliv.

Ger man staten sådana här verktyg – då är det inte en fråga om ifall utan när ändamålsglidningen kommer att ske.

Den lilla debatt som alls förekommit i media har mest handlat om detaljer. Men – vad jag har kunnat se – har den inte alls berört den stora frågan: Att det är en dålig idé att skapa bakdörrar som undergräver allas vår it-säkerhet.

Vi har redan sett hur sådana verktyg har hamnat i orätta händer efter att ha läckts från amerikanska myndigheter. Även om Sverige skulle ta fram en helt egen ”statstrojan” är det – återigen – inte en fråga om om utan när den läcker och hamnar i händerna på till exempel kriminella och främmande makt.

Dessutom bygger sådana här verktyg så gott som alltid på sårbarheter och säkerhetsluckor som är kända eller på väg att bli kända. Vilket innebär att andra mycket väl kan komma att utnyttja den bakdörr till våra datorer som politikerna nu vill öppna.

Svenska staten håller med andra ord på att bli ett hot mot svensk it-säkerhet.

Slutligen kan man konstatera att en proposition från regeringen i denna fråga kommer att bli ännu ett svek från (regeringspartiet) Miljöpartiet i integritetsfrågorna. Dess svek är nu totalt.

Låt oss se till att få upp en debatt om hemlig dataavläsning på banan så snart som möjligt – medan det fortfarande är möjligt att påverka med sakliga argument och innan positionerna blir alltför låsta.

Och vill regeringen och övervakningspartierna ha en integritetsdebatt lagom till valåret 2018 – då ska de också få en.

Battle stations!

/HAX

Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 19 november 2017. Bilden togs under en tågresa till Prag 2016. Foto: TE.

Sverige får sin första statstrojan

I dag presenterade regeringens särskilda utredare Petra Lundh delbetänkandet Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet.

Utredaren föreslår att Sverige inför en tidsbegränsad lag som tillåter ”hemlig dataavläsning”.

Regeringen förklarar vad som menas:

Med hemlig dataavläsning kan man med hjälp av tekniska hjälpmedel, till exempel programvara, i hemlighet läsa meddelanden som skickas till eller från exempelvis mobiltelefoner. Det är redan i dag tillåtet att samla in sådan information men inte alltid möjligt på grund av bland annat kryptering.

I klartext innebär detta att regeringen vill komma runt Whatsapps och andra meddelandeappars end-to-end-kryptering. Eftersom det inte är något alternativ att knäcka krypteringen återstår bara för staten att läsa meddelandena på de berördas telefoner innan de krypterats och efter att de avkrypterats.

Tyskarna har gett tekniken namnet ”statstrojan” – tyska underrättelsetjänsten BND satsade under förra året 150 miljoner euro på att försöka komma runt krypteringen i meddelandeappar, något vi berättade om i 5 juli-poddens avsnitt 31.

Och belgarna gav nyligen Big Brother-priset 2017 till ”den europeiska trenden state hacking”.

Säga vad man vill om Sveriges justitie- och inrikesminister Morgan Johansson, men han är i alla fall väldigt trendig.

FRA kritiserar FRA, typ

Är det en ödets ironi eller en ironisk blinkning att ”EU:s byrå för grundläggande rättigheter” förkortas FRA – Agency for Fundamental Rights?

Bokstäverna kommer ju inte ens i rätt ordning.

Vi vet i alla fall att byrån inrättades 2007, samma år som FRA-lagen var ett hett diskussionsämne i Sverige. (FRA-lagen röstades igenom 2008 och gav Försvarets radioanstalt ökade befogenheter att avlyssna kommunikation som passerade Sveriges gränser.)

Nu har FRA – byrån alltså, inte anstalten – släppt del två av en rapport där de undersöker hur övervakning påverkar de grundläggande rättigheterna.

FRAs grundpremiss är att “the mere existence of legislation allowing for surveillance constitutes an interference with the right to private life” – men man menar också att viss övervakning är nödvändig:

With terrorism, cyber-attacks and sophisticated cross-border criminal networks posing growing threats, the work of intelligence services has become more urgent, complex and international. Such work can strongly interfere with fundamental rights, especially privacy and data protection.

Edri har sammanfattat huvudlinjerna i rapporten:

  • Alla medlemsstater har någon form av tillsynsmyndighet för övervakningen.
  • Vissa av EUs medlemsstater har lagar där massövervakning får användas om det gynnar ”nationella intressen”. FRA kritiserar att dessa ”nationella intressen” inte specifieras.
  • Möjligheten för enskilda medborgare att få insyn i hur övervakningen går till är mycket begränsad.

Del ett av rapporten släpptes 2015, men flera terrordåd detta år gjorde att många länder ändrade sin övervakningslagstiftning snabbt, vilket föranledde del två av översynen.

 

Striden om privatsfären

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.

 

Switch

Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor

Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.

Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.

Anonymt surfande

Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.

Det var detta BND ville ta reda på.

Offentlig forskning

BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.

En gåva till NSA

Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:

The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.

Samarbete med NSA och GCHQ

BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:

One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.

Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:

Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“

Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:

The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.

Är Tor knäckt?

Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?

Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.

Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:

We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.

Peter Thiel kan bli Donald Trumps närmaste man

I avdelningen ”näste man till rakning” konstaterar vi att finansmannen Peter Thiel kan bli ordförande för USAs president Donald Trumps underrättelseråd Piab (President’s Intelligence Advisory Board).

Detta framkom i en artikel i Vanity Fair, som citeras i flera media. Thiel beskrivs som en förkämpe för integritet. En källa säger till tidningen:

“He is super-concerned about Amazon and Google”—and Facebook, less so. “He feels they have become New Age global fascists in terms of how they’re controlling the media, how they’re controlling information flows to the public, even how they’re purging people from think tanks. He’s concerned about the monopolistic tendencies of [all three] companies and how they deny economic well-being to people they disagree with.”

Peter Thiel är en av grundarna av betalningstjänstföretaget Paypal och datainsamlingsföretaget Palantir. Det senare har samarbetat med amerikanska underrättelseorganisationen NSA (National Security Agency). Thiel orsakade även rubriker när han skickade Gawker i graven efter att nyhetssajten outat Thiel som homosexuell – se tidigare inlägg på Femte juli.