Staden Baltimore är lamslagen av ett datavirus. Som utvecklades av den amerikanska underrättelse- och övervakningsmyndigheten NSA.
Youtube: American towns under cyberattack from an NSA-built software »
Underrättelseverksamhet
I denna kategori publicerar vi nyheter som har med underrättelseverksamhet och dess organisationer att göra. Detta knyter bland annat an till massövervakning, men handlar även om hur statliga aktörer samlar information och försöker påverka samhällsutvecklingen.
Säpo kräver datalagring och trojaner
Samtidigt som polisens användning av hemliga tvångsmedel (avlyssning) ökar, vill Säkerhetspolisen ha mer övervakning.
I ett pressutspel pekar Säpos chef, Klas Friberg, på tre punkter.
Den kanske minst kontroversiella punkten är att ge Säkerhetspolisen rätt att ta del av uppgifter från signalspaning även under pågående förundersökning. Detta är en konsekvens av FRA-lagstiftningen, som jag aldrig riktigt lyckats förstå. Om man ändå redan bedriver signalspaning är det bara märkligt denna information – som man alltså ändå samlar in – inte får användas i pågående förundersökningar. Eller missar jag något här?
Nästa punkt är att Säpo vill att datalagringen – som EU-domstolen upphävt på grund av att den strider mot grundläggande mänskliga rättigheter – skall återupptas.
Vilket får mig att undra: Om Säpos uppgift är att försvara den svenska demokratin, varför envisas man då med att vilja ha verktyg för övervakning som EU:s högsta domstol anser vara i strid med den demokratiska rättsstatens principer?
Den tredje punkten handlar om kryptering och stats-trojaner. Säpo ogillar kryptering, eftersom den gör det svårare för dem att övervaka folk. Samtidigt är kryptering ett viktigt, ofta nödvändigt verktyg för företag, organisationer och individer.
Att skapa bakdörrar till kryptering vore att underminera säkerheten för alla, inklusive för centrala samhällsfunktioner. Det skulle öppna dörren för allehanda cyberbrottslingar och främmande stater.
Detta vill Säpo lösa genom så kallad hemlig dataavläsning, det vill säga en stats-trojan. Genom att i hemlighet installera spionprogramvara på folks datorer, plattor och telefoner vill man kunna avlyssna, övervaka och se alla filer och allt som görs på enheten. På så sätt kommer man bland annat att komma åt information när den – i okrypterat tillstånd – skrivs in eller läses.
Återigen handlar detta om ett verktyg som – när det hamnar i orätta händer, vilket det förr eller senare kommer att göra – försämrar säkerheten för alla. Det är rena drömmen för brottslingar, spioner och trollfabriker.
Säpo borde vara angeläget om att öka IT-säkerheten, inte medvetet försvaga den.
Slutligen: Det är ingen som protesterar mot att man övervakar människor som är misstänkta för brott eller som utgör en påtaglig fara för andra. Men detta måste gå att lösa utan svepande massövervakning av hela folket – och utan att underminera vårt samhälles IT-säkerhet.
/ HAX
Internet som medborgarrättsrörelse
Ryska GRU-agenter som förgiftar kritiker i exil eller försöker hacka sig in i nätverket hos den internationella organisationen för förbud mot kemiska vapen. Saudiernas bestialiska mord på den obekväme journalisten Jamal Khashoggi, på landets konsulat i Istanbul. I alla tre fallen växer bilden fram av hur det blir allt svårare för stater att hålla smutsiga operationer hemliga i en uppkopplad värld.
Man bör visserligen hålla i minnet att i exemplen ovan kommer mycket av informationen från brittiska, nederländska och turkiska myndigheter – som naturligtvis bara släpper information som passar dem och deras agenda. Men samtidigt växer en ny form av journalistik som bygger på informationsforensik, som Bellingcat fram. Och de senare går – vad vi vet – inte i någons ledband.
Detta är i och för sig inget nytt. Till exempel kan nämnas att mycket av den information som användes i kampanjen för att försöka stoppa FRA-lagen, år 2008, fanns tillgänglig på den delen av internet som döljer sig bortom förstasidan i Googles sökresultat. Dessutom skapades synergieffekter genom att bloggare med expertis inom områden som politik, juridik, IT och medborgarrätt kunde komplettera varandra och bygga vidare på varandras uppgifter.
NSA-whistleblowern Edward Snowden och Wikileaks är exempel på hur maktens instrument kan vändas tillbaka, mot överheten helt enkelt genom att göras offentliga. Den amerikanske journalisten Barrett Brown utmanade med sitt kollaborativa research-initiativ Project PM hela det amerikanska cyber-militär-industriella komplexet och då speciellt sådan underrättelseverksamhet som hålls borta från demokratisk kontroll genom outsourcing.
I EU stoppade nätaktivismen (och dess politiska gren i form av Piratpartiet) planerna på att stänga av fildelare från internet utan föregående rättslig prövning. Det samma gäller ACTA-avtalet, som ville göra internetoperatörerna till nätpoliser. Och nu står striden om »länkskatt« och uppladdningsfilter i EU:s nya direktiv om upphovsrätt. I dessa fall handlar det såväl om att bygga en stark argumentation som att skapa uppmärksamhet och väcka en slumrande opinion.
Vad gäller EU behövs verkligen mer medborgarjournalistik och aktivism. Här är problemet att det är svårt att skapa uppmärksamhet och opinion i tid. Helt enkelt eftersom nästan ingen vet vad som är på gång. Samtidigt är många frågor som nu ligger i beredning i EU-apparaten högintressanta. Några exempel: ett initiativ mot falska nyheter; ett nytt direktiv mot terrorism; åtgärder mot hot och hat på nätet (vilket innebär inskränkningar i yttrandefriheten); vissa medlemsstaters försök att undergräva nätoperatörernas budbärarimmunitet (mere conduit).
Saken är att det alltid är lättare att försöka påverka en politisk process i dess början – innan positionerna blir låsta och prestige sätts framför fakta och medborgerliga rättigheter. Detta måste ske på nätsiter och genom nätaktivism, eftersom svenska media är urusla på att rapportera om vad som är på gång i EU. Som regel kommer media in först när vi mer eller mindre står inför fullbordat faktum. Och då blir det som vanligt i EU: Först beslutar man. Därefter debatterar man. Och slutligen tar man reda på fakta. Men då är det som regel redan för sent.
Sverige behöver mer nätaktivism, mer medborgarjournalistik, mer nätbaserad korsbefruktning av expertis från olika discipliner, fler crowdsourcade granskningar, en nätbaserad medborgarrättsrörelse – och plattformar för sådant samarbete. Vill man försvara vår frihet mot överheten, då måste det alltid ske underifrån.
Tillsammans kan vi skaka om politiken och stoppa förslag som inskränker internets öppenhet och våra medborgerliga fri- och rättigheter. Tillsammans kan vi bygga kunskapsbanker som kan mäta sig med etablerade medias grävredaktioner, myndigheter och till och med i vissa avseenden med statens underrättelseverksamhet. Tillsammans vet vi mer och har större samlad kunskap och kompetens än den fria informationens och det öppna samhällets fiender.
Vad vi behöver göra är att fundera på hur detta kan organiseras och struktureras – i så platta och decentraliserade former som möjligt.
Relaterat: Techcrunch – Khashoggi’s fate shows the flip side of the surveillance state »
HAX: Hemlig dataavläsning – låt er inte luras!
Så har då utredningen om hemlig dataavläsning presenterats. Den föreslår att myndigheterna skall få installera spionprogram på folks datorer, plattor och telefoner. Med stor sannolikhet kommer regeringens proposition att ligga mycket nära utredarens förslag.
Det sägs att detta mycket integritetskränkande verktyg bara skall få användas för att bekämpa allvarlig brottslighet. Känns det igen? Det sa man om datalagringen också – som sedan kom att användas till exempel för att jaga fildelare och för att låta skattemyndigheterna snoka i folks privatliv.
Ger man staten sådana här verktyg – då är det inte en fråga om ifall utan när ändamålsglidningen kommer att ske.
Den lilla debatt som alls förekommit i media har mest handlat om detaljer. Men – vad jag har kunnat se – har den inte alls berört den stora frågan: Att det är en dålig idé att skapa bakdörrar som undergräver allas vår it-säkerhet.
Vi har redan sett hur sådana verktyg har hamnat i orätta händer efter att ha läckts från amerikanska myndigheter. Även om Sverige skulle ta fram en helt egen ”statstrojan” är det – återigen – inte en fråga om om utan när den läcker och hamnar i händerna på till exempel kriminella och främmande makt.
Dessutom bygger sådana här verktyg så gott som alltid på sårbarheter och säkerhetsluckor som är kända eller på väg att bli kända. Vilket innebär att andra mycket väl kan komma att utnyttja den bakdörr till våra datorer som politikerna nu vill öppna.
Svenska staten håller med andra ord på att bli ett hot mot svensk it-säkerhet.
Slutligen kan man konstatera att en proposition från regeringen i denna fråga kommer att bli ännu ett svek från (regeringspartiet) Miljöpartiet i integritetsfrågorna. Dess svek är nu totalt.
Låt oss se till att få upp en debatt om hemlig dataavläsning på banan så snart som möjligt – medan det fortfarande är möjligt att påverka med sakliga argument och innan positionerna blir alltför låsta.
Och vill regeringen och övervakningspartierna ha en integritetsdebatt lagom till valåret 2018 – då ska de också få en.
Battle stations!
/HAX
Not: Det här inlägget skickade Henrik Alexandersson i ett brev från fängelset, daterat 19 november 2017. Bilden togs under en tågresa till Prag 2016. Foto: TE.
Sverige får sin första statstrojan
I dag presenterade regeringens särskilda utredare Petra Lundh delbetänkandet Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet.
Utredaren föreslår att Sverige inför en tidsbegränsad lag som tillåter ”hemlig dataavläsning”.
Regeringen förklarar vad som menas:
Med hemlig dataavläsning kan man med hjälp av tekniska hjälpmedel, till exempel programvara, i hemlighet läsa meddelanden som skickas till eller från exempelvis mobiltelefoner. Det är redan i dag tillåtet att samla in sådan information men inte alltid möjligt på grund av bland annat kryptering.
I klartext innebär detta att regeringen vill komma runt Whatsapps och andra meddelandeappars end-to-end-kryptering. Eftersom det inte är något alternativ att knäcka krypteringen återstår bara för staten att läsa meddelandena på de berördas telefoner innan de krypterats och efter att de avkrypterats.
Tyskarna har gett tekniken namnet ”statstrojan” – tyska underrättelsetjänsten BND satsade under förra året 150 miljoner euro på att försöka komma runt krypteringen i meddelandeappar, något vi berättade om i 5 juli-poddens avsnitt 31.
Och belgarna gav nyligen Big Brother-priset 2017 till ”den europeiska trenden state hacking”.
Säga vad man vill om Sveriges justitie- och inrikesminister Morgan Johansson, men han är i alla fall väldigt trendig.
FRA kritiserar FRA, typ
Är det en ödets ironi eller en ironisk blinkning att ”EU:s byrå för grundläggande rättigheter” förkortas FRA – Agency for Fundamental Rights?
Bokstäverna kommer ju inte ens i rätt ordning.
Vi vet i alla fall att byrån inrättades 2007, samma år som FRA-lagen var ett hett diskussionsämne i Sverige. (FRA-lagen röstades igenom 2008 och gav Försvarets radioanstalt ökade befogenheter att avlyssna kommunikation som passerade Sveriges gränser.)
Nu har FRA – byrån alltså, inte anstalten – släppt del två av en rapport där de undersöker hur övervakning påverkar de grundläggande rättigheterna.
FRAs grundpremiss är att “the mere existence of legislation allowing for surveillance constitutes an interference with the right to private life” – men man menar också att viss övervakning är nödvändig:
With terrorism, cyber-attacks and sophisticated cross-border criminal networks posing growing threats, the work of intelligence services has become more urgent, complex and international. Such work can strongly interfere with fundamental rights, especially privacy and data protection.
Edri har sammanfattat huvudlinjerna i rapporten:
- Alla medlemsstater har någon form av tillsynsmyndighet för övervakningen.
- Vissa av EUs medlemsstater har lagar där massövervakning får användas om det gynnar ”nationella intressen”. FRA kritiserar att dessa ”nationella intressen” inte specifieras.
- Möjligheten för enskilda medborgare att få insyn i hur övervakningen går till är mycket begränsad.
Del ett av rapporten släpptes 2015, men flera terrordåd detta år gjorde att många länder ändrade sin övervakningslagstiftning snabbt, vilket föranledde del två av översynen.
Striden om privatsfären
Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?
Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.
Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.
En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.
Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.
Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.
Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.
Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor
Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.
Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.
Anonymt surfande
Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.
Det var detta BND ville ta reda på.
Offentlig forskning
BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.
En gåva till NSA
Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:
The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.
Samarbete med NSA och GCHQ
BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:
One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.
Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:
Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“
Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:
The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.
Är Tor knäckt?
Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?
Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.
Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:
We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.
Peter Thiel kan bli Donald Trumps närmaste man
I avdelningen ”näste man till rakning” konstaterar vi att finansmannen Peter Thiel kan bli ordförande för USAs president Donald Trumps underrättelseråd Piab (President’s Intelligence Advisory Board).
Detta framkom i en artikel i Vanity Fair, som citeras i flera media. Thiel beskrivs som en förkämpe för integritet. En källa säger till tidningen:
“He is super-concerned about Amazon and Google”—and Facebook, less so. “He feels they have become New Age global fascists in terms of how they’re controlling the media, how they’re controlling information flows to the public, even how they’re purging people from think tanks. He’s concerned about the monopolistic tendencies of [all three] companies and how they deny economic well-being to people they disagree with.”
Peter Thiel är en av grundarna av betalningstjänstföretaget Paypal och datainsamlingsföretaget Palantir. Det senare har samarbetat med amerikanska underrättelseorganisationen NSA (National Security Agency). Thiel orsakade även rubriker när han skickade Gawker i graven efter att nyhetssajten outat Thiel som homosexuell – se tidigare inlägg på Femte juli.