Femte juli

Nätet till folket!

Världen

Nyheter och notiser från övriga världen, utöver Europa och USA.

Tacka NSA för de senaste utpressningsvirusen

av

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.

Pornhub inför ansiktsigenkänning

av

Den amerikanska porrsajten Pornhub berättar i ett pressmeddelande att de håller på att införa ansiktsigenkänning av personerna som förekommer i videorna på sajten.

Genom maskininlärning har Pornhub lyckats få systemet att känna igen 10 000 professionella porrstjärnor, vars filmer nu kan hittas lättare av besökarna. Hittills har man skannat igenom 50 000 filmer, men under det kommande året ska Pornhubs samtliga fem miljoner videor skannas.

Naturligtvis väcker detta frågor. Till exempel om hur ansiktsigenkänning påverkar de glada amatörer som lägger upp sina egna filmer från sovrummet. I nästa steg skulle ansiktsigenkänning kunna kopplas till sociala media-konton, vilket kanske skulle ses som olyckligt av många.

Detta är Pornhub medvetna om, och kommer därför bara tillämpa ansiktsigenkänningen på kända porrstjärnor. Men som tyska Netzpolitik skriver:

Även om Pornhub använder teknologin etiskt oklanderligt, så är det inte uteslutet att tredje part kan använda den allt lättillgängligare mjukvaran för ansikts- och mönsterigenkänning för att avslöja skådespelare och även offer för hemliga inspelningar, för att stalka dem eller pressa dem.

(Auch wenn Pornhub die Technologie ethisch einwandfrei anwendet, ist nicht ausgeschlossen, dass die in den nächsten Jahren immer einfacher verfügbare Software für Gesichts- und Mustererkennung von Dritten genutzt werden kann, um Darstellerinnen und Darsteller sowie Opfer heimlicher Aufnahmen zu enttarnen, zu stalken oder unter Druck zu setzen.)

Pornhub grundades 2007 och säger sig vara världens största porrsajt med över 80 miljoner besökare per dag.

Trevlig helg!

Kroppskameran avslöjade polisen – nu vill åklagaren ändra lagen

av

I det allra sista avsnittet (för den här gången i alla fall) av 5 juli-podden tog vi upp en nyhet från Baltimore i USA:

En polis hade satt på kroppskameran för att spela in hur man letade efter knark och även hittade detta. Men en funktion hos kroppskameran som tar med 30 sekunders inspelning innan man sätter på den verkade visa hur polisen först lägger knarket på plats. Det hela såg ut som bevisplantering och Baltimores åklagare var tvungen att lägga ner ett antal ärenden eftersom polisens bevis inte höll längre.

Nu har Baltimores chefsåklagare och två medlemmar i Baltimores ”county council” lagt ett förslag som ska begränsa allmänhetens möjligheter att ta del av det som polisens kroppskameror filmat:

Baltimore County’s top prosecutor and two members of the County Council want state lawmakers to consider tightening rules that govern public access to police body camera footage. They say they’re concerned about the potential for invasions of privacy.

American Civil Liberties Union (ACLU) är kritiska:

The ACLU has opposed legislation to limit access to police video, saying it’s critical that the public be able to view police interactions with citizens.

Rådet ska rösta om förslaget den 16 oktober 2017.

Ta tillbaka makten över dina data!

av

Ravi Naik inleder en debattartikel i The Guardian med att citera Cyberspacemanifestet från 1996:

Your legal concepts of property, expression, identity, movement, and context do not apply to us.

Hans poäng verkar vara att företag kidnappat denna radikala syn på data – och vänt den mot användarna:

We are at a watershed moment of a citizen-led demand for data rights, with the hallmarks of a new civil rights movement enmeshed within it. However, the efficacy of any laws depends on individuals relying on them. The gift is in your hands. This is your data; these are your rights.

Vad vet dejtingappen om dig?

av

Enligt EUs datalagringsdirektiv har man som användare rätt att begära ut alla data som ett företag har lagrade om en. Denna rättighet verkar främst utnyttjas av journalister.

Nu senast har den franska men i Berlin bosatta journalisten Judith Duportail begärt ut sina data från dejtingappen Tinder, som ägs av amerikanska Match Group. När Tinder väl accepterat utlämnandet – och detta först efter påtryckningar från en advokat – fick Duportail en lunta på 800 A4-sidor:

Some 800 pages came back containing information such as my Facebook “likes”, my photos from Instagram (even after I deleted the associated account), my education, the age-rank of men I was interested in, how many times I connected, when and where every online conversation with every single one of my matches happened … the list goes on.

För några år sedan gjorde den tyske politikern Malte Spitz ett liknande experiment, då han begärde ut sina data från teleoperatören Telekom. Även där krävdes det en del juridik – ja, en stämning rentav – innan Telekom gav med sig. Resultatet presesenterades i nyhetsmagasinet Die Zeit, som fick Spitz tillåtelse att lägga pussel med hans data för att visa vilken skrämmande komplett bild dessa data kan ge av en människa.

De två fallen skiljer sig åt på en väsentlig punkt:

I tinderfallet handlar det om data som vi villigt lämnar ifrån oss för att tjänsten över huvud taget ska fungera. Självklart måste Duportail ange sina ålderspreferenser om hon vill bli presenterad för tänkbara partner i den åldern.

Vad gäller Telekom handlar det i stället om en total uppsugning av alla öppna data som en persons uppkopplade enhet lämnar ifrån sig, och som varken teleoperatören eller staten har att göra med.

Det är ödet för denna andra typ av generell datalagring som nu avgörs i ett antal EU-länder, inte minst Sverige, efter att EU-domstolen ogiltigförklarat den.

Allvarligt säkerhetshål i färska Macos 10.13 High Sierra

av

High Sierra, som den senaste versionen av Apples operativsystem Macos heter, har i dagarna gett macanvändare världen över en ny bakgrundsbild med den amerikanska bergskedjan i höstskrud. Vackert!

I övrigt låg de flesta nyheterna under huven. Vi har berättat om de nya säkerhetsfunktionerna i webbläsaren Safari, som bland annat blockerar vissa typer av cookies från alltför aggressiva annonsörer. Denna nyhet i Ios 11 har alltså nu också kommit till Macos 10.13 High Sierra.

Men allt är inte frid och fröjd. Säkerhetsanalytikern Patrick Wardle har hittat ett allvarligt säkerhetshål i funktionen Keychain, där han lyckades komma åt användares lagrade lösenord i klartext:

Normally, all Keychain information is locked down with a user’s master password. But Wardle was able to extract passwords from the Keychain without entering a master password, showing that an attacker with access to an unlocked computer might be able to steal Keychain data.

Hacket funkar även i äldre versioner av Macos. Wardle rapporterade buggen till Apple den 7 september 2017 och säger till Gizmodo att han räknar med att Apple snart släpper en patch. Tills dess kommer han inte att göra hacket offentligt.

De macanvändare som angett ett separat huvudlösenord för Keychain berörs inte av säkerhetshålet.

Striden om privatsfären

av

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.

 

Vem försöker attackera nätaktivister?

av

Amerikanska Electronic Frontier Foundations (EFF) rapport Phish for the Future går igenom de phishingförsök som människorättsaktivister på organisationerna Free Press och Fight for the Future blivit utsatta för.

Det intressanta är att det inte handlar om phishing i form av massutskick, utan om ”spear phishing” – alltså riktade phishingförsök. Angriparna har i många fall varit ihärdiga och inte gett upp om den första attacken misslyckats. Rapporten beskriver en synnerligen intrikat attack:

One attempt, which targeted Evan Greer, Campaign Director of Fight For The Future, pretended to be a question about where to find the link to buy her music, which is available online. Evan replied with a link. The attacker replied with an email in which they complained that the link was not working correctly, having replaced the link with a phishing page made to look like a Gmail login.

Andra mejl kunde innehålla clickbaitrubriker om Donald Trump, fri press, demokrati och andra beten som man hoppades att de anställda på just dessa organisationer skulle nappa på.

Frågan är vem eller vilka som ligger bakom attackerna. EFF skriver:

Although this phishing campaign does not appear to have been carried out by a nation-state actor and does not involve malware, it serves as an important reminder that civil society is under attack.

Slutligen konstaterar EFF att tvåfaktorsautentisering effektivt stoppar den här typen av phishingförsök.

Europa ber USA att inte riva ut internets själ

av

Edri (European Digital Rights) har tillsammans med 200 andra organisationer utanför USA skrivit ett öppet brev till FCC (Federal Communications Commission), där de uppmanar den amerikanska myndigheten att behålla reglerna för nätneutralitet:

An FCC rollback of net neutrality provisions would grant US Internet service providers like AT&T, Comcast and Verizon new powers to control the Internet. Ultimately, these changes will allow US Internet access providers to demand payment from online services for the right to have privileged access to that provider’s customer base, creating a patchwork of new monopolies to replace the existing open market. This will fragment the market, destroy economies of scale, reduce incentives for innovation, undermine social movements and rip the soul out of the Internet.

Vi skriver om bakgrunden här: Nätneutraliteten hotad i USA

Mark Zuckerbergs tal till nationen

av

När Facebooks grundare och vd Mark Zuckerberg sänder live, då är det en händelse i samma liga som amerikanska presidenters ”state of the union”-tal.

Zuckerberg berättade att Facebook kommer att dela information om politiska annonser med den amerikanska kongressen, så att kongressen kan utreda på vilket sätt ryska ”trollfarmer” försökt påverka facebookanvändarna.

Facebook har tidigare nekat kongressen denna information med hänvisning till sekretess för användarna. Vändningen förklarar Zuckerberg så här:

I don’t want anyone to use our tools to undermine democracy. That’s not what we stand for.

Gizmodo har sammanfattat hela talet.