Femte juli

Nätet till folket!

Så kan GDPR användas för att komma åt andras privata information

av

EU:s dataskyddsförordning – GDPR – var tänkt att ge användare ökad kontroll över sina egna data. Nu visar det sig att rätten att få ut persondata lätt kan missbrukas av andra.

Vice berättar om en student som arbetar med cybersäkerhet kunde få ut oroväckande mycket informatioin om sin flickvän (som givit honom sitt medgivande för experimentet).

He started with just Knerr’s full name, a couple of email addresses, phone numbers, and any other low-hanging fruit that he could find online. In other words, “the weakest possible form of attack,” as he put it in his paper. Then, he sent requests to 75 companies, and then to another 75 using the new data—such as home addresses—he found through the first wave of requests using an email address designed to look like that of Knerr.

Thanks to these requests, Pavur was able to get his fiance’s Social Security Number, date of birth, mother’s maiden name, passwords, previous home addresses, travel and hotel logs, high school grades, partial credit card numbers, and whether she had ever been a user of online dating services.

Nu var det inte alla företag som lämnade ut information lika lättvindigt. Men tillräckligt många för att det skall vara ett problem.

According to Pavur and Knerr, 25 percent of companies he contacted never responded. Two thirds of companies, including online dating services, responded with enough information to reveal that Pavur’s fiance had an account with them. Of those who responded, 25 percent provided sensitive data without properly verifying the identity of the sender. Another 15 percent requested data that could have easily been forged, while 40 percent requested identifying information that would’ve been relatively hard to fake, according to the study.

Att sparas under rubriken oförutsedda och oönskade konsekvenser.

Länk: Researchers Show How Europe’s Data Protection Laws Can Dox People »

Nästa stridsfråga: Hemlig dataavläsning

av

Enligt regeringens plan skall förslaget om hemlig dataavläsning gå till riksdagen i september. Än så länge har vi dock varken sett någon lagrådsremiss eller proposition, vilket möjligen tyder på att regeringen vet att detta kommer att bli en stridsfråga.

Vad är då hemlig dataavläsning? Från regeringens hemsida:

»Utredningens utgångspunkt har varit att hemlig dataavläsning är en metod för de brottsbekämpande myndigheterna att med någon form av tekniskt hjälpmedel i hemlighet bereda sig tillgång till en dator eller annan teknisk utrustning som kan användas för kommunikation och därigenom få besked om hur utrustningen används eller har använts och vilken information som finns i den.

Med metoden kan man komma åt både uppgifter som i dag får hämtas in med nuvarande hemliga tvångsmedel, till exempel innehåll i meddelanden, och uppgifter som i dag inte får hämtas in med hemliga tvångsmedel, till exempel uppgifter som finns lagrade i en dator eller telefon.«

Även om vissa partier vill ha en »avvägning« mellan myndigheternas påstådda behov och rätten till privatliv (vilket med nödvändighet innebär en inskränkning av rätten till privatliv) – så finns det en bred majoritet för förslaget i riksdagen.

Vilka är då problemen?

  • Staten bereder sig tillgång till medborgarnas datorer och smarta enheter och får då tillgång till bland annat alla kontakter, bilder, filmer, meddelanden, kalendrar och filer som finns på dem. Liksom kamera och mikrofon. Myndigheterna kan då även läsa krypterade meddelanden innan de krypteras eller efter att de avkrypteras. Detta är ett omfattande ingrepp i den personliga integriteten.
  • Om staten skall agera hackare kommer de säkerhetshål som används att förbli okända istället för att rapporteras och åtgärdas. Detta gör våra datorer sårbara för attacker och spionage från till exempel kriminella element och främmande makt. På så sätt gör förslaget oss alla – privatpersoner, företag och myndigheter – mindre säkra.
  • En fråga är om staten kommer att utveckla egna spionprogram – eller om man kommer att köpa dem av främmande makt eller kanske rent av på den svarta marknaden, vilket knappast är lämpligt.
  • Även om regeringen menar att hemlig dataavläsning bara kommer att användas för att utreda ett fåtal allvarliga brott – så vet vi från till exempel datalagringen att det finns risk för ändamålsglidning. Det vill säga att verktyget med tiden kommer att användas för att utreda mer bagatellartade brott, där intrånget i den personliga integriteten inte står i proportion till den eventuella nyttan. Dessutom tenderar tillstånd för att använda denna typ av hemliga tvångsmedel att beviljas slentrianmässigt.

Det finns många fler invändningar, vilket bland annat påpekats av Datainspektionen och Advokatsamfundet.

Förmodligen kommer en lagrådsremiss så snart riksdagen samlas igen efter sommaren. Och då gäller det att vara inläst på argumenten, att försöka lyfta frågan i debatten och att påpeka förslagets svagheter.

/ HAX

Länk till regeringens hemsida: Hemlig dataavläsning – ett viktigt verktyg i kampen mot allvarlig brottslighet »

Warshipping: Hacking med fysiska paket

av

Medan nästan all uppmärksamhet riktas mot traditionella online-metoder för dataintrång, så rapporterar säkerhetsforskarna på IBM X-Force Red om en lucka de upptäckt: Post/budpaket med inbyggd utrustning för att komma åt WiFi-nätverk.

BoingBoing förklarar:

The device scans for visible wifi networks; once it senses a network associated with its target (indicating that it has arrived on the target company’s premises), it alerts its controllers over the cellular radio, and then scans the local wifi for instance in which users’ devices are initiating new connections to the network. It captures the handshake data from these connections, transmits them over the cellular network to its controllers, and they can then crack the password offline, send login credentials to the warshipping device, login to the target network, and attack the network from within.

Länkar:
• With warshipping, hackers ship their exploits directly to their target’s mail room »
• Warshipping: attack a target network by shipping a cellular-enabled wifi cracker to a company’s mail-room »

Youtube backar om SwebTV

av

Youtube backar och återställer SwebTV:s kanal på plattformen.

Detta får nog ses som ett resultat av all den uppmärksamhet avstängningen fått. Att kanalen har många följare och prenumeranter kan också ha spelat in.

Dessutom är frågan politiskt känslig. Det faktum att justitieminister Morgan Johansson (S) tidigare haft ett allvarligt samtal med de sociala plattformarna har av många kopplats till avstängningen. Sådant kan få konsekvenser. Som när utrikesminister Laila Freivalds (S) fick avgå efter att UD och Säpo 2006 förmått ett webhotell att stänga ner en SD-anknuten nätpublikation.

Trump vill göra sociala media till pre-crime-verktyg

av

Efter varje tragisk masskjutning i USA utbryter ett intensivt fingerpekande – och ett antal mer eller mindre genomtänkta förslag läggs fram. Denna gång är det president Trump som vill att sociala media skall användas för att i förväg identifiera potentiella massmördare. Vilket är en betydligt mer komplicerad fråga än man först skulle kunna tro.

President Trump, enligt The Verge:

»I am directing the Department of Justice to work in partnership with local state and federal agencies, as well as social media companies, to develop tools that can detect mass shooters before they strike.«

Pre-crime-tools är till sin natur vanskliga, eftersom de rör brott som ännu inte begåtts – och som kanske aldrig kommer att begås. Folk säger och skriver en massa konstiga saker. Vad som bara är ord och vad som är verkliga hot kan vara svårt att avgöra – och antalet »falska positiva« blir ohanterligt stort även om analysverktygen har hög träffsäkerhet. (Vilket de knappast har.)

Nu rapporterar sociala media redan akuta hot som de upptäcker eller tipsas om till myndigheterna. Man har även teknik som syftar till att identifiera terror-relaterat innehåll och det finns rutiner för att försöka förhindra självmord. Vilket i sammanhanget är mindre komplicerat än att försöka identifiera potentiellt farliga individer i ett brett spektrum.

Förmodligen är det bästa verktyget andra användare som gör plattformen eller myndigheterna uppmärksamma på att våldsamma handlingar kan vara förestående.

Vox recode skriver:

As Ben Wizner, a lawyer for the ACLU, put it, “The problem with that is we don’t yet have the tech to determine pre-crime, Minority Report notwithstanding. We need to understand that even if all mass shooters have said X, the vast majority of people who have said X don’t become mass shooters.”

What’s more likely to happen is that all sorts of speech — and people — would get swept up in the technology dragnets Trump seems to be proposing.

Och vad gör det med ett samhälle – om dess medborgare måste tänka på att allt de uttrycker kommer att granskas och analyseras av myndigheterna? Speciellt som risken är att få dörren inslagen av polis i en gryningsräd och att man kan komma att hållas fängslad tills allt (förhoppningsvis) reds ut.

Dessutom riskerar Trumps förslag att bli en symbolhandling, medan de verkliga orsakerna (vilka de nu är) och de meningsfulla motåtgärderna förbigås.

Länkar:
• Trump wants social media to detect mass shooters before they commit crimes »
• Trump Calls On Social Media Companies To Become Pre-Crime Agents »
• Trump calls for social media companies to ‘detect mass shooters before they strike’

Tre EU-domar om upphovsrätt

av

EU-domstolen har meddelat tre intressanta domar relaterade till upphovsrätt. (Via Techdirt.)

  • Dels handlar det om ett fall som började för 19 år sedan och som rör en tysk rappare som samplat två sekunder av Kraftwerks »Metall auf Metall«. EU-domstolen har kommit fram till att detta är ett intrång i upphovsrätten.
  • Nästa fall rör en tysk tidning som publicerat en konfidentiell rapport från militären, där regeringen hänvisat till upphovsrätten för att hindra publikation. Domstolen säger att även om det inte finns någon upphovsrättslig grund i just detta fall – så kan tryckfriheten inte användas som ursäkt för att publicera upphovsrättsskyddat material.
  • Det tredje fallet handlar om en politiker som publicerat ett manuskript under pseudonym. När författarens verkliga identitet avslöjades menade han att publicisten förvanskat innehållet i has text. Varpå ett medieföretag publicerade originaltexten för att motbevisa detta påstående. Varpå politikern stämde medieföretaget för upphovsrättsintrång. EU-domstolen noterar att det inte finns någon enhetlig EU-lagstiftning som täcker detta – men att godkännande inte behövs, i vart fall i detta fall, så länge som källan inklusive författarens namn anges.

Blandat resultat, med andra ord. Men i vart fall de två senare fallen sätter ljuset på hur upphovsrättsanspråk ofta används för att inskränka tryck- och yttrandefriheten.

Techdirt: European Court Of Justice Rules On Three Big Copyright Cases »

EU skyndar på registrering av våra tåg- och båtresor

av

Som vi tidigare rapporterat diskuterar det finska EU-ordförandeskapet att utöka registreringen av våra resor (PNR) från flyg till att även omfatta tåg- och båtresor. Tidigare i sommar verkade det som att man först tänkte invänta utslaget i ett rättsfall om PNR. Nu vill man göra frågan prioriterad.

Statewatch: EU Council Presidency proposes follow-up on extending PNR to sea and rail traffic »

Vi närmar oss en punkt där anonymt resande blir omöjligt.

Nu väntar två års ständig kamp för att hindra EU:s uppladdningsfilter från att bli svensk lag

av

Som vi tidigare rapporterat, så ligger den svenska tillämpningen av EU:s nya upphovsrättsdirektiv nu i regeringens och riksdagens händer.

Som något slags mänsklig sköld har regeringen satt upp en referensgrupp, som tyvärr har en kraftig övervikt av upphovsrättsmaximalister. Och som Emanuel Karlsten noterar, så kommer den svenska lagstiftningen inte att gå den vanliga vägen (utredning m.m.). Istället upprättar regeringen själv en »promemoria«. Vilket kan vara en signal om att den uppfattar den ordinarie demokratiska processen som allt för svårframkomlig i detta fall.

Detta lägger ett stort ansvar på regeringen. Och eftersom Socialdemokraterna hitintills varit det enda parti i riksdagen som är för EU:s upphovsrättsdirektiv – så blir det nu upp till dem att bevisa sitt påstående om att nätplattformarnas nya ansvar för att stoppa upphovsrättsskyddat innehåll inte leder till uppladdningsfilter. Vilket skall bli intressant att följa. Ett tips är att inte hålla andan medan du väntar.

Frågan är hur riksdagens övriga partier (som i EU-valrörelsen tog ställning mot upphovsrättsdirektivet) kommer att hantera frågan. Det är allt för lätt för dem att gömma sig bakom EU och säga att nu är beslutet klubbat och att det inte längre finns något att göra åt saken. Det finns alltid något att göra, om bara viljan finns.

Därför måste motståndet mot artikel 13/17 upprätthållas. Regeringen måste vara medveten om att det finns ett utbrett motstånd. Och de övriga partierna måste påminnas om att frågan kan vara en vote-changer.

Detta är en process som kan uppgå till två år. Vilket ställer krav på uthållighet för uppladdningsfiltrets motståndare.

Uppladdningsfiltret är inte bara en enskild teknikalitet. Det strider mot grundlagens förbud mot förhandscensur och det är ett hot mot yttrandefriheten. Det kommer att hämma den öppna debatten, kreativiteten och företagandet. Det kommer att döda nya IT-startups innan de ens kommer ur startblocken. Det kommer att cementera de amerikanska nätjättarnas dominerande ställning bland de sociala plattformarna. Och det är ett hot mot hela principen om ett fritt och öppet internet.

Här har riksdagen en utmärkt möjlighet att visa att den är mer än ett knapptryckarkompani. Här har sju av riksdagens partier ett utomordentligt tillfälle att stå vid sitt ord och sina löften från EU-valrörelsen. Och här har alla miljontals svenska nätanvändare en perfekt chans att försvara sina möjligheter att fortsatt kunna uttrycka sig fritt.

It ain’t over til the fat lady sings.

Länkar:
• Emanuel Karlsten: Detta har hänt efter att EU klubbat artikel 13 »
• Kan riksdagen stoppa EU:s uppladdningsfilter? (Video) »
• EU:s upphovsrättsdirektiv: Dags för riksdagens partier att visa sina kort »
• I väntan på EU:s uppladdningsfilter »

Youtube vs. SwebTV

av

I fredags stängde Youtube ner den samhällskritiska kanalen SwebTV.

Youtube är ett privat företag och får naturligtvis själva bestämma vilka man gör affärer med. Men det innebär inte att företagets beslut undgår debatt och i förekommande fall kritik.

Jag har inte följt SwebTV och kan därför inte uttala mig i sak. Det lilla jag sett har dock inte varit något olämpligt – om man inte betraktar kritisk analys av den förda politiken som olämplig. Och jag har inte en aning om varför kanalen har släckts ner. Det kan finnas fullt giltiga skäl. Men det kan också vara konsekvensen av till exempel organiserade massanmälningar från grupper som helt enkelt ogillar vad kanalen har att säga.

Just därför bör Youtube vara fullständigt transparenta med sitt beslut. Om det finns sakliga skäl för att stänga ner SwebTV – då bör dessa redovisas, för att undvika spekulationer, ryktesspridning och konspirationsteorier. Och om det inte finns något konkret skäl – då förtjänar Youtube den kritik som kan komma deras väg.

Yttrandefriheten – som förvisso inte är något tvingande krav på privata företag, men som i anständighetens namn bör respekteras – tjänar sitt syfte främst när den låter människor säga sådant som andra inte vill skall sägas. Och det gäller oberoende av politisk riktning.

SwebTV:s pressmeddelande »

WhatsApp – motstridiga uppgifter om bakdörr

av

Forbes avslöjade häromdagen att WhatsApp planerar en bakdörr för att göra tjänstens end-to-end-krypterade meddelanden tillgängliga:

In Facebook’s vision, the actual end-to-end encryption client itself such as WhatsApp will include embedded content moderation and blacklist filtering algorithms. These algorithms will be continually updated from a central cloud service, but will run locally on the user’s device, scanning each cleartext message before it is sent and each encrypted message after it is decrypted.

The company even noted that when it detects violations it will need to quietly stream a copy of the formerly encrypted content back to its central servers to analyze further, even if the user objects, acting as true wiretapping service.

Detta får kanske ses som en lösning för att komma åt meddelanden utan att ge myndigheterna en bakdörr. Men det är ändå ett intrång i användarnas privata kommunikation.

Man kan även anta att om ett sådant system sjösätts, då kommer myndigheterna ändå att vilja ha direkt tillgång till alla flaggade meddelanden. Bruce Schneier kommenterar:

Once this is in place, it’s easy for the government to demand that Facebook add another filter — one that searches for communications that they care about — and alert them when it gets triggered.

Of course alternatives like Signal will exist for those who don’t want to be subject to Facebook’s content moderation, but what happens when this filtering technology is built into operating systems?

Idag kommer så en dementi från WhatsApp. Forbes:

On July 25th, WhatsApp’s parent company Facebook did not dispute the characterization posed to it that it planned to ”moderat[e] end to end encrypted conversations such as WhatsApp by using on device algorithms,” with the spokesperson pointing to Zuckerberg’s own blog post calling for precisely such filtering. This afternoon, Vice President of WhatsApp Will Cathcart contradicted this, offering “we have not done this, have zero plans to do so, and if we ever did it would be quite obvious and detectable that we had done it. We understand the serious concerns this type of approach would raise which is why we are opposed to it.”

Motstridiga uppgifter, således. Möjligen kan det vara uppmärksamheten som fått WhatsApp att backa. Eller så finns det delade meningar mellan WhatsApp och dess ägare Facebook.

Intressant nog sker detta samtidigt som de så kallade Five Eyes-nationerna efterlyser en bakdörr till WhatsApp och andra krypterade meddelandetjänster. The Guardian:

British, American and other intelligence agencies from English-speaking countries have concluded a two-day meeting in London amid calls for spies and police officers to be given special, backdoor access to WhatsApp and other encrypted communications.

Myndigheternas krav på tillgång till krypterade meddelanden i de vanligaste apparna avsedda för konsumenter är något av en följetong. Och de verkar aldrig ge sig.

Samtidigt finns det andra metoder – som end-to-end-krypterad e-post – att ta till för den som verkligen vill dölja innehållet i sin kommunikation med andra. Vilket i praktiken aldrig går att knäcka eller förbjuda.

Det långsiktiga hotet mot vår rätt till privat kommunikation kan dock – som Bruce Schneier påpekar ovan – komma från att bakdörrar byggs in redan i datorernas och våra smarta enheters operativsystem. Och från statliga spionprogram som kan komma åt allt på våra enheter och läsa våra krypterade meddelanden innan de krypterats eller efter att de avkrypterats.

Länkar:
• Forbes: The Encryption Debate Is Over – Dead At The Hands Of Facebook »
• Bruce Schneier: Facebook Plans on Backdooring WhatsApp »
• The Guardian: Calls for backdoor access to WhatsApp as Five Eyes nations meet »