Femte juli

Nätet till folket!

Delseger för OVPN i The Pirate Bay-mål

av

TorrentFreak:

»After two movie companies demanded that VPN provider OVPN preserve data relating to an IP address used by The Pirate Bay, the parties have been arguing the case in court. In an early victory for OVPN, the court has now ruled that the financial penalties demanded by the movie outfits are inappropriate because the VPN asserts it has no useful information to hand over.«

• TorrentFreak: The Pirate Bay – OVPN Wins First Stage of Information Injunction Battle »

• Bakgrund: Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst »

Europol kan få rätt att samla in data från nätplattformar i »förebyggande syfte«

av

Gällande regler för EU:s polissamarbete – Europol – ger rätt att mottaga, men inte formellt kunna kräva information från privata nätföretag. Man kan anta att till exempel Facebook och Twitter tycker att det är enklare att samarbeta än att bråka med Europol. Vilket landar i ett system där ingen juridisk instans (som en domstol) behöver kopplas in. Detta hotar dels rättssäkerheten, omöjliggör dels överprövning och förhindrar dels demokratisk insyn och kontroll.

Regelverket var tänkt att granskas och utvärderas redan våren 2019. Det går dock inte att finna någon information om att en sådan granskning skett, än mindre vad den i så fall skulle ha kommit fram till.

Trots detta har EU-kommissionen och EU:s ministerråd kommit fram till att regelverket begränsar Europols arbete – och att mandatet därför behöver utökas.

EDRi kommenterar:

»One of the main policy option foreseen is to lift the ban on Europol’s ability to proactively request data from private companies or query databases managed by private parties (e.g. WHOIS). However, disclosures by private actors would remain “voluntary”. Just as the EU Internet Referral Unit operates without any procedural safeguards or strong judicial oversight, this extension of Europol’s executive powers would barely comply with the EU Charter of Fundamental Rights – that requires that restrictions of fundamental rights (on the right to privacy in this case) must be necessary, proportionate and “provided for by law” (rather than on ad hoc “cooperation” arrangements).«

EDRi: Europol – Non-accountable cooperation with IT companies could go further »

EFF: Fyra principer för EU:s nätpolitik

av

Electronic Frontier Foundation – EFF – har tagit sig en titt på EU:s framtida nätpolitik.

»As the European Union is gearing up for a major reform of the current backbone of the EU’s Internet regulation—the e-Commerce Directive will be replaced by the Digital Services Act (DSA)—there are choices to be made. Rather than following in the footsteps of recent disastrous Internet legislation (such as the Copyright Directive), the EU should focus on how to put users back in control of their online experiences. Rather than giving more executive power to large platforms that have monopolized the digital space, the EU should protect the public interest Internet by focusing on users’ rights to self-determination and measures on transparency, anonymity, and interoperability.«

Man ställer även upp ett antal principer att kämpa för:

  1. Online Intermediaries Should Not Be Held Liable for User Content
  2. Only Court Orders Should Trigger Liability
  3. No Mandatory Monitoring or Filtering
  4. Limit the Scope of Takedown Orders

Läs hela texten här: Our EU Policy Principles: Platform Liability »

Principerna ovan känns rimliga och värda att kämpa för. De är applicerbara i flera olika sammanhang – som till exempel upphovsrättsfrågor, den nu aktuella förordningen mot terror-relaterat innehåll online och de EU-gemensamma regler mot hat och hot på nätet som förväntas komma i EU:s Digital Services Act.

Tyskland vill ha hjälp av IT-branschen för att installera statstrojaner

av

Tyskland var ett av de första länderna att lagstifta om »statstrojaner« – det vill säga spyware som ger myndigheterna tillgång till allt som görs och finns på en dator, mobiltelefon, sufrplatta m.m. Det är detta som Sverige nu infört under benämningen hemlig dataavläsning.

Nu vill Tyskland ta metoden ett steg längre . I ett arbetspapper inför ett kommande regeringsförslag diskuteras möjligheten att tvinga plattformar och meddelandetjänster att hjälpa till med att i smyg installera dessa statstrojaner hos användare.

Branschen vill, föga förvånande, inte ha något med saken att göra. Dels vill de inte bli delaktiga i statens övervakning av medborgarna. Dels vill de att säkerhetsbrister skall bli kända och täppas till – istället för att hållas öppna för att kunna utnyttjas av myndigheterna.

Detta kan vara relevant även för oss svenskar. Dels ger det en indikation om hur den hemliga dataavläsningen kan komma att utvecklas. Dels kan metoden komma att bli vägledande för lagstiftning eller praxis inom EU / Europol.

Läs mer: Staatstrojaner: WhatsApp & Co. sollen Netzverkehr an Geheimdienste umleiten »

Nya, men långsökta anklagelser mot Julian Assange

av

I skuggan av corona-krisen, BLM-protester och det allmänt uppskruvade debattkimatet – sitter Wikileaks grundare och chefredaktör Julian Assange i ett brittiskt högsäkerhetsfängelse i väntan på att den rättsliga prövningen av USA:s begäran om utlämning skall bli klar.

Om Assange utlämnas kan han komma att dömas till ett mer än livslångt fängelsestraff, upp till 175 år.

Det är viktigt att hålla ögonen på bollen. Oavsett vad man anser om Assange som person – så handlar hans fall om tryckfrihet, om rätten och möjligheten att avslöja och publicera uppgifter om oegentligheter och annat som makthavarna helst vill tysta ner.

Obama-administrationen ansåg att detta var en linje som inte bör överskridas. Eller i vart fall att en process mot honom skulle bli ett yttrandefrihetsmål som dels kan vara svårt för staten att vinna, dels ett PR-problem.

Trump-administrationen tycks dock inte ha några sådana hämningar. (Trots att Wikileaks de facto hjälpte till att få Trump vald till president.) Man anklagar bland annat Assange för spioneri – trots att han och Wikileaks inte gjort något annat än traditionellt journalistiskt arbete och i stora stycken publicerat samma information som till exempel The Guardian, The New York Times och Der Spiegel.

Möjligen börjar man inse att de misstankar och åtalspunkter som hitintills presenterats är skakiga. Därför försöker man  nu bygga ut sina anklagelser mot Assange.

Bland annat handlar det om att koppla honom till aktiva försök till dataintrång relaterade till den information som visselblåsaren Chelsea Manning läckte till Wikileaks – samt till det så kallade Stratfor-hacket (för vilket hackern Jeremy Hammond redan dömts). Några direkta bevis – mer än hörsägen – tycks dock inte finnas. (Det är i sammanhanget värt att notera att det amerikanska justitiedepartementet, delvis framgångsrikt, gav sig på den Dallas-baserade journalisten Barrett Brown på liknande grunder.)

TorrentFreak sammanfattar:

»Another indictment has been issued by the DOJ, making this its third attempt to throw the book at Assange. If the DOJ can prove Assange contributed to hacking attempts, it may end up with a case worth pursuing. But much of what the indictments deal with is normal journalism behavior: the cultivation of sources and the encouragement of sources to locate/leak newsworthy documents. The blurry line the DOJ is walking on is the same line the previous administration seemed to feel wasn’t worth crossing, no matter how much harm/embarrassment Assange had caused with the release of sensitive documents.«

Gizmodo noterar:

»DOJ omits several crucial details about the Stratfor hack in its attempts to name Assange as a conspirator in a breach that happened without his knowledge. Most notably, prosecutors exclude that the actual breach of Stratfor’s security, in late 2011, occurred 83 days prior to the events they describe, unknownst by anyone DOJ identifies as part of the conspiracy, including Assange.«

Enkelt uttryckt är frågan om man kan åtala någon för dataintrång – om personen i fråga inte varit medveten om intrånget förrän i efterhand.

Samtidigt som det amerikanska justitiedepartementet bygger på fallet med mer eller mindre långsökta åtalspunkter – så har Assange problem med att få en rimlig och rättvis utlämningförhandling i Storbritannien. Till exempel har han inte haft tillgång till allt det material och den utrustning han behöver för att förbereda sitt försvar. Dessutom har det varit problem med att upprätthålla kontakten mellan Assange och hans advokater under corona-krisen.

Länkar:
• TorentFreak: New Indictment Tries To Tie Julian Assange To A Hacking He Had Nothing To Do With »
• Gizmodo: DOJ’s New WikiLeaks Indictment Has Significant, Convenient Plot Holes »

Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst

av

Trots årtionden av rättsprocesser lever The Pirate Bay vidare som vanligt.

Samtidigt fortsätter nöjesindustrin sina försök att få stopp på verksamheten. Nu senast är det filmbolagen SF och Nordisk Film som är på krigsstigen.

Spåren ledde till Coludflare, vidare till ISP:n OBEnetwork och slutligen till VPN-operatören OVPN. Nu har filmbolagen begärt ett informationsföreläggande mot OVPN hos Patent- och Marknadsdomstolen. Men OVPN konstaterar att de inte kan lämna den begärda informationen – då de varken lagrar trafikuppgifter, tidsstämplar, DNS-upplag, IP-adresser, MAC-adresser eller information om ackumulerad bandbredd.

Det skall bli intressant att se hur detta kommer att utvecklas. För oavsett om det beslutas om vite, så finns det inga loggar att lämna ut. VPN-tjänster omfattas inte av kravet på datalagring.

OVPN:s advokat, Michael Lettius på Glimstedts Advokatbyrå konstaterar i sin inlaga:

Tillhandahållandet av VPN-tjänster utgör inte en sådan anmälningspliktig verksamhet som avses i 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) och därmed omfattas inte heller tillhandahållande av sådana tjänster av lagringsskyldigheten i 6 kap. 16 a § LEK. Av förarbetena till den gällande lydelsen av lagrummet framgår att bl.a. VPN-tjänster inte omfattas då ”det konstateras att förslaget inte innebär att sådana uppgifter ska lagras eftersom sådana tjänster aktiveras först efter internetåtkomsten”.

Ändringen avseende lagringsskyldigheten (och flera andra lagändringar) var påkallade av EU-domstolens dom i det s.k. Tele2-målet 2016. EU-domstolen fastslog i detta och ett annat mål bl.a. att undantag från skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt och att, vad gäller lagring, de lagrade uppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats.

Sammantaget medför det anförda att OVPN – som alltså inte tillhandahåller någon elektronisk kommunikationstjänst – inte omfattas av lagringsskyldigheten enligt LEK och därmed inte heller av rekvisiten i det åberopade lagrummet i lagen (1960:729) om upphovsrätt litterära och konstnärliga verk (…)

En lärdom, om man gräver ner sig i länkarna, är dock att det under vissa omständigheter kan gå att se vem som använder en viss IP-adress just nu. Detta är dock inget som behöver bekymra vanliga VPN-användare, som ju hoppar till nya IP-adresser varje gång de kopplar upp sig. Men vill man verkligen känna sig säker – till exempel om man vill sända ett synnerligen konfidentiellt meddelande – då kan det kanske vara lämpligt att koppla upp och ner sig mot sin VPN för just detta tillfälle. Men det får betraktas som överkurs.

OVPN kommenterar fallet:

»Vi bestrider helt och hållet Rättighetsalliansens påstående att OVPN har ”illojala syften” och att vår affärsidé är att hjälpa kriminella undgå rättsvårdande myndigheter. Tvärtom används OVPN av flera olika kundgrupper, som exempelvis journalister, advokater, politiker, myndigheter och konsumenter. För att vara helt tydlig: Vi stödjer inte på något sätt eller förespråkar användning av OVPN för att begå brott. Det är väldigt tydligt i våra Allmänna Villkor.

OVPN:s huvudfokus är att skydda människor från hackare och massövervakning. Vi går mot tider där regeringar, lagligt eller olagligt, avlyssnar sina och andras medborgare på en orimligt stor skala. Vi anser helhjärtat att människor bör uppleva samma integritet oavsett om man talar med en person på internet eller ansikte-mot-ansikte.

Vi står fast vid vår övertygelse om ett övervakningsfritt samhälle.«

Fortsättning lär följa.

Länkar:
• OVPN bestrider informationsföreläggande »
• Rättighetsalliansens ansökan om informationsföreläggande (PDF) »
• Inlaga från OVPN:s advokat (PDF) »
• TorrentFreak: The Pirate Bay’s IP Address Belongs to a VPN Provider, ISP Tells Court »

Fyll gärna på i kommentarsfältet om du hittar något intressant i dokumenten eller om du har nyheter i ärendet.

COVI-PASS Digital Health Passport lanseras – även i Sverige

av

Det var kanske bara en tidsfråga, men nu lanseras ett COVI-PASS Digital Health Passport – även i Sverige.

Electronic Specifier rapporterar (redan den 13 maj):

»The COVI-PASS Digital Health Passport can be used as an authenticated gateway for Public Services, Businesses and Employees to manage a safe return to work, life, and safe travel.«

Det handlar alltså om en kommersiellt framtagen app, som är tänkt att kunna användas såväl av företag som av myndigheter.

»Powered by VST Enterprises’ cyber security technology VCode & VPlatform, Circle Pass Enterprises has contracted with VST Enterprises for a fully secure Digital Health Passport – COVI-PASS, to be paired with approved testing kits. CPE is to start shipping orders from next week for the first phased release of 50M COVI-PASS Digital Health Passports to both the private sector and Governments in over 15 countries, including Italy, Portugal, France, Panama, India, the US, Canada, Sweden, Spain, South Africa, Mexico, United Arab Emirates and The Netherlands.

The COVI-PASS Digital Health Passport works on an intelligent colour mapping system (green, amber, red) to authenticate and validate a COVID-19 test providing test history and relevant health information. This allows for accurate data metrics to assess those who have tested positive and negative and the location only of their testing.«

Appen är förvisso frivillig (än så länge) – men kan komma att krävas till exempel om du vill resa, gå på en fotbollsmatch, besöka en konsert, gå på bio eller på annat sätt vistas nära många andra människor. Bli inte förvånad om den kommer att krävas till och med för att gå på restaurang.

Appen förefaller dessutom vara en del i en mycket större plan:

»VSTE are also providing its VCode & VPlatform technology to work with the UNITED NATIONS as part of their SDG Collaboratory (Sustainable Development Goals) program – to provide a wide range of technology services to 9 Billion people by 2030 and which will be announced in the coming weeks.«

Även om företaget bakom appen talar om en hög grad av dataskydd och respekt för individens rätt till privatliv återstår att se hur den egentligen fungerar.

Man kan också notera att ett COVID-19-test endast visar om man är smittad just vid provtillfället. Så något heltäckande skydd är det knappast fråga om.

Det finns många frågetecken. Men framförallt är frågan om vi vill ha en app som fungerar som något slags inrikespass.

Electronic Specifier: Digital health passports supplied to 15 countries »

Sociala media och Hong Kong

av

Bland andra Facebook, Twitter, Google, WhatsApp och Telegram har meddelat att de inte kommer att samarbeta med Hong Kongs polis – efter införandet av de nya kinesiska säkerhetslagarna.

Samtidigt meddelar TikTok att de helt lämnar Hong Kong inom de närmaste dagarna. Dock skall man komma ihåg att TikToks ägare, det kinesiska företaget ByteDance – äger en snarlik app, Douyin, för den kinesiska marknaden. Så uppoffringen kanske inte är så stor…

BBC: TikTok to exit Hong Kong ’within days’ »

Och nu – ännu mer nätcensur från EU

av

Det tycks aldrig ta slut. Nu kommer uppgifter om mer planerad nätcensur från EU-kommissionen. Denna gång är ursäkten kampen mot barnpornografi – vilket är ett säkert kort att spela ut för att tysta kritiker och undvika debatt.

Det som planeras är enligt uppgift att kommissionen kommer att lägga fram en rapport på nästa EU Internet Forum.

Det första kravet är mer obligatorisk censur i form av uppladdningsfilter.

Det verkar med andra ord som om EU-kommissionen nu försöker etablera uppladdningsfilter som något slags universallösning. Det började med upphovsrättsdirektivet, fortsatte med den aktuella förordningen mot terror-relateat innehåll online – och är nu alltså tänkt att utökas med insatser mot övergrepp på minderåriga online. Förmodligen krattar man manegen för en bredare utrullning av uppladdningsfilter i den Digital Services Act som kommer att läggas fram senare under mandatperioden.

Precis som man kunde befara öppnade artikel 13/17 i upphovsrättsdirektivet dammluckorna för en bredare användning av uppladdningsfilter,

Det andra kravet är åtgärder mot krypterade meddelandetjänster.

Här bedriver EU (samt USA) ett ständigt krypskytte för att underminera och kringgå kryptering. Vilket – som bekant – innebär försämrad säkerhet online för alla, eftersom till exempel bakdörrar även kan användas av kriminella, främmande makt och andra som vill skada användare, företag och institutioner.

Vad gäller EU Internet Forum är det ett samverkansorgan med bland annat politiker, nätjättar och teleoperatörer samt allehanda särintressen. Vid flera tillfällen har det framförts kritik – bland annat från EU:s ombudsman – mot hemlighetsmakeri och bristande transparens. Enkelt uttryckt är det här politiken, Big Data och andra aktörer gör upp och skapar politiska förslag bakom stängda dörrar.

Denna gång gömmer man sig bakom kampen mot barnporr. Och vem vill eller vågar då kritisera de förslag som läggs fram – även om de begränsar informationens frihet och gör nätet mindre säkert för alla?

Fake news, yttrandefrihet och rättssäkerhet i corona-krisens spår

av

Det förekommer medvetet felaktig information på nätet om corona-krisen. Det kan handla om allt från främmande makt som vill använda krisen för att destabilisera det västeuropeiska, fria och öppna samhället – till reklam för verkningslösa eller farliga läkemedel.

Det hela kompliceras av att även myndigheterna ofta är osäkra på vad som verkligen gäller. En annan faktor är att de sociala plattformarna har skurit ner på den manuella granskningen i smitto-tider – för att istället luta sig mer mot automatiserade beslut som fattas av algoritmer. Frågan är dessutom känslig – eftersom EU-kommissionen samtidigt är kritisk mot inskränkningar av det fria ordet och den fria informationen i länder som Ungern och Polen.

Inte sällan blir det fel. Till exempel har Europaparlamentets vice talman Marcel Kolaja (PP; CZ) fått en post om krisstöd till nystartade företag (med länk till EU-kommissionen) stoppad av Facebook.

EU-kommissionen har utfärdat en »joint communication« om desinformation och fake news om Covid-19 (PDF). Denna erbjuder dock inget skydd att tala om för den som fått poster på sociala media stoppade på felaktiga grunder. Kolaja säger:

»I support the united European action against disinformation; however, it should go hand in hand with clear safeguards for freedom of expression in case of wrongful labeling of content.«

Han påpekar bland annat att det mer klart måste definieras exakt vad som avses med desinformation. Till exempel måste större vikt läggas vid uppsåtet. Och om man väl har en definition – då är frågan vem som avgöra om informationen är autentisk, korrekt och trovärdig. Det måste dessutom finnas rutiner för att överklaga felaktiga beslut om nedtagning av poster och annan information.

Tyvärr är EU-kommissionen otydlig på dessa punkter – vilket blir problematiskt om man ser till till yttrandefrihet, det fria ordet, fri information och ett fritt och öppet internet.

Länkar:
• European joint action on disinformation »
• Kolaja vs. Facebook »
• EU-kommissionens styrdokument (PDF) »