Femte juli

Nätet till folket!

Sökresultat för: chatcontrol

Pegasus: Övervakning, ändamålsglidning och dubbelmoral

av

NSO-gruppens spionprogramvara Pegasus har väckt uppmärksamhet i internationell press den senaste tiden. Bland annat tycks den ha använts för politiskt spionage i Mexiko och för att spionera på journalister i Ungern.

Även om ett land skaffar sig möjlighet att övervaka människors telekommunikationer i syfte att bekämpa brottslighet och terrorism – så tenderar sådana verktyg alltid att användas för mindre ädla syften.

Vilket är värt att hålla i minne – då mycket talar för att även svensk polis använder just Pegasus för sin hemliga dataavläsning.

Dessutom finns ett grundläggande problem, som ständigt måste påpekas: För att spionprogram skall kunna användas för till exempel hemlig dataavläsning krävs att säkerhetshål i vår IT-infrastruktur lämnas öppna och oskyddade, för att kunna användas av myndigheterna. På så sätt blir vi alla mindre säkra – när dessa säkerhetsluckor lämnas öppna även för till exempel kriminella och främmande makt.

Runt om i EU vrider politikerna nu på sig. Hur skall de till exempel kunna kritisera Ungerns påstådda spioneri mot media och medborgarrättsaktivister när de själva ofta använder samma spionprogramvara; när de givit Europol i uppdrag att knäcka krypterad kommunikation – och när de givit grönt ljus för meddelandetjänster och e-post-företag att avkryptera och granska sina användares kommunikationer i jakt på olämpligt innehåll?

Kryptering och brevhemlighet i fara när EU bekämpar droger

av

EU håller på att ta fram en Drugs Action Plan 2021-25. I den föreslår man bland annat ökade möjligheter för att knäcka kryptering.

Punkt 7:

»Improve possibilities to tackle encryption in line with the resolution on security through encryption and security despite encryption adopted by the Council in December 2020, and other new technology-related methods employed by organised crime groups active in the drug markets to avoid detection and hide their communications. In this context, Europol analytical and technical capacities to support the Member States in this area should be strengthened and mutual legal assistance should be facilitated and strengthened, in particular regarding standard measures (e.g. subscriber identification) to improve information exchange.«

Det är inte direkt som att EU behöver fler skäl för att kringgå och underminera kryptering. Det finns redan flera andra förslag (t.ex. ChatControl). Och Europol har redan som prioriterad uppgift att knäcka krypterade kommunikationer. Men här presenterar man alltså ytterligare ett skäl.

Men det stannar inte vid detta. Även brevhemligheten (för fysiska brev) är i fara. Punkt 19:

»Promote the development, use and exchange of best practices and equipment among Member States on monitoring of suspicious postal items by employing solutions such as detection dogs and/or x-ray machines. Notably, the role of new technologies and especially of artificial intelligence should be examined, while preserving the fundamental right of privacy of correspondence.«

Att knarkhundar och röntgenmaskiner används gör att jaga droger i posten är kanske ingen nyhet. Och nu vill man alltså toppa detta med AI, utan att närmare beskriva hur det är tänkt att gå till.

I detta sammanhang är det också intressant att notera att flera EU-länder börjat med unika, kodade frimärken – vilket kan göra det möjligt att följa ett brev maskinellt.

• Statewatch: EU – Drugs strategy includes actions to ”tackle encryption” and postal snooping »
• EU-kommissionen: Draft EU Drugs Action Plan 2021 – 2025 (PDF) »

Video: Saker på gång i EU som du bör känna till

av

En sammanställning över aktuella EU-frågor som rör internet, det fria ordet, fri- och rättigheter och övervakning. 17 ämnen på elva minuter, för att inte slösa med din tid.

 

Artificiell Intelligens och övervakning • ChatControl • Code of Conduct on countering illegal hate speech online • Corona-pass • Datalagring • eBevis • EU-ID • European Democracy Action Plan • Europol • Interconnected bank account registers • Länkskatt • Patientjournaler • PNR • ROXANNE • TERREG • Trusted flaggers • Uppladdningsfilter

EU:s satsning mot kryptering är ogenomtänkt, farlig och kan ändå kringgås

av

Som vi rapporterat tänker EU göra en samordnad insats för att komma runt kryptering av privata meddelanden och e-post.

Med sitt förslag öppnar EU:s ministerråd dammluckorna. Nu är det inte bara terrorister eller fula gubbar som avses. Avkryptering med tillhörande analys kommer nu att kunna användas för brottsbekämpning på bred front.

Om man utgår från hur det är tänkt med den relaterade frågan om #ChatControl, då blir det tjänsteleverantörernas uppgift att avkryptera sina användares meddelanden – och i förekommande fall sända dessa till myndigheterna för vidare utredning och åtgärd. Men det kan bli på något annat sätt.

Att polisen skall förhindra och lösa brott är i princip alla överens om. Och med all rädsla som rubriker om terrorism och gängvåld skapar, så är de flesta svenskar förmodligen positivt inställda till ökad övervakning. Men som med allt annat bör man tänka sig för innan man gör något som inte kan göras ogjort.

Vilka blir konsekvenserna när vi vet att alla våra meddelanden som rör familje- eller arbetsfrågor kommer att avkrypteras och granskas i jakt på något misstänkt? Hur skall visselblåsare kunna kontakta journalister utan att staten får tillgång till innehållet i deras kommunikationer? Tänk om algoritmerna misstolkar en vanlig sexchat mellan samtyckande vuxna. Skall man inte kunna kommunicera med sin doktor eller terapeut utan att få allt granskat?

Detta för att nu inte nämna hur detta verktyg skulle kunna användas av en auktoritär regering, av överambitiösa eller inkompetenta befattningshavare – eller av politiska krafter som vill skaffa sig ett försprång i maktkampen. Om verktygen finns är risken stor för att de kommer att missbrukas.

Sedan har vi problemet att avkryptering av meddelanden – som kan ske genom till exempel bakdörrar eller genom att tjänsteoperatören gör avkryptering till en intern feature – minskar vår säkerhet online. Antingen har man stark och säker kryptering, eller så har man det inte. Om det skapas vägar för att komma åt krypterad kommunikation då kommer de förr eller senare att läcka ut – och användas av exempelvis nätbedragare, andra kriminella och främmande makt.

Är vi villiga att ge upp vår rätt till privatliv och vår säkerhet online – för att låta maskiner granskar allt vi skriver till varandra, i jakt på något olämpligt?

En liten tröst i sammanhanget är att EU knappast kommer att komma åt end2end-krypterad e-post där avsändare och mottagare använder sig av PGP-kryptering – eller där innehållet i ett textmeddelande krypterats med en tredjeparts-applikation där bara de inblandade känner till lösenordet.

Det skall även bli intressant att se hur man kommer att hantera till exempel ProtonMail – som ju är baserat i Schweiz (utanför EU) och som har säker kommunikation som sin själva affärsidé.

Min gissning är att alla vanliga e-post-tjänster (GMail m.fl.) och meddelandeappar (Messenger, WhatsApp m.fl.) kommer att omfattas av EU:s satsning mot kryptering – men att man inte kommer att komma åt kommunikation som endast sker i avsändarens och mottagarens datorer. I vart fall inte med mindre än användning av hemlig dataavläsning. Och för sådan krävs något slags verklig brottsmisstanke.

• Länk: EU gör ny satsning för att komma åt krypterad kommunikation »

EU gör ny satsning för att komma åt krypterad kommunikation

av

EU:s portugisiska ordförandeskap föreslår att EU skall ta ett samlat grepp för att kunna kringgå krypterad kommunikation. I detta vill man inte bara komma åt vad som kan tänkas döljas på olika meddelande- och kommunikationsplattformar – utan även hårdvara. Tillverkare som inte följer nya riktlinjer kan förbjudas att sälja sina produkter i EU.

Förslaget om #ChatControl – det vill säga avkryptering och analys av e-post och elektroniska meddelanden – har inte ens hunnit klubbas i Europaparlamentet innan ändamålsglidningen börjar. Även om de aktuella policy-dokumenten inte pekar ut något särskilt område, så talar man om behovet av att kunna avkryptera meddelanden för att bekämpa till exempel terrorism, organiserad brottslighet, droghandel och penningtvätt.

Tidigare har EU-linjen varit att kampen mot kryptering är en nationell fråga. Men det håller på att ändras.

Initiativet till att göra kampen mot kryptering till en EU-fråga fördes fram under det förra tyska ordförandeskapet och drivs nu av det portugisiska dito. Man räknar med att kunna nå resultat under det kommande slovenska ordförandeskapet. (Och då Slovenien är ett litet land med små resurser kan man räkna med att dess ordförandeskap till stor del kommer att fjärrstyras av EU-kommissionen.)

Detta kan komma att sammanfalla väl i tiden med att EU-kommissionen lägger fram sitt förslag till en permanent fortsättning för den nu aktuella, tillfälliga lagstiftningen om #ChatControl.

Läs mer:
• EU Council and Commission: New roadmap for access to encryption »
• EU: Undermining encryption: Council Presidency sets out ”next steps” »

Klart att klubbas i EU – avkryptering och granskning av e-post och meddelanden

av

Förra året trädde the European Electronic Communications Code (EECC) i kraft. Dess syfte var att garantera internetanvändares rätt till privatliv, vilket den också gjorde. I kombination med eHandels-direktivets förbud mot allmän, svepande övervakning gav den användarna det skydd som vi rimligen har rätt att kräva – om man tillämpar Europakonventionen om de mänskliga rättigheterna och vad denna har att säga om rätten till privatliv på våra liv online.

Vad man inte tänkte på var att Google, Yahoo, Facebook med flera redan av-krypterar och skannar innehållet i e-post och meddelanden. Detta i jakt på barnporr och för att förhindra sexuella övergrepp på barn. Flaggade meddelanden granskas av den amerikanska privata organisationen National Center for Missing & Exploited Children (NCMEC) och lämnas i förkommande fall vidare till polisen.

Detta skulle inte längre vara möjligt med det starka skydd för användarnas privatliv som EECC stadgar.

Från NCMEC:s sida startades därför en kampanj – uppbackad av kändisar från film- och nöjesvärlden – där man på ett högljutt sätt som i princip omöjliggjorde saklig diskussion krävde en återgång till den tidigare ordningen, där e-post och meddelanden avkrypteras och översänds till NCMEC.

Det är detta som nu är uppe i EU. Man gör ett undantag från EECC och eHandels-direktivet för att av-kryptering och granskning av meddelanden skall kunna fortsätta.

Beslutet är tvådelat. Dels handlar det om att man inför ett undantag i gällande lagstiftning, för att övervakningen skall kunna fortsätta. Dels handlar det om ett beslut om att göra denna övervakning möjlig även på sikt.

Det första beslutet gör det tillåtet för företag som tillhandahåller e-post och meddelandetjänster att av-kryptera och granska användarnas kommunikationer. Det andra beslutet gör det obligatoriskt.

Det första beslutet (undantaget) väntas i Europaparlamentets plenum i juni eller augusti. (Trilogförhandlingarna avslutades i slutet av förra månaden.) Och efter sommaren väntas EU-kommissionen lägga fram förslag till steg två, som alltså är tänkt att göra av-kryptering och granskning obligatorisk.

Vad är då problemet?

Till att böja med öppnar av-kryptering och innehållsgranskning för att denna verksamhet även kan komma att bedrivas i andra syften. I händerna på en auktoritär, korrumperad eller inkompetent regim är detta ett kraftfullt och farligt verktyg.

Vidare har studier i Schweiz visat att nio av tio flaggningar av den typ NCMEC vill ha är felaktiga. Detta kommer att få våldsamma konsekvenser för helt oskyldiga människor.

Den piratpartistiske ledamoten av Europaparlamentet, Patrick Breyer (DE) kommenterar:

»This unprecedented deal means all of our private e-mails and messages will be subjected to privatised real-time mass surveillance using error-prone incrimination machines inflicting devastating collateral damage on users, children and victims alike. Countless innocent citizens will come under false suspicion of having committed a crime, under-agers will see self-generated nudes (sexting) fall in wrong hands, abuse victims will loose safe channels for counselling. This agreement sets a terrible precedent and is a result of a campaign of disinformation and moral blackmailing. Unleashing such denunciation machines is ineffective, illegal and irresponsible. It’s using totalitarian methods in a democracy.«

Fler avvikande röster, ur en tidigare bloggpost:

»Europeiska datatillsynsmyndigheten (EDPS) anser att lagförslaget varken är nödvändigt eller proportionerligt. Det saknar laglig grund, tydliga regler och tillräckliga skyddsåtgärder.

EU-parlamentets utredningstjänst (EPRS) anser att en sådan här lag endast bör inriktas mot personer som är misstänkta för att ägna sig åt något brottsligt. Man pekar även på att förslaget strider mot dataskyddsförordningen, GDPR.

UNICEF menar att förbättrad integritet och dataskydd för barn är bättre än automatisk övervakning av deras kommunikation.«

Men nu är det hela i princip redan packat och klart. Nu gäller det att vara uppmärksam på om de nya reglerna missbrukas eller drabbas av ändamålsglidning.

Länkar:
• PP: Trilogkompromiss nådd om massövervakning av privat kommunikation »
• MEP Patrick Breyer (PP, DE): EU-deal on ChatControl – Indiscriminate analysis of all private communications contents becomes law »
• MEP Patrick Breyer (PP, DE): Dokument- och resurs-bank chatControl »
• MEP Patrick Breyer (PP, DE): Poll – 72% of citizens oppose EU plans to search all private messages for allegedly illegal material and report to the police »
Babak Karimi: ”Jag misshandlades av maskerad polis i mitt eget sovrum” »

Våra tidigare poster om ChatControl, med länkar och resurser: 
• EU: Nu skall alla dina elektroniska meddelanden granskas »
• EU öppnar för automatisk granskning och analys av alla dina meddelanden och all din e-post »
• EU allt närmare kontroll av innehållet i alla nätanvändares alla meddelanden »
• EU: En soppa av motstridiga förslag och beslut om övervakning »
• EU hotar rätten till privat korrespondens online »
• Chatcontrol får grönt ljus – alla meddelanden kan kontrolleras »

17 områden där EU vill bygga ut övervakning, kontroll och censur

av

Massor av internet-och IT-relaterad lagstiftning har redan klubbats eller är på väg genom EU-apparaten. Det är så mycket att det blir svårt att få en överblick. Låt oss därför ge en ögonblicksbild av vad som är att vänta under den innevarande europeiska mandatperioden (2019-24).

Artificiell Intelligens: EU uppmanar visserligen till försiktighet vad gäller användning av AI för övervakning – men öppnar samtidigt för en lång rad undantag där AI ändå kan användas för övervakning från myndigheternas sida.

ChatControl: Meddelanden och e-post skall av-krypteras för att kontrollera om det förekommer sexuellt utnyttjande av minderåriga. Detta kan lätt utökas till andra syften.

Code of Conduct on countering illegal hate speech online: EU-kommissionär Ylva Johansson har flaggat för att en ny EU-gemensam uppförandekod skall sättas upp vad gäller hat och hot på nätet.

Corona-pass: EU vill se en gemensam app för att möjliggöra en återgång till normalt liv för vaccinerade, testade och personer med antikroppar. Detta öppnar även nya möjligheter för övervakning.

Datalagring: Ett nytt datalagringsdirektiv är på väg. Tanken är att lagra data om alla medborgares alla tele- och datakommunikationer för att kunna kontrollera vem som har kontakt med vem, var folk befunnit sig och när de har varit uppkopplade. Frankrike vill ändra EU:s fördrag och stadgan om de mänskliga rättigheterna för att EU-domstolen inte skall kunna stoppa direktivet.

eBevis: Polisiära myndigheter i alla EU:s medlemsstater kommer att kunna begära ut uppgifter om användare samt kommunikationsdata och lagrad information från till exempel en internetoperatör, social plattform eller app-tjänst i vilket medlemsland som helst.

EU-ID: Ett elektroniskt EU-ID finns på EU-kommissionens önskelista. Vilket i princip kommer att göra det omöjligt att vara anonym på nätet.

European Democracy Action Plan: Syftet är bland annat att bekämpa hat och desinformation online. Vilket alltid brukar landa i kontroversiella frågor om var gränsen går och vem som skall bestämma vad som är rätt och sant.

Europol: Den europeiska polismyndigheten arbetar intensivt för att knäcka krypterade kommunikationer. Man har flaggat för att man vill ha direkt tillgång till information hos privata aktörer (som till exempel internetoperatörer). Europol håller även på att utöka sitt mandat till att bekämpa desinformation.

Interconnected bank account registers: Den hårt kritiserade och misskötta överföringen av europeisk bankdata för analys hos amerikanska säkerhetsmyndigheter är tänkt att ersättas av ett centralt EU-register – för att lagra och analysera data om alla finansiella transaktioner inom det europeiska banksystemet.

Länkskatt: EU:s nya upphovsrättdirektiv kommer att leda till att det blir enklast för sociala media att sluta avtal med de stora mediehusen – på små, nya och alternativa medias bekostnad.

Patientjournaler: EU-kommissionen vill se ett heltäckande, centraliserat europeiskt system för medicinska journaler.

PNR: EU-kommissionen och ministerrådet vill utöka registreringen av våra resor (och om detaljer kring dessa). Detta gäller redan för flygresor, men man diskuterar att utöka registreringen till att även gälla hyrbilar, tågresor, båtresor och hotellövernattningar.

ROXANNE: Ett EU-finansierat projekt för röstigenkänning,

TERREG: Förordningen om terror-relaterat innehåll online innebär censur av åsikter online. Notera att det handlar om åsikter som inte nödvändigtvis är olagliga. Detta kan enkelt utvidgas till andra syften. TERREG kommer även att tvinga fram användning av uppladdningsfilter. Förordningen säger också att flaggat material skall plockas ner inom en timma (utan föregående rättslig prövning) och öppnar för att myndigheter i ett EU-land kan beordra nedtagning av innehåll på servrar i andra medlemsstater.

Trusted flaggers: EU:s nya Digital Services Act kommer att ge oss statligt godkända innehållsgranskare på nätet – vars anmälningar skall prioriteras av nätplattformarna.

Uppladdningsfilter: Allt som alla laddar upp kommer att inspekteras, analyseras och i förekommande fall censureras. Detta för att stoppa upphovsrättsskyddat material och terror-relaterad information. Dessa syften kan enkelt komma att utvidgas. Vissa EU-länder vill även se uppladdningsfilter som ett allmänt verktyg inom the Digital Services Act.

Detta är bara en del av allt som är på gång när det gäller internet, IT, övervakning och kontroll i EU. Nya förslag tillkommer hela tiden. Men vi tycker att det är viktigt att man inte bara gräver ner sig i enskilda förslag, utan även ser till den större bilden. Och sammantaget är det ingen tvekan om att EU är på väg att utvecklas till en kontroll- och övervakningsstat, som även begränsar det fria ordet online.