India ID leak Aadhaar

Indiens ID-databas läckt – för 64 kronor

Indiska tidningen The Tribune lyckades få adminaccess till landets databas med över en miljard medborgares ID-uppgifter. En reporter på tidningen lyckades köpa inloggningsuppgifterna för 500 rupier, vilket motsvarar 64 kronor.

Buzzfeed spårade upp försäljaren, som berättade att han själv köpt tillgång till databasen för 6000 rupier (772 kronor). Denna summa lät honom skapa ett obegränsat antal adminkonton, som han nu höll på att sälja vidare för 500 rupier styck för att nå breakeven och förhoppningsvis börja tjäna pengar på sin investering.

Indiska regeringen gick ut och kallade The Tribunes scoop för ”fake news”:

Den här historien må vara extrem, men den visar på hur system för lagring av känsliga uppgifter aldrig är säkrare än de människor som handhar dem. På amerikanska Department of Homeland Security är det till exempel anställda (eller tidigare anställda) som står för de flesta läckorna.

Historien visar också hur ”fake news” används på ett allt mer lättvindigt sätt av regeringar som är missnöjda med vad fria medier rapporterar. Det kan vara värt att ha i bakhuvudet när demokratier som Tyskland och Frankrike vill förbjuda information de klassar som ”fake news”.

Huvudbilden är ett montage av foton av bill wegener och Marius MasalarUnsplash.

Läcka: Frankrike, Portugal och Spanien lobbar för uppladdningsfilter

Statewatch har publicerat läckta dokument som visar att Frankrike, Portugal och Spanien vill ha det uppladdningsfilter som kommissionen först föreslog som en del av det nya upphovsrättsdirektivet, men som nyligen ifrågasattes av sex länder – Belgien, Finland, Irland, Nederländerna, Tjeckien och Ungern – till vilka även Tyskland slutit sig.

Som Femte juli berättat tidigare har ordförandelandet Estland visat sig vara en upphovsrättshök och censurivrare.

I korthet handlar de tre ländernas förslag om att omdefiniera begreppet ”hosting providers”. Enligt Ecommercedirektivet ska rena hostare inte kunna ställas till svars för vad användarna laddar upp, så länge man agerar och tar ner olagligt innehåll när man uppmärksammats på det. Men genom att säga att hostarna inte ”hostar” utan snarare ”uppträder” faller de inom annat lagrum där tillstånd krävs från rättsinnehavare innan ”uppträdandet” (som egentligen är ”hosting”) kan ske.

Hänger ni med?

Edri har gått igenom läckan i detalj och kritiserar de tre länderna:

It seems irrelevant to the French, Spanish and Portuguese that the European Court has ruled that it is unacceptable to impose a filtering obligation on providers if that filtering

Edri konstaterar också att förslaget är goda nyheter för hosting providers utanför EU, som om förslaget blir verklighet lär slippa konkurrens från företag inom EU.

Switch

Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor

Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.

Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.

Anonymt surfande

Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.

Det var detta BND ville ta reda på.

Offentlig forskning

BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.

En gåva till NSA

Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:

The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.

Samarbete med NSA och GCHQ

BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:

One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.

Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:

Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“

Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:

The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.

Är Tor knäckt?

Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?

Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.

Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:

We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.

Så kan hackare angripa datorer genom övervakningskamerors infraröda ljus

Israeliska forskare har tagit fram skadlig kod som kan använda övervakningskamerors infraröda ljus för att läcka data från datorn som koden är installerad på.

Den skadliga koden gör om de data som ska läckas till en serie ettor och nollor, som den signalerar ut genom den anslutna övervakningskamerans infraröda ljus i en hastighet av 20 bitar per sekund. Den som ska ta emot läckan filmar området som täcks av det infraröda ljuset (eftersom ljuset studsar på väggar behöver man inte ens filma själva kameran) och analyserar sedan filmen för att sätta ihop de signalerade bitarna igen.

Förutom att extrahera data på detta sätt fungerar verktyget åt andra hållet också: Genom att låta den skadliga koden i datorn bevaka strömmen från en övervakningskamera kan en angripare låta en infraröd LED blinka ut data som den skadliga koden sedan extraherar ur strömmen. Denna infiltration kan ske i hela 100 bitar per sekund.

Infrarött ljus är osynligt för människor, men används i övervakningskameror för att ge dem mörkerseende. Därmed kan såväl läcka som infiltration ske utan att närvarande människor märker något.

Lägg till detta att övervakningskameror finns typ överallt i dag, i synnerhet på ställen som anser sig ha något att skydda. Bleeping Computer skriver:

Because of today’s proliferation of CCTV and surveillance solutions, malware like aIR-Jumper could be used to steal data and control malware installed on a wide variety of networks, ranging from corporations to secure government institutions, and from police departments to advanced research labs.

Verktyget kallas Air-jumper (eller aIR-Jumper) eftersom det möjliggör dataläckage även från ”air-gapped networks”, det vill säga nätverk som är så känsliga att de inte har någon kontakt med internet – ett slags digitala luftfickor alltså.

Återstår bara att hitta ett sätt att få in den skadliga koden på datorerna i luftfickan. Något för Elliot i teveserien Mr Robot kanske.

Läs mer

Bleeping Computer: Malware Uses Security Cameras With Infrared Capabilities to Steal Data

Amelia Andersdotter granskar Bahnhofläckan

Före detta EU-parlamentarikern för Piratpartiet Amelia Andersdotter har i dag publicerat två inlägg på Dataskydd.net.

Bahnhofläckan

Det första handlar om Bahnhofläckan och regeringens utredning Datalagring och EU-rätten, som vi rapporterat om tidigare.

Andersdotter har läst de läckta dokumenten och konstaterar att två av dem handlar om ”påverkansförsök från Polismyndigheten och Säkerhetspolisen riktade mot utredningen”:

Precis som många tidigare skrifter till stöd för datalagring är de närmast kliniskt befriade från konkreta exempel på att datalagring är ett outbytbart och ovärderligt verktyg för brottsbekämpning. Det är synd, eftersom EU-domstolens domslut ska ses mot ljuset av en mycket låg evidensnivå för att datalagring varit effektivare och användbarare än andra metoder vid brottsbekämpning.

Ett av de läckta dokumenten avslöjar att utredaren ”inte velat ta i de svåraste konsekvenserna av EU-domstolens domslut från förra året”.

EU-domstolen kom som bekant fram till att generell datalagring strider mot de mänskliga rättigheterna. Utredningens syfte är därför att ge regeringen underlag för hur Sverige ska förhålla sig till domen.

Andersdotter sammanfattar:

Naturligtvis ligger det politiska ansvaret för att svenska staten inte förmår skydda de egna medborgarnas rättigheter ytterst på regeringen. Men deras arbete görs så mycket svårare av att statliga utredare inte ger regeringen ett gott stöd i uppdraget.

Utredningen ska presenteras den 9 oktober 2017.

Dataskyddsutredningen

Det andra inlägget gäller regeringens utredning Ny dataskyddslag, som handlar om hur Sverige ska implementera EUs dataskyddsförordning.

Andersdotter har tittat närmare på några av remissvaren, och konstaterar att den livliga diskussionen på EU-nivå inte följt med till nationell nivå. I stället har vi fått påtryckningar från näringslivet:

Företagsrepresentanter som Bankföreningen och Svenskt näringsliv anser att konsumenter har en lägre rätt till insyn, eller i vilket fall inte bör få en högre rätt till insyn, än vad som är fallet idag. Oroväckande nog har de vunnit gehör för denna ståndpunkt hos Datainspektionen.

Andersdotter tar också upp problemet med att en myndighet som Datainspektionen, som är en av remissinstanserna, inte deltar i sammanhang som de inte får betalt för. Detta gör att de är mer mottagliga för uppvaktning från näringslivet, medan mer ideell input riskerar att gå dem förbi:

Datainspektionen åker inte på möten som de inte får betalt för att delta på, och är därmed otillgängliga för många konferenser och sammanslutningar av grupper av medborgare som har stor kännedom och kunskap om dataskydd men färre ekonomiska resurser att ordna konferenser med betalda talare.

EUs dataskyddsförordning ska börja tillämpas i Sverige den 25 maj 2018.

Läcka: EUs ordförandeland Estland föreslår massiv censur i upphovsrättsdirektivet

Ännu en läcka har snappats upp av organisationen Edri (European digital rights). Den här gången är det EUs ordförandeland Estland som försöker få med sig resten av medlemsländerna på en tolkning av Europeiska kommissionens förslag på upphovsrättsdirektiv som enligt Edri skulle knuffa ut direktivet ännu längre på ”olaglig mark”.

Det är som bekant länkskatten och uppladdningsfiltret (”censurmaskinen”) som är de mest kontroversiella delarna i det föreslagna upphovsrättsdirektivet. I det läckta dokumentet (PDF-länk) ställer Estland upp två alternativ för uppladdningsfiltret – A och B – där det första går i linje med kommissionens förslag, medan alternativ B går mycket längre.

Edri spekulerar i om alternativ B rentav finns med enbart av taktiska skäl, för att kommissionens originalversion i alternativ A ska bli lättare att svälja:

Option B is, at best, a more extreme version of Option A. In fact, it seems so extreme that it almost makes the first option look like a reasonable compromise. This may, of course, be the “diplomatic” strategy.

Läs mer

Edri: Leaked document: EU Presidency calls for massive internet filtering

Ny läcka avslöjar kritik mot upphovsrättsdirektivet

Medan EU filar vidare på upphovsrättsdirektivet visar en ny läcka att sex EU-länder kritiserat nuvarande förslag.

Belgien, Finland, Irland, Nederländerna, Tjeckien och Ungern ifrågasätter bland annat om det föreslagna uppladdningsfiltret (den så kallade censurmaskinen i artikel 13) är proportionerligt och förenligt med EU-lagstiftning:

Would the standalone measure/obligation as currently proposed under Article 13 be compatible with the Charter of Human Rights (and more specifically Article 11 – freedom of expression and information, Article 8 – Protection of personal data – and Article 16 – Freedom to conduct a business) in the light of the jurisprudence of the CJEU that aims to secure a fair balance in the application of competing fundamental rights?

Are the proposed measures justified and proportionate?

Frågorna ställs till ministerrådets juridiska avdelning, som förväntas ta upp saken under sitt nästa gruppmöte 11-12 september 2017.

Edri applåderar de sex ländernas initiativ, och kritiserar Europeiska kommissionen:

It is clear that the European Commission should have, but apparently did not, carry out a neutral assessment of these questions before launching its proposal for the copyright Directive.

Läs mer