En av massövervakningens arkitekter invald i Amazons styrelse

Förre chefen för amerikanska NSA – National Security Agency – Keith Alexander har valts in i Amazons styrelse.

Han var ytterst ansvarig för den amerikanska globala massövervakning som avslöjades av visselblåsaren Edward Snowden – och som nyligen förklarades olaglig av en domstol.

Detta är uppseendeväckande med tanke på att Amazon driver molnbaserade datacenter över hela världen.

Man kan fråga sig vilka signaler det sänder till Amazons kunder – att en av den olagliga massövervakningens arkitekter nu i någon mening får kontroll över deras outsourcade dataprocesser och molnlagring.

The Verge: Former NSA chief Keith Alexander has joined Amazon’s board of directors »«

Domstol: NSA:s massövervakning är olaglig

US Court of Appeals for the Ninth Circuit har kommit fram till att NSA:s massövervakning – som avslöjades av visselblåsaren Edward Snowden – är olaglig.

Domstolen menar att NSA:s program för insamling av bulkdata från amerikanska teleoperatörer strider mot Foreign Intelligence Surveillance Act och att den även kan ha brutit mot konstitutionen.

Snowden riskerar fortfarande åtal i USA – även om president Trump funderat högt om att kanske benåda honom.

• US court: NSA mass surveillance program exposed by Snowden was illegal »

Tysklands författningsdomstol stoppar massövervakning

Den tyska författningsdomstolen har meddelat en principiellt viktig dom vad gäller underrättelsetjänsten BND:s massövervakning av icke-tyska medborgare utanför Tyskland: Verksamheten måste avvecklas, då den tyska författningen även omfattar hur tyska myndigheter behandlar människor i andra länder.

DW rapporterar:

»The ruling said that non-Germans were also protected by Germany’s constitutional rights, and that the current law lacked special protection for the work of lawyers and journalists. This applied both to the collection and processing of data as well as passing on that data to other intelligence agencies.«

Detta innebär rimligen att Tyskland inte längre kommer att kunna mata amerikanska NSA med massinsamlad data.

Övervakning får fortsatt förekomma – men måste då vara inriktad mot verkliga, konkreta hot. Det vill säga att vanligt, hederligt folk som inte kan misstänkas för något brottsligt skall lämnas ifred.

Intressant nog har domen mötts med positiva kommentarer från såväl regering som opposition.

Denna nyhet var tillräckligt stor för att till och med gå före corona-krisen i de tyska tv-nyheterna i går. Övervakningsfrågorna är glädjande nog stora i den tyska debatten.

I sammanhanget är det värt att notera att svenska FRA ägnar sig åt samma sak som tyska BND nu förbjuds att göra. Den svenska FRA-lagen skall för övrigt prövas av Europadomstolen för de Mänskliga Rättigheterna inom kort.

Länkar:
• DW: German intelligence can’t spy on foreigners outside Germany »
• Politico: Top German court deems spying on foreigners’ internet traffic is unconstitutional »
• The Local: Court slams German spies’ foreign internet surveillance »
• CCC: German Federal Constitutional Court demands more oversight on BND spying »

Corona-appar: Väljer Sverige den decentraliserade eller centraliserade vägen?

Corona-krisen är inte så tillfällig som vi kanske först trodde. Nu talas om smittspårning som kan pågå i åratal – och corona-appar som verktyg för detta.

Här finns olika vägar att gå.

Tyskland har valt att inte gå vidare med en egenutvecklad app, efter kritik mot att den skulle kräva centralt lagrad data. Istället väljer man det verktyg som utarbetats av Apple och Google. De två företagen har visserligen fåt kritik för sin hantering av persondata genom åren. Men deras lösning kräver ingen central lagring – och är enligt dataskyddsexperter den som bäst skyddar individens rätt till privatliv. Länk: Germany switches to Google and Apple on virus tracing app over privacy concerns »

Storbritannien tycks å andra sidan vilja gå fram med en centraliserad app, som kommunicerar direkt med National Health Services servrar. Enligt BBC har NHS fått hjälp i utvecklingen av GCHQ, som är britternas myndighet för massövervakning och nära partner med amerikanska NSA. Vilket naturligtvis väcker väcker frågor som rör säkerhet och övervakning i mer allmänna termer. Länk: UK’s centralized contact tracing corona app aided by UK intelligence agency »

Här håller det på att uppstå en spricka mellan länder som väljer en decentraliserad lösning (Tyskland, Schweiz, Österrike, Estland m.fl.) och de som går på den centraliserade linjen (Storbritannien, Frankrike m.fl.).

Utöver de uppenbara integritetsfrågorna kan det även bli problematiskt med olika lösningar i olika länder – om apparna kopplas till människors möjlighet att resa över gränserna.

Frågan är hur Sverige tänker göra. Allt som rapporterats i media är att Myndigheten för samhällsskydd och beredskap arbetar med frågan – och att Amazons serverparker har nämnts som tänkbar partner för lagring.

Vad gäller det senare vore det olyckligt. För även om Amazon har serverparker i Sverige, så är företaget fortfarande amerikanskt och omfattas därmed av the cloud act – som ger de amerikanska myndigheterna tillgång till all lagrad data.

En annan aspekt är Sveriges traditionellt mycket nära samarbete med brittiska GCHQ och amerikanska NSA. En fråga vi måste ställa oss är om sådant kan bidra till att vi väljer den brittiska modellen för vår corona-app.

I grund och botten är det ett val mellan pest och kolera. Men Apple/Google-lösningen verkar vara den minst dåliga. Dessutom är det den som har bäst förutsättningar att bli internationellt accepterad – vilket kommer att vara värdefullt för den som vill ut och resa.

Nu är det läge att kräva korten på bordet om den svenska lösningen – för att undvika att ställas inför fullbordat faktum.

Sveriges roll i den globala massövervakningen

Vilken roll spelar egentligen Sverige i den amerikanska globala massövervakningen?

Sveriges Radio rapporterar:

Företaget Crypto AG startades av svensken Boris Hagelin, och blev efter andra världskriget snabbt ledande på krypteringsmaskiner. Företaget hade sin bas i Schweiz, men under kalla krigets gång kom det att hemlighet kontrolleras och ägas av CIA och tyska underrättelsetjänsten BND.

Enligt uppgifter i Washington post, och tyska och schweiziska medier kände fyra ytterligare länder till operationen eller fick ta del av vissa uppgifter som kom fram. Ett av de länderna var Sverige.

Runt 120 länder köpte och använde krypteringsutrustningen från andra världskrigets slut fram till millennieskiftet, däribland Iran, Indien och Pakistan, men aldrig Sovjetunionen eller Kina.

I sammanhanget är det extra intressant att Sverige har haft något slags särställning.

Sveriges speciella ställning uppmärksammades även under Europaparlamentets utfrågningar om massövervakningen 2013/14. Då framkom bland annat att Sverige har ett unikt och nära samarbete om övervakning och informationsdelning med den så kallade Five Eyes-gruppen (USA, Storbritannien, Kanada, Australien och Nya Zeeland).

Det är även värt att påminna om att svenska FRA har unik tillgång till XKeyscore, som är amerikanska NSA:s »spion-Google« – med uppgifter som samlats in genom bland annat massövervakning och riktad övervakning. Detta framkom i samband med Snowden-läckan 2013 – och bekräftades även i Europaparlamentets utfrågning. Då XKeyscore med största sannolikhet även innehåller information om svenskar och svenska förhållanden är det oklart om FRA:s tillgång till databasen över huvud taget är laglig.

I mars 2015 röstade riksdagen nej till en motion om att utreda Sveriges samarbete med NSA.

SR: USA och Tyskland läste krypterade meddelanden i 50 år »

Massövervakningens verktyg i fel händer

Det visar sig att Kina använt sig av ett av amerikanska NSA:s spionprogram – DoublePulsar – långt innan detta blev allmänt känt genom den så kallade Shadow Brokers-läckan.

Detta är inte första gången det visat sig att spion- och övervakningsprogram hamnat i fel händer. Och det behöver inte handla om främmande makt. Det kan lika gärna vara kriminella nätverk.

Massövervakningen riskerar, ironiskt nog, att göra oss alla mindre säkra.

Tekniska detaljer finns i dessa länkar: Ars Technica » | ZDnet » | BoingBoing »

Tacka NSA för de senaste utpressningsvirusen

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.

Switch

Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor

Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.

Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.

Anonymt surfande

Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.

Det var detta BND ville ta reda på.

Offentlig forskning

BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.

En gåva till NSA

Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:

The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.

Samarbete med NSA och GCHQ

BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:

One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.

Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:

Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“

Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:

The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.

Är Tor knäckt?

Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?

Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.

Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:

We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.

NSA skyller på användarna

Som bekant samlar amerikanska National Security Agency på säkerhetshål, så kallad ”exploit hoarding”. Myndigheten har fått kritik för att inte informera tillverkarna om de säkerhetshål de hittat i routrar, operativsystem, med mera. Det visade sig till exempel att lösensummeviruset Wannacry baserades på säkerhetshål som läckt ur NSAs arsenal.

Nu går Rick Ledgett, vice direktör på NSA mellan januari 2014 och april 2017, ut och kritiserar användarna av produkter med otätade säkerhetshål:

Customers who buy software should expect to have to patch it and update to new versions periodically.

Som Techdirt påpekar hjälper det inte att uppdatera sina system om tillverkaren själv inte är medveten om säkerhetshålet.

Läs mer

Lyssna

Vi diskuterade NSAs utnyttjande av ”zero day exploits” i avsnitt 14 av 5 juli-podden från 23 augusti 2016 (börjar vid 5:35):

Klicka här för att visa innehåll från SoundCloud