Tyska »statstrojaner« till författningsdomstolen

I Tyskland har Gesellschaft für Freiheitsrechte (GFF) anmält bruket av så kallade statstrojaner till författningsdomstolen.

Det handlar om program som myndigheterna kan låta installera på datorer, telefoner, plattor och andra enheter för att till exempel övervaka och avlyssna dess användare. Detta är relevant även för oss, då regeringen just nu förbereder en svensk variant – hemlig dataavläsning.

»As a form of government surveillance, state trojans present unique and grave threats to privacy and security. It has the potential to be far more intrusive than any other surveillance technique, permitting the government to remotely and surreptitiously access personal devices and all the intimate information they store. It also permits the government to conduct novel forms of real-time surveillance, by covertly turning on a device’s microphone, camera, or GPS-based locator technology, or by capturing continuous screenshots or seeing anything input into and output from the device. The use of trojans allows governments to manipulate data on devices, by deleting, corrupting or planting data; recovering data that has been deleted; or adding or editing code to alter or add capabilities, all while erasing any trace of the intrusion. These targets are not confined to devices. They can extend also to communications networks and their underlying infrastructure.

At the same time, the use of state trojans has the potential to undermine the security of targeted devices, networks or infrastructure, and potentially even the internet as a whole. Computer systems are complex and, almost with certainty, contain vulnerabilities that third parties can exploit to compromise their security. Government use of state trojans often depends on exploiting vulnerabilities in systems to facilitate a surveillance objective. Government hacking may also involve manipulating people to interfere with their own systems. These latter techniques prey on user trust, the loss of which can undermine the security of systems and the internet.«

Statewatch: GFF Challenge to use of government spyware (Germany) »

Youtube-kris i tysk politik

Strax innan EU-valet publicerade den tyske Youtubern Rezo en 55 minuter lång video som slår hårt mot framförallt CDU/CSU men även SPD. Videon har haft 12 miljoner visningar och anses av många vara en viktig bidragande orsak till att de två partierna just gjort ett katastrof-val. (Länk till videon »)

Att de kritiserade partierna var fullständigt oförmögna att hantera och förhålla sig till den uppmärksammade videon borde vara pinsamt nog.

Men under måndagen gick CDU-ledaren Annegret Kramp-Karrenbauer även ut och vädrade åsikten att man kanske inte skall tillåta sådant här inför ett val.

Vilket naturligtvis får alla andra att undra varför en Youtuber inte skulle få uttrycka sin mening i den politiska debatten. Och om AKK verkligen menar allvar med att ytterligare inskränka den politiska yttrandefriheten på nätet.

Speciellt uppseendeväckande är detta i ljuset av att Tyskland förra veckan högtidligt firade att landets författning – med sitt starka skydd för individens rätt till sin personlighet och mening – fyllde 70 år.

Länkar:
• CDU-Chefin Kramp-Karrenbauer löst Youtube-Debatte aus »
• Rezo and CDU: Will Kramp-Karrenbauer regulate Youtuber? »
• Reaktion auf Rezo: Kramp-Karrenbauer erwägt Regulierung von Meinungsäußerungen »

Så havererade »länkskatten« i Tyskland och Spanien

Jag hittade en saklig och intressant text om hur EU:s nya »länkskatt« (artikel 11 i EU:s nya upphovsrättsdirektiv) fungerat när den prövats i Tyskland och Spanien. Eller, rättare sagt, inte fungerat. Det blev pannkaka av alltihop. Och nu vill man alltså upprepa sina misstag i EU-skala. (Texten är från förra året, men beskriver ändå saken väl.)

Länk: The ”Link tax” in the Experiences of Germany, Spain and the Article 11 of the EC Proposal for the New Copyright Directive »

Tyskland:

  • Google tvingades stänga ute de media som krävde att man måste betala för att länka till dem.
  • Trafiken till tidningarnas siter minskade med 40%.
  • De media som stämt Google drog tillbaka sin stämning och beslutade att licensiera sitt material till Google utan kostnad.

Spanien:

  • Lagstiftaren beslutade att man inte skall kunna licensiera rätten att länka utan kostnad.
  • Google News stängde ner i Spanien, då lagen gjorde dess verksamhet olönsam och omöjlig.
  • Besöken på stora medias siter minskade med 6% och för små publikationer med 14%.
  • På detta sätt förlorade spansk media c:a 10 miljoner euro per år.

En intressant detalj är att de spanska erfarenheterna visar att små och nya media är de som drabbas hårdast.

Den länkade texten påpekar också att EU:s förslag kan bryta mot artikel 10 i Bern-konventionen (den internationella konventionen om upphovsrätt). Det betyder att om EU går vidare med idén om »länkskatt« – då kan vi vända oss till världshandelsorganisationen WTO för att försöka få den upphävd.

Sammanfattningsvis kan man konstatera att »länkskatten« har prövats – och visat sig vara misslyckad. Det vore märkligt att upprepa misstaget, speciellt i en större skala över hela EU.

/ HAX

Relaterade länkar:
• Artikel 11: EU:s märkliga länkskatt »
• Artikel 13: Allt om EU:s uppladdningsfilter »
• The text of Article 13 and the EU Copyright Directive has just been finalised »
• Stoppa EU:s digitala järnridå! (video) »

Pre-crime i Tyskland

”The biggest threat to our rights and freedoms, though, is a paradigm shift underlying all these new police laws: the required condition for surveillance measures is changing from a concrete suspicion to an “impending threat”. This takes away a fundamental principle under the rule of law: people will no longer know by which behaviour they can avoid being targeted by police measures. The vagueness of terms and the lack of requirement for reasonable suspicion increase risks of arbitrariness in the use of police force.”

EDRi – Germany: New police law proposals threaten civil rights »

Kinox.to block

Tyskland blockerar streamingsajt – och förbjuder Facebook att förbjuda pseudonymer

En domstol i München har beslutat att internetoperatören Vodafone måste blockera streamingportalen Kinox.to, liksom att Vodafone inte får ”radera data som visar vilka kunder, med deras adresser, som tilldelats följande IP-adresser”.

Målsägande i båda fallen var münchenbaserade Constantin Film, som bland annat ligger bakom Fack Ju Göhte 3 – Tysklands mest sedda film 2017 (över 6 miljoner biobesök).

Filmdistributören redogör på sin hemsida för sin tredelade ”anti-piraterie”-strategi, som går ut på att ”erbjuda, upplysa, förfölja”; erbjuda filmerna på legala streamingplattformar, upplysa internetanvändare om åsikten att fildelning är dåligt, och slutligen rättsligt pröva de fall där de anser att brott har begåtts.

Upplysningsdelen har bland annat handlat om att anordna ”Antipiraterie-spot-contest” – en tävling där deltagarna ska göra en reklamfilm mot ”pirateri”. Länkarna på Constantin Films egen hemsida är döda, men några av vinnarna går att hitta på Youtube. Som synes har inte så mycket hänt sedan klassikern ”You wouldn’t steal a car” – till och med de ”tuffa” gitarrerna finns där:

Klicka här för att visa innehåll från YouTube

(Netzpolitik: Netzsperren: Vodafone muss kinox.to blockieren und Kundendaten speichern)

Berlin varnar Facebook

Berlins lokala domstol har beslutat att Facebooks krav på att användarna ska använda sina riktiga namn är rättsvidrigt. Anledningen är att det sociala nätverket inte förklarar tydligt nog varför man måste använda sitt riktiga namn och vad det innebär. Och anledningen är förstås att de vill kunna identifiera sina användare för att lättare kunna rikta annonsering till dem.

Domstolen slog också ner på ett antal förinställningar i Facebooks inställningar, bland annat att meddelandefunktionen Messenger i defaultläget visar var man befinner sig för mottagaren.

En seger för konsumenterna, kan man tycka, och kanske är det bra att företag inte får bete sig hur fräckt som helst gentemot sina kunder. Men i ljuset av att en annan tysk domstol just ålagt en internetoperatör att blockera internet ter sig omsorgen om facebookanvändarna som något missriktad för att inte säga falsk.

(Netzpolitik: Landgericht Berlin erklärt Facebooks Klarnamenzwang für rechtswidrig)

transportstyrelsen

HAX: It-skandal i Sverige – det nya normala i EU?

EUs ministerråd vill se ”fri rörlighet för data”. Företag och myndigheter i ett EU-land skall fritt kunna använda molntjänster i ett annat EU-land.

Som vi redan rapporterat välkomnas detta av industrin – medan till exempel den tyska regeringen är skeptisk.

Frågan är hur Sverige ställer sig i frågan.

Hela grunden för allt hallå om Transportstyrelsen bygger ju på att känslig svensk data lagrats och hanterats i (bland andra) andra EU-länder. Nu tycks alltså EU mena att sådant skall vara det nya normala.

Oaktat frågan i sak skulle det vara väldigt intressant att få veta hur regeringen ställt sig och handlat i ministerrådet.

Är det kanske som vanligt, att regeringen håller sig med olika måttstockar och principer i inrikespolitiken respektive i EU? Det skulle knappast vara förvånande.

Se där en fråga för media och riksdagens EU-nämnd att sätta tänderna i. Om nu någon bryr sig.

/HAX

Not: Detta inlägg skrev Henrik Alexandersson i ett brev från fängelset, daterat 23 januari 2018.

Ministerrådets ”julklapp” till EU-medborgarna: Fri rörlighet för data

Europeiska unionens råd vill ta bort nationella restriktioner kring var data får lagras och behandlas: Företag och myndigheter i ett EU-land ska kunna använda molntjänster i ett annat EU-land.

Beslutet välkomnas av industrin, som kallade det ”en tidig julklapp till EU-medborgarna”.

Tyska regeringen är däremot sedan tidigare kritisk, eftersom den vill att tyska myndigheters data ska lagras och behandlas ”på tysk mark”. Dessutom sätter förslaget käppar i hjulet för det tyska ”bundescloud” som regeringen planerar för.

Nu ska rådet inleda förhandlingar med Europaparlamentet.

”Orwellsk mardröm”: Tysklands inrikesminister kräver total övervakning

Tyska nät- och medborgarrättsaktivister är i uppror efter att landets inrikesminister Thomas de Maizière föreslagit att industrin måste bygga in bakdörrar i snart sagt varenda elektronisk produkt tyskarna kan tänkas köpa.

Sedan tidigare har polisen rätt att övervaka misstänkta brottslingar via deras datorer, men denna statstrojan bleknar i jämförelse med de bakdörrar som de Maizière vill införa: Inte bara datorer, utan även smarta teveapparater och bilars navigationssystem ska utrustas med bakdörrar, liksom digitala vitvaror, ja i princip varje pryl som är uppkopplad.

Förutom övervakning vill de Maizière också ge myndigheter möjlighet att stänga av medborgarnas datorer för att kunna stoppa botnetattacker.

Kritik från alla håll

Förslaget har beskrivits som en ”orwellsk mardröm” av parlamentsledamoten Konstantin von Notz från De gröna.

Frank Rieger från hackarföreningen Chaos Computer Club kallar det ”ett frontalangrepp på alla medborgares digitala och fysiska säkerhet”.

Även från Socialdemokraterna kommer kritik. Den kristdemokratiske inrikesministern ”har uppenbart förlorat den sista realpolitiska anständigheten”, enligt Uli Grötsch/SPD.

Inrikesministerkonferens

På tyskt maner har det monstruösa förslaget försetts med den lätt kryptiska titeln ”Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO” (ungefär ”Handlingsbehov avseende tredje parts lagstadgade plikt till åtgärder för dolt informationsinhämtande enligt §§ 100c och 100f brottsbalken”).

Förslaget ska diskuteras under inrikesministerkonferensen i Leipzig, som börjar nu på torsdag (7 december 2017). Där samlas inrikesministrarna från Tysklands 16 förbundsländer. Inrikesministern för Tyskland, alltså för tillfället Thomas de Maizière, är ständig gäst på konferenserna, men har ingen rösträtt.

Kommentar

Thomas de Maizières förslag blir knappast verklighet. Även om politikerna kör över folket så skulle Författningsdomstolen i Karlsruhe nog olagligförklara en sådan lag.

Men vad gäller viljan att övervaka hela befolkningen i deras hem måste man säga att Thomas de Maizière från CDU nu slutit cirkeln till östtyska underrättelsetjänsten Stasi, som eftersträvade en total övervakning som skulle vara ”flächendeckend” – heltäckande.

Den tidigare inrikesministern Wolfgang Schäuble (CDU) blev hårt kritiserad för sin övervakningsiver och gav upphov till begreppet Stasi 2.0. Nu när Thomas de Maizière tagit över stafettpinnen siktar han uppenbarligen på Stasi 3.0.

Lyssna gärna på vårt specialavsnitt från Stasis högkvarter i Berlin Lichtenberg:

Klicka här för att visa innehåll från SoundCloud

Vi har illustrerat den här bloggposten med en skärmdump från Thomas de Maizières hemsida från i dag (5 december 2017). Hemsidans avdelning ”Fotogalerie” visar ett tekniskt fel. Hemsidan är byggd med ramar (frames), en teknik populär på 1990-talet. Detta är alltså mannen som är högst ansvarig för den tyska inrikespolitiken. Det känns tryggt.

Källor

Vad vet dejtingappen om dig?

Enligt EUs datalagringsdirektiv har man som användare rätt att begära ut alla data som ett företag har lagrade om en. Denna rättighet verkar främst utnyttjas av journalister.

Nu senast har den franska men i Berlin bosatta journalisten Judith Duportail begärt ut sina data från dejtingappen Tinder, som ägs av amerikanska Match Group. När Tinder väl accepterat utlämnandet – och detta först efter påtryckningar från en advokat – fick Duportail en lunta på 800 A4-sidor:

Some 800 pages came back containing information such as my Facebook “likes”, my photos from Instagram (even after I deleted the associated account), my education, the age-rank of men I was interested in, how many times I connected, when and where every online conversation with every single one of my matches happened … the list goes on.

För några år sedan gjorde den tyske politikern Malte Spitz ett liknande experiment, då han begärde ut sina data från teleoperatören Telekom. Även där krävdes det en del juridik – ja, en stämning rentav – innan Telekom gav med sig. Resultatet presesenterades i nyhetsmagasinet Die Zeit, som fick Spitz tillåtelse att lägga pussel med hans data för att visa vilken skrämmande komplett bild dessa data kan ge av en människa.

De två fallen skiljer sig åt på en väsentlig punkt:

I tinderfallet handlar det om data som vi villigt lämnar ifrån oss för att tjänsten över huvud taget ska fungera. Självklart måste Duportail ange sina ålderspreferenser om hon vill bli presenterad för tänkbara partner i den åldern.

Vad gäller Telekom handlar det i stället om en total uppsugning av alla öppna data som en persons uppkopplade enhet lämnar ifrån sig, och som varken teleoperatören eller staten har att göra med.

Det är ödet för denna andra typ av generell datalagring som nu avgörs i ett antal EU-länder, inte minst Sverige, efter att EU-domstolen ogiltigförklarat den.

Switch

Läckta dokument avslöjar: Tyska BND knäckte anonymiteten i Tor

Tyska underrättelsetjänsten Bundesnachrichtendienst (BND) knäckte anonymiteten i Tor, sålde kunskapen till amerikanska NSA, och varnade slutligen andra tyska myndigheter för att använda tornätverket eftersom det inte längre kunde garantera anonymitet.

Det antyds i ett antal läckta dokument som Netzpolitik fått tag på. Den tyska nätpolitiska nyhetssajten har även publicerat en detaljerad artikel på engelska om den spektakulära läckan.

Anonymt surfande

Tor är en anonymiseringsteknik där användarens internettrafik passerar genom flera olika så kallade tornoder mellan användarens dator och till exempel en webbsida. Den som sitter på den sista noden (exitnoden) före målet för användarens trafik kan eventuellt se vart trafiken går, men inte vem trafiken kommer från.

Det var detta BND ville ta reda på.

Offentlig forskning

BND lär ha använt sig av tekniker som finns beskrivna i forskning som finns tillgänglig för allmänheten. Genom att sätta upp en egen tornod och en egen hemsida kan man jämföra antalet paket som passerar genom noden och när, och matcha detta mot en användares dator för att på så vis ta reda på vem trafiken kommer från. Detta förutsätter förstås att man kan bevaka pakettrafiken i en användares dator, men det är inte omöjligt att BND har sådana möjligheter genom att kräva tillgång till sådant från användarens internetoperatör.

En gåva till NSA

Oavsett hur det praktiskt gick till – detaljerna i de läckta dokumenten är censurerade – konstaterade BND i april 2008 att de låg ”far ahead of the Yanks” i knäckandet av anonymiteten i Tor. Denna kunskap ville man använda för att få tillgång till viktig teknologi från NSA; chefen för signaldivisionen av BND åkte regelbundet till NSA i Fort Meade för att berätta om framstegen och förhandla om ett utbyte av information:

The BND wanted something from the NSA: a technology from the „field of cryptanalysis“, to decipher encrypted communication. The Germans knew from experience that Fort Meade would not easily hand over the object of desire. So they collected items to trade for the Americans, the attack against Tor was „another building block“ for this gift package.

Samarbete med NSA och GCHQ

BND levererade. I februari 2009 hade man färdigställt en kort rapport med titeln ”Concept for tracking internet traffic, which has been anonymized with the Tor system”. Inte bara amerikanska NSA, utan även brittiska underrättelsetjänsten GCHQ var intresserade. Flera möten följde. Och uppenbarligen ansåg sig BND så framgångsrika att de avrådde andra tyska myndigheter från att använda Tor:

One and a half years later, the BND warned German federal agencies not to use Tor. The hacker unit „IT operations“ entitled its report: „The anonymity service Tor does not guarantee anonymity on the internet“. The six-page paper was sent to the chancellery, ministries, secret services, the military and police agencies on 2 September 2010.

Det som hände sedan var att NSA och GCHQ tog över forskningen kring Tor. Dokument som Edward Snowden läckte visar hur GCHQ gick till väga – forskningen ska ha startat i december 2010:

Their goal is to deanonymize Tor, or in their own words: „if given some traffic from a Tor exit node, […] find the IP address of the user associated with that traffic.“

Vad gäller NSA har vi också Snowden att tacka för insynen i myndighetens arbete:

The NSA also scores a success. In 2011, they implemented „several fingerprints and a plugin“ in their powerful XKeyscore system, in order to recognize and deanonymize Tor users.

Är Tor knäckt?

Vad innebär då detta? Är anonymiteten i Tor verkligen knäckt och bör man sluta använda nätverket för anonym surfning?

Nja. Som flera tornodsoperatörer säger till Netzpolitik, så är det en sak att i vissa enskilda fall kunna koppla exitnodstrafik till en IP-adress, fall där trafiken passerar genom ens egen tornod. Men det är en helt annan sak att kunna göra detta i stor skala. Man bör rentav se underrättelsetjänsternas försök att knäcka anonymiteten som ett skäl till att fortsätta bygga ut tornätverket, menar dess projektledare Roger Dingledine, ”so it’s hard for even larger attackers to see enough Tor traffic to do these attacks”.

Vi låter Roger Dingledine få sista ordet i den här artikeln. För i slutändan är det här inte (främst) en fråga om teknik. Dingledine säger till Netzpolitik:

We as a society need to confront the fact that our spy agencies seem to feel that they don’t need to follow laws. And when faced with an attacker who breaks into Internet routers and endpoints like browsers, who takes users, developers, teachers, and researchers aside at airports for light torture, and who uses other ‚classical‘ measures – no purely technical mechanism is going to defend against this unbounded adversary.