Femte juli

Nätet till folket!

USA

Allvarligt säkerhetshål i färska Macos 10.13 High Sierra

av

High Sierra, som den senaste versionen av Apples operativsystem Macos heter, har i dagarna gett macanvändare världen över en ny bakgrundsbild med den amerikanska bergskedjan i höstskrud. Vackert!

I övrigt låg de flesta nyheterna under huven. Vi har berättat om de nya säkerhetsfunktionerna i webbläsaren Safari, som bland annat blockerar vissa typer av cookies från alltför aggressiva annonsörer. Denna nyhet i Ios 11 har alltså nu också kommit till Macos 10.13 High Sierra.

Men allt är inte frid och fröjd. Säkerhetsanalytikern Patrick Wardle har hittat ett allvarligt säkerhetshål i funktionen Keychain, där han lyckades komma åt användares lagrade lösenord i klartext:

Normally, all Keychain information is locked down with a user’s master password. But Wardle was able to extract passwords from the Keychain without entering a master password, showing that an attacker with access to an unlocked computer might be able to steal Keychain data.

Hacket funkar även i äldre versioner av Macos. Wardle rapporterade buggen till Apple den 7 september 2017 och säger till Gizmodo att han räknar med att Apple snart släpper en patch. Tills dess kommer han inte att göra hacket offentligt.

De macanvändare som angett ett separat huvudlösenord för Keychain berörs inte av säkerhetshålet.

Striden om privatsfären

av

Är det lagligt för amerikanska gränspolisen (Customs and Border Patrol, CBP) att söka igenom amerikanska medborgares elektroniska enheter vid inresa till USA?

Det är dags att domstolarna säger sitt, resonerar amerikanska Electronic Frontier Foundation (EFF) och American Civil Liberties Union (ACLU), som i en grupptalan har stämt Department of Homeland Security.

Målsägande är tio amerikanska medborgare och en person med permanent uppehållstillstånd i USA som har fått sina elektroniska enheter genomsökta av gränspolisen. Anklagelsen är att detta förfarande bryter mot det första och det fjärde tillägget till den amerikanska konstitutionen.

En av målsägarna är Sidd Bikkannavar, den USA-födde nasaingenjören som skapade rubriker tidigare i år när han tvingades uppge koden till sin telefon till säkerhetspersonal på Houstons flygplats. Telefonen tillhörde Nasas Jet Propulsion Lab, som efter händelsen analyserade telefonen för att försöka ta reda på vad Customs and Border Patrol (CBP) gjort med den under den halvtimme de behöll den. Bikkannavar fick direkt en ny telefon av sin arbetsgivare.

Idén att flygplatser är något av ett laglöst land är inte ny. Techcrunch berättar om flera fall där gränspolis tänjt på lagen historiskt.

Att gränspolisen går igenom folks, och i det här fallet amerikanska medborgares, elektroniska enheter lär höra till ovanligheterna, men den typen av genomsökningar har ökat under den senaste tiden – vi rapporterade om detta i avsnitt 46 av 5 juli-podden.

Striden om privatsfären utkämpas alltså på amerikanska flygplatser, och gränskontrollen är dess frontlinje. Det är där tveksamma eller rentav olagliga metoder måste stoppas, innan de sprider sig till resten av samhället.

 

Vem försöker attackera nätaktivister?

av

Amerikanska Electronic Frontier Foundations (EFF) rapport Phish for the Future går igenom de phishingförsök som människorättsaktivister på organisationerna Free Press och Fight for the Future blivit utsatta för.

Det intressanta är att det inte handlar om phishing i form av massutskick, utan om ”spear phishing” – alltså riktade phishingförsök. Angriparna har i många fall varit ihärdiga och inte gett upp om den första attacken misslyckats. Rapporten beskriver en synnerligen intrikat attack:

One attempt, which targeted Evan Greer, Campaign Director of Fight For The Future, pretended to be a question about where to find the link to buy her music, which is available online. Evan replied with a link. The attacker replied with an email in which they complained that the link was not working correctly, having replaced the link with a phishing page made to look like a Gmail login.

Andra mejl kunde innehålla clickbaitrubriker om Donald Trump, fri press, demokrati och andra beten som man hoppades att de anställda på just dessa organisationer skulle nappa på.

Frågan är vem eller vilka som ligger bakom attackerna. EFF skriver:

Although this phishing campaign does not appear to have been carried out by a nation-state actor and does not involve malware, it serves as an important reminder that civil society is under attack.

Slutligen konstaterar EFF att tvåfaktorsautentisering effektivt stoppar den här typen av phishingförsök.

Europa ber USA att inte riva ut internets själ

av

Edri (European Digital Rights) har tillsammans med 200 andra organisationer utanför USA skrivit ett öppet brev till FCC (Federal Communications Commission), där de uppmanar den amerikanska myndigheten att behålla reglerna för nätneutralitet:

An FCC rollback of net neutrality provisions would grant US Internet service providers like AT&T, Comcast and Verizon new powers to control the Internet. Ultimately, these changes will allow US Internet access providers to demand payment from online services for the right to have privileged access to that provider’s customer base, creating a patchwork of new monopolies to replace the existing open market. This will fragment the market, destroy economies of scale, reduce incentives for innovation, undermine social movements and rip the soul out of the Internet.

Vi skriver om bakgrunden här: Nätneutraliteten hotad i USA

Mark Zuckerbergs tal till nationen

av

När Facebooks grundare och vd Mark Zuckerberg sänder live, då är det en händelse i samma liga som amerikanska presidenters ”state of the union”-tal.

Zuckerberg berättade att Facebook kommer att dela information om politiska annonser med den amerikanska kongressen, så att kongressen kan utreda på vilket sätt ryska ”trollfarmer” försökt påverka facebookanvändarna.

Facebook har tidigare nekat kongressen denna information med hänvisning till sekretess för användarna. Vändningen förklarar Zuckerberg så här:

I don’t want anyone to use our tools to undermine democracy. That’s not what we stand for.

Gizmodo har sammanfattat hela talet.

Peter Thiel kan bli Donald Trumps närmaste man

av

I avdelningen ”näste man till rakning” konstaterar vi att finansmannen Peter Thiel kan bli ordförande för USAs president Donald Trumps underrättelseråd Piab (President’s Intelligence Advisory Board).

Detta framkom i en artikel i Vanity Fair, som citeras i flera media. Thiel beskrivs som en förkämpe för integritet. En källa säger till tidningen:

“He is super-concerned about Amazon and Google”—and Facebook, less so. “He feels they have become New Age global fascists in terms of how they’re controlling the media, how they’re controlling information flows to the public, even how they’re purging people from think tanks. He’s concerned about the monopolistic tendencies of [all three] companies and how they deny economic well-being to people they disagree with.”

Peter Thiel är en av grundarna av betalningstjänstföretaget Paypal och datainsamlingsföretaget Palantir. Det senare har samarbetat med amerikanska underrättelseorganisationen NSA (National Security Agency). Thiel orsakade även rubriker när han skickade Gawker i graven efter att nyhetssajten outat Thiel som homosexuell – se tidigare inlägg på Femte juli.

Stoppa Sesta – för barnens skull

av

Ett säkert sätt att få igenom lagstiftning på, eller i alla fall att tysta många protester, är att hänvisa till barnen. Vem vill kritisera lagar som införs ”för barnens skull”?

Den senaste i raden av sådana lagförslag är amerikanska Sesta – Stop Enabling Sex Traffickers Act – som just nu diskuteras i USAs senat. Avsnitt 230 av Communications Decency Act (CDA 230) föreslås ändras på ett sätt som lägger ett större ansvar på internetföretag att moderera kommentarer på webben.

En av kärnfrågorna är begreppet ”knowledge” och hur ett företag kan kompromettera sig självt om det har kunskap om olagligheter. Techdirt förklarar problemet:

Yet, under SESTA you now face liability if you are shown to have any ”knowledge” of violations of federal sex trafficking laws. But what do they mean by ”knowledge”? It’s not at all clear, as it just says ”knowledge.” Thus, now if a site, for example, discovers someone using its platform for trafficking and alerts authorities, that’s evidence of ”knowledge” and can be used against them both in criminal charges and in civil lawsuits.

In other words, somewhat incredibly, the incentive here is for platforms to stop looking for any illegal activity on their sites, out of fear of creating knowledge which would make them liable. How does that help?

Techdirt listar ett antal företag som kommer drabbas om CDA 230 ändras, från Facebook till Airbnb – ja kort sagt alla företag vars tjänster låter användarna kommunicera med varandra.

En kampanjsajt mot Sesta sattes upp i veckan.

Säkerhetsläcka kunde ha undvikits

av

Förra veckan läckte 143 miljoner amerikaners uppgifter – namn, adresser, födelsedatum, försäkringsnummer, körkortsinformation, i vissa fall även kreditkortsnummer – från kreditupplysningsföretaget Equifax.

Det har nu framkommit att Equifax kände till säkerhetshålet som gjorde läckan möjlig, men lät bli att täta det i tid, skriver TNW:

The company learned that its attackers took advantage of a security flaw in the Apache Struts Web Framework, that allowed them to remotely execute code on Equifax’s systems. The bug was revealed in March, along with recommended patches to fix it – but clearly, Equifax didn’t move quickly enough to prevent nearly half of all Americans’ names, addresses and dates of birth from being stolen.

Equifaxläckan är en av de största i historien, enligt TNW. De läckta uppgifterna kan lätt användas för identitetsstöld.

Skådespelare vill förbjuda IMDB att publicera deras ålder

av

Amerikanska skådespelarfacket Screen Actors Guild (SAG) har tagit ställning i ett pikant mål.

Det gäller skådespelerskan Junie Hoang, som stämde filmsajten IMDB för att de publicerat hennes ålder, vilket hon hävdar ska ha lett till att hon förlorade filmroller till ett värde av en miljon dollar på grund av åldersdiskriminering.

I stället för att försvara yttrandefriheten och motarbeta åldersdiskriminering i filmbranschen väljer nu SAG att ställa sig bakom Hoang mot IMDB, detta eftersom ”IMDb.com facilitates that discrimination as the go-to website for casting decisions”.

En rolig detalj i sammanhanget är att det framkommit att Junie Hoang hittills dragit in 2000 dollar per år på sina filmroller. Baserat på den lönen kräver hon alltså att IMDB ska finansiera hennes nästa 500 år som skådespelerska (1 miljon dollar genom 2000 dollar per år = 500 år).

Skådespelare är visserligen inte kända för kallhamrad logisk stringens, men att kräva att medier censurerar vissa fakta tar nog priset.

Techdirt vann mot Shiva Ayyadurai

av

En domare i USA har ogillat Shiva Ayyadurais stämning av nyhetssajten Techdirt och nekat honom ytterligare åtgärder.

Shiva Ayyadurai stämde Techdirt för förtal för att sajten hånat honom för att han hävdade att han var epostens uppfinnare.

Shiva Ayyadurai anlitade advokaten Charles Harder, som tidigare haft framgång med att sänka en obekväm nyhetssajt – se tidigare inlägg.

Läs mer

Techdirt: Case Dismissed: Judge Throws Out Shiva Ayyadurai’s Defamation Lawsuit Against Techdirt