Femte juli

Nätet till folket!

VPN

UK: Åldersgräns för VPN, del 2

av

Den brittiska idén om en åldersgräns för VPN kommer att innebära ID-krav för alla landets VPN-användare. Plus speciella operativsystem för alla mobiltelefoner med Apples och Androids operativsystem i Storbritannien.

I veckan skrev vi om hur Storbritannien är på väg att införa en åldersgräns för VPN – för att hindra minderåriga från att kringgå de nya åldersgränserna för sociala medier och andra webplatser som kan tänkas innehålla något som är olämpligt för barn.

Ju mer man tänker på saken, desto värre blir det. Vilket är relevant även för oss – då det bara är en tidsfråga innan vi får samma debatt i EU.

Till att börja med måste man vara klar över att åldersgränser för minderåriga innebär ID-krav för alla som vill använda VPN. Vilket öppnar nya riskvektorer.

Sedan bör det påpekas att VPN-användning inte främst är ett verktyg för att kringgå brittiska åldersgränser – utan ett verktyg för någorlunda säker kommunikation. Att inte låta brittiska tonåringar skydda sig mot angrepp på öppna nätverk är fullständigt befängt.

I ett arbetsdokument skriver den brittiska regeringen att man gör detta för att undvika att utsätta minderåriga för risker online… Man skriver även att VPN underminerar barns säkerhet online. Det är en problemformulering som förtjänar att ifrågasättas.

Den utmärkta Bli Säker-podden från Nikka Systems (nedan) lyfter en annan intressant aspekt: Både Apple och Google har VPN-klienter inbyggda i sina respektive operativsystem.

Skall man nu tvingas skeppa operativsystemsversioner utan detta skydd, för Apple- och Android-telefoner i Storbritannien? Det skulle ju i så fall göra alla brittiska användare – inklusive företag, myndigheter, journalister med flera – sårbara för illasinnade aktörer.

Har man verkligen tänkt igenom det här?

Se mer i Bli Säker-podden nedan. Vi hoppar direkt till rätt ställe i videon (28:01). Och se även vår förra bloggpost på samma tema: UK: Åldersgräns för VPN »

CC0

UK: Åldersgräns för VPN

av

Den brittiska regeringen vill införa en åldersgräns för VPN. Frågan är hur.

Jag ser att britterna tänker införa åldersgräns – det vill säga ID-krav – för VPN. Den officiella förklaringen är att man vill hindra minderåriga från att kringgå den åldersgräns för allehanda webplatser som nyss infördes under Online Safety Act.

Man kan undra hur det är tänkt att gå till.

Skall man införa en åldersgräns för VPN i Apples och Googles app-stores? Det ger noll koll på vem som använder enheten som tjänsten är installerad på. Och hur gör man med egenkonfigurerade VPN:er? Eller sideloadade appar från externa källor?

Eller skall man kräva ID när användaren registrerar sig hos VPN-leverantörer? Vilket i så fall kommer att driva användare till VPN-tjänster utanför EU – som i värsta fall kan vara hotaktörer.

Hur gör man med egenhostad eller decentraliserad VPN? Hur gör man när ett konto har flera användare, till exempel i en familj? Inte heller detta ger koll på vem som verkligen använder tjänsten.

Skall man kanske tvingas identifiera sig varje gång man ansluter till VPN? Det vore i så fall en total konceptkollaps.

Man skulle kanske kunna tänka sig någon form av IP-blockering som analyserar trafiken på paketnivå… Vilket känns allt mindre realistiskt ju mer man tänker på saken. Det skulle kräva en total övervakningsapparat.

För att verkligen stoppa icke-godkänd VPN-trafik skulle staten behöva kontrollera all trafik, all programvara och alla användares identitet vid varje givet tillfälle.

Eller skall man koppla ID-kontrollen till enheten, till varje telefon, varje dator och varje surfplatta – där alla tilldelas ett obligatoriskt digitalt ID? Vilket för övrigt inte heller ger koll på vem som verkligen använder enheten.

Det tycks det finnas två spår. Det ena är meningslös symbolpolitik som är lätt att kringgå. Det andra är en utveckling mot ett identitetsbaserat internet.

ID-krav för VPN slår mot rätten till anonymitet och privatliv. Systemet är samtidigt lätt att kringgå. En global implementation är svår att genomdriva. Risken för överblockering och teknikförbud är uppenbar. Det drabbar till exempel journalister, visselblåsare och aktivister – som kan ha fullt rimliga skäl att vara anonyma.

Möjligen kan ett ID-krav för VPN även bryta mot den grundläggande mänskliga rättigheten till privatliv och privat kommunikation.

Det kan även strida mot yttrandefrihetens rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning. Europadomstolen har redan tidigare etablerat en praxis om att anonym kommunikation är en viktig del av yttrandefriheten.

Europadomstolens praxis visar att anonym kommunikation kan omfattas av skydd enligt artikel 8 och 10.

Det skall bli oerhört intressant att se hur detta är tänkt att gå till.

Mycket talar för att förslaget är ytterligare ett exempel på politiska beslutsfattare som inte begriper vad de sysslar med.

UK Online Safety Act – konsekvenserna börjar bli synliga

av

Britternas Online Safety Act har lett till ökat VPN-användande, politisk diskussion om VPN-förbud och nya former av cyberbrottslighet.

Snabbt börjar Storbritanniens Online Safety Act få konsekvenser.

Den goda nyheten är attt användandet av VPN ökat. Ett syfte med detta är att komma runt de ID-krav/ålderskontroller som den nya lagen ställer på många typer av sidor, från porr till Reddit.

Den dåliga nyheten är att detta har väckt nytt liv i den slumrande politiska debatten om att förbjuda VPN. Vilket riskerar att slå tillbaka både tekniskt, juridiskt och politiskt. (Inte ens EU har vågat gå så långt. Ännu.)

En annan konsekvens är att brittiska användare lockas till fejk-siter där de luras lämna ut sina ID-uppgifter till cyberbrottslingar, i tron att »ID-kravet« på dessa sidor beror på den nya lagen.

Detta lär bara vara början vad gäller oväntade och oönskade konsekvenser av OSA.

Lagens motståndare håller på att samla in namn för att få till stånd en debatt om den i parlamentet. I skrivande stund har runt 250.000 personer skrivit under. Regeringen meddelar dock att den inte har några planer på att ändra eller dra tillbaka lagen.

Relaterat:
• Online Safety Act – britternas DSA och Chat Control i ett »
• UK Online Safety Act vs. Wikipedia »

CC0

Filmindustrin till attack mot Tor och VPN

av

Är du ”pirat” om du tittar på en streamingtjänst som du själv betalt för? Enligt filmindustrin är svaret ja, i vart fall ibland.

TorrentFreak rapporterar:

”The Motion Picture Association says that circumvention services such as VPNs, DNS masks and Tor networks can pose a direct threat to legitimate streaming services.” (…)

”While many of the concerns and complaints are not new, there are a few that stand out, starting with the MPA’s concern about ‘circumvention services’ such as VPNs and the Tor Network, which can be used by ‘geolocation pirates’.”

En ”geolocation pirate” kan till exempel vara någon som ser på sin vanliga – betalda – stremingtjänst från ett annat land under resa eller semester. Eller den som flyttat till ett visst land, men som av språkliga (dubbning, textning) skäl vill ha tillgång till t.ex. sitt ursprungslands Netflix.

Sedan används ibland VPN för att titta på stremingtjänster som visar material som bara är tillgängligt i ett annat land. Men är det verkligen ett jättelikt problem – om den som tittar faktiskt betalar för det?

Är ”geolocation piracy” över huvud taget ett stort problem? Och är det i så fall ett tillräckligt stort problem för att stoppa Tor och VPN-tjänster som används för säker kommunikation, för att kringgå censur, för att oppositionella i vissa länder skall kunna uttrycka sig anonymt, för att ge kineser och andra förtryckta folk tillgång till nyheter från omvärlden – eller för att ta del av innehåll på nätet som ingen annan har något med att göra?

Som vanligt är nöjesindustrin villig att offra ett fritt och öppet internet på upphovsrättens altare.

TorrentFreak – Movie Industry: VPNs and Tor Pose a Threat to Legitimate Streaming Platforms »

Jakten på TPB – filmbolagen fortsätter bråka med OVPN

av

Som vi tidigare har rapporterat (här och här) envisas SF och Nordisk Film med att försöka få ut uppgifter från VPN-operatören OVPN i sin jakt på The Pirate Bay. Ett utdrag…

»Spåren ledde till Coludflare, vidare till ISP:n OBEnetwork och slutligen till VPN-operatören OVPN. Nu har filmbolagen begärt ett informationsföreläggande mot OVPN hos Patent- och Marknadsdomstolen. Men OVPN konstaterar att de inte kan lämna den begärda informationen – då de varken lagrar trafikuppgifter, tidsstämplar, DNS-upplag, IP-adresser, MAC-adresser eller information om ackumulerad bandbredd.«

Patent och marknadsdomstolen har konstaterat att OCPN inte kan lämna ut information som de inte har. Men det hindrar inte filmbolagen – genom Rättighetsalliansen – från att driva ärendet vidare. Nu har de kopplat in egna säkerhetsexperter vars utlåtanden de åberopar som bevis.

Ett av spåren är att begära tillgång till OVPN:s bokföring – eftersom alla betalningar måste redovisas. OVPN kommenterar i en bloggpost:

»OVPN:s kvitton för Publik IPv4 specificerar inte vilken IP-adress det rör sig om, utan endast att en viss kund har betalat för tjänsten. Se exempelvis på detta kvitto. OVPN:s kunder kan dessutom betala för flera års tillhandahållande av tjänsten vid ett och samma tillfälle. Detta utgör i sig ett hinder för att ens teoretiskt kunna koppla en tjänst vid en exakt tidpunkt till en specifik betalning. En kund kan också närsomhelst byta sin Publika IP-adress.«

Rättighetsalliansens säkerhetsexpert framför även följande åsikt till domstolen. Det kan »anses som extremt sannolikt att användaren eller identiteten som är kopplad till konfiguration finns lagrad i en användardatabas«. Vilket alltså inte stämmer – vilket domstolen också redan konstaterat.

Fortsättning följer.

Delseger för OVPN i The Pirate Bay-mål

av

TorrentFreak:

»After two movie companies demanded that VPN provider OVPN preserve data relating to an IP address used by The Pirate Bay, the parties have been arguing the case in court. In an early victory for OVPN, the court has now ruled that the financial penalties demanded by the movie outfits are inappropriate because the VPN asserts it has no useful information to hand over.«

• TorrentFreak: The Pirate Bay – OVPN Wins First Stage of Information Injunction Battle »

• Bakgrund: Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst »

Den ständiga jakten på The Pirate Bay – filmbolag ger sig på VPN-tjänst

av

Trots årtionden av rättsprocesser lever The Pirate Bay vidare som vanligt.

Samtidigt fortsätter nöjesindustrin sina försök att få stopp på verksamheten. Nu senast är det filmbolagen SF och Nordisk Film som är på krigsstigen.

Spåren ledde till Coludflare, vidare till ISP:n OBEnetwork och slutligen till VPN-operatören OVPN. Nu har filmbolagen begärt ett informationsföreläggande mot OVPN hos Patent- och Marknadsdomstolen. Men OVPN konstaterar att de inte kan lämna den begärda informationen – då de varken lagrar trafikuppgifter, tidsstämplar, DNS-upplag, IP-adresser, MAC-adresser eller information om ackumulerad bandbredd.

Det skall bli intressant att se hur detta kommer att utvecklas. För oavsett om det beslutas om vite, så finns det inga loggar att lämna ut. VPN-tjänster omfattas inte av kravet på datalagring.

OVPN:s advokat, Michael Lettius på Glimstedts Advokatbyrå konstaterar i sin inlaga:

Tillhandahållandet av VPN-tjänster utgör inte en sådan anmälningspliktig verksamhet som avses i 2 kap. 1 § lagen (2003:389) om elektronisk kommunikation (”LEK”) och därmed omfattas inte heller tillhandahållande av sådana tjänster av lagringsskyldigheten i 6 kap. 16 a § LEK. Av förarbetena till den gällande lydelsen av lagrummet framgår att bl.a. VPN-tjänster inte omfattas då ”det konstateras att förslaget inte innebär att sådana uppgifter ska lagras eftersom sådana tjänster aktiveras först efter internetåtkomsten”.

Ändringen avseende lagringsskyldigheten (och flera andra lagändringar) var påkallade av EU-domstolens dom i det s.k. Tele2-målet 2016. EU-domstolen fastslog i detta och ett annat mål bl.a. att undantag från skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt och att, vad gäller lagring, de lagrade uppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats.

Sammantaget medför det anförda att OVPN – som alltså inte tillhandahåller någon elektronisk kommunikationstjänst – inte omfattas av lagringsskyldigheten enligt LEK och därmed inte heller av rekvisiten i det åberopade lagrummet i lagen (1960:729) om upphovsrätt litterära och konstnärliga verk (…)

En lärdom, om man gräver ner sig i länkarna, är dock att det under vissa omständigheter kan gå att se vem som använder en viss IP-adress just nu. Detta är dock inget som behöver bekymra vanliga VPN-användare, som ju hoppar till nya IP-adresser varje gång de kopplar upp sig. Men vill man verkligen känna sig säker – till exempel om man vill sända ett synnerligen konfidentiellt meddelande – då kan det kanske vara lämpligt att koppla upp och ner sig mot sin VPN för just detta tillfälle. Men det får betraktas som överkurs.

OVPN kommenterar fallet:

»Vi bestrider helt och hållet Rättighetsalliansens påstående att OVPN har ”illojala syften” och att vår affärsidé är att hjälpa kriminella undgå rättsvårdande myndigheter. Tvärtom används OVPN av flera olika kundgrupper, som exempelvis journalister, advokater, politiker, myndigheter och konsumenter. För att vara helt tydlig: Vi stödjer inte på något sätt eller förespråkar användning av OVPN för att begå brott. Det är väldigt tydligt i våra Allmänna Villkor.

OVPN:s huvudfokus är att skydda människor från hackare och massövervakning. Vi går mot tider där regeringar, lagligt eller olagligt, avlyssnar sina och andras medborgare på en orimligt stor skala. Vi anser helhjärtat att människor bör uppleva samma integritet oavsett om man talar med en person på internet eller ansikte-mot-ansikte.

Vi står fast vid vår övertygelse om ett övervakningsfritt samhälle.«

Fortsättning lär följa.

Länkar:
• OVPN bestrider informationsföreläggande »
• Rättighetsalliansens ansökan om informationsföreläggande (PDF) »
• Inlaga från OVPN:s advokat (PDF) »
• TorrentFreak: The Pirate Bay’s IP Address Belongs to a VPN Provider, ISP Tells Court »

Fyll gärna på i kommentarsfältet om du hittar något intressant i dokumenten eller om du har nyheter i ärendet.

Kina påstås förbjuda utländska företag att kryptera och att använda VPN

av

The Gatestone Institute rapporterar:

On December 1, Beijing implemented the Multi-Level Protection Scheme 2.0, issued pursuant to the 2016 Cybersecurity Law. On January 1, China’s Cryptography Law becomes effective.

These measures prohibit foreign companies from encrypting data so that it cannot be read by the Chinese central government and the Communist Party of China. Businesses will be required to turn over encryption keys. Companies will not be able to employ virtual private networks to keep data secret, and some believe they will no longer be allowed to use private servers.

Together, these measures allow Beijing to take all the data and communications of foreign companies.

Vilket är en nyhet som borde få larmklockorna att ringa hos alla utländska bolag som har verksamhet i Kina.

(Detta med reservation för att nyheten än så länge bara har en källa och ännu inte rapporterats i mer etablerade medier.)

Länk: The Big Hole in the China Trade Agreement »

Ryssland på väg att blockera VPN-operatörer

av

»Back in March, ten major VPN providers including NordVPN, ExpressVPN, IPVanish and HideMyAss were ordered by Russian authorities to being blocking sites present in the country’s national blacklist. Following almost total non-compliance, the country’s telecoms watchdog says that blocking nine of the services is now imminent.«

TorrentFreak: Russia Says it Will Soon Begin Blocking Major VPNs »

VPN-leverantör flyr Sydkorea inför eventuellt tillslag

av

Private Internet Access drar sig ur Sydkorea. Det meddelar den amerikanska VPN-leverantören på sin blogg.

Beslutet kommer efter att företaget fått information om att sydkoreanska myndigheter kommer att gå in i serverhallen i morgon – den 24 januari 2018 – för att spegla PIAs servrar. PIA har därför tagit servrarna ur bruk och raderat allt innehåll från dem.

Private Internet Access har tidigare dragit sig ur Ryssland för att de inte kunnat garantera sina användares integritet. Enligt en intervju med företagets vd Ted Kim följer företaget situationen i Storbritannien noggrant sedan införandet av Investigatory Powers Act 2016 – lagen som fått öknamnet ”Snooper’s Charter”.

Samtidigt i Kina

Det finns uppgifter om att Kina ska ha dragit åt snaran ytterligare kring användande av VPN-tjänster. Företag som använder VPN-tjänster måste registrera sig, annars kommer internetleverantören att blockera deras åtkomst till webben, enligt uppgifterna. Det är oklart om dessa eventuella regleringar även gäller privatpersoner.

VPN-tjänster har existerat i en juridisk gråzon i Kina. Så sent som i december 2017 fick en man som drev en VPN-tjänst fem års fängelse, men samtidigt har myndigheterna sett genom fingrarna på företag som använt VPN-tjänster.

Det har tidigare rapporterats att kinesiska internetleverantörer beordrats blockera privatpersoners användande av VPN från den 1 februari 2018.

VPN betyder Virtual Private Network och är ett sätt att undgå övervakning genom att låta ens internettrafik gå genom en server placerad i annat land, till exempel.

Transparens

Svenska 5 juli-stiftelsen, som står bakom nyhetsbloggen Femte juli, driver Integrity VPN.