|
|
|
|
|
De Kaminski Digital s24e35
VÀlkommen till De Kaminski Digital, mitt nyhetsbrev med ambitionen att fördjupa samtalet om IT-politik och bidra med en internationell utblick till diskussionen i skÀrningen av teknik och mÀnskliga rÀttigheter.
|
I det hÀr nyhetsbrevet kan du lÀsa:
|
- Hej och vÀlkommen tillbaka efter sommaren
- Telegrams VD gripen och hÀr Àr varför Telegram (fortfarande) Àr dÄligt
- Lita inte pÄ sÀkerhetsskÄpen - ha koll pÄ dina enheter
- AI och algoritmer pÄ DN Debatt
Vill man följa mig pÄ sociala medier kan man med fördel göra det pÄ Threads, Instagram eller Mastodon (jag postar dock mest trams). För jobb-kontakter finns jag ocksÄ pÄ LinkedIn.
|
KÀnner du nÄgon som du tror skulle uppskatta det hÀr nyhetsbrevet? Tipsa dem om att registrera sig pÄ www.dekaminski.se!
|
|
|
|
|
Hej och vÀlkommen tillbaka efter sommaren
Jag tog en plötslig och rÀtt frÄnkopplad semester efter förra nyhetsbrevet. Jag var pÄ personalmöte i Chicago som sista moment innan sommarledigheten och slogs plötsligt av att jag var trött och behövde vila. SÄ det gjorde jag.
|
Hoppas du haft en bra sommar!
|
Under sommaren har jag funderat lite pÄ nyhetsbrevet, baserat pÄ kommentarer frÄn en del av er lÀsare. Jag kommer pilla och leka lite med designjusteringar men hÀr Àr lite annat jag grunnat pÄ:
|
1/ Det numera ny-gamla formatet verkar uppskattat. Ăven om jag i nyhetsbrevets inledande skede tyckte det var rĂ€tt trevligt att anvĂ€nda ren text i email för att skicka ut nyhetsbrev Ă€r det helt klart sĂ„ att det hĂ€r formatet Ă€r mer lĂ€sbart. Det Ă€r lĂ€ttare för mig att infoga bilder och lĂ€nkar, och lĂ€ttare för den som lĂ€ser att fĂ„ överblick.
|
2/ Eftersom nyhetsbrevet Àr kopplat till min Wordpress-blogg kommer jag frÄn nu ocksÄ lÀgga ut de flesta inlÀggen som enskilda blogg-poster. Bra för den som vill lÀnka nÄgot sÀrskilt man tycker Àr lÀsvÀrt, och ocksÄ bra för den som anvÀnder sig av RSS-lÀsare. Visst innehÄll kommer dock enbart finnas i nyhetsbrevet, som dÄ ocksÄ blir ett slags "best of".
|
3/ Jag ska lura lite mer pÄ timing och kontinuitet. Vissa nyhetsbrevs-proffs försöker lista ut nÀr deras brev lÀses av flest prenumeranter. SjÀlv gillar jag tanken som Per Axbom vad jag förstÄr jobbar efter - han skickar ut nyhetsbrev nÀr han har nÄgot vettigt att sÀga. Ibland blir det dÀrför tÀtare mellan utskicken, ibland glesare. Och bÄda Àr OK.
|
Jag hoppas förstÄs att mitt nyhetsbrev kÀnns relevant för den som valt att prenumerera pÄ det. DÀrför Àr jag ocksÄ vÀldigt glad i feedback! Svara gÀrna pÄ det hÀr mailet och berÀtta en sak du gillar med "De Kaminski Digital" och en sak du tycker jag kan göra bÀttre, det skulle göra mig glad.
|
|
|
Telegrams VD gripen och hÀr Àr varför Telegram (fortfarande) Àr dÄligt
|
Det Àr förvisso orimligt att med den typen av svepande ordalag lÀgga ett rÀttsligt ansvar pÄ sÄvÀl en Àgare av en plattform som plattformen i sig, men överlag tycker jag gripandet i sig Àr rÀtt ointressant förutom av ett skÀl - det ger oss en anledning att Äterigen prata om Telegrams anvÀndarsÀkerhet.
|
Trots att Telegram ofta framstÀlls som en "sÀker chat-tjÀnst" och sjÀlva hÀvdar att den Àr krypterad sÄ finns det en lÄng rad frÄgor om Telegrams egentliga sÀkerhet. Jag har i tidigare intervjuer lyft nÄgra av dem:
|
|
|
"VÀldigt lite Àr verifierat, det har inte gjorts nÄgra oberoende genomlysningar av koden" ... "Vi vet inte hur metadata hanteras pÄ Telegram, det finns inga transparensrapporter som alla större, seriösa plattformar har i dag", noterade jag dÀr - men glömde att tillÀgga att det ocksÄ gÀller krypteringen.
|
|
Utan oberoende genomlysningar av Telegrams kod finns det inget sĂ€tt för anvĂ€ndare att veta om pĂ„stĂ„endet om "256-bitars symmetrisk AES-kryptering ovanpĂ„ 2048-bitars RSA-kryptering med en Diffie-Hellman nyckelutvĂ€xling" faktiskt stĂ€mmer. Det LĂ
TER bra, men ĂR det bra? Oklart.
|
Telegrams pÄstÄdda kryptering Àr dessutom inte pÄ per automatik, utan bara i deras 1-1 "secure chats". För att skapa pÄstÄtt krypterade chattar mÄste man komma ihÄg att kryptering Àr bra och dÀrefter klicka sig fram fyra gÄnger i appen. Dessutom kan den pÄstÄdda krypteringen bara slÄs pÄ om motparten Àr samtidigt online, vilket begrÀnsar sÀkerheten ytterligare. Gruppchattar gÄr inte alls att kryptera.
|
Hemlighetsmakeriet och oviljan att i praktiken faktiskt kryptera sin tjÀnst (samtidigt som man saluför den som "encrypted messaging") - parallellt med att det Àr en av fÄ appar som hÀvdas vara sÀkra som Àr tillÄtna och till och med uppmuntrade att anvÀndas i Ryssland tycker jag Àr oerhört anmÀrkningsvÀrt.
|
|
|
"SjÀlv Àr jag lite orolig om myndigheter som vi vet har hög förmÄga till övervakning lÄter en tjÀnst vara i gÄng. Det Àr ett varningstecken", som Kalle KniivilÀ avslutar sin artikel (lÀnkad ovan).
|
|
För allt vi vet sÄ kan rysk sÀkerhetstjÀnst ha full tillgÄng till hela Telegram. Eftersom det inte finns nÄgon oberoende insyn i nÄgot kring företaget sÄ finns ingen som kan verifiera varken det ena eller andra. Fransk polis vill dessutom lagföra Durov för sÄ allvarliga anklagelser att i varje fall jag skulle anta att de gÀrna skulle sÀtta hÀnderna i kryptonycklarna till tjÀnsten för att fÄ bÀttre insyn i alla brott man hÀvdar pÄgÄr dÀr.
|
Kan det bli en byteshandel mellan rÀttsvÄrdande myndigheter och Durov? Vem vet?
|
Det finns helt enkelt inga garantier alls i fallet Telegram - och dÀrför finns inte heller nÄgon rimlig anledning att anvÀnda appen.
|
|
|
|
|
Lita inte pÄ sÀkerhetsskÄpen - ha koll pÄ dina enheter
|
Ny termin och ny vÀnda med tjÀnsteresor för mig och vissa andra. LÄt mig inleda med en pinsam personlig anekdot.
|
VÄren 2014 hade jag precis börjat jobba pÄ Sida. Min första tjÀnsteresa nÀrmade sig - mÄlet var Mozambique. Smart som jag sjÀlv tyckte att jag var hade jag bokat ett nattflyg och hade inte tÀnkt arbeta. Av nÄgon sÄ hÀr i efterhand outgrundlig anledning packade jag dÀrför ner min jobbdator i det incheckade bagaget. NÀr planet landade och jag kommit fram till hotellet mÀrkte jag att datorn var borta.
|
Pinsamt, verkligen. Men ocksÄ potentiellt verksamhetsfarligt. RÄdig som jag var ringde jag IT-avdelningen i Stockholm och ÄterstÀllde alla mina login sÄ att den som eventuellt lyckats lÄsa upp den stulna datorn möttes av nyheten att man pÄ sin höjd fÄtt nÄgot lika funktionellt som ett nytt bokstöd. Men ÀndÄ, det skulle kunnat sluta illa.
|
Via briljanta The Grugq fÄr jag ocksÄ en pÄminnelse om nÄgot jag redan sedan lÀnge haft i bakhuvudet men som jag hoppas kunna programmera in hos fler - lita inte pÄ de sÀkerhetsskÄp som hotellen tillhandahÄller. Hans nyliga varning kommer med en kul liten inledande twist.
|
Varje sommar arrangeras i Las Vegas nÄgot som jag tror Àr vÀrldens största hackerkonferens, DefCon. Staden invaderas under ett par dagar av över 30000 sÀkerhetsintresserade techies. För att upprÀtthÄlla nÄgon kÀnsla av digital trygghet har hotellen dÀrför gÄtt ut med information till sina gÀster att hÄlla utkik efter tekniska pryttlar som verkar misstÀnksamma. Man kan ju inte lita pÄ hackers.
|
Samtidigt drar sig The Grugq till minnes en episod som intrÀffade för tio Är sedan. Han hade checkat in pÄ ett hotell, skulle ut en svÀng och lÀmnade sina vÀrdesaker i hotellets sÀkerhetsskÄp. Eftersom han Tar SÀkerheten PÄ Allvar gillrade han en fÀlla och tog ett kort pÄ hur han lÀmnat sina grejer.
|
|
|
TÀnk er förvÄningen nÀr han Äterkom och sÀkerhetsskÄpet möblerats om!
|
|
|
Det KAN ju ha varit en vÀldigt lokal jordbÀvning som enbart berört det lilla brevlÄdestora sÀkerhetsskÄpet. En sÄdan skulle kunnat förklara varför datorn flyttats till höger, USB-minnets vridits Ät vÀnster, och hans olika nÀtverksmojÀnger glidit ut Ät sidorna. ELLER sÄ Àr det helt enkelt sÄ att hotellen faktiskt har tillgÄng till huvudkoderna för sina egna sÀkerhetsskÄp. No shit, Sherlock.
|
HÀr följer nÄgra tips pÄ hur du kan göra din hotellvistelse sÀkrare:
|
Anta att rÀtt mÄnga personer utöver dig sjÀlv har tillgÄng till ditt rum (och sÀkerhetsskÄpet). NÀr jag reste till London förra veckan hade hotellet den oerhört irriterande ovanan att gÄ in och bÀdda min sÀng trots att jag hÀngt ut en stör ej-skylt. De var ocksÄ inne och lÀmnade smÄ erbjudanden pÄ sÀngen, reklamblad och kvÀllstidningar. Alla gÄnger kom jag tillbaka till en dörr som inte var ordentligt stÀngd eftersom lÄset kÀrvade.
|
Ta med dig vÀrdesaker (och enheter) nÀr du lÀmnar rummet. Har du för mÄnga prylar med dig för att kunna göra detta har du packat för tungt. Jag packar ofta minimalt och gÄr enligt devisen "pass, pengar, pillet" plus en plaptop. Det Àr det enda av vÀrde jag har med mig utöver klÀder och snask. De fyra p:na tar jag med mig i en ryggsÀck eller tygkasse var jag Àn gÄr.
|
Jag har dessutom fördelen att alltid resa med en Chromebook. De finns i mÄnga varianter men Àr generellt en vÀldigt bra resedator. Dels vÀger de inte sÄ mycket (sÀrskilt inte Pixelbook-modellerna), och dels Àr de vÀldigt lÀtta att nollstÀlla. Eftersom de arbetar mot Googles moln sÄ har de begrÀnsningen att de fungerar bÀst dÀr det finns internet, men Ä andra sidan finns det absolut inget av vÀrde pÄ den fysiska datorn.
|
Ăr man orolig för att nĂ„gon rör sig pĂ„ ens rum nĂ€r du inte Ă€r dĂ€r kan man ta till olika strategier. Man kan lĂ€gga saker tillrĂ€tta pĂ„ ett visst sĂ€tt och ta före- och efter-bilder. Man kan göra bilderna Ă€nnu sĂ€krare genom att exvis sprida ut mynt eller annat smĂ„tt och gott lite slumpmĂ€ssigt. Eller sĂ„ kan man göra tvĂ€rtom - vĂ€ldigt medvetet sĂ€tta ut saker som man sedan kan verifiera. Koppar dĂ€r man vĂ€nder öronen i sĂ€rskilda kompassriktningar Ă€r överkurs för den nördige.
|
(The Grugq berÀttar ocksÄ om att hans vÀn kommit tillbaka till sitt rum och dÀr stött pÄ tvÄ kostymklÀdda mÀn som genast lÀmnat rummet med orden "allt ser OK ut hÀr, sir". Det lÄter som en dÄlig story men nÀr jag för ett antal Är sedan var i Haag sÄ rapporterade flera aktivister pÄ cybersÀkerhetskonferensen jag var pÄ ungefÀr samma sak.
|
Konferensen var pÄ samma hotell som deltagarna bodde pÄ, och eftersom aktivister emellanÄt Àr notoriskt dÄliga pÄ arbetsmoral hade nÄgra tagit sovmorgon. Lagom till att paneler börjat och man dÀrför hade kunnat anta att publiken skulle vara pÄ plats (och hotellrummen dÀrmed tomma) hade flera deltagare plötsligt vaknat av att sÀkerhetspersonal kommit in pÄ rummen "för inspektion".
|
Eftersom flera deltagare var aktivister som haft riktigt dÄliga upplevelser av sÀkerhetstjÀnster osv blev det hÀr en stor snackis pÄ konferensen.)
|
|
|
|
|
AI och algoritmer pÄ DN Debatt
|
Antologin "AI och makten över besluten" som jag skrivit ett kapitel i verkar ha landat vÀl. Flera kommuner har köpt in större partier av boken, och första upplagan Àr vad jag förstÄtt nÀst intill slutsÄld.
|
|
|
Livsavgörande beslut har nĂ€rmast rutinartat automatiserats. Beslut om boende, försörjningsstöd, vĂ„rd och ÂarbetsförmĂ„ga lĂ€mnas till automatiserade algoritmer. Ofta Ă€r det helt omöjligt för den enskilde att fĂ„ veta hur beslutet har fattats och pĂ„ vilka grunder. Det riskerar att undergrĂ€va offentligÂhetsprincipen och möjligheten att överklaga beslut och förstĂ„ pĂ„ vilka grunder de tas. Det offentliga Sverige lyckas inte kombinera rĂ€ttssĂ€kerhet, öppenhet och teknikutveckling och dĂ„ riskerar demokratin att bli en svart lĂ„da som ingen litar pĂ„.
|
|
Och beskriver dÀrefter en del exempel pÄ de utmaningar vi sett och ser. Det Àr exempel sÄvÀl frÄn NederlÀnderna som frÄn Göteborg, och jag tror att de Àr breda men tydliga nog för att man ska kunna förstÄ att det hÀr finns nÄgot som mÄste lösas.
|
Mot slutet levererar vi ocksÄ tre krav (eller i varje fall pekpinnar):
|
|
|
Nu krĂ€vs demokratiskt inflytande över teknik som AI. För att kunna gĂ„ vidare mot ett hĂ„llbart införande av AI i offentlig sektor har vi tre konkreta förslag: 1. Insyn och transparens. VĂ„rt demokratiska system bygger pĂ„ att medborgare, tillsynsmyndigheter och medier kan granska och ifrĂ„gasĂ€tta offentliga beslut. Vi Ă€r i Sverige ofta stolta över vĂ„r offentlighetsprincip, men den fungerar i dag inte vid automatiserade beslut. 2.SjĂ€lvstĂ€ndighet. Offentlig sektor mĂ„ste vara en ledande innovatör och kompetent bestĂ€llare inom digital utveckling, inte en passiv kund. NĂ€r kommuner och regioner utvecklar egna modeller slipper de fastna i kommersiella modeller och upphandlingar med tveksamma villkor. Lösningarna krĂ€ver egen förmĂ„ga till utveckling eller stĂ€rkt bestĂ€llar- och tillsynsÂkompetens. 3.Staten behöver kliva fram. Reglering och incitament behöver ses över. StĂ€rkt insyn genom tillsyn och revision Ă€r centrala redskap för att sĂ€kra en korrekt AI-anvĂ€ndning i förvaltningens arbete.
|
|
|
|
|
|
|
|