De Kaminski Digital s24e35


VÀlkommen till De Kaminski Digital, mitt nyhetsbrev med ambitionen att fördjupa samtalet om IT-politik och bidra med en internationell utblick till diskussionen i skÀrningen av teknik och mÀnskliga rÀttigheter.

I det hÀr nyhetsbrevet kan du lÀsa:
  1. Hej och vÀlkommen tillbaka efter sommaren
  2. Telegrams VD gripen och hÀr Àr varför Telegram (fortfarande) Àr dÄligt
  3. Lita inte pÄ sÀkerhetsskÄpen - ha koll pÄ dina enheter
  4. AI och algoritmer pÄ DN Debatt
Vill man följa mig pÄ sociala medier kan man med fördel göra det pÄ Threads, Instagram eller Mastodon (jag postar dock mest trams). För jobb-kontakter finns jag ocksÄ pÄ LinkedIn.

KÀnner du nÄgon som du tror skulle uppskatta det hÀr nyhetsbrevet? Tipsa dem om att registrera sig pÄ www.dekaminski.se!

Hej och vÀlkommen tillbaka efter sommaren

Jag tog en plötslig och rÀtt frÄnkopplad semester efter förra nyhetsbrevet. Jag var pÄ personalmöte i Chicago som sista moment innan sommarledigheten och slogs plötsligt av att jag var trött och behövde vila. SÄ det gjorde jag.

Hoppas du haft en bra sommar!

Under sommaren har jag funderat lite pÄ nyhetsbrevet, baserat pÄ kommentarer frÄn en del av er lÀsare. Jag kommer pilla och leka lite med designjusteringar men hÀr Àr lite annat jag grunnat pÄ:

1/ Det numera ny-gamla formatet verkar uppskattat. Även om jag i nyhetsbrevets inledande skede tyckte det var rĂ€tt trevligt att anvĂ€nda ren text i email för att skicka ut nyhetsbrev Ă€r det helt klart sĂ„ att det hĂ€r formatet Ă€r mer lĂ€sbart. Det Ă€r lĂ€ttare för mig att infoga bilder och lĂ€nkar, och lĂ€ttare för den som lĂ€ser att fĂ„ överblick.

2/ Eftersom nyhetsbrevet Àr kopplat till min Wordpress-blogg kommer jag frÄn nu ocksÄ lÀgga ut de flesta inlÀggen som enskilda blogg-poster. Bra för den som vill lÀnka nÄgot sÀrskilt man tycker Àr lÀsvÀrt, och ocksÄ bra för den som anvÀnder sig av RSS-lÀsare. Visst innehÄll kommer dock enbart finnas i nyhetsbrevet, som dÄ ocksÄ blir ett slags "best of".

3/ Jag ska lura lite mer pÄ timing och kontinuitet. Vissa nyhetsbrevs-proffs försöker lista ut nÀr deras brev lÀses av flest prenumeranter. SjÀlv gillar jag tanken som Per Axbom vad jag förstÄr jobbar efter - han skickar ut nyhetsbrev nÀr han har nÄgot vettigt att sÀga. Ibland blir det dÀrför tÀtare mellan utskicken, ibland glesare. Och bÄda Àr OK.

Jag hoppas förstÄs att mitt nyhetsbrev kÀnns relevant för den som valt att prenumerera pÄ det. DÀrför Àr jag ocksÄ vÀldigt glad i feedback! Svara gÀrna pÄ det hÀr mailet och berÀtta en sak du gillar med "De Kaminski Digital" och en sak du tycker jag kan göra bÀttre, det skulle göra mig glad.

Telegrams VD gripen och hÀr Àr varför Telegram (fortfarande) Àr dÄligt

Chat-tjÀnsten Telegrams VD Pavel Durov greps sent i förra veckan i Frankrike. Enligt TF1 ska han ha gripits nÀr han (mellan)landat pÄ en fransk flygplats, nÄgot som tydligen flaggat den hÀktningsorder som funnits utfÀrdad pÄ honom för medhjÀlp till bland terrorbrott, droghandel, bedrÀgeri och spridning av övergreppsmaterial pÄ barn.

Det Àr förvisso orimligt att med den typen av svepande ordalag lÀgga ett rÀttsligt ansvar pÄ sÄvÀl en Àgare av en plattform som plattformen i sig, men överlag tycker jag gripandet i sig Àr rÀtt ointressant förutom av ett skÀl - det ger oss en anledning att Äterigen prata om Telegrams anvÀndarsÀkerhet.

Trots att Telegram ofta framstÀlls som en "sÀker chat-tjÀnst" och sjÀlva hÀvdar att den Àr krypterad sÄ finns det en lÄng rad frÄgor om Telegrams egentliga sÀkerhet. Jag har i tidigare intervjuer lyft nÄgra av dem:
"Telegram samlar in onödigt mycket information frÄn anvÀndares enheter" ... "Det finns program att ladda ner med vilka man med skrÀmmande hög precision kan positionera enskilda anvÀndare av Telegram baserat pÄ de platstjÀnster appen bÄde samlar in och lÀcker", sa jag exempelvis till Ny Teknik i mars 2022 (hÀr med citat befriade av Dagens PS).

Och i en lÀngre förklarande (och vÀldigt bra!) artikel av Kalle KniivilÀ som ursprungligen publicerats i Sydsvenskan fÄr jag chansen att ocksÄ utveckla en viktig del av min kritik:
"VÀldigt lite Àr verifierat, det har inte gjorts nÄgra oberoende genomlysningar av koden" ... "Vi vet inte hur metadata hanteras pÄ Telegram, det finns inga transparensrapporter som alla större, seriösa plattformar har i dag", noterade jag dÀr - men glömde att tillÀgga att det ocksÄ gÀller krypteringen.

Och det Àr bland annat dÀr skon klÀmmer allra mest. Telegram skryter sjÀlva med att man anvÀnder sig av superstark kryptering och har till och med utfÀrdat en belöning till den som lyckas dekryptera Telegram-meddelanden. Fair enough. Men det finns stora brister i hur man hanterar sin variant av kryptering.

Utan oberoende genomlysningar av Telegrams kod finns det inget sĂ€tt för anvĂ€ndare att veta om pĂ„stĂ„endet om "256-bitars symmetrisk AES-kryptering ovanpĂ„ 2048-bitars RSA-kryptering med en Diffie-Hellman nyckelutvĂ€xling" faktiskt stĂ€mmer. Det LÅTER bra, men ÄR det bra? Oklart.

Telegrams pÄstÄdda kryptering Àr dessutom inte pÄ per automatik, utan bara i deras 1-1 "secure chats". För att skapa pÄstÄtt krypterade chattar mÄste man komma ihÄg att kryptering Àr bra och dÀrefter klicka sig fram fyra gÄnger i appen. Dessutom kan den pÄstÄdda krypteringen bara slÄs pÄ om motparten Àr samtidigt online, vilket begrÀnsar sÀkerheten ytterligare. Gruppchattar gÄr inte alls att kryptera.

Hemlighetsmakeriet och oviljan att i praktiken faktiskt kryptera sin tjÀnst (samtidigt som man saluför den som "encrypted messaging") - parallellt med att det Àr en av fÄ appar som hÀvdas vara sÀkra som Àr tillÄtna och till och med uppmuntrade att anvÀndas i Ryssland tycker jag Àr oerhört anmÀrkningsvÀrt.
"SjÀlv Àr jag lite orolig om myndigheter som vi vet har hög förmÄga till övervakning lÄter en tjÀnst vara i gÄng. Det Àr ett varningstecken", som Kalle KniivilÀ avslutar sin artikel (lÀnkad ovan).

För allt vi vet sÄ kan rysk sÀkerhetstjÀnst ha full tillgÄng till hela Telegram. Eftersom det inte finns nÄgon oberoende insyn i nÄgot kring företaget sÄ finns ingen som kan verifiera varken det ena eller andra. Fransk polis vill dessutom lagföra Durov för sÄ allvarliga anklagelser att i varje fall jag skulle anta att de gÀrna skulle sÀtta hÀnderna i kryptonycklarna till tjÀnsten för att fÄ bÀttre insyn i alla brott man hÀvdar pÄgÄr dÀr.

Kan det bli en byteshandel mellan rÀttsvÄrdande myndigheter och Durov? Vem vet?

Det finns helt enkelt inga garantier alls i fallet Telegram - och dÀrför finns inte heller nÄgon rimlig anledning att anvÀnda appen.

LĂ€s mer

Lita inte pÄ sÀkerhetsskÄpen - ha koll pÄ dina enheter

Ny termin och ny vÀnda med tjÀnsteresor för mig och vissa andra. LÄt mig inleda med en pinsam personlig anekdot.

VÄren 2014 hade jag precis börjat jobba pÄ Sida. Min första tjÀnsteresa nÀrmade sig - mÄlet var Mozambique. Smart som jag sjÀlv tyckte att jag var hade jag bokat ett nattflyg och hade inte tÀnkt arbeta. Av nÄgon sÄ hÀr i efterhand outgrundlig anledning packade jag dÀrför ner min jobbdator i det incheckade bagaget. NÀr planet landade och jag kommit fram till hotellet mÀrkte jag att datorn var borta.

Pinsamt, verkligen. Men ocksÄ potentiellt verksamhetsfarligt. RÄdig som jag var ringde jag IT-avdelningen i Stockholm och ÄterstÀllde alla mina login sÄ att den som eventuellt lyckats lÄsa upp den stulna datorn möttes av nyheten att man pÄ sin höjd fÄtt nÄgot lika funktionellt som ett nytt bokstöd. Men ÀndÄ, det skulle kunnat sluta illa.

Via briljanta The Grugq fÄr jag ocksÄ en pÄminnelse om nÄgot jag redan sedan lÀnge haft i bakhuvudet men som jag hoppas kunna programmera in hos fler - lita inte pÄ de sÀkerhetsskÄp som hotellen tillhandahÄller. Hans nyliga varning kommer med en kul liten inledande twist.

Varje sommar arrangeras i Las Vegas nÄgot som jag tror Àr vÀrldens största hackerkonferens, DefCon. Staden invaderas under ett par dagar av över 30000 sÀkerhetsintresserade techies. För att upprÀtthÄlla nÄgon kÀnsla av digital trygghet har hotellen dÀrför gÄtt ut med information till sina gÀster att hÄlla utkik efter tekniska pryttlar som verkar misstÀnksamma. Man kan ju inte lita pÄ hackers.

Samtidigt drar sig The Grugq till minnes en episod som intrÀffade för tio Är sedan. Han hade checkat in pÄ ett hotell, skulle ut en svÀng och lÀmnade sina vÀrdesaker i hotellets sÀkerhetsskÄp. Eftersom han Tar SÀkerheten PÄ Allvar gillrade han en fÀlla och tog ett kort pÄ hur han lÀmnat sina grejer.
TÀnk er förvÄningen nÀr han Äterkom och sÀkerhetsskÄpet möblerats om!
Det KAN ju ha varit en vÀldigt lokal jordbÀvning som enbart berört det lilla brevlÄdestora sÀkerhetsskÄpet. En sÄdan skulle kunnat förklara varför datorn flyttats till höger, USB-minnets vridits Ät vÀnster, och hans olika nÀtverksmojÀnger glidit ut Ät sidorna. ELLER sÄ Àr det helt enkelt sÄ att hotellen faktiskt har tillgÄng till huvudkoderna för sina egna sÀkerhetsskÄp. No shit, Sherlock.

HÀr följer nÄgra tips pÄ hur du kan göra din hotellvistelse sÀkrare:

Anta att rÀtt mÄnga personer utöver dig sjÀlv har tillgÄng till ditt rum (och sÀkerhetsskÄpet). NÀr jag reste till London förra veckan hade hotellet den oerhört irriterande ovanan att gÄ in och bÀdda min sÀng trots att jag hÀngt ut en stör ej-skylt. De var ocksÄ inne och lÀmnade smÄ erbjudanden pÄ sÀngen, reklamblad och kvÀllstidningar. Alla gÄnger kom jag tillbaka till en dörr som inte var ordentligt stÀngd eftersom lÄset kÀrvade.

Ta med dig vÀrdesaker (och enheter) nÀr du lÀmnar rummet. Har du för mÄnga prylar med dig för att kunna göra detta har du packat för tungt. Jag packar ofta minimalt och gÄr enligt devisen "pass, pengar, pillet" plus en plaptop. Det Àr det enda av vÀrde jag har med mig utöver klÀder och snask. De fyra p:na tar jag med mig i en ryggsÀck eller tygkasse var jag Àn gÄr.

Jag har dessutom fördelen att alltid resa med en Chromebook. De finns i mÄnga varianter men Àr generellt en vÀldigt bra resedator. Dels vÀger de inte sÄ mycket (sÀrskilt inte Pixelbook-modellerna), och dels Àr de vÀldigt lÀtta att nollstÀlla. Eftersom de arbetar mot Googles moln sÄ har de begrÀnsningen att de fungerar bÀst dÀr det finns internet, men Ä andra sidan finns det absolut inget av vÀrde pÄ den fysiska datorn.

Är man orolig för att nĂ„gon rör sig pĂ„ ens rum nĂ€r du inte Ă€r dĂ€r kan man ta till olika strategier. Man kan lĂ€gga saker tillrĂ€tta pĂ„ ett visst sĂ€tt och ta före- och efter-bilder. Man kan göra bilderna Ă€nnu sĂ€krare genom att exvis sprida ut mynt eller annat smĂ„tt och gott lite slumpmĂ€ssigt. Eller sĂ„ kan man göra tvĂ€rtom - vĂ€ldigt medvetet sĂ€tta ut saker som man sedan kan verifiera. Koppar dĂ€r man vĂ€nder öronen i sĂ€rskilda kompassriktningar Ă€r överkurs för den nördige.

(The Grugq berÀttar ocksÄ om att hans vÀn kommit tillbaka till sitt rum och dÀr stött pÄ tvÄ kostymklÀdda mÀn som genast lÀmnat rummet med orden "allt ser OK ut hÀr, sir". Det lÄter som en dÄlig story men nÀr jag för ett antal Är sedan var i Haag sÄ rapporterade flera aktivister pÄ cybersÀkerhetskonferensen jag var pÄ ungefÀr samma sak.

Konferensen var pÄ samma hotell som deltagarna bodde pÄ, och eftersom aktivister emellanÄt Àr notoriskt dÄliga pÄ arbetsmoral hade nÄgra tagit sovmorgon. Lagom till att paneler börjat och man dÀrför hade kunnat anta att publiken skulle vara pÄ plats (och hotellrummen dÀrmed tomma) hade flera deltagare plötsligt vaknat av att sÀkerhetspersonal kommit in pÄ rummen "för inspektion".

Eftersom flera deltagare var aktivister som haft riktigt dÄliga upplevelser av sÀkerhetstjÀnster osv blev det hÀr en stor snackis pÄ konferensen.)

LĂ€s mer

AI och algoritmer pÄ DN Debatt

Antologin "AI och makten över besluten" som jag skrivit ett kapitel i verkar ha landat vÀl. Flera kommuner har köpt in större partier av boken, och första upplagan Àr vad jag förstÄtt nÀst intill slutsÄld.

Under sommaren skrev jag och ett antal av antologins författare pÄ DN Debatt under rubriken "Sverige mÄste Äterta makten över algoritmerna".

Vi inleder:
Livsavgörande beslut har nÀrmast rutinartat automatiserats. Beslut om boende, försörjningsstöd, vÄrd och ­arbetsförmÄga lÀmnas till automatiserade algoritmer. Ofta Àr det helt omöjligt för den enskilde att fÄ veta hur beslutet har fattats och pÄ vilka grunder.
Det riskerar att undergrÀva offentlig­hetsprincipen och möjligheten att överklaga beslut och förstÄ pÄ vilka grunder de tas. Det offentliga Sverige lyckas inte kombinera rÀttssÀkerhet, öppenhet och teknikutveckling och dÄ riskerar demokratin att bli en svart lÄda som ingen litar pÄ.

Och beskriver dÀrefter en del exempel pÄ de utmaningar vi sett och ser. Det Àr exempel sÄvÀl frÄn NederlÀnderna som frÄn Göteborg, och jag tror att de Àr breda men tydliga nog för att man ska kunna förstÄ att det hÀr finns nÄgot som mÄste lösas.

Mot slutet levererar vi ocksÄ tre krav (eller i varje fall pekpinnar):
Nu krÀvs demokratiskt inflytande över teknik som AI. För att kunna gÄ vidare mot ett hÄllbart införande av AI i offentlig sektor har vi tre konkreta förslag:
1. Insyn och transparens. VÄrt demokratiska system bygger pÄ att medborgare, tillsynsmyndigheter och medier kan granska och ifrÄgasÀtta offentliga beslut. Vi Àr i Sverige ofta stolta över vÄr offentlighetsprincip, men den fungerar i dag inte vid automatiserade beslut.
2.SjÀlvstÀndighet. Offentlig sektor mÄste vara en ledande innovatör och kompetent bestÀllare inom digital utveckling, inte en passiv kund. NÀr kommuner och regioner utvecklar egna modeller slipper de fastna i kommersiella modeller och upphandlingar med tveksamma villkor. Lösningarna krÀver egen förmÄga till utveckling eller stÀrkt bestÀllar- och tillsyns­kompetens.
3.Staten behöver kliva fram. Reglering och incitament behöver ses över. StÀrkt insyn genom tillsyn och revision Àr centrala redskap för att sÀkra en korrekt AI-anvÀndning i förvaltningens arbete.

LÀs gÀrna hela debattartikeln - och bestÀll om du Àr intresserad ocksÄ boken!

LĂ€s mer
Email Marketing Powered by MailPoet