🎠 Hackers och spionprogram (igen)


VÀlkommen till De Kaminski Digital, mitt nyhetsbrev med ambitionen att fördjupa samtalet om IT-politik och bidra med en internationell utblick till diskussionen i skÀrningen av teknik och mÀnskliga rÀttigheter.

I det hÀr nyhetsbrevet kan du lÀsa:
  1. Senaste nedslagen; Internetdagarna och bibliotek (och TPB)
  2. Övervakning och fĂ€llan "Bank-ID"
  3. Demokratisering av spionprogramsjakt
Vill man följa mig pÄ sociala medier kan man med fördel göra det pÄ Threads, Instagram eller Mastodon (jag postar dock mest trams). För jobb-kontakter finns jag ocksÄ pÄ LinkedIn.

KÀnner du nÄgon som du tror skulle uppskatta det hÀr nyhetsbrevet? Tipsa dem om att registrera sig pÄ www.dekaminski.se!

Senaste nedslagen; Internetdagarna och bibliotek (och TPB)

Jag jobbar mest pÄ min kammare, men ibland betrÀder jag mÀnniskobyn pÄ ett eller annat sÀtt. Under november fick jag möjlighet att besöka Internetdagarna 2024 - sedan Covid snyggt digital paketerat som ett contentpaket för den som vill lÀra sig mer om internet eller hÀnga med i de senaste heta frÄgorna.

I ett seminarium arrangerat av Unionen och ett annat av Paulina Modlitba (som skriver ett regelbundet och riktigt intressant nyhetsbrev, hon med!) fick jag göra inspel frÄn min horisont ang hot och risker kring den skenande "AI"-utvecklingen. Jag tycker verkligen det var superbra samtal, och för den som köpt biljett kan man se dem i efterhand.

Jag fick ocksÄ Àran att vara lite posterboy för Internetstiftelsens slutfilm, vilket förstÄs kÀnns lika delar skÀmmigt och hedrande:
Vidare har jag ocksÄ förelÀst om "AI" under rubriken "Etik, Integritet och Demokrati" för 250 bibliotekarier frÄn sex svenska regioner. Det var verkligen spÀnnande, och nÀr jag satt med i eftersnacket med en lite mindre grupp var det tydligt att man i biblioteksvÀrlden verkligen bÄde Àr pÄ hugget och samtidigt oroad.

Framförallt förstÄr jag det som att biblioteken pÄ mÄnga sÀtt Àr ett slags sista samhÀllsutpost dÀr medborgare kan fÄ stöd med en uppsjö tjÀnster som man kan behöva hjÀlp med. Det Àr förstÄs inte meningen att biblioteken ska vara digitala supportcenter nÀr folk behöver boka en betala sina rÀkningar eller boka en vÄrdcentralstid - men var gÄr man annars nÀr bankkontoren stÀnger kontanthanteringen och vÄrden hÀnvisar patienter till 1177 utan att ta hÀnsyn till om folk verkligen vÄgar, vill eller kan hantera rÀtt komplexa digitala plattformar?

Jag har ocksÄ fÄtt vÀldigt mycket frÄgor om The Pirate Bay pÄ senaste tiden. Den som vet den vet att jag var djupt engagerad i PiratbyrÄn nÀr det begav sig pÄ 00-talet. Ett av de sidoprojekt vi startade som en liten experimentell verkstad för oss och vÄra vÀnner var The Pirate Bay, som ju - vilket jag antar inte Àr okÀnt - exploderade och blev vÀrldens största fildelningssite.

Nu sÀnder SVT pÄ Play spelserien om The Pirate Bay. Jag tycker generellt inte den Àr sÄ dÄlig, det Àr ju en tydlig dramatisering. Den som var med pÄ den tiden kan sitta och kÀnna igen sig lite, och den som bara hört om fenomenet fildelning pga ung och/oskyldig kan lÀra sig en hel del. NÄgra karaktÀrsmord hinner man dÀremot med vilket jag tycker Àr vÀldigt olyckligt och oproffsigt.

För egen del figurerar jag lite hÀr och dÀr genom serien, och Àr glad att jag fick en sÄ himla snygg skÄdespelare att spela mig (och ocksÄ med sÄdana hÀr tidstypiskt karaktÀristiska repliker):
Vill man lĂ€sa mer analyser frĂ„n nĂ„gra av mina vĂ€nner som var med pĂ„ den tiden och ocksĂ„ syns mer i serien kan man med fördel lĂ€sa Rasmus Fleischer i Aftonbladet eller Flamman, eller lyssna pĂ„ Peter Sunde i SR P1 Kultur. Även intervjun av dem bĂ„da i Torrentfreak Ă€r vĂ€ldigt lĂ€svĂ€rd.

LĂ€s mer

Övervakning och fĂ€llan "Bank-ID"

I veckan som var reste jag till Berlin för konferensen SplinterCon. Det Àr en vÀldigt tekniskt fokuserad konferens som samlar det som brukar kallas "researchers" - men dÀr egentligen rÀtt fÄ Àr akademiskt affilierade (Àven om Àven de finns, bland annat nederlÀndska Critical Infrastructure Lab) utan man snarare "researchar" tekniska system, plockar isÀr dem nÀr de behövs och bygger nya nÀr man stöter pÄ problem. Det man egentligen gör Àr alltsÄ att man hackar saker, i SplinterCons fall med fokus pÄ censur och blockeringar av internet.

NÄgra höjdpunkter tyckte jag sjÀlv var att höra mer om hur pÄtvingad SIM-kortsregistrering pÄverkar anvÀndare i mer repressiva miljöer. Registrering av SIM-kort Àr nÄgot som införts Àven i Sverige de senaste Ären, dÄ med argument kring (inte helt ovÀntat) vikten av att identifiera kontantkortsanvÀndare för att stÀvja den organiserade brottsligheten. Visst kan det vara ett tÀnkbart argument, men i andra lÀnder anvÀnds för att stÀvja nÀstan allt det vi tror att vi försvarar hÀr i Sverige.

I forskning som vi pÄ OTF finansierat kan vi dock lÀsa hur det pÄverkar anvÀndare i Kina. DÀr innebÀr den pÄtvingade registreringen med sina riktiga namn (dvs sitt elektroniska ID) att anvÀndare spÄras vad de Àn gör pÄ internet. Om man anvÀnder sig av appar som regeringen betraktar som tveksamma (exvis VPN-tjÀnster eller annat som kan erbjuda tillgÄng till ett fritt internet) sÄ blir man utan pardon avstÀngd. Gör man nÄgot som verkar lite suspekt (exvis bestÀller taxi lite för ofta till samma adress eller kommunicerar orimligt mycket med nÄgon som blivit flaggad i systemet) sÄ fÄr antingen man sjÀlv eller ens familj hembesök av sÀkerhetstjÀnsten som vill "kolla lÀget". Svenska politiker som föreslÄr att man ska behöva logga in till sociala medier med Bank-ID verkar helt missat vilken pandoras ask de glÀntar pÄ och den hÀr helt absurda insÀndaren frÄn "bekymrad medborgare" orkar jag inte ens kommentera.

Men för att Äterknyta till SplinterCon sÄ var just ovanstÄende grunden i ett sÄ fint moment under konferensen. Jag hade ynnesten att lyssna in till ett samtal dÀr experter som jobbar för att ta sig runt de hÀr registreringskraven utbytte erfarenheter, tips och tricks.

Vi vet nÀmligen att diktatorer lÀr vÀldigt snabbt av varandra. Ett sÄdant exempel Àr nÀr aktivister i Burma strax efter militÀrkuppen 2021 rapporterade att man noterat inkommande flyg direkt frÄn stÀder i Kina dÀr man vet att sÀkerhetstjÀnsten har sina högteknologiska verksamheter. Att rapporter dÀrefter funnit att den burmesiska militÀrjuntan anvÀnder sig av kinesisk metod och infrastruktur för övervakning av sina egna medborgare Àr vÀl ingen direkt överraskning. Det Àr dÀrför sÄ oerhört viktigt att Àven hackers och vÀlvilliga techies fÄr möjlighet att lÀra av varandra - det Àr dÀr mÄnga lösningar finns.

Att dÄ som svensk fÄ sitta med och höra erfarenheter frÄn varför registrering av SIM-kort Àr dÄligt och hur folk förlorar sina jobb för att deras helt normala internetanvÀndning kopplats till deras verkliga person kÀndes för mig ovÀntat stort.

Jag tyckte det var korkat nÀr moralist-lobbyn lyckats fÄ politiker att krÀva Bank-ID för porr-siter. Mest kanske för att det kÀnns helt orimligt att tvinga porrsugna anvÀndare att lÀmna ifrÄn sig in surfhistorik till ett privat företag (som Bank-ID alltsÄ Àr), men ocksÄ för att jag inte ens i min vildaste fantasi förstÄr hur det ska fungera. Den som nÄgonsin sökt efter porr pÄ internet vet hur mÄnga porr-siter det finns.

PÄ samma sÀtt Àr det urbota korkat nÀr man nu diskuterar en ÄldergrÀns pÄ sociala medier. Vill vi verkligen Äsiktsregistrera en hel befolkning och lÄta ett privat företag (som Bank-ID alltsÄ Àr) att ha koll pÄ vilka sidor vi vÀljer att besöka?

Jag började fnittra hÀromveckan nÀr jag dessutom lÀste att en politiker, oklart vilken men det spelar ingen roll, pÄ fullt allvar menade att Älderskontrollen inte skulle gÀlla vuxna - bara barn under femton Är. Det krÀvs ju inte sÀrskilt mycket eftertanke för att begripa att en sÄdan Älderskontroll skulle behöva ungefÀr som passfriheten i Schengen-omrÄdet, dÀr man ju visserligen som medborgare i ett medlemsland ska kunna resa utan pass men dÀr man ocksÄ med hjÀlp av ett pass mÄste kunna bevisa att man faktiskt hör hemma i Schengen.

I min vÀrld finns det alldeles för mÄnga goda exempel pÄ att anvÀndaridentifiering och -registrering Àr en typiskt dÄlig grej. Veckan i Berlin stÀrkte verkligen den positionen.

LĂ€s mer

Demokratisering av spionprograms-jakt

Jag fick en sÄ himla fin shout-out i senaste utskicket av Deepeds nyhetsbrev, "En handfull lÀnkar":
Jag hade för övrigt en idé om att veckans nyhetsbrev skulle i princip bara innehÄlla en lÀnk till de Kaminskis senaste nyhetsbrev och sÄ skulle jag reagera, iterera och tÀnka runt det. SÄ blev det inte. Men jag tycker det Àr vÀrt att lÀsa: alla tre huvuddelar han skriver om Àr viktiga.

Men lÀngre ner i Deeped nyhetsbrev fÄngar jag ocksÄ upp en passage, dÀr han noterar att vi som anvÀndare ofta oroar oss för fel saker nÀr det gÀller vÄr digitala integritet. Exempelvis, skriver Deeped, fastnar mÄnga fortfarande i antagandet att "Facebook avlyssnar min telefon" (som alltsÄ inte kunnat bevisas) medan vi missar att det finns FAKTISKT farliga digitala hot och risker som vi pratar alldeles för lite om. Deeped nÀmner bland annat Pegasus, som förstÄs spÀnner mina antenner (om det ens Àr ett uttryck) och gör att jag gÄr igÄng.

Jag har skrivit om Pegasus flera gÄnger tidigare - bland annat i posten "Ny Pegasus-explosion, Äterigen lite för nÀra". Det Àr ett av de mest avancerade spionprogrammen tillgÀngliga pÄ mer eller mindre öppen marknad (dvs, om man har rÄd) - som krÀngs frÀmst till regeringar runt om i vÀrlden. Spionprogrammet anvÀnds sedan för att övervaka och avlyssna politisk opposition, aktivister, granskande journalister och andra sk "misshagliga element".

(Public service-Marcin vill hÀr flika in att det finns mÄnga andra spionprogram dÀr ute ocksÄ. Ett riktigt bra - dvs objektivt dÄligt - exempel Àr Predator, som beskrivs pÄ ett vÀldigt mÄlande sÀtt i ett utomordentligt avsnitt av podden "Darknet Diaries".)

Och i takt med att spionprogrammen kryper nÀrmare, sÄvÀl geografiskt (spionprogramsdetektiver som granskar spridningen hittar fynd i allt fler lÀnder...) och socialt (...men ocksÄ bland mer varierande nÀtverk av mÄltavlor), sÄ krÀvs att fler fÄr möjlighet att scanna sina datorer och mobiler för att förstÄ om deras data (och verksamhet!) Àr trygg och sÀker eller inte.

Det finns kommersiella bolag som har kapacitet att scanna efter spionprogram. Deeped nÀmner bland annat iVerify i sitt nyhetsbrev. De har en "gratis-variant" som kan vara hjÀlpsam. Samtidigt skriver jag "gratis-variant" lite ironiskt, eftersom det som Àr gratis Àr en scanning i mÄnaden, via ett interface som inte Àr intuitivt och dessutom fÄr man bara svar om man faktiskt Àr infekterad. De skriver dessutom i sin privacy policy att man via sina kakor sparar information om besökares enheter, instÀllningar och lite annat smÄtt. Jag Àr inte imponerad.

Jag Àr Àrligt talat tveksam till den typen av freemium-lösningar nÀr det gÀller potentiellt livsviktig cybersÀkerhet. SÀrskilt nÀr jag nyligen lÀste den hÀr rapporten frÄn kanadensiska spionprogramexperterna Citizen Lab, dÀr de beskriver hur en rysk programmerare blivit intagen för "samtal" med sÀkerhetstjÀnsten, blivit av med sin telefon och nÀr den ÄterlÀmnats funnit att det planterats spionprogramvara pÄ den.

Nu kan man ju tycka att Ryssland Àr ett sÀr-case som inte berör en sjÀlv. Men samtidigt ska vi minnas att beslagtagande eller i varje fall kontroll av enheter Àr mer eller mindre rutin bland rÀttsvÄrdande myndigheter överlag numera, och i takt med att listan pÄ lÀnder dÀr Pegasus och andra spionprogram upptÀcks blir allt lÀngre sÄ tror jag att fler personer Àn ryska programmerare bör oroa sig för precis det hÀr.

Jag var nyligen i kontakt med aktivister som efter en rÀtt ofarlig resa berÀttade att de i passkontrollen vid en mellanlandning i ett tredjeland blivit ombedda att lÀmna över sina telefoner för "granskning" - och nÀr de envisats med att vara nÀrvarande vid granskningen sÄ sÄg de hur mer avancerad utrustning snabbt plockades bort.

SjÀlv ser jag just dÀrför det som ett av mina allra viktigaste uppdrag just nu att se till att demokratisera möjligheten att undersöka enheter och mobiler för den hÀr typen av spionprogram och sÄrbarheter. Citizen Lab som jag nÀmnde ovan tycker jag Àr jÀttebra, de samlar in data frÄn aktivistnÀtverk runt om i vÀrlden (de har bland annat kollat mina enheter tvÄ gÄnger bara i Är) och skickar sedan bland annat sina fynd till Apple och Google som anvÀnder informationen för att sÀkra sÀkerhetshÄl i sina operativsystem. Amnesty Internationals tech-avdelning har ocksÄ i mÄnga Är hjÀlpt mÀngder med aktivister med sitt verktyg "Mobile Verification Tool" som den tekniskt intresserade kan installera för att dÀrefter scanna enheter dÀr man Àr. Vi körde MVT pÄ min tidigare arbetsgivare Civil Rights Defenders under en period och jag tycker det fungerade bra.

Min projekt-bebis just nu (dvs ett projekt jag fÄtt förmÄnen att ha under mina vingar) Àr nÄgot som kallas PiRogue Tool Suite. PTS Àr en opensource-lösning som byggs av ett team kring den oerhört karismatiska franska hackern Esther Onfroy, och Àr intressant pÄ flera sÀtt. Framförallt Àr det vÀldigt enkelt att installera. JAG lyckades installera det pÄ en Raspberry Pi som bröllopspresent till en nördvÀn i somras - vilket alltsÄ gav henom en egen liten forensikstation i miniformat för under en tusenlapp. Det Àr ocksÄ vÀldigt smidigt kopplat till ett systematik-backend kallat Collander dÀr man ihop med andra kan kategorisera och analysera de hot man eventuellt hittar nÀr man anvÀnt PTS.

Men en annan viktig fördel med PTS - dÀr jag sjÀlv tycker att man brÀcker bÄde aktivistorienterade och kommersiella verktyg - Àr att man via verktygen ocksÄ kan analysera avvikande datatrafik frÄn enheterna man granskar. MÄnga appar vi anvÀnder Àr kanske inte defacto /spionprogram/ men de /spionerar/ fortfarande pÄ oss, vilket jag ju nÀmnde senaste i förra nyhetsbrevet. Att veta vilken data apparna samlar in och var den skickas borde vara viktigare Àn det ofta kan upplevas som.

Esther och PiRogue samarbetar dÀrför sedan nÄgra Är med dataskyddsorganisationer (och i vissa fall -myndigheter!) för att granska hur anvÀndardata lÀcks och utnyttjas. Exempel pÄ sÄdana fynd kan lÀsas om i en rapport frÄn dataskyddsorganisationen NYOB, dÀr de beskriver hur data frÄn flera i Frankrike vanliga konsumentappar (bland annat en mÀklarapp och en trÀningsapp) utan att meddela anvÀndare samlas in och sÀljs vidare till datahÀlare som gör storkosing pÄ vÄr privata information.

NÄvÀl, jag kommer sÀkerligen fÄ anledning att Äterkomma till temat spionprogram - men glöm inte att Àven rekorderliga medborgare som du och jag kan ha nÄgot att vÀrna, helt utan att ha orent mjöl i sin digitala pÄse.

LĂ€s mer
Email Marketing Powered by MailPoet