|
|
đ Hackers och spionprogram (igen)
VÀlkommen till De Kaminski Digital, mitt nyhetsbrev med ambitionen att fördjupa samtalet om IT-politik och bidra med en internationell utblick till diskussionen i skÀrningen av teknik och mÀnskliga rÀttigheter.
|
I det hÀr nyhetsbrevet kan du lÀsa:
|
- Senaste nedslagen; Internetdagarna och bibliotek (och TPB)
- Ăvervakning och fĂ€llan "Bank-ID"
- Demokratisering av spionprogramsjakt
Vill man följa mig pÄ sociala medier kan man med fördel göra det pÄ Threads, Instagram eller Mastodon (jag postar dock mest trams). För jobb-kontakter finns jag ocksÄ pÄ LinkedIn.
|
KÀnner du nÄgon som du tror skulle uppskatta det hÀr nyhetsbrevet? Tipsa dem om att registrera sig pÄ www.dekaminski.se!
|
|
|
|
|
Senaste nedslagen; Internetdagarna och bibliotek (och TPB)
|
Jag jobbar mest pÄ min kammare, men ibland betrÀder jag mÀnniskobyn pÄ ett eller annat sÀtt. Under november fick jag möjlighet att besöka Internetdagarna 2024 - sedan Covid snyggt digital paketerat som ett contentpaket för den som vill lÀra sig mer om internet eller hÀnga med i de senaste heta frÄgorna.
|
|
|
Framförallt förstÄr jag det som att biblioteken pÄ mÄnga sÀtt Àr ett slags sista samhÀllsutpost dÀr medborgare kan fÄ stöd med en uppsjö tjÀnster som man kan behöva hjÀlp med. Det Àr förstÄs inte meningen att biblioteken ska vara digitala supportcenter nÀr folk behöver boka en betala sina rÀkningar eller boka en vÄrdcentralstid - men var gÄr man annars nÀr bankkontoren stÀnger kontanthanteringen och vÄrden hÀnvisar patienter till 1177 utan att ta hÀnsyn till om folk verkligen vÄgar, vill eller kan hantera rÀtt komplexa digitala plattformar?
|
Jag har ocksÄ fÄtt vÀldigt mycket frÄgor om The Pirate Bay pÄ senaste tiden. Den som vet den vet att jag var djupt engagerad i PiratbyrÄn nÀr det begav sig pÄ 00-talet. Ett av de sidoprojekt vi startade som en liten experimentell verkstad för oss och vÄra vÀnner var The Pirate Bay, som ju - vilket jag antar inte Àr okÀnt - exploderade och blev vÀrldens största fildelningssite.
|
Nu sÀnder SVT pÄ Play spelserien om The Pirate Bay. Jag tycker generellt inte den Àr sÄ dÄlig, det Àr ju en tydlig dramatisering. Den som var med pÄ den tiden kan sitta och kÀnna igen sig lite, och den som bara hört om fenomenet fildelning pga ung och/oskyldig kan lÀra sig en hel del. NÄgra karaktÀrsmord hinner man dÀremot med vilket jag tycker Àr vÀldigt olyckligt och oproffsigt.
|
För egen del figurerar jag lite hÀr och dÀr genom serien, och Àr glad att jag fick en sÄ himla snygg skÄdespelare att spela mig (och ocksÄ med sÄdana hÀr tidstypiskt karaktÀristiska repliker):
|
|
|
|
|
|
|
Ăvervakning och fĂ€llan "Bank-ID"
|
I veckan som var reste jag till Berlin för konferensen SplinterCon. Det Àr en vÀldigt tekniskt fokuserad konferens som samlar det som brukar kallas "researchers" - men dÀr egentligen rÀtt fÄ Àr akademiskt affilierade (Àven om Àven de finns, bland annat nederlÀndska Critical Infrastructure Lab) utan man snarare "researchar" tekniska system, plockar isÀr dem nÀr de behövs och bygger nya nÀr man stöter pÄ problem. Det man egentligen gör Àr alltsÄ att man hackar saker, i SplinterCons fall med fokus pÄ censur och blockeringar av internet.
|
NÄgra höjdpunkter tyckte jag sjÀlv var att höra mer om hur pÄtvingad SIM-kortsregistrering pÄverkar anvÀndare i mer repressiva miljöer. Registrering av SIM-kort Àr nÄgot som införts Àven i Sverige de senaste Ären, dÄ med argument kring (inte helt ovÀntat) vikten av att identifiera kontantkortsanvÀndare för att stÀvja den organiserade brottsligheten. Visst kan det vara ett tÀnkbart argument, men i andra lÀnder anvÀnds för att stÀvja nÀstan allt det vi tror att vi försvarar hÀr i Sverige.
|
Men för att Äterknyta till SplinterCon sÄ var just ovanstÄende grunden i ett sÄ fint moment under konferensen. Jag hade ynnesten att lyssna in till ett samtal dÀr experter som jobbar för att ta sig runt de hÀr registreringskraven utbytte erfarenheter, tips och tricks.
|
Att dÄ som svensk fÄ sitta med och höra erfarenheter frÄn varför registrering av SIM-kort Àr dÄligt och hur folk förlorar sina jobb för att deras helt normala internetanvÀndning kopplats till deras verkliga person kÀndes för mig ovÀntat stort.
|
Jag tyckte det var korkat nÀr moralist-lobbyn lyckats fÄ politiker att krÀva Bank-ID för porr-siter. Mest kanske för att det kÀnns helt orimligt att tvinga porrsugna anvÀndare att lÀmna ifrÄn sig in surfhistorik till ett privat företag (som Bank-ID alltsÄ Àr), men ocksÄ för att jag inte ens i min vildaste fantasi förstÄr hur det ska fungera. Den som nÄgonsin sökt efter porr pÄ internet vet hur mÄnga porr-siter det finns.
|
Jag började fnittra hÀromveckan nÀr jag dessutom lÀste att en politiker, oklart vilken men det spelar ingen roll, pÄ fullt allvar menade att Älderskontrollen inte skulle gÀlla vuxna - bara barn under femton Är. Det krÀvs ju inte sÀrskilt mycket eftertanke för att begripa att en sÄdan Älderskontroll skulle behöva ungefÀr som passfriheten i Schengen-omrÄdet, dÀr man ju visserligen som medborgare i ett medlemsland ska kunna resa utan pass men dÀr man ocksÄ med hjÀlp av ett pass mÄste kunna bevisa att man faktiskt hör hemma i Schengen.
|
I min vÀrld finns det alldeles för mÄnga goda exempel pÄ att anvÀndaridentifiering och -registrering Àr en typiskt dÄlig grej. Veckan i Berlin stÀrkte verkligen den positionen.
|
|
|
|
|
Demokratisering av spionprograms-jakt
|
|
|
Jag hade för övrigt en idé om att veckans nyhetsbrev skulle i princip bara innehÄlla en lÀnk till de Kaminskis senaste nyhetsbrev och sÄ skulle jag reagera, iterera och tÀnka runt det. SÄ blev det inte. Men jag tycker det Àr vÀrt att lÀsa: alla tre huvuddelar han skriver om Àr viktiga.
|
|
Men lÀngre ner i Deeped nyhetsbrev fÄngar jag ocksÄ upp en passage, dÀr han noterar att vi som anvÀndare ofta oroar oss för fel saker nÀr det gÀller vÄr digitala integritet. Exempelvis, skriver Deeped, fastnar mÄnga fortfarande i antagandet att "Facebook avlyssnar min telefon" (som alltsÄ inte kunnat bevisas) medan vi missar att det finns FAKTISKT farliga digitala hot och risker som vi pratar alldeles för lite om. Deeped nÀmner bland annat Pegasus, som förstÄs spÀnner mina antenner (om det ens Àr ett uttryck) och gör att jag gÄr igÄng.
|
Jag har skrivit om Pegasus flera gÄnger tidigare - bland annat i posten "Ny Pegasus-explosion, Äterigen lite för nÀra". Det Àr ett av de mest avancerade spionprogrammen tillgÀngliga pÄ mer eller mindre öppen marknad (dvs, om man har rÄd) - som krÀngs frÀmst till regeringar runt om i vÀrlden. Spionprogrammet anvÀnds sedan för att övervaka och avlyssna politisk opposition, aktivister, granskande journalister och andra sk "misshagliga element".
|
Och i takt med att spionprogrammen kryper nÀrmare, sÄvÀl geografiskt (spionprogramsdetektiver som granskar spridningen hittar fynd i allt fler lÀnder...) och socialt (...men ocksÄ bland mer varierande nÀtverk av mÄltavlor), sÄ krÀvs att fler fÄr möjlighet att scanna sina datorer och mobiler för att förstÄ om deras data (och verksamhet!) Àr trygg och sÀker eller inte.
|
Det finns kommersiella bolag som har kapacitet att scanna efter spionprogram. Deeped nÀmner bland annat iVerify i sitt nyhetsbrev. De har en "gratis-variant" som kan vara hjÀlpsam. Samtidigt skriver jag "gratis-variant" lite ironiskt, eftersom det som Àr gratis Àr en scanning i mÄnaden, via ett interface som inte Àr intuitivt och dessutom fÄr man bara svar om man faktiskt Àr infekterad. De skriver dessutom i sin privacy policy att man via sina kakor sparar information om besökares enheter, instÀllningar och lite annat smÄtt. Jag Àr inte imponerad.
|
Jag Àr Àrligt talat tveksam till den typen av freemium-lösningar nÀr det gÀller potentiellt livsviktig cybersÀkerhet. SÀrskilt nÀr jag nyligen lÀste den hÀr rapporten frÄn kanadensiska spionprogramexperterna Citizen Lab, dÀr de beskriver hur en rysk programmerare blivit intagen för "samtal" med sÀkerhetstjÀnsten, blivit av med sin telefon och nÀr den ÄterlÀmnats funnit att det planterats spionprogramvara pÄ den.
|
Nu kan man ju tycka att Ryssland Àr ett sÀr-case som inte berör en sjÀlv. Men samtidigt ska vi minnas att beslagtagande eller i varje fall kontroll av enheter Àr mer eller mindre rutin bland rÀttsvÄrdande myndigheter överlag numera, och i takt med att listan pÄ lÀnder dÀr Pegasus och andra spionprogram upptÀcks blir allt lÀngre sÄ tror jag att fler personer Àn ryska programmerare bör oroa sig för precis det hÀr.
|
Jag var nyligen i kontakt med aktivister som efter en rÀtt ofarlig resa berÀttade att de i passkontrollen vid en mellanlandning i ett tredjeland blivit ombedda att lÀmna över sina telefoner för "granskning" - och nÀr de envisats med att vara nÀrvarande vid granskningen sÄ sÄg de hur mer avancerad utrustning snabbt plockades bort.
|
SjÀlv ser jag just dÀrför det som ett av mina allra viktigaste uppdrag just nu att se till att demokratisera möjligheten att undersöka enheter och mobiler för den hÀr typen av spionprogram och sÄrbarheter. Citizen Lab som jag nÀmnde ovan tycker jag Àr jÀttebra, de samlar in data frÄn aktivistnÀtverk runt om i vÀrlden (de har bland annat kollat mina enheter tvÄ gÄnger bara i Är) och skickar sedan bland annat sina fynd till Apple och Google som anvÀnder informationen för att sÀkra sÀkerhetshÄl i sina operativsystem. Amnesty Internationals tech-avdelning har ocksÄ i mÄnga Är hjÀlpt mÀngder med aktivister med sitt verktyg "Mobile Verification Tool" som den tekniskt intresserade kan installera för att dÀrefter scanna enheter dÀr man Àr. Vi körde MVT pÄ min tidigare arbetsgivare Civil Rights Defenders under en period och jag tycker det fungerade bra.
|
Min projekt-bebis just nu (dvs ett projekt jag fÄtt förmÄnen att ha under mina vingar) Àr nÄgot som kallas PiRogue Tool Suite. PTS Àr en opensource-lösning som byggs av ett team kring den oerhört karismatiska franska hackern Esther Onfroy, och Àr intressant pÄ flera sÀtt. Framförallt Àr det vÀldigt enkelt att installera. JAG lyckades installera det pÄ en Raspberry Pi som bröllopspresent till en nördvÀn i somras - vilket alltsÄ gav henom en egen liten forensikstation i miniformat för under en tusenlapp. Det Àr ocksÄ vÀldigt smidigt kopplat till ett systematik-backend kallat Collander dÀr man ihop med andra kan kategorisera och analysera de hot man eventuellt hittar nÀr man anvÀnt PTS.
|
NÄvÀl, jag kommer sÀkerligen fÄ anledning att Äterkomma till temat spionprogram - men glöm inte att Àven rekorderliga medborgare som du och jag kan ha nÄgot att vÀrna, helt utan att ha orent mjöl i sin digitala pÄse.
|
|
|
|
|
|
|