Jag fick en så himla fin shout-out i senaste utskicket av Deepeds nyhetsbrev, ”En handfull länkar”:
Jag hade för övrigt en idé om att veckans nyhetsbrev skulle i princip bara innehålla en länk till de Kaminskis senaste nyhetsbrev och så skulle jag reagera, iterera och tänka runt det. Så blev det inte. Men jag tycker det är värt att läsa: alla tre huvuddelar han skriver om är viktiga.
Men längre ner i Deeped nyhetsbrev fångar jag också upp en passage, där han noterar att vi som användare ofta oroar oss för fel saker när det gäller vår digitala integritet. Exempelvis, skriver Deeped, fastnar många fortfarande i antagandet att ”Facebook avlyssnar min telefon” (som alltså inte kunnat bevisas) medan vi missar att det finns FAKTISKT farliga digitala hot och risker som vi pratar alldeles för lite om. Deeped nämner bland annat Pegasus, som förstås spänner mina antenner (om det ens är ett uttryck) och gör att jag går igång.
Jag har skrivit om Pegasus flera gånger tidigare – bland annat i posten ”Ny Pegasus-explosion, återigen lite för nära”. Det är ett av de mest avancerade spionprogrammen tillgängliga på mer eller mindre öppen marknad (dvs, om man har råd) – som krängs främst till regeringar runt om i världen. Spionprogrammet används sedan för att övervaka och avlyssna politisk opposition, aktivister, granskande journalister och andra sk ”misshagliga element”.
(Public service-Marcin vill här flika in att det finns många andra spionprogram där ute också. Ett riktigt bra – dvs objektivt dåligt – exempel är Predator, som beskrivs på ett väldigt målande sätt i ett utomordentligt avsnitt av podden ”Darknet Diaries”.)
Och i takt med att spionprogrammen kryper närmare, såväl geografiskt (spionprogramsdetektiver som granskar spridningen hittar fynd i allt fler länder…) och socialt (…men också bland mer varierande nätverk av måltavlor), så krävs att fler får möjlighet att scanna sina datorer och mobiler för att förstå om deras data (och verksamhet!) är trygg och säker eller inte.
Det finns kommersiella bolag som har kapacitet att scanna efter spionprogram. Deeped nämner bland annat iVerify i sitt nyhetsbrev. De har en ”gratis-variant” som kan vara hjälpsam. Samtidigt skriver jag ”gratis-variant” lite ironiskt, eftersom det som är gratis är en scanning i månaden, via ett interface som inte är intuitivt och dessutom får man bara svar om man faktiskt är infekterad. De skriver dessutom i sin privacy policy att man via sina kakor sparar information om besökares enheter, inställningar och lite annat smått. Jag är inte imponerad.
Jag är ärligt talat tveksam till den typen av freemium-lösningar när det gäller potentiellt livsviktig cybersäkerhet. Särskilt när jag nyligen läste den här rapporten från kanadensiska spionprogramexperterna Citizen Lab, där de beskriver hur en rysk programmerare blivit intagen för ”samtal” med säkerhetstjänsten, blivit av med sin telefon och när den återlämnats funnit att det planterats spionprogramvara på den.
Nu kan man ju tycka att Ryssland är ett sär-case som inte berör en själv. Men samtidigt ska vi minnas att beslagtagande eller i varje fall kontroll av enheter är mer eller mindre rutin bland rättsvårdande myndigheter överlag numera, och i takt med att listan på länder där Pegasus och andra spionprogram upptäcks blir allt längre så tror jag att fler personer än ryska programmerare bör oroa sig för precis det här.
Jag var nyligen i kontakt med aktivister som efter en rätt ofarlig resa berättade att de i passkontrollen vid en mellanlandning i ett tredjeland blivit ombedda att lämna över sina telefoner för ”granskning” – och när de envisats med att vara närvarande vid granskningen så såg de hur mer avancerad utrustning snabbt plockades bort.
Själv ser jag just därför det som ett av mina allra viktigaste uppdrag just nu att se till att demokratisera möjligheten att undersöka enheter och mobiler för den här typen av spionprogram och sårbarheter. Citizen Lab som jag nämnde ovan tycker jag är jättebra, de samlar in data från aktivistnätverk runt om i världen (de har bland annat kollat mina enheter två gånger bara i år) och skickar sedan bland annat sina fynd till Apple och Google som använder informationen för att säkra säkerhetshål i sina operativsystem. Amnesty Internationals tech-avdelning har också i många år hjälpt mängder med aktivister med sitt verktyg ”Mobile Verification Tool” som den tekniskt intresserade kan installera för att därefter scanna enheter där man är. Vi körde MVT på min tidigare arbetsgivare Civil Rights Defenders under en period och jag tycker det fungerade bra.
Min projekt-bebis just nu (dvs ett projekt jag fått förmånen att ha under mina vingar) är något som kallas PiRogue Tool Suite. PTS byggs av ett team som kretsar kring den oerhört karismatiska franska hackern Esther Onfroy, och är intressant på flera sätt. Framförallt är det väldigt enkelt att installera. JAG lyckades installera det på en Raspberry Pi som bröllopspresent till en nördvän i somras – vilket alltså gav henom en egen liten forensikstation i miniformat för under en tusenlapp. Det är också väldigt smidigt kopplat till ett systematik-backend kallat Collander där man ihop med andra kan kategorisera och analysera de hot man eventuellt hittar när man använt PTS.
Men en annan viktig fördel med PTS – där jag själv tycker att man bräcker både aktivistorienterade och kommersiella verktyg – är att man via verktygen också kan analysera avvikande datatrafik från enheterna man granskar. Många appar vi använder är kanske inte defacto /spionprogram/ men de /spionerar/ fortfarande på oss, vilket jag ju nämnde senaste i förra nyhetsbrevet. Att veta vilken data apparna samlar in och var den skickas borde vara viktigare än det ofta kan upplevas som.
Esther och PiRogue samarbetar därför sedan några år med dataskyddsorganisationer (och i vissa fall -myndigheter!) för att granska hur användardata läcks och utnyttjas. Exempel på sådana fynd kan läsas om i en rapport från dataskyddsorganisationen NYOB, där de beskriver hur data från flera i Frankrike vanliga konsumentappar (bland annat en mäklarapp och en träningsapp) utan att meddela användare samlas in och säljs vidare till datahälare som gör storkosing på vår privata information.
Nåväl, jag kommer säkerligen få anledning att återkomma till temat spionprogram – men glöm inte att även rekorderliga medborgare som du och jag kan ha något att värna, helt utan att ha orent mjöl i sin digitala påse.