Meta om Meta (utifrån ett transrättsperspektiv)

Mycket har skrivits om Metas tvärvändning vad gäller faktagranskning och community-policies. Man säger nu plötsligt att ”more speech” ger ”fewer mistakes”. Jag kommenterade tidigt det här i tidningen Journalisten, men formatet gör inte riktigt problemet rättvisa.

För mer utförlig läsning rekommenderar jag istället Deepeds kommentarer kring detta, som jag tycker landar riktigt bra. Även Brit Stakstons text hos BlankSpot är spot (!) on – man vill kanske lätt förledas att tro att det här är ett politiskt skifte, men jag vidhåller (liksom jag läser Brit) tills motsatsen bevisats att det är strikt affärsmässigt. För att inte drabbas negativt rent ekonomiskt när de politiska vindarna vänder måste man städa upp språkbruket därefter.

Jag har en lite lustig relation till Meta. Dels har jag under i varje fall tio års tid – kanske snart femton – arbetat med att få Meta att bli bättre på att skydda diskriminerade och utsatta grupper. Dels har jag (full disclaimer) under ett antal år arbetat för Metas pengar för att skydda utsatta försvarare av mänskliga rättigheter. Allt detta trots att både jag, aktivisterna jag arbetat med och Meta känt till att Meta medverkat till såväl fängslanden som folkmord och annat skit.

Jag minns när jag arbetade för biståndsmyndigheten Sida. Året måste varit omkring 2014, kanske 2015. Flera av Sidas partnerorganisationer var djupt involverade i att få Facebook (nuvarande Meta) att mjuka upp sin ”real name policy”, om det är någon som minns den.

Bakgrunden var att Facebook i ett led att försöka minska identitetsstölder på sina plattformar infört en policy att användare måste använda sina juridiska namn på Facebook. Mitt minne säger mig att man från företagets sida hade velat ge sig in i marknaden om digitala ID:n i länder där staten inte riktigt hunnit med. Eftersom Facebook då var världens med spridda digitala plattform kunde man, om man lyckats, varit först med att erbjuda sina användare en tillförlitlig global identitet.

Det slog dock fel på väldigt många sätt. Ett problem var förstås frågan om hur man skulle verifiera de digitala identiteternas äkthet, men ett annat problem var att användare (av många olika anledningar) envisades med att använda påhittade eller tagna namn.

En grupp som använt Facebook som en säkerhetsventil var transpersoner. I många länder runt om i världen är transpersoner oerhört utsatta, och kan inte aktivt leva ut sin verkliga identitet. Internet blev för många en tillflyktsort där man kunde vara den man ville vara (eller egentligen var), där man kunde få använda ett namn med annan köns-kategorisering än den man hade i passet och där man därigenom kunde skapa sig ett sammanhang som inte gick någon annanstans.

Facebooks real name policy gjorde detta oerhört komplicerat. Otaliga var transpersonerna som stängts av från plattformen eftersom de ”hittat på” sitt tagna namn. Därför ville organisationer som arbetade med mänskliga rättigheter och transrättigheter få Facebook att sluta vara överdrivet rigida kring detta, i ett försök att återta den plattform som medfört fri- och rättigheter åt så många. Man lyckades också med det, och fick Facebook att tillåta olika typer av äkthets-verifiering (för att på så sätt fortfarande skydda användare från spam-konton och falska identiteter).

När jag samtalade med representanter för Facebook då, 2015, fick jag inte sällan yttrandefrihets-plattityder kastade i ansiktet på mig. Min favorit (obs ironi) var ”hate speech can only be fought with more speech” som yttrandefrihets-extremister så ofta säger. Och även det säger nu också Mark Zuckerberg i sitt senaste uttalande när han strax efter nyår meddelade att man kommer börja lätta på både faktagranskning och community guidelines.

Zuckerberg säger i sitt uttalande att man ska ”återgå till Metas rötter” (vilket är sant) och därför erbjuda ”fler nyanser av sanningen” (vilket är aburt) för att inte ”tysta viktiga röster” (vilket i sammanhanget är helt tvärtom-språk).

Det man verkligen verkar ha gjort är att man redan första dagen tog bort möjligheten att välja trans- och ickebinära Messengerteman, man har öppnat upp reglerna för vad som tillåts skrivas för att möjliggöra exvis hatspråk mot transpersoner och andra utsatta grupper och man har dessutom rensat sin webb på information om interna transpositiva och andra jämställdhetsorienterade initiativ (den illustrativt nog trasiga länken leder till Facebooks tidigare ställningstaganden kring stöd till transpersoner).

Från att varit en inkluderande plattform som välkomnat rätten att på lika villkor vara och leva som olika har man snabbt ramlat ner i ett radikaliserande kaninhål – särskilt när det kombineras med att man kommer ”fylla ut” användare flöden med AI-genererat innehåll för att skapa ökat intresse och engagemang. Det är nog dags att sätta på säkerhetsbältet och se Facebook rusa mot botten i en accelererad enshittification.

Min vän Dia Kayyali har länge varit engagerad i de här frågorna, inte minst genom sitt arbete med Metas insynsråd Oversight Board. Hen skriver i en riktigt lång och matig text där delen om policy-förändringarna egentligen är mest relevant:

Notably, the policy will now allow calls for exclusion and ”insulting language” towards trans people, women, and immigrants. This line demonstrates the length to which this allowance goes: ”We do allow allegations of mental illness or abnormality when based on gender or sexual orientation.” The policy now also specifically allows users to spread claims that vulnerable groups purposefully spread Covid and removed prohibitions against calling women property and non-binary people ”it.”

Nu måste jag säga att Metas modereringssystem ofta beter sig väldigt lustigt. Jag är säkert inte ensam om att ha fått poster borttagna av väldigt oklara anledningar, samtidigt som jag anmält helt absurda inlägg bara för att få höra att de ”inte bryter mot Metas grannskapsprinciper”.

Men det är ändå fascinerande hur snabbt saker vänder ibland. När Elon Musk köpte Twitter så var det första han gjorde att stänga ner det insynsråd jag var med i och därefter gå vidare med att sparka hela avdelningen för ”Trust and Safety”. Personalen som arbetade med mänskliga rättigheter och community engagement fick höra av de var en tärande kostnad och sades upp de med.

Låt oss hoppas att det inte går lika snabbt utför för Meta, som det gjorde för X. Meta har en mer blandad produktportfölj och fler personer är beroende av Metas lösningar till vardags.

Men visst är det ändå oroväckande när ett företag så snabbt devalverar sina prioriteringar kring inkludering, allas lika värde och skydd av utsatta grupper till principer som nu säger att det är fritt fram att hävda att transsexualitet är en sjukdom, eller att kvinnor som blir våldtagna får skylla sig själva.

Apples Appstore-monopol brutet, det är bra

Jag är långt ifrån någon expert på EU-lagstiftning, men jag brukar försöka hänga med i saker som jag tror berör mig och det jag gör. En sådan spännande utveckling är hur EU:s ”Digital Markets Act” (DMA) ifrågasatt Apples monopol på Appstore till sina plattformar, eftersom det ansetts vara marknadsstörande konkurrens.

Att Apple har sin Appstore och Google sin Play Store tycker jag generellt är en rätt bra grej ur användarsynvinkel. Det innebär att vi som användare borde kunna vara säkra på att appar vi laddar ner är godkända av Apple och Google, vilket i sin tur innebär att vi förhoppningsvis är säkra för olika typer av skadlig programvara. Nu är det inte riktigt så enkelt dock.

Häromdagen ville ett av mina barn visa sin senast nedladdade app, den erbjöd honom möjligheten att helt skapa nya utseenden och teman till telefonen. Skitfränt tyckte han och visade sitt riktigt snitsiga tema, men när han ville fixa samma sak på min telefon visade det sig att man för att kunna göra detta (med hjälp av en av Apple godkänd app) var tvungen att installera en ”konfigurationsprofil”.

Det är en funktion i iOS som erbjuder användaren att kringgå standard-funktioner i iOS. Bra om man ska installera en (betrodd!) VPN, mindre bra om man vill göra en kosmetisk ändring och därmed inte riktigt har koll på vad konfigurationsprofilen egentligen gör med telefonen.

Det blev inget ansiktslyft för min telefon och inte heller för barnet, vilket inte direkt gav mig medalj för årets förälder – men hey, säkerheten framför allt.

En annan utmaning är att det i de godkända app-butikerna också finns massa högst tveksamma appar. Särskilt tänker jag på appar som ber om mer rättigheter till telefonens innersta än som egentligen är nödvändigt. Både Apple och Google har sedan en lång tid tillbaka börjat vara väldigt transparenta kring detta, vilket gör att man som användare kan få upp frågan ”Vill du ge [appens namn] tillgång till [kontakter/bilder/position” eller något liknande. Det är superbra, men har man en gång råkat säga ja kan det vara svårt att minnas att man också kan återkalla rättigheterna.

Från mitt professionella perspektiv tycker jag att monopolet kring app-butiker utgjort en rejäl utmaning. Det har tyvärr medfört att Apple och Google fått ta defacto-ansvaret för vilka appar som tillåts på olika håll i världen. Under en glad period för tio-femton år sedan var det här inte dåligt, eftersom tech-företagen då hade en uttalad policy att främja yttrandefrihet lite mer än världens skurkstater – men med tiden har företag efter företag börjat fokusera på att säkerställa marknadsvinster snarare än fina ord om rättigheter och sånt.

Det finns många exempel på ovanstående men jag tror det för egen del blev tydligt när Twitters svar på att ha blivit blockerat i Turkiet pga påstådd ärekränkning av den turkiska presidenten Erdogan var att… blockera de användare som kallat sin president korrupt och spridit länkar till läckor som bevisade detta.

I Apples fall har man generellt hållt lite högre principiell flagg. Kanske beror detta på den absoluta marknadsdominansen på smartphone-marknaden. Men på senaste tiden har man kunnat se att principerna vacklat. I Ryssland har Apple efter påtryckningar från myndigheter exempelvis börjat göra det omöjligt för ryska användare att ladda ner ett antal riktigt bra VPN-klienter. Eftersom ett av få bra sätt att kunna ta sig förbi den ryska nät-censuren (som jag beskrev i en nylig spaning) är just bra och betrodda VPN-er blir det här snabbt ett problem även ur rättighetsperspektiv.

För Android-användare har det här inte tidigare varit ett enormt problem, även om det inneburit lite användarvänlighetsutmaningar. Google släppte, vad jag förstår som en del av licens-tänkandet kring operativsystemet Android, tidigt fram alternativa app-butiker och den jag gillar mest (inte bara för att vi betalar för den) – F-Droid – ger användare möjlighet att ladda ner sådant som inte är officiellt tillåtet i deras geografi. Ett slags subversiv side-loading kan man säga.

DMA som jag inledningsvis nämnde är ett lagpaket som bland annat medfört att EU vill öka konkurrensen på den europeiska digitala marknaden. En del av det är alltså att man tvingat Apple att göra som Google, öppna upp möjligheten för alternativa app-butiker att låta användare installera appar som inte passerat Apples tekniska (och politiska) granskning.

En sådan lite lustig alternativ ”Appstore” är uppstickaren AltStore, som vi nu börjat labba lite mer. Tanken är att utvecklare kan skapa egna lokala distributionstjänster inom AltStore, och bland annat håller nu våra VPN-nätverk på att undersöka om det här är en lösning som duger när Apple sviker.

Själv gjorde jag när jag först testade AltStore det som nog vilken rimlig person som helst skulle gjort – jag laddade ner en emulator till Super Nintendo och körde några vändor Super MarioKart (som min hjärna registrerat muskelminnen för).

Nu gäller ju DMA enbart i EU, och möjligheten till side loading är i övrigt strikt begränsad inom Apples ekosystem. Men kanske är det ändå en möjlighet till ljus i tunneln?

Ju mer makt de tekniska plattformarna får över vår livsvärld, desto viktigare är det att förstå hur man kan kringgå dem.

Live and direct (nästan) – Ryssland blockerar internet

Under tisdagen när jag skriver det här ramlade det in meddelanden på min Signal från aktivister jag antingen känner eller jobbar med som bevakar begränsningar i det ryska internetet.

”Serious shutdown in Russia right now.”

”Connections are coming back slowly.”

”We have hundreds or reports and are researching the reach of the shutdown.”

I realtid fick jag sedan följa hur man analyserade den pågående nedstängningen av det ryska internetet. När man återkom gjorde man bedömningen att Ryska myndigheter helt enkelt fortsätter utforska vilken kapacitet man har för att kontrollera internet inom landets gränser.

Innan jag beskriver vad man kom fram till med i detalj vill jag ge lite bakgrund. 2019 presenterade Rysslands president Vladimir Putin ett dekret där man gav myndigheten Roskomandzor ett utökat mandat. Från att ha agerat som ett slags Post- och telestyrelse som hanterar rysk telekomreglering och -marknad fick man plötsligt tilläggsuppdraget att med de medel som krävs skapa en ”hållbar” rysk internet-infrastruktur som skulle främja landets ”digitala suveränitet”.

Lite krasst – eftersom man enligt rysk doktrin befinner sig i konflikt med stora delar av omvärlden vill man säkerställa att Ryssland inte är beroende av andra länders internet-infrastruktur för att fortsatt vara ett högteknologiskt och digitaliserat land. Utmaningen med uppdraget Roskomandzor fick är att internet i sin grundläggande arkitektur är ett globalt nätverk av nätverk där noder inte ser nationsgränser som något man behöver rätta sig efter.

Roskomandzor inledde därför ett långsiktigt arbete med att ta kontroll över telekomleverantörer i landet (i varje fall deras infrastruktur – telefonimaster och internet-gateways). Man inledde också arbetet med att på högre detaljnivå kunna använda sig av DPI (”deep packet inspection”) för att mer effektivt kunna filtrera vilken information som får, eller inte får, passera internet-gateways från det ryska nätet till det globala internet.

Förhoppningen var att man ”i framtiden” skulle åstadkomma något man började kalla för ”Runet” – dvs ett ryskt isolerat nätverk där staten äger makt att avgöra vad som får existera och kontrollerar alla potentiella informationsflöden.

Inom den internationella diplomatin hade man redan etablerat ett narrativ där man lyfte exempel från demokratiska länders internet-filtrering (såsom den svenska listan som blockerar övergreppsmaterial på barn) och övervakning (såsom Snowdens avslöjanden) för att medelst dessa kunna argumentera för att statlig kontroll av misshagligt innehåll och subversiva medborgare var en global norm – och att Ryssland bara gjorde som alla andra gör.

Vi snabbspolar till ”framtiden”, alltså till typ nu.

Förra året rapporterades nästan 40 olika ”anomalier” i det ryska internet. Här är en grafik över fördelningen över landet:

Det innebär alltså att nätaktivister och forskare kunde dokumentera ett stort antal tillfällen när internet inte fungerade som förväntat, och där man antog (eller visste) att det inte vara ett normalt tekniskt fel.

Några sådana nedslag:

  • Januari: I samband med lokala protester kring påstådd korruption ströps all kommunikation i en kommun i centrala Ryssland.
  • Mars: Kring oppositionspolitikern Navalnys begravning begränsades all mobil-trafik från snabba LTE till långsamma 3G, troligtvis för att omöjliggöra livestreaming och/eller spridning av eventuella protestaktioner.
  • Juli: YouTube blockeras i alla godkända internetleverantörers nätverk.
  • Augusti: När fångar i ett fängelse i Volgograd tog fängelsepersonal som gisslan blev de vanligaste chat-protokollen omöjliga att använda i området kring fängelset.
  • December: Hela delrepubliken Dagestan hamnar i total radioskugga efter att internet helt och hållet stängts ner.

En av de VPNer vi arbetar nära visar genom sina trafikgrafer hur Dagestan plötsligt försvann från radarn, innan trafiken lika plötsligt återupptogs igen:

Det finns fler exempel, men sammantaget menar de som vet mer än jag att Roskomandzor helt enkelt testar olika tekniker för att begränsa internet, för att se dels vad som är verksamt och dels hur begränsat nät Ryssland egentligen mäktar med.

Det intressanta med Runet av idag är att målet är att åstadkomma ett verkligt decentraliserat system som består av en mängd olika byggstenar som kan blockeras var för sig eller i olika kombinationer, beroende på vad man för tillfället vill hantera. Vill man läsa mer tekniska beskrivningar av detta finns exempelvis den här oerhört intressanta forskningen att tillgå – där man i detalj beskriver projektet Runet och TSPU, som det samlade systemet kommit att kallas.

Ny snabbspolning – till för ungefär tre timmar sedan (dvs 14 januari 2025, sen eftermiddag svensk tid).

Så här rapporteras det om dagens nedstängning:

  1. Roskomandzor bekräftar ”störningar i de nationella uppkopplingarna” som nu ska vara återställda.
  2. Rapporter kom från hela landet att enbart ryska webbtjänster, inklusive chat-appen Telegram (som jag skrivit om tidigare) fungerade. Internationella webbtjänster var inte åtkomliga. Tolkningen här är tudelad;
    • Eftersom de internationella webbtjänsterna fungerade på det globala internet är det snarast kopplingen mellan Runet och internet som påverkats – inte tjänsterna i sig.
    • Eftersom Telegram fortsatte fungera verkar man ha angripit allmänt vedertagna krypteringsprotokoll (typ https för säker webb) men inte Telegrams hemsnickrade mtproto-protokoll.
  3. Eftersom rapporter om problem idag kom från alla landets internetleverantörer kan man tolka det som att det inte rör en ensam felkälla, utan att det är TSPU som faktiskt fungerar.
  4. Tidigare när den här typen av nedstängningar skett men varit väldigt kortvariga (som idag) så har man i efterhand kunnat tolka det som antingen ett teknik-test eller ett teknik-fel, alltså att man rullat ut exvis en uppdatering som slagit fel och därefter rullats tillbaka. Här är de tekniska spåren snarlika den mer regionala avstängningen i Dagestan i december, vilket tyder på att man där och då testade något man nu försökt implementera nationellt.
  5. Baserat på vad som fortsatte fungera (ryska webb-tjänster och Telegram) gör erfarna analytiker nu bedömningen att Roskomandzor försöker få till en fungerande ”white list”, dvs ett internet där enbart godkända hemsidor är möjliga att surfa på.

Nu verkar det ryska internetet återgått till normalläge och användarna kan återgå till en censurerad vardag.

Eftersom Roskomandzor nyligen annonserat att man budgetar ungefär sju miljarder svenska kronor över fem år för att åstadkomma ett riktigt ”tryggt” och ”hanterbart” ”suveränt” internet, så lär vi dock se mer av sådana här blockeringstest.

Utmaningarna för det vi känner som ett fritt, öppet och säkert internet har aldrig varit fler.

Streaming bättre för musikbranschen än för musiker

SVT-serien om The Pirate Bay berör (kanske mer än jag förväntat mig) övergången från nedladdad kultur till en streaming-dominerad marknad. På så sätt knyter den an till The Playlist – Netflix-serien om Spotifys framgångar.

När det begav sig fick vi som var engagerade i fildelningsfrågor ofta höra att vi ”stal” inte bara från musikbranschen utan också från musiker. Nu tror jag inte det är sant, men det var ofta så det argumenterades, och det är också en genomgående röd tråd genom SVT-serien där man bland annat låter Piratbyråns motståndare framställas som en kämpande filmare som menar att hennes inkomst fördärvas eftersom hennes film kunde laddas ner som en tafflig CAM-kopia.

Därför blir det väldigt lustigt när jag i flödena fick upp ett pressklipp om Daniel Eks senaste förmögenhetsberäkning. Den kämpande innovatören från The Playlist sägs vara god för omkring 6,8 miljarder amerikanska dollar – vilket är mer än någon enskild musiker genom historien.

Eftersom Spotify och liknande tjänster beskrivits som ”pirat-dödarna” som fört in kulturbranschen in i en digital tidsålder tycker jag det är viktigt att påminna sig om att Spotify inte är primärt en musiktjänst – det är en framgångsrik investering som ger god avkastning till den som satsat pengar (på tjänsten, inte på musiken). Jag hittade ungefär samtidigt den här uträkningen över hur mycket pengar musiker får per stream från olika streamingtjänster. På Threads hittar jag en mer överskådlig tabell:

Spalten som beskriver hur många spelningar man måste ha på olika plattformar tycker jag är rätt talande. Med lite matte kan man också konstatera att en miljon (1000000) spelningar på Spotify ger artisterna en utbetalning på lite drygt tre tusen (3000) amerikanska dollar. Lika många spelningar på Apple Music ger artisterna omkring åtta tusen (8000) amerikanska dollar.

Jag ska inte gräva mig ner i de gamla stridsropen. Men jag vill ändå påpeka att de tjänster som sägs ha räddat musikbranschen visserligen är smidiga för oss musikkonsumenter och ”hjälper” oss att lyssna på musik lagligt. Ännu har de dock inte visat sig vara lösningen på hur artister ska få betalt.

Session flyttar från Australien till Schweiz efter påhälsning

Den decentraliserade meddelandetjänsten Session har länge haft kontor och hemvist i Australien, men flyttar efter påhälsning från den australiensiska polisen till Schweiz.

Tidningen Guardian citerar representanter för Sessions ägare Oxen Privacy Tech Foundation (OPTF) när de beskriver vad de menar lett fram till situationen som den är idag:

Under anti-terrorism laws passed in 2018, law enforcement can issue notices requiring developers to assist with an investigation. This can include technical assistance which could require companies to build capability for law enforcement to break the encryption used in their services.

But the powers have rarely been used. And if they had, neither the Australian Federal Police or the services targeted can divulge what an organisation has been ordered to do.

The director of OPTF, Alex Linton, said the looming threat of this legislative power, along with the wider regulatory environment in Australia, had been the tipping point for the organisation shifting to Switzerland.

“The legislative and regulatory landscape in Australia is just completely hostile towards building a privacy tool such as an encrypted messaging app,” he said. “The ongoing threat of these special powers actually being used against us, in the end, being in Australia just threatened our credibility as a privacy tool.”

I korta ordalag alltså – Session är en meddelandetjänst som värderar användardata högt. De totalsträckskrypterar trafiken och använder ett slags ”onion routing”-protokoll (liksom Tor Project) för att decentralisera tjänsten så pass mycket att det både är väldigt svårt att förstå vem som pratar med vem, och samtidigt också väldigt svårt att blockera eller censurera trafik.

Det här tycker australiensisk polis är dåligt, eftersom gängkriminella/terrorister/barn kan använda internet på ett sätt som inte går att övervaka. Därför slog polisen till mot Session, som själva framförallt ser sin lösning som en spännande ny lösning som respekterar och värnar vikten av användarintegritet, dataskydd och informationsfrihet.

Här finns en tydlig intressekonflikt förstås, det går inte att sticka under stol med – men att racka ner på tekniska experter som fokuserar på cybersäkerhet och innovativ teknikutveckling tycker jag är fel.

Jag gillar Session. Inte för att jag använder appen så där oerhört mycket men utvecklarna är trevliga, deras lösning är byggd på helt öppen programvara och de delar gärna med sig av både kod och lärdomar. Just nu arbetar de frenetiskt för att göra appen mer resistent mot blockeringar i Ryssland och Iran.

När jag veckan innan jul fick möjlighet att sitta ner med en av nyckelpersonerna kring Session var han lika tydlig som upprörd.

”Det här handlar inte om Session i sig, det handlar om att man försöker göra det ännu svårare för utvecklare att bygga säker teknik. Det är inte alltid Australien hamnar i rampljuset men det är viktigt att förstå att det som hänt mot oss – att våra anställda får sina hus genomsökta av polis – är del av en historisk trend.”

Sedan följde en lång tirad av tillbakablickar, från Snowdens läckor som pekade ut Australien som en viktig spelare i det globala övervakningsspelet till hur Australiensisk polis knäckt och slagit ut en välkänd meddelandetjänst som sålde dåligt krypterad teknik till gängkriminella världen över. Hen nämnde också hur myndigheterna argumenterat mot Session i samma andetag som man pratat om att förbjuda sociala medier för minderåriga.

Allt i ovanstående stycke är relevant också i en svensk kontext. Inte minst får jag puls av ormolje-diskussionen kring att följa Australiens exempel kring sociala medie-förbud, särskilt när den kombineras med den absurda fäblessen för att föreslå Bank-ID som lösning på allt.

Session har som nämnt nu valt att flytta till Schweiz, eftersom man tror att landets lagstiftning är bättre för utveckling av säkra kommunikationstjänster. Jag tror inte det är sista vi hör från den här meddelande-appen, som ihop med några andra kan komma att bli riktigt intressanta utmanare till Signal när det är dags.

2025 på intåg – kort nyårsspaning från mig

Jag ska inte skriva en lång årskrönika, men jag blev ombedd av biståndsmagasinet Global Bar att presentera några ”spaningar” inför 2025 från min horisont. Mina svar är rätt torra, men visar kanske ändå på vad jag utifrån där jag är nu tror eller hoppas komma skall. Här är ett utdrag:

Vilken positiv nyhet skulle du helst av allt vilja se 2025?
– 2025 skulle jag – efter drygt tio år av minskad internetfrihet – vilja se rubriker som meddelar att det fria och öppna internet har gjort en dramatisk återkomst globalt. Jag hoppas att en kombination av teknologiska framsteg, internationellt samarbete och kraftfulla investeringar i internetfrihet drastiskt minskat censuren i länder där människor tidigare varit avskurna från tillgång till opartisk information.

Detta skulle innebära att individer i repressiva miljöer som Iran, Ryssland, och Myanmar får ökad makt att uttrycka sina åsikter, engagera sig i samhällsfrågor och få tillgång till fri information utan rädsla för repression. Dessutom skulle det signalera att världssamfundet står enat i sitt stöd för mänskliga rättigheter, demokrati och frihet online. Ett ökat fokus på ett öppet, fritt och säkert internet skulle också ha en positiv inverkan på global säkerhet och ekonomisk utveckling genom att minska fragmenteringen av den digitala världen och stärka den verkligt globala marknaden.

Vilken global utvecklingsfråga tycker du borde finnas med på agendan 2025, men som idag åtminstone delvis saknas?
– Kampen mot digital auktoritarianism är en fråga som borde få större uppmärksamhet 2025. Digitala repressiva metoder som censur, övervakning och desinformation är inte bara tekniska utmaningar utan hotar grundläggande mänskliga rättigheter och demokratiska värderingar. Vi ser idag hur auktoritära regimer använder avancerade teknologier för att tysta opposition, sprida propaganda och konsolidera sin makt. Trots detta är frågan inte tillräckligt central på den globala utvecklingsagendan.

Jag och Open Technology Fund menar att vi måste prioritera investeringar i tekniska lösningar som motverkar dessa hot – lösningar som decentraliserade kommunikationsverktyg och censurresistenta teknologier. Dessutom måste vi skapa starkare internationella normer och samarbeten som skyddar digitala friheter och säkerställer att teknologins kraft används för att stärka, snarare än försvaga, demokratiska samhälle

På den mer negativa sidan, vilket jag inte tog upp i spaningen men som nog inte är någon överraskning för den som följt mig ett tag tror jag att följande frågor kommer fortsätta vara brännande stridsfrågor under 2025:

  • Kampanjen mot totalsträckskryptering kommer säkerligen fortsätta under nästa år.
  • Spionprogrammen kommer bli än mer sofistikerade och användarvänliga – och alltmer tillgängliga.
  • Användardata kommer fortsatt vara en underprioriterad fråga i konsument-IT.

Välkommen att upptäcka 2025 med mig!

Årets nyord 2024: ”Totalsträckskryptering” (och en notering)

Varje år publicerar Språkrådet en lista på nyord som kommit att placera sig i vårt medvetande under det gångna året. Det här året hade jag någonstans hoppats på att brainrot skulle toppa listan, men blev istället glatt överraskad över att totalsträckskryptering blev både inkluderat i listan och så kort och koncist beskrivet:

Extra viktigt att ha koll på detta i tider när totalsträckskrypteringen gång efter annan utmanas – antingen via lagstiftning som Chatcontrol eller skrämsel som den polisen gång efter annan drevar mot appar som Signal (något jag skrivit om tidigare).

Uppmärksamma läsare noterar kanske en förutsägelse jag gör i inlägget om kryptokrig:

Min gissning är att polisen först och främst hoppas att stora tech-bolag som Apple och Meta – vars iMessage resp Messenger numera är starkt fullsträckskrypterade – ska krypa till korset, för att sedan mindre aktörer som Signal och andra krypto-appar ska följa efter. 

Och se på tusan – justitieminister Gunnar Strömmer stängde sitt krypto-år med ett möte med de stora plattformarna (Google, Meta, Snapchat och Tiktok) för att uppmana dem att ”ta ansvar”. Bland annat förväntar sig Strömmer att plattformarna ska använda ”AI”-verktyg för att proaktivt granska innehåll och identifiera oönskat material innan det når slutanvändarna. Något som är tekniskt omöjligt om man totalsträckskrypterar tjänsterna, vilket ju inte är okänt varken för nyhetsbrevets läsare, polisen eller justitiedepartementet.

Nu tycker jag ju att det är milsvid skillnad på Signal och Telegram, men det är ju knappast överraskande att DN noterar vilka som varit med i mötet och inte:

De krypterade chattapparna Signal och Telegram var också inbjudna till samarbetet, men har enligt Sveriges justitieminister Gunnar Strömmer (M) ”inte ens svarat”.

– Det är ett problem att de här kanalerna inte verkar vara intresserade av en seriös dialog vare sig med sina branschkollegor eller med politiska beslutsfattare eller våra myndigheter, säger Gunnar Strömmer.

To be continued…

Senaste nedslagen; Internetdagarna och bibliotek (och TPB)

Jag jobbar mest på min kammare, men ibland beträder jag människobyn på ett eller annat sätt. Under november fick jag möjlighet att besöka Internetdagarna 2024 – sedan Covid snyggt digital paketerat som ett contentpaket för den som vill lära sig mer om internet eller hänga med i de senaste heta frågorna.

I ett seminarium arrangerat av Unionen och ett annat av Paulina Modlitba (som skriver ett regelbundet och riktigt intressant nyhetsbrev, hon med!) fick jag göra inspel från min horisont ang hot och risker kring den skenande ”AI”-utvecklingen. Jag tycker verkligen det var superbra samtal, och för den som köpt biljett kan man se dem i efterhand.

Jag fick också äran att vara lite posterboy för Internetstiftelsens slutfilm, vilket förstås känns lika delar skämmigt och hedrande:

Vidare har jag också föreläst om ”AI” under rubriken ”Etik, Integritet och Demokrati” för 250 bibliotekarier från sex svenska regioner. Det var verkligen spännande, och när jag satt med i eftersnacket med en lite mindre grupp var det tydligt att man i biblioteksvärlden verkligen både är på hugget och samtidigt oroad.

Framförallt förstår jag det som att biblioteken på många sätt är ett slags sista samhällsutpost där medborgare kan få stöd med en uppsjö tjänster som man kan behöva hjälp med. Det är förstås inte meningen att biblioteken ska vara digitala supportcenter när folk behöver boka en betala sina räkningar eller boka en vårdcentralstid – men var går man annars när bankkontoren stänger kontanthanteringen och vården hänvisar patienter till 1177 utan att ta hänsyn till om folk verkligen vågar, vill eller kan hantera rätt komplexa digitala plattformar?

Jag har också fått väldigt mycket frågor om The Pirate Bay på senaste tiden. Den som vet den vet att jag var djupt engagerad i Piratbyrån när det begav sig på 00-talet. Ett av de sidoprojekt vi startade som en liten experimentell verkstad för oss och våra vänner var The Pirate Bay, som ju – vilket jag antar inte är okänt – exploderade och blev världens största fildelningssite.

Nu sänder SVT på Play spelserien om The Pirate Bay. Jag tycker generellt inte den är så dålig, det är ju en tydlig dramatisering. Den som var med på den tiden kan sitta och känna igen sig lite, och den som bara hört om fenomenet fildelning pga ung och/oskyldig kan lära sig en hel del. Några karaktärsmord hinner man däremot med vilket jag tycker är väldigt olyckligt och oproffsigt.

För egen del figurerar jag lite här och där genom serien, och är glad att jag fick en så himla snygg skådespelare att spela mig (och också med sådana här tidstypiskt karaktäristiska repliker):

Vill man läsa mer analyser från några av mina vänner som var med på den tiden och också syns mer i serien kan man med fördel läsa Rasmus Fleischer i Aftonbladet eller Flamman, eller lyssna på Peter Sunde i SR P1 Kultur. Även intervjun av dem båda i Torrentfreak är väldigt läsvärd.

Övervakning och fällan ”Bank-ID”

I veckan som var reste jag till Berlin för konferensen SplinterCon. Det är en väldigt tekniskt fokuserad konferens som samlar det som brukar kallas ”researchers” – men där egentligen rätt få är akademiskt affilierade (även om även de finns, bland annat nederländska Critical Infrastructure Lab) utan man snarare ”researchar” tekniska system, plockar isär dem när de behövs och bygger nya när man stöter på problem. Det man egentligen gör är alltså att man hackar saker, i SplinterCons fall med fokus på censur och blockeringar av internet.

Några höjdpunkter tyckte jag själv var att höra mer om hur påtvingad SIM-kortsregistrering påverkar användare i mer repressiva miljöer. Registrering av SIM-kort är något som införts även i Sverige de senaste åren, då med argument kring (inte helt oväntat) vikten av att identifiera kontantkortsanvändare för att stävja den organiserade brottsligheten. Visst kan det vara ett tänkbart argument, men i andra länder används för att stävja nästan allt det vi tror att vi försvarar här i Sverige.

I forskning som vi på OTF finansierat kan vi dock läsa hur det påverkar användare i Kina. Där innebär den påtvingade registreringen med sina riktiga namn (dvs sitt elektroniska ID) att användare spåras vad de än gör på internet. Om man använder sig av appar som regeringen betraktar som tveksamma (exvis VPN-tjänster eller annat som kan erbjuda tillgång till ett fritt internet) så blir man utan pardon avstängd. Gör man något som verkar lite suspekt (exvis beställer taxi lite för ofta till samma adress eller kommunicerar orimligt mycket med någon som blivit flaggad i systemet) så får antingen man själv eller ens familj hembesök av säkerhetstjänsten som vill ”kolla läget”. Svenska politiker som föreslår att man ska behöva logga in till sociala medier med Bank-ID verkar helt missat vilken pandoras ask de gläntar på och den här helt absurda insändaren från ”bekymrad medborgare” orkar jag inte ens kommentera.

Men för att återknyta till SplinterCon så var just ovanstående grunden i ett så fint moment under konferensen. Jag hade ynnesten att lyssna in till ett samtal där experter som jobbar för att ta sig runt de här registreringskraven utbytte erfarenheter, tips och tricks.

Vi vet nämligen att diktatorer lär väldigt snabbt av varandra. Ett sådant exempel är när aktivister i Burma strax efter militärkuppen 2021 rapporterade att man noterat inkommande flyg direkt från städer i Kina där man vet att säkerhetstjänsten har sina högteknologiska verksamheter. Att rapporter därefter funnit att den burmesiska militärjuntan använder sig av kinesisk metod och infrastruktur för övervakning av sina egna medborgare är väl ingen direkt överraskning. Det är därför så oerhört viktigt att även hackers och välvilliga techies får möjlighet att lära av varandra – det är där många lösningar finns.

Att då som svensk få sitta med och höra erfarenheter från varför registrering av SIM-kort är dåligt och hur folk förlorar sina jobb för att deras helt normala internetanvändning kopplats till deras verkliga person kändes för mig oväntat stort.

Jag tyckte det var korkat när moralist-lobbyn lyckats få politiker att kräva Bank-ID för porr-siter. Mest kanske för att det känns helt orimligt att tvinga porrsugna användare att lämna ifrån sig in surfhistorik till ett privat företag (som Bank-ID alltså är), men också för att jag inte ens i min vildaste fantasi förstår hur det ska fungera. Den som någonsin sökt efter porr på internet vet hur många porr-siter det finns.

På samma sätt är det urbota korkat när man nu diskuterar en åldergräns på sociala medier. Vill vi verkligen åsiktsregistrera en hel befolkning och låta ett privat företag (som Bank-ID alltså är) att ha koll på vilka sidor vi väljer att besöka?

Jag började fnittra häromveckan när jag dessutom läste att en politiker, oklart vilken men det spelar ingen roll, på fullt allvar menade att ålderskontrollen inte skulle gälla vuxna – bara barn under femton år. Det krävs ju inte särskilt mycket eftertanke för att begripa att en sådan ålderskontroll skulle behöva ungefär som passfriheten i Schengen-området, där man ju visserligen som medborgare i ett medlemsland ska kunna resa utan pass men där man också med hjälp av ett pass måste kunna bevisa att man faktiskt hör hemma i Schengen.

I min värld finns det alldeles för många goda exempel på att användaridentifiering och -registrering är en typiskt dålig grej. Veckan i Berlin stärkte verkligen den positionen.

Demokratisering av spionprograms-jakt

Jag fick en så himla fin shout-out i senaste utskicket av Deepeds nyhetsbrev, ”En handfull länkar”:

Jag hade för övrigt en idé om att veckans nyhetsbrev skulle i princip bara innehålla en länk till de Kaminskis senaste nyhetsbrev och så skulle jag reagera, iterera och tänka runt det. Så blev det inte. Men jag tycker det är värt att läsa: alla tre huvuddelar han skriver om är viktiga.

Men längre ner i Deeped nyhetsbrev fångar jag också upp en passage, där han noterar att vi som användare ofta oroar oss för fel saker när det gäller vår digitala integritet. Exempelvis, skriver Deeped, fastnar många fortfarande i antagandet att ”Facebook avlyssnar min telefon” (som alltså inte kunnat bevisas) medan vi missar att det finns FAKTISKT farliga digitala hot och risker som vi pratar alldeles för lite om. Deeped nämner bland annat Pegasus, som förstås spänner mina antenner (om det ens är ett uttryck) och gör att jag går igång.

Jag har skrivit om Pegasus flera gånger tidigare – bland annat i posten ”Ny Pegasus-explosion, återigen lite för nära”. Det är ett av de mest avancerade spionprogrammen tillgängliga på mer eller mindre öppen marknad (dvs, om man har råd) – som krängs främst till regeringar runt om i världen. Spionprogrammet används sedan för att övervaka och avlyssna politisk opposition, aktivister, granskande journalister och andra sk ”misshagliga element”.

(Public service-Marcin vill här flika in att det finns många andra spionprogram där ute också. Ett riktigt bra – dvs objektivt dåligt – exempel är Predator, som beskrivs på ett väldigt målande sätt i ett utomordentligt avsnitt av podden ”Darknet Diaries”.)

Och i takt med att spionprogrammen kryper närmare, såväl geografiskt (spionprogramsdetektiver som granskar spridningen hittar fynd i allt fler länder…) och socialt (…men också bland mer varierande nätverk av måltavlor), så krävs att fler får möjlighet att scanna sina datorer och mobiler för att förstå om deras data (och verksamhet!) är trygg och säker eller inte.

Det finns kommersiella bolag som har kapacitet att scanna efter spionprogram. Deeped nämner bland annat iVerify i sitt nyhetsbrev. De har en ”gratis-variant” som kan vara hjälpsam. Samtidigt skriver jag ”gratis-variant” lite ironiskt, eftersom det som är gratis är en scanning i månaden, via ett interface som inte är intuitivt och dessutom får man bara svar om man faktiskt är infekterad. De skriver dessutom i sin privacy policy att man via sina kakor sparar information om besökares enheter, inställningar och lite annat smått. Jag är inte imponerad.

Jag är ärligt talat tveksam till den typen av freemium-lösningar när det gäller potentiellt livsviktig cybersäkerhet. Särskilt när jag nyligen läste den här rapporten från kanadensiska spionprogramexperterna Citizen Lab, där de beskriver hur en rysk programmerare blivit intagen för ”samtal” med säkerhetstjänsten, blivit av med sin telefon och när den återlämnats funnit att det planterats spionprogramvara på den.

Nu kan man ju tycka att Ryssland är ett sär-case som inte berör en själv. Men samtidigt ska vi minnas att beslagtagande eller i varje fall kontroll av enheter är mer eller mindre rutin bland rättsvårdande myndigheter överlag numera, och i takt med att listan på länder där Pegasus och andra spionprogram upptäcks blir allt längre så tror jag att fler personer än ryska programmerare bör oroa sig för precis det här.

Jag var nyligen i kontakt med aktivister som efter en rätt ofarlig resa berättade att de i passkontrollen vid en mellanlandning i ett tredjeland blivit ombedda att lämna över sina telefoner för ”granskning” – och när de envisats med att vara närvarande vid granskningen så såg de hur mer avancerad utrustning snabbt plockades bort.

Själv ser jag just därför det som ett av mina allra viktigaste uppdrag just nu att se till att demokratisera möjligheten att undersöka enheter och mobiler för den här typen av spionprogram och sårbarheter. Citizen Lab som jag nämnde ovan tycker jag är jättebra, de samlar in data från aktivistnätverk runt om i världen (de har bland annat kollat mina enheter två gånger bara i år) och skickar sedan bland annat sina fynd till Apple och Google som använder informationen för att säkra säkerhetshål i sina operativsystem. Amnesty Internationals tech-avdelning har också i många år hjälpt mängder med aktivister med sitt verktyg ”Mobile Verification Tool” som den tekniskt intresserade kan installera för att därefter scanna enheter där man är. Vi körde MVT på min tidigare arbetsgivare Civil Rights Defenders under en period och jag tycker det fungerade bra.

Min projekt-bebis just nu (dvs ett projekt jag fått förmånen att ha under mina vingar) är något som kallas PiRogue Tool Suite. PTS byggs av ett team som kretsar kring den oerhört karismatiska franska hackern Esther Onfroy, och är intressant på flera sätt. Framförallt är det väldigt enkelt att installera. JAG lyckades installera det på en Raspberry Pi som bröllopspresent till en nördvän i somras – vilket alltså gav henom en egen liten forensikstation i miniformat för under en tusenlapp. Det är också väldigt smidigt kopplat till ett systematik-backend kallat Collander där man ihop med andra kan kategorisera och analysera de hot man eventuellt hittar när man använt PTS.

Men en annan viktig fördel med PTS – där jag själv tycker att man bräcker både aktivistorienterade och kommersiella verktyg – är att man via verktygen också kan analysera avvikande datatrafik från enheterna man granskar. Många appar vi använder är kanske inte defacto /spionprogram/ men de /spionerar/ fortfarande på oss, vilket jag ju nämnde senaste i förra nyhetsbrevet. Att veta vilken data apparna samlar in och var den skickas borde vara viktigare än det ofta kan upplevas som.

Esther och PiRogue samarbetar därför sedan några år med dataskyddsorganisationer (och i vissa fall -myndigheter!) för att granska hur användardata läcks och utnyttjas. Exempel på sådana fynd kan läsas om i en rapport från dataskyddsorganisationen NYOB, där de beskriver hur data från flera i Frankrike vanliga konsumentappar (bland annat en mäklarapp och en träningsapp) utan att meddela användare samlas in och säljs vidare till datahälare som gör storkosing på vår privata information.

Nåväl, jag kommer säkerligen få anledning att återkomma till temat spionprogram – men glöm inte att även rekorderliga medborgare som du och jag kan ha något att värna, helt utan att ha orent mjöl i sin digitala påse.