Blog

Jag skrev i förra nyhetsbrevet om gripandet av Telegrams VD Pavel Durov. Han är i skrivande stund tydligen fri mot borgen men Telegram är fortfarande ett bra exempel på hur man populariserar en shady kommunikationsplattform, vilket också Kalle Kniivilä beskriver väl i artikeln ”Detta vet vi om Telegram och tjänstens gåtfulle grundare” där jag också intervjuas högst kort.

Jag fick en del mothugg på min förra post, främst utifrån perspektivet att gripandet är problematiskt pga Durov ställs till svars för vad användarna på plattformen gör. Det skulle på något sätt vara ett inlägg i debatten om plattformars ansvar och yttrandefrihet på internet. Den frågeställningen menar jag baseras på felaktiga antaganden. Vill man agera ”rätt” eller göra en ”bra” meddelandetjänst är ett förslag att vara allt som Telegram inte är.

Att plattformsansvar och stora techbolags agerande emellanåt (i vissa fall ofta) är komplicerat är sant. Men de flesta stora bolag och aktörer anstränger sig ändå för att agera 1/ i enlighet med rådande lagstiftning och 2/ tillräckligt transparent för att man ska förstå deras utmaningar. Telegram gör inget av detta. För att påvisa några exempel följer jag logiken i den spänstiga bloggposten ”Keep Pavel Durov locked up”:

1/ Telegram har aktivt valt att inte samarbeta med barnskyddsorganisationer. Till skillnad från alla andra större sociala nätverk vägrar man ha dialog med såväl statliga som ideella rapportmekanismer som analyserar fall av trafficking eller övergreppsmaterial som innefattar barn.

2/ Telegram har valt att inte vara med i TakeItDown, en koalition av socialamedieföretag som samarbetar mot så kallad ”hämnd-porr” – dvs privat pornografiskt material som läggs upp utan samtycke.

3/ Trots att man säger att man är en sk ”säker” plattform har Telegram aldrig deltagit i ”Internet Engineer Task Force” (IETF) där experter från olika organisationer och företag säkerställer att de krypteringsstandarder som rullas ut är säkra på riktigt. Telegram har aldrig varit representerat.

4/ Telegrams kryptering är hemmabyggd och inte transparent. Man vägrar aktivt open-sourca den och har inte genomfört några öppet tillgängliga säkerhetsgenomlysningar. Alla säkerhetsgenomlysningar har fått göras antingen på begränsade delar av kryptot eller som del av en ”adversary audit” (dvs en genomlysning utan upphovspersonernas medverkan).

Angående krypteringen – jag har letat efter fler och mer ingående källor men den här rapporten tycker jag är tillgänglig nog och beskriver problemet väl. I korta ordalag beskriver man en del sårbarheter man hittat i olika versioner av Telegram och dess MTProto-krypto, och sammanfattar det med:

“Don’t roll your own crypto” is a common mantra issued when a cryptographic vulnerability is found in some protocol.

För visst kan det locka att hitta på en egen kryptografisk lösning pga anledning. Man kanske är väldigt påhittig eller paranoid. Eller så vill man bygga in bakdörrar av något slags anledning, exempelvis för personlig vinning eller åt en säkerhetstjänst. Oavsett är en egen lösning sällan genomlyst eller betrodd – och man går då också miste om alla de lärdomar och erfarenheter som det samlade krypto-communityt redan gått igenom.

Och utan transparens och öppenhet är det omöjligt för säkerhetsanalytiker att skärskåda koden och därmed också svårt att göra något slags välunderbyggd tolkning av huruvida tekniken faktiskt är trygg och säker.

Ett exempel på det sistnämnda är att Signals krypteringsprotokoll (smidigt nog kallat Signal Protocol) alltid varit open source, och med tiden också implementerats i exvis alla Metas meddelandetjänster (Messenger, WhatsApp och Instagram DM) och i Googles Messages-tjänst. Det innebär dels att en uppdatering i protokollet gör användare över alla plattformar säkrare, och dels att protokollets säkerhet garanteras både av nördarna i Signal och jättarna i Meta och Google.

En av mina absolut underligaste professionella upplevelser fick jag när jag reste till Oslo för att delta i Oslo Freedom Forum för några år sedan. Jag åkte dit för att träffa aktivister och navigera nygamla människorättsproblem, men allra mest förvånad var jag över hur djupt insyltat eventet var i den libertarianska rörelsen för ”Financial Freedom”.

Alla deltagare fick i goodiebagen en voucher värd en dollar på en ny kryptoexchange de sponsrades av, några 3D-printade BitCoin-loggor och en BitCoin-stämpel (se bild nedan). Från scenen predikades kryptovalutornas lov inför rika och lite förvirrade filantroper och på kvällen blev jag kidnappad till en fest med crypto-bros där man tömde en av Oslos krogar på dricka och drog det på något slags magiskt krypto-kort.

Det här skedde i samma veva som det fanns en rätt högljudd diskussion i civilsamhället om hur man bäst skulle kunna skicka pengar till aktörer som antingen fanns i länder där bankväsendet inte riktigt fungerade eller som fanns på något slags svartlista hos det lokala (och därmed internationella) bankväsendet. Kunde man kanske använda kryptovalutor?

Det enkla svaret var då och är fortfarande att det inte är så enkelt som det låter att skicka pengar via krypto. Det finns ett antal utmaningar som gör att det inte är helt lämpligt – särskilt inte till motparter som finns i länder i konflikt eller oro. Den helt uppenbara utmaningen är att det fortfarande är svårt att köpa bröd för BitCoins. Utväxling från krypto till det som brukar kallas ”Fiat-valuta” (det vill säga riktiga pengar) är svårare än man tror, innebär ofta stora förluster och är på många håll kopplat till skumrask som riskerar försätta motparten i ännu större problem. Krypto är en spekulationsvaluta, inte något man kan leva av – allra minst i en krissituation.

Dessutom ska man minnas att den finansiella ”friheten” som crypto-bros så gärna lyfter främst bygger på en frihet från statlig kontroll. Genom att främja krypto menar man att man kringgår statens vakande öga och därigenom ökar sin egen frihet. Samtidigt tycker jag att det finns en poäng med den regulativa överblick som finns över bankväsendet, och väljer man medvetet bort den så dyker snart andra problem upp.

Det finns otaliga exempel på kryptoexchanges det gått riktigt dåligt för. Den största nyheten var länge FTX uppgång och fall. FTX var världens tredje största exchange när den 2022 kollapsade efter att deras VD försnillat åtta miljarder dollar av sina kunders pengar. Ganska nyligen genomförde FBI, tyska polisen och amerikanska skattemyndigheter en omfattade razzia mot exchangen Cryptonator som anklagas för att ha skyfflat krypto värt över sjuttio miljoner dollar mellan kunder som finns på internationella sanktionslistor, över femtio miljoner dollar från hackade konton, tjugofem miljoner dollar från darknet-handelsplatser och nästan tio miljoner dollar från ransomware-utpressningar.

Och häromdagen kom nyheten att exchangen Binance stängt ner konton kopplade till palestinska organisationer. Enligt Middle East Monitor har Israeliska myndigheter hört av sig och begärt nedstängning av ett antal konton. Binance VD förnekar att de agerar på myndigheters kommando (vilket förstås är ett av säljen för den finansiella friheten de saluför!) men enligt CoinTribune så har 190 av Binance konton stängts ner sedan 2021 eftersom de bedömts vara kopplade till terrorgrupper.

Man kan ha åsikter om ovanstående. Själv tycker jag att det är rimligt att stänga ner terror-kopplade konton, stänga ner verksamheter där VD:n super bort kundernas förmögenheter och att slå till mot digitala hälare som lever på avkastningen av bedrägerier.

Men huvudpoängen jag fortsatt framhåller är att det inte är en bra idé att skicka pengar via krypto. Den finansiella friheten från myndigheter och internationella bankväsendet är en chimär, eftersom man istället lätt hamnar i händerna på skojare som godtyckligt leker bort det ansvar de hävdar att de tar.

Och mässandet på eventet i Oslo? Ja min gissning är fortfarande att det helt enkelt var en scam-variant där arrangörerna ville få investeringar till kryptovalutan de själva hade lagt pengar på. Antingen att de ägde kryptoexchangen de rekommenderade eller att de hoppades på att kursen skulle gå upp om filantroperna dängde in sina förmögenheter däri.

Snyggt maskerat som mänskliga rättigheter förstås, ni hycklare där.

Antologin ”AI och makten över besluten” som jag skrivit ett kapitel i verkar ha landat väl. Flera kommuner har köpt in större partier av boken, och första upplagan är vad jag förstått näst intill slutsåld.

Under sommaren skrev jag och ett antal av antologins författare på DN Debatt under rubriken ”Sverige måste återta makten över algoritmerna”.

Vi inleder:

Livsavgörande beslut har närmast rutinartat automatiserats. Beslut om boende, försörjningsstöd, vård och ­arbetsförmåga lämnas till automatiserade algoritmer. Ofta är det helt omöjligt för den enskilde att få veta hur beslutet har fattats och på vilka grunder.

Det riskerar att undergräva offentlig­hetsprincipen och möjligheten att överklaga beslut och förstå på vilka grunder de tas. Det offentliga Sverige lyckas inte kombinera rättssäkerhet, öppenhet och teknikutveckling och då riskerar demokratin att bli en svart låda som ingen litar på.

Och beskriver därefter en del exempel på de utmaningar vi sett och ser. Det är exempel såväl från Nederländerna som från Göteborg, och jag tror att de är breda men tydliga nog för att man ska kunna förstå att det här finns något som måste lösas.

Mot slutet levererar vi också tre krav (eller i varje fall pekpinnar):

Nu krävs demokratiskt inflytande över teknik som AI. För att kunna gå vidare mot ett hållbart införande av AI i offentlig sektor har vi tre konkreta förslag:

1. Insyn och transparens. Vårt demokratiska system bygger på att medborgare, tillsynsmyndigheter och medier kan granska och ifrågasätta offentliga beslut. Vi är i Sverige ofta stolta över vår offentlighetsprincip, men den fungerar i dag inte vid automatiserade beslut.

2.Självständighet. Offentlig sektor måste vara en ledande innovatör och kompetent beställare inom digital utveckling, inte en passiv kund. När kommuner och regioner utvecklar egna modeller slipper de fastna i kommersiella modeller och upphandlingar med tveksamma villkor. Lösningarna kräver egen förmåga till utveckling eller stärkt beställar- och tillsyns­kompetens.

3.Staten behöver kliva fram. Reglering och incitament behöver ses över. Stärkt insyn genom tillsyn och revision är centrala redskap för att säkra en korrekt AI-användning i förvaltningens arbete.

Läs gärna hela debattartikeln – och beställ om du är intresserad också boken!

Ny termin och ny vända med tjänsteresor för mig och vissa andra. Låt mig inleda med en pinsam personlig anekdot.

Våren 2014 hade jag precis börjat jobba på Sida. Min första tjänsteresa närmade sig – målet var Mozambique. Smart som jag själv tyckte att jag var hade jag bokat ett nattflyg och hade inte tänkt arbeta. Av någon så här i efterhand outgrundlig anledning packade jag därför ner min jobbdator i det incheckade bagaget. När planet landade och jag kommit fram till hotellet märkte jag att datorn var borta.

Pinsamt, verkligen. Men också potentiellt verksamhetsfarligt. Rådig som jag var ringde jag IT-avdelningen i Stockholm och återställde alla mina login så att den som eventuellt lyckats låsa upp den stulna datorn möttes av nyheten att man på sin höjd fått något lika funktionellt som ett nytt bokstöd. Men ändå, det skulle kunnat sluta illa.

Via briljanta The Grugq får jag också en påminnelse om något jag redan sedan länge haft i bakhuvudet men som jag hoppas kunna programmera in hos fler – lita inte på de säkerhetsskåp som hotellen tillhandahåller. Hans nyliga varning kommer med en kul liten inledande twist.

Varje sommar arrangeras i Las Vegas något som jag tror är världens största hackerkonferens, DefCon. Staden invaderas under ett par dagar av över 30000 säkerhetsintresserade techies. För att upprätthålla någon känsla av digital trygghet har hotellen därför gått ut med information till sina gäster att hålla utkik efter tekniska pryttlar som verkar misstänksamma. Man kan ju inte lita på hackers.

Samtidigt drar sig The Grugq till minnes en episod som inträffade för tio år sedan. Han hade checkat in på ett hotell, skulle ut en sväng och lämnade sina värdesaker i hotellets säkerhetsskåp. Eftersom han Tar Säkerheten På Allvar gillrade han en fälla och tog ett kort på hur han lämnat sina grejer.

Tänk er förvåningen när han återkom och säkerhetsskåpet möblerats om!

Det KAN ju ha varit en väldigt lokal jordbävning som enbart berört det lilla brevlådestora säkerhetsskåpet. En sådan skulle kunnat förklara varför datorn flyttats till höger, USB-minnets vridits åt vänster, och hans olika nätverksmojänger glidit ut åt sidorna. ELLER så är det helt enkelt så att hotellen faktiskt har tillgång till huvudkoderna för sina egna säkerhetsskåp. No shit, Sherlock.

Här följer några tips på hur du kan göra din hotellvistelse säkrare:

Anta att rätt många personer utöver dig själv har tillgång till ditt rum (och säkerhetsskåpet). När jag reste till London förra veckan hade hotellet den oerhört irriterande ovanan att gå in och bädda min säng trots att jag hängt ut en stör ej-skylt. De var också inne och lämnade små erbjudanden på sängen, reklamblad och kvällstidningar. Alla gånger kom jag tillbaka till en dörr som inte var ordentligt stängd eftersom låset kärvade.

Ta med dig värdesaker (och enheter) när du lämnar rummet. Har du för många prylar med dig för att kunna göra detta har du packat för tungt. Jag packar ofta minimalt och går enligt devisen ”pass, pengar, pillet” plus en plaptop. Det är det enda av värde jag har med mig utöver kläder och snask. De fyra p:na tar jag med mig i en ryggsäck eller tygkasse var jag än går.

Jag har dessutom fördelen att alltid resa med en Chromebook. De finns i många varianter men är generellt en väldigt bra resedator. Dels väger de inte så mycket (särskilt inte Pixelbook-modellerna), och dels är de väldigt lätta att nollställa. Eftersom de arbetar mot Googles moln så har de begränsningen att de fungerar bäst där det finns internet, men å andra sidan finns det absolut inget av värde på den fysiska datorn.

Är man orolig för att någon rör sig på ens rum när du inte är där kan man ta till olika strategier. Man kan lägga saker tillrätta på ett visst sätt och ta före- och efter-bilder. Man kan göra bilderna ännu säkrare genom att exvis sprida ut mynt eller annat smått och gott lite slumpmässigt. Eller så kan man göra tvärtom – väldigt medvetet sätta ut saker som man sedan kan verifiera. Koppar där man vänder öronen i särskilda kompassriktningar är överkurs för den nördige.

(The Grugq berättar också om att hans vän kommit tillbaka till sitt rum och där stött på två kostymklädda män som genast lämnat rummet med orden ”allt ser OK ut här, sir”. Det låter som en dålig story men när jag för ett antal år sedan var i Haag så rapporterade flera aktivister på cybersäkerhetskonferensen jag var på ungefär samma sak.

Konferensen var på samma hotell som deltagarna bodde på, och eftersom aktivister emellanåt är notoriskt dåliga på arbetsmoral hade några tagit sovmorgon. Lagom till att paneler börjat och man därför hade kunnat anta att publiken skulle vara på plats (och hotellrummen därmed tomma) hade flera deltagare plötsligt vaknat av att säkerhetspersonal kommit in på rummen ”för inspektion”.

Eftersom flera deltagare var aktivister som haft riktigt dåliga upplevelser av säkerhetstjänster osv blev det här en stor snackis på konferensen.)

Chat-tjänsten Telegrams VD Pavel Durov greps sent i förra veckan i Frankrike. Enligt TF1 ska han ha gripits när han (mellan)landat på en fransk flygplats, något som tydligen flaggat den häktningsorder som funnits utfärdad på honom för medhjälp till bland terrorbrott, droghandel, bedrägeri och spridning av övergreppsmaterial på barn.

Det är förvisso orimligt att med den typen av svepande ordalag lägga ett rättsligt ansvar på såväl en ägare av en plattform som plattformen i sig, men överlag tycker jag gripandet i sig är rätt ointressant förutom av ett skäl – det ger oss en anledning att återigen prata om Telegrams användarsäkerhet.

Trots att Telegram ofta framställs som en ”säker chat-tjänst” och själva hävdar att den är krypterad så finns det en lång rad frågor om Telegrams egentliga säkerhet. Jag har i tidigare intervjuer lyft några av dem:

”Telegram samlar in onödigt mycket information från användares enheter” … ”Det finns program att ladda ner med vilka man med skrämmande hög precision kan positionera enskilda användare av Telegram baserat på de platstjänster appen både samlar in och läcker”, sa jag exempelvis till Ny Teknik i mars 2022 (här med citat befriade av Dagens PS).

Och i en längre förklarande (och väldigt bra!) artikel av Kalle Kniivilä som ursprungligen publicerats i Sydsvenskan får jag chansen att också utveckla en viktig del av min kritik:

”Väldigt lite [kring Telegram] är verifierat, det har inte gjorts några oberoende genomlysningar av koden” … ”Vi vet inte hur metadata hanteras på Telegram, det finns inga transparensrapporter som alla större, seriösa plattformar har i dag”, noterade jag där – men glömde att tillägga att det också gäller krypteringen.

Och det är bland annat där skon klämmer allra mest. Telegram skryter själva med att man använder sig av superstark kryptering och har till och med utfärdat en belöning till den som lyckas dekryptera Telegram-meddelanden. Fair enough. Men det finns stora brister i hur man hanterar sin variant av kryptering.

Utan oberoende genomlysningar av Telegrams kod finns det inget sätt för användare att veta om påståendet om ”256-bitars symmetrisk AES-kryptering ovanpå 2048-bitars RSA-kryptering med en Diffie-Hellman nyckelutväxling” faktiskt stämmer. Det LÅTER bra, men ÄR det bra? Oklart.

Telegrams påstådda kryptering är dessutom inte på per automatik, utan bara i deras 1-1 ”secure chats”. För att skapa påstått krypterade chattar måste man komma ihåg att kryptering är bra och därefter klicka sig fram fyra gånger i appen. Dessutom kan den påstådda krypteringen bara slås på om motparten är samtidigt online, vilket begränsar säkerheten ytterligare. Gruppchattar går inte alls att kryptera.

Hemlighetsmakeriet och oviljan att i praktiken faktiskt kryptera sin tjänst (samtidigt som man saluför den som ”encrypted messaging”) – parallellt med att det är en av få appar som hävdas vara säkra som är tillåtna och till och med uppmuntrade att användas i Ryssland tycker jag är oerhört anmärkningsvärt.

”Själv är jag lite orolig om myndigheter som vi vet har hög förmåga till övervakning låter en tjänst vara i gång. Det är ett varningstecken”, som Kalle Kniivilä avslutar sin artikel (länkad ovan).

För allt vi vet så kan rysk säkerhetstjänst ha full tillgång till hela Telegram. Eftersom det inte finns någon oberoende insyn i något kring företaget så finns ingen som kan verifiera varken det ena eller andra. Fransk polis vill dessutom lagföra Durov för så allvarliga anklagelser att i varje fall jag skulle anta att de gärna skulle sätta händerna i kryptonycklarna till tjänsten för att få bättre insyn i alla brott man hävdar pågår där.

Kan det bli en byteshandel mellan rättsvårdande myndigheter och Durov? Vem vet?

Det finns helt enkelt inga garantier alls i fallet Telegram – och därför finns inte heller någon rimlig anledning att använda appen.

Förra veckan satt jag i ett långt möte med företrädare för det krypterade ”darknets” mest välkända aktörer The Tor Project och det anonymiserade operativsystemet Tails. Exakt om vad är i sammanhanget inte helt relevant men jag fick snabbt en flashback tio år tillbaka, då jag i flera tidningar fick förklara vikten av att använda biståndspengar till att finansiera The Tor Projects arbete för ett fritt, öppet och säkert internet. Höjdpunkten kom när jag i TV4 Nyhetsmorgon till programledarnas uppenbara förvirring försökte illustrera hur Tor _egentligen_ fungerar:

Mest tid la jag tyvärr på att förklara ungefär att ”ja, tyvärr använder också knarklangare/lönnmördare/pedofiler Tor men det är TROTS DET en viktig tjänst för att människor som faktiskt behöver anonymitet ska kunna surfa säkert”. Jag sa då – i början av 2010-talet – varianter av det till bland annat SVT, DN och SR. SR-programmet ”I lagens namn” är faktiskt värt att lyssna på än idag, men det här citatet känns väldigt tematiskt illustrativt:

– I miljöer där vi jobbar, där sätter folk sina liv på spel för att kunna prata fritt eller för att kunna organisera sig och då hänger hela deras verksamhet och existens på att de har en säker teknik att använda och då är krypteringsverktyget Tor himla, himla viktigt för dem, säger Marcin de Kaminski på Sida.

Poängen var att hjälpa frihetskämpar i diktaturer gå runt censuren och kommunicera säkert. Men inte bara frihetskämpar använder Tor.

– Jag har alltid haft ett genuint intresse av datorer och på senare år har jag rökt mycket cannabis också, så jag slog bara ihop de två flugor i en smäll, säger Jonas.

Den här mannen var en av Sveriges största langare på den kriminella marknadsplatsen Silk Road. I skydd av Tor.

Man skulle ju kunna vilja tro att samtiden lärde sig något av tidigare diskussioner, men så tycks inte vara fallet. Jag har ju i tidigare nyhetsbrev beskrivit hur polisen gång efter annan baktalar appar som Signal som bygger på en tillförlitlig fullsträckskryptering. Och nu verkar samtalet växla upp.

I DN häromdagen uttalar sig Håkan Wall, enhetschef på Internationella enheten på polisens Nationella operativa avdelning (Noa), om de europeiska polismyndigheternas samlade kampanj för att få tillgång till bakdörrar i krypterad teknik. Där argumentet för tio år sedan var knarkhandel på internet är det nu att det är enda sättet att få stopp på gängkriminaliteten.

– Det som överskuggar allt är att rättsväsendet, inte bara i Europa utan i hela världen, måste få tillgång till krypterad information. Det är extremt viktigt för vi måste få tillgång till gängens kommunikation. Det är en ödesfråga.

Wall menar att det handlar om ett större samarbete där ett ansvar måste läggas på techbolagen bakom applikationerna.

– Det kan inte vara så att de erbjuder lösningar så att rättsväsendet inte kommer åt informationen, och i vissa bolag inte ens de själva.

Det är verkligen superknäppt att vi behöver diskutera det här igen. I en tid när stora delar av tech-kapitalismen helt lever på användardata blir kryptering och dataskydd en viktig sälj-pitch för att kunder ska välja en lösning. Om en säker plattform eller app plötsligt tvingas försämra sin kryptering kommer användare också välja bort den. Att därför som Håkan Wall kräva att bolag ska ge polisen en ”supernyckel” som låser upp all information är så himla naivt. Det är helt enkelt inte möjligt, och inte heller önskvärt.

Min gissning är att polisen först och främst hoppas att stora tech-bolag som Apple och Meta – vars iMessage resp Messenger numera är starkt fullsträckskrypterade – ska krypa till korset, för att sedan mindre aktörer som Signal och andra krypto-appar ska följa efter. Kanske vill man också ge sig på VPN-leverantörer av olika slag. Varför någon överhuvudtaget frivilligt ska försämra sin funktionalitet och försätta sina användare i risk och fara är för mig obegripligt.

Det här är inte första gången polisen går till angrepp mot krypterade lösningar. Som jag nämnde inledningsvis genomled jag den förra offensiven för tio år sedan, men problemet är återkommande sedan ännu längre tid. På engelska används begreppet ”crypto wars” för att beskriva rättsväsendet återkommande krig mot digital kryptering.

Det ursprungliga kryptokriget pågick under större delar av 90-talet, då amerikansk polis envist försökte få till bakdörrar och svagare kryptering för att lättare kunna ta del av vad som skrev på internet. Det som skedde på 10-talet kallades av säkerhetsikonen Bruce Schneier för ”Crypto wars II” och internetideologen Cory Doctorow för ”Crypto wars redux”.

Nu känns det som att kryptokriget åter är tillbaka.

Att ha en duglig VPN är helt avgörande av många olika anledningar. Det är bra att ha om man planerar att ansluta till ett offentligt trådlöst internet (tex på en flygplats), eller om man är orolig för att någon snokar på ens uppkoppling (tex om man vill fildela eller göra något annat spännande). Men det kan också finnas andra användningsområden.

I Kenya pågår nu sedan en veckan tillbaka stora protester mot vad som uppfattas som extrema skattehöjningar som främst slår mot dem som har minst pengar att röra sig med. Regeringen satte in militär mot sin egen befolkning och häromdagen dödades en nittonåring som deltog i protesterna. Som ett led i kraftsamlingen mot protesterna har regeringen via sin kontroll över de statliga telekombolagen över hela landet blockerat användandet av flera populära sociala medier. Tanken har säkerligen varit att göra det svårare för demonstranter att organisera sig.

För att komma runt blockeringen av sociala medier verkar många börjat använda sig av VPN:er. I praktiken innebär det att de från sin mobil eller dator via en krypterad tunnel först surfar till en säker server i ett annat land innan de studsar tillbaka till det kenyanska nätet. På så sätt spelar det ingen roll vilka begränsningar de kenyanska telekombolagen lägger på sina nät, eftersom användarna enkelt kringgår det.

På Open Technology Fund finansierar vi en hel del VPN-utveckling och distribution. Minst 40 miljoner internetanvändare varje månad kopplar upp sig via en VPN som OTF betalar för. Och de flesta säkra VPN-lösningarna som finns baserar sina lösningar på teknik där vi finansierat utvecklingen. En av de VPN-leverantörer vi arbetar med gav mig den här grafiken som visar hur användandet i Kenya skjuter i höjden:

Vi jobbar hårt med ”våra” VPN-leverantörer för att säkerställa att de når fram dit det behövs. Mest fokus har vi på användare i Ryssland, Kina och Iran – men även andra länder täcks via våra pengar.

Vill man ha en bra VPN som normalkonsument kan det vara svårt att välja. Många VPN-leverantörer lovar guld och gröna skogar. Mina huvudtips brukar vara att man ska a) undvika gratis-lösningar och b) lägga lite tid på att välja en riktigt bra leverantör. Mitt stalltips är sedan en tid tillbaka Mullvad – en prisvärd och trygg VPN som verkligen värnar om sina användare.

För sex år sedan gjorde jag en liten rolig video ihop med Teres Raymond från kampanjen Digital Delaktighet (Digidel) och Kjell ”Kjelleman” Eriksson. Jag hade precis varit på Kista bibliotek och pratat om övervakning i Azerbajdzjan när jag blev ombedd att hosta upp tre tips för digital säkerhet som skulle vara lätta att begripa och hyggligt lätta att följa.

Nyligen dök videon upp i något slags minnesfunktion på Facebook. Lite ironiskt, eftersom tips ett är att testa att låta bli Facebook och istället använda Signal för att hålla kontakten med dina vänner.

Tipsen jag delar med mig av till något slags Benny Hill-musik är:

1. Använd inte bara stora plattformar för att hålla kontakten med dina vänner. De läcker ofta data som ett såll och det kan därför vara bra att blanda upp det lite med andra med integritetsvurmande appar och plattformar – typ Signal.
2. Om du nu vill använda någon av de stora plattformarna, gör det till en vana att se över dina integritetsinställningar. Nu för tiden har plattformar som Facebook, Google och kanske till och med X hyggligt bra inställningar för att exvis låsa ner sin information eller säkerställa att man vet vem som kan se det man skriver.
3. Tappa inte bort din dator eller mobil – extra viktigt i semestertider. Eftersom vi idag lever med hela våra liv på mobilen i fickan är det oerhört viktigt att hålla koll på sina enheter så de inte hamnar i orätta händer.

Standardtips kanske, men det skadar aldrig med en påminnelse. Och dessutom en rätt lustig video, inte sant?

Ibland måste jag lära mig att hålla koll på trigger-fingret. Jag publicerade förra veckans nyhetsbrev på en torsdag, och skrev då bland annat om filmen ”Hacking Hate” om den grävande journalisten My Vingren som följdes av Simon Klose med team när hon jagade de virala nät-nazisterna och ställde plattformar till svars för profiten de gjorde på högerextremt innehåll. Dagen efter, på fredagen, vann filmen pris i Tribeca för bästa dokumentär. Vilken grej!

Juryns motivering är inte dålig:

“The documentary jury awards a film that bravely and fearlessly investigates the misuse of the internet to encourage hate and bias by allowing media giants to profit and foster the continuation of the outrage. On trial are first amendment freedoms that have been violated for profit.”

Och i sitt tack-tal poängterade även Simon vilka viktiga värden som står på spel:

– I am extremely grateful to receive this award right now, in this critical moment when journalism, freedom of expression and democracy are threatened. I think we need to hold tech platforms accountable for reinforcing and profiting from right-wing extremism and thus helping right-wing populist parties gain ground all over the world.

Det är verkligen jätteroligt. Och inte minst är det väldigt timely. Ungefär samtidigt kom nämligen också det kanske lite oväntade beskedet att USA terrorstämplar Nordiska Motståndsrörelsen, NMR. Att NMR är hårdföra nazister är väl klart för de flesta, men att USA terrorklassat dem – med tre personer dessutom personligt namngivna – höjer verkligen insatserna för alla inblandade. Det amerikanska memot är väldigt tydligt formulerat och CNN har också en förklarande artikel publicerad.

Vad jag förstår var det som till slut på att fick bägaren att rinna över att NMR flyttat sin uthängningshemsida till ett amerikanskt webhotell. Sidan har blivit nedstängd i land efter land eftersom den helt utan grund hänger ut enskilda individer och deras familjer, fabricerar anklagelser mot dem och uppmuntrar till våldsamma handlingar. När sidan till slut landade på amerikansk digital mark slog snaran till. Nu blir det väldigt svårt för de tre namngivna personerna men troligtvis också för andra personer som formellt kopplats till NMR. Mathias Wåg skriver bra om det här i ETC – och ger där också läsaren också en väldigt viktig historielektion för att man ska förstå allvaret i NMR:s verksamhet.

Det är för mig oklart om det är relaterat, men som av en händelse försvann en av de personer som namngivits från X ungefär samtidigt som nyheten kom:

Det fick mig att förstå att det framöver också troligtvis kommer bli svettigt för NMR och deras kumpaner online. Amerikanska nättjänster kommer inte vara tillgängliga för dem att använda och plattformarna kommer inte kunna erbjuda dem konton. Även banker, flygbolag och andra bolag kommer väl antagligen behöva stänga sina dörrar för nazisterna. Eller som Mathias Wåg skriver i artikeln jag länkar ovan:

Terrorklassningen innebär sanktioner för Nordiska motståndsrörelsen och de tre ledarna. De kommer inte kunna göra ekonomiska transaktioner med amerikanska medborgare och företag eller inneha egendom i USA. Den första märkbara effekten kommer bli att flera nätplattformar kommer avsluta alla tjänster NMR använder sig av. En mer långtgående effekt blir att NMR nu kommer att behandlas som internationell hotaktör i underrättelsesammanhang, vilket kommer att skärpa bland annat säkerhetstjänstens behandling av dem även i Sverige.

Att terrorklassningen kom samtidigt som Hacking Hate fick ta emot ett prestigefyllt pris är förstås bara en slump. Men erkänn, en rätt fin slump?

När Elon Musk köpte upp Twitter och oväntat fort stöpte om det till X gjorde jag en rad utspel. De flesta handlade om att ett av Musks första drag var att lägga ner det insynsråd – Trust & Safety Council – som jag som ende svensk var del av. Jag kallade det bland annat en ”allvarlig förtroendeskada” att man inte tog mänskliga rättigheter på allvar:

”Framtiden för Twitter som en trygg och säker plattform för alla är mer osäker än någonsin. Det är uppenbart att Twitter under Musks ledning vill göra sig av med kritiker. Nedläggningen av rådet innebär en allvarlig förtroendeskada för Twitter, i en tid när tilliten för de stora plattformarnas engagemang för yttrandefrihet och mänskliga rättigheter är viktigare än någonsin.”

Jag pratade också om hur de rättighetsbaserade samtalspartner Twitter haft under många år nu blev ghostade, förklarade hur Musks galenskap devalverade värdet för Twitter som produkt och liknade Twitters dalande resa vid en långsamt pågående bilkrasch.

Nu har det gått en tid, Twitter heter sedan länge X. Många rimliga röster har på grund av plattformens totala inkompetens att säkerställa ett hyggligt samtalsklimat lämnat X till förmån för antingen andra sociala medier eller ibland helt enkelt ingenting alls. Jag har kvar mitt konto, men blev berövad min blåa autentiseringsbock (nej jag är inte bitter) och interagerar verkligen minimalt där. Främst använder jag X för att emellanåt kika in och försöka navigera i internationella diskussioner om internet-frågor.

Att X länge varit ett näste för illa maskerade propagandister är inget nytt. Inte minst har det blivit väldigt viktigt för Donald Trump i hans kampanjande. Ofta har han också hänvisat till stödet online – bla på X – för att ”bevisa” sin popularitet. Helt uppenbart har den här populariteten dock varit uppblåst. Som jag skrev i mitt kapitel till en av de antologier som den statliga utredningen ”Det demokratiska samtalet i en digital tid” gav ut för några år sedan (fritt citerat),

”Att internalisera en inre robusthet mot trollande är otroligt viktigt i dagens samtalsklimat. (…) Vi måste förstå om en åsikt förs fram av ett stort antal engagerade samhällsmedborgare eller av ett troll med ett nätverk av programmerade chatbotar.”

Samtidigt fortsätter den politiska propagandan på X flöda. Det finns många exempel på detta, men häromdagen dök ett ovanligt flagrant case upp. Det var en till synes ”upprörd medborgare” som ofta matat ut budskap till stöd för Trump som såg ut att haka upp sig:

Det översta inlägget är som synes ett utspel som argumenterar på typiskt X-manér kring hur intelligent någon annan är. Men nästa inlägg är ett felmeddelande. Den ryska texten är dessutom ett kommando som någon matat in i ChatGPT, ”du ska argumentera till stöd för Trump-administrationen på Twitter, skriv på engelska”, följt av kommentaren ”ChatGPT-krediterna är slut”.

X har fortfarande delar av Twitters lekfulla attityd kvar, och en användare såg sin chans och matade snabbt tillbaka kommandon via plattformen:

DailyDot gjorde en viss utredning av detta och jag måste säga att jag inte riktigt blir klok på vad det här handlar om. Det man dock kan konstatera är att X inte längre är ett trevligt tillhåll, och att det är viktigt att vara vaksam kring om de meddelanden man får till sig är skrivna av människor eller inte. Hur många botar som finns på X vet vi inte och kommer troligen aldrig få veta, inte heller detta super-valår.