Kategori: Uncategorized

Jag jobbar mest på min kammare, men ibland beträder jag människobyn på ett eller annat sätt. Under november fick jag möjlighet att besöka Internetdagarna 2024 – sedan Covid snyggt digital paketerat som ett contentpaket för den som vill lära sig mer om internet eller hänga med i de senaste heta frågorna.

I ett seminarium arrangerat av Unionen och ett annat av Paulina Modlitba (som skriver ett regelbundet och riktigt intressant nyhetsbrev, hon med!) fick jag göra inspel från min horisont ang hot och risker kring den skenande ”AI”-utvecklingen. Jag tycker verkligen det var superbra samtal, och för den som köpt biljett kan man se dem i efterhand.

Jag fick också äran att vara lite posterboy för Internetstiftelsens slutfilm, vilket förstås känns lika delar skämmigt och hedrande:

Vidare har jag också föreläst om ”AI” under rubriken ”Etik, Integritet och Demokrati” för 250 bibliotekarier från sex svenska regioner. Det var verkligen spännande, och när jag satt med i eftersnacket med en lite mindre grupp var det tydligt att man i biblioteksvärlden verkligen både är på hugget och samtidigt oroad.

Framförallt förstår jag det som att biblioteken på många sätt är ett slags sista samhällsutpost där medborgare kan få stöd med en uppsjö tjänster som man kan behöva hjälp med. Det är förstås inte meningen att biblioteken ska vara digitala supportcenter när folk behöver boka en betala sina räkningar eller boka en vårdcentralstid – men var går man annars när bankkontoren stänger kontanthanteringen och vården hänvisar patienter till 1177 utan att ta hänsyn till om folk verkligen vågar, vill eller kan hantera rätt komplexa digitala plattformar?

Jag har också fått väldigt mycket frågor om The Pirate Bay på senaste tiden. Den som vet den vet att jag var djupt engagerad i Piratbyrån när det begav sig på 00-talet. Ett av de sidoprojekt vi startade som en liten experimentell verkstad för oss och våra vänner var The Pirate Bay, som ju – vilket jag antar inte är okänt – exploderade och blev världens största fildelningssite.

Nu sänder SVT på Play spelserien om The Pirate Bay. Jag tycker generellt inte den är så dålig, det är ju en tydlig dramatisering. Den som var med på den tiden kan sitta och känna igen sig lite, och den som bara hört om fenomenet fildelning pga ung och/oskyldig kan lära sig en hel del. Några karaktärsmord hinner man däremot med vilket jag tycker är väldigt olyckligt och oproffsigt.

För egen del figurerar jag lite här och där genom serien, och är glad att jag fick en så himla snygg skådespelare att spela mig (och också med sådana här tidstypiskt karaktäristiska repliker):

Vill man läsa mer analyser från några av mina vänner som var med på den tiden och också syns mer i serien kan man med fördel läsa Rasmus Fleischer i Aftonbladet eller Flamman, eller lyssna på Peter Sunde i SR P1 Kultur. Även intervjun av dem båda i Torrentfreak är väldigt läsvärd.

I veckan som var reste jag till Berlin för konferensen SplinterCon. Det är en väldigt tekniskt fokuserad konferens som samlar det som brukar kallas ”researchers” – men där egentligen rätt få är akademiskt affilierade (även om även de finns, bland annat nederländska Critical Infrastructure Lab) utan man snarare ”researchar” tekniska system, plockar isär dem när de behövs och bygger nya när man stöter på problem. Det man egentligen gör är alltså att man hackar saker, i SplinterCons fall med fokus på censur och blockeringar av internet.

Några höjdpunkter tyckte jag själv var att höra mer om hur påtvingad SIM-kortsregistrering påverkar användare i mer repressiva miljöer. Registrering av SIM-kort är något som införts även i Sverige de senaste åren, då med argument kring (inte helt oväntat) vikten av att identifiera kontantkortsanvändare för att stävja den organiserade brottsligheten. Visst kan det vara ett tänkbart argument, men i andra länder används för att stävja nästan allt det vi tror att vi försvarar här i Sverige.

I forskning som vi på OTF finansierat kan vi dock läsa hur det påverkar användare i Kina. Där innebär den påtvingade registreringen med sina riktiga namn (dvs sitt elektroniska ID) att användare spåras vad de än gör på internet. Om man använder sig av appar som regeringen betraktar som tveksamma (exvis VPN-tjänster eller annat som kan erbjuda tillgång till ett fritt internet) så blir man utan pardon avstängd. Gör man något som verkar lite suspekt (exvis beställer taxi lite för ofta till samma adress eller kommunicerar orimligt mycket med någon som blivit flaggad i systemet) så får antingen man själv eller ens familj hembesök av säkerhetstjänsten som vill ”kolla läget”. Svenska politiker som föreslår att man ska behöva logga in till sociala medier med Bank-ID verkar helt missat vilken pandoras ask de gläntar på och den här helt absurda insändaren från ”bekymrad medborgare” orkar jag inte ens kommentera.

Men för att återknyta till SplinterCon så var just ovanstående grunden i ett så fint moment under konferensen. Jag hade ynnesten att lyssna in till ett samtal där experter som jobbar för att ta sig runt de här registreringskraven utbytte erfarenheter, tips och tricks.

Vi vet nämligen att diktatorer lär väldigt snabbt av varandra. Ett sådant exempel är när aktivister i Burma strax efter militärkuppen 2021 rapporterade att man noterat inkommande flyg direkt från städer i Kina där man vet att säkerhetstjänsten har sina högteknologiska verksamheter. Att rapporter därefter funnit att den burmesiska militärjuntan använder sig av kinesisk metod och infrastruktur för övervakning av sina egna medborgare är väl ingen direkt överraskning. Det är därför så oerhört viktigt att även hackers och välvilliga techies får möjlighet att lära av varandra – det är där många lösningar finns.

Att då som svensk få sitta med och höra erfarenheter från varför registrering av SIM-kort är dåligt och hur folk förlorar sina jobb för att deras helt normala internetanvändning kopplats till deras verkliga person kändes för mig oväntat stort.

Jag tyckte det var korkat när moralist-lobbyn lyckats få politiker att kräva Bank-ID för porr-siter. Mest kanske för att det känns helt orimligt att tvinga porrsugna användare att lämna ifrån sig in surfhistorik till ett privat företag (som Bank-ID alltså är), men också för att jag inte ens i min vildaste fantasi förstår hur det ska fungera. Den som någonsin sökt efter porr på internet vet hur många porr-siter det finns.

På samma sätt är det urbota korkat när man nu diskuterar en åldergräns på sociala medier. Vill vi verkligen åsiktsregistrera en hel befolkning och låta ett privat företag (som Bank-ID alltså är) att ha koll på vilka sidor vi väljer att besöka?

Jag började fnittra häromveckan när jag dessutom läste att en politiker, oklart vilken men det spelar ingen roll, på fullt allvar menade att ålderskontrollen inte skulle gälla vuxna – bara barn under femton år. Det krävs ju inte särskilt mycket eftertanke för att begripa att en sådan ålderskontroll skulle behöva ungefär som passfriheten i Schengen-området, där man ju visserligen som medborgare i ett medlemsland ska kunna resa utan pass men där man också med hjälp av ett pass måste kunna bevisa att man faktiskt hör hemma i Schengen.

I min värld finns det alldeles för många goda exempel på att användaridentifiering och -registrering är en typiskt dålig grej. Veckan i Berlin stärkte verkligen den positionen.

Jag fick en så himla fin shout-out i senaste utskicket av Deepeds nyhetsbrev, ”En handfull länkar”:

Jag hade för övrigt en idé om att veckans nyhetsbrev skulle i princip bara innehålla en länk till de Kaminskis senaste nyhetsbrev och så skulle jag reagera, iterera och tänka runt det. Så blev det inte. Men jag tycker det är värt att läsa: alla tre huvuddelar han skriver om är viktiga.

Men längre ner i Deeped nyhetsbrev fångar jag också upp en passage, där han noterar att vi som användare ofta oroar oss för fel saker när det gäller vår digitala integritet. Exempelvis, skriver Deeped, fastnar många fortfarande i antagandet att ”Facebook avlyssnar min telefon” (som alltså inte kunnat bevisas) medan vi missar att det finns FAKTISKT farliga digitala hot och risker som vi pratar alldeles för lite om. Deeped nämner bland annat Pegasus, som förstås spänner mina antenner (om det ens är ett uttryck) och gör att jag går igång.

Jag har skrivit om Pegasus flera gånger tidigare – bland annat i posten ”Ny Pegasus-explosion, återigen lite för nära”. Det är ett av de mest avancerade spionprogrammen tillgängliga på mer eller mindre öppen marknad (dvs, om man har råd) – som krängs främst till regeringar runt om i världen. Spionprogrammet används sedan för att övervaka och avlyssna politisk opposition, aktivister, granskande journalister och andra sk ”misshagliga element”.

(Public service-Marcin vill här flika in att det finns många andra spionprogram där ute också. Ett riktigt bra – dvs objektivt dåligt – exempel är Predator, som beskrivs på ett väldigt målande sätt i ett utomordentligt avsnitt av podden ”Darknet Diaries”.)

Och i takt med att spionprogrammen kryper närmare, såväl geografiskt (spionprogramsdetektiver som granskar spridningen hittar fynd i allt fler länder…) och socialt (…men också bland mer varierande nätverk av måltavlor), så krävs att fler får möjlighet att scanna sina datorer och mobiler för att förstå om deras data (och verksamhet!) är trygg och säker eller inte.

Det finns kommersiella bolag som har kapacitet att scanna efter spionprogram. Deeped nämner bland annat iVerify i sitt nyhetsbrev. De har en ”gratis-variant” som kan vara hjälpsam. Samtidigt skriver jag ”gratis-variant” lite ironiskt, eftersom det som är gratis är en scanning i månaden, via ett interface som inte är intuitivt och dessutom får man bara svar om man faktiskt är infekterad. De skriver dessutom i sin privacy policy att man via sina kakor sparar information om besökares enheter, inställningar och lite annat smått. Jag är inte imponerad.

Jag är ärligt talat tveksam till den typen av freemium-lösningar när det gäller potentiellt livsviktig cybersäkerhet. Särskilt när jag nyligen läste den här rapporten från kanadensiska spionprogramexperterna Citizen Lab, där de beskriver hur en rysk programmerare blivit intagen för ”samtal” med säkerhetstjänsten, blivit av med sin telefon och när den återlämnats funnit att det planterats spionprogramvara på den.

Nu kan man ju tycka att Ryssland är ett sär-case som inte berör en själv. Men samtidigt ska vi minnas att beslagtagande eller i varje fall kontroll av enheter är mer eller mindre rutin bland rättsvårdande myndigheter överlag numera, och i takt med att listan på länder där Pegasus och andra spionprogram upptäcks blir allt längre så tror jag att fler personer än ryska programmerare bör oroa sig för precis det här.

Jag var nyligen i kontakt med aktivister som efter en rätt ofarlig resa berättade att de i passkontrollen vid en mellanlandning i ett tredjeland blivit ombedda att lämna över sina telefoner för ”granskning” – och när de envisats med att vara närvarande vid granskningen så såg de hur mer avancerad utrustning snabbt plockades bort.

Själv ser jag just därför det som ett av mina allra viktigaste uppdrag just nu att se till att demokratisera möjligheten att undersöka enheter och mobiler för den här typen av spionprogram och sårbarheter. Citizen Lab som jag nämnde ovan tycker jag är jättebra, de samlar in data från aktivistnätverk runt om i världen (de har bland annat kollat mina enheter två gånger bara i år) och skickar sedan bland annat sina fynd till Apple och Google som använder informationen för att säkra säkerhetshål i sina operativsystem. Amnesty Internationals tech-avdelning har också i många år hjälpt mängder med aktivister med sitt verktyg ”Mobile Verification Tool” som den tekniskt intresserade kan installera för att därefter scanna enheter där man är. Vi körde MVT på min tidigare arbetsgivare Civil Rights Defenders under en period och jag tycker det fungerade bra.

Min projekt-bebis just nu (dvs ett projekt jag fått förmånen att ha under mina vingar) är något som kallas PiRogue Tool Suite. PTS byggs av ett team som kretsar kring den oerhört karismatiska franska hackern Esther Onfroy, och är intressant på flera sätt. Framförallt är det väldigt enkelt att installera. JAG lyckades installera det på en Raspberry Pi som bröllopspresent till en nördvän i somras – vilket alltså gav henom en egen liten forensikstation i miniformat för under en tusenlapp. Det är också väldigt smidigt kopplat till ett systematik-backend kallat Collander där man ihop med andra kan kategorisera och analysera de hot man eventuellt hittar när man använt PTS.

Men en annan viktig fördel med PTS – där jag själv tycker att man bräcker både aktivistorienterade och kommersiella verktyg – är att man via verktygen också kan analysera avvikande datatrafik från enheterna man granskar. Många appar vi använder är kanske inte defacto /spionprogram/ men de /spionerar/ fortfarande på oss, vilket jag ju nämnde senaste i förra nyhetsbrevet. Att veta vilken data apparna samlar in och var den skickas borde vara viktigare än det ofta kan upplevas som.

Esther och PiRogue samarbetar därför sedan några år med dataskyddsorganisationer (och i vissa fall -myndigheter!) för att granska hur användardata läcks och utnyttjas. Exempel på sådana fynd kan läsas om i en rapport från dataskyddsorganisationen NYOB, där de beskriver hur data från flera i Frankrike vanliga konsumentappar (bland annat en mäklarapp och en träningsapp) utan att meddela användare samlas in och säljs vidare till datahälare som gör storkosing på vår privata information.

Nåväl, jag kommer säkerligen få anledning att återkomma till temat spionprogram – men glöm inte att även rekorderliga medborgare som du och jag kan ha något att värna, helt utan att ha orent mjöl i sin digitala påse.

Sedan sist har jag rest för mycket och därefter försökt att inte resa så mycket. Att kunna reglera mina dagar tycker jag känns väldigt viktigt, och då försvinner jag ibland in i ett slags digital tystnad.

Känslan av att inte bidra så mycket på internet tycker jag är extra intressant just nu – eftersom det i mina kretsar pratas om (ännu) en exodus från det som tidigare hette Twitter och sedan Elon Musk köpte upp det bytt namn till X. 

Ett rätt intressant meningsutbyte mellan mediepersonligheterna Brit Stakston och Emanuel Karlsten ägde rum i TV4 nyligen. Brit utvecklade också sin uppfriskande kritiska hållning i Dagens Industri där hon förklarar att medier och folkvalda ska undvika den numera toxiska plattformen, medan Emanuel är konträr och i TV4 säger att han minsann ska stanna kvar.

Själv har jag valt att låta mitt konto ligga i träda – dessutom med det illustrativa sista inlägget där jag frågar efter tips inför lokala utekvällar.

För den nyfikne kan jag meddela att jag fick bättre tips på Reddit. Huvudpoängen är dock att jag verkligen tycker man ska tänka till vilka plattformar man bidrar till genom att vara aktiv deltagare.

Själv väljer jag att tills vidare vara kvar på X. Det finns ett väldigt enkelt skäl – X är som många andra plattformar väldigt skiftande i sin karaktär beroende på var man befinner sig. I vissa länder är X fortsatt en viktig källa till nätverk och mobilisering, och mina globala aktivistnätverk har inte lyckats hitta någon riktigt bra ersättare. Därför är jag fortfarande kvar där för att kika in i vad som händer och för att emellanåt bli kontaktad av vänner och bekanta som inte vet hur man annars får tag på mig.

Numera brukar jag snabbt skyffla in mina återkommande kontakter till Signal istället så vi kan fortsätta prata ostört – men mitt behov att finnas tillgänglig på X har tyvärr inte helt försvunnit. Med det sagt tycker jag det är fullkomligt absurt att vi har folkvalda politiker från alla partier som upprätthåller en chimär av megafonsamtal på X, där den enda publiken är andra politiker, journalister (som gissningsvis får en ÄNNU mer vrickad bild av det offentliga samtalet) och ilskna mänskliga eller automatiserade botar.

Diskussionen i TV4 tycker jag är intressant eftersom den avspeglar ett upplevt behov av att hitta ”nästa X” – som att vi som internetanvändare måste samlas på ett och samma ställe. Jag tror det är fel.

Lite oväntat brukar jag ofta söka upp en artikel av Fredrik Wass, där han beskriver döden för de stora svenska communitysajterna. Det är inte bara av självförstärkande skäl (jag intervjuas i artikeln), utan snarare för att den påminner om hur det svenska internetet såg ut innan Facebook gjorde sitt intåg.

Kanske kommer flera av nyhetsbrevets läsare också ihåg när nördkidsen samlades på Hamsterpaj, emorockarna på Skunk, de coola festkidsen på Playahead och de som var gay på Sylvester. Veganerna samlades på Gröna Chatten, unga föräldrar på Familjeliv och de som idag hänger på Flashback flockades på…. Flashback. Jag tyckte det var roliga tider, eftersom det var tydligare att samlingspunkterna var intressestyrda. De digitala monoliterna som Facebook och Twitter kommit att bli uppskattar jag inte alls lika mycket.

Hur vi ska göra nu när X imploderat till en digital kloak vet jag inte riktigt. Själv har jag dock märkt att jag de senaste åren börjar fragmentera mig själv alltmer. Jag använder Facebook som ett slags digital telefonbok (inkl Gula Sidorna med grannsamverkan- och loppis-grupper), LinkedIn för att hålla koll på min professionella profil, Mastodon för mer nördiga spaningar och Threads för rent trams. Jag postar ”roliga” bilder på Instagram och har precis börjat nosa på Bluesky. Mitt sociala behov får jag dock främst utlopp för i privata meddelandetjänster.

Vi människor är ofta flockdjur, och att vi är det även på internet förvånar nog ingen. Jag tror det är bra att vi mer eller mindre tvingas se oss omkring emellanåt, men jag hoppas att ingen känner sig särskilt stressad över var vi ska ta vägen.

Det bästa stället är inte där du har bäst reach – det är där du har dina vänner.

Jag har skrivit om handel med persondata tidigare. Bland annat har jag fokuserat på riskerna kring detta i mitt kapitel i boken ”AI & makten över besluten” (som jag delar ett exklusivt utdrag ur i ett tidigare nyhetsbrev), där jag lyfter att det faktum att läckor av personlig data varit en överhängande orosmoln även innan intåget av ”AI” .

Ett av de mest upprörande exemplen som jag ofta brukar ta upp eftersom det ligger så nära så många är hur data från ”femtech”-appar, exempelvis sådana som saluförs för att mäta kvinnors menscykler, krängs som om det inte fanns någon morgondag.

Tyvärr finns det fler goda exempel, och jag misstänker att inlägg som detta som varnar för den kommersiella handeln med vår persondata kommer vara återkommande för en oöverskådningsbar framtid.

Till exempel snubblade jag över det här inlägget som den rättvisefokuserade integritetsivraren Esra’a Al Shafei skrev på Mastodon. Esra’a påpekar att den senast blommande Twitter-klonen, Bluesky (som många användare verkar flytta till nu när X (tidigare Twitter) blivit en högerradikal propagandamaskin) tagit in riskkapital från investerare som också satsat stora pengar i företag kopplade till den ohejdade handeln med persondata.

Företaget Esra’a syftar på är X-Mode, ett företag som gjort sig känt för att helt utan spärrar köpa, sälja, kränga känslig användardata. Man har gjort det till den milda grad att både Google och Apple förbjudit vissa av företagets egna appar. Tyvärr hindrar det inte andra appar att sälja sin data till X-Mode och andra liknande datahamstrande parasiter. Enligt sin egen reklam, som snyggt presenteras av The Markup i den här artikeln från 2021, har X-Mode data på 25% av den amerikanska vuxna befolkningen, medan en annan aktör – Mobilewalla – skryter om att de har data från över 40 länder, över 1,9 miljarder enheter, 50 miljarder mobilsignaler (positionsbestämningar) dagligen och över fem års insamlad data. Häpnadsväckande måste jag säga!

X-Mode har i perioder gjort inköp av data från samtidigt lustiga och skrämmande håll. En av deras viktiga källor till data var länge den omåttligt populära appen Life360, som marknadsförs som en säkerhetsapp för familjer. Den är snarlik Apples egen ”Hitta (vänner)” men fungerar över olika operativsystem och plattformar vilket gör den välspridd. Men X-Mode har också gjort mer… tematiska köp. För något år sedan rapporterade exempelvis Motherboard om att X-Mode köpt data från ett helt kluster av muslimska böneappar. Data från appar from ”Muslim Pro”, ”Prayer Times” och ”Qibla Compass” köptes och organiserades i X-Modes system.

Nu lever vi ju i en data-kapitalistisk era, så ovanstående är kanske inte överraskande. Men är det inte lite olustigt när X-Mode samtidigt också upptäckts sälja data till företag i det amerikanska militärindustriella komplexet?

Jag vet inte vilken datamånglare det handlar om, men det dök också nyligen upp ett annat talande exempel där den amerikanska armén själva hamnat i hetluften. Tydligen finns det en samling på ungefär 3 miljarder koordinater insamlade från mobiltelefoners platstjänster och lokaliseringsdata – där det unika för den här samlingen är att man i den kan spåra armépersonal på en oerhört detaljerade nivå.

Wired rapporterar att man i datan kan spåra militär och underrättelsepersonal som varit placerad i Tyskland till och från hemliga operationer, till träningsläger där Ukrainska soldater utbildats – och till och med till välkända bordeller.

Det är verkligen som en flashback till 2018 när träningsappen Strava avslöjade hemliga militärbaser eftersom soldater motionerat och lagt upp sina träningsrundor till allmän beskådan. Då handlade det visserligen mer om brist på bra säkerhetsrutiner och så kallad ”op-sec”, men problemet är detsamma eller i varje fall snarlikt.

Våra enheter samlar in mer data om oss än vad vi vet och troligtvis mer än vad vi vill veta – och det är därför helt avgörande att vi försöker navigera vad som samlas in, vad som säljs vidare, till vem – och hur det används.

Uppmärksamma läsare noterar att jag börjat sätta ”AI” inom citationstecken när lusten faller på. Jag gör det efter att jag sett att Per Axbom, som jag tycker navigerar diskussionen väl, börjat göra detsamma. Jag upplever precis som Per att ”AI” används för att beskriva både det ena och det andra på ett sätt som inte är med verkligheten överensstämmande.

Per skriver att ”är ett intetsägande uttryck som innefattar allt och inget, och nu mest används för att sälja en vision om maskiner som ännu inte existerar. Varje gång jag repeterar ordet så ger jag det legitimitet, vilket gör lite ont.”

Och jag håller med. Jag har varit med så länge att jag sett ett antal digitala buzzwords komma och antingen gå – eller förändras. När jag jobbade på biståndsmyndigheten Sida var mitt uppdrag bland annat att hjälpa verksamheten att navigera inkommande projektförslag och träffa aktörer som ville komma åt biståndsmedel för att göra världen lite bättre. Gott så, men tyvärr gick en stor del av tiden åt att spräcka buzzword-ballonger och säga nej till projekt som medelst animerade powerpoints och fräsiga projektplaner försökte sälja en sminkad gris.

Bland termerna som fick. mig att se halv-rött och ställa jobbiga frågor fanns:

• ”Big data”
• ”Open data”
• ”Digital platform”
• ”Blockchain”
• ”Digitalization”
• ”Innovation”
• osv…

Till detta kan jag nu lägga ”AI” – en term som beskriver allt och inget.

Visst finns det lösningar för generativ AI som upplevs väldigt intelligenta eller maskininlärning som kan replikera mänskligt arbete på ett sätt som är många gånger mer effektivt än människor själva kan. Det finns också väldigt avancerade algoritmiska system som kan hjälpa människor att antingen bli smartare eller mer förvirrade, och det finns helt klart teknologier jag inte förstår men som på sikt säkert kan bli riktigt smarta.

Överlag är dock ”AI” en alldeles för grund beskrivning som inte gör oss någon tjänst att använda. Snarare grumlar det diskussionerna vi egentligen behöver ha – exempelvis vem som har makten över tekniken (oavsett teknologi!) och hur vi alla påverkas.

För att citera Per: ”Jag tror en bevingad fe dör varje gång någon säger “AI” utan ironi.  😉”.

Efter förra veckans ambassadattentat i Stockholm och Köpenhamn ryter nu rikspolischefen till och vill ha mer övervakning, gärna med ansiktsigenkänning och absolut i realtid.

Tanken är om jag förstår det rätt att hon vill utöka kameraövervakningen och lägga på ett ansiktsigenkänningssystem för att kunna spåra möjliga förövare i realtid över olika kameraflöden. På så sätt ska polisen kunna använda övervakningssystemen för att jaga och hitta brottslingar lite mer effektivt. Lite som brittiska CCTV kan man ana, eller som det beskrivs i den här produkt-demonstrationen av ett AI-styrt kamerasystem som spårar folk och mappar dem inom ramen för en hel stad.

Jag tycker alltid det är rätt intressant när polisen går ut med utspel om att metoder eller lagstiftning måste förändras, eftersom det så ofta tydligt sätter fingret på deras incitament.

Polisen ansvarar för samhällets trygghet och ordning. Och man vill göra det så effektivt som möjligt. Eventuella sidoeffekter eller till exempel integritetsrisker är man inte så himla noga med. Och inte alltid heller det här med evidens.

Brittiska polishögskolan släppte redan 2015 en rätt intressant rapport som uppdaterades 2021 (dvs i hyggligt modern tid). I rapporten, som granskar liknande system i Storbritannien och USA – men också i flera andra länder (däribland Sverige) – tydliggör man att kameraövervakning kunde tillskrivas en viss brottsförebyggande effekt. Det kunde dock bara beläggas när det gäller egendomsbrott och lättare kriminalitet. Vad gäller våldsbrott och grov brottslighet har man inte kunnat påvisa någon effekt.

The studies looked at the effectiveness of CCTV on different crime types. The meta-analysis showed that drug-related crimes decreased by 20% (six studies) and vehicle and property crime decreased by 14% (23 studies and 22 studies respectively) in places that had CCTV compared to those that did not. No overall statistically significant effect was observed for violent crime (29 studies) or disorder (six studies).

Den mest ingående studien vad gäller kameraövervakningens brottsförbyggande stärker alltså inte rikspolischefens argument. Men nu är det ju inte det hon talar om, utan snarare trycker hon på det brottsutredande perspektivet. Där blir bevisföringen snabbt mer anekdotisk. Dels är det rimligt att brottsutredande poliser och myndighetspersonal använder sig av all tänkbar insamlad information, och dels är det svårt att veta hur läget hade sett ut utan en parameter (som bred insamling av övervakningsdata).

Här är några punkter jag tycker kan vara relevanta att ha i åtanke:

• Risken för falska positiva. Vill man spela in allt är förstås kameror bra. Men de flesta kameror levererar också emellanåt tveksamma resultat. Även kameratillverkaren Axis skriver om risken för ”svarta silhuetter eller vita spöken” – situationer där omständigheter som mörker, ljusreflexer eller otur leder till otydliga bilder som då kan leda till att AI eller en granskande människa övertolkar innehållet.
• Övertro på effektivitet. Det är lätt att sätta upp kameror, men svårare att faktiskt bevisa dess effektivitet. Till slut kan det vara rimligt att höja röster om relationen till andra faktorer som samhällsekonomi och egentlig nytta. Ett talande exempel kommer från Skottland där deras nationella kamerasystem under en fyraårsperiod sägs fångat upp hisnande 200000 ”incidenter” – men enbart resulterat i gripanden i 13% av fallen.
• Bristande tillit till samhället och/eller de digitala systemen. Studien från brittiska polishögskolan listar en intressant risk, att ”vanligt folk” kan komma att undvika kameraövervakade platser – antingen eftersom de tror att platserna är generellt otrygga eller för att de inte litar på systemen som sådana.

Den sista punkten tycker jag är särskilt intressant relaterat till man i min närmaste stora stad Linköping nyligen beslutat att sätta upp 27 nya övervakningskameror (som man envisas med att kalla trygghetskameror). En tredjedel av dem sätts upp i innerstaden och övriga i så kallade ”utsatta områden” och andra riskzoner.

Eftersom det tycks saknas rimlig evidens vad gäller den faktiska nyttan av de här kamerorna, men också eftersom Polisen tidigare fått backning av Integritetsskyddsmyndigheten IMY för sitt användande av experimentella AI-verktyg (ett beslut som framgångsrikt överklagades av Polisen) menar jag att en försiktighetsprincip vore på sin plats. Tyvärr verkar inte rikspolischefen hålla med mig.

Jag har ju tidigare skrivit om faran med digitala bakdörrar som säkerhetsstrategi utifrån den pågående kampanj polisen driver på vad gäller försvagning av kryptering. Svenska polisen och dess europeiska kollegor är verkligen på hugget vad gäller krypteringsfrågan och kräver lagstiftning som ska tvinga leverantörer av säkra digitala lösningar att lämna ett slags ”super-nycklar” till myndigheterna så att inga skumraskaffärer ska kunna ske på krypterade plattformar (dvs i princip ”på internet”).

Det här är verkligen en idiotisk idé, vill jag återigen ha sagt. Om man försvagar kryptering, eller försvagar tilliten till kryptering, så blir den direkta följden att vår digitala infrastruktur blir tillgänglig för näst intill vem som helst. Man kan tekniskt sett inte öppna en bakdörr bara för ”de goda” – eftersom bakdörren då potentiellt kan utnyttjas även av ”alla andra”.

Det är som det där avsnittet i Arga Snickaren där någon hemmafixare vid namn E-Type bestämde sig för att riva en bärande vägg för att få lite skön stämning därhemma. Eller som familjen i Vimmerby som missade att en kattlucka också rymmer en grävling.

Fråga amerikanarna om deras digitala grävlingar!

Sedan tidernas begynnelse har myndigheter i USA tvingat amerikanska telekom-leverantörer att erbjuda möjligheten till det man kallar ”lawful interception”. Det innebär att det i de amerikanska telekom-näten och andra amerikanskt utvecklade tekniska lösningar måste finnas bakdörrar som erbjuder myndigheterna tillgång till det som skrivs. Under vissa rättsliga förutsättningar (”lawful”) ska myndigheter kunna avlyssna telefon- och data-trafik (”interception”). Av säkerhetsskäl förstås.

Lagstiftningen har funnits på plats länge, alltsedan amerikanska polisen på sent 60-tal ville komma åt den ökade (och alltmer organiserade) brottsligheten. Man menade att man kan få styr på buset om man bara kan få avlyssna telefonsamtal till höger och vänster. Lagstiftningen uppdaterades sedan några gånger, senast i den så kallade ”Patriot Act” som utan större diskussion godtogs strax efter terrorattackerna den 11 september 2001.

Tycka vad man vill om Edward Snowden men jag måste ändå tillstå att de avslöjanden som gjorts baserat på läckorna han offentliggjorde i egenskap av administratör på amerikanska säkerhetstjänsten NSA:s interna SharePoint-nät fortfarande är rätt ”spicy”. Till exempel beskrev han hur de stora amerikanska telekom-leverantörerna på NSA:s order konstant spelade in trafiken i deras nät för att möjliggöra att myndigheter ska kunna avlyssna sina egna medborgare, även bakåt i tiden.

Tur då att NSA och andra myndigheter är ”goda”, för det vore ju för hemskt om ”alla andra” kunde göra samma sak. Men det skulle aldrig hända… eller…?

Så dök det i helgen upp en braskande nyhet över min del av internet. Det amerikanska systemet för lawful intercept har blivit ”unlawfully intercepted” – av kinesiska hackare!

SOM AV EN SLUMP (eller kanske inte?) så har flera aktörer inom det nätverk för avlyssning som amerikanska staten tvingat telekomoperatörer och andra att vara med i blivit knäckt. Plötsligt tycks de försvagningar i den säkra tekniken som man ålagt företag att lägga sig till med blivit ”effektiva” att tekniken blivit svag nog för att inte kunna stå emot illasinnade hackerangrepp.

Det kan förstås finnas massa anledningar till att kinesiska hackers ger sig på amerikanska företag eller kommunikationsnätverk. Det är förstås också oerhört dåligt att det händer. Men, är det inte lite ironiskt att det är samma system – samma tekniska bakdörrar – som satts på plats för att enligt argumentationen hålla amerikanska medborgare säkra som nu också visat sig vara som en direkt osäkerhet.

Återigen, oavsett vilken anledning man väljer för att lämna dörren öppen så finns det risk för att även ens ovänner kommer in.

Jag skrev i förra nyhetsbrevet om gripandet av Telegrams VD Pavel Durov. Han är i skrivande stund tydligen fri mot borgen men Telegram är fortfarande ett bra exempel på hur man populariserar en shady kommunikationsplattform, vilket också Kalle Kniivilä beskriver väl i artikeln ”Detta vet vi om Telegram och tjänstens gåtfulle grundare” där jag också intervjuas högst kort.

Jag fick en del mothugg på min förra post, främst utifrån perspektivet att gripandet är problematiskt pga Durov ställs till svars för vad användarna på plattformen gör. Det skulle på något sätt vara ett inlägg i debatten om plattformars ansvar och yttrandefrihet på internet. Den frågeställningen menar jag baseras på felaktiga antaganden. Vill man agera ”rätt” eller göra en ”bra” meddelandetjänst är ett förslag att vara allt som Telegram inte är.

Att plattformsansvar och stora techbolags agerande emellanåt (i vissa fall ofta) är komplicerat är sant. Men de flesta stora bolag och aktörer anstränger sig ändå för att agera 1/ i enlighet med rådande lagstiftning och 2/ tillräckligt transparent för att man ska förstå deras utmaningar. Telegram gör inget av detta. För att påvisa några exempel följer jag logiken i den spänstiga bloggposten ”Keep Pavel Durov locked up”:

1/ Telegram har aktivt valt att inte samarbeta med barnskyddsorganisationer. Till skillnad från alla andra större sociala nätverk vägrar man ha dialog med såväl statliga som ideella rapportmekanismer som analyserar fall av trafficking eller övergreppsmaterial som innefattar barn.

2/ Telegram har valt att inte vara med i TakeItDown, en koalition av socialamedieföretag som samarbetar mot så kallad ”hämnd-porr” – dvs privat pornografiskt material som läggs upp utan samtycke.

3/ Trots att man säger att man är en sk ”säker” plattform har Telegram aldrig deltagit i ”Internet Engineer Task Force” (IETF) där experter från olika organisationer och företag säkerställer att de krypteringsstandarder som rullas ut är säkra på riktigt. Telegram har aldrig varit representerat.

4/ Telegrams kryptering är hemmabyggd och inte transparent. Man vägrar aktivt open-sourca den och har inte genomfört några öppet tillgängliga säkerhetsgenomlysningar. Alla säkerhetsgenomlysningar har fått göras antingen på begränsade delar av kryptot eller som del av en ”adversary audit” (dvs en genomlysning utan upphovspersonernas medverkan).

Angående krypteringen – jag har letat efter fler och mer ingående källor men den här rapporten tycker jag är tillgänglig nog och beskriver problemet väl. I korta ordalag beskriver man en del sårbarheter man hittat i olika versioner av Telegram och dess MTProto-krypto, och sammanfattar det med:

“Don’t roll your own crypto” is a common mantra issued when a cryptographic vulnerability is found in some protocol.

För visst kan det locka att hitta på en egen kryptografisk lösning pga anledning. Man kanske är väldigt påhittig eller paranoid. Eller så vill man bygga in bakdörrar av något slags anledning, exempelvis för personlig vinning eller åt en säkerhetstjänst. Oavsett är en egen lösning sällan genomlyst eller betrodd – och man går då också miste om alla de lärdomar och erfarenheter som det samlade krypto-communityt redan gått igenom.

Och utan transparens och öppenhet är det omöjligt för säkerhetsanalytiker att skärskåda koden och därmed också svårt att göra något slags välunderbyggd tolkning av huruvida tekniken faktiskt är trygg och säker.

Ett exempel på det sistnämnda är att Signals krypteringsprotokoll (smidigt nog kallat Signal Protocol) alltid varit open source, och med tiden också implementerats i exvis alla Metas meddelandetjänster (Messenger, WhatsApp och Instagram DM) och i Googles Messages-tjänst. Det innebär dels att en uppdatering i protokollet gör användare över alla plattformar säkrare, och dels att protokollets säkerhet garanteras både av nördarna i Signal och jättarna i Meta och Google.

En av mina absolut underligaste professionella upplevelser fick jag när jag reste till Oslo för att delta i Oslo Freedom Forum för några år sedan. Jag åkte dit för att träffa aktivister och navigera nygamla människorättsproblem, men allra mest förvånad var jag över hur djupt insyltat eventet var i den libertarianska rörelsen för ”Financial Freedom”.

Alla deltagare fick i goodiebagen en voucher värd en dollar på en ny kryptoexchange de sponsrades av, några 3D-printade BitCoin-loggor och en BitCoin-stämpel (se bild nedan). Från scenen predikades kryptovalutornas lov inför rika och lite förvirrade filantroper och på kvällen blev jag kidnappad till en fest med crypto-bros där man tömde en av Oslos krogar på dricka och drog det på något slags magiskt krypto-kort.

Det här skedde i samma veva som det fanns en rätt högljudd diskussion i civilsamhället om hur man bäst skulle kunna skicka pengar till aktörer som antingen fanns i länder där bankväsendet inte riktigt fungerade eller som fanns på något slags svartlista hos det lokala (och därmed internationella) bankväsendet. Kunde man kanske använda kryptovalutor?

Det enkla svaret var då och är fortfarande att det inte är så enkelt som det låter att skicka pengar via krypto. Det finns ett antal utmaningar som gör att det inte är helt lämpligt – särskilt inte till motparter som finns i länder i konflikt eller oro. Den helt uppenbara utmaningen är att det fortfarande är svårt att köpa bröd för BitCoins. Utväxling från krypto till det som brukar kallas ”Fiat-valuta” (det vill säga riktiga pengar) är svårare än man tror, innebär ofta stora förluster och är på många håll kopplat till skumrask som riskerar försätta motparten i ännu större problem. Krypto är en spekulationsvaluta, inte något man kan leva av – allra minst i en krissituation.

Dessutom ska man minnas att den finansiella ”friheten” som crypto-bros så gärna lyfter främst bygger på en frihet från statlig kontroll. Genom att främja krypto menar man att man kringgår statens vakande öga och därigenom ökar sin egen frihet. Samtidigt tycker jag att det finns en poäng med den regulativa överblick som finns över bankväsendet, och väljer man medvetet bort den så dyker snart andra problem upp.

Det finns otaliga exempel på kryptoexchanges det gått riktigt dåligt för. Den största nyheten var länge FTX uppgång och fall. FTX var världens tredje största exchange när den 2022 kollapsade efter att deras VD försnillat åtta miljarder dollar av sina kunders pengar. Ganska nyligen genomförde FBI, tyska polisen och amerikanska skattemyndigheter en omfattade razzia mot exchangen Cryptonator som anklagas för att ha skyfflat krypto värt över sjuttio miljoner dollar mellan kunder som finns på internationella sanktionslistor, över femtio miljoner dollar från hackade konton, tjugofem miljoner dollar från darknet-handelsplatser och nästan tio miljoner dollar från ransomware-utpressningar.

Och häromdagen kom nyheten att exchangen Binance stängt ner konton kopplade till palestinska organisationer. Enligt Middle East Monitor har Israeliska myndigheter hört av sig och begärt nedstängning av ett antal konton. Binance VD förnekar att de agerar på myndigheters kommando (vilket förstås är ett av säljen för den finansiella friheten de saluför!) men enligt CoinTribune så har 190 av Binance konton stängts ner sedan 2021 eftersom de bedömts vara kopplade till terrorgrupper.

Man kan ha åsikter om ovanstående. Själv tycker jag att det är rimligt att stänga ner terror-kopplade konton, stänga ner verksamheter där VD:n super bort kundernas förmögenheter och att slå till mot digitala hälare som lever på avkastningen av bedrägerier.

Men huvudpoängen jag fortsatt framhåller är att det inte är en bra idé att skicka pengar via krypto. Den finansiella friheten från myndigheter och internationella bankväsendet är en chimär, eftersom man istället lätt hamnar i händerna på skojare som godtyckligt leker bort det ansvar de hävdar att de tar.

Och mässandet på eventet i Oslo? Ja min gissning är fortfarande att det helt enkelt var en scam-variant där arrangörerna ville få investeringar till kryptovalutan de själva hade lagt pengar på. Antingen att de ägde kryptoexchangen de rekommenderade eller att de hoppades på att kursen skulle gå upp om filantroperna dängde in sina förmögenheter däri.

Snyggt maskerat som mänskliga rättigheter förstås, ni hycklare där.