Big Brother Bulletin - nr 5/2008
1. Post- och telestyrelsen anklagar FRA för dataintrång
På senare tid har den svenska underrättelsevärlden surrat av rykten om att FRA tolkar det aktuella lagförslaget om
signalspaning som att det tillåter så kallad aktiv signalspaning. Det är en förskönande omskrivning för hackning. Aktiv signalspaning är nämligen inte uttryckligen förbjuden i lagförslaget.
Sedan länge använder sig underrättelsetjänster i andra länder av denna aktiv signalspaning, vilket innebär att man
bryter sig in i datasystem, tar sig förbi brandväggar, in i lokala nätverk och datorer, planterar spionprogram och liknande.
I Sverige har Säpo förordat metoden, liksom regeringsutredningen Beredningen för rättsväsendets utveckling (BRU).
Då kallades den för "hemlig dataavläsning". En av FRA:s chefer har skrivit om aktiv signalspaning i en artikel i
FOI-tidningen (länk nedan), men då ur perspektivet att det gäller att skydda sig mot andras aktiva signalspaning.
För att gå till botten med ryktena kallade riksdagens försvarsutskott FRA:s generaldirektör Ingvar Åkesson till
utfrågning i tisdags. Där förnekade han kategoriskt alla planer på att tillämpa aktiv signalspaning. Han sa att
han inte tolkar alliansens lagförslag om signalspaning som att den metoden skulle vara tillåten.
FRA har tidigare pekats ut av Post och telestyrelsen (PTS) som en av Sveriges fem värsta förövare när det gäller
dataintrång (se länk nr 4 nedan). Sveriges IT-incidentcentrum, som är en underavdelning till PTS, använder sensore i ett så kallat distribuerat intrångsdetekterings- system för att kartlägga misstänkt trafik på nätet. I augusti 2006 dök FRA två gånger upp på centrumets lista, som produceras helt automatiskt. FRA:s generaldirektör Ingvar Åkesson skickade ett upprört mejl till generaldirektören för PTS där han skrev att "det är förstås en uppenbart orimlig beskyllning". Han krävde också en förklaring till varför PTS "för sådant till torgs".
FRA-förslaget kommer inte att förändras när det kommer upp i riksdagen i juni, jämfört med när det bordlades för ett år sedan, skriver tidningen Riksdag & Departement. Positionerna mellan blocken är låsta, och inga förhandlingar kommer att ske som det verkar idag. Socialdemokraterna kommer att rösta nej - inte för att de är emot FRA-övervakning utan för att de vill ha vissa andra formuleringar i lagen. FRA-övervakningen som sådan är de anhängare av.
Kommentar: Det där med vissa formuleringar i lagen är socialdemokraternas officiella förklaring till att rösta nej - men man kan ju ana att det också passar bra att opponera sig lite mot regeringen och låta alliansen bära skulden för införandet av en impopulär lag. En annan kommentar är att när FRA lovar en sak måste det ses i ljuset av det usla 'track record' som svensk underrättelsetjänst har när det gäller att följa lagar och regler (jag tänker bland annat på Säpos 100.000 olagligt åsiktsregistrerade svenskar och diverse andra olagliga aktiviteter under många år - mer om detta på nedersta länken nedan).
http://www.rod.se/politikomraden/demokrati/FRA-forslag-andras-inte/
http://www.nyteknik.se/nyheter/it_telekom/datorer/article351864.ece
http://www.nyteknik.se/nyheter/it_telekom/allmant/article350250.ece
http://computersweden.idg.se/2.2683/1.76949
http://www.sitic.se/
http://www.stoppa-storebror.se/sapo.htm
2. MI5 och MI6 vill övervaka alla resor i realtid
De nya digitala resekort för kollektivtrafiken som redan finns på vissa håll i Sverige gör att elektroniska fotspår
uppstår varje gång kortet används. I Storbritannien vill nu säkerhetspolisen få fria händer att använda dessa
fotspår för att övervaka människors förflyttningar via kollektivtrafiken i realtid. Samtidigt som de reser, alltså.
Många experter tror att deras begäran kommer att beviljas, som ett led i premiärminister Gordon Browns ny
hårdsatsning i det så kallade kriget mot terrorismen.
Redan idag har de brittiska Säpo-liknande organisationerna MI5 och MI6 möjlighet att övervaka en viss person
förflyttningar med kollektivtrafiken genom att koppla in sig på det system som registrerar när resekorten dras.
Det nya som de nu begär är att få carte blanche att övervaka vem de vill på detta sätt, utan särskilt tillstånd. De vill,
som det uttrycks, "tråla" i databasen (bildlikt talat kasta ut ett jättestort nät och se om något intressant fastnar).
Dels ska underrättelsetjänsterna enligt förslaget få följa en valfri persons förflyttningar med kollektivtrafik, dels ska
de få göra godtyckliga stickprov. Dessutom ska de få tillgång till historiken, det vill säga databasen över tidigare
genomförda resor. Många människor drabbas - bara i londonregionen använder 17 miljoner människor det digitala resekortet Oyster. Många andra brittiska städer är på väg att införa liknande digitala resekort.
Förutom en möjlighet att direktkoppla sig till kollektivtrafikens resesystem vill MI5 och MI6 få motsvarande möjlighet
att koppla upp sig mot det system som i Storbritannien övervakar bilars förflyttningar. Ett nätverk med 3.000 övervakningskameror över hela landet har försetts med programvara för så kallad Automatic Number Plats Recognition (ANPR), automatisk inläsning av nummerplåtar. Så fort ett fordon passerar någon av dessa kameror läses nummerplåten in och passagen registreras och lagras. Systemet har en kapacitet att övervaka och registrera 50 miljoner bilar om dagen.
Det skäl som anförs för den utökade övervakningen är att den är nödvändig för att skydda befolkningen mot terrordåd. "Det kanske inte är så populärt, men det blir en riktig gudagåva för dem i säkerhetstjänsten som inte bara vill fånga in terrorister utan även försöker rädda liv", säger en källa inom säkerhetstjänsten till tidningen Scotsman.
Tidningen skriver vidare att om förslaget går igenom kommer övervakningen i Storbritannien att hamna mer i linje
med övervakningen i USA. Så här skriver Scotsman om situationen på andra sitan Atlanten: "Airline and train passengers are monitored, with anyone using online booking services automatically having their details logged. But other forms of information, such as details taken from 'electronic credit cards' used by motorists at toll booths on US highways, are also collated for possible future use."
Den nya sortens digitala resekort har redan införts i delar av Sverige, med Västtrafik och Skånetrafiken i täten. Snart
kommer Storstockholms Lokaltrafik (SL) att införa dem. Västtrafik och Skånetrafiken har redan börjat lagra information
om genomförda resor, och SL planerar att göra detsamma. Det är känt att åtminstone Västtrafik redan fått krav från
polisen på att lämna ut information om vissa personers genomförda resor.
Bilder: Västtrafiks resekort och resekortet Oyster för London
http://news.scotsman.com/latestnews/Spy-chiefs-target--travel.4049184.jp
http://www.guardian.co.uk/uk/2008/mar/16/uksecurity.terrorism
https://oyster.tfl.gov.uk/oyster/entry.do
3. Mobiler som rapporterar varje steg du tar
Det har länge legat i luften men nu börjar de komma - positioneringstjänster baserade på GPS.
Det handlar om tjänster som teleoperatörer erbjuder, där dina "vänner" hela tiden kan se var du befinner dig.
Med mycket hög noggrannhet.
Liknande tjänster baserade på så kallad triangulering (pejling av näraliggande basstationer) har funnits
länge, men med GPS-positionering blir precisionen mycket större. GPS ger ofta ungefär tio meters noggrannhet.
I USA har flera stora teleoperatörer på senare tid börjat sälja GPS-baserad positionering i stor skala, efter att
länge ha tvekat av integritetsskäl. Sprint Nextel har exempelvis redan flera hunrda tusen kunder anslutna sin
GPS-positioneringstjänst, och Verizon Wireless ska inom kort erbjuda en sådan till sina 65 miljoner kunder.
Båda använder sig av den tredjepartslevererade tjänsten Loopt. I Nederländerna har företaget GeoSolutions
lanserat den fristående tjänsten GyPSii, som låter dem som anslutit sig positionerna varandra via GPS-mobiler.
I det fallet är alltså ingen teleoperatör involverad, istället bygger funktionen på att en programvara laddas ned till mobilen.
Med positioneringstjänster skickas användarens geografiska position kontiunerligt, eller med visst tidsintervall, till
en lista på "vänner" som användaren godkänt. Positioneringen kan när som helst stängas av. Likväl är integritetshotet från denna typ av tjänst enormt - samtidigt som även nyttan kan vara enorm. Däri ligger dilemmat.
Fördelarna är solklara. Det kan vara oerhört praktiskt att se var ens barn, make eller medarbetare befinner sig.
Det öppnar sig också oerhörda möjligheter för en ny typ av geografiskt baserad marknadsföring, som faktiskt
också kan medföra stora fördelar för konsumenterna. Visst vore det praktiskt att på några sekunder kunna få upp
en karta som visar var närmaste McDonalds, eller apotek, finns.
Vari består då integritetshotet? Tja, för det första måste man fråga sig vad det innebär att "vänner" ska få tillgång till
ens positionsdata. Vilken blir den reella innebörden av "vänner"? Wall Street Journal berättar exempelvis att non-
profit-organisationen Our City Forest redan börjat dela ut mobiltelefoner försedda med en GPS-positioneringstjänst till sin personal för att "hjälpa dem koordinera sig på fältet". Som anställd kan det vara svårt att säga nej till en propå från arbetsgivaren att i effektivitetens namn låta sig positioneras på det viset.
För det andra: Så länge man har gett ett tiotal vänner tillstånd att se ens position så har man förmodligen hyfsad
kontroll över situationen, men utvecklingen kommer knappast att stanna där. Exempelvis kommer sociala nätverk
som Facebook att erbjuda geografisk positionering av "vänner" som en extra tjänst, vilket många säkert kommer
att klicka i på sajten av slentrian. Och många människor har ju hundratals "vänner" på Facebook över vilka kontrollen är dålig. Av bara farten kan såväl stalkers, chefer och myndighetsföreträdare komma att bli accepterade som "vänner" med positioneringsrättighet.
För det tredje måste man beakta risken för ändamålsglidning. Hur lång tid tar det innan morgondagens Thomas
Bodströmar lagstiftar om långtidslagring av människors positioneringsdata, så som man nu håller på att göra när
det gäller data om människors ringande, mejlande och sms-ande? Vem som helst kan ju komma att bli misstänkt
för brott, och då är det förstås bra att ha vederbörandes förflyttningar sedan ett par år tillbaka lagrade...
Det kan tyckas som ett gott integritetsskydd att den geografiska positioneringen tillfälligt kan stängas av. Jag skulle
vilja påstå att det är en schimär. "Varför stängde du av positioneringen i eftermiddags?", är den givna frågan efteråt
- och vad svarar man då?
Här passar det att nämna något helt annat som har koppling till ovanstående: Positionerande spionprogramvaror
i mobilen. Den mest kände leverantören av spyware för mobiler, FlexiSpy, har redan byggt in GPS-positionering av
offret i sin spionprogramvara. En konsekvens blir att den som av något skäl absolut inte vill röja sin position - exempelvis personer mot vilka en hotbild finns - bör helst undvika telefoner utrustade med GPS.
Telia Friendfinder: http://friendfinder.telia.se/
Loopt: http://www.loopt.com
WSJ: http://online.wsj.com/public/article/SB120666235472370235.html
GyPSii: http://www.gypsii.com/
FlexiSpy: http://www.flexispy.com/
4. Hänt i korthet
Dataskyddsgeneral kräver att dataläckor offentliggörs
EU:s chef för dataskydd, Peter Hustinx, har offentliggjort kommentarer till förslaget till nytt
dataskyddsdirektiv ("ePrivacy Directive"). Bland annat kräver han lagstiftning om att viktiga dataläckor ska
offentliggöras. Det är vanligt att att känslig personinformation läcker ut från stora databaser hos myndigheter,
banker, försäkringsbolag och andra företag, och ibland är läckorna stora och förödande. Dock är mörkertalet
stort, eftersom de drabbade organisationerna har ett starkt intresse av att lägga locket på. Med ett EU-krav på
offentliggörande av dataläckor skulle medvetenheten hos allmänheten om riskerna med informationsinsamling
kunna öka.
http://edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2008/08-04-10_e-privacy_EN.pdf
http://edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2008/EDPS-2008-03-EN_ePrivacy.pdf
http://www.out-law.com//default.aspx?page=9053
Bombsajter och smala kvinnor förklaras olagliga
EU:s justitie- och inrikesministrar har enats om att göra sajter som beskriver bombtillverkning olagliga. Det öppnar
möjligheten för nationella domstolar att kräva av internetleverantörer att sådana sajter tas bort. Ministrarna försäkrar dock, enligt BBC, att de nya reglerna inte får användas för att begränsa yttrandefriheten. Från Frankrike rapporteras samtidigt att ett lagförslag stipulerar upp till två års fängelsestraff för den som publicerar en internetsajt med så kallat pro-anorektiskt material. Det ska inte vara tillåtet att "sprida en positiv syn på produkter, föremål eller metoder för att åstadkomma överdriven smalhet".
http://www.edri.org/edrigram/number6.8/edps-data-breach-notification
http://news.bbc.co.uk/2/hi/europe/7355446.stm
http://www.01net.com/editorial/378261/les-sites-pro-anorexie-sur-le-point-d-etre-declares-hors-la-loi/
Ryssland inför obligatorisk registrering av WLAN-produkter
I Ryssland förbereder myndigheterna en lag som gör det obligatoriskt att låta registrera innehav av utrustning för
WLAN (trådlöst nätverk). Det gäller såväl själva näten som utrustning för anslutning, exempelvis WLAN-utrustade
datorer, handterminaler och mobiltelefoner. Kommentar: I det gamla Sovjetunionen var det obligatoriskt att registrera skrivmaskiner och kopiatorer...
http://www.edri.org/edrigram/number6.8/russia-control-wifi
Film visar nakenkamera
På länken nedan kan du se en film från Aftonbladet TV som visar de nya nakenkamerorna in action. I USA har de
redan tagits i drift.
http://www.aftonbladet.se/webbtv/nyheter/utrikes/article2307306.ab
10 miljoner britter får sina surfvanor sålda
Det avslöjades för en tid sedan att tre brittiska internetleverantörer säljer data om vilka sajter deras kunder besöker.
Tio miljoner människor drabbas. De aktuella internetföretagen är British Telecom, Virgin Media och Carphone
Warehouse. Det köpande företaget heter Phorm, och använder informationen för att sälja riktade annonser. Syftet
är alltså att i reklamsyfte kartlägga människors intresseområden. Den som besöker många sajter om bilar, exempelvis, blir visad bilannonser. Phorm ägs av en person som tidigare drivit ett företag vars programvara klassades som spyware av säkerhetsföretagen Symantec och F-Secure.
http://www.theregister.co.uk/2008/02/25/phorm_isp_advertising/
http://www.theregister.co.uk/2008/04/17/ripa_phorm_shambles/
http://news.bbc.co.uk/nolpda/ifs_news/hi/newsid_7283000/7283333.stm
http://www.phorm.com/
Uppfinning kan göra datorgenomsökning vid gränsen vanligare
Den amerikanska medborgarrättsorganisationen Electronic Frontier Foundation (EFF) protesterar hos
amerikanska kongressledamöter mot det domstolsutslag som nyligen gav amerikanska gränskontrollanter rätt
att utan särskilda skäl genomsöka informationen i resenärers datorer (och andra digitala apparater såsom
mobiltelefoner). På sin sajt skriver EFF att det i dagsläget vore alltför tidskrävande att genomsöka mer än ett fåtal
resenärers datorer, men att det kan komma att förändras. Som grund för det senare hänvisar EFF till en produkt
som Microsoft lanserade för några veckor sedan. Det rör sig om en liten dosa som liknar ett USB-minne och bär
namnet COFEE (Computer Online Forensic Evicence Extractor). Det är en automatisk bevishämtare. Man stoppar in den i USB-kontakten på en dator och kan sedan inhämta avslöjande information från datorn. Exempelvis kan COFEE dekryptera lösenord och snabbt analysera en dators internetaktivitet liksom material lagrat på hårddisken. Det hela ska gå "dramatiskt mycket fortare" än med de verktyg som hittills använts av polisen. Microsoft delar ut COFEE gratis till poliskårer, och mer än 2.000 poliser i 15 länder ska enligt uppgift redan ha tillgång till den.
http://www.eff.org/deeplinks/2008/05/protecting-yourself-suspicionless-searches-while-t
http://seattletimes.nwsource.com/html/microsoft/2004379751_msftlaw29.html
http://blog.seattletimes.nwsource.com/techtracks/2008/04/looking_for_answers_on_microsofts_cofee_device.html
Ska även Angela Merkels fingeravtryck spridas?
BBB skrev i förra numret att en tysk hackarklubb har kopierat inrikesminister Wolfgang Schäubles fingeravtryck
från ett dricksglas och publicerat det i sin tidning (se bild ovan). Nu hotar hackarna, den närmast legendariska
föreningen Chaos Computer Club (CCC), att även publicera förbundskansler Angela Merkels fingeravtryck. Det
hela ingår i en kampanj mot lagring av fingeravtryck och annan biometrisk information i pass. Sens moralen torde
vara att biometri inte kan erbjuda någon idiotsäker identifiering, vilket många tror. På den tredje länken nedan finner du en steg för steg-instruktion från CCC på hur man kopierar någons fingeravtryck.
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/
http://afp.google.com/article/ALeqM5iANGKUakO3Nf0fbqPmguajqWmlZA
http://www.ccc.de/biometrie/fingerabdruck_kopieren?language=en
TV-digitalboxen som tittar på dig
Det amerikanska kabelteveföretaget Comcast experimenterar med en ny och mycket innovativ digitalbox. Den har
kamera och tittar hela tiden ut i vardagsrummet (eller var nu boxen står). Med hjälp av en avancerad programvara
räknar boxen hela tiden hur många familjemedlemmar som tittar på TV, men inte bara det, den känner också igen
familjemedlemmarna och håller koll på vilka av dem som sitter bänkade. Informationen används för att styra innehåll och menyer. Ifall barn sitter i soffan, exempelvis, kanske material av så kallad adult-karaktär blockeras. Digitalboxen använder inte digital ansiktsigenkänning för att särskilja familjemedlemmarna, utan kroppsform. Den har ännu inte testats av konsumenter.
http://newteevee.com/2008/03/18/comcast-cameras-to-start-watching-you/
Leg krävs för att sätta in pengar
Nu får banker rätt att begära legitimation av den som vill sätta in 10.000 kronor eller mer på ett bankkonto.
Åtgärden ingår i kampen mot terrorism och annan grov brottslighet vari pengatvätt ingår. Kommentar: Detta
är ett litet steg av många i utvecklingen mot anonymitetens död.
http://di.se/Nyheter/?page=/Avdelningar/Artikel.aspx%3Fstat%3D0%26ArticleID%3D2008%5C05%5C05%5C
282631%26SectionId%3DDinapengar%26menusection%3DStartsidan%3BHuvudnyheter |
