Om övervakning 2

bildt

Jag tror inte att det är en bra idé att utöka övervakningen precis här och nu. Man måste se bortom både fruktansvärda dåd  och misslyckade polisinsatser. Istället bör man titta bakåt och framåt längre än den politiska opinionen kan nå för tillfället. Här kommer några hållpunkter som kan vara bra att ladda in i det tänkande arbetsminnet, så att impulserna inte får enväldig makt över argumentationen.

För det första: datalagringsdirektivet. Eftersom detta förklarats ogiltigt av EU-domstolen så skulle man kunna tänka sig att det hänger löst även i Sverige. Men jag tror att det sitter ganska säkert. Dels misstänker jag att det inte kommer finnas någon som helst opinion för att riva i den svenska implementeringen (ingen politiker skulle våga). Men under ytan finns en viktigare aspekt.

Som avslöjades i ett SVT-reportage för två år sedan har man i princip automatiserat SÄPOs tillgång till datalagrade uppgifter. Det behövs alltså inga juridiska kontrollmekanismer för att data ska lämnas över, bara några knapptryckningar. När reportaget skrevs hade systemet bara införts delvis. Hur det funkar idag vet jag inte (länktips mottages gärna!). Men när ett system redan permanenterats som ett verktyg är det nog svårt att nedmontera det, även om det skulle vara ogiltigt på EU-nivå.

För det andra: frågan om ”statstrojaner”. Här råder det ju en förvirring eftersom många verkar tro att det handlar om att polisen ska få tillgång till exempelvis Skype. Men så är knappast fallet, tillgång till denna typer av tjänster får de redan som det är. När det kommer till de (i huvudsak amerikanska) nätjättarna så har man upparbetat rutiner för att snabbt få tillgång till informationen, som ju såklart är krypterad.

Med trojaner menas något annat. Det innebär att i de flesta fall att man köper mjukvara från ett skumt företag som Hacking Team, Finfisher eller Bluecoat (som Telecomix avslöjade), företag som inte har några skrupler att sälja samma produkter till vidriga diktaturer. Dessa mjukvaror kapar sedan den misstänktes dator eller telefon, på lite olika sätt beroende av hur bra produkten är. Man kan även tänka sig att man utvecklar en egen lösning, men det har troligtvis inte SÄPO resurser att göra. Fördelen med dessa är att de kräver någon form av eftertanke innan de används. De skalar inte upp på det sätt som datalagringen gör (fritt fram att extrahera hur mycket data som helst), utan man måste koncentrera sig till misstänkta individer. Däremot är dessa system ganska osäkra. När det började läcka om de företag (se bland annat Wikileaks Spyfiles och Hacking Teams läckta e-post) som sålde trojanska hästar så framkom det hur taffliga deras produkter var. Det innebär alltså en säkerhetsrisk bara att använda dem. Dels är går de att upptäcka, vilket genast gör den misstänkte medveten om att hen är övervakad. Dels öppnar man upp en IT-säkerhetslucka mot sig själv, eftersom programvaran ju ”ringer hem”.

Det är viktigt att både SÄPO och FRA har precis rätt verktyg och befogenheter som krävs för att försvara det öppna samhället utan att för den sakens skull upplösa det. Det är en mycket svår balansgång som man inte ska försöka vandra om det blåser kraftiga vindar.

Bluecoat hardware still up and running in Syria

Today I gave a talk to an audicence consisting mostly of European Studies students at the Faculty of Social Sciences in Gothenburg. I mostly talked about the political paradox of Western ”Net freedom” and dictatorship surveillance, and how we lost the credibility as Europeans to criticize other countries in the world. ”Surveillance is bad elsewhere but OK in Europe” is simply not a valid strategy.

However, I like concrete examples as pedagogical vehicles for explaining how government surveillance really works. So, I talked about Bluecoat in Syria and how US and EU technology is used to spy on people.

While preparing my talk I repeated some of the diagnostic commands (see above link) that were used to expose Bluecoat in the first place, just out of curiosity. I ran nmap -A -sS 91.144.44.68, and after two minutes, to my surprise, the nmap program gives the same output as it did almost a year ago. A small excerpt:


21/tcp open ftp Blue Coat ftpd
22/tcp filtered ssh
23/tcp filtered telnet
42/tcp filtered nameserver
80/tcp open http-proxy BlueCoat SG-400 http proxy
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1720/tcp filtered H.323/Q.931
1863/tcp open msnp?
2000/tcp filtered cisco-sccp
5050/tcp open mmcc?
5060/tcp filtered sip
5101/tcp open admdog?
8080/tcp open http-proxy BlueCoat SG-400 http proxy

The Bluecoat surveillance machines, in this case most likely a SG-400, are still up and running. You can try this for yourselves. It is perfectly legal and all you need is the nmap program.

So, even though Bluecoat devices get spotted around the world, for example in Burma and Syria, it seems that not much happens. The machines just keep running.

This raises a few questions:

1. Why won’t Bluecoat disable the surveillance gear remotely? These machines were never supposed to be in Syria in the first place.

2. This device is legal to use in the EU due to the data retention directive. To put credible political pressure on Syria and Burma, we need to make them illegal in the EU to begin with. Only then can we legitimately demand their removal with reference to human rights.

Update: I chatted with my more tech-savvy friends and they say the latest bid is that Bluecoat claims that they can not disable the machines remotely, but they have stopped sending upgrades to them. Whether true or not is hard to tell because I can’t find any official statements on this topic.

The 90s were already under surveillance

Recently it was revealed that TeliaSonera cooperates with the authorities in Azerbaijan, Kazakhstan and Belarus in providing a telephone interception system. Such an event is only a singular instance in a larger series of revelations that have been reported over the past few months. Other cases include Telecomix revealing Bluecoat surveillance equipment in Syria and the Wikileaks Spyfiles. Telecomix has even launched a project called Blue Cabinet that traces down vendors and corporations that are deeply entangled in both what we usually refer to as dictatorships and democracies.

To these cases there is a larger set of contradictions and twists that makes things very complicated. We may refer to them as hypocritical or immoral, however, it seems that these contradictions never dissolve and are very powerful in maintaining business as usual. They can be summarized as follows:

1. Government surveillance is legitimate in democratic states but not in dictatorial states. So, the western world supports ”net freedom” for ”democracy”.

2. Because surveillance is legal in the EU/US, it is perfectly all right to manufacture and use these technologies elsewhere where they are legal.

3. The world needs free and open communication technologies, so we sell the world technologies that makes surveillance more efficient.

This type of political reasoning enables a sort of dead lock. It makes possible for nobody to actually take responsibility for what happens. At the end of the day, politicians go home and dream of net freedom. And the corporations sleep tight knowing that what they do is within the ”legal” framework.

This can be demonstrated with TeliaSonera’s response to the revelations of their surveillance system. In Dagens Nyheter, TeliaSonera replies (roughly translated):

Telephone operators are thus obliged to give [access to the network traffic] to the authorities – also in Sweden, where the police is intercepting phone calls every day, the parliament has decided that phone and data traffic should be retained and the FRA has access to all data that passes our borders.

In one sense, TeliaSonera is completely right. There is nothing strange to this thing called government surveillance. We do it legally over here in Sweden and it is enacted by democratically elected governments. EU-wide data retention and signal intelligence interception is part of everyday life. These laws and regulations do not differ very much from those of non-democratic states. The Bluecoat equipment in Syria does nothing more than the average data retention in Europe. The police in Azerbaijan basically has the same legal framework as the Swedish police. However, even though TeliaSonera is right in showing that Sweden is hypocritical, they are cowardly claiming that they have no responsibility. Only because surveillance is legal everywhere doesn’t make it right.

And still, we say that these ”bad” states need more net freedom.

However, legal frameworks are often over-estimated in how they rule the world. A common misconception is that everything went crazy after 9/11. The story goes: In the fear of terrorism, EU and the US passed a different legislations that made surveillance more legal and human rights were increasingly being violated by the western world themselves.

This can in fact be easily falsified. A story most widely covered in Germany, concerns Siemens selling surveillance systems to Syria in the year of 1999 and then continued to sign more agreements in 2005 and 2008. A leaked invitation to bid dated August 1999 reveals the story of how the internet came with built-in government surveillance in Syria more or less from the beginning.

Before the deal with Siemens, the Syrian network was very small. According to the description of the current infrastructure found in the document, the capacity for e-mail was merely 5000 users.

Besides the retro-sounding paragraph 8 specifying Y2K compliance (p. 34), the invitation to bid specifies specific surveillance possibilities. For example, it says that ”[filters] should not cause any delay or bottleneck while maintaining the possibility to check every packet (9)”. Moreover, the section called ”Monitoring system” explains the needs of the Syrian government to pursue ”law enforcement”. So, the Syrian government requests:

In addition to the above mentioned minimum requirements, the bidder should describe in details the possibilities to detect, intercept, and block the exchange of encrypted data, along with all other possible monitoring features and applications. (p. 21)

It is the year of 1999 and the IT-boom is about to explode. Syria makes a request – western companies deliver. We don’t need a Patriot Act for that to happen. The 90’s were never a wild frontier for anarcho-liberal experimentation. The surveillance systems were built long before we would even dream of an arab spring or a data retention directive.

Siemens keep up their sales in Iran and Bahrain. To these states we want to export ”net freedom”. In fact, all we have exported so far are the technologies of mass surveillance.

Tillbaka till Framtiden: Analogisering och digitalisering

Det är dags att återvända till ”Framtiden”, som har sporrat dels en intressant diskussion hos Rasmus på Copyriot, samt en intressant reflektion av Anders Mildner (även om boken inte hänvisas till explicit, se nedan).

Diskussionen hos Copyriot handlar om vem som egentligen ”Framtiden” polemiserar emot. Vi tar ett citat ur boken:

Precis som 1900-talets futurister var 2000-talets nätsvärmare besatta av hastigheter, flöden, affekter, massbeteenden och ny teknik. Precis som futuristerna vägrade nätsvärmarna att se världen som oföränderlig. De var övertygade om att samtiden bara kunde förstås genom berättelsen om den konstanta utvecklingen. (56)

Problemet är att ”nätsvärmare”, ”nätaktivister”, ”pirater” osv. är beteckningar som minst sagt är svåra att definiera, lokalisera och polemisera emot. ”Framtiden” är förvisso en essä i ett romanformat, så att stoppa in en fotnot skulle göra våld på formatet, men kanske göra väl för argumentet.

Det finns nämligen god grund för att argumentera det rakt motsatta. Nätaktivister är, och har varit, några av de främsta digitaliseringskritikerna, främst på området personlig integritet/självbestämmande. Exempel: Datalagringsdirektivet innebär en digitalisering av människors rörelsemönster, kontakter och sociala liv. Denna digitalisering får, enligt många nätaktivister, inte ens äga rum från första början. Ett annat exempel är hur köttslig tillvaro på hackerkonferenser ofta innefattar ett digitaliseringsförbud (inga foton, inga videokameror).

Och ett tredje exempel är den ganska konsekventa kritiken mot panspektron, som jag diskuterar i Det Nätpolitiska Manifestet:

I vår samtid är det inte längre den optiska blicken som övervakar oss, utan istället databaser och loggfiler, datorer och mobiltelefoner. De skapar en ny form av visibilitet bortom det mänskliga ögat. Panspektron markerar således de nya frontlinjer inom vilka breda spektra av analoga signaler kan göras digitala, och därmed synliga, på ett mycket mer omfattande sätt an tidigare.

Tvärtom är det främst företag och stater som vurmat för en ”ökad” digitalisering, och kommit på förvirrande begrepp som ”digitala ekonomier”, ”Svenska ambassaden i Second Life”, ”e-legitimationer” osv.

Det stora problemet med ”Framtiden” är dess monolitiska syn på internet (med pyramiden som monolitiskt figurativ), i kombination med den fenomenologiska blick som strålar ut från en metropol i ett högindustrialiserat land i norra Europa. För att ta det enkelt: Internet är inte samma sak i SoFo som det är i Kairo eller Xinjiang. En bred civilisationskritik, kan inte ha en så smal utgångspunkt, och kan inte heller skrivas med Washington som utgångspunkt, även om det är en vanlig föreställning att politik har sitt epicentrum på sådana platser.

Anders Mildner skriver en ganska träffande reflektion över detta i SvD:

Ur medieperspektiv var så klart omsvängningen mot ökad internetskepticism väntad. I ett samhälle som är så starkt genomsyrat av medielogik som vårt, kommer det som en gång höjs till skyarna så småningom obönhörligen att plockas ned på marken igen. Där är vi i dag. Internetdiskussionen i samhället skiftar just nu fokus. Kultur-, delaktighets-, och demokratisnacket är på väg ut. Det är inte särskilt svårt att räkna ut vem som glädjs över den utvecklingen.

Denna tråd förtjänar att spinnas vidare på. Utgångspunkten ”vårt samhälle” håller inte för internet, eftersom internet aldrig har varit ett samhälle. Analogisering – Digitalisering – Analogisering är tusen olika saker: I vissa fall, ganska få rent numerärt, är det kanske en protest i Egypten (analogisering) som digitaliseras, laddas upp på Youtube, och återanalogiseras på hundratusentals skärmar. I många fall, rent kvantitativt, sker denna transformation i långt mer vardagliga sammanhang. Jag sitter och fikar, twittrar ut ett foto med GPS-metadata, och nån som följer mig på Twitter återanalogiserar informationen i ett försök att slå ihjäl lite tid på kontoret. (total nollintensitet)

De båda händelserna är teknologiskt sett mycket lika varandra, analogisering-digitalisering (plus metadata) – ackumulation av arbetskraft hos ett storföretag (Google, Twitter) – återanalogisering på en annan plats i nätverket (plus koldioxidutsläpp).

Just på grund av dessa händelsers perfekta individualitet (deras status som haecceiteter och händelser) är de långt mera autentiska, mänskliga och egentliga än en universalistisk fenomenologi av fötter i gräs eller doften av hav. Mitt vardagstwittrande och en egyptisk youtubeuppladdning kan inte tänkas genom samma register. De är förvisso tekniskt nästan identiska, men de är fundamentalt olika som existensformer.

Vardagstwittrandets tvång, oket av att kolla sin Facebookstatus, livskrisen inför informationsöverflödet, ensamheten som uppstår när man har addat ytterligare en ”friend” men ändå känner att det var mera autentiskt på åttiotalet när man satt och hade tråkigt lyssnandes på ett blandband eller tittade på Vetenskapens värld, är förvisso en intressant analys av en modern ångest som kanske drabbar och passiviserar ett och annat barn av IT-bubblans frammarsch. ”Framtiden” gör helt rätt i att kritisera detta tillstånd, och slå hål på dess frihetsmyt.

Men ett sådant scenario utspelas inte i samma pyramid som en krypterad tunnel ut ifrån Kairo, en chatt genom The Golden Shield, eller nedladdningen av konfidentiell data från det militärindustriella komplexet. I dessa fall finns inte ”digitalisering” som en övergripande samhällsförändring, utan endast som ytterst konkreta överväganden. Vad hamnar i loggfiler? Vad kan knäckas av någon som lyssnar? vem kan ta ned torrent-filen?

Internet undflyr på så sätt själva tanken om att vara något tekniskt, att ge upphov till ett Gestell, ett tillstånd som villkorar existensen. Jag har alltid brottats med att försöka förmedla denna tanke om radikal heterogenitet som den enda vägen till en trovärdig analys. Jag har använt obegripliga uttryck som ”minoritetfraktal”, ”panspektron” och ”haecceiteter”, teknologisk ”fylogenetik” och ”chiffrets fjärde parameterrymd”. Allt för att destruera de gamla registren: ”Teknik – existens – essens”, ”cyberrymd – real life”, ”demokrati, medborgarskap – transparens”. Begripligheten i dessa manövrar har på sin höjd lett till förvirring, och det är förvisso en effekt som inte ska underskattas.

Uppmaningen är dock densamma: ”Ta din dator, tunnla dig runt en diktator eller en fångstapparat, ta kontroll över tekniken och böj och bänd den tills du kan koppla om till något bättre!”.

Burrowing paranoia

Burrowing birds. Making holey spaces in the ground.

This is a long essay in English that I am submitting to the Apocryphal Machinery of Ciphernautics, which also you can contribute to by using the Gitorious archive, just like any other software project.

Introduction

It is another average day and you boot up you computer. Lately a certain worrisome feeling has started to creep into your mind. It is the feeling of someone watching you. Every move, and every conversation, seem to disappear out on the networks. Perhaps there is someone copying your messages, then reading them, and to you anger there seems little that you can do about it. A common reaction is then to build a burrow.

Earlier this week you wanted to tell your friend something secret. It wasn’t really anything big, just another thing that you wanted whisper instead of saying it out loud. Also, there were some files on your hard-drive that you wanted to keep secure. What if someone stole my laptop? What if someone tried to copy my files? In the corporate networks of today, under the jurisdiction of States willing to listen in on the bits and bytes sent across the networks, this emotion is for everyone and nobody. You will have to deal with it, one way or another. Paranoia will enslave you or liberate you, depending on how you handle it.

To understand the future of the Internet and how to cope with its problems, we need to consider at least three different modes of thinking. Actually, they don’t necessarily have to be three, but could be multiple. Reality has an infinite number of modes; modi multiversum – practica ciphernetica.

First we draw from literature and philosophy, then we move on to zoology and biology, to finally return to the computer science of ciphernetics to revise and refine our tools of enciphering the world.

Kafka and the burrow – the political literary model

In his short story der Bau (the Burrow), Franz Kafka describes the productive element of paranoia, through a burrowing animal that devotes its life to building a secure home in the underground. The animal spends most of its waking hours building and securing an fortress, through walls, tunnels and passages. The burrow must stay hidden at all costs, and nobody else is allowed to know the existence of the secret passages. One day, the animal starts hearing noises in the ground, as if another animal, maybe even a monster, was digging a competing system of tunnels, which would breach the security of the Burrow. The poor animal becomes obsessed with the noise, and even though there is no conclusive evidence of a terrible monster, the threat becomes very real in the paranoid mind of the animal.

From time to time, the burrowing animal reflects upon its life. From the English translation of the Burrow:

I almost screw myself to the point of deciding to emigrate to distant parts and take up my old comfortless life again, which had no security whatever, but was one indiscriminate succession of perils, yet in consequence prevented one from perceiving and fearing particular perils, as I was constantly reminded by comparing my secure burrow with ordinary life.

First and foremost, paranoia is something that will consume a lot of energy. It is a whole psychic machinery of obsessive emotions, fueling themselves recursively without any type of finite rationality. There can always be another escape-tunnel, another fortification in the walls, another exit point hidden from the wild beasts of the surface. There is never enough. The paranoid machine of the unconscious connects it flows to your hands, your whole body only enjoys silence and satisfication as long as you keep improving the safety. From time to time you are able to imagine the ”ordinary life” of the surface dwellers. The first symptom is however a lack of trust in others. Who are they? Where did they come from? What are really their intentions?

The second iteration of paranoia is that you stop trusting your own senses, your own body. You start asking yourself whether your memory was right. Desperately you start writing down things. You never know, sometimes you might have to check. You start double-checking the quality of the tunnels, then triple-checking, then all of a sudden you find yourself chokingly checking over and over again until you get too tired to check once more. On the Internet, this ritualistic behavior goes by way of checksums, certificates, encryption passwords and constant lookups of your IP-number. There can be no mistake, one insecure connection and you are trapped! You slowly march into a state of solitude. Kafka again:

If I only had someone I could trust to keep watch at my post observation; then of course I could descend in perfect peace of mind. I would make an agreement with this trusty confederate of mine that he would keep a careful note of the state of things during my descent and for quite a long time afterwards, and if he saw any sign of danger knock on the moss covering, and if he saw nothing do nothing.

The loss of your friends is the reason for why the paranoia of the burrowing and solitary animal will always fail. There is no longer anyone out there to break the flows, the repetitions. You slowly end up digging tunnels for yourself only, and while you isolate your mind it slowly turns inwards. There is a black hole inside your own mind, which slowly consumes all the little particles of yourself into a point of no return. There is no longer chaos, but a slow order, brought about by your own gravity field. No matter how safe your tunnels are now, no matter the strenght of you ciphers or the depth of your secret passwords, paranoia has a power takeover.

To flee the solitary paranoia, we must find a model of thought which is collective in nature. Thus we turn to the multiverse of the animal world.

Burrowing animals – recordings from zoology

Rabbits are burrowers. So are frogs, amphibians, reptiles, even some birds and dinosaurs. There are burrowers of the sea, burrowers of arborescence, and burrowers that live in entire queendoms. Burrows have the primary function of protection against predators, but may also include the building block of societies, shelter for reproduction and storage facilities for food. There are even cases of burrowers in human bodies; The scabies may use your flesh to burrow, causing a major itch.

Burrowing animals may be divided into two major psycho-political categories; suicidal and kamikaze. These two modes of operation are wholly different in nature. While Kafka’s animal turned inwards, only to be trapped in the black hole of paranoia, there are other species willing to offer another model of death. Death-drive, this concept of a final solution, is the cutting edge of paranoia, and must be understood before we are able to move on again.

There is an absolute difference between foxes, which may become may become an heroes, while termites self-sacrifice:

In cases where the intrusion is coming from a breach that is larger than the soldier’s head, defense requires special formations where soldiers form a phalanx-like formation around the breach and blindly bite at intruders or shoot toxic glue from the nasus. This formation involves self-sacrifice because once the workers have repaired the breach during fighting, no return is provided, thus leading to the death of all defenders.

Arborescent termite tunnels. Your protection on the vanilla Internet.

Far beyond the lonely mammal-burrower, the termites organize their tunnels according to various functions, a multitude of milieus, creating whole societies on infrastructures that are not only witty and clever, but also include a division of labor, and a hierarchic mode of organization (we even call some of their structures ”cathedrals”).

You can kill all the foxes on the countryside of England, yes, you can even make rabbits an extinct species. But you can not get rid of termites, no matter the poison you apply. Because of their intrinsic structures, the propagation of a hive-mind in a collective assemblage, their communicative adaptation, they have rendered themselves near nuke-proof. The exit nodes of their tunnels are protected by soldiers willing to take their lives in order to keep the network up an running, without breaching security. The burrow is composed of an absolute trust, and paranoia is counteracted with a much stronger emotion of de-subjectification. We are no longer individual termites, we act as one and thus we take over the forest and the desert!

Rabbit burrow. The exit node is a dangerous place.

The Technological burrow

Let us return to the notion of the panspectron: It entails three types of data for surveillance; content data, traffic data and meta-data. These are all a threat to the burrow.

By content data the actual payload of our traffic is designated and targeted. It consists of files. To prevent anyone from reading our files we encrypt them, for example with GPG. Cryptography comes in various shapes, strengths and weaknesses. The method of deciphering is called cryptoanalysis, and is a task for the mathematician. Cryptos may also have flaws in security that depends on key- exchange, human error and sloppiness, or other design errors and unforeseen events. When burrowing a file in crypto, it is not to be confused with burial of a file. To kill a file you need to shred it, not merely delete it. Alternatively, you destroy the storage medium.

By traffic data we mean the additional data used in computer networks to navigate where content data is supposed to go. In distributed packet-switched networks such as the Internet, traffic data is defined in the Requests for Comments for the TCP/IP suite. Traffic data reveals parts of your identity when moving around in the plain-text open networks. It is a very handy tool for the technicians and engineers of the networks, since it makes analysis, debugging and statistics an easy task when automated. However, traffic data is hazardous for the burrowing internaut, since it produces an entire cartography of its setups, movements and destinations.

Surveillance of traffic data is circumvented by the tunnel system of the burrows. The most basic setup is to hide your actual location with an escape tunnel that exits elsewhere. An old corporate product, the Virtual Private Network is one method, another one the proxy server. Single tunnel escape routes pave way for a primitive burrowing, and their downside is the fact that a single tunnel may be compromised by the wolves of the vanilla Internet. Also, clever predators may listen in on several locations of the Internet, and slowly finding out to where the tunnel leads by analyzing traffic patterns.

A more refined way of burrowing is to join in on an already existing meshwork of tunnels. Tunnels inside the tubes, which almost randomly and with additional stealth technologies provide a network inside the network. Such examples are the TOR and I2P darknets. They allow internauts to create hidden burrows called ”hidden services” or ”tunnel destinations”. The burrows are protected by network algorithms that produce tunnels that begin and end with ”hops” which are irreversible in nature. This way, you are not able to trace exactly where the burrow is located, since you instantly keep forgetting the path that took you there. All you need to navigate is a mathematical number, consisting of an encryption key, or a hash-sum of the encrypted key.

The third form of data is the meta-data. It consists of descriptive data which is always added to existing data. Lets say that there is a file consisting of an image. If you add a description to the image, lets say the name of the person on the photographic picture, you have added meta data. Meta-data modulates analogue traces into digital constants. It gives names to the world, just like the system of nature of Linneus, who created an entire cartography of the animal kingdom.

Designating meta-data can be performed my humans and machines. The computer is unable to initially know the name of a person on a photograph. However, if this information is added by a human, the computer can then calculate the properties of the persons face, and then recognize him or her in another photograph by statistical variations and mathematical associations.

As computers are rapidly becoming more and more ubiquitous, larger quantities of the spectrum is becoming attached with meta-data. Every day hundreds of thousand of images, maybe millions, are designated with proper names on facebook.com. The names we were given by the family or the pack offline, in modern states also by States, are in turn over-coded by the gigantic human-machine assemblages of the web 2.0 economies. Your face is now a unit of measure, a distinct absolute in the vanilla networks. You are supposed to feel comfortable about it since it now has become very easy to associate you with others. The picture no longer shows plain waves of light in the spectrum, but entire associations of communities of people. The name-tag is not worn on clothes, but worn in databases. ”On December the 1st Jane Doe attended the housewarming party of James Doe. Also attending were Cameron, John-Henry and Catherine”.

The smiling faces on the picture are baptized in the river of data. In a near future more things will be modulated. The brand of the sofa, the location of the party via GPS satellites, the place to buy the music online which is played in the background. Still, it is not a question of realism. It is not about providing detailed representations of an event. It is rather on the conditions of accumulating the lives of consumers, collecting their little traces of living, consuming, associating. Meta-data adds information, it takes nothing away. It captures by copying and generating. It starts to know by means of prediction. When will Jane and James throw another party? Based on previous patterns sometime in February. If we know this in advance we have captured the moment of proto-consumption. What wines are they planning to buy? Maybe they would like to eat roast chicken? A targeted advertisement in the flow of information hits the rabbit in flight on the vanilla Internet. Only a burrow can save it now!

Lessons learned

Burrows must be built and expanded. However, burrowing in solitude is never a good idea. It sooner or later leads to the black hole and implosion. Instead, burrows should be built as infrastructure. On the vanilla networks, users are unprotected and have little chances of escaping the wolves of data retention, data mining, data wiretapping, etc. Then we need to build entry- and exit holes, a collective assemblage of tunnels, for the safety of netkinds.

Om Wikileaks och beskiffringen av världen

Idag skrev jag en artikel på SVT debatt om Wikileaks som ett proof of concept för hur man kan ta journalistiken till next level med hjälp av kryptografi. Det knyter direkt an till mitt brev till journalistkåren. Tyvärr verkar kommentarsfältet endast diskutera Assange, så jag antar att jag misslyckades i min grundläggande kritik av personifieringen.

Här hade det kunnat vara på sin plats att överge hoppet på tänkandet, att inse att människors enfaldiga upptagenhet vid det mänskliga och personliga är en konstant i jag-moderniteten, och sakta men säkert se massorna begära sin ledare inför undergången samtidigt som ingen verkar bry sig om datalagringsdirektivets stilla införande.

Men så tänker bara bittra gubbar från förra sekelskiftet. Istället gör man som Isak Gerson och löser problemet. Lite datatrix och brandväggen, oavsett om den befinner sig i Uppsala Stadsbibliotek eller i Xinjiangprovinsen, är kringskuren.

För många ter sig en sådan approach som brutal och teknokratisk, på gränsen till utomparlamentariskt odemokratisk. Vissa tycker till och med att man ska lyda genom att inte kryptera sin trafik.

Detta är ett gravt missförstånd. Tvärtom är världens starkaste yttrandefrihet lagligen formulerad av bland annat hackers. Facit finns på Island. Det är bara att ladda ned och kompilera.

Meanwhile får övervakarna tugga på mina over 9000 krypterade anslutningar som passerar min bunkerlägenhet.

Ett brev till journalistkåren


Kjell Häglund skriver en mycket intressant och på många sätt drabbande krönika om hur journalistiken påverkats av den senaste tidens övervakningslagar.

Vad gick snett egentligen? Varför kan inte ens SVT utlova källskydd längre eftersom all kommunikation är på väg att tvångsdatalagras? Varför ges instruktioner om att man ska smyga till internetcaféer och undvika kameror om man vill prata med en journalist?

En annan fråga, som är mera ödesmättad, är varför journalistkåren inte försvarade sig själva när det fortfarande fanns tid. För länge sedan, när FRA-lagen skulle omröstas i riksdagen, skrev jag att meddelarskyddet just avskaffades. Vad sade journalistkåren? Ingenting.

Men, nu finns det ju ingen anledning att vältra sig i en vad-vare-vi-sa-attityd. Sånt är för sorgliga rättshaverister!

Istället gäller det att bygga om det som gått fel, och då kan jag ge några tips.

För det första bör journalistkåren sluta vara objektiv. Det här handlar om dess viktigaste funktion, att granska makten och att skydda sina informanter. Man kan inte ge ”båda sidor” när det handlar om självförsvar. Jag vet att detta bryter mot olika dogmer som man får lära sig på journalisthögskolor, men låt istället Nepotia hosta upp med cash för att ge andra sidan. Det är inte er uppgift!

Men viktigare är den råa kryptografiska kraften! Anledningen till att man hellre läcker till Wikileaks än till en nyhetsredaktion i Sverige är att Wikileaks kan garantera anonymitet. Det kan inte längre en tidningsredaktion trots att man har lagen på sin sida. I’m sorry, men er teknik är kass!

Detta går att fixa. Låt mig beskriva ett teknologisk scenario. Vi tar dn.se som exempel.

Bygg helt enkelt https://secure.dn.se. Här har ni en självsignerad https-server som är inställd på att inte spara några loggar. Certifikatets fingerprint trycker ni i pappersupplagan av Dagens Nyheter. Då kan man själv verifiera att anslutningen är säker, och man sänder även en signal till de som vill övervaka och inskränka i meddelarskyddet att här har vi tagit till en drastisk metod. Denna säkra sida kan sedan funger som en ”drop box” för nyhetstips och uppladdning av dokument. Användarnas innehållsdata är skyddade av kryptering ända fram till webservern, och genom att uppmuntra dem att använda Tor eller en anonym VPN-tjänst kan de även kringgå datalagringsdirektivets trafikdatainsamling.

Vidare går alla journalister utbildning i GPG, OTR, och kanske även Tor. Med dessa teknologier redo att användas, blir det mycket enklare att upprätta säkra förbindelser under FRAdarn. Använd endast öppen mjukvara och signera certifikaten själva. Det innebär lite arbete, men det är värt varje minut när det väl sedan fungerar.

Liu Xiaobo lärde sig att tunnla ut ur Kina. Varje dag stöter jag på människor offline och online i Europa som gör samma sak. Kunskaper om datorsäkerhet och kryptografi är oerhört viktiga just nu, och därför är det allt mera bråttom att kunskaperna sprids på en bred front. Här kan journalistiken verkligen hjälpa till.

Nätaktivisterna hjälper gärna till. Mejla mig eller gå till Telecomix så ordnar vi gratiskurser i kryptografi. Vi har next level chiffer, ni har ett skadeskjutet meddelarskydd. Lägger man ihop dem så blir det dock väldigt kraftfullt!

Datalagringens maktasymmetri


Det finns få begrepp som är så förstörande för tänkandet som ”fildelning”. Begreppet lägger sig som en cancerogen smitta över alla nätfrågor och äter sakta men säkert upp alla detaljer, alla komplexiteter, alla saker som är värda att fråga efter.

Det sabbar alla resonemang om anonymitet, för helt plötsligt är anonymitet bara något som ”fildelare” vill ha för att slippa åka fast för hyrsnuten. Det sabbar nätneutralitetsdiskussionen, för det gör så att det enda man ska ha ”rätt till” i näten är att fortsätta köra bittorrent. Det sabbar diskussionen om datalagringsdirektivet, för helt plötsligt var det enda viktiga med tvångsloggningen att nu kunde abonnentuppgifter begäras ut för bötesbrott.

Bilden ovan är talande. Vi tar en symbol för fildelningen, The Pirate Bay, och sen avkontextualiseras hela datalagringsdirektivet och helt plötsligt handlar det nästan uteslutande om fildelning. Denna förbannade fildelning.

Fildelning sägs vara en ”generationsfråga”, en politisk princip som alla ungdomar tycker något om. De sägs vara positivt inställda, även om de sitter och lyssnar på Spotify. Fildelning har lett till ett helt nytt sätt att se på vad kultur egentligen är, att det har förvandlats till en ”allmänning” och att delning av filer är något naturligt.

Jag vill inte förminska allvaret i att datalagringsdirektivet kan komma att användas till triviala överträdelser så som fildelning. Jag menar, vad hände med serious i direktivets the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law. Det försvann…

Nej, en bättre symbol för datalagringsdirektivet än ett gammalt piratskepp är följande bild.

Mitt argument i Det nätpolitiska manifestet är att det paketförmedlade internet ger oss oerhörda politiska krafter genom att det är en teknologi gjord för att överleva kärnvapenattacker. Med några enkla manövrar gör vi oss inte bara osårbara för Firesheep-attacker, utan våra tunnlar kringskär effektivt datalagringen.

Mitt missionerande för tunnlar, för kryptoanarkistisk praktik, för att skapa den fraktaliska chifferrymden drivs av medvetenheten om att vi kan ta makten över vår nätvaro, vår existens. Med en bra VPN-tunnel finns inte längre datalagringen i våra datornätverk, finns inte IPRED, finns inte någon som kan stjäla dina inloggningsuppgifter, finns inte the Golden Firewall of China…

Genom en sund dos av chifferpunk är det noderna som bestämmer på nätet. Alltså du och jag. Men så funkar inte mobiltelefonnätet…

Mobiltelefoner är teknologier som vi bär med oss överallt. Globalt sett är mobiltelefoner vanligare än internetanslutningar. Mobiltelefonernas basstationer, som på bilden ovan, skapar hela tiden loggfiler.

Varje mobiltelefon har ett unikt IMEI-nummer som identifierar själva hårdvaran. Det funkar ungefär som MAC-adresser, alltså unika nummer för varje nätverkskort. Skillnanden är att på min dator kan jag ändra detta nummer med ett enkelt kommando. På en mobiltelefon är det nästintill omöjligt, i vissa länder till och med olagligt.

Vidare har mobiltelefonnäten en fundamentalt annorlunda struktur jämfört med internet. Trots att vi numera har ”smarta telefoner”, så är de inte så smarta som just telefoner. Med datorer som jag hittar i en soptunna, lite fri mjukvara och några kablar kan jag bygga ett internet (även om jag skulle kanske behöva fråga lite folk om tips och råd). Men alla funktioner som krävs är inbyggda i datorerna redan. De är helt enkelt byggda för att bygga nätverk, även om vi för det mesta använder de till andra grejer. När jag skriver detta vilar min ena fot på en IRC-server (bild nedan) som driver delar av Telecomix chatsystem, andra foten värms av en SSH-server som även driver Faxpad och hanterar cirka femhundra samtidiga kryptotunnlar för i2p-darknetet.

Jag sparar inga loggar eftersom mina vännner använder datorerna. Jag kan välja att inte göra det, och (hittills) finns det ingen som kan tvinga mig att logga. Tvångsloggning hör hemma i totalitära samhällen, och jag ämnar vägra in i det sista. Så här:

Eftersom jag bestämmer över min egen data kan jag skicka autentiseringsloggen direkt till radering med ett enkelt kommando.

Mobiltelefoner är istället byggda som ganska dumma sändare och mottagare. Man måste bygga basstationer, teckna avtal med stater om att få plats i det begränsade radiospektrumet och klättra upp på hustak och fästa antenner. Mobiltelefoner är en konsumentteknologi, de ställer oss som passiva slavar under infrastrukturen. Våra val att bli loggade eller inte är inte våra. Vi kan inte byta protokoll, vi kan inte skapa tunnlar med enkla kommandon. Vi kan bara använda eller låta bli.

Hos Telia, Telenor, Tele2 finns kraftfulla loggfiler som vi inte kan påverka. I Facebooks serverhall finns också kraftfulla loggar, men någonstans valde vi själva att lägga alla personliga detaljer på ett enda ställe, hos ett privat företag under amerikansk patriotlagstiftning.

Det senaste dygnet finns det loggfiler hos Telenor över vilka jag drack öl med igår. Det finns en loggfil över att jag köpte pizza idag och det finns en loggfil över att jag tog ut en hundring i bankomaten. Jag kan inte ta bort dem, jag kan inte ändra på dem och jag kan inte undvika att de skapas med mindre än att jag stänger av telefonen.

För att datalagringsdirektivet ska förstås som denna viktiga fråga om loggens politik i en teknologisk infrastruktur som vi inte kan påverka, måste vi bryta fildelningens imperialism.

Det finns dock hopp. Klara och Amelia är som alltid klarsynta och pekar mot möjligheten att riva ned datalagringshetsen, så vi som i Tyskland äntligen kan radera loggarna som inkräktar i vår existens.

Från Green tea party till operation Shedstream

Via Interfax meddelas att #greenteaparty är över. De gröna partierna i EU, däribland det svenska miljöpartiet går gemensamt ut med en resolution som pekar i precis rätt riktning – mot att datalagringen ska avrustas i Europa. Det är bra. Mycket bra.

Miljöpartiet har kanske fått mest kritik i denna sörja. Själv har jag skrivit många arga blogginlägg och Lisa har till och med tagit ålen och torsken som gisslan. Det kan tyckas vara oförtjänt när vi alla vet vad som är roten till inte bara datalagringen utan även #censilia-filtret.

Vad Europa hela tiden måste nedmontera är ett mönster av censur och övervakning som på ett systematiskt sätt kommer från svensk Socialdemokrati. Vi kollar facit:

  • 1. Datalagringsdirektivet – Långt utanför Sveriges gränser var Bodström en mycket stark pådrivare av tvångsdatalagringen som har drabbat nästan hela unionen. Sakta men säkert får då civilsamhället se till att montera ned det, och än så länge har Tyskland lyckats ganska bra. Att datalagringsdirektivet bär svensk sosseflagg är det ingen tvekan om.
  • 2. Censilia – ett nytt kort i leken är förslaget om Europeisk nätcensur, som drivs mycket hårt av Cecilia Malmström. Tanken är att EUs medlemsländer ska ”harmonisera” en spärrlista för det öppna internet som ska blockera barnpornografiska bilder. (Förtydligande – Cecilia Malmström är ju folkpartist, men filtret har långt tidigare införts i Sverige genom bland annat Bodströms Ecpat. Utan tvekan är alliansens paternalism i grund och botten en Socialdemokratisk innovation. Kalla mig gärna osaklig när jag gör denna koppling.)
  • 3. Spotifykorporativismen. Denna ger sig till uttryck inte bara i IPRED (som ju Alliansen visserligen klubbade), men även i kontroversen kring Voddler/Spotify, som genast lett till att Leif Pagrotsky kallar in industrin för att genomdriva så kallade ”lagliga tjänster” på bekostnad av de neutrala näten och utan hänsyn till öppna licenser som GPL.

Vad får vi om vi lägger samman dessa tre saker? Ett övervakat nät som censureras och som utvecklas på industrins villkor. Detta kan tyckas vara en grov förenkling, men motsatsen kan knappast bevisas. Dessutom måste man tillägga att alla dessa tre i princip bara har effekter på den så kallade ”allmänheten” eller svennebanan. Datalagring fångar inga terrorister, och har aldrig gjort det heller. Nätcensur fångar inga personer som begår övergrepp mot barn. Och Spotify-samhället drabbar bara den stora majoriteten.

Socialdemokratins politik befinner sig alltså på en generell nivå som i traditionell modern mening handlar om att administrera befolkningen. Denna genomsnittlighetens politik utgör en slags biopolitik vars syfte är att kontrollera kroppar. Kroppar ska övervakas genom datalagring, deras lustar och begär skall hållas inom en normalitet, och de skall arbeta och konsumera i tydligt separerade mönster. Men problemet med Internet är ju att det inte låter sig regleras riktigt på det sättet, utan att det snarare undflyr just försöken till att uppgå i en genomsnittlighet. Ett nätverk är av en helt annan karaktär än en massa.

För att skapa fred måste vi alltså ändra på sossarna. Det är sjukt svårt. Några metoder som utarbetats i Telecomixsystemet är följande:

  • Operation Shedstream – Vem som helst kan delta i denna kampanj som inte upphör förrän datalagringen har försvunnit.
  • Programmet ”Adopt a Social Democrat” behöver internauter som adopterar sossar och genom endurance battle ser till att individuella partister förstår vad de håller på att göra med internet.

Fler program behövs, och det är bara att lägga till dem i wikin. Och framförallt krävs tålamod.

Kanske är övervakning och censur en del av den socialdemokratiska grundideologin. Jag vill inte tro det, men jag ser endast ett fåtal ljusglimtar i denna soppa. En sådan ljusglimt var när jag förra veckan höll ett föredrag för Socialdemokraternas Studentförbund i Göteborg. Genom en mycket kreativ diskussion lyckades vi hitta ett sätt att resonera kring dessa frågor. Men för att man ska komma dit måste man göra en ansträngning. Vid ett regeringsskifte är det med S som både V och Mp kommer att göra upp med. Således är det bara att börja sätta igång att infiltrera. För att vi ska kunna bygga om krävs det att vi skruvar in oss i kärnan av socialdemokratin. Någonstans där inne finns det hopp.

Creating a fractal cipherspace; part I – tunnel existence

Last Thursday I talked about cipherspace and resistance, and the last few months we have talked about tunnels, darknets and worlds gone underground. Also, a bureau has been commissioned by Cameron at the Department of Defense, called the Telecomix Crypto Munitions Bureau. Since they needed workers, I signed up, and as a bureaucrat, I wish to tell a story from the cipherspace world, ventriloquized by the one hundred year old novel by Gabriel de Tarde, Underground Man (written in quotations).

Creating the fractal cipherspace is more than an innovation. It cannot simply be created, but must be enforced. Cipherspace is a territory constituted by two facts. The first one is, that there can be no identities in cipherspace. The second is, that there can be no authorites in cipherspace. According to Cameron, the laws of mathematics overrule human laws.

Historically, cipherspace emerged as is a side-effect of two military innovations, where one was impossible to ordinary humans. During the late 1970:s the Data Encryption Standard (DES) was released upon the earth. It was weaker than the crypto munitions of the NSA, most likely an intended effect for the military to still be able to decode the civilian transmissions. It was meant to be a golden standard for the commercial sector in securing industrial facts, and sensitive transactions. It was needed on the emerging internets because the TCP/IP protocol actually contains a default error – it prefers plain text over ciphertext, and can easily be put under surveillance.

The military, however, never trusted encryption alone. The MILNET separated early from the ARPANET, because it could not be trusted for security reasons.

The DES encryption produced a side effect; cryptoanalysis in civilian networks. Before DES, cryptoanalysis was a hidden science, deep withing the signals intelligence agencies it lived a very secret life. The world had learned from deciphering the Enigma during WW2, that cryptography was indeed a strategic science, just like ballistics or nuclear engineering.

During the late eighties, a few internauts, not very keen on appearing in the open daylight, started to envision a new space – the cipherspace. However, activists and the civil societies around the world could never do it the military way. Building a separate infrastructure outside the emerging internets was not possible in economical terms. Cables cost money, and states usually don’t permit building autonomous infrastructures.

But, the packet switched computer networks were by now all over. And these networks were built for survival. During the 1990s cryptography slowly became ready-at-hand for internauts. The possiblity of another space, beyond the laws of nation states, but still inside an existing infrastructure, started to take shape.

We must say no more: ‘up there!’ but ‘below!’. There, below, far below, lies the promised Eden, the abode of deliverance and of bliss: there and there alone, there are still innumerable conquests and discoveries to be made!

Computers can make two very important things. The can convert plain text to ciphertext, which is almost imperceptible by anyone intercepting the transmission. They can, moreover, make tunnels. A multiplicity of tunnels, tunnels inside tunnels. The two performances combined, creates the fractal cipherspace, which is a spatiality that essentially stands in opposition to the borders of the old world.

Let us descend into these depths; let us make these abysses our sure retreat. /…/ In short, after a more or less long period of settling in, civilised life could unfold anew in all its intellectual, artistic, and fashionable splendour, as freely as it did in the capricious and intermittent light or natural day, and even perhaps more surely.

How come cipherspace emerged in the first place? Nobody knows for sure, but maybe because of a disaster in the history of the internets.

During the 1990:s the so called cyberspace became not only a fiction, but it swept humanity onto the worlds largest network of nodes, which could transmit and receive information. People abandoned television and radio, and started to make their own cultures flourish. It was in the beginning just like another one hundred year old innovation – the telegraph – which by now had moved into every home. After a radical increase in bandwidth the internet changed lives; people became internet dwellers. Simultaneously, the societies based on territories, legal nation states, started to intervene in this new emerging space. Cyberspace was a vast field of information. The populations, still imagined as a human population of raw material of labour and social functions, had volunteered to collect their lives in plain text data. Data that could be exploited in order to rule and govern.

Secluded thus from every influence of the natural milieu into which it was hitherto plunged and confined, the social milieu was for the first time able to reveal and display its true virtues, and the real social bond appeared in all its vigour and purity.

Hubris had poisoned both corporations and States. It seemed to them that Data Retention could be passed as a law, it seemed that Military Signals Intelligence could be deployed to harvest the data. Corporations such as Google or Wal Mart based their whole business models on this prosperous business of gathering all the information that could be stored in databases.

However, the possibility of a fractal cipherspace exists. It is a reality, and it cannot be stopped with nothing less than a complete computer network blackout. It is not a place, but many places. I have only briefly started to dwell in the i2p darknet. I set up a blog there, and it seems like me and my friends are slowly making a new world inside a space where the laws of Mr. Shedstream no longer apply. I like it. There is no longer a need for the old plaintext world.

Patriotism is dead, since there is no longer any native land, but only a native grot.

I will see you in cipherspace!

(to find my new blog, you will need to leave cyberspace and enter cipherspace. It is a bit complicated for humans, but worth the effort, I will assure you.)