Spionen i fickan

Den 13 oktober föreläser jag om ”Spionen i fickan” på Näckrostimmen.

Utöver vad som står i beskrivningen tänkte jag göra en utvikning som tangerar vad som händer i korsningen mellan ”övervakning” och ”skuldsättning”, med inspiration från Kina.

Klarna Faktura påverkar oss nog mer än både FRA och NSA sammanlagt (hypotes).

TID: 18.00-19.00
PLATS: Humanistiska biblioteket, Renströmsgatan 4 (Göteborg)
Fri entré

The 90s were already under surveillance

Recently it was revealed that TeliaSonera cooperates with the authorities in Azerbaijan, Kazakhstan and Belarus in providing a telephone interception system. Such an event is only a singular instance in a larger series of revelations that have been reported over the past few months. Other cases include Telecomix revealing Bluecoat surveillance equipment in Syria and the Wikileaks Spyfiles. Telecomix has even launched a project called Blue Cabinet that traces down vendors and corporations that are deeply entangled in both what we usually refer to as dictatorships and democracies.

To these cases there is a larger set of contradictions and twists that makes things very complicated. We may refer to them as hypocritical or immoral, however, it seems that these contradictions never dissolve and are very powerful in maintaining business as usual. They can be summarized as follows:

1. Government surveillance is legitimate in democratic states but not in dictatorial states. So, the western world supports ”net freedom” for ”democracy”.

2. Because surveillance is legal in the EU/US, it is perfectly all right to manufacture and use these technologies elsewhere where they are legal.

3. The world needs free and open communication technologies, so we sell the world technologies that makes surveillance more efficient.

This type of political reasoning enables a sort of dead lock. It makes possible for nobody to actually take responsibility for what happens. At the end of the day, politicians go home and dream of net freedom. And the corporations sleep tight knowing that what they do is within the ”legal” framework.

This can be demonstrated with TeliaSonera’s response to the revelations of their surveillance system. In Dagens Nyheter, TeliaSonera replies (roughly translated):

Telephone operators are thus obliged to give [access to the network traffic] to the authorities – also in Sweden, where the police is intercepting phone calls every day, the parliament has decided that phone and data traffic should be retained and the FRA has access to all data that passes our borders.

In one sense, TeliaSonera is completely right. There is nothing strange to this thing called government surveillance. We do it legally over here in Sweden and it is enacted by democratically elected governments. EU-wide data retention and signal intelligence interception is part of everyday life. These laws and regulations do not differ very much from those of non-democratic states. The Bluecoat equipment in Syria does nothing more than the average data retention in Europe. The police in Azerbaijan basically has the same legal framework as the Swedish police. However, even though TeliaSonera is right in showing that Sweden is hypocritical, they are cowardly claiming that they have no responsibility. Only because surveillance is legal everywhere doesn’t make it right.

And still, we say that these ”bad” states need more net freedom.

However, legal frameworks are often over-estimated in how they rule the world. A common misconception is that everything went crazy after 9/11. The story goes: In the fear of terrorism, EU and the US passed a different legislations that made surveillance more legal and human rights were increasingly being violated by the western world themselves.

This can in fact be easily falsified. A story most widely covered in Germany, concerns Siemens selling surveillance systems to Syria in the year of 1999 and then continued to sign more agreements in 2005 and 2008. A leaked invitation to bid dated August 1999 reveals the story of how the internet came with built-in government surveillance in Syria more or less from the beginning.

Before the deal with Siemens, the Syrian network was very small. According to the description of the current infrastructure found in the document, the capacity for e-mail was merely 5000 users.

Besides the retro-sounding paragraph 8 specifying Y2K compliance (p. 34), the invitation to bid specifies specific surveillance possibilities. For example, it says that ”[filters] should not cause any delay or bottleneck while maintaining the possibility to check every packet (9)”. Moreover, the section called ”Monitoring system” explains the needs of the Syrian government to pursue ”law enforcement”. So, the Syrian government requests:

In addition to the above mentioned minimum requirements, the bidder should describe in details the possibilities to detect, intercept, and block the exchange of encrypted data, along with all other possible monitoring features and applications. (p. 21)

It is the year of 1999 and the IT-boom is about to explode. Syria makes a request – western companies deliver. We don’t need a Patriot Act for that to happen. The 90’s were never a wild frontier for anarcho-liberal experimentation. The surveillance systems were built long before we would even dream of an arab spring or a data retention directive.

Siemens keep up their sales in Iran and Bahrain. To these states we want to export ”net freedom”. In fact, all we have exported so far are the technologies of mass surveillance.

Möte med FRA

Igår höll som bekant jag och Fredrik Wallin från FRA ett seminarium om internationell datapolitik/säkerhet. Det hela blev väldigt lyckat, dels rent innehållsmässig, men kanske framförallt utifrån den ovanliga syntesen av nätaktivistperspektiv och underrättelsetjänstperspektiv. Det hela förtjänar några raders reflektion.

Wallin talade om hur FRAs verksamhet hade utvecklats historiskt, från tyska krypton under kriget, genom det kalla krigets spaning på satelliter, till dagens signalspaning som delvis sker på internet.

Wallin kunde av naturliga skäl inte ge några detaljer om vad jag tycker är mest intressant, alltså kryptoanalys. Men detta är ju naturligtvis en del av verksamheten, eftersom Sverige är ett transitland för stora mängder internettrafik, varav viss trafik faktiskt är militär. Men, den är ju knappast okrypterad.

Jag pratade från ”andra hållet” och började med att beskriva den frivilliga övervakningsapparaten Facebook, som med en halv miljard användare är en stor källa för vem som helst, även underrättelsetjänster. Den är dessutom billig och användarvänlig eftersom mycket av spaningen görs av användarna själva, och levereras gratis av ett amerikanskt företag. Dessutom helt okrypterat, trots att firesheep kanske har fått en och annan att fundera.

Därefter pratade jag om tunnlar, om hur man kan säkra sin trafik, om cyberkrig och lite om hur internet funkar.

Som alla frekventa läsare av den här bloggen redan vet var jag en väldigt stark kritiker av den så kallade ”FRA-lagen”. Sen slutade jag bry mig så mycket om lagar. Det är ett evigt tjat om lagar. Lagar, lagar, LAGAR! Det tenderar bli lite tjatigt att be jobbiga politiker om rätt och fel.

Så, istället har jag börjat tänka verksamheter, aktiviteter, samhällen, allianser. Och ser man på FRA på det sättet, inte för att det finns ETT FRA, det finns flera, så framträder en annorlunda bild, som inte är så svartvit.

FRA gör massa bra saker. Lagen som reglerar det är ganska dålig. Men mitt intryck är att de har både resurser och kompetens att göra väldig många intressanta saker i ett allt mera uppkopplat globalt internet.

Det där kanske låter lite pretto. Men, really, när vi diskuterade exempelvis Wikileaks så talade vi om den kommande läckan där ett flertal länders ambassader kommer att avslöjas, pratade vi om det här citatet

”It’s essential to remember that given the will and the relevant orders, [WikiLeaks] can be made inaccessible forever,”

Då Wikileaks har viss verksamhet i Sverige, även om de inte går att hitta med bara traceroute och whois, kan man tänka sig ett ryskt angrepp mot sajten. Jag tippade på att ett sådant skulle misslyckas. FRA hade perspektivet att om Wikileaks angreps i Sverige, så är det deras business, i försvarssyfte. Wikileaks får street protection från FRA. Jag gillar!

Ett ryskt angrepp är nämligen ingen Low Orbit Ion Cannon, utan riskerar att slå ut mycket mer. Vi får väl se vad som händer.

Två seminarier

Det är mycket nätpolitik just nu, och i veckan kommer jag att medverka vid två högintressanta seminarier/paneler.

På torsdag kommer jag tillsammans med en representant från Försvarets Radioanstalt att diskutera IT-säkerhet, internationella relationer, underrättelsetjänster och företagens roller på internet på Utrikespolitiska föreningen i Uppsala (uppdaterar med länk när sådan finns – Nu finns den).

Ska bli mycket spännande att se hur våra skilda utgångspunkter kan närma oss dessa frågor. Jag kommer att utgå ganska mycket ifrån ett nätaktivistiskt perspektiv, och sedan belysa det med hur man kan använda kryptering och andra typer av lösningar för att säkra upp sin nätvaro.

Sal IX (Uppsala universitet), kl. 19.15, Torsdagen den 25 November.

(:~~

På lördagen kommer jag, Rasmus och Isobel att diskutera nätpolitik på Socialistiskt Forum i Stockholm. Diskussionen kommer delvis att ta avstamp i det nätpolitiska manifestet, men troligtvis associerar vi även fritt kring de frågor som är aktuella just nu och i framtiden.

10-11, Östermalmsrummet, ABF-huset, Sveavägen 41, Lördagen den 27 November.

Om jag har förstått det hela rätt så är Socialistiskt forum gratis och Utrikespolitiska föreningen kostar 30kr, vilket inkluderar ett års medlemsskap (och därmed alla seminarier under ett år).

Hur man undviker att få sin Facebook kapad

Det smarta pluginet firesheep skapar kaotisk oro. I sedvanlig ordning krävs det att någon tillverkar ett användarvänligt litet program för att säkerhetsproblem som länge varit kända ska ”avslöjas”.

Den större bilden är lite mera slukande. En halv miljard digitala liv skickas okrypterat över internet, för vem som helst att fånga upp på vägen. Inte bara din retsamma granne på det trådlösa nätverket.

Kör vi programmet traceroute på facebook.com passerar trafiken Sveriges gränser här:

8 se-fre.nordu.net (109.105.102.9)
9 dk-ore.nordu.net (109.105.97.6)

Om jag var FRA skulle jag ha en så kallad samverkanspunkt nånstans mellan Göteborg och Danmark, och här är det fritt fram att direkt kopiera all okrypterad trafik. Hett gratistips till Lovön!

Hur går man då runt facebooks mycket klantiga säkerhetsproblem? Det är ju ganska lätt att fixa det, bara att installera krypterad https på webservern (”bara” är kanske ett relativt begrepp på så stora sajter).

Just att bli sniffad på öppna trådlösa nätverk är enkelt. Man använder sig av en VPN-tjänst, exempelvis ipredator eller den mycket säkrare Air VPN. Ipredator skyddar dock inte mot FRA då dess servrar står i Sverige, och trafiken ändå skickas i klartext över gränsen. Däremot Air vpn står i Frankrike, men sen går det ändå okrypterat därifrån till USA.

Någonstans här träffar vi på MI6 och NSA:

10 uk-hex.nordu.net (109.105.97.29)
11 linx.br02.lhr1.tfbnw.net (195.66.225.121)

Trafiken hoppar över Storbritannien innan den når tfbnw.net som ägs av facebook. Den enda vettiga lösningen är att trafiken krypteras från din dator, till facebooks serverhall. Men då måste vi be facebook om nåder, likt digitala slavar ber om sin frihet. Starta en grupp kanske…

Andra sätt att undvika att bli sniffad av grannen är exempelvis att använda TOR eller att sätta upp en Linuxserver hemma som man SSH-tunnlar sin webtrafik genom när man sitter på öppna trådlösa nätverk.

Oavsett om det nu är kontorsgrannen eller FRA man nojar över, är det alltid lika trevligt när paranoia leder till att man får chansen att prata kryptering.

*Picture unrelated.
Uppdatering 1: Ungefär samma saker, fast i mera detalj, framkommer i Eric Butlers mycket läsvärda bloggpost om ämnet.
Uppdatering 2: Idg.se skriver vidare om bla. varför inte HTTPS everywhere hjälper i alla situationer.
Uppdatering 3 Blev intervjuad av radio Metropol om saken och pratar lite allmänt om kryptering. För er med fria operativsystem har jag lagat till en OGG-fil (i Win/MacOS får man ladda hem VLC player el. dyl)… okej… en mp3 också då…

Det krypt(ograf)iska ansvaret

Förra veckans krypteringsnyheter väcker en rad intressanta frågor, som bland annat Hasse Rosén ställer i en tweet (ovan).

När kryptering blir allt vanligare får myndigheter som FRA och NSA ett tuffare jobb. Mera data måste dekrypteras, trafikmönstrena på internet blir allt otydligare och teknologier som Deep packet inspection blir allt svårare att implementera. Efter den senaste tidens stålbad av utökade övervakningslagar, tar internauter saker och ting i egna händer och använder sig av en slags teknologisk aktivism, som jag förutspår kommer att bli en brännande fråga inom en snar framtid. I Det nätpolitiska manifestet skriver jag:

Kombinationen av dessa två teknologier, kryptering och paketförmedling, ger upphov till ständigt nya darknets. Cyberspace blir cipherspace – ett krypterat internet inuti internet där det är nästintill omöjligt att röja en avändares identitet. Följden av denna identitetslöshet blir att inga lagar kan verkställas och inga straff utdömas; cipherspace är ett tillstånd av teknologisk anarki.

Ur detta tillstånd kan man påbörja ett resonemang om ansvar. Men inte vilket resonemang som helst, åtminstone inte om vi vill ta oss till själva sakfrågan. Att bara kräva att det tas ansvar innebär att man inte säger någonting alls. Att dessutom fastna för det suggestiva A-ordet i kryptoAnarki leder också fel, eftersom det tillsammans med A som i Ansvar i princip motsäger varandra redan per definition. Så låt oss ta en sak i taget och vandra från A till A varsamt.

För det första måste vi historicera debatten. Samma problemställningar diskuterades redan för 20 år sedan, bland annat av Timothy C. May i The Crypto Anarchist Manifesto (ca. 1992)*:

The State will of course try to slow or halt the spread of this technology, citing national security concerns, use of the technology by drug dealers and tax evaders, and fears of societal disintegration. Any of these concerns will be valid; crypto anarchy will allow national secrets to be trade freely and will allow illicit and stolen materials to be traded.

På nittiotalet var krypton klassade som ammunition, och i USA fördes en debatt om huruvida de skulle tillåtas över huvudtaget. Men mot slutet av nittiotalet beslöt man sig för att släppa kryptering helt fritt, eftersom det inte fanns några tecken som tydde på att varken nationell säkerhet skulle hotas, att det handlades med droger eller att samhällen kollapsade. Tvärtom stärkte anonymiteten människor som befann sig i diktaturer och under hot, men framförallt möjliggjorde krypteringen i princip IT-bubblan. Utan säkra kreditkortstransaktioner skulle vi inte ha handel på internet, vi skulle inte ha säkra login på Facebook etc.

Man skulle kunna säga att ansvaret istället vändes upp och ned. Det började ses som ansvarslöst att inte kryptera, eftersom man då exponerade användarna mot kreditkortsbedrägerier och att deras personliga data hamnade på vift. Så fort man har mer än en användare på sitt system argumenterar många för att man har en skyldighet att kryptera personliga data.

Detta bryggar över till den debatt som nu börjar formeras.

Andreas Ekström ställer ungefär samma fråga i sin kommentar till Det nätpolitiska manifestet, publicerad på Netopia. Men nu i ett nytt sammanhang, 20 år efter den första kryptoanarkidiskussionen:

Den digitala revolutionen fortsätter. Tydligen ska en miljon idiotiska småstrider behöva utkämpas innan världen på allvar blir bättre på grund av den – men striden om hur rättsstaten agerar eller utesluts från ett framtida genomkrypterat internet, den blir inte liten. Det är allas ansvar – och det säger jag trots att ganska lite i vår historia tyder på att kollektivt ansvarsutkrävande är en riktigt lyckad idé – att se till att den då åtminstone inte blir idiotisk.

Ekström öppnar åter den kanske ibland bortglömda frågan om relationen mellan stat och krypton. Den är inte alls mindre relevant idag. I länder som Kina, Iran, Förenade Arabemiraten, med flera, är kryptering hårt reglerad. Bara i veckorna har Förenade Arabemiraten haft stora problem med Blackberry-telefoner, vars kryptering är så stark att staten inte kan knäcka den (tillräckligt snabbt). Här tänker man sig att staten måste ta sig denna rätt för att förhindra hot mot den nationella säkerheten. Alltså, som Ekström argumenterar, rätsstaten släpps in i den krypterade trafiken.

Vems ansvar är det då? Och vad består ansvaret av? NSA tycker att franska Hadopi-myndigheten bär ansvar för att fildelare krypterar för mycket trafik. NSA utkräver (informellt) ansvar av Hadopi, och troligtvis dess motsvarigheter i andra EU-länder, att sluta upp med att övervaka ringa upphovsrättsöverträdelser så att de kan få tag på ”the bad guys”. I USA menas med detta allt som oftast terrorister.

När vi handlar roliga prylar på E-bay utkräver vi i rollen som konsumenter ansvar att E-bay inte skickar våra kreditkortsnummer i klartext hur som helst över internet. Vi kräver att våra mail förvaras på krypterade diskar så att de inte sprids vind för våg, och vi utkräver ansvar hos Facebook att data om exempelvis Iranska aktivister inte hamnar hos Basij-milisen.

Även kryptoaktivister utkräver ansvar, främst av sig själva. Att lova att ett system är fullständigt säkert innebär att man sätter någon annan i fara. Att inleda kommunikation med någon vars säkerhet man inte kan garantera är mycket dumdristigt, och kan leda till svåra konsekvenser om man exempelvis tunnlar in till/ut ifrån Kina.

Ansvar är således något som i princip alla utkräver av andra och sig själva i denna kryptiska ansvarsdebatt.

Jag skulle exempelvis mer än gärna vilja hålla Netopia ansvariga för en stundande konflikt med kryptorelaterade dimensioner. I sitt mantra om att ”rättsstaten” måste flytta in på internet, som om den skulle saknas där (så vitt jag vet gäller lagen lika mycket där som någon annan stans), så medför detta konsekvenser. Den ”rättsstat” som Netopia efterfrågar har teknologiska implikationer. Att skilja ett datapaket från ett annat, det ”lagliga” och det ”olagliga”, kräver alltid någon form av övervakning. Den senaste trenden är Deep packet inspection, som jag länkar ovan, vilket innebär att varje paket lyfts upp, analyseras, och släpps vidare. Om det inte är oönskat, för då stoppas det. Teknologin implementeras hos våra internetoperatörer, och blir därmed ofrivillig samt i många fall omedveten för användarna.

DPI kringgås mycket enkelt genom att man krypterar trafiken från sin egen dator till destinationen. Den ciphertext man skickar blir därmed meningslös för DPI-maskinen hos internetoperatören. Den sekund som de första paketen börjar droppas i kablarna, kommer först ett litet antal internauter att börja kryptera. När måltavlan blir exempelvis bittorrenttrafik kommer det tillkomma en strid ström av användare. NSAs problem ökar. Så även FRAs. Att utkräva ansvar för de ytterst få riktiga brott som äger rum i det vita brus av krypterad trafik som uppstår blir då allt svårare.

Det verkar som det ”kollektivt ansvarsutkrävande” som Ekström diskuterar inte fungerar. När man tar fram den breda håven på internet fångar man de vanliga användarna och inte de luriga bovarna. Samma förhållande gäller exempelvis med det läckta barnporrfiltret som Juliagruppen och AKZensur analyserade. Blockeringarna som Ecpat och Polisen överlämnar till internetoperatörerna leder till en allvarlig paradox. Den ”stora massan” får ett hemligt blockeringsfilter, medan barnporrsajterna får fortsätta att finnas. På en halvtimma kan man stänga ned sajterna istället och överlämna bevis till myndigheterna. Det kan vem som helst göra med hjälp av kommandot ”whois”.

Så frågan är om ”vem tar ansvaret?” verkligen alltid syftar till ”rättsamhället”? För det verkar som att de rättsvårdande myndigheterna knappast verkar bry sig. Det rättsvårdande samhället har överlämnat befogenheter och ansvar till privatpoliser när det gäller fildelning i och med IPRED1. Det verkar som att det blir allt svårare att motivera den manövern, med tanke på att IPRED-metoderna ständigt överklagas, kanske för att fällas i Europadomstolen.

För att återvända till Hasse Roséns inledande fråga om vilket ansvar ”de som bygger cipherspace” har för att anonymisering kan komma att missbrukas, kan man ställa upp ett svar ungefär så här:

I första hand upplever de flesta jag känner att det primära ansvaret är att se till att de som förlitar sig på kryptering inte i blindo litar på att tekniken fungerar. Trots att kryperingen idag är mycket stark finns det förödande misstag som man kan göra, och därmed avslöja sin identitet på helt fel ställe. En oförsiktig Egyptisk bloggare kan hamna i fängelse.

”De som bygger cipherspace” är inte en homogen grupp av nätaktivister. Tvärtom står privata företag för den största delen av den krypterade trafiken på internet. Kommersiella VPN-tjänster säljs dagligen till kunder som vill skydda sin trafik. Som privata företag är dessa pragmatiska med hur de ska ta ansvar. Man kalkylerar ett övervägande mellan hur man får maximalt antal kunder utan att riskera att komma i konflikt med polisen.

De mera avancerade projekten som I2P och Tor, som byggs upp av ”communities”, är kanske de mest intressanta. Dels bygger de upp en infrastruktur som siktar in sig på att vara ”kärnvapensäker”, alltså att det är omöjligt att fastställa identiteter och ta ned sajter och tjänster, även för utvecklarna själva. Här är ansvarsdiskussionerna mycket levande, till skillnad från de kommersiella tjänsternas mera pragmatiska hållning. Att sammanfatta dessa här och nu är kanske inte möjligt, men kanske finns det ändå några punkter att urskilja.

Principen om fri kommunikation går före rättsstatens ingrepp för att stävja eventuella brott. Dels fann man ju i USA på nittiotalet att brott över datornätverken i princip inte existerade. Men i juridiska termer skulle man kunna placera dessa principer i hierarkiska kategorier: fri kommunikation är för det mesta placerade som konstitutionella och fundamentala rättigheter, medan brottsbalkar intar en sekundär position.

Men kryptoanarki manifesterar sig sällan som en ”ideologi”, utan snarare som en praktik. Med hjälp av min dator kan jag förvandla klartext till chiffertext, sedan kan jag skicka data till vilken annan nod i nätverket (internet). När lagen inte skyddar mig, när exempelvis meddelarskyddet kringskärs av FRA, då ligger ansvaret hos mig istället för hos staten att garantera ett informationsflöde. Det kan tyckas vara orättvist, men vi är redan där idag.

Egentligen borde även våra traditionella massmedier ta det ansvaret. Hittills har jag sett väldigt lite av just detta. Om jag ska kontakta en redaktion, så finns det väldigt få vägar att göra det på utan att meddelarskyddet bryts. Vad spelar en grundlag för roll när min trafik ändå avlyssnas, här och nu. Med datalagringsdirektivet kommer telefonsamtalet att vara loggat. När jag mejlar kan mejlet ha snappats upp på vägen. När hyrsnuten har begärt ut mitt IP-nummer för en delad upphovsrättskskyddad fils skull, är min anonymitet bruten.

Jag är övertygad om att kryptoaktivister mer än gärna tar sitt ansvar att sprida kunskaperna och göra dem tillgängliga för fler. Ty de behövs.

* De kryptoanarkistiska manifesten finns samlade i Crypto Anarchy, Cyberstates, and Pirate Utopias av Peter Ludlow. För den som har i2p här.

** För en relaterad men annorlunda diskussion, se min ståndpunkt om transparens.

Does the state have to disclose everything?

This week I was asked by German Tageszeitung to give a statement redarding transparency of government and freedom of information. For those of you who read German, it is part of a longer debate which you can read online here. My quote goes like this:

Die Server von Wikileaks stehen in Schweden. Einen Grund dafür sieht der schwedische Kommunikationswissenschaftler und Blogger Christopher Kullenberg im dortigen Pressefreiheitsgesetz – dem ältesten der Welt. „Transparenz macht Institutionen öffentlich überprüfbar“, sagt Kullenberg im Streit der Woche in der sonntaz. „Mit dem ständigen Wissen im Hinterkopf, dass er für seine Handlungen zur Verantwortung gezogen werden kann, handelt der Staat auch dementsprechend.“ Auf diesem Weg könne Demokratie zu jeder Zeit praktiziert werden, sagt der schwedische Blogger.

The quotes originate in a longer article that I wrote in English. I publish it here below:

”Does the state have to disclose everything?”

Recently Julian Assange, spokesperson of the whistleblower organization Wikileaks, has made several appearances in Sweden explaining why they have chosen to place servers in a remote Scandinavian country. One reason goes back a long time in history, more precisely to 1766, and the world’s first Freedom of the Press Act, which in modern versions gives a strong legal protection for sources of the press by making it illegal for authorities to even try to reveal their identity.

Moreover, the Principle of Publicity states that only with certain exceptions, all public records created by state institutions must be easily available to journalists and citizens.

However, the picture of the seemingly ultra-transparent state quickly fades in the light of recent surveillance legislation. Sweden has introduced a wiretapping law allowing the National Defense Radio Establishment (FRA) to monitor internet traffic, and with the coming implementation of the Data Retention Directive, the 250 year old laws of freedom of the press are weakened severely.

The original idea of creating a radical transparency of the state, was to prevent corruption and abuse of power. This mechanism functions i two ways. Firstly, it makes institutions reviewable by the public, and not only by other agencies within the state. Secondly, knowing that such transparency is always imminent, the state will choose to act as if it were held accountable for its actions. This way, democracy can be practised at any given moment, rather than during the elections every three to five years.

In the European Union we see diametrically opposed ways of decision-making. Only recently, it took several leaks of the Anti-Counterfeit Trade Agreement (ACTA) before the parliament finally made the proposed documents public. Documents that will impact the legislation of internet infrastructure in the member states. Without the numerous leaks of the negotiated documents, the ACTA may very well still have been kept secret, not only from the elected parliament, but more importantly, to the citizens of Europe.

A domain which always has been classified is military intelligence. It is argued that its information must be kept secret as a tactical maneuvre, for preserving strategic positions and advancing national security. This may be true on the battlefield. But equally true is that these battlefields in today’s conflicts consist of the homes of civilian people, whose lives are tragically lost, in Iraq, Afganistan, Mexico, India and Sudan.

The records of wars barely ever become public to the generation affected by it. They remain classified until history already has been written, leaving people in doubt as they can not know what happened to their friends and relatives. The ”Afgan War Diary”, released by Wikileaks only a few weeks ago, makes the history of war, for the first time ever with such magnitude, accessible to anyone with only moments of delay.

Ironically this new situation was brought about by an American technology of the cold war – packet switched computer networks. Or to be more precise, we know it by the more familiar name of the Internet. When contemporary citizens are able to communicate freely, without needing to pass the gate-keepers of traditional media, state interventions can be scrutinized and made public instantly. When freedom of information no longer is guaranteed in law, internet activists in transnational networks guarantee it with technological means.

Making warfare public, communicating what has been kept a state secret for far too long, is a civilization process. The civilian casualties portrayed in the Afgan War Diaries, are no longer exclusively represented by official figures of a government agency in clean graphs and tables. Instead we are able to read about the cruel chaos in minute detail, thus enabling us to make the involved parties accountable for their decisions.

In every corner of the world the whistleblowers are under threat, even in the countries such as Sweden, where the tradition of freedom of speech has been very long. The accellerating surveillance of the Internet, in Europe and elsewhere, has made leaks more difficult and dangerous.

Four years ago the bittorrent file-sharing site The Pirate Bay was shut down by the Swedish police, who fell for the pressure of the Motion Picture Association of America. Only three days later the site was up and running again, rapidly doubling their user base. Whether or not the parts of Wikileaks that are hosted on a Swedish location will remain or not is yet to be seen. It is a challenge to our legislation, and a challenge to whether or not we are able to deal with the free flow of information concerning a war that even our own armed forces participate in.

There can be no state secrets, since the purpose of the state is to empower and secure its citizens. Dutch philosopher Baruch Spinoza argued that obeying the state is valid as long as the it fullfills these purposes. In order to evaluate whether or not these purposes are met, transparency is a necessity. Thus, we must guarantee it both in law and in practice.

With the exception of Iceland, who recently passed maybe the world’s strongest laws concerning the freedom of information, the rest of Europe is heading in the wrong direction. Then it is up to the civil societies to disclose and make state secrets public.

Wikileaks, valet och kriget

I mitt tidigare inlägg om cyberkrigsretoriken efterfrågade jag att detta begrepp diskuterades och definierades med mera nogrannhet.

Nu höjs röster för att USA ska agera militärt mot Wikileaks, för att förhindra att mer information läcker ut.

Ett sådant scenario väcker ännu fler frågor. För det första kan man fråga hur man agerar militärt på internet. Traditionellt sett har kryptografi och datorsäkerhet varit militärens sätt att ”kriga”, men då endast i försvarssyfte. Men man skulle kunna tänka sig att man gjorde en offensiv. USCYBERCOM skulle i princip kunna avfyra en attack mot Wikileaks datorer genom massiva Denial of Service-attacker. Om de nu hittar rätt servrar.

Det blir ännu mera komplicerat när svenska försvarsmakten ”rustar” inför nästa våg av dokument. Med rustar menar de i princip att de ska läsa igenom läckan, men man skulle kunna tolka det annorlunda.

Det första målet om man genom våld vill stänga ned Wikileaks torde vara de svenska servrarna. Om USCYBERCOM anfaller svensk infrastruktur, och en sajt som inte ens gör något olagligt, så skulle man kunna tänka sig att vi istället borde rusta oss för att värja oss för ett eventuellt amerikanskt angrepp.

Samtidigt blir hela historien bisarr. Ett sådant resonemang funkar bara om man tar ”cyber” på allvar, vilket inte riktigt går att göra. Att datorer anfaller varandra kan knappast kallas krig. Internet är under ständiga anfall av allt från mailspam till DDOS-attacker, och tekniskt sett är det ingen skillnad mot vad en militärmakt skulle använda för metoder.

I övrigt är det väldigt bra om Wikileaks blir en val(f)årsfråga. Både Anna Troberg och piratpartiet jobbar i den riktningen samt Broderskapsrörelsen. Man kan ju tycka att det är osmakligt att partier åker snålskjuts på Wikileaks arbete, men jag tror inte man ska tolka det så. Istället leder en partipolitiserad debatt mot att det öppnas för förslag av typen IMMI, det isländska alternativet. Tyvärr blockeras det just nu av EU och det stundande datalagringsdirektivet, samt av FRA. I någon mening visar Wikileaks vad fri information kan göra och i någon mening appliceras nu konsekvenskerna av de senaste årens inskränkningar på internet.

Det är skarpt läge. En väg pekar åt att vi viker för USA under Mr Tolgfors stilla böner. En annan väg pekar mot Island och ett återskapande av informationsfriheten.

Lätt att sådant skulle kunna bli intressanta valfrågor.

Förresten, piratpartiet erbjuder sig att ge Wikileaks serverplats. Men det kan man redan göra mycket enkelt. Har man ström och en bra uppkoppling kan man anmäla sig här. Visst vore det roligt med ett politiskt parti som blev anfallna av ”främmande makt”. Very exploitable för politiska poänger 😀

Cyberkrigsretoriken

SvD bevakar det svenska deltagandet i NATO-operationen ”Cyberstorm”, men någonstans får jag känslan av att man köper retoriken lite för lätt. Vad innebär egentligen ett cyberkrig, och hur kommer det sig att man mobiliserar just nu?

I både USA och EU har det politiska trycket ökat på att visa handlingskraft mot ”cyberattacker” i alla dess former. USA har gått allra längst, med Joe Liebermans förslag om en Kill Switch Bill som ger presidenten möjlighet att ”stänga av” internet om det blir attackerat. Denna har kritiserats för att likna Kinas Golden Shield, och man kan ifrågasätta om det verkligen hjälper att stänga av internet om det blir attackerat (en annan fråga är om det ens går).

USA har även fått ett eget cyberkommando som enligt md5-hashsumman i sin logga (se överst) har följande uppdrag:

USCYBERCOM plans, coordinates, integrates, synchronizes and conducts activities to: direct the operations and defense of specified Department of Defense information networks and; prepare to, and when directed, conduct full spectrum military cyberspace operations in order to enable actions in all domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries.

Begreppet ”full spectrum dominance” brukar faktiskt inte associeras med ”cyberspace”, utan snarare är cyberspace, som bland annat Blay påpekar, bara ett av flera spektrum. Hav, land, luft, cyberspace. Kanske rymden också. Men tesen om panspektrisk dominans, alltså att koordinera alla spektra i taktiska manövrar, brukar se ut så här:

full spectrum dominance

Den strategiska tanken är att genom att dominera alla spektra så vinner man kriget. En ubåt skickar en signal till en satellit, som koordinerar en drönare, som i sin tur ger signalen till en helikopter att släppa ned marktrupper.

Problemet är att panspektrisk dominans inte fungerar i många av de nuvarande konflikthärdarna. Varken i Irak eller i Afganistan hjälper högteknologisk krigsföring mot exempelvis Talibanernas gerillaliknande krigsföring. Med facit i hand, alltså med Wikileaks Afgan War Diaries, kan man i detalj läsa det skrämmande kaos som råder bland marktrupperna. Varken NSA, eller FRA för den delen, kan ge någon intressant information. Istället får ISAF-styrkorna ofta sina uppgifter från lokala källor. Som Blay konstaterar:

Militära uppdrag idag inkluderar gömda komplikationer och obskyr komplexitet. Det går att skilja dem åt. Komplikationer kan hittas, isoleras och förstås. Komplexiteter är däremot är integrerade i sin omgivning och måste därför närmas genom att lära medan man handlar. All teorier om komplexa system är bara hypoteser eftersom de kan förändras så snabbt och kan innehålla okända, ännu inte manifesterade tillstånd.

Det cyberkrig som man nu påstår sig utkämpa, är alltså inte riktat mot dessa operationer, utan mot ett nytt hot. Att använda informationsteknologier i konventionella krig sker ju i syfte att öka hastigheterna för informationen, och därmed öka hastigheterna i andra spektra. Trupper förflyttar sig snabbare med korrekt information och gör färre misstag, etc.

Istället tänker man sig att hotet är mot den egna nationens infrastruktur. USA är bland annat orolig för att elnätet ska kunna slås ut av Kina.

Allianspartierna vill ha mer cyberförsvar i Sverige, oppositionen är kritiska. Men frågan är om det går att reducera frågan till att handla om mer eller mindre?

När begreppet cyberkrig används så gör man ofta det på ett lättvindigt sätt. Låt oss betrakta Richard A. Clarke’s definition:

/…/ actions by a nation-state to penetrate another nation’s computers or networks for the purposes of causing damage or disruption.

Med en nationalstatscentrerad definition faller ganska mycket bort, och exempelvis Sverige skulle nog knappast drabbas av ett sådant angrepp mer än ett konventionellt invasionskrig. När FRA legitimeras politiskt är ett sådant argument likvärdigt med terrorismkortet.

Nej, expansionen av cyberkrigförande myndigheter går via att man approprierar säkerhetsarbete som tidigare utförts av andra. Om vi tar exempelvis ett företag, en internetbank eller en pokersajt. Dessa utpressas ibland av människor med stora botnät, som kräver pengar annars sänker de deras affärsverksamhet med hjälp av en DDOS-attack.

Är det ett militärt hot? Ett hot mot rikets säkerhet eller mot kritisk infrastruktur? Knappast. Det är ett jobb för IT-tekniker att avstyra attackerna, och ett jobb för polisen att utreda brottet.

Men om vi tar en myndighets IT-lösningar då? Under Operation Titstorm attackerades australiensiska regeringens hemsidor, deras mail översvämmades med spam och deras faxar svartfaxades. I Australien talade man inte om nationell säkerhet, utan fördömde bara attackerna från officiellt håll. I USA däremot skulle samma händelse bli ett uppdrag för diverse myndigheter.

Men inte heller en sådan attack skulle rymmas inom Clarke’s definition. De anonyma som anföll under Operation Titstorm gjorde det som en protest mot att Australien ville förbjuda bilder på kvinnor med små bröst och sidor som visade
kvinnlig ejakulation. Alltså, inte en nationalstat, utan en protestgrupp.

När vi diskuterar cyberkrig är det alltså på sin plats att göra distinktioner. Å ena sidan finns de riktiga militära nätverken, exempelvis SIPRNet, som är integrerade i militära operationer, och som i någon mån kräver säkerhetsarbete på en nationalstatsnivå.

Å andra sidan har vi vaniljinternet, som i någon mån har varit under konstant attack av virus, spam och diverse intrångsattacker sedan det tokväxte i omfattning i mitten av nittiotalet. Att en myndighet, civil eller militär, försöker sig på att utföra vaniljnätets säkerhetsarbete bör ifrågasättas. När Obamas Kill Switch blir Tolgfors Kill Switch har vi givit makt åt en form av internetspärr som potentiellt kan vara farlig. Ger vi FRA IT-teknikernas arbete att skydda hemsidor, ger vi dem ett uppdrag som de inte bör ha.

FRA och Wikileaks, del 2

När man har ställt några relevanta frågor om FRA och Wikileaks finns det ytterligare några saker som gäller förhållandet mellan nationell yttrandefrihet och kryptografisk praktik.

Wikileaks huserar i Sverige på grund av starka yttrandefrihetslagar, vilket är anledningen till att de även baserar sig i Belgien och har arbetat för IMMI, det isländska lagpaketet som ska stärka yttrandefrihet, meddelarskydd och mere conduit hos internetoperatörer.

Wikileaks har inte ansökt om utgivningsbevis, vilket i sin tur leder till att vårt stärkta källskydd och meddelarfrihet inte gäller. Visserligen skulle ett sådant skydd kanske inte spela så stor roll, eftersom hot mot rikets säkerhet är ett undantag från det förstärkta skyddet. Dessutom skulle det kanske vara kontraproduktivt, eftersom ett utgivningsbevis kräver ansvarig utgivare, och då skulle det helt plötsligt finnas någon tydligt identifierad att åtala i en domstol. Ju mera förvirrande det juridiska subjektet kan göras, desto bättre.

Wikileaks har hittills skyddat sina källor genom kryptoaktivism. Sajten har, som Oscar Schwartz påpekar i en krönika, sin bakgrund i hacktivism snarare än publicistiska traditioner. Istället för att i egentlig mening falla tillbaka på lagar och principfasta stater, handlar detta om relationen mellan kryptoanarki och civilsociologi. De första kryptoanarkistiska manifesten kom på 90-talet (läs dem i denna .pdf som finns i i2p). Yttrandefrihet blir på så sätt inte en lag eller princip, utan något man gör, med teknologiska medel.

Någon som gör med teknologiska medel är även FRA. Gärna i samarbete med USA. Jan Donner, chef för informationssäkerhet på FRA (duger inte ”informatör”) säger till DN:

Vi ser hur flera stater och organisationer bygger upp sin kapacitet för att kunna slå mot andra länder. Man vill verka utan att synas, säger han till tidningen.

Man vill ”verka utan att synas”. Ja, det vill man. Det är oftast ett mycket mera effektivt sätt att skydda sina källor, än att hoppas på att en grundlag ska ge tak över huvudet för det fria ordet.

All kryptografi åt folket!

Uppdatering: Även Gustaf Nipe skriver.