Cyberanarkism vs. flow control

Carl Bildt skriver idag en slags kollektiv replik till mig, Anna Troberg och Måns Adler angående debatten om internet mot bakgrund av nordafrikanska revolter, ”cyberkrig” och yttrandefrihet. Det hela går även in på trafik. Bildt skriver:

Med två miljarder internetanvändare och närmare fyra miljarder som använder mobiltelefoner har vi sedan länge lämnat det lyckliga urtillstånd som Kullenberg drömmer om. Cyberanarkismen är inte längre en option på nätet lika lite som trafikanarkism skulle vara det på våra vägar.

Det här är späckat med intressanta betydelser. Cyberanarkism och trafikanarkism. Samt ett urtillstånd!

Om vi börjar med ”cyberanarkism” stöter vi på en etymologiskt intressant figur. κυβερνήτης ἄναρχος – Den självstyrande rorsmannen, som styr sin båt på ett flytande hav utan att följa regler eller auktoriteter. Vad som händer idag skulle i så fall vara att stater vill gripa tag i urtillståndets stormbyar och piskade vågor, och överkoda de med regler och styrningsmekanismer. Från det antika grekland går vi till 1440 och ”erövringen av världshaven” kolonialismens Europa. Deleuze & Guattari:

This is where the very special problem of the sea enters in. For the sea is a smooth space par excellence, and yet was the first to encounter the demands if increasingly strict striation. The problem did not arise in proximity to land. On the contrary, the striation of the sea was a result of navigation on the open water. Maritime space was triated as a function of two astronomical and geographical gains: bearings, obtained by a set of canclulations based on exact observation of the stars and the sun; and the map, which intertwines medidians and parallels, longitudes and latitudes, plotting regions know and unknow onto the a grid.

Dock håller inte havet ens som metafor. Internet bygger på regler som man måste följa väldigt strikt. Sedan ARPANET är det Requests for comments som tecknar den karta av standarder som får datorer att prata med varandra över hela världen. Frångår man dem, så frångår man internäten. Om internet har ett urtillstånd, så bör det vara RFC 675. Förhåller man sig anarkistiskt till den, då bygger man ett LAN istället för ett internätverk.

Nåväl, nu var det nog inte det som Bildt menade, utan snarare kritiken av hans ”flow control”. Bildt vill kontrollera flödena, jag vill kringgå kontrollen av flödena. Perspektiven är inkommensurabla, och Bildt skiljer sig inte från någon utrikesminister på den punkten. När Mubarak stängde flödet från Egypten blev jag arg och började faxa.

Helt orelaterat till Bildt, och helt utan guilt-by-association: Visste ni förresten att Irans president Ahmadinejad har disputerat i trafikplanering. Teheran har visst stora bilismproblem, vilket har lett fram till ett väldigt avancerat system av kameror som övervakar flödena för att motverka trafikstockningar. Dock stängdes de nyss ned från internet eftersom de (enligt rykten) användes av demonstranter för att se var poliserna befann sig och var människor samlades. Dock verkar det som samma kameror även används för att identifiera de protesterande.Det är alltså inte alltid så att övervakningen av flödena används till det de ska användas till. Tänk på det när datalagringen diskuteras. Undrar vem, förutom polisen, som kommer att kolla in loggfilerna som gerereras!

Bistånd, legitimitet och bitmynt

Det är väldigt intressant att både Hilary Clinton i USA och Gunilla Carlsson på svenska UD vill ge pengar till nätaktivister, som ett slags ”bistånd” för att jobba för demokrati i diktaturer.

Det hela gör mig väldigt förvirrad, men samtidigt skapar det många intressanta frågor.

För det första, vad är en ”nätaktivist”? Uttrycket är knappast etablerat men Carlsson använder det friskt:

-Nätaktivister är de nya demokratikämparna, säger biståndsministern till Dagens Nyheter.

Begreppet spänner från företag som aktivt arbetar med att göra sina tjänster tillgängliga i länder där de blir blockerade till anonyma hackers som aldrig röjer sin identitet på nätet. Till företag kan svenska Bambuser räknas in, men man skulle kunna inkludera Twitter och Facebook, som båda åtminstone litegrann har anpassat sina tjänster för att bli mera säkra i bland annat mellanönstern och nordafrika.

En annan fråga handlar om legitimitet, något som Rasmus diskuterar i sin mycket läsvärda recension av Evgeny Morozov. De flesta nätaktivister jag känner arbetar med direktaktioner mot svenska lagar. Att kringgå FRA-lagen eller det stundande datalagringdirektivet, att lura IPRED osv. är dock helt lagligt, och har alltid varit så, trots att det finns en och annan debattör som tycker att det är att gå för långt.

Det rör sig alltså inte ens om civil olydnad, utan snarare om att helt enkelt bygga bort den övervakning som har installerats. Internäten spänner ju över hela världen, och bistånd skulle likaväl kunna vara att kringgå svensk övervakning som egyptisk. Loggar skapas av datorer varhelst i världen, och de måste alla dränkas i krypto.

Men när det gäller ”bistånd” så blir det lite annorlunda. Utan att nämna namn eller aktörer så kan man ganska lätt säga att de senaste händelserna i mellanöstern och nordafrika har varit lyckade ur ett nätaktivistiskt perspektiv genom att man de facto har överträdit lagar i ”ockuperade nätverk”. Jag är själv mycket kritisk till överbelastningsattacker, men de har förekommit mot samtliga regeringars hemsidor, något som kan bli problematiskt med regeringspengar (det blir ju helt plötsligt en sån där ”cyberattack” som Cecilia Malmström hela tiden varnar för). Hela nationella nätverk kartläggs även, och avancerade strategier används för att öppna nätverken inifrån (eller för att samla statistik). Ur ett Iranskt eller Bahrainskt perspektiv är detta IT-terrorism, och frågan är vad som händer om det står ”Sponsored by Government of Sweden” på den.

En annan intressant grej är exit-noder för darknet, som exempelvis Tor och I2P. Dessa teknologier är ofta helt avgörande för att öppna nätverken och skydda användare från övervakning. Men, något som väldigt få vet är att en exit-nod är en neutral förmedlare av vilken trafik som helst. Detta gör att det ofta räcker med att den missbrukas av en enda pedofil, så kan en fumlig polis ta ned den. Exit-noder kostar pengar att driva, rätt mycket om man verkligen vill öka bandbredden och hjälpa människor, men frågan är vem som tar ansvaret när det blir gryningsräd i serverhallen på grund av en paedobear?

En tredje aspekt är att pengar är demokratiserande, och tvingar fram demokratiska strukturer. Distribuerade sammansvärjningar som exempelvis Telecomix och Anonymous fungerar ofta just på grund av att de saknar alla former av formella strukturer, och istället förlitar sig på mellanmänskligt förtroende. Utan att låta negativ, så är det en uppenbar risk att pengar slår split i ett sådant förtroende och allt rasar samman. Ett roligt exempel är Telecomix Flattr-konto, som innehåller 177 euro, vilket är de enda pengarna som finns, men som ingen har gjort något med eftersom det då skulle kräva att en juridisk person gjorde en banköverföring.

Kanske är det dags för en ny form av telekommunism för att undvika villkorade pengar. En sådan lösning är bitcoins (bitmynt?), en kryptografisk peer-to-peervaluta, som den senaste tiden har stigit i värde och accepteras av allt fler företag som betalningsvaluta. Donationer i bitcoins tas emot av bland annat Tor, Telecomix, I2P och EFF. En helt klart önskad bieffekt av bitcoins är att de skapar en anonym och ospårbar transaktion av ”pengar”, något som är mycket fördelaktigt om man vill köpa infrastruktur i exempelvis Kina eller Iran.

Det ska kort sagt bli spännande att följa Carlssons satsning och se vem som tar emot pengarna och vad det gör med den där mystiska ”nätaktivismen”.

Om Wikileaks och beskiffringen av världen

Idag skrev jag en artikel på SVT debatt om Wikileaks som ett proof of concept för hur man kan ta journalistiken till next level med hjälp av kryptografi. Det knyter direkt an till mitt brev till journalistkåren. Tyvärr verkar kommentarsfältet endast diskutera Assange, så jag antar att jag misslyckades i min grundläggande kritik av personifieringen.

Här hade det kunnat vara på sin plats att överge hoppet på tänkandet, att inse att människors enfaldiga upptagenhet vid det mänskliga och personliga är en konstant i jag-moderniteten, och sakta men säkert se massorna begära sin ledare inför undergången samtidigt som ingen verkar bry sig om datalagringsdirektivets stilla införande.

Men så tänker bara bittra gubbar från förra sekelskiftet. Istället gör man som Isak Gerson och löser problemet. Lite datatrix och brandväggen, oavsett om den befinner sig i Uppsala Stadsbibliotek eller i Xinjiangprovinsen, är kringskuren.

För många ter sig en sådan approach som brutal och teknokratisk, på gränsen till utomparlamentariskt odemokratisk. Vissa tycker till och med att man ska lyda genom att inte kryptera sin trafik.

Detta är ett gravt missförstånd. Tvärtom är världens starkaste yttrandefrihet lagligen formulerad av bland annat hackers. Facit finns på Island. Det är bara att ladda ned och kompilera.

Meanwhile får övervakarna tugga på mina over 9000 krypterade anslutningar som passerar min bunkerlägenhet.

How to circumvent Data Retention, Part 2 – OTR encryption

In a previous post (in Swedish) I discussed how to use remailers combined with GPG encryption to bypass certain feautures of data retention and wiretapping. There are however plenty of other protocols to secure, and the more we know, the less we suffer from recent intrusion in our wires.

Instant messaging is very popular among users, but the corporate standards all suffer from serious flaws. For example MSN-messenger, which is pre-installed on Windows machines, suffers from random censorship when pasting P2P links and is insecure enough to spread malware that will compromise your system. Skype is key-escrowed, so using that is equal to shout straight into the records of you local regime.

Your first rule of thumb is to choose a protocol which is open and maintained by a community, which is open enough for you to be able to host it on your own machine as a server. With the internet, escaping corporate enslavement is very easy. The basic rule with any protocol is – If you can host a service yourself, even only hypothetically, there is a line of flight from machinic enslavement!.

One such protocol is XMPP, which is supported by popular clients such as Pidgin, Adium, Empathy, Trillian and Mcabber. You can host your own XMPP server on an average Linux server, and then calmly wave goodbye to Microsoft and Skype. Second rule of thumb is: Do not ask your provider to secure your rights, enforce your rights by building your own infrastructure.

But, we don’t have to go as far as to install a server just to chat. Instead you can team up with your friends and share a server as a community. Telecomix did that, and the result is xmpp.telecomix.org. It’s very fancy!

Even though XMPP is usually encrypted between you and the server, you may add and extra layer of security with the next level method of Off The Record (OTR) encryption.

Let me explain why. A serious attacker on your chat-conversation, be it intrusive state surveillance or some random aggressor, may try to hijack the server by pretending to be the real one. This happens every now and then on your travels to certain states.

To remedy this effect, large-scale servers such as jabber.org use corporate signed certificates to make sure that you can trust them. However, corporate certificates can be bought and stolen, so it is a better idea to make your own ones.

Xmpp.telecomix.org has a self signed certificate. This means that your client will warn you that it is unable to find a valid signature for it. This is good, and means that we will validate it outside the automatic system. In your client you select ”view certificate” and you make sure that the fingerprint corresponds to:

5D:9F:B2:15:90:A0:DE:CD:FD:A3:6E:2A:A8:FB:F1:38:D8:40:12:EB

Now, of course, also my blog may be hijacked from wherever you are connecting (now we are talking paranoia, but it is important to understand the machinery of trust and ciphers). To remedy this, you may at any time demand to see the certificate again from a Telecomix sysop. Go to chat.telecomix.org and talk to us directly if you wish.

To add the extra layer of OTR encryption you need a good client that supports it. I am using Pidgin on Linux, which is dead easy to install – just hit sudo apt-get install pidgin pidgin-otr and you will get both the client and the OTR-plugin. Pidgin also runs smoothly on my Nokia N900 under Maemo Linux. On a Mac you may use Adium and I think that Windows users may hit Trillian to also use OTR.

While the first layer of encryption simply is general for the client and server (just like https), OTR is specific between two users. You and a friend are Off The Record in a literal sense.

Time for some screen shots to lighten up this very technical blog post:

Your first step is to create an account. Just add a cool nickname and set it to create an account on xmpp.telecomix.org (or some other XMPP server that you like).

As mentioned before, you must now check the certificate for Telecomix. View details and check the fingerprint (above) and make sure it corresponds to what your client tells you.

Then add buddies, above is a picture of me adding jaywalk. (The reason for him showing up in all my tutorials is because we hang out and hack in Gothenburg very often to tinker on next level cryptography).

Okay! You are still reading! Now it is time for serious military grade ciphers, so you are adviced to re-fill your cup of coffee because now it is time to trust. We trust in DJs, we sometimes trust in facebook.com, but most of all we trust our friends. This is why our ciphers will always be stronger than those of states!

If you have successfully installed the pidgin-otr plugin, you shall activate it under tools -> plugins. Then you will get an extra feature in all the chat windows thay you have.

OTR now creates a specific encryption key for each chat-conversation you will have. This means that you must verify that every friend of yours is who he or she appears to be on XMPP. To solve that you have a few methods at hand.

If you are in the same room, you will have the highest level of security. Just press the manual fingerprint verification, and look over each others shoulders to make sure the prints are correct. You may also phone your friend and read you fingerprint to him or her, since we recognize each others voices very easily.

You may also have a shared secret. You can make one up and share with your friend.

Once you have verified an OTR session, the chat window says ”private”, and you now speak in ciphers with your friend. It is end-to-end, from your computer to your friends computer, and anyone listening in during the vast intertubes, will only see ciphertext.

As with all uses of cryptography, there is no such thing as perfect security. You already know this, but it is worth mentioning that there may be advanced attacks on OTR and XMPP, so use everything cautiously. However, with plaintext communication in corporate systems, you know for sure that you are monitored. With good crypto, you have made it very hard for any authority to to gain unauthorized access to your conversations with friends.

Stay secure, stay Off The Record!

Datalagringens allt bredare håv

En Promemoria från Justitieutskottet har smitit och läckt ut. SR rapporterade i morse och Piratpartiet var lika tidigt ute att analysera. Promemorian finns för allmän beskådan hos Telecomix/Werebuild.

Promemorian vill att man ska kunna hämta ut uppgifter även för mindre brott, och Piratpartiet drar slutsatsen att fildelning är en måltavla.

Jag har bara läst texten en gång, men vad jag genast uppmärksammade var följande skrivelse:

Vidare föreslås en möjlighet att inhämta lokaliseringsuppgifter avseende en viss elektronisk kommunikationsutrustning som är påslagen men inte vid det aktuella tillfället används eller har använts för kommunikation. Det blir också möjligt att inhämta uppgift om vilka sådana kommunikationsutrustningar som har funnits i ett visst område. Förutsättningarna ska vara desamma som för inhämtande av uppgifter som rör en viss kommunikation.

Lokalisering kan man visserligen göra med IP-nummer och trafikdata på internet. Men, dess fulla kraft ligger i mobiltelefonerna. I ovan nämnda formulering snackar vi bred håv: det räcker att man har varit i närheten för att ens position, ned till några meters precision, ska kunna vara föremål för inhämtande.

Om nu detta kan komma att gälla även för ringa bötesbrott, då har vi en ganska jobbig situation. Även om detta måste analyseras juridiskt, finns det stort utrymme för missbruk. Låt säga att jag är i samma kvarter som ett snatteri – ska min position då kunna hämtas ut? Är alla i kvarteret misstänkta? (Detta är ett dåligt exempel då ren lokaliseringsdata kräver värre brott än snatterier)

Eller om jag vistas på ett visst ställe där det begås brott, är det då så att min trafikdata är föremål för inhåvning?

Här riskerar vi verkligen en situation av total social paranoia och beröringsskräck. ”Jag går inte på den gatan för där hänger det knarkare och då kan man ju bli misstänkt för vad som helst”, ”Jag rör mig inte i den stadsdelen” etc.

Datalagringsdirektivet kringgår vi enkelt med kryptografiska mjukvaror på internet. Men inte i mobilnätet. Där är trafikdata nästintill omöjligt att undvika.

Uppdatering: Exempelvis DN och SvD koncentrerar sig på fildelning och grooming. Jag ser detta som helt klart underställt mobiltelefonerna. De tekniska anledningarna till att jag så envist vill prata mobiler finner ni i denna bloggpost.

Det krypt(ograf)iska ansvaret

Förra veckans krypteringsnyheter väcker en rad intressanta frågor, som bland annat Hasse Rosén ställer i en tweet (ovan).

När kryptering blir allt vanligare får myndigheter som FRA och NSA ett tuffare jobb. Mera data måste dekrypteras, trafikmönstrena på internet blir allt otydligare och teknologier som Deep packet inspection blir allt svårare att implementera. Efter den senaste tidens stålbad av utökade övervakningslagar, tar internauter saker och ting i egna händer och använder sig av en slags teknologisk aktivism, som jag förutspår kommer att bli en brännande fråga inom en snar framtid. I Det nätpolitiska manifestet skriver jag:

Kombinationen av dessa två teknologier, kryptering och paketförmedling, ger upphov till ständigt nya darknets. Cyberspace blir cipherspace – ett krypterat internet inuti internet där det är nästintill omöjligt att röja en avändares identitet. Följden av denna identitetslöshet blir att inga lagar kan verkställas och inga straff utdömas; cipherspace är ett tillstånd av teknologisk anarki.

Ur detta tillstånd kan man påbörja ett resonemang om ansvar. Men inte vilket resonemang som helst, åtminstone inte om vi vill ta oss till själva sakfrågan. Att bara kräva att det tas ansvar innebär att man inte säger någonting alls. Att dessutom fastna för det suggestiva A-ordet i kryptoAnarki leder också fel, eftersom det tillsammans med A som i Ansvar i princip motsäger varandra redan per definition. Så låt oss ta en sak i taget och vandra från A till A varsamt.

För det första måste vi historicera debatten. Samma problemställningar diskuterades redan för 20 år sedan, bland annat av Timothy C. May i The Crypto Anarchist Manifesto (ca. 1992)*:

The State will of course try to slow or halt the spread of this technology, citing national security concerns, use of the technology by drug dealers and tax evaders, and fears of societal disintegration. Any of these concerns will be valid; crypto anarchy will allow national secrets to be trade freely and will allow illicit and stolen materials to be traded.

På nittiotalet var krypton klassade som ammunition, och i USA fördes en debatt om huruvida de skulle tillåtas över huvudtaget. Men mot slutet av nittiotalet beslöt man sig för att släppa kryptering helt fritt, eftersom det inte fanns några tecken som tydde på att varken nationell säkerhet skulle hotas, att det handlades med droger eller att samhällen kollapsade. Tvärtom stärkte anonymiteten människor som befann sig i diktaturer och under hot, men framförallt möjliggjorde krypteringen i princip IT-bubblan. Utan säkra kreditkortstransaktioner skulle vi inte ha handel på internet, vi skulle inte ha säkra login på Facebook etc.

Man skulle kunna säga att ansvaret istället vändes upp och ned. Det började ses som ansvarslöst att inte kryptera, eftersom man då exponerade användarna mot kreditkortsbedrägerier och att deras personliga data hamnade på vift. Så fort man har mer än en användare på sitt system argumenterar många för att man har en skyldighet att kryptera personliga data.

Detta bryggar över till den debatt som nu börjar formeras.

Andreas Ekström ställer ungefär samma fråga i sin kommentar till Det nätpolitiska manifestet, publicerad på Netopia. Men nu i ett nytt sammanhang, 20 år efter den första kryptoanarkidiskussionen:

Den digitala revolutionen fortsätter. Tydligen ska en miljon idiotiska småstrider behöva utkämpas innan världen på allvar blir bättre på grund av den – men striden om hur rättsstaten agerar eller utesluts från ett framtida genomkrypterat internet, den blir inte liten. Det är allas ansvar – och det säger jag trots att ganska lite i vår historia tyder på att kollektivt ansvarsutkrävande är en riktigt lyckad idé – att se till att den då åtminstone inte blir idiotisk.

Ekström öppnar åter den kanske ibland bortglömda frågan om relationen mellan stat och krypton. Den är inte alls mindre relevant idag. I länder som Kina, Iran, Förenade Arabemiraten, med flera, är kryptering hårt reglerad. Bara i veckorna har Förenade Arabemiraten haft stora problem med Blackberry-telefoner, vars kryptering är så stark att staten inte kan knäcka den (tillräckligt snabbt). Här tänker man sig att staten måste ta sig denna rätt för att förhindra hot mot den nationella säkerheten. Alltså, som Ekström argumenterar, rätsstaten släpps in i den krypterade trafiken.

Vems ansvar är det då? Och vad består ansvaret av? NSA tycker att franska Hadopi-myndigheten bär ansvar för att fildelare krypterar för mycket trafik. NSA utkräver (informellt) ansvar av Hadopi, och troligtvis dess motsvarigheter i andra EU-länder, att sluta upp med att övervaka ringa upphovsrättsöverträdelser så att de kan få tag på ”the bad guys”. I USA menas med detta allt som oftast terrorister.

När vi handlar roliga prylar på E-bay utkräver vi i rollen som konsumenter ansvar att E-bay inte skickar våra kreditkortsnummer i klartext hur som helst över internet. Vi kräver att våra mail förvaras på krypterade diskar så att de inte sprids vind för våg, och vi utkräver ansvar hos Facebook att data om exempelvis Iranska aktivister inte hamnar hos Basij-milisen.

Även kryptoaktivister utkräver ansvar, främst av sig själva. Att lova att ett system är fullständigt säkert innebär att man sätter någon annan i fara. Att inleda kommunikation med någon vars säkerhet man inte kan garantera är mycket dumdristigt, och kan leda till svåra konsekvenser om man exempelvis tunnlar in till/ut ifrån Kina.

Ansvar är således något som i princip alla utkräver av andra och sig själva i denna kryptiska ansvarsdebatt.

Jag skulle exempelvis mer än gärna vilja hålla Netopia ansvariga för en stundande konflikt med kryptorelaterade dimensioner. I sitt mantra om att ”rättsstaten” måste flytta in på internet, som om den skulle saknas där (så vitt jag vet gäller lagen lika mycket där som någon annan stans), så medför detta konsekvenser. Den ”rättsstat” som Netopia efterfrågar har teknologiska implikationer. Att skilja ett datapaket från ett annat, det ”lagliga” och det ”olagliga”, kräver alltid någon form av övervakning. Den senaste trenden är Deep packet inspection, som jag länkar ovan, vilket innebär att varje paket lyfts upp, analyseras, och släpps vidare. Om det inte är oönskat, för då stoppas det. Teknologin implementeras hos våra internetoperatörer, och blir därmed ofrivillig samt i många fall omedveten för användarna.

DPI kringgås mycket enkelt genom att man krypterar trafiken från sin egen dator till destinationen. Den ciphertext man skickar blir därmed meningslös för DPI-maskinen hos internetoperatören. Den sekund som de första paketen börjar droppas i kablarna, kommer först ett litet antal internauter att börja kryptera. När måltavlan blir exempelvis bittorrenttrafik kommer det tillkomma en strid ström av användare. NSAs problem ökar. Så även FRAs. Att utkräva ansvar för de ytterst få riktiga brott som äger rum i det vita brus av krypterad trafik som uppstår blir då allt svårare.

Det verkar som det ”kollektivt ansvarsutkrävande” som Ekström diskuterar inte fungerar. När man tar fram den breda håven på internet fångar man de vanliga användarna och inte de luriga bovarna. Samma förhållande gäller exempelvis med det läckta barnporrfiltret som Juliagruppen och AKZensur analyserade. Blockeringarna som Ecpat och Polisen överlämnar till internetoperatörerna leder till en allvarlig paradox. Den ”stora massan” får ett hemligt blockeringsfilter, medan barnporrsajterna får fortsätta att finnas. På en halvtimma kan man stänga ned sajterna istället och överlämna bevis till myndigheterna. Det kan vem som helst göra med hjälp av kommandot ”whois”.

Så frågan är om ”vem tar ansvaret?” verkligen alltid syftar till ”rättsamhället”? För det verkar som att de rättsvårdande myndigheterna knappast verkar bry sig. Det rättsvårdande samhället har överlämnat befogenheter och ansvar till privatpoliser när det gäller fildelning i och med IPRED1. Det verkar som att det blir allt svårare att motivera den manövern, med tanke på att IPRED-metoderna ständigt överklagas, kanske för att fällas i Europadomstolen.

För att återvända till Hasse Roséns inledande fråga om vilket ansvar ”de som bygger cipherspace” har för att anonymisering kan komma att missbrukas, kan man ställa upp ett svar ungefär så här:

I första hand upplever de flesta jag känner att det primära ansvaret är att se till att de som förlitar sig på kryptering inte i blindo litar på att tekniken fungerar. Trots att kryperingen idag är mycket stark finns det förödande misstag som man kan göra, och därmed avslöja sin identitet på helt fel ställe. En oförsiktig Egyptisk bloggare kan hamna i fängelse.

”De som bygger cipherspace” är inte en homogen grupp av nätaktivister. Tvärtom står privata företag för den största delen av den krypterade trafiken på internet. Kommersiella VPN-tjänster säljs dagligen till kunder som vill skydda sin trafik. Som privata företag är dessa pragmatiska med hur de ska ta ansvar. Man kalkylerar ett övervägande mellan hur man får maximalt antal kunder utan att riskera att komma i konflikt med polisen.

De mera avancerade projekten som I2P och Tor, som byggs upp av ”communities”, är kanske de mest intressanta. Dels bygger de upp en infrastruktur som siktar in sig på att vara ”kärnvapensäker”, alltså att det är omöjligt att fastställa identiteter och ta ned sajter och tjänster, även för utvecklarna själva. Här är ansvarsdiskussionerna mycket levande, till skillnad från de kommersiella tjänsternas mera pragmatiska hållning. Att sammanfatta dessa här och nu är kanske inte möjligt, men kanske finns det ändå några punkter att urskilja.

Principen om fri kommunikation går före rättsstatens ingrepp för att stävja eventuella brott. Dels fann man ju i USA på nittiotalet att brott över datornätverken i princip inte existerade. Men i juridiska termer skulle man kunna placera dessa principer i hierarkiska kategorier: fri kommunikation är för det mesta placerade som konstitutionella och fundamentala rättigheter, medan brottsbalkar intar en sekundär position.

Men kryptoanarki manifesterar sig sällan som en ”ideologi”, utan snarare som en praktik. Med hjälp av min dator kan jag förvandla klartext till chiffertext, sedan kan jag skicka data till vilken annan nod i nätverket (internet). När lagen inte skyddar mig, när exempelvis meddelarskyddet kringskärs av FRA, då ligger ansvaret hos mig istället för hos staten att garantera ett informationsflöde. Det kan tyckas vara orättvist, men vi är redan där idag.

Egentligen borde även våra traditionella massmedier ta det ansvaret. Hittills har jag sett väldigt lite av just detta. Om jag ska kontakta en redaktion, så finns det väldigt få vägar att göra det på utan att meddelarskyddet bryts. Vad spelar en grundlag för roll när min trafik ändå avlyssnas, här och nu. Med datalagringsdirektivet kommer telefonsamtalet att vara loggat. När jag mejlar kan mejlet ha snappats upp på vägen. När hyrsnuten har begärt ut mitt IP-nummer för en delad upphovsrättskskyddad fils skull, är min anonymitet bruten.

Jag är övertygad om att kryptoaktivister mer än gärna tar sitt ansvar att sprida kunskaperna och göra dem tillgängliga för fler. Ty de behövs.

* De kryptoanarkistiska manifesten finns samlade i Crypto Anarchy, Cyberstates, and Pirate Utopias av Peter Ludlow. För den som har i2p här.

** För en relaterad men annorlunda diskussion, se min ståndpunkt om transparens.

Wikileaks, valet och kriget

I mitt tidigare inlägg om cyberkrigsretoriken efterfrågade jag att detta begrepp diskuterades och definierades med mera nogrannhet.

Nu höjs röster för att USA ska agera militärt mot Wikileaks, för att förhindra att mer information läcker ut.

Ett sådant scenario väcker ännu fler frågor. För det första kan man fråga hur man agerar militärt på internet. Traditionellt sett har kryptografi och datorsäkerhet varit militärens sätt att ”kriga”, men då endast i försvarssyfte. Men man skulle kunna tänka sig att man gjorde en offensiv. USCYBERCOM skulle i princip kunna avfyra en attack mot Wikileaks datorer genom massiva Denial of Service-attacker. Om de nu hittar rätt servrar.

Det blir ännu mera komplicerat när svenska försvarsmakten ”rustar” inför nästa våg av dokument. Med rustar menar de i princip att de ska läsa igenom läckan, men man skulle kunna tolka det annorlunda.

Det första målet om man genom våld vill stänga ned Wikileaks torde vara de svenska servrarna. Om USCYBERCOM anfaller svensk infrastruktur, och en sajt som inte ens gör något olagligt, så skulle man kunna tänka sig att vi istället borde rusta oss för att värja oss för ett eventuellt amerikanskt angrepp.

Samtidigt blir hela historien bisarr. Ett sådant resonemang funkar bara om man tar ”cyber” på allvar, vilket inte riktigt går att göra. Att datorer anfaller varandra kan knappast kallas krig. Internet är under ständiga anfall av allt från mailspam till DDOS-attacker, och tekniskt sett är det ingen skillnad mot vad en militärmakt skulle använda för metoder.

I övrigt är det väldigt bra om Wikileaks blir en val(f)årsfråga. Både Anna Troberg och piratpartiet jobbar i den riktningen samt Broderskapsrörelsen. Man kan ju tycka att det är osmakligt att partier åker snålskjuts på Wikileaks arbete, men jag tror inte man ska tolka det så. Istället leder en partipolitiserad debatt mot att det öppnas för förslag av typen IMMI, det isländska alternativet. Tyvärr blockeras det just nu av EU och det stundande datalagringsdirektivet, samt av FRA. I någon mening visar Wikileaks vad fri information kan göra och i någon mening appliceras nu konsekvenskerna av de senaste årens inskränkningar på internet.

Det är skarpt läge. En väg pekar åt att vi viker för USA under Mr Tolgfors stilla böner. En annan väg pekar mot Island och ett återskapande av informationsfriheten.

Lätt att sådant skulle kunna bli intressanta valfrågor.

Förresten, piratpartiet erbjuder sig att ge Wikileaks serverplats. Men det kan man redan göra mycket enkelt. Har man ström och en bra uppkoppling kan man anmäla sig här. Visst vore det roligt med ett politiskt parti som blev anfallna av ”främmande makt”. Very exploitable för politiska poänger 😀

Streamingmyten i svensk lag

Riksdagen har beslutat att innehav av barnpornografi inte är en tillräckligt effektiv lag, därför har man gjort det straffbart att ”titta” på barnpornografiska bilder. Så här lyder argumentet:

Bakgrunden är att det finns sidor på internet där pedofiler kan betala för att få se bilder med barnporr eller titta på dem gratis. Eftersom det går att titta på bilderna utan att ladda ner dem blir det möjligt att kringgå förbudet mot innehav av bilder.

Detta är alltså ”spotify-argumentet”, alltså att streaming går att separera från nedladdning och kan öppna upp för ”legala tjänster” i fallet med musikfiler, vilket då verkar leda till att man måste utvidga lagen för de ”streamande pedofilerna”. Motsvarigheten för spotify skulle alltså göra att det blev förbjudet att lyssna på viss musik.

Tyvärr är ju myten om streaming bara en myt, som har avfärdats ungefär lika länge som begreppet uppkom. För att se en bild eller lyssna på en musikfil måste den kopieras och laddas ned, även om den sedan genast raderas.

Nästa fråga blir hur man tänker sig att denna lag ska kunna beivras. Här är några förslag:

  1. Kameraövervakning av lägenheter – Att fånga ”titt-ögonblicket” skulle här kunna leda till stark bevisning. Dock är det osannolikt att denna metod kommer att användas. Det är jobbigt och folk blir provocerade.
  2. Övervakning av innehållsdata (payload). Ett visst IP-nummer kontaktar ett annat IP-nummer och laddar ned en bildfil som sedan raderas från hårddisken. Eftersom filen inte finns kvar på hårddisken, om nu inte användaren har tagit en skärmdump (ungefär som man lagrar filer från Spotify). I jämförelse med kameraövervakning är det dock svårt att bevisa att ett IP-nummer kan kopplas till en person, så denna metod bör kräva kompletterande spaning. Detta underlättas med vissa implementeringar av datalagringsdirektivet, även om grundmotiveringen för detta direktiv var terrorism.
  3. Att ”innehållsleverantören” raidas. De som tillhandahåller betalsajter för streamad… förlåt, temporära nedladdningar, bör ha kreditskortsinformation, IP-loggar och detaljerad information om tider, ungefär som Facebook. Detta är nog det mest troliga, och denna form av övervakning sysslar exempelvis Spotify med i syfte att rikta reklam till geografiska stadsdelar och konsumentskikt.
  4. Installation av spionmjukvara på användares datorer, även kallade Bundestrojander (som förklarades strida mot författningen i Tyskland) eller Green Dam Youth Escort (det funkade lite bättre i Kina). Problemet med dessa mjukvaror är, förutom att de brukar strida mot de flesta grundlagar, att de är ganska ineffektiva eftersom de för det mesta bara utvecklas för Windows, och att användare lätt kan kringgå dem med en ominstallation. I förlängningen kräver de att varje kodsträng som körs på en dator kontrolleras så att spionmjukvaran inte har manipulerats, vilket i sin tur gör att den generella datorn måste överges som plattform till förmån för chip som bara kan köra en viss typ av godkänd kod.

Cecilia Malmströms förslag om att blockera sajter med barnpornografiskt material går dock i motsatt riktning, eftersom det i många fall omöjliggör övervakningen. Om man blockerar en sajt förlorar man trafikdatan som man behöver för att bevisa att tittande har skett. Även den utvidgade varianten av Censilia-paketet, att hela internetleverantörer stängs av från RIPE, gör det i princip omöjligt att komma åt loggfilerna.

Övervakning eller blockering är alltså två metoder som ibland står som varandras motsatser. I Australien försöker man även täppa till det analoga hålet i form av sneakernets genom att söka igenom laptops och mobiltelefoner på flygplatser, samtidigt som man har planer på långtgående blockeringsfilter.

Alla dessa åtgärder förutsätter att de olagliga bilderna existerar i vaniljinternet.

Från Green tea party till operation Shedstream

Via Interfax meddelas att #greenteaparty är över. De gröna partierna i EU, däribland det svenska miljöpartiet går gemensamt ut med en resolution som pekar i precis rätt riktning – mot att datalagringen ska avrustas i Europa. Det är bra. Mycket bra.

Miljöpartiet har kanske fått mest kritik i denna sörja. Själv har jag skrivit många arga blogginlägg och Lisa har till och med tagit ålen och torsken som gisslan. Det kan tyckas vara oförtjänt när vi alla vet vad som är roten till inte bara datalagringen utan även #censilia-filtret.

Vad Europa hela tiden måste nedmontera är ett mönster av censur och övervakning som på ett systematiskt sätt kommer från svensk Socialdemokrati. Vi kollar facit:

  • 1. Datalagringsdirektivet – Långt utanför Sveriges gränser var Bodström en mycket stark pådrivare av tvångsdatalagringen som har drabbat nästan hela unionen. Sakta men säkert får då civilsamhället se till att montera ned det, och än så länge har Tyskland lyckats ganska bra. Att datalagringsdirektivet bär svensk sosseflagg är det ingen tvekan om.
  • 2. Censilia – ett nytt kort i leken är förslaget om Europeisk nätcensur, som drivs mycket hårt av Cecilia Malmström. Tanken är att EUs medlemsländer ska ”harmonisera” en spärrlista för det öppna internet som ska blockera barnpornografiska bilder. (Förtydligande – Cecilia Malmström är ju folkpartist, men filtret har långt tidigare införts i Sverige genom bland annat Bodströms Ecpat. Utan tvekan är alliansens paternalism i grund och botten en Socialdemokratisk innovation. Kalla mig gärna osaklig när jag gör denna koppling.)
  • 3. Spotifykorporativismen. Denna ger sig till uttryck inte bara i IPRED (som ju Alliansen visserligen klubbade), men även i kontroversen kring Voddler/Spotify, som genast lett till att Leif Pagrotsky kallar in industrin för att genomdriva så kallade ”lagliga tjänster” på bekostnad av de neutrala näten och utan hänsyn till öppna licenser som GPL.

Vad får vi om vi lägger samman dessa tre saker? Ett övervakat nät som censureras och som utvecklas på industrins villkor. Detta kan tyckas vara en grov förenkling, men motsatsen kan knappast bevisas. Dessutom måste man tillägga att alla dessa tre i princip bara har effekter på den så kallade ”allmänheten” eller svennebanan. Datalagring fångar inga terrorister, och har aldrig gjort det heller. Nätcensur fångar inga personer som begår övergrepp mot barn. Och Spotify-samhället drabbar bara den stora majoriteten.

Socialdemokratins politik befinner sig alltså på en generell nivå som i traditionell modern mening handlar om att administrera befolkningen. Denna genomsnittlighetens politik utgör en slags biopolitik vars syfte är att kontrollera kroppar. Kroppar ska övervakas genom datalagring, deras lustar och begär skall hållas inom en normalitet, och de skall arbeta och konsumera i tydligt separerade mönster. Men problemet med Internet är ju att det inte låter sig regleras riktigt på det sättet, utan att det snarare undflyr just försöken till att uppgå i en genomsnittlighet. Ett nätverk är av en helt annan karaktär än en massa.

För att skapa fred måste vi alltså ändra på sossarna. Det är sjukt svårt. Några metoder som utarbetats i Telecomixsystemet är följande:

  • Operation Shedstream – Vem som helst kan delta i denna kampanj som inte upphör förrän datalagringen har försvunnit.
  • Programmet ”Adopt a Social Democrat” behöver internauter som adopterar sossar och genom endurance battle ser till att individuella partister förstår vad de håller på att göra med internet.

Fler program behövs, och det är bara att lägga till dem i wikin. Och framförallt krävs tålamod.

Kanske är övervakning och censur en del av den socialdemokratiska grundideologin. Jag vill inte tro det, men jag ser endast ett fåtal ljusglimtar i denna soppa. En sådan ljusglimt var när jag förra veckan höll ett föredrag för Socialdemokraternas Studentförbund i Göteborg. Genom en mycket kreativ diskussion lyckades vi hitta ett sätt att resonera kring dessa frågor. Men för att man ska komma dit måste man göra en ansträngning. Vid ett regeringsskifte är det med S som både V och Mp kommer att göra upp med. Således är det bara att börja sätta igång att infiltrera. För att vi ska kunna bygga om krävs det att vi skruvar in oss i kärnan av socialdemokratin. Någonstans där inne finns det hopp.

Därför är datalagringsdirektivet långt värre än FRA

Idag går datalagringsdirektivet upp i Tysklands Bundesverfassungsgericht, alltså författningsdomstolen, och Europa håller andan inför vad som kommer att hända. Samtidigt kan man läsa om de enorma kostnader för lagring som direktivet har medfört för operatörerna. Det blev viss en hel del data som skulle ställas till förfogande för myndigheterna.

Men, datalagringsdirektivet bör inte betraktas som en internetfråga i första hand. Av flera orsaker så är det mobiltelefonernas non-stoplagring som helt enkelt aldrig får påbörjas. FRA-lagen om kabelburen spaning är på ett sätt helt ofarlig ur denna synvinkel. Även om mobiltelefontrafik visserligen färdas över fiberkablar, så är det mycket långsynt att se hur trafiken (som är krypterad i VPN-tunnlar) på ett meningsfullt sätt skulle kunna analyseras av FRA. I alla fall i jämförelse med vad som snart blir möjligt  (och redan är möjligt i Tyskland) med datalagringsdirektivet.

1. Mobiltelefoner bygger på circuit switching

För det första är mobiltelefonnätet i sitt grundutförande (vissa typer av 3G-trafik exkluderade) lite som det gamla telefonnätet. En telefon med ett SIM-kort kopplar till en antenn och en basstation och sedan upprättas en ”krets” till en mottagartelefon. Tekniken kallas circuit switching, och till skillnad från packet switching, som internet bygger på, är man nästan helt låst till att följa hur nätet beter sig. Basstationerna möjliggör vidare så kallad basstationstömning för aggregerad data, exempelvis kan man få ut ”alla som befann sig på Götaplatsen klockan 12 igår” om man nu vill.

Datalagring av internettrafik är inte så svår att kringgå, inte heller är den information som lagras särskilt meningsfull. Men mobiltelefoner tillåter via sin tekniska infrastruktur att positionera dig varje sekund i stadsrummet, till och med på en nivå av hur långt ifrån en antenn du befinner dig (detta implementerades i Tyskland). Det går alltså i princip inte att välja bort datalagring med mindre än att man slutar använda mobiltelefonen alls.

2. Mobiltelefonbeteendet medför att vi bär med oss en spårsändare… frivilligt

Användarbeteendet för mobiltelefoner är just sådant att vi bär med oss den hela tiden, och kanske i ännu högre grad när vi just träffar andra människor. Mobiltelefoner innebär (hittills) ofta en trygghet för människor som då vet att de kan kontakta ex. familj, polis, läkare när som helst på dygnet. Men ”ta med dig telefonen för säkerhets skull” kan lätt förvandlas till ”ta inte med dig telefonen, du vet, Bodströmlagen”.

Är det verkligen okej att skapa denna teknologiska paranoia? Eller ens riskera att den kommer inträffa?

Lösningen är givetvis att blankt vägra implementeringen av datalagringsdirektivet från EU. Ja, kan Rumänien så kan väl vi! Och förhoppningsvis kan även Tyskland, och då kanske det blir lite mera fart i EU att så sakteliga avskaffa datalagring i hela unionen.

Rumänien, Tyskland, Bulgarien, Island… det finns gott om föredömen för Miljöpartiet och Vänsterpartiet att lyfta fram för Bodström. Det är möjligt att skapa en annan värld utan loggar, en värld som bygger på att vi trivs med tekniken omkring oss istället för att frukta den.