Sociogram. Skall jag bry mig?

Det borde du! Idag använder en allt större del av befolkningen sociala medier som Facebook eller liknande tjänster. En av de saker som vi glatt talar om för omgivningen, är vilka vänner vi har. Här lämnar vi frivilligt spår av våra sociala kontakter för all framtid. Det här är naturligtvis smaskens för polis och säkerhetstjänst och för organisationer med mer dunkla avsikter.  Information om ”vem som känner vem” är basen för allt säkerhetsarbete (och kriminellas attacker) i deras kartläggning av dig.  Sådan här information om varje människas kontaknät måste av naturliga skäl samlas in före den behövs (för att t.ex. utreda ett brott). Eftersom myndigheterna inte vet på förväg vilka människor som man kommer att vara intresserade av så måste man samla in uppgifter om alla medborgare, oavsett om man misstänker dem för brott eller inte.  Det är av denna anledning som EUs datalagringdirektiv blev till. Myndigheterna vill kartlägga ditt privatliv med hjälp av de uppgifter de tvångsmässigt (via din ISP/Telefonoperatör) kan samla in om dina telefonsamtal, SMS och internetaktiviteter. Lägg till detta de uppgifter du frivilligt publicerar på sociala medier.

Känns detta lite otäckt Orwellskt? Det borde det göra.

Denna samlade kunskap om oss kan visas som ett sociogram. Där kan man se vem som känner vem, på vilket sätt och annan intressant information. För att illustrera detta så har jag skapat två sociogram över Thomas Bodström och Beatrice Ask. Två av de huvudansvariga för att  börja omvandla Sverige till en Orwellsk övervakningsstat – ett nytt DDR.

Informationen som jag presenterar är tillgänglig från öppna källor på Internet. Vems som helst med lite programmeringskunskap kan göra ett liknande program som hämtar och sammanställer publikt tillgänglig information. Vad länkarna och färgerna representerar får ni klura ut själva.

Beatrice Ask - Sociogram

Thomas Bodström - Sociogram

Länktips: Kolla på Gotbarbies blog. Toppen! Läs också Rick Falkvinges inlägg här och bli oroad.

—Ean

Vilket skydd ger VPN

Jag har i det tidigare inlägget försökt skissa på hur dina fiender på internet ser ut. Känner du dig hotad? Bra, det bör du göra! Låt oss då titta på de försvar du har mot ovälkomna snokare i din privata sfär.

Idag är det populärt med VPN,  så låt oss titta på VPN och se vilket skydd det erbjuder. Vad VPN gör är att de skapar en ”tunnel” från din dator eller smartphone till en VPN-leverantör. Om VPN:et är korrekt implementerat, då kommer all trafik från din dator att gå via VPN-tunneln till VPN-leverantören. Det innebär att allt som du skickar är krypterat mellan din dator och VPN-leverantören. I bilden nedan är tunneln illustrerad som den gröna ”korven.” VPN-tjänsten är orange.

Internethot - VPN
När din trafik når VPN-leverantören då släpps den ut ifrån deras servrar (4) på internet på samma sätt som den skulle ha släppts ut från din ISP (1) om du inte hade använt en VPN-tunnel. Låt oss analysera vilken säkerhet du nu har fått. Kolla de gula siffrorna i bilden.

Din ISP kan inte längre se vilken address du surfar till. De kan inte heller se vilken typ av trafik du skickar. Det här är en ganska stor förbättring när det gäller din integritet på nätet. Som jag skrev tidigare så är din värsta fiende (ur integritetssynpunkt) på nätet din ISP, eftersom den vet allt som du gör (kopplar upp dig till och även en hel del innehåll). Men vänta en liten stund innan du hurrar. Den trafik som du skickar kommer nu ut på det öppna nätet via din VPN-leverantör vid (4). Där är den lika synlig som om den kommit från din ISP vid (1).  Så vad har du egentligen åstakommit förutom att du har flyttat din internet-access till din VPN-leverantör (4)  samt även flyttat ca 50 kr/månad till VPN-ägaren?

+ Om din VPN-leverantör (3) är baserad i ett annat land så har du försvårat för svenska myndigheter att koppla något som händer på nätet till just dig. Detta beror på att din ISP, som är myndigheternas förlängda arm, inte kan se vart du verkligen kopplar upp dig eller innehållet i det du skickar. Dock, om Säpo eller Cia skickar en förfrågan till belgiska säkerhetstjänsten (om din VPN-tjänst är belgisk) med en förfrågan om hjälp så kommer din VPN-tjänst (3) raskt att avslöja vem du är eller vilken IP-address som du använde (1), vilket är lika med din identitet när de sedan skickar frågan vidare till din ISP.

+ Din ISP har inte alla uppkopplingar du gjort till internetsajter. De vet bara att du varit uppkopplad (till din VPN-leverantör). Om du har anlitat en VPN-tjänst som inte omfattas av det europeiska datalagringsdirektivet, så är förmodligen inte heller din surfning bokförd någonstans.

+ Eftersom din ISP inte längre vet vad du gör, så kan han inte längre blockera eller på annat sätt styra eller lägga sig i vad du gör. Undantaget är förstås om din ISP generellt börjar att göra livet surt för VPN eller krypterad trafik. 

– Det du vinner i skydd från ”din” ISP när du börjar använda VPN, förlorar du nu i skydd gentemot din VPN-leverantör. Om du inte litar på din ISP så skall du fråga dig om du litar på din VPN-leverantör och varför.

+ FRA eller andra som kollar på nätet (2) kan heller inte direkt få reda på vad du skickar till din VPN-tjänst eller vart du egentligen ansluter dig.

– Genom att använda VPN så drar du förmodligen på dig uppmärksamhet från myndigheter typ FRA (2) och din ISP (1). Det är lite som att maskera sig i ett demonstrationståg.

Poliser, myndigheter och privatsdeckare som spanar på nätet efter en viss typ av brottslighet kollar inte ännu i Sverige som i Kina på allas internettrafik. De spanar istället på trafik vid tjänsterna (5). Om man har identifierat en sajt för barnporr, terrorism, fildelning eller något annat sammhällsomstörtande så är det ju bara att sätta sig där och vänta och samla in ipadresser på besökarna. Ett smart lejon sätter sig vid vattenhålet och väntar på sina byten.

Har dina fiender dessutom infiltrerat de tjänster du använder (6) så är du rökt om din identitet där på något sätt är kopplad till din verkliga person.

Sammanfattningsvis: VPN döljer dina aktiviteter på nätet för din ISP, men blottar dig för din VPN-leverantör. Det försvårar för myndigheter att spåra dig, dvs vart du anslutit dig och innehållet din kommunikation.

— Ean

Skype och andra ”parasiterande” tjänster

Jaha, så är det dags igen. Telekombolagen med Telia i spetsen anklagar Internetbolag som tillhandahåller tjänsten ”tal” att stjäla eller parasitera på ”deras” tjänst.   Ibland hävdar också telekombranchen att ”SMS” eller kortmeddelanden också är ”deras” tjänst.

Nu meddelar alltså Charlotte Züger att de skall börja stänga till tjänster som stjäl deras vinster. Vad som har hänt på senaste tiden är att nu finns det teknik med överkomligt pris som kan massavlyssna och filtrera misshagliga tjänster. Fram till nyligen så har denna teknik inte varit praktiskt användbar pga dess dåliga prestanda och allt för höga pris. Men, nu är detalltså dags.

Det här är egentligen bara senaste utspelet i den maktkamp mellan telecom och datacom som har pågått alltsedan datacom föddes. Vem är ”on top”. Telecom har självklart ansett att telenätet är alltings grund och historiskt så har de också kunnat argumentera för att på deras tal-ledningar så kan man också transportera ”data” och således var ”data” en ”tilläggstjänst” på ett telenätet.

I braschen fanns tidigt en medventenhet att detta förhållande (med telecom som ägare av datacom) skulle komma att ifrågasättas när dataforbindelser (t.ex. ATM) började att ersätta de gamla telekomnäten. Alla i branchen insåg också att den dagen skulle komma då skevheten i kostnaden (mellan tal, sms och data) för den överförda informationsmängen inte skulle kunna motiveras. Där är vi idag. Tekniken för att enkelt kunna skicka kortmeddelanden, prata och dessutom använda video, över Internet, har dessuton nu blivit så bra att alla kan använda den. Skype har gjort ett storartat pionjärjobb här.

Tyvärr så har telecoms affärsstrateger inte fattat vad som har hänt. De har envist hängt kvar vid ”tal” och ”sms” som ”core business”. När nu de ställs inför fullbordat faktum – Internet med alla sina tjänster (även tal) är så mycket bättre och billigare än de traditonella telecomtjänsterna – Vad gör de då? Jo, de vill monopolisera, förbjuda, förhindra och låsa in. Dvs precis detsamma som mediaindustrin i alla tider försökt göra. Förbjuda ljudfilmen, förbjuda grammofonen, förbjuda bandspelaren, förbjuda videokasetten, …

Suck! När skall de gamla fatta att loppet är kört för gamla affärsmodeller och börja anpassa sig till nya spelregler. Att det skall vara så svårt!

—Ean

P.S. Den nya tekniken som används, DPI och annan heuristik-baserad teknik, bör vi vara mycket rädda för som konsumenter. Jag kommer att skriva mer om DPI  i senare bloggar.

Dina fiender på nätet

När man skall diskutera integritetshoten på nätet så är det viktigt att förstå vem det är som vill äga dig, varför de vill komma åt dig och var i nätet attackerna kan ske.

Det finns i princip två huvudorsaker till att någon vill äga dig: Kontrollbehov och Pengar. De som vill kontrollera dig är ”rättsvårdande” myndigheter av diverse schatteringar. De som vill tjäna pengar på dig är tjänsteleverantörer av olika sorter och kriminella organisationer. I bilden nedan har jag försökt att illustrerar det hela.

Din information läcker

Din dator och mobiltelefon är suveräna platser för den som vill komma åt information om dig. De ger prima orginaldata direkt till den som lyckas att plantera något på dina maskiner. Både de applikationer som du själv installerat eller det som andra stoppat dit läcker information. De andra är t.ex. säkerhetstjänster, mobiloperatörer med som förser dig med brandade telefoner, tjänsteleverantörer som Google och Facebook och de rent kriminellas scumware och virus.

Liknelse: En bug i Alice lägenhet som gör att polisen kan se och höra allt vad hon pysslar med.

Din nätleverantör (typ Bredbandsbolaget eller Telia), vanligvis kallad ISP (Internet Service Provider),  är din värste fiende ur ett integritetsperspektiv. Eftersom allt du gör på nätet passerar deras maskiner, så känner de i princip till det mesta du gör om du inte skyddar dig aktivt.

Liknelse: Portvaktsfrun i hyreshyset där Alice bor (vi låtsas att vi bor i Frankrike) vet allt om när Alice kommer och går och kanske var hon varit. Första personen polisen besöker när ett brott skall utredas.

På ”stora” Internet är precis just din info relativt svår att snappa upp pga den stora mängd som passerar genom switchar och routers. Man vet dessutom inte heller vilken väg data kommer att ta på nätet. Det är högst osannolikt att någon som sniffar där har samma kompletta bild av dig som din ISP har.  Trots det så finns det stora aktörer som är här och trålar. Här hittar man t.ex. FRA, Echelon, Onyx och andra nationers  massavlyssningsprogram. Att arbeta med att snappa upp detaljerad och specifik information här är svårt, dyrt och osäkert.

Liknelse: En polis som står och spanar på cetralstationen. Alice har en väldig otur om polisen får syn på just henne i folkvimlet.

När informationen når destinationens ISP  så börjar det bli mer intressant för säkerhetstjänster igen. Här samlas många personer vid de olika tjänsterna. Här är det guldläge för dem som söker efter många människor med samma intressen  (som t.ex. fildelning).

Liknelse: En spanare som övervakar klubben som Alice kommer till för att träffa Bob.  Kanske också Bob nyttjar narkotikum…

Väl inne hos nättjänsterna/applikationerna blir det ändå smaskigare och lättsmält för den som har tillgång till tjänsternas databaser. Här har nättjänsterna sorterat och kategoriserat  informationen som alla användare har försett dem med. Är det någon som tvivlar ett ögonblick på att Facebook lämnar ut information till CIA, om den nu inte redan går att läsa öppet på medlemmarnas sidor.

Liknelse: Klubbägaren på klubben som har alla medlemsuppgifter. ”Kan jag få se medlemsregistret” – säger polisen till klubbägaren.

Laglig, grå och illegal avtappning av data

De lagliga metoderna – myndigheternas metod

När det gäller sättet att komma åt informationen så har säkerhetstjänst/polis ett bra läge. De har antigen lagstiftade anslutningar till nätleverantörer för avlyssning (sk Lawful Interception) eller så knackar de bara på dörren till tjänsteleverantören och talar om vad de vill ha.  Om de har svårigheter att komma åt informationen på något sätt så har de alltid de traditionella metoderna med övervakning och buggning, numera kompletterat med keyloggers m.m. för datorer och telefoner.

De grå eller oreglerade metoderna – tjänsteleverantörernas metoder

Dina tjänsteleverantörer kanske har en annan agenda än de rättsvårdande myndigheterna, men trots detta kan de vara nog så skadliga för dig som enskild medborgare. Du är nämligen handelsvaran här och samtidigt deras finansiärer. De vill veta allt om dig. Vilka nättjänster du använder, vilka program du kör, hur mycket du surfar, när du surfar, om du surfar till konkurrenter. När det tagit reda på vad du gör, då kan de t.ex. förhindra eller försvåra att du använder konkurrerande tjänster som te.x. Skype (om din ISP är Telia), eller så kan de ”hjälpa” de sajter du besöker med att identifiera dig. Det senare möjliggörs med tekniken ”deep packet inspection” (DPI) tillsammans med s.k. ”header enrichment”, en av de vidrigare teknikerna som nu börjar att bli praktiskt genomförbar. Mer om detta i senare bloggar.

De brottsliga metoderna – de kriminellas metoder

De kriminella måste hålla sig till andra kanaler för att komma över informationen om dig, sina bankkonton, kreditkort, och datorresurser. De primära ställen där de kan attackera dig är på dina egna maskiner mha diverse program av dålig sort.  Tyvärr är det också så att den information som samlats in om dig av dina tjänsteleverantörer och lagvårdande myndigheter också kommer på villovägar och hamnar i kriminellas händer. Märkligt va!? Och du som litade på dem…

Man skall inte heller underskatta skadan som den nyfikna grannen eller den illvilliga kusinen kan ställa till med, trots att det kanske inte är i direkt brottsliga uppsåt de kikar på din uppgifter.  Vi pratar om sjukvårdspersonal, poliser, skatteverkets personal, skolpersonal, forskare, journalister, datatekniker och många fler.

Puh!

Det var allt för denna gång, men jag kommer tillbaka snart. Det finns massor att diskutera här. Hur, och hur mucket, skall vi nu skydda oss? Skydd kostar – hur gör vi en vettig avvägning mellan offentlighet och privatliv? Vad blir de politiska konsekvenserna om alla blir privata på riktigt?

—Ean