När man skall diskutera integritetshoten på nätet så är det viktigt att förstå vem det är som vill äga dig, varför de vill komma åt dig och var i nätet attackerna kan ske.
Det finns i princip två huvudorsaker till att någon vill äga dig: Kontrollbehov och Pengar. De som vill kontrollera dig är ”rättsvårdande” myndigheter av diverse schatteringar. De som vill tjäna pengar på dig är tjänsteleverantörer av olika sorter och kriminella organisationer. I bilden nedan har jag försökt att illustrerar det hela.
Din information läcker
Din dator och mobiltelefon är suveräna platser för den som vill komma åt information om dig. De ger prima orginaldata direkt till den som lyckas att plantera något på dina maskiner. Både de applikationer som du själv installerat eller det som andra stoppat dit läcker information. De andra är t.ex. säkerhetstjänster, mobiloperatörer med som förser dig med brandade telefoner, tjänsteleverantörer som Google och Facebook och de rent kriminellas scumware och virus.
Liknelse: En bug i Alice lägenhet som gör att polisen kan se och höra allt vad hon pysslar med.
Din nätleverantör (typ Bredbandsbolaget eller Telia), vanligvis kallad ISP (Internet Service Provider), är din värste fiende ur ett integritetsperspektiv. Eftersom allt du gör på nätet passerar deras maskiner, så känner de i princip till det mesta du gör om du inte skyddar dig aktivt.
Liknelse: Portvaktsfrun i hyreshyset där Alice bor (vi låtsas att vi bor i Frankrike) vet allt om när Alice kommer och går och kanske var hon varit. Första personen polisen besöker när ett brott skall utredas.
På ”stora” Internet är precis just din info relativt svår att snappa upp pga den stora mängd som passerar genom switchar och routers. Man vet dessutom inte heller vilken väg data kommer att ta på nätet. Det är högst osannolikt att någon som sniffar där har samma kompletta bild av dig som din ISP har. Trots det så finns det stora aktörer som är här och trålar. Här hittar man t.ex. FRA, Echelon, Onyx och andra nationers massavlyssningsprogram. Att arbeta med att snappa upp detaljerad och specifik information här är svårt, dyrt och osäkert.
Liknelse: En polis som står och spanar på cetralstationen. Alice har en väldig otur om polisen får syn på just henne i folkvimlet.
När informationen når destinationens ISP så börjar det bli mer intressant för säkerhetstjänster igen. Här samlas många personer vid de olika tjänsterna. Här är det guldläge för dem som söker efter många människor med samma intressen (som t.ex. fildelning).
Liknelse: En spanare som övervakar klubben som Alice kommer till för att träffa Bob. Kanske också Bob nyttjar narkotikum…
Väl inne hos nättjänsterna/applikationerna blir det ändå smaskigare och lättsmält för den som har tillgång till tjänsternas databaser. Här har nättjänsterna sorterat och kategoriserat informationen som alla användare har försett dem med. Är det någon som tvivlar ett ögonblick på att Facebook lämnar ut information till CIA, om den nu inte redan går att läsa öppet på medlemmarnas sidor.
Liknelse: Klubbägaren på klubben som har alla medlemsuppgifter. ”Kan jag få se medlemsregistret” – säger polisen till klubbägaren.
Laglig, grå och illegal avtappning av data
De lagliga metoderna – myndigheternas metod
När det gäller sättet att komma åt informationen så har säkerhetstjänst/polis ett bra läge. De har antigen lagstiftade anslutningar till nätleverantörer för avlyssning (sk Lawful Interception) eller så knackar de bara på dörren till tjänsteleverantören och talar om vad de vill ha. Om de har svårigheter att komma åt informationen på något sätt så har de alltid de traditionella metoderna med övervakning och buggning, numera kompletterat med keyloggers m.m. för datorer och telefoner.
De grå eller oreglerade metoderna – tjänsteleverantörernas metoder
Dina tjänsteleverantörer kanske har en annan agenda än de rättsvårdande myndigheterna, men trots detta kan de vara nog så skadliga för dig som enskild medborgare. Du är nämligen handelsvaran här och samtidigt deras finansiärer. De vill veta allt om dig. Vilka nättjänster du använder, vilka program du kör, hur mycket du surfar, när du surfar, om du surfar till konkurrenter. När det tagit reda på vad du gör, då kan de t.ex. förhindra eller försvåra att du använder konkurrerande tjänster som te.x. Skype (om din ISP är Telia), eller så kan de ”hjälpa” de sajter du besöker med att identifiera dig. Det senare möjliggörs med tekniken ”deep packet inspection” (DPI) tillsammans med s.k. ”header enrichment”, en av de vidrigare teknikerna som nu börjar att bli praktiskt genomförbar. Mer om detta i senare bloggar.
De brottsliga metoderna – de kriminellas metoder
De kriminella måste hålla sig till andra kanaler för att komma över informationen om dig, sina bankkonton, kreditkort, och datorresurser. De primära ställen där de kan attackera dig är på dina egna maskiner mha diverse program av dålig sort. Tyvärr är det också så att den information som samlats in om dig av dina tjänsteleverantörer och lagvårdande myndigheter också kommer på villovägar och hamnar i kriminellas händer. Märkligt va!? Och du som litade på dem…
Man skall inte heller underskatta skadan som den nyfikna grannen eller den illvilliga kusinen kan ställa till med, trots att det kanske inte är i direkt brottsliga uppsåt de kikar på din uppgifter. Vi pratar om sjukvårdspersonal, poliser, skatteverkets personal, skolpersonal, forskare, journalister, datatekniker och många fler.
Puh!
Det var allt för denna gång, men jag kommer tillbaka snart. Det finns massor att diskutera här. Hur, och hur mucket, skall vi nu skydda oss? Skydd kostar – hur gör vi en vettig avvägning mellan offentlighet och privatliv? Vad blir de politiska konsekvenserna om alla blir privata på riktigt?
—Ean
Kunskap är makt 