Nyligen publicerades en analys av ett spionprogram som skulle kunna vara Finspy, en del av FinFisher som säljs till myndigheter av Gamma International UK Ltd. Det är en trojan som kan användas för att stjäla lösenord, avlyssna vad som skrivs på en dator, kopiera filer och samtal med Skype med mera. Trojanen har skickats med e-post till demokratiförespråkare i Bahrain för att infektera deras datorer.

Analysen visade att Finspy verkar innehålla kod från GNU Multi-Precision arithmetic library, även kallat GMP. Därför passar vi på att ställa några frågor till DFRI:s medlem Torbjörn Granlund.

Vad är GMP och vad är din koppling?

GMP är ett programbibliotek som tillhandahåller snabb aritmetik på stora heltal. Det används för kryptotillämpningar, för forskning inom beräkningsinriktad talteori och dito algebra.

Jag startade GMP-projektet 1991 och har skrivit den mesta koden. På senare tid har GMP dessutom blivit mitt forskningsprojekt på KTH.

Hur fick du redan på att GMP används i Finspy?

Jag fick höra om detta från EFF:s John Gilmore. Han skickade dessutom en länk till en utredning av detta: From Bahrain With Love: FinFisher’s Spy Kit Exposed?

Vad tycker du om att koden används i trojaner?

Trojaner är ju alltid obehagliga program, och en trojan som är avsedd för bruk mot aktivister i totalitära länder är ju helt enkelt vidrig. Att det är ett till synes normalt företag som ligger bakom det hela gör saken extra upprörande.

Kan du säga något om ifall Finspy använder GMP enligt licensvillkoren?

Licensen kräver att användare får information om licensen och om att de har rätt till källkod och omlänkningsbar objektkod. Såvitt jag har förstått har demokratiförespråkarna inte fått sådan information tillsammans med trojanderna…

Det fina företaget bör därför anses ha stulit GMP. De säljer nu alltså en GMP-baserad produkt till diktaturer i strid med GMP-licensen.

Vidtar du några åtgärder mot företaget?

Utgå från att vi inte kommer acceptera detta. Precis vad vi kommer göra är inte helt klart ännu.

Har du tidigare råkat ut för att någon brutit mot licensvillkor för mjukvara som du utvecklat?

Det har hänt ett par gånger. Jag har rapporterat detta till FSF och SFLC, som har hanterat det.

Fast inget så här allvarligt har hänt tidigare.

Hur kommer det sig att du är medlem i föreningen DFRI?

Jag är med i DFRI eftersom jag är mycket orolig för utvecklingen i västvärlden när det gäller övervakning och rättighetsinskränkningar.Nyligen publicerades en analys av ett spionprogram som skulle kunna vara Finspy, en del av FinFisher som säljs till myndigheter av Gamma International UK Ltd. Det är en trojan som kan användas för att stjäla lösenord, avlyssna vad som skrivs på en dator, kopiera filer och samtal med Skype med mera. Trojanen har skickats med e-post till demokratiförespråkare i Bahrain för att infektera deras datorer.

Analysen visade att Finspy verkar innehålla kod från GNU Multi-Precision arithmetic library, även kallat GMP. Därför passar vi på att ställa några frågor till DFRI:s medlem Torbjörn Granlund.

Vad är GMP och vad är din koppling?

GMP är ett programbibliotek som tillhandahåller snabb aritmetik på stora heltal. Det används för kryptotillämpningar, för forskning inom beräkningsinriktad talteori och dito algebra.

Jag startade GMP-projektet 1991 och har skrivit den mesta koden. På senare tid har GMP dessutom blivit mitt forskningsprojekt på KTH.

Hur fick du redan på att GMP används i Finspy?

Jag fick höra om detta från EFF:s John Gilmore. Han skickade dessutom en länk till en utredning av detta: From Bahrain With Love: FinFisher’s Spy Kit Exposed?

Vad tycker du om att koden används i trojaner?

Trojaner är ju alltid obehagliga program, och en trojan som är avsedd för bruk mot aktivister i totalitära länder är ju helt enkelt vidrig. Att det är ett till synes normalt företag som ligger bakom det hela gör saken extra upprörande.

Kan du säga något om ifall Finspy använder GMP enligt licensvillkoren?

Licensen kräver att användare får information om licensen och om att de har rätt till källkod och omlänkningsbar objektkod. Såvitt jag har förstått har demokratiförespråkarna inte fått sådan information tillsammans med trojanderna…

Det fina företaget bör därför anses ha stulit GMP. De säljer nu alltså en GMP-baserad produkt till diktaturer i strid med GMP-licensen.

Vidtar du några åtgärder mot företaget?

Utgå från att vi inte kommer acceptera detta. Precis vad vi kommer göra är inte helt klart ännu.

Har du tidigare råkat ut för att någon brutit mot licensvillkor för mjukvara som du utvecklat?

Det har hänt ett par gånger. Jag har rapporterat detta till FSF och SFLC, som har hanterat det.

Fast inget så här allvarligt har hänt tidigare.

Hur kommer det sig att du är medlem i föreningen DFRI?

Jag är med i DFRI eftersom jag är mycket orolig för utvecklingen i västvärlden när det gäller övervakning och rättighetsinskränkningar.

(Översatt från EU-Kommission blockierte Anonymisierungsdienste av Georg Koppen.)

Arbetsgruppen Datalagring (Arbeitskreis Vorratsdatenspeicherung — AK Vorrat) har bevis för att EU-kommissionen har blockerat åtkomst till internet via anonymiseringstjänster. Mot bakgrund av de förnyade kraven på implementering av datalagringsdirektivet så väcker detta flera frågor. Dataskyddare är rädda för att användare av anonymiseringstjänster blir diskriminerade, något som är negativt för yttrandefriheten på nätet speciellt i kombination med datalagring. Efter klagomål av Patrick Breyer upphävdes blockeringen (men inte för Tor, se EU Commission gives up blocking TOR and VPN services, uppdateringen den 27/3). Arbetsgruppen Datalagring bjuder in kommissionen till ett ställningstagande i denna sak.

EU-kommissionen blockerade medvetet IP-adresser som man vet är en del av anonymiseringstjänster. I stället för den önskade webbsidan kom det upp en varning på skärmen som antydde att användaren hade nätverkproblem. Följande felmeddelande visades när man besökte EU-kommissionens webbsida:

Network Error (gateway_error) Server overloaded. The gateway may
be temporarily unavailable, or there could be a network
problem. For assistance, contact your network support team.

Genom detta blev det varken förklarat att IP-adresserna blockerades medvetet eller kommenterat varför anonyma användare förvägrades tillgång till allmänna informationssidor. Anonymiseringstjänster är absolut nödvändiga för att garantera tryck- och yttrandefrihet, framför allt i länder som övervakar internet genom censur, filter och datalagring. Tjänster som Tor tillåter speciellt medborgarrättskämpar och journalister att använda nätet anonymt och utan att bli övervakade.

Arbetsgruppen Datalagring klassar EU-kommissionens förhållningssätt som diskriminering och utestängning av användare i hela världen som använder sådana tjänster. ”Utestängningen av anonymiseringstjänster uppfattas som en skarp signal mot friheten på nätet” säger Katharina Nocun av AK Vorrat:en. ”Medborgarna måste även framöver ha möjlighet att surfa anonymt på myndigheters internet-sidor och kommunicera utan att data sparas.”

Även operatörer av Tor-servrar ser ytterst kritiskt på denna utveckling. padeluun från FoeBud e.V. som driver en Tor-server säger: ”Utöver Tor som körs ideellt och offentligt så har också kommersiella leverantörer blivit avsiktligt blockerade. För vissa tjänster var åtkomst till vissa internet-sidor helt blockerad.”

EU-kommissionen har vid flera tidigare tillfällen medgett att anonymiseringstjänster spelar en positiv roll för demokrati- och medborgarrättsrörelser i andra länder. Detta sätt att mäta med två olika mått är en skarp signal mot den digitala medborgarrättsrörelsen i Europa och Tyskland, särskilt mot bakgrund av diskussionen om EU:s datalagringsdirektiv.”

DFRI bjuder in till årsmöte plus mingel

• Plats: .SE (Stiftelsen för internetinfrastruktur), Ringvägen 100 i Stockholm.
• Mötet äger rum 17.30-19.00.
• Minglet pågår 19.00-22.00.

Se inbjudan för mer detaljer.

av kilian 2012-01-11

(Översatt från Pseudonym ist besser.)

Vi vet sedan förra året att bloggare under pseudonym anses trovärdigare och sedan i år att kommentatorer under pseudonym är bättre. Åtminstone om man får tro de respektive utredningsresultaten.

Har det någonting att göra med ett lägre självhävdelsebehov eller en önskan att tona ner sin egen person? Tyvärr ger Disqus’ siffror inga upplysningar om det. Men en annan mekanism ger en elegant alternativ hypotes: Identifikation med ett riktigt namn var liktydigt med vara inloggad på Facebook. Skriver personer som använder sin Facebook-identitet hos andra tjänster genomslittlig mindre intelligenta kommentarer? Det skall inte uteslutas. Lika litet som tanken att kommunikationen inom Facebook blir intelligentare om dataskyddet förbättras och pseudonymer tillåts.

SpiegelOnline har anfört ytterligare kritik: ”Eftersom Disqus inte förklarar hur kommentarerna blivit viktade och utvalda så måste man vara försiktig när man tolkar resultaten. Det är heller inte klart hur siffrorna kom till stånd alls: Grafiken antyder att uppgifter om samtliga 600 miljoner Disqus-användare samlades in. Men en användare kan dyka upp flera gånger som en Unique User, t.ex. genom att han eller hon växelvis kommenterar anonymt, pseudonymt och med sitt riktiga namn.”