Öppet brev från Bumbee Labs till DFRI

Se även Mobilkartläggning bryter mot lagen, Slaget om staden – andra delen, Slaget om staden – om rätten till anonyma söndagspromenader och annat om mobilkartläggning.


DFRI har fått ett öppet svar från företaget Bumbee Labs på blogginlägget Slaget om staden – om rätten till anonyma söndagspromenader som publicerades igår.

Vi väljer att publicera svaret i sin helhet enligt önskemål från Bumbee Labs och har valt att inte modifiera utöver att ta bort vissa kontaktuppgifter och anpassa formatteringen för publicering på webben. DFRIs styrelse har ännu inte tagit ställning till svaret. DFRI tackar Staffan Liljestrand på Bumbee Labs för att ha tagit sig tiden att skriva ett såpass utförligt svar.

Det öppna brevet följer nedan

Hej!

Jag skriver här ett öppet svar och jag hoppas ni kan publicera det i sin
helhet på er hemsida.

Bumbee Labs är helt öppna med hur IOPS fungerar och har svarat på alla
inkommande mejl som inkommit under senaste tiden. Jag svarar personligen på
alla mejl för att jag tycker det är viktigt att visa oroliga medborgare
respekt. Jag har kollat igenom min inkorg och skickade meddelanden och jag
har inte fått något mejl från er gällande era frågor. Vi svarar gärna på
frågor och jag tycker det är olyckligt att ni skriver i er blogg att vi inte
svarar på frågor. Vi har varit med i många tidningar, radiokanaler och TV
som bevisar motsatsen och där vi är helt öppna med hur det fungerar. Är det
så att vi missat ett anonymt mejl från någon av era medlemmar så ber vi om
ursäkt för det. Mängden mejl som kommit in från privatpersoner är stor och
kanske har vi inte hunnit svara på alla ännu. Vi är ett litet företag, men
ambitionen är att vi ska svara på alla frågor som kommer in.

Vi tycker det är synd att vissa reportage inte alls belyser det positiva
syftet med tjänsten IOPS. Tidigare artiklar i exempelvis Borås Tidning gav
en helt annan vinkel. Syftet är för städer att förstå hur stora anonyma
besöksströmmar rör sig i en stadsmiljö. Det har man nämligen inte kunnat
göra tidigare och förståelsen av detta är enormt kostnadsbesparande för
städer när de bygger om gator och torg, förbättrar cykelvägar, utökar
kvällsbelysning m.m. Alla dessa investeringar görs ju med skattepengar och
många med oss tycker det är viktigt att man gör en korrekt analys innan man
tar kostsamma investeringar med skattemedel. Ingenstans är syftet att
”spionera på enskilda medborgare”. Det är varken intressant eller tekniskt
möjligt för oss. Syftet är att förstå hur stora flöden rör sig genom
städerna.

Städerna ser gärna att deras medborgare är med och hjälper dem att förbättra
staden ­ för just sina medborgare. För de medborgare som absolut inte vill
delta, så kommer vi vår vår hemsida inom kort lansera en tjänst där man kan
avböja att delta i mätningarna. Man kan säga att detta är en tjänst som kan
liknas vid NIX-telefon, där man kan registrera sitt telefonnummer och
därigenom slippa bli uppringd av telefonförsäljare. Det är en oberoende
amerikansk organisation som lanserar denna tjänsten och företag, som
exempelvis Bumbee Labs, kan registrera sig där och lovar (och kontrolleras)
därmed att radera medborgare som inte vill ha sina MAC adresser
registrerade. Vi tror att det ger mera trovärdighet, vilket är viktigt för
oss, om en oberoende leverantör utför tjänsten. Ungefär som NIX-telefon.

I korthet fungerar IOPS tekniken så här:

  • Syftet med IOPS är att erbjuda städer bättre statistik så de kan ta bättre
    beslut kring hur cykelvägar ska byggas, nya torg ska öppnas, belysning som
    behöver förbättras o.s.v. Städerna äger också statistiken, Bumbee Labs är
    bara leverantör av tekniken.
  • Vi sätter upp ett Wi-Fi nätverk i staden, som vilket annat Wi-Fi nätverk
    som helst
  • När en mobiltelefon dyker upp inom detta Wi-Fi nätverk, sänder
    mobiltelefonen ut ett anonym signal (för oss) som kallas för MAC adress.
    Detta är samma för alla Wi-Fi nätverk. Denna MAC adress kan omöjligt av oss
    kopplas ihop med en fysisk person, ett telefonnummer eller någon annan
    information. Det enda som telefonen sänder ut är just denna MAC adress.
    Inget annat.
  • Så fort en MAC adress dyker upp i IOPS Wi-Fi nätverket så krypteras den om
    till en så kallad HASH kod. Efter detta raderas den ursprungliga MAC
    adressen. Denna nya HASH kod kan aldrig återskapa den ursprungliga MAC
    adressen. Detta innebär att vi endast räknar passager av HASH koder och
    ingen kan någonsin återskapa den ursprungliga MAC adressen i våra system.
    Inte ens Polisen. Däremot skulle din operatör kunna koppla ihop din MAC
    adress med dig som fysisk användare i SINA SYSTEM ­ men detta har inget med
    IOPS eller Bumbee Labs att göra.
  • Summan blir då att IOPS helt avidentifierat och anonymt räknar besök av
    HASH koder och dessa är helt tekniskt omöjligt FÖR OSS att koppla ihop med
    en fysisk person, något telefonnummer eller liknande. Vi får då helt anonym
    statistik, vilket också är syftet med IOPS.
  • Under hela utvecklingsprocessen av IOPS har Sveriges ledande juridiska
    expertis konsulterats hur hanterandet av mätdata på ett juridiskt och etiskt
    korrekt sätt. Vi har också försökt att få IOPS utvärderat av
    Datainspektionen, men de låter hälsa att Datainspektionen inte kontrollerar
    enskilda produkter.
  • All data presenteras i aggregerad form (sammanslagen) och vi följer de
    normer som man har vid statistiska empiriska mätningar så som CGS (Centrala
    Gränsvärdessatsen) vilket innebär att ingen data presenteras under minst 30
    st besök. I praktiken är detta verkligen en undre gräns för oss. Normala
    nedbrytningar ligger ofta på minst 1.000 besök och uppåt. T.ex. presenteras
    statistik som ”Hur många besökare gick på Storgatan vecka 44″, Vilken gata
    är mest besökt på nattetid”, ”Hur många besökte ett visst event i staden”.

Ni skriver i er blogg att ”Även påståendet ’det är tekniskt omöjligt för
oss att koppla ihop den anonyma radiosignalen till en fysisk person’ är
falskt, då det ofta går relativt enkelt att identifiera telefonens ägare
genom att avlyssna telefonens WiFi-kommunikation. Mer om detta i nästa
avsnitt.” – Jag undrar lite hur ni tänker att detta ska gå till när vi inte
erbjuder Wi-Fi i Västerås och på inget sätt kan ”avlyssna telefonens
Wi-Fi-kommunikation”? Dessutom är det ju så att all känslig Wi-Fi trafik där
man exempelvis surfar in på sin bank, lämnar mobilnummer, personnummer eller
liknande sker krypterat via HTTPS, vilket vi då inte heller kan lyssna av.

Jag tycker det är lite sorgligt att bilden av IOPS är så onyanserad. Det
finns ingen ond baktanke. Syftet är att för första gången erbjuda städer
empirisk mätdata så att de kan ta bättre beslut kring investeringar som
finansieras med skattemedel.

Det är viktig för oss att medborgarna känner sig trygga med vår tjänst IOPS.
Så, fråga gärna mera om ni önskar.

Vänliga hälsningar / Best regards
Staffan Liljestrand, VD / CEO
Bumbee Labs AB
Kontaktuppgifter borttagna


Slaget om staden – om rätten till anonyma söndagspromenader

Se även Mobilkartläggning bryter mot lagen, Slaget om staden – andra delen, Öppet brev från Bumbee Labs och annat om mobilkartläggning.


Under Lördag eftermiddag (den 8/11) kommer aktivister från DFRI att dela ut flygblad i på Vasagatan i centrala Västerås. Vi kommer även att demonstrera en teknisk uppfinning med potential att sabotera övervakningssystemet och  skydda integriteten för personer som rör sig i staden.

Här finns några länkar till media som rapporterar om aktionen:
VLT: Övervakning i city saboteras
VLT: Störningen har startat
SVT: Storebror ser dig

Vi vill kanske inte alltid erkänna det, men vi är oskiljaktiga från våra telefoner. Sällan är mobilen mer än en armslängd bort, till och med när vi sover. Den som känner till var din telefon befinner sig och var den har varit tidigare, vet således en hel del om var även du befinner dig och har varit.

Det är relativt enkelt att spåra en mobiltelefon och att plocka fram information om platser där den tidigare befunnit sig. Din telefon är vanligtvis inte säker och tyvärr finns det företag som slår mynt av din olyckliga belägenhet.

I den här blogposten ska vi förklara hur mobiltelefonspårning går till och vilka kortsiktiga åtgärder du kan vidta för att skydda dig samt skissa upp en långsiktig lösning. För att konkretisera tittar vi på det system för att spåra mobiltelefoners (och därmed människors) rörelser som används i Västerås centrum just nu.

När vi pratar om spårning i det här sammanhanget syftar vi inte på den typen av positionering som telefonoperatören kan göra på uppdrag av polisen eller den information du frivilligt lämnar ut genom att installera appar som använder telefonens GPS. Vi pratar om ett sätt att hålla reda på var din telefon befinner sig helt utan både din och din operatörs inblandning.

Övervakningen i Västerås centrum

Under våren 2014 kontaktade företaget Bumbee Labs organisationen Västerås citysamverkan som består av företrädare för staden, fastighetsägare och näringsliv. De ville sälja sin produkt IOPS, ett system för att kartlägga hur människor rör sig i staden. Citysamverkan nappade på erbjudandet och systemet installerades på prov. I November kommer beslut fattas om det skall köpas in eller om utvärderingssystemet skall monteras ner.

På Bumbee Labs hemsida kan man läsa om IOPS (Indoor Outdoor Positioning System) att:

IOPS mäter signalstyrkan i decibel på en anonym radiosignal som besökarnas elektroniska enheter (mobiltelefoner m.fl.) sänder ut. […] Efter att en passage mäts raderas den ursprungliga anonyma radiosignalen från våra register. Eftersom det är tekniskt omöjligt för oss att koppla ihop den anonyma radiosignalen till en fysisk person, behandlas inga personuppgifter av IOPS.

Dessa påståenden är anmärkningsvärda av flera skäl och väcker en rad frågor.

Det första man kan konstatera är att Bumbee Labs påstående om en ”anonym radiosignal” inte stämmer. Mobiltelefoner skickar inte ut några anonyma radiosignaler över huvud taget.

Även påståendet ”det är tekniskt omöjligt för oss att koppla ihop den anonyma radiosignalen till en fysisk person” är falskt, då det ofta går relativt enkelt att identifiera telefonens ägare genom att avlyssna telefonens WiFi-kommunikation. Mer om detta i nästa avsnitt.

Det är tekniskt möjligt att bygga den typen av system som Bumbee Labs saluför på ett sätt som inte utgör några integritetsmässiga övertramp och det är fullt möjligt att IOPS fungerar på ett sådant sätt. Men det är omöjligt att veta eftersom företaget inte är öppna med hur deras spårning går till. DFRI har kontaktat Bumbee Labs med frågor och för att få en kommentar, men de har inte svarat. Med tanke på felaktigheterna i företagets andra kommunikation känner vi oss inte lugnade av försäkran om att ”radiosignalen [raderas] från våra register”.

WiFi – Digitala fotspår i etern

När det gäller WiFi-signaler, sänder en mobiltelefon alltid ut sin MAC-adress i alla sina anrop till omkringliggande antenner. Det är ett slags serienummer som är unikt för just den telefonen och är allt annat än anonymt.

En kvalificerad gissning av hur systemet fungerar, underbyggd av information från företagets hemsida och uttalanden i media, tyder på att  de ”anonyma radiosignaler” som Bumbee Labs hänvisar till är så kallade ”proble requests”. Det är en signal som din telefon regelbundet sänder ut  för att fråga om nätverk den tidigare varit ansluten till finns i närheten (för att den då skall kunna ansluta automatiskt till dem igen). 

Vad bör göras?

Naturligtvis  kan varken Västerås citysamverkan eller Bumbee Labs lastas för att våra  telefoner sänder ut all den här känsliga informationen. Men att systematiskt och storskaligt utnyttja den sårbara belägenhet vi alla befinner oss i är lika förkastligt som att närgånget fotografera offren i en trafikolycka. Att Västerås stad, som en del av Citysamverkan, deltar i detta är anmärkningsvärt.

Att stänga av WiFi är ett enkelt sätt för privatpersoner att undgå den typen av spårning som beskrivits i den här blogposten. Det är dessutom bra för batteritiden. Men det är lätt att glömma bort och det krävs att man alls vet om att man blir spårad. 

Men att tvingas stänga av WiFi är en nödlösning. DFRI önskar sig telefoner som är säkra och som är utformade för att värnar vår integritet, utan att några speciella inställningar måste göras. Det är vårt långsiktiga mål.

I Apples iOS 8 finns en funktion som ibland använder slumpvisa MAC-adresser vid probe requesets. Det är ett steg i rätt riktning – men det måste göras rätt och hela tiden, inte bara ibland. Vi hoppas att det initiativet plockas upp av Google och även införs i Android.

Edit: Efter publikationen av detta inlägg fick vi ett mail från företaget bakom IOPS. Det finns att läsa här.


DFRI arrangerar Stockholm CryptoParty 30 oktober!

Sist vi arrangerade CryptoParty Stockholm gjorde vi det tillsammans med Sparvnästet på Cyklopen ute i Högdalen och då kom det runt 40-60 personer, i olika åldrar. Vi hade talks om kryptering på flera olika nivåer, vi körde Krypto-workshops utifrån vad deltagarna ville lära sig, hade lockpicking och även ett snacksbord ;) Vi har hittills genomfört 6 stycken CryptoParties och nu är det alltså dags igen. Den här gången kommer köra på Handels i Stockholm. Det kostar inget att delta, vi bjuder på fika, men ät lite innan.

Agenda:

18.00 Välkomna – kort om DFRI

18.10 Talk kring krypterad surf med Linda Sandberg & Andreas Jonsson, DFRI

18.30 Vad är det där Tor egentligen? Linus Nordberg, DFRI

19.00 KAKOR

19.15-21.00 Tor i praktiken — kom igång och använd, Linus Nordberg, DFRI

Förutom Tor kommer ni också få möjlighet att testa på olika krypterade appar (obs! gäller främst android). Frågor och funderingar kan vi också ta oss an, en väljer själv vad en vill göra. Det går bra att testa något lite med, en behöver inte köra och testa allt. Det kommer finnas något för ALLA att lära sig och testa. Och ja, det kommer finnas KAKOR. Ingen föranmälan krävs, utan ni skriver upp er när ni anländer.

För frågor kring CryptoParty Stockholm maila linda@dfri.se alt skicka en tweet till @copylinda eller @dfri_se


DFRI:s arbete med Tor

I början av 2012 fick DFRI ett bidrag på 100 000 kronor från Stiftelsen för Telematikens Utveckling, TU-stiftelsen, för att under ett och ett halvt års tid utveckla Tor- och oniontekniken och dra empiriska slutsatser. Bland annat kartlade föreningen abuse-ärenden, hjälpte till att testa IPv6 stödet i Tor, och började arbeta på en lösning för att icke-tekniska personer ska kunna driva Tor-relän. Nu har vi publicerat rapporten här på webben >>