DFRI @ 32c3 i Hamburg

Som sig mellandagstraditionen bör så befinner sig en del av DFRI på 32c3 eller CCC (Chaos Communication Congress).

Vi möts klockan 15 framför EDRi:s (och vårt, snett framför EFF) bord den 28:e December. Vi kommer ha någon som står där fram till 15:10 varpå vi glider iväg till ett litet lugnare hörn (på våningen ovanför om man använder trappan till höger) där vi kan tala enklare med varandra.

Ta med alla ni tror kan vara intresserade, Agendan är mest att träffas till att börja med. Om någon har funderingar, frågor, idéer som de klurar på så kanske det finns fler som tycker det låter intressant och vi spinner vidare på det.

Väl mött!


CryptoParty Stockholm – 14 dec 2015

Tillsammans med Kungliga Biblioteket arrangerar vi ett nytt CryptoParty den 14:e december!

Vi håller till på THINGS, Drottning Kristinas Väg 53 (T-bana Tekniska Högskolan).

De workshops vi kommer att hålla den här gången rör bl.a. Snowdens topplista över säkra verktyg, Tor, Signal, OTR, Tails och Qubes – och sedan vill vi få fler engagerade i att översätta Cory Doctorows bok Little Brother.

Här kan du se hela programmet: https://www.cryptoparty.in/sthlm

Inga förkunskaper krävs, du behöver inte anmäla dig, det kostar inget att delta och ALLA är välkomna! Men glöm inte bort att ta med dig en dator!


Nästa styrelsemöte nu på måndag

DFRI:s styrelsemöte nummer 9 för året hålls måndag den 7 december klockan 19:30 någonstans i Stockolm, oklart exakt var just nu.

Preliminär agenda finns att läsa här.

Alla medlemmar välkomna. Anmäl dig per mejl på dfri@dfri.se om du vill delta.


Kakor, annonsblockering och integritet

Den senaste tiden har det på fler och fler webbplatser dykt upp krönikor som handlar om annonsblockering, inte minst sedan användare av Apples mobiltelefoner nu fått möjlighet att blockera reklam.

Jan Helin, chefredaktör på Aftonbladet överväger att blockera alla som blockar annonser. Washington Post har enligt uppgift redan genomfört adblock-blockering. IDG har skrivit en längre artikel om ämnet. Martin Appel krönikör i samma tidningskoncern tar i hårdare. ”Stoppa gratisätarna!” heter det. Därefter följer en utläggning om hur de som blockar annonser är som grannar i en bostadsrättsförening som inte hjälper till. Vad samtliga dock ”glömmer” att berätta är att de internetanvändare som vänligen tittar på reklamen inte bara profileras på ett olagligt sätt. De utsätts också för andra otäckheter.

Inte nog med att användaren profileras med information så som ålder, kön, intressen, etc. Denna information säljs också vidare. Tekniken som gör detta möjligt blev 2011 olaglig att genomföra utan besökarens samtycke. PTS är nu i slutfasen av sitt tillsynsarbete i ärendet. Givetvis har signalspanings-gänget redan upptäckt det fantastiska i spårningen och börjat använda det för sina egna syften. Det senare går delvis att avhjälpa med teknik, men teknik medför kostnader. Detta är få tidningar eller reklambolag intresserade av.

Den som surfar utan annonsblockering löper också en betydligt större risk att utsättas för skadlig kod (virus, trojaner etc). Problemet är så utbrett att det fått ett eget namn, ”malvertising”, en kombination av de engelska orden ”malware” och ”advertising”. Detta har givetvis redan hänt ett flertal gånger på svenska sajter.

Reglerna för annonsnätverken är hårda. Visst, som innehållsproducent kan du välja bort det mest störande, men inte utan att få betydligt mindre betalt. Allt bygger på att reklamen ska få exekvera kod på slutanvändarens dator via javascript eller flash, komponenter som ofta möjliggör den största integritetsöverträdelsen och som naturligtvis också är den största vektorn för skadlig kod mot webbläsare.

Men hallå, vem är det som gratisäter egentligen?

Så villkoren för att få läsa (eller vara med och städa på gården) är alltså att användare ska acceptera att:
– Så mycket personlig information som möjligt samlas in
– Som sedan säljs vidare till ett okänt antal parter
– Som används av underrättelsetjänster för att profilera dig
– Som ökar sannolikheten för att skadlig kod levereras till din webbläsare
– Utan att be om lov

Använder man en mobiltelefon så påverkas naturligtvis batteritid och telefonens rapphet, samt telefonräkningen. Användarna ska nu betala för nöjet att titta på annonser. Ändå är användarna som delar länkar och bidrar med trafik till sajterna. Givetvis slipper användaren inte några av nackdelarna genom att bli prenumerant. Nej, integritetsproblemen för användaren snarare ökar genom ständig inloggning. Det är inte konstigt att det är svårt att sälja detta.

Många skulle nog hävda att reklamföretag och webbplatser får skylla sig själva. Att de gått över gränsen. Det hade givetvis inte behövt bli så här. Ett arbete för att hantera integritetsproblemen med annonserna påbörjades 2011, men reklamindustrin var föga intresserad.

Trots oviljan från reklamindustrin och därmed också innehållsleverantörerna (DN, SvD m.fl.) att anpassa sig till en ny verklighet så gör Mozilla (Firefox) en insats för att laga det som är trasigt. I ett initiativ kallat ”blockparty” menar Mozilla att vi inte ska blockera annonser specifikt, utan att vi istället ska blockera oacceptabelt beteende. Detta skulle kunna vara sådant som t.ex.
• Bildinnehåll från tredjepart över en viss storlek
• Spårning från tredjepart
• Rörliga bilder
• Ljud
• Programkod från tredjepart
Listan kan göras lång. Ett tydligt tecken på att innehållsleverantörer och reklamköpare har en del att jobba på.

Pagefair, ett företag som under lång tid undersökt annonsblockering (och också tillhandahåller en annonsblockerar-blockerare), mäter att 25% av alla i Sverige använder annonsblockerare. Vi ligger med andra ord långt efter världsmästarna Polen på 35%. Pagefair har också undersökt vad som skulle få människor som inte installerat en annonsblockerare att göra detta. Över 50% ansåg att spårning på nätet skulle vara avgörande.

Interactive Advertising Bureau (IAB) avger en läpparnas bekännelse i en artikel där de lanserar initativet LEAN, ett försök att återfå förtroendet från alla som tröttnat på reklamindustrins övertramp. Samtliga punkter är lovvärda, men den uppmärksamme läsaren ser genast att det saknas något om spårning. Så vi har alltså en reklamindustri som lovar bot och bättring samtidigt som innehållsleverantörerna hotar med blockering mot de som ledsnat.

Det som talar emot att denna blockering verkligen kommer att ske är givetvis att det blir larvigt att blockera de som faktiskt använder internet i stor omfattning, dvs de med annonsblockerare, det är nämligen samma kundgrupp som delar artiklar. Blockera på, men acceptera då också att ”virala länkar” helt upphör.

Blockering har dock fler konsekvenser. Sannolikheten att ett ”enginering war” uppstår, där medel och motmedel mellan annonsblockerare och innehållsleverantörer ständigt utvecklas är stor, och inte något som innehållsleverantörerna har en rimlig chans att vinna.

Tyvärr är det också så att även om det skulle gå att låsa ute alla med annonsblockerare, tex med hjälp av sk betalväggar,  så sker något annat. Nyheter är nämligen en ”commodity” och de som inte längre kan nå etablerad media söker istället nyheter på annat håll. Den som blir först med att erbjuda spårsningsfria nyhter får alltså monopol på nyhetsfördelningen till 25% av internetanvändarna i Sverige och därmed möjligheten att påverka. Vi kan anta att de flesta inte kommer att vilja ge någon ensamt spelrum på den marknaden.


Den ökända besten från Troja

Statsministern säger nu att han vill ge polisen de verktyg han tror behövs och tillsätter en utredning om att tillåta användandet av så kallade trojaner. Detta i samma andetag som han säger att vi inte får montera ner det öppna samhället.

En trojan är ett datorprogram som smyger sig in i en dator under falsk flagg. Väl på plats utför den det som ägaren av trojanen säger åt den att göra. Avlyssna rummet där datorn står, kopiera filer från hårddisken, spionera på datorns ägare genom webbkameran eller utföra saker på nätet i ägarens namn är bara några av de saker som kan göras.

Det finns många problem med den här idén. Flera av dem nämns i en DN-artikel från igår — hur får myndigheter tag i de här programmen, hur ser man till att programmen används på enbart lagliga sätt och hur kan polisen försäkra sig om att de säkerhetsbrister som trojanen använder sig av inte utnyttjas av tredje part utan tillåtelse från domstol m.m. Ett av problemen som förtjänar mer uppmärksamhet är omfattningen av intrånget som ett sådant här tvångsmedel skulle innebära.

Om polisen skulle få tillstånd att använda trojaner så som man idag använder husrannsakan så har vi skapat ett stort problem. De flesta liknelser med en husrannsakan haltar ordentligt då ett dataintrång till skillnad från en husrannsakan inte kan genomföras utan att polisen aktivt undanhåller viktig information om säkerhetsbrister i programvara och datorhårdvara. Detta skulle kunna jämföras med att polisen har en specialnyckel till alla lås i landet. Eftersom det är sårbarheter i programvara som gör den den här tekniken möjlig är det heller inget som säger att det endast är svenska myndigheter som har tillgång till säkerhetsbristerna.

I och med Edward Snowdens avslöjanden från 2013 vet vi att FRA genomförde s.k. aktiv signalspaning vilket tyder på att svenska myndigheter redan har utnyttjat sin position och särlagstiftning på ett sätt som inte kan vara i enlighet med riksdagens mål med FRA-lagen. Vi måste verka för en stark rättssäkerhet och bör inte ge polisen befogenheter som oundvikligen utsätter datoranvändare i och utanför Sverige för fara.

För den som menar allvar med löftet att inte montera ned det öppna samhället är det självklart att förslaget med trojaner skall motarbetas.