matomo

Tre nya lagar som kan hota din rätt till integritet

Maximilian Holm, om Integritet på nätet

En farlig trend sprider sig sig i världen. Det började med Investigatory Powers Bill (i folkmun Snooper's Charter) i Storbritannien. Efter det kom förändringarna till Rule 41 i USA. Nu har även Kina startat en ny kampanj där de önskar blockera alla VPN-tjänster som inte är godkända av den Kinesiska regeringen.

Med Donald Trump som USA:s 45:e president – en president som sedan tidigare har uttryckt ett hat mot media och utnämnt nätneutralitet ett hot mot samhället – så är det viktigare än någonsin att hålla fast vid våra principer, värderingar och värderingar kring ett fritt internet.

Ett gemensamt tema i dagens samhällsklimat är en falsk upplevelse av hot – något som vi anser är fött ur rädsla. En rädsla för terrorism, en rädsla för brott och framförallt en rädsla för yttrandefrihet. Internet är och ska vara fritt att använda för alla då det inte är illasinnat. Att ge en nation eller myndighet rättighet att spionera på, läsa av, och hacka internet-anslutna enheter i en region kan jämföras med att öppna och läsa alla personliga brev som skickas till och från folk i en speciell region — oacceptabelt. Likaså tycker vi att det är oacceptabelt att tvinga kommunikationsleverantörer att logga vad sina kunder gör. Supporters till dessa lagar brukar oftast högljutt proklamera att; "Om du inte har något att dölja så har du inget att oroa dig för". En logisk vanföreställning som tyvärr haft starkt inflytande i de föreslagna förändringarna till Rule 41 i USA.

“Suspicionless surveillance does not become okay simply because it's only victimizing 95% of the world instead of 100%.” - Edward Snowden, tidigare anställd vid CIA.

Med den ökade översikten så är det av stor vikt att alla, oberoende av kön, landstillhörighet, ålder och religion, står upp för våra mänskliga rättigheter så att de inte sakta men säkert tas ifrån oss. Därför så kommer vi på OVPN starta ett nytt projekt, där vi med jämna mellanrum kommer skriva blogguppdateringar angående Internetsäkerhet, anonymitet och integritet. Vi vill därför starta detta nya projekt (och det nya året) med att snabbt gå igenom några händelser som vi anser vara av stort intresse.

Snooper's Charter

Investigatory Powers Bill (i folkmun Snooper's Charter) röstades igenom i november och fick kunglig sanktion i december. Den nya lagen kräver att alla kommunikationsleverantörer måste logga all internettrafik i ett år och måste kunna delge alla krypteringsnycklar till berörda myndigheter.

Anledningen till att dem använder paraplytermen kommunikationsleverantör istället för den vanligare termen internetleverantör är för att lagen ska vara mer anpassningsbar, i ett försök att täcka gamla, nuvarande, samt potentiell framtida teknik, då lagar annars snabbt blir utdaterade och icke applicerbara på nya metoder och ny teknik. Ett förtydligande på vad kommunikation innebär i den nya lagen är följande:

Signaler som används för att förmedla vad som helst mellan personer, mellan personer och en sak, eller mellan saker, eller för att influera eller kontrollera en apparatur

En bred definition av kommunikationsleverantör kan alltså täcka allt som har med spridning av digital information att göra. Vi har diskuterad detta internt samt med en advokat och har kommit till slutsatsen att detta troligen även inkluderar VPN-leverantörer. Vi är därför osäkra på om vi kommer öppna några servrar i Storbritannien, eftersom detta potentiellt skulle kunna riskera våra kunders säkerhet.

Förutom att kräva loggar samt krypteringsnycklar, så kräver lagen att både inhemska och utländska kommunikationsleverantörer ska hjälpa till med avlyssning samt dataintrång av berörda enheter. Detta inkluderar bland annat hackning av enheter på stora geografiska ytor.

“The UK may have voted to leave the EU – but we didn’t vote to abandon our rights and freedoms.” - Martha Spurrier, direktör för rättighetsalliansen Liberty.

Som tur är mötte lagförändringen motstånd av brittiska ministrar, som förde ärendet vidare till EU-domstolen, vilka bedömde att lagen är olaglig. Tyvärr så kan EU-domstolens beslut i slutändan vara förlegat efter att Storbritannien har gått ur Europeiska Unionen. Theresa May (Storbritanniens premiärminister) beslutade nyligen att de skulle åberopa Artikel 50 senast mars 2017, vilket i praktiken betyder att Storbritannien kan gå ur Europeiska Unionen senast april 2019. Om så är fallet så behöver dem inte följa Europadomstolens beslut efter april 2019.

Förändringarna till Rule 41

Förändringarna till Rule 41 har för det mesta passerat obemärkt även fast de hotar integriteten för hela världen. Ändringarna är dåligt definierade, och kan tolkas att inkludera nästan allt och alla.

“You don't punish victims twice in America. You wouldn't punish the victims of a tax scam or a Ponzi scheme with a painful audit.” - Ron Wyden, senator i USA

En domare med auktoritet i ett distrikt där aktivitet kopplat till ett brott har skett, har auktoritet att utfärda ett beslut att använda fjärranslutning för att söka igenom elektroniska lagringsenheter, samt att tillhandahålla eller kopiera elektroniskt lagad information som är lokaliserat utanför det distriktet om

  • (A) distriktet där media eller informationen befinner sig har döljts med teknologiska medel; eller

  • (B) en utredning av brott mot 18 U.S.C § 1030(a)(5), mediet är skyddade datorer som har skadats utan tillstånd, och befinner sig i fler än fem distrikt

Exakt vad betyder detta? Det betyder två saker:

  1. Vem som helst som använder teknologi för att dölja sin position anses vara misstänkt. Detta inkluderar TOR-användare, VPN-användare, proxy-användare. Electronic Frontier Foundation argumenterar dock att detta även kan inkludera folk som har stängt av positionstjänster i deras telefon, appar eller webbläsare, samt folk som har ändrat sina landsinställningar i exempelvis Twitter.

  2. Alla som någonsin har haft sina enheter (medvetet eller omedvetet) del av ett så kallat "bot-net", exempelvis genom ett datavirus, kan nu lagligt bli avlyssnade och hackade av myndigheter som en del av deras utredning. Det kan även betyda att de får hacka någon som har blivit infekterat av ett virus utan att vara del av ett bot-nätverk, eller till och med hacka datorer som de själva medvetet har infekterat med datavirus. En metod som FBI använt sig av tidigare, exempelvis vid Operation Pacifier under 2015.

Detta betyder att om du nekat en hemsida att dela ta del av din position, angett ett annat land än det du befinner dig i när du registrerat dig med någon tjänst, eller anslutit via en proxy/VPN-tjänst för att ta del av TV-utbudet i ett annat land, så har myndigheter i USA laglig rätt att avlyssna och hacka dina enheter – även om du inte är en Amerikansk medborgare.

The Great Firewall

Trots att många länder och deras regeringar finner problematik med Internet, är det få som begränsar medborgares Internetupplevelse i samma utsträckning som Kina gör. De senaste åren har både Kinesiska medborgare och utlänningar deltagit i en ständig kamp med den Kinesiska regeringen om att få tillgång till populära internettjänster och sociala medier så som Facebook, Google och Twitter.

“I am disturbed by how states abuse laws on Internet access. I am concerned that surveillance programmes are becoming too aggressive. I understand that national security and criminal activity may justify some exceptional and narrowly-tailored use of surveillance. But that is all the more reason to safeguard human rights and fundamental freedoms.” - Ban Ki-moon, tidigare generalsekreterare för Förenta Nationerna

I dagarna har den Kinesiska regeringen delgivit att bland annat VPN-tjänster på det Kinesiska fastlandet redan måste ha erhållit tillstånd från regeringen för att få fortsätta bedriva sin verksamhet, vilket i praktiken innebär att de flesta VPN-tjänster har olagligförklarats. Det blir alltså förbjudet att använda VPN-tjänster som regeringen inte godkänt och skälet till en sådan bestämmelse blir högst genomskinlig.

Detta skapar oro, eftersom det innebär att regeringen nyttjar sitt inflytande för att censurera och isolera sina medborgare från resten av världen för att kunna vidhålla och stärka sin makt över befolkningen. Vidare bevis för att så faktiskt är fallet tydliggjordes av regeringens val att nyligen stänga ner två liberala ‘think thanks’. Bland dessa återfinns ‘Unirule Institute of Economics’ – som har uttryckt kritik mot regeringens finanspolitik.

Anledningen till varför den Kinesiska regeringen valde att ingjuta förbudet mot VPN-tjänster nu är inte helt klar, men en trolig förklaring är dock den stundande nationella kongressen för det kinesiska kommunistpartiet. Oavsett om detta är skälet eller ej, förblir de politiska nedslagen på VPN-tjänster såväl som partier som ställer sig kritiska till regeringen, ett orosmoment som inte kan tillåtas att fortsätta.

Avslutningsvis

Vi lever i en föränderlig värld och det är viktigare än någonsin att upprätthålla rättigheterna till ett privatliv, integritet och yttrandefrihet. Vi kan inte tillåta att länder och företag gör intrång i dessa områden endast för att kunna driva sin egna agendor och vi kan inte tillåta att företag tittar på från avstånd medan deras kunder berövas sina rättigheter. Lyckligtvis förstår fler och fler vikten av integritet online vilket är en stor fördel för aktivister, community:n inom området samt de människor som lever under sina regeringars förtryck.

Nyligen släpptes OpenVPN 2.4.0 och i samband med detta bestämdes det att en säkerhetsgranskning av företaget kommer göras i inom en snar framtid. Vi blev tillfrågade av OSTIF att donera pengar till granskningen. Även om vi ställer oss bakom detta och mer än gärna hade deltagit kan vi inte donera med tanke på den finansiella situation vi som litet och växande företag fortfarande befinner oss i. Vi har dock all avsikt att donera till OpenVPN framöver eftersom vi tycker att de utgör en viktig rörelse för integritet på nätet.

Maximilian Holm