Svindel

Jag ska straffa dig, i Månens namn! Eller låta bli >:}

Mina favoritkonspirationer grundar sig alltid i rymdhistorier. Månen kommer, enligt DN, vålla kaos när den kommer närmare Jorden än den gjort på mycket länge. Som alla science fiction-entusiaster vet är Månen också bekämpningsbar med atomvapen. Däremot kommer Japans kärnkraftskriser inte vara största hotet mot börserna, utan Mellanöstern, olja och energivapen i allmänhet kommer istället spela en fortsatt stor roll med mäktiga resursinnehavare som inte räds att slå.

Råkar man vara innehavare av ett bankkort finns det dock fler resursproblem att oroa sig för. Välkonstruerade attacker mot uttagsautomater (skimming, mest). I september-oktober förra året kom finurliga indier på att även hands on-fastlimning av tangenter av uttagsautomaternas nummerbräda effektivt sätter användarna, inte automaterna ur spel. Detta följdes snabbt upp i USA. Försök åtgärda det med höjda avgifter för bankomatuttag, suckers!

Samtidigt, i den riktiga världen, har en 19-åring hamnat i fängelse för att ha drivit ett forum för bankdatasamlare. Ansamlandet, via virus, av bankkundsdata till stora databaser (100’000 element) som sedan bjuds ut till försäljning tycker jag är sjukt imponerande. Jag är nästan säker på att man inte borde bli fascinerad av likaledes 100’000 svindlade dollar. Men de är ju så ambitiösa, och kommer ändå inte i närheten av bankchefer. Ett sånt bittert öde för så mycket jobb.

Jag grubblar också på hur den underjordiska bankcyberbrottsligheten förhåller sig till de insitutionaliserade brotten mot internationella avtal. För här: i det första fallet kan vi, i alla fall i teorin, spåra och straffa de inblandade. I det andra fallet kan vi få en (eller två) parlamentariker med slokande öron tala ut i De Spiegel. Och se här! Banker använder RSA-teknologi för att autentisera identitet! RSA har blivit hackat!

Summan av kardemumman är att oavsett slokande öron är vi, som cyberhavets bankkunder, ändå inte säkra från superskillade databasförsäljare. Fascinerande!

Det som irriterar mig är att samhällets fullständiga resurser under flera flera år lagts ned på att spåra upp dessa ondsinta svindlare, samtidigt som det tog typ, Islands, Greklands, Irlands, Spaniens och Italiens ekonomiska kollaps och att halva USA förlorade sina hem innan någon fick för sig att göra något – nämligen investera ännu mer av allmänhetens pengar för att rädda bankcheferna! Var är Sailor Moon när man behöver henne?

Ser inte, får inte, läsa

Jag väljer att hålla mig lite utanför diskussionerna om datalagringsdirektivet, som ju ändå i vilket fall bordlags ett år nu. Det känns som FRA 2008! Ja!

I Europakommissionen tycker kommissionären för den inre marknaden herr Michel Barnier inte att blinda ska få läsa. Världsorganisationen för blinda har tillsammans med Knowledge Ecology International och Trans-Atlantic Consumer Dialogue arbetat i flera år, i Geneve, i Bryssel och i Washington för att få till ett avtal om undantag i licensrätterna för blinda så att tillgängligheten för böcker anpassade för synskadade ska bli mer lättillgängliga. USA och EU har vägrat i sten, gruppen av afrikanska länder i WIPO har varit skeptiska eftersom de tycker att undantagen borde utsträckas till alla former av licenser, och den 26 februari har så Världsorganisationen för blinda slutligen dragit sig ur diskussionerna efter de inte kommer någon vart.

Europaparlamentet har visserligen försökt gå till kamp för blindas rättigheter. David Hammerstein från TACD har arbetat länge med avtalet och anordnat flera konferenser om vikten av tillgång till böcker för blinda. Världsorganisationen för blinda säger att de kommer att fortsätta kämpa för ett avtal som stödjer deras medlemmars rätt till kultur.

Det är lite deprimerande, hela det här boktillgänglighetsprojektet. En man vid namn Mopski [sic!] anser att Google i sin digitalisering av världskulturen inte tar vara på visuella artisters intressen. Vidare är Googles digitaliseringsprojekt inte uppskattat i Frankrike.

Men, materialet går i alla fall att få tag på. Jag läste någonstans, någon gång, att blinda i Uruguay har totalt 19 böcker de kan läsa. I Nicaragua har de 48 böcker. Att dela med sig av böckerna över nationsgränserna går inte för då får man licenseringsproblem. Vill minnas att Norge inte var lika dogmatiska som Europeiska unionen, och EU var i sin tur inte lika dogmatiska som USA. Många länder lät bli att stödja Treaty for the Blind av principskäl för de tycker de har väldigt stora problem med upphovsrätt överlag och behöver bredare undantag. Det är förvisso sant, men det ska man inte använda som skäl att missgynna blinda. BRIC-länderna har i alla fall inte ställt sig helt ogina till avtalet, vilket alltid är nåt, men de är inte ensamma kapabla att driva igenom avtalet. Europaparlamentets ställningstagande kan förhoppningsvis leda till en förändring av EU:s ståndpunkt. Vi får se.

Awesomest hack or politicality

A little less than a month ago a temporary alliance under the banner of Anonymous successfully broke into the servers of security firm HBGary and acquired information about a security firm menage-a-trois busying themselves with pleasing the American Chamber of Commerce in their struggles against undesirable leftist groupings and labour unions.

On the Kaspersky Lab newsblog Threatpost Paul Roberts has compiled the following complementary list of malpractises: take over information from Facebook to intimidate customers, zero-day merchandising(!), custom malware production(!!) and an additional menage-a-deux with investment bank HSBC to bring down the Wikileaks servers by means of denial of service. Quoth Kaspersky’s Paul Roberts: ”It’s up to the FBI to solve crimes, not to banks, or their attorneys.”

At Ars Technica I further find, or perhaps equivalently, that the FBI undoubtedly are planning to hunt down the HBGary hackers, especially considering the previous (disproportional) responses against Operation: Payback and the ddos protests for Wikileaks. Quoth Ars additionally: FBI reminded Anonymous that ”facilitating or conducting a DDoS [Distributed denial of service] attack is illegal, punishable by up to 10 years in prison, as well as exposing participants to significant civil liability”.

Ironically, my first association is to a Swedish cultural essay on the Russian author Solzjenitsyn and his literary works on Gulag. Another quote (my translation): The story concerns one day out of the life of a prisoner, one out of 3653 days of a ten year long prison sentence, a common punishment for most real or imaginary crimes in Soviet both prior and shortly after the Second World War.

I’ve written some posts about Anonymous in the past. After the Gawker hack I think it’s relatively obvious that Anonymous, despite their quite prominent political results and representativity, even if it’s not always their goal (which I actually doubt that it ain’t), isn’t solely a group of internet-minded citizens with a passion for openness and transparency engaging in unqualified and harmless ddos-protests. Anonymous in this case becomes the difference between forcefully liberated, emancipated, publicized or leaked information. I would love to heard the opinions on this by Simon Rosenqvist, a party comrade who decided to take a leave from party work earlier this year, and especially in relation to his ideas about a public database of trade secrets (coolest idea ever!).

On Anonymous: Hunnism (2011-02-08) , Globalt (2011-01-18) , Perspectives (2010-12-13)

My boyfriend once told me that he can access my facebook and my mail super-easily. And boy if he can. Remember boys and girls that from a security perspective it is very unhealthy practise to permit password saving in a browser or forget to log out if you’re not on your own computer. Especially if you’re not on your own computer. The computer owner being a trusted steed is not an excuse for your enormous dispassionate laziness and comfort with the situation. I have two emails from my boyfriend sent to me from my own email account with several sentences of rebuke and reproachment.

Värsta hacket och politiken

För lite mindre än en månad sedan lyckades en temporär allians av hackare som valt att gå under namnet Anonymous bryta sig in i säkerhetsfirman HBGarys servrar och få med sig information om en säkerhetsbolagens menage-a-trois för att hjälpa amerikanska handelskammaren sätta dit vänstergrupper, fackliga organisationer och andra plågoandar.

På Kaspersky Labs nyhetsblogg Threatpost återfinns följande kompletterande lista med referens till Ars Technica: ta över information från Facebook för att skrämma kunder, zero-day-försäljning, custom malware-tillverkning (!!) och ytterligare en menage-a-deux tillsammans med HSBC för att ta ned Wikileaks servrar. Fortsätter Kaspersky Labs-skribenten Paul Roberts: /Det är faktiskt upp till FBI att lösa brott, inte storbanker och deras advokater.”

På Ars Technica läser jag vidare, eller motsvarande, att FBI mycket väl kan tänkas vara på jakt efter HBGarys hackare om man tar i beaktan deras oproportionerliga gensvar på Operation: Payback och ddos-protesterna för Wikileaks. Skriver Ars vidare: FBI reminded Anonymous that ”facilitating or conducting a DDoS [Distributed denial of service] attack is illegal, punishable by up to 10 years in prison, as well as exposing participants to significant civil liability”.

Det känns så underligt när min första association blir en understreckare om ryssen Solzjenitsyns verk om Gulag. Ytterligare ett citat: Berättelsen handlar om en dag i en fånges liv, en av 3653 dagar i ett tioårigt fängelsestraff, en vanlig påföljd för de flesta verkliga och påhittade brott i Sovjet både före och strax efter andra världskriget.

Jag har skrivit en del om Anonymous tidigare. Sedan Gawker-hacket är det tydligt att Anonymous trots ganska tydliga politiska resultat, om än inte alltid mål, inte enbart utgör datorintresserade vänner av öppenhet och transparens som utför okvalificerade och harmlösa ddos-protester. Här blir Anonymous istället skillnaden mellan fritagen, frigjord, offentliggjord och läckt information. Jag skulle gärna ha hört hur Simon Rosenqvist skulle knyta ihop Gawker och HBGary med sina tankar på en offentlig databas över företagshemligheter (värsta bästa idéen!).

Om Anonymous: Hunnism (2011-02-08) , Globalt (2011-01-18) , Perspectives (2010-12-13)

En gång sa min pojkvän till mig att han kan ta sig in på min facebook eller min mejl hur lätt som helst. Och nog kan han det. Kom ihåg att det är allmänt säkerhetsmässigt osunt att av slöhet godkänna lösenordssparande i en browser, eller att glömma logga ut ur e-postklienter på andras datorer!

.es-pere

Jag har skrivit rätt mycket om Sindelagen och Zapateroregeringens inställning till upphovsrätt under de senaste åtta åren. Igår hölls en omröstning i spanska senaten om hur processen ska fortskrida under våren. Det lyckades Piratpartiets internationella representanter äntligen lyckades uppmärksamma. Men snälla kom ihåg att parlamentet inte kommer att slutgiltigt godkänna lagen förrän om en månad!!!! Partido Popular, Spaniens konservativa parti, kan fortfarande väga upp Zapateros hejdukars internetcensur. Finns det hopp, finns det chans, men den utmålas som så liten att den vore ett mirakel. Vi får se hur Internautas ställer sig nu när det också ligger en anklagelse om att kulturministeriet är korrupt. Eller kanske Carl Bildt träder in för frihetens skull?

Samtidigt läser jag i veckans EDRi-gram att USA:s regering har beslutat dra in domännamnen för flera streamingsajter för sport från Spanien. Torrentfreak rapporterar mer om Superbowl-yran (själv tycker jag att brännboll är väldigt tråkigt och tittar hellre på All Blacks). Streamingsajter har jag bara nämnt i förifarten och lovat mig själv att kolla upp närmare men de har förklarats lagliga i Spanien vid två tillfällen, verkar vara lagliga i Sverige och är tydligen också populära och lagliga i Israel.

Tillsammans med RapidShare och MegaUpload ses streaming som nästa stora hot mot upphovsrättsindustrin. Det går liksom lite över katt-och-råttalek när ansvar för upphovsrättsintrång flyttas från privatpersonen till tillhandahållaren av uppkopplingen och sedan till internetoperatören och slutligen domännamnsregistraren. En lista har i alla fall skapats om hur man tills vidare kan komma förbi amerikanska regeringens fortsatta ansträngningar.

I en kommentar till mig förra veckan anslogs att upphovsrättsindustrin i denna bemärkelse faktiskt är rätt så progressiv. De nöjer sig varken med ett status quo eller med ett bevarande av upphovsrätten så som den sett ut under 1900-talet. Snarare kan man se upphovsrätten som ett ständigt förändrande fenomen, vilket kanske tydligast åskådliggörs av 1930-talets plötsliga införande av näraliggande rättigheter och nutidens förflyttning av upphovsrättens innebörd från samhällelig konsensus till påtvingad moral.

I vilket fall fick jag efter Piratpartiets pressreleases om Sindelagen ur kontexten av Universals plötsliga katastrofala lidande frågan om hur Sindelagen kan komma att påverka svenskar. Egentligen gör den väl inte det just nu. Men Spanien blir det andra landet i ordningen som inför nedstängning av hemsidor, och det fjärde landet i ordningen där påtvingade självsaneringsregler för internetoperatörer blir norm. EDRi har om detta nyligen givit ut en sammanfattande skrift om farorna med självreglering.

Vad jag ser är en Michel Barnier vid rodret på DG Markt (kommissionens generaldirektorat för den inre marknaden) som lovar att skärpa reglerna kring upphovsrätt på internet. Karel de Gucht på generaldirektoratet för utrikeshandel har annonserat att ACTA är definitivt förenligt med EU:s lagstiftning. Jag ser en digital agenda som lägger tyngden på en inre marknad för digitala tjänster. Mina två orosmoln blir följdaktligen att Spaniens och Frankrikes regelverk kommer föreslås som norm och att ”internet” begränsas till att för europeerna vara ett geografiskt begränsat fenomen. Den innebär i så fall att vi inte undkommer den regim som nu inrättats av USA och att vi därtill bara svårligen kan ta oss utanför det område vari regimen gäller. Jag ska lägga på minnet att Ung pirat måste svara på kommissionens nya konsultation.

Tidigare om Spanien och upphovsrätt (i kronologisk ordning): Hållbar ekonomi (18-12-2010), Avgiftsavgörande (20-01-2011)Internautrapporter (22-01-2010), Universal (25-01-2011), Histori.es (29-01-2011).

Privacy should not be a civil liberty

Not a lot of people think about it, but the evaluation of the present data protection directive consultation from the European Commission is by far one of the most important missions we’ve had in the past two years.

— Experienced telecoms activist

After the PNR and SWIFT discussions in the European Parliament there’s no doubt that the parliament is conscious about data protection, and particularly the differences between American data protection and the European. The biggest difference is bound to the American indirect protection of private data through Supreme Court jurisprudence on the right for individual autonomy. Another major difference is that American data protection is only extended to people protected by their constitution, that is, citizens of the united states. European data protection, on the other hand, is a human right and applicable to all private data handled automatically or otherwise inside the European geographical jurisdiction.

For being a territory handling a lot of private data, it is not difficult to be concerned with how private data is treated inside the American borders (although we should probably extend this concern to China).

But well. The SWIFT discussions had a largely disappointing outcome. But there is hope for change! The European Commission opened a consultation on the 1995 Data Protection Directive late autumn last year. In the case that the result is critical of the implementation outcome we might see attempts on more stringency with respect to privacy rights. I have a slight hunch that further efforts will be made for technological or medium independence, which of course may be problematic. I do not know how, suggestions? Be paranoid.

European politicians at large feel a duty to protect private data. It is trendy in politics right now, even for ambitious protect that leads to less desirable results.

The biggest problem with all directives, though, is the ability of member states to fulfill formal requirements but fail in the work of upholding them. Regulatory authorities in data protection sometimes behave very similarly to telecommunications regulatory authorities and become far too passive in their work to uphold the law. This is true for instance in Ireland and in the Netherlands, where the regulatory authorities exist, but their work is marked by lack of action, or lack of authority to act on perceived failures in the data handling system. Lack of action and lack of authority is present in Ireland and the Netherlands. This is perhaps good to keep in mind for people who make commercial contact with Ryanair.

In Sweden, the regulatory authority Datainspektionen can hardly be accused of lack of action. I do remember Pirate Party member SM5POR pointing out some years ago that their interpretation of certain provisions of the law or the directive may be less conventional or practical (may he correct me if I have misunderstood). The data protection authority has apparently not been interpreting their mission narrowly, but rather exceptionally widely (although I am unsure of what measures they can take when they discover flaws in data handling processes). However, I don’t think criticism against an ambitious authority is not best applied in further legislation, but rather discussions with the authority at hand about their mission. Swedish regulatory authorities tend, further, to be very pragmatic and there is no reason to suspect that their work will be less efficient due to ambitious mission statements.

Germany, like Sweden, has implemented the regulatory authority constitution rather well. The authority is very able to make independent observations and criticisms of legislator and private actor compliance with data protection laws (Germany also has the additional protection from the constitutional court). They keep informed of who protects data, when and how.

A common implementation failure in member states is that the regulatory authority is not made financially or operationally independent of state authorities. It makes it difficult for the regulatory authority to criticize state actions, and is perhaps a point where the Commission ought to take stronger, and more frequent, action.

As the dead line for the consultation submissions is drawing closer (January 12), I’ve also pondered the difference between identification systems versus authentication systems, but I’ll leave it for a blog post for tomorrow.

Privatliv borde inte vara en medborgarrätt

Det är inte så många som tänker på det, men den nuvarande konsultationen om dataskyddsdirektivet är den största uppgift som digitala rättighetsaktivister har fått på sina händer de senaste två åren.

— Erfaren telekomaktivist

Efter PNR- och SWIFT-diskussionerna i Europaparlamentet råder det inget tvivel om att det finns en stor medvetenhet i det europarlamentiska etablissmanget att amerikanska dataskyddslagar skiljer sig mycket från det europeiska. En skillnad är att USA bara har indirekt dataskydd som lutar sig väldigt mycket på konstitutionella rättigheter som skydd från statligt intrång på privat egendom. En annan betydelsefull skillnad är att amerikanskt indirekt dataskydd per definition bara utsträcker sig till individer som ligger under konstitutionens jurisdiktion, det vill säga amerikanska medborgare. I Europa har man istället valt en människorättsbaserad syn på privat data, och databehandling gäller därför inom europeiskt territorium, snarare än för personer med europeiska pass (skillnaden gäller väl i och för sig många rättigheter).

För att vara en jurisdiktion som behandlar stora mängder av världens data, inklusive privat data från medborgare i andra länder, kan man lätt bli turberad över (turberade kanske vi borde vara också kinesiska dataskyddslagar, haha) hur och när privat data behandlas särskilt i amerikanska datacenter.

Jaja, SWIFT-diskussionerna fick ett besvikande resultat. Men nu finns hopp om förändring! Kommissionen öppnade för ett tag sedan en konsultation om 1995 års dataskyddsdirektivet, och vid kritiskt utfall kan direktivet mycket väl komma att öppnas upp för att anpassa det bättre till teknologins nya förutsättningar. Här är jag inte säker på vad som kan gå fel. Var paranoida! Vilken problematik kan diskussioner om teknikoberoende dataskydd medföra? Jag är nog själv inte tillräckligt paranoid för jag har inte lyckats identifiera något rejält upprörande (kanske det inte ens finns).

Nu finns en stark pliktkänsla hos våra politiker att skydda privat data. Det är trendigt, även i situationer då det kanske leder till mindre lyckade resultat.

Ett stort problem med alla direktiv är medlemsstaternas förmåga att uppfylla formella krav, men brista i uppfyllande av syften. I detta är dataskyddsmyndigheter till exempel väldigt lika telekommunikationsmyndigheter: de finns, de har styrelser och anställda, men dessa lyckas förhålla sig passiva till allt vad dataskydd eller marknadskonkurrens heter. Det här gäller till exempel irländska och nederländska dataskyddsmyndigheter: myndigheterna existerar, men deras arbete präglas av icke-arbete, och när de väl skrider till aktion har de inga befogenheter att utföra påtryckningar mot den felande parten. Jag uppmanar Ryanairs kunder att hålla det bristande irländska dataskyddet i tankarna när de beställer biljetter eller tar kontakt med kundtjänst.

I Sverige är tillsynsmyndigheten Datainspektionen däremot ganska välfungerande. Jag drar mig till minnes kritik mot Datainspektionen från SM5POR utfärdad, tydligen, 2007, men kritiken rör knappast brist på aktion utan överambitiösa uppdragsformuleringar. De har inte tolkat sitt uppdrag för snävt, utan väldigt vitt, och det kan i vissa fall vara problematiskt om de väljer att agera. Å andra sidan brukar jag i allmänhet uppleva att svenska myndigheter är väldigt pragmatiska och ogärna skrider till handling när det är uppenbart fånigt eller onödigt.

Tyskland, likt Sverige, har tolkat uppdraget att kontrollera databehandling av statliga och privata aktörer bokstavligt. Tillsynsmyndighetens granskningar anses generellt oberoende av regering och parlament, och ser också till att hålla sig underrättad om hur data behandlas, i vilken utsträckning och av vem. De får dessutom extra skydd från sin konstitutionsdomstol.

En vanlig brist i skapandet av tillsynsmyndigheter i medlemsstaterna är att myndigheterna att deras arbete blir för beroende av pengar och operativt stöd från statsmakten, vilket givetvis gör det svårt att utfärda kritik mot statens verksamhet. Direktiven kräver ofta att myndigheterna ges oberoende från statens övriga verksamhet, men kommissionen kan väl anses lite för passiv när det gäller eftersyn av medlemsstaternas uppfyllande av denna punkt.

Inför dataskyddsdirektivets utvärderings dödslinje (som för övrigt är 12te januari) har jag för övrigt grubblat på identifikationssystem versus autentifieringssystem, men det kan väl få bli en bloggpost för imorgon.

En levande demokrati

Barack Obama valdes igår till USA:s 44:de president.

Oavsett vad man tycker om kandidaterna och deras respektive plattformar står det klart att USA i högsta grad är en levande demokrati. Det enorma gräsrotsengagemanget och intresset för valet visade politiken från sin bästa sida, samtidigt som man hittills klarat sig undan från allvarliga skandaler med rösträkning etc.

Faktum är att ett av problemen verkar ha varit det stora valdeltagandet, något som ledde till bitvis långa köer utanför vallokalerna. De sista rösterna räknas fortfarande, men det verkar som att deltagandet ökade med mer än tio miljoner människor jämfört med 2004!

Presidentvalet är en hård sållningsprocess av kandidater, både genom primärval och en rigorös bakgrundskontroll av kandidaterna. Detta visar att mediadrivna och personinriktade kampanjer kan vara både spännande, gripande och samtidigt producera kandidater av hög kvalité.

Barack har redan inlett arbetet med att sätta samman sin administration som efter den 20 januari kommer styra Vita huset. Då kommer vi också se om valet leder till en god politik.

Tills dess; låt oss gratulera USA och Barack Obama för ett enastående val, och ett bevis på att demokratin är framtidens styrelseskick. Bra jobbat USA!