Kaniner, bilar och durbaner

För en vecka sidan idag satt jag i SVT:s morgonsoffa och pratade om Durbankonferensen och klimatkrisen. Det kändes lite underligt eftersom jag var med och organiserade Piratpartiets delegation till klimatkonferensen i Köpenhamn 2009. Det var vid den tiden Gustav Nipe precis investerat i en Reprap-maskin för Ung Pirat Malmös räkning som presenterades på alternativkonferensen, och första gången som EU på allvar blev totalöverkörda av den nya globala alliansen Kina+USA i klimatfrågor.

För ungefär ett år sedan skrev jag en bloggpost om elektronik i bilar och hur ökad användning av, framför allt sluten, mjukvara i bilar riskerar att begränsa bilförarnas kontroll över sina fordon och därmed också utgöra en säkerhetsrisk för individen utanför individens egna kontroll.

Hur hänger dessa frågor ihop? Jo. Bilar som automatiseras och digitaliseras kan med datorernas hjälp finkalibreras att minimera till exempel bränsleförbrukning. För transportindustrin är det här väldigt intressant ur kostnadsperspektiv och enligt Svenska dagbladet tidigare i år ska de första pilotprojekten hamna på Sveriges vägar redan nästa år. Även vad gäller transport av privatpersoner kan man få ned bränsleförbrukning en hel del om man frånhänder privatpersonerna själva kontrollen över fordonet.

Den resulterande krocken mellan privatpersoners intresse att ha full kontroll över sin huvudsakligen mekaniska ägodel bilen, samhällets intresse av att få bukt med den stora bränsleförbrukningen samt begränsa dödstalen i trafiken samt vårt gemensamma intresse av att på ett så bra sätt som möjligt inarbeta teknikens teknologins alla nya möjligheter i vår vardag är en intressant paradox. Jag är inte övertygad om att fri mjukvara i bilarna är en lösning på kontrollproblemet – att påtvinga biltillverkarna öppna standarder och öppen källkod kan måhända skapa ett bättre företagarklimat kring tillhandahållandet av reservdelar och underhållstjänster i bilindustrin, men kontrollen över bilarna ligger fortfarande hos dem som kan koden. Särskilt om teknologierna tekniken ska vara trådlös.

Att det skulle vara mer miljövänligt att ”digitalisera bilarna”, som Europakommissionen uttrycker det, kan det knappast råda något tvivel om. Ej heller att trafiken, så länge teknologin tekniken fungerar, blir betydligt säkrare än om man i varje ögonblick gör sig beroende av en mänsklig faktor. Man kan hårdkoda i bilens fartmätarsystem att det inte ska vara möjligt att köra fortare än vissa hastigheter på särskilda sträckor, och sedan justera bilens interna hastighetsbegränsning efter vad GPS-apparaten rapporterar om bilens position.

Och föreställ er situationen att din öppenkällkodsbil utsätts för samma risker som din dagens Androidtelefon. En del av bildigitaliseringsproblemet är att valfriheten inte sträcker sig längre än att vi ha möjlighet att välja appar, men inte hur de fungerar, vad de gör, eller välja bort möjligheten att välja appar.

Klimatdiskussionerna i Durban handlade naturligtvis inte om skärningspunkterna mellan informationsfrihet, användarnas (i detta fall förarnas) makt över hårdvaran eller piratpolitiska spörsmål om informationssamhällets inneboende konflikter utan om hur man i så hög utsträckning som möjligt ska kunna undvika att vidta aktioner åt varesig klimatvänligt håll, eller det energiförbrukande hållet.

Ovanstående inlägg ska kanske ses som en uppmaning till piratpartister att tänka över teknologins teknikens stundtals dubbeltydiga roll i andra samhällsprocesser. Om någon får för sig att ämnet var väldigt intressant bidrar jag gärna med andra länkar och artiklar på området som jag samlat på mig under året!

Save yourself from Zombie Laws

bleeerarrguh

As I reported two days ago, and is now noted also by Walter van Holst, a recent South Korean DDoS attack may in fact be a malicious attempt at sneaking through an oppressive law allowing the government to snoop commercial and private traffic alike. The European security agency ENISA published two reports on botnets not long ago, but appears to be supporting the idea of internet service providers notifying their customers of a potential infection instead.

Regardless of which security analyst you talk to, they will say that users are the true compromisors of security. The South Korean authorities appear to have taken this very literally, and while I didn’t check if the strategy pursued by the Austrialian authorities and promoted by ENISA is actually helping users and ISPs it is clear that public authorities feel that users are not inclined and will not be inclined to take responsibility for their own security. Because botnets suck up bandwidth, the ISP is already tried on private initiative in some places although it appears to be a while ago. To my understanding this experience was discontinued since it’s easy to forge being an ISP suggesting that you’re infected..

At least one friend reacted to me in private saying that this proposal is an attack on democracy. It is, but it’s just one among many, and many of the others are already enacted. As I’ve said in many discussions about trade agreements I think that our democratic powers are already quite limited by the fact that decisions are taken way over our heads. South Korea has signed two trade agreements that make mandatory severe repercussions against filesharing only within the last year, so clearly the South Korean government has already outsourced privacy to private actors. The other argument is the loss of free speech online that many other people have brought up in relation to Apple, Facebook, Google and other commercial actors who’s activities with respect to users can’t really be monitored or controlled. Presumably there at least one technical argument against, but nobody I know seems to be able to think of any.

Just like speed cameras though, you would expect there to be lots of fines in South Korea about this, but the danger to users and to the government is not very likely to decrease at all. Internet users, like drivers, are not likely to keep track of everything and update all their software or car tires as often as they should.

The public procurement process is likely to lead to very few, or even just the one, security company getting the entire responsibility for helping the government determine what is dangerous and what is not. Public procurement sadly isn’t as transparent as it should be, and it’s very easy for public authorities to default on a specific vendor because it’s convenient. 98% of all computers in South Korea run Microsoft Windows. Government documents are only available for users running Windows. I’d feel uncomfortable with the same amount of power ending up with a single security company as are, presumably, all former customers of HBGary. So added security from this aspect is unlikely

Even if you, like ENISA suggests, would ”outsource” the responsibility of warning users to an ISP, I simply can’t believe that this is a good solution. I’ve written many angry posts about ISPs and I don’t trust them for squat. Telefónicas business strategies, or for that matter Comcast’s, Verizon’s or even Eircom’s strategies do not fill me with confidence that these people will either warn me or warn me in a way that doesn’t primarily serve their business interests – at the expense of both me and my security. Added security from this aspect is also unlikely.

A counter-proposal would be to introduce computer security as a mandatory subject in basic education. That’s probably the most useful way of spending public money. Everyone should know how to secure a home network, protect themselves against viruses and know the risk of viruses, or encrypt a harddrive. But when I talk to people who stopped studying even five years ago, very few of them remember any of the mathematics they studied so the system is obviously not flawless. Still, it’s the only measure I can think of that’s worth spending any public money on.

If we’re going to digitize our society I think we’re going to have to live with there being a risk crime in all parts of society. Some people break into your car, other people violate your network security. A much larger problem for society is the fact that our backbone infrastructure, our last mile infrastructure, our internet service provision and our online portals are likely to end up getting owned by the very same companies. Vertical monopolies. I noticed that this is already happening in hardware manufacturing which gives the one or two remaining hardware manufacturers a disproportionate amount of influence on what goes into our hardware – the specifications aren’t open, how are we supposed to know? Just because internet service providers are larger than life and people are not, doesn’t mean you should take the easy route and attempt to secure the networks from the parties that aren’t the biggest threat to secure, and primarily reliable, network infrastructure.

Religiösa upplevelser

Ibland är mitt liv lite bättre än jag tror.

Jag har just läst ikapp på min El Reg-feed som jag i en månad noggrannt hållit mig borta ifrån. Med min nyfunna energi upptäckte jag omedelbart att det ökända hackerkollektivet Anonymous har hacketihackat Westboro Baptists. Tydligen misstänker nu några av medlemmarna att aktionen egentligen var en fälla uppsatt av församlingen i syfte att spåra IP-adresser som har använts av bedrägliga individer som brukat det likaledes ökända LOIC-verktyget. Ironiskt nog har den portugisiska regeringen nyligen brukat liknande tarvliga fällor för att spåra användare av den jävulusiska fildelningsteknologin. Åtminstone, får man anta, IP-adresser till användare som inte anonymiserar sitt ondsinta uppsåt.

Medan den luriga busen Jester tar åt sig äran för denna illvilliga antibaptistiska handling kan jag inte hjälpa att undra om det här är ett nogsamt planerat ironiskt skämt. I ljuset av mina skriverier om Jesu nekande av demonen Legions frestelser med åtföljande förening med heliga ande under ett dop utfört av Johannes Döparen, väljer jag att leva i tro. Givet att Kristdemokraterna är Sveriges mesta upphovsrättsförespråkare förstärks mitt hopp än mer.

Jag tycker dock fortfarande att Piratpartiet och dess nya evangelistiska linje kräver en baptistisk motvikt. Har man någon som pratar behöver man någon som agerar. Och ja, jag tycker att IT-industrins användning av ordet ”evangelist” för att beskriva en industrisponsrad reklamare är olämplig. Och ja, jag tycker att det är olämpligt att ordet inkluderas i politiken som benämning för politiska förespråkare.

Awesomest hack or politicality

A little less than a month ago a temporary alliance under the banner of Anonymous successfully broke into the servers of security firm HBGary and acquired information about a security firm menage-a-trois busying themselves with pleasing the American Chamber of Commerce in their struggles against undesirable leftist groupings and labour unions.

On the Kaspersky Lab newsblog Threatpost Paul Roberts has compiled the following complementary list of malpractises: take over information from Facebook to intimidate customers, zero-day merchandising(!), custom malware production(!!) and an additional menage-a-deux with investment bank HSBC to bring down the Wikileaks servers by means of denial of service. Quoth Kaspersky’s Paul Roberts: ”It’s up to the FBI to solve crimes, not to banks, or their attorneys.”

At Ars Technica I further find, or perhaps equivalently, that the FBI undoubtedly are planning to hunt down the HBGary hackers, especially considering the previous (disproportional) responses against Operation: Payback and the ddos protests for Wikileaks. Quoth Ars additionally: FBI reminded Anonymous that ”facilitating or conducting a DDoS [Distributed denial of service] attack is illegal, punishable by up to 10 years in prison, as well as exposing participants to significant civil liability”.

Ironically, my first association is to a Swedish cultural essay on the Russian author Solzjenitsyn and his literary works on Gulag. Another quote (my translation): The story concerns one day out of the life of a prisoner, one out of 3653 days of a ten year long prison sentence, a common punishment for most real or imaginary crimes in Soviet both prior and shortly after the Second World War.

I’ve written some posts about Anonymous in the past. After the Gawker hack I think it’s relatively obvious that Anonymous, despite their quite prominent political results and representativity, even if it’s not always their goal (which I actually doubt that it ain’t), isn’t solely a group of internet-minded citizens with a passion for openness and transparency engaging in unqualified and harmless ddos-protests. Anonymous in this case becomes the difference between forcefully liberated, emancipated, publicized or leaked information. I would love to heard the opinions on this by Simon Rosenqvist, a party comrade who decided to take a leave from party work earlier this year, and especially in relation to his ideas about a public database of trade secrets (coolest idea ever!).

On Anonymous: Hunnism (2011-02-08) , Globalt (2011-01-18) , Perspectives (2010-12-13)

My boyfriend once told me that he can access my facebook and my mail super-easily. And boy if he can. Remember boys and girls that from a security perspective it is very unhealthy practise to permit password saving in a browser or forget to log out if you’re not on your own computer. Especially if you’re not on your own computer. The computer owner being a trusted steed is not an excuse for your enormous dispassionate laziness and comfort with the situation. I have two emails from my boyfriend sent to me from my own email account with several sentences of rebuke and reproachment.

Värsta hacket och politiken

För lite mindre än en månad sedan lyckades en temporär allians av hackare som valt att gå under namnet Anonymous bryta sig in i säkerhetsfirman HBGarys servrar och få med sig information om en säkerhetsbolagens menage-a-trois för att hjälpa amerikanska handelskammaren sätta dit vänstergrupper, fackliga organisationer och andra plågoandar.

På Kaspersky Labs nyhetsblogg Threatpost återfinns följande kompletterande lista med referens till Ars Technica: ta över information från Facebook för att skrämma kunder, zero-day-försäljning, custom malware-tillverkning (!!) och ytterligare en menage-a-deux tillsammans med HSBC för att ta ned Wikileaks servrar. Fortsätter Kaspersky Labs-skribenten Paul Roberts: /Det är faktiskt upp till FBI att lösa brott, inte storbanker och deras advokater.”

På Ars Technica läser jag vidare, eller motsvarande, att FBI mycket väl kan tänkas vara på jakt efter HBGarys hackare om man tar i beaktan deras oproportionerliga gensvar på Operation: Payback och ddos-protesterna för Wikileaks. Skriver Ars vidare: FBI reminded Anonymous that ”facilitating or conducting a DDoS [Distributed denial of service] attack is illegal, punishable by up to 10 years in prison, as well as exposing participants to significant civil liability”.

Det känns så underligt när min första association blir en understreckare om ryssen Solzjenitsyns verk om Gulag. Ytterligare ett citat: Berättelsen handlar om en dag i en fånges liv, en av 3653 dagar i ett tioårigt fängelsestraff, en vanlig påföljd för de flesta verkliga och påhittade brott i Sovjet både före och strax efter andra världskriget.

Jag har skrivit en del om Anonymous tidigare. Sedan Gawker-hacket är det tydligt att Anonymous trots ganska tydliga politiska resultat, om än inte alltid mål, inte enbart utgör datorintresserade vänner av öppenhet och transparens som utför okvalificerade och harmlösa ddos-protester. Här blir Anonymous istället skillnaden mellan fritagen, frigjord, offentliggjord och läckt information. Jag skulle gärna ha hört hur Simon Rosenqvist skulle knyta ihop Gawker och HBGary med sina tankar på en offentlig databas över företagshemligheter (värsta bästa idéen!).

Om Anonymous: Hunnism (2011-02-08) , Globalt (2011-01-18) , Perspectives (2010-12-13)

En gång sa min pojkvän till mig att han kan ta sig in på min facebook eller min mejl hur lätt som helst. Och nog kan han det. Kom ihåg att det är allmänt säkerhetsmässigt osunt att av slöhet godkänna lösenordssparande i en browser, eller att glömma logga ut ur e-postklienter på andras datorer!

Diktaturblockering

Det nederländska parlamentet vill att det ska bli omöjligt för diktaturer att blockera internet. Det nederländska Piratpartiet vill att parlamentet ska låta bli att vilja blockera internet överlag. Tyska AK Zensura har dragit tyska blockeringslagen inför konstitutionsdomstolen. Europaparlamentets kommittée för mänskliga rättigheter väljer frivillig blockering för medlemsstaterna istället för obligatorisk, och med undantaget för en risk att kravet på ”prior approval” är lite för svagt (vem som helst kan ju i teorin godkänna blockeringen – till exempel regeringen, polisen, ECPAT eller någon annan organisation som är sponsrad av medlemsstater eller Europakommissionen för att vilja blockera internet).

Eben Moglens frihetslåda drar till sig uppmärksamhet från aktivister världen över. Erik Josefsson framstår som lådans för närvarande meste förespråkare och har samlat en hop länkar jag ser korsa mina e-postlistevägar: sammanställning av Moglens framförande på FOSDEM. Freedom Box Foundation på Kickstarter. Eben Moglen om frihetslådan i New York Times.

Frihetslådan ska kringgå censur genom ett paket specialdesignad mjukvara, och vara enkel att använda. I en uppföljande meningsutväxling påtalades att OSIRIS-portalen för distribuerade webbportaler baserade på p2p också fungerar som skydd mot nedtagningar av webbsidor genom att distribuera portalernas innehåll på alla besökares datorer.

Jag försöker vrida huvudet kring hur OSIRIS och frihetslådor påverkar av beslagtagningar av domännamn eller ökad självreglering från ISPar. Nu när Telecom Italia ska nedprioritera p2p på sina nätverk, vad händer om regeringar gör samma sak med krypterad trafik? Telecom Italia verkar över lag inte så pigga på tjänster som tar upp mycket nätverkskapacitet.

Återuppbyggnaden av Tunisien fortsätter och Rafik Dammak (numera MSc i trådlösa sensorer!!) har skrivit ned ett antal förslag på framtida nätregleringspolicys baserade på sina erfarenheter från internationella diskussioner kring internetreglering: decentralisering, skapa ett oberoende av statsmonopolet ITA:s noder in och ut ur Tunisien, minska möjligheten för varje enskild aktör att skada tillgång till infrastruktur och internet för varje annan aktör.

Med passivt ointresse har jag nästan lyckats följa tävlingen i att inte hålla med Carl Bildt om Libyen. Carl Bildt har i alla fall gott sällskap i Tjeckien, rapporterar Pirátské Noviny, som också skriver om ddos-attacken mot Kinotip, Tjeckiens största torrent-tracker. Pirátské Noviny går bra – de har en allsidig nyhetsrapportering om informationspolitik och täcker ganska mycket östeuropeiskt, framför allt tjeckiskt. Dessutom har de med sin hemsida nått stora framgångar, stor publik, och påverkar de internetpolitiska landskapet på ett sätt jag inte tror jag sett på andra platser i Europa, i alla fall inte med Piratpartier.

Konkurrenskraft

Om datalagring har jag tidigare skrivit att det är exceptionellt dumt av regeringen att inte invänta kommissionens förmodat kritiska rapport som kommer att släppas i mars (efter att ha skjutits upp två gånger tidigare) av Cecilia Malmströms direktorat.

Det finns andra aspekter av datalagringsdirektivet man kan kritisera. Bahnhof säger att det kommer kosta extra för kunderna att bli datalagrade efter att, eller om, lagen träder i kraft. Bahnhof har tidigare kritiserat datalagringsdirektivet för att skapa extra kostnader för internetoperatörer. Så jag undrar vilken effekt det här har på nyuppstartade internetoperatörer (lägger märke till att ingen av operatörerna jag aldrig hört talas om inte har billigare specialerbjudanden)? Det kostar extra för mig att få en VPN-tunnel, hur är det för internetoperatörer?

Idag har Sverige med sina stadsnät en utmärkt grogrund för nya internetoperatörer och har därför också en av Europas mest konkurrensmässiga telekommarknader. Den enda telekommarknad som egentligen är hårt utsatt för oligopol är mobilbranschen där de flesta nät (så klart) ägs av stora företag och de flesta virtuella operatörer (så klart) också ägs av någon av de företag som äger näten. Sverige är det europeiska land som klarat avregleringen av telekommonopolet bäst. Den som tänker klaga på Telia nu, uppskattar inte tillräckligt PTS och Konkurrensverkets mycket ambitiösa försök att hålla Telias konkurrensbegränsande åtgärder i schack.

Kan det vara därför Labs2 experimenterar med Europas snabbaste wifi-nätverk (världens?) i Lund? Eller att PirateISP kunde starta sin verksamhet i Lund förra året? Det kan vara anledningen att Bahnhof kunde starta sin verksamhet 1994. Fler exempel på Sveriges allmänna överlägsenhet mottas gärna!

Jag har inte alls undersökt hur direktivet påverkar webbhotell, men det susar i säven att de drabbades negativt i Nederländerna. Duktigt, EU. Här skapar vi lagstiftning som gynnar Telefónica och Belgacom.

Värre för nätanvändare än att deras politiker försöker bekämpa någon form av luddig ondska, som dessutom går att bekämpa ganska bra utan datalagring (titta på det här terroristspårandeexemplet från Schweiz) är att låsta marknader inte ger varken operatörer eller användare något annat alternativ än att lägga sig platt. Jag känner till ett exempel i Europa där data hade lyckats försvinna från British Telecoms servrar innan advokater (utan att förfoga över upphovsrätten?) lyckades kräva ut abonnentuppgifter 90 dagar efter att de tagit sig för att anmäla brottet. Ett. Inga andra fall. Och det räknas knappast ens som brottsbekämpning, definitivt inte som brottsförebyggande.

Så duktiga är försvarsadvokater, ekonomer och statsvetare på att analysera brottsbekämpning. Duktigt.

Nej, jag har fortfarande inte läst mineralrapporterna. Jag får återkomma. :P

Autentisering

Europakommissionen har öppnat en konsultation om dataskyddsdirektivet från 1995 som alltså har dödslinjen 15 januari inte 12 januari som jag felaktigt hävdade igår.

Undantaget bristande implementering av EU-direktivet i flertalet medlemsstater har jag funderat över hur bristande skydd mot bland annat profilering skulle kunna åtgärdas. Profilering är när ett företag eller en stat samlar stora (eller mindre) mängder information om en individ för att på så sätt kunna uttyda individens vidare handlingar eller egenskaper. Google adWords är ett bra exempel, liksom ICA:s kundkort och tillhörande reklamutskick. Datalagringsdirektivets ambitioner att via kommunikationsmönster förutsäta i vilken utsträckning den för datainsamlingen berörda individen eller dess kamrater kan utgöra en risk för sina medmänniskor eller staten är ett annat exempel.

Jerry Brito skrev för många år sedan en uppsats om ofarligheten med kommersiell profilering via RFID-chip. Han menar bland annat att kommersiella företag kommer ha mycket få incitament att samköra databaser för att kartlägga individer. Om det inte vore för mergers skulle jag vara benägen att hålla med, men jag ser också att flertalet stora företag tar över en så stor del av våra kommunikationsflöden att skyddet mot profilering knappast blir adekvat (sammanslagningar av försäkringsbolag och privat sjukvård skulle till exempel kunna utgöra ett problem, men blir likaledes problematiskt när staten själv uppmuntrar sammanslagningen, som i den nederländska implementeringen av e-journaler).

Jag har länge trott att mitt pass och ID-kort är statens garanti för att jag är den jag utger mig för att vara. En sorts autentiseringssystem där min befogenhet att utföra en viss syssla (köpa snus, ta ut pengar från banken, resa över brittiska gränsen) garanteras av staten gentemot en tredje part (kioskägaren, banken, Storbritannien). I ett autentiseringssystem skulle det dock inte finnas något behov av att inhämta garantin från bara en källa (svenska staten) utan rimligtvis borde jag då lyckas hålla mig med flera garanter, kanske hämtade från olika ställen för olika syften. Sverige kan garantera min identitet gentemot banken. Banken kan garantera min identitet gentemot kiosken. Identitetsbolaget Autentist garanterar min identitet gentemot Storbritannien baserat på kriterierna utbildning, postbox och potentiellt yrke eller arbetsstatus samt civilstånd (eller något sådant). Vem garanterar civilståndet? Förmodligen den gemensamma hyresvärden eller den part som vigt mig och min bättre hälft.

Nu har vi istället ett identifieringssystem, där min identitet jämställs med de papper som bevisar den. Alla identitshandlingar kommer från eller härstammar från samma part: svenska staten. Det gör att man mycket lättare kan samköra register eller koppla individens många förehavanden till en och samma person, adress och personens omgivning eller sociala kretsar. Det skapar en single point-of-failure i staten, mycket bra representerad av en familj från Gävle som försvann från alla statliga register till följd av ett byråkratiskt misstag och därmed inte kunde få lön eller betala av sina skulder. I eventualiteten att de haft flera autentiseringsparter hade de ju bara kunnat autentisera sin identitet med hjälp av en alternativ källa eller tredje part.

Resonemanget är smått filosofiskt och inte helt oproblematiskt (vad händer om man dödförklaras samtidigt som man har kvar huset – hur betalas skulderna av ifall banken tror att man är död och resurslös?). I verkligheten är dessutom både företag och nationalstater mycket mer intresserade av att kartlägga hela vårt beteende, kommunikations- och konsumentionsmönster samt bekantskapskrets än vad de är av att garantera privatliv och anonymitet. Det rimmar väldigt illa med samtidiga ambitioner att stärka mänskliga rättigheter och skapa en hållbar och human informationsålder.

Dataflödeskontroll är en fråga i tiden, för medborgare så väl som för europaparlamentariker, men lösningarna verkar i alla fall inte för mig helt triviala. ”Det finns inga genvägar till det perfekta ljudet.”

Authentication

The European Commission has opened a consultation on the Data Protection Directive from 1995 which has a submission deadline of January 15, not January 12 as I wrongly reported yesterday.

Apart from flawed implementations of data protection in member states I’ve pondered how a lack of protection for data abuse, and particularly profiling, could be fixed. Profiling is the process through which a state or a private enterprise collection large (or small) amounts of information about individuals to predict characteristics or future behaviour of that individual. Google adWords is an example, as is the Delhaize Plus Card. The Data Retention Directive from 2006 is also an effort to map the communication and movement patterns of individuals for easy determination of the risk they may or may not pose to their fellow citizens or the nation state.

American analyst Jerry Brito commented on his perceived lack of danger of RFID-chip profiling many years ago. He suggests that commercial entities will have very few incentives to coordinate databases for the purpose of profiling individuals. If it weren’t for mergers I’d be prepared to agree, but I also see that such a small number of large enterprises are taking over such a large part of our communication flows that privacy or anonymity protection could hardly be considered adequate (an example of which could be the merging of insurance companies and private health care, or, as is the case of the Dutch implementation of e-Dossiers, state mandated merging).

For a long time I imagined that my passport and ID-card was a state guarantee for me being who I say I am. A type of authentication wherein my authority to perform a certain action (buy cigarettes, withdraw money from the bank, travel across the British border) is guaranteed by the state with respect to a third party. In an authentication system we would, however, not necessarily have to be dependent on a single authenticator (in my case the Swedish state). Instead we could have several authenticators, perhaps different authenticators for different authentication needs. The Swedish state could guarantee my authority with respect to the bank. The bank could guarantee my authority with respect to the tobacconist. The authentication company Authenist would be able to guarantee my authority with respect to Great Britain based on the criteria education, postbox number, employment or civil status (or whatever). Who would guarantee my civil status? Presumably my landlord or the party that married me and my better half.

Now, we have an identification system. My identity is inherently connected to the papers proving that identity. All identity papers are derived from the same source: the Swedish state. Synchronising databases or connecting the many activites of a single individual to a single physical person, their home address or their social circles is made vastly simpler. It’s a single point of failure which is interestingly well represented by a Swedish family who were accidentally removed from all registers, unable to collect wages and pay off debts and also angry about the injustice done to them. Had they had several or separate authenticators they would perhaps have been unaffected (the employment authenticator would have not been the same as the mortgage authenticator).

It’s a philosophical reasoning, and has flaws and difficult considerations (imagine that you could die and keep the house despite being actually dead – who would pay the mortgage?). Private companies and nation states anyway seem to be much more interested in mapping the totality of our behaviour, communication and consumption patterns and that of our friends with respect to ours rather than guaranteeing our human rights, information flow control or anonymity.

Information flow control is an issue of our times, that many people, civilians as well as politicians, want to care strongly about. Finding solutions seems less than trivial to me though. :-/

The track

Contrary to reasonable beliefs, the following will not be about trains stopping in the Netherlands or Sweden.

A Dutch thinktank put forth an idea about an annual prize for politicians who manage to stay calm in situations of crisis. After the bombings in Stockholm, Swedish Green deputy Maria Ferm encouraged her parliamentary colleagues to follow the same example.

Since we’re suffering from price inflation, and politicians prefer valuable things over calm, I see few prospects for this thinktank initiative not to fall short of success and indeed the Swedish government is looking to squeeze the maximum amount of tracking out of the Swedish implementation of the Data Retention Directive.

Due to a rather heated Swedish debate about the information society, its consequences on privacy and government information control, the Swedish implementation of the directive has been delayed a number of times and only after the elections the government managed to put forth a proposition to the parliament. The former (and present) government justified its delay by referring to the damage it would have done to the fair electorial process had the proposal been made earlier. I think it’s more weird that the Swedish government, being already a few years behind with the deadline for implementation, didn’t wait for the Commission evaluation of the directive which was due in December this year, but will now be published in March 2011.

Through an MMN-o blogpost with some not unfounded skepticism about authorities I managed to locate a Rick Falkvinge reference to a case in February 2011 where a mobile phone belonging to a ran-away 18 year old male was remotely turned on by the police to assist in locating him through geolocational tracking.

Hidden features of mobile phones are, sadly, not new. Imagine, for instance, that your calls could be intercepted by a foreign entity through a phone functionality present and activated without your knowledge! It sounds far-fetched, but is not. The Richard Stallman refusal to use mobile phones for fear of loss of information control is not paranoia, but a healthy skepticism towards their unknown interiors. For any ordinary user it is of course impossible to keep track of all the undisclosed functionalities attached to our every-day electronics. For a further loss of information control, 9 out of 24 OECD countries now mandate personal ID registration for purchase of prepaid SIMs. Anyway, it is difficult to remedy this problem and a considerably easier way out for the end-consumer is to simply give up trying to claim the right to communication autonomy. That, if anything, is unreasonable and a more open, and more anonymous, information infrastructure is obviously to be desired.

What is so troubling about this is the orgy of interests at play in hidden functionalities. On the one hand, private enterprises shouldn’t normally have an interest in surveilling or monitoring the communications of their customers. On the other hand, Telefónica is doing deep-packet inspection on thousands of their customers in Brazil. For obvious reasons, nation states feel it’s important to track criminals and diplomats of other nation states and will therefore legally, or underhandedly, force manufacturers to put in hidden features. An interesting case I found the other day is on Chinese political influence on the design of the ZUC-crypto. I am sure many people know of equivalent examples from the NSA. I also realise I haven’t even mentioned the situation with India and RIM/Blackberry. On the fourth hand, as the comments to Rick Falkvinges blogpost show, hidden, uncontrollable functionalities of phones seem to be perfectly acceptable to a lot of people as long as they are used for a good cause, like saving sad kittens or scared and abandoned puppies.

I don’t think it’s unreasonable of me to question why the privacy-conscious Swedish population can’t have a consistent ethic in the issue of information control and autonomy: are the kittens worth enough that we are willing to hand over all control of our personal data to nation states and mobile phone manufacturers? Many people care not only extensively, but aggressively, about their right to privacy and anonymity but seemingly without the faintest ability to connect the dots: it’s the hidden kitten protection functionalities that bear the highest risk of being misused as an extensive surveillance mechanism.