Comments (2)

By Mathias Klang, January 11, 2012 12:34 pm

Jag blev intervjuad om, och ställde mig kritisk till, att Göteborgspolisen skulle använda sig av Facebook som en kommunikationskanal mellan myndigheten och medborgare. Av naturliga skäl blev mitt inslag nerkortad för att passa in i formatet men jag har egentligen fem bekymmer med myndighetsnärvaro på Facebook – och detta gäller särskild polisen med tanke på deras ställning.

Inget av denna kritik handlar om polisens spanings- eller övervakningsarbete i sig.

En Facebooksida för polisen kan naturligtvis användas för att skicka ut allmän information (lås dörren, tänk på ficktjuvar osv) men kommer även att skapa en ökad möjlighet till kommunikation. Detta innebär att medborgare (och andra Facebookanvändare) kommer att skicka information till Polisen via deras Facebooksida. Även om polisen menar att sidan inte skall användas till detta så kommer inte vi läsa regelverket utan vi kommer att berätta saker till dom genom denna kanal.

1. Infrastruktur: FRA, PUL & förtal
All information som skrivs på Facebook skickas till servrar i USA. Detta innebär att all information som någon användare väljer att delge polisen via Facebook hamnar på servrar i USA. Informationen tas inte bort, den raderas inte även om den raderas av polisen eller användaren som skickade materialet.

FRA-lagen har gett Försvarets radioanstalt (FRA) rätt att bedriva signalspaning på kabelburen trafik som passerar Sveriges gränser. All kommunikation via Facebook passerar Sveriges gränser och omfattas därför av FRA-lagen.

Personuppgiftslagen (PUL) behandlar all slags behandling av personuppgifter och sätter speciellt vikt på behandling av känsliga personuppgifter. Information rörande brott och kriminalitet faller in under begreppet känsliga personuppgifter. Naturligtvis finns undantag för myndighetsutövning inom PUL eftersom lagstiftningen inte skall kunna agera som ett hinder för tex polisarbete. Men det som är bekymmersamt är frågan om det är nödvändigt att polisen tar risker med personlig data och samarbetar med utländska privata företag för att samla in data (se mer nedan punkt 3).

Förtal. ”Med förtal avses att utpeka någon såsom brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgifter som är ägnade att utsätta denne för andras missaktning.” Självklart kan inte förtalsbrottet (BrB 5 kap) förhindra vanlig polisär arbete men det är värt att ställa frågan kring hur information som kommer in till polisen via Facebook kommer användas av Facebook (se mer nedan punkt 3).

2. Statens regleringsansvar
När myndigheter bygger sin kommunikation på utländska, privata aktörers infrastruktur är det viktigt att överväga vilka konsekvenser dessa handlingar får. Här ser jag tre problem (a) resursfrågan (b) exklusivitet (c) användaravtalet.

Resursfrågan handlar om att skapa ytterligare en kanal som måste övervakas. Dessa resurser tas från andra aktiviteter. Därför måste en resursfördelningsavvägning göras.

Exklusivitet: För att medborgare (och andra) skall kunna nyttja denna tjänst som polisen upprättar måste de i sin tur gå med i Facebook. Detta innebär i förlängningen att staten i princip agerar försäljare åt ett privat företag.

Användaravtalet: För att kunna använda Facebook krävs att man accepterar en lång och invecklat serie användaravtal. Dessa avtal är svåra att läsa, inte lätta att förstå och ändras utan förvarning eller meddelande.

Regelverket som existerar mellan svenska myndigheter och befolkning är demokratiskt utarbetat och transparent genomförd. Men om vår kommunikation till våra myndigheter går genom privata aktörers avtal riskerar vår demokratiska öppna kommunikation förvridas och missbrukas.

3. Facebooks användande av data
Facebook finns för att samla data om Facebookanvändare. Det finns ingen altruism eller samhällsnytta. Facebook använder all data som samlas in för att bygga profiler över oss och återskapa den världsbild som de tror vi vill ha (detta är en betydligt allvarligare diskussion än jag får plats med här – jag rekommenderar Eli Parisers bok The Filter Bubble) Dessutom säljer Facebook vår data till andra företag och organisationer samt lämnar ut det till myndigheter.

4. Amerikanska statens tillgång till data
Genom Electronic Communications Privacy Act (1986) kan amerikanska myndigheter ta del av material som ligger ”i molnet” dvs på Facebook, gmail och andra servrar om det är äldre än 180 dagar eftersom det anses som övergivet. Detta innebär att allt du skrev på Facebook för mer än 6 månader sedan är öppet för amerikanska myndigheter. Jämför detta med skyddet för information som du lagrar i hemmet eller på din dator – där krävs en husrannsakningsorder.

5. Säkerhet
En sista punkt handlar om säkerhet. Självklart förväntar jag mig att polisen har säkra system men deras kommunikation via Facebook kan inte bli säkrare än Facebooks infrastruktur. Naturligtvis förväntar jag mig att polisen är varsamma och kloka med sina lösenord men hur är det bland användare som kommunicerar med polisen. En liten sak kanske men bör inte myndigheter tänka på även detta.

Comments (2)

By Mathias Klang, November 23, 2010 1:03 pm

Säkerhetsexperten Bruce Schneier har samlat en hög med berättelser kring röntgenmaskiner och visitering i hans senaste inlägg på hans blogg. Resultatet är en skrämmande samling av oroväckande berättelser som alla bör läsa men som alltför många väljer att förtränga pga myten om säkerhet. En liten axplock:

The head of the Allied Pilots Association is telling its members to avoid both the full body scanners and the patdowns.

This first-hand report, from a man who refused to fly rather than subject himself to a full-body scan or an enhanced patdown, has been making the rounds. (The TSA is now investigating him.) It reminds me of Penn Jillette’s story from 2002.

A woman has a horrific story of opting-out of the full body scanners. More stories: this one about the TSA patting down a screaming toddler.

Sedan glömmer han inte heller diskussionen kring hälsoaspekterna…

There’s talk about the health risks of the machines, but I can’t believe you won’t get more radiation on the flight. Here’s some data: … Given that there will be 600 million airplane passengers per year, that makes the machines deadlier than the terrorists.

Bland de mängder av viktiga länkar är finns ett gäng från viktiga tänkare:

Good essay from a libertarian perspective. Two more. Marc Rotenberg’s essay. Ralph Nader’s essay. And the Los Angeles Times really screws up with this editorial: “Shut Up and Be Scanned.” Amitai Etzioni makes a better case for the machines.

Comments Off

By Mathias Klang, July 30, 2010 10:39 am

Säkerhetsföretaget Lookout har hittat spionpram (spyware) som nu sprids via Android telefoner genom olika program som tex hjälper användaren att byta bakgrundsbild på mobiltelefonen. Digi.no skriver att det handlar om minst 80 program som plockar fram användarens telefonnummer, telefonenens unika IMSI-kod (International Mobile Subscriber Identity) samt lösenord till röstbrevlådan. Spyware är ett vanligt problem på datorer och naturligtvis kommer det mer och mer påverka våra andra digitala prylar.

Wikipedia beskriver Spyware:

Spyware is a type of malware that is installed on computers  and collects little bits of information at a time about users without their knowledge. The presence of spyware is typically hidden from the user, and can be difficult to detect. Typically, spyware is secretly installed on the user’s personal computer. Sometimes, however, spywares such as keyloggers are installed by the owner of a shared, corporate, or public computer on purpose in order to secretly monitor other users.

Jag har tidigare skrivit om Spyware i olika forskningsartiklar “Spyware – the ethics of covert software”, Ethics and Information Technology, (2004) & “Spyware: Paying for Software with our Privacy”, in International review of law computers and technology, (2003). Samtidigt med alla andra projekt håller jag på med en lång studie av Spyware som jag hoppas ska bli klar i år.

Comments (3)

By Mathias Klang, June 5, 2010 6:47 am

Datalagring. Hör på ordet, smaka på den, försök att få den att rulla av tungan. Det gör den inte. Den faller ut som en klick kall gröt. Oaptitligt, ointressant. Lika spännande som detaljerna i våra hemförsäkringar. Problemet är att lagring av data handlar om kontroll över medborgare. Datalagring handlar om din frihet.

Och det handlar inte om någon överdriven integritetskänslighet. Sedan jag klev ut på nätet har jag spridit mer av min personliga data än genomsnittet – trots att jag har varit väl medveten om riskerna. Men det har varit mitt val att sprida informationen – och jag är kritiskt till plattformernas (google, facebook mm) tvivelaktiga rätt att använda min data – det är ingen rättvis byteshandel.

Visst kan lagrad data eventuellt användas för att fånga en korkad terrorist eller en klantig barnporrgubbe men ingen tror väl att terrorister skriver vi ska bomba något i öppna mail? Allvarligt? Terrorister må vara dumma, elaka, hänsynslösa, trångsynta… men knappast helt korkade. En revisor i twittrade ut sin frustration och hotade att spränga Robin Hood flygplatsen (trodde namnet var ett skämt men inte), en student i Göteborg skrev i sin tentångest på facebook att han skulle bomba tentasalen. Proffs (om man kan säga som om terrorister eller barnpornografer) gör inte sådant. Bin Laden finns inte på facebook.

Men det är kanske rätt att revisorn och studenten ska åka fast? Självklart ska man inte kunna hota att spränga offentliga byggnader även på skämt. Men det handlar om mål och medel. Det handlar om proportionalitet. Att lagra allas data, att behandla alla som kriminella, i syfte att fånga småfiskarna är inte ok. Potentialen för missbruk är enorm. Ungefär här brukar folk slänga fram två motargument:

1. Systemet skall byggas med säkerhetsspärrar mot missbruk
2. Den som har inget att dölja har inget att frukta

1. Detta argument bygger på okunskap och en övertro på teknik och samhälle. En sanning om system (tekniska eller samhälleliga) är att de kommer att missbrukas. Sociala, juridiska & arbetsmässiga regler kring integritet hindrade inte att vårdproffs (som visste bättre) la ut patientbilder och kommenterade bilderna på facebook. Eller att ett stort antal poliser begick dataintrång för att få titta på Anna Lindhs akt. Det handlar inte om nödvändigtvis om elaka människor. Men system kan aldrig ha tillräckliga spärrar.

2. Detta argument är egentligen bara en “catch phrase“. Något som upprepas som om det betyder något. Listan med motexempel kan göras lång så jag väljer fyra hemska förintelsen, Birmingham Six, svenska terrorister, Sverige hjälper CIA att skicka asylsökande till Egypten för tortyr. Att vara oskyldig är knappast något försvar mot staten – även när den har goda intentioner.

Tillbaka till datalagring. Genom att spara mängder av trivial data skapar staten en fantastisk kontrollinstrument. Ingen data kan förhindra att brott begås men det kan eventuellt göra det enklare för staten att straffa individer som gör fel (även om de är oskyldiga eller staten är ond). Exempel med de terroranklagade svenskarna både de här och de här är talande. Vanliga människor som inte gjorde något olagligt utpekades av en minst sagt hysterisk USA för att vara terrorister – på otroligt lösa eller obefintliga grunder. Resultatet är att de har lidit kroppsliga, ekonomiska och sociala skador på grund av snälla Sverige. Sverige menade inte illa – vi bara gjorde illa.

Det finns en sista argument som folk inte ofta uttalar högt – den är pinsam och egoistisk – “det händer inte mig”. Det här är inget försvar eller argument. De flesta brottsoffer går knappast runt och tror att något kommer hända dom – för då hade de agerat annorlunda. Det kan vara låga odds att det händer dig men chansen att du vinner på lotto (eller annan spel) är mindre men de flesta köper gärna en lott.

Så läs nu det finstilta. Var en medborgare. Delta i demokratin. Innan den försvinner.

Henrik Alexanderson har sammanställt en läslista för oss:

• Ars Technica: EU may monitor searches under guise of child porn prevention
• Engadget: EU Written Declaration 29 wants you to think of the children, hand over all your search results
• Johannes Forssberg på Expresens ledarsida: “Vi är inte pedofiler!”
• SR P3 Nyheter: Integritetskränkande att spara google-sökningar
• Europaportalen: Borgerligt stöd till Google-registrering får (M)-kritik
• Rick Falkvinge (pp): Barnporr används som rivningskula mot det öppna samhället
• Anna Troberg (pp): Rättfärdighetens riddare är pinsamt lata och blinda
• We Rebuild Interfax: Smile29, or the trick that went awry
• CUF-ordföranden Magnus Andersson: Hands off my Google search
• Sagor från livbåten: Hands off my Google search!
• Opassande: En lite guide till datalagringsdirektivet

Comments (2)

By Mathias Klang, January 7, 2010 7:45 am

Bara en tidsfråga men nu är det här internetuppkopplade skärmar i framsätet på bilar. New York Times skriver om vissa av produkterna som presenterades under en mässa:

This week at the Consumer Electronics Show, the neon-drenched annual trade show here, these companies are demonstrating the breadth of their ambitions, like 10-inch screens above the gearshift showing high-definition videos, 3-D maps and Web pages.

OK så bilister har redan GPS, iPhone & barn i baksätet så hur mycket värre kan detta vara? Fast det är nog fel sätt att angrupa problemet. Någon som kör på en 50 väg behöver knappast fler distraktioner. Som utvecklare av produkten måste detta antagligen kunna rättfärdigas med någon form av argument kring individens frihet att välja sina leksaker (även om andra utsättes för riskerna). New York Times igen:

“This is irresponsible at best and pernicious at worst,” Nicholas A. Ashford, a professor of technology and policy at the Massachusetts Institute of Technology, said of the new efforts to marry cars and computers. “Unfortunately and sadly, it is a continuation of the pursuit of profit over safety — for both drivers and pedestrians.”

Comments (1)

By Mathias Klang, October 24, 2009 7:34 pm

Imorgon är det dags att snacka lösenord och människor i radio. Denna gång är det på P4 Extra så här skriver de på sin hemsida:

Har du koll på dina lösenord?
“Det måste vara minst 12 tecken långt, innehålla stora och små bokstäver samt siffror och minst ett specialtecken”.

Känns det igen?
Fundera på hur många lösenord du måste hålla reda på. Bankkortet, portkoder, inloggning till mejlkonton, bensinkort med mera. Och hur enkelt är det egentligen att hålla allt i huvudet?

På söndag kommer Mathias Klang, lektor och forskare vid IT-universitetet i Göteborg till programmet. Han berättar vad alla gör, för att hindra sin hjärna från att bli helt överhettade.

Lösenordssnacket kommer bli omkring 13:50.

Comments (4)

By Mathias Klang, October 20, 2009 10:30 pm

Imorgon ska jag vara med i Morgonprogrammet (P4 Göteborg) för att prata om problemet med lösenord. Anledningen tilll att jag ska dit är att jag för länge sedan skrev en kåseri om lösenord. Där argumenterade jag att de säkerhetssystem som skapas kring lösenord inte tar hänsyn till verkligheten.

Sedan i oktober hamnade jag i media med en bredare diskussion om lösenord och Minne. Det roliga är att diskussionen fortsätter därför är jag i radio imorgon kl åtta. Hoppas att det blir en spännande diskussion.

Update: Här är resultatet.

Comments (4)

By Mathias Klang, October 19, 2009 12:32 pm

Alla har vi tvingats slänga nagelsaxar eller vattenflaskor eller något annat för att kunna flyga tryggt. Alla vet att detta är en meningslös spel för gallerian men det går inte att argumentera med de som har makten i en säkerhetskontroll…

Det är inte första gången det sägs och vi måste tjata om det mycket mer än vi redan gör… XKCD är lysande!

Comments (1)

By Mathias Klang, August 13, 2009 10:33 am

En ovanlig bieffekt av fildelning (med vissa typer av programvara) finns på FoundPhotos Archives. Här finns tusentals bilder nedladdade via p2p. Bilderna är helt vanliga (och ovanliga) bilder som sparas av olika användare som senare öppnar upp deras datorer för fildelning – det handlar inte om en medveten fildelning av bilderna utan bilderna är en bieffekt av fildelningen.

Att bläddra genom bilderna är trollbindande voyeurism.

Hela bilden

Bakgrunden för Found Photos beskrivs:

The Found Photos project started in 2004, while searching for mp3′s using a filesharing program. After downloading a folder of mp3′s, I came across a folder named ‘pictures’ inside of the album folder, and found a handful of digital camera photos. This made me wonder what else was out there, what people are publicly sharing – after a few quick keyword searches I came across thousands of them publicly shared.

The FoundPhotos Archives consist of my filtered view from thousands of images downloaded via peer to peer filesharing networks, updated semi-regularly.

In April of 2004 the Found Photos began getting some widespread attention through blogs and other sites linking to it, which led to a brief whirlwind of media interest including an article published in the Circuits section of the New York Times (Click here for link to article) and a Reuters article on filesharing that included Found Photos (Click here for link to article) Tom Kealey at the Daily Pick also did an interview with me back in September of 2005 about the Found Photos (Click here for link to article)

hela bilden

Comments (3)

By Mathias Klang, June 22, 2009 11:53 am

SydSvenskan har en märklig artikel om öppna nätverk i Malmö. Förutom meningar som får läsaren att rysa som “Beväpnade med en laptop skannade de av alla ettor och nollor som flyger i Malmö­luften” så är kontentan av artikeln att ett gäng elever skannade efter nätverk och hittade 2 725 trådlösa nätverk varav drygt 22 procent var öppna. Men bäst av allt är slutsatsen som dras av dessa “fakta”

Att så många fler nätverk hittades i år beror på att klassen uppgraderat sin utrustning – men att en större andel var oskyddade jämfört med förra året beror snarare på ökad okunskap bland ägarna, menar Rikard Andersson som är lärare på John Bauer-gymnasiet.
– Vilket är lite märkligt med tanke på den nya Ipred-lagen och vad den innebär för dem som har sitt nätverk helt öppet, fortsätter han.

Att räkna antal kan aldrig ge svar till frågan varför. Det spelar inte någon roll hur höga siffror man kommer fram till. Det finns politiska, tekniska, filosofiska, kunskapsmässiga anledningar till att öppna/stänga nätverk. Men vem vet kanske är nätverken öppna för deras ägare har fått ett budskap från gud.

För tidningen handlar det om skrämselpropaganda för att sälja tidningar. Men vilka kunskapsmål finns det för elever att gå ut och sniffa efter nätverk? Framförallt om läraren inte kan problematisera resultatet av deras (icke-vetenskapliga) “undersökning”.

Comments (3)

By Mathias Klang, March 16, 2009 9:21 am

Den här texten kom med i personaltidningen GU Journalen (GU Journalen nr 5-08):

Jag har försökt öppna kontorsdörren med hemnyckeln, slagit nolla för att ringa ut när jag varit hemma och glömt mina pinkoder när jag dragit mitt kort. Jag är en teknisk missanpassad människa i ett överflöd av säkerhetsrutiner.

Det började ganska oskyldigt med en pin kod här och en port kod där. Sedan utvecklades arbetsplatserna lösenord till datorer, kort med pin kod för att komma in (och ut ibland), lösenord till några databaser och administrativa system. Mobiltelefonen ville ha en pin, extra kortet, bensinkortet och gymmet ville alla ha pin. Det började kännas ansträngande. Små lappar med listor av pin koder dök upp i plånboken men ersattes snabbt av falska nummer i mobilen fyndigt men knappast originellt skrivna baklänges.

Sedan smällde det till. Tillgång till Internet innebar lösenord till nätverket hemma, lösenord till alla onlinetjänster. Tacksamt lät jag min webbläsare komma ihåg mina identiteter och lösenord. Det positiva var att jag slapp komma ihåg allt själv men det negativa var att jag blev helt beroende av min egen dator. Att överföra information till en ny dator var krångligt och tidskrävande men att använda någon annans dator var en begränsad upplevelse.

Sedan läste jag ”Regler för användning av Göteborgs universitets IT-resurser” och insåg att jag inte hade en chans. Ni minns reglerna eller hur? All personal har undertecknat eller accepterat reglerna online. Reglerna är skrivna på ett logiskt och genomtänkt sätt. De är vettiga, nödvändiga och grundläggande från ett säkerhetsperspektiv men det känns inte riktigt som människan, och framförallt en människa med mitt begränsade minne, ligger i fokus.

Reglerna om lösenord känns som om den är skapad av tekniker för att plåga människor med dåligt minne. ”Ett lösenord skall vara konstruerat med minst 8 tecken som är blandade med versaler, gemener, siffror och något specialtecken…” Oftast blir lösenord helt omöjliga att enkelt komma ihåg och kan enbart präntas in i långtidsminnet genom mycket repetition. Som en extra säkerhet ingår tecken som inte finns på utländska tangentbord vilket gör en enkel mejlkoll från utlandet till en teknisk mardröm.

Dessutom fortsätter regelverket med att reta oss genom att påpeka att det omöjliga lösenordet bör bytas minst varannan månad, att vi måste logga in i dator om vi varit inaktiva i max 20 minuter samt att kontot skall låsas efter tre misslyckade försök.

Hur skall vi människor utan minne göra i teknikens värld? Människan anpassar, böjer och fuskar sig runt teknikens rigida regelverk för att överleva. Därför kommer jag att inte längre se en lösenord på en post-it lapp som ett tecken på bristande minne utan snarare ett tecken på mänsklighet.