Flickus flackus flum

Jacobs tankar om och med kvalitet

Archive for November 2015

Hotet mot kryptering

written by jacob, on Nov 25, 2015 1:45:07 AM.

I kölvattnet av terrordåden i Paris har somliga politiker och tjänstemän i diverse säkerhetstjänster krävt förbud mot kryptering alternativt bakdörrar till krypton.

Om vi börjar med bakdörrar, så är det sämre än ingen kryptering alls. Den bakdörr till ett krypto måste med nödvändighet ha någon form av universell nyckel, som måste hållas hemlig av den organisation som ska kunna öppna krypterade meddelanden. All information läcker förr eller senare ut ifrån hemlighetsfulla organisationer och universalnyckeln skulle vara en mycket åtråvärd trofé. Främmande makt och brottsorganisationer skulle betala en rejäl slant för att kunna dechiffrera företags och enskildas kommunikation. Om du tror att kommunikationen är säker, när den i verkligheten är åtkomlig för parter som vill skada dig, då är du i en sämre situation än om du vet att det du säger kan avlyssnas.

Att förbjuda kryptering helt är inte möjligt i dagens samhälle. Varje gång du ansluter till din internetbank och varje gång du handlar i en webbshop använder du säker kryptering. I princip ska den vara oknäckbar, även om det då och då har visat sig finnas säkerhetshål och buggar i olika versioner av Secure Sockets Layer (SSL), som är standarden för krypterad webb-kommunikation. Själv driver jag en tjänst, Eutaxia, som är ett ekonomisystem, främst designat för ideella föreningar. Säkerheten och tillförlitligheten i systemet bygger helt på krypterad kommunikation. Våra kunder använder SSL för att utföra sin bokföring i systemet. Deras medlemmar och kunder nyttjar SSL för att ansluta till föreningens webbutik och för att utföra betalningar. Vi använder krypterad kommunikation för att replikera våra databaser, så att vi kan fortsätta som om inget har hänt, ifall ett av våra datacenter brinner ned.

Vi är på inga vis exceptionella. Alla som lägger affärskritiska tjänster i molnet är beroende av säker kryptering. Alla som reser med en laptop med affärskritisk information är beroende av att säkert kunna kryptera sin hårddisk.

Om någon nu skulle få för sig att verkligen förbjuda kryptering, så hindrar det inte terrorister, spioner och kriminella från att ändå skicka krypterade meddelanden. Det finns en teknik som kallas Steganografi, som går ut på att man gömmer ett meddelande i något som ser oskyldigt ut; t.ex. en bild, en video eller en musikfil. Eftersom det finns en oändlig mängd sätt att digitalt koda audio och video så kan man göra meddelandet helt osynligt för den som inte innehar en nyckel för dekryptering. I det läget skulle med andra ord skurkarna ha tillgång till säker kryptering, medan hederliga medborgare skulle vara utan!

Övervakning som tvångsmedel

written by jacob, on Nov 24, 2015 12:55:31 AM.

Jag har ingenting emot att polisen punktmarkerar skäligen misstänkta personer. Jag tycker det är helt ok med avlyssning som tvångsmedel, när åtgärden har beslutats av domstol, efter korrekt prövning. Jag kan till och med acceptera att oskyldiga personer som har samröre med en misstänkt person får den delen av sitt privatliv som hör samman med den misstänktes analyserat.

Vad jag däremot inte kan förlika mig med är tanken på att en myndighet i hemlighet installerar programvara på min dator, min surfplatta eller min mobiltelefon.

Den som är misstänkt är nämligen inte funnen skyldig. Tvångsmedel används för att utreda skuld, men måste vara proportionerliga. Det innebär att man inte ska förorsaka mer olägenhet för den misstänkte än vad situationen kräver. Frihetsberövande är den högsta nivån av tvångsmedel vi har, eftersom en arrestering eller häktning förhindrar alla former av normalt liv. Avlyssning är en mycket mildare form, för där påverkas den misstänktes livsföring inte av avlyssningen. Däremot så är vederbörandes integritet kränkt, och det är det som är huvudskälet till att vi i Piratpartiet är emot alla former av massövervakning.

När man installerar en trojan på någons kommunikationsutrustning så nyttjar man vederbörandes resurser. Man tar minnesutrymme, processorkraft och bandbredd. Man påverkar dessutom maskinens normala funktion. Program kan börja fallera och man riskerar att skapa säkerhetshål som tredje man kan utnyttja. Att utsätta en oskyldig person för det här är inte rimligt, oavsett vilken misstanke som riktas mot vederbörande.

Jag kan tänka mig att man tillåts installera trojaner hos en icke frihetsberövad person som på annat sätt knutits till ett brott, för att samla in ytterligare bevisning. T.ex. för att kunna knyta medbrottslingar till brottet. Det kräver dock en annan rättsordning än den vi har idag. Vi skulle behöva någon form av hemlig bevisprövning i domstol, likt den som krävs för avlyssning, för att sätta in trojaner som tvångsmedel. Det kanske skulle vara rimligt i samband med organiserad kriminell verksamhet och terrorism, men det får aldrig bli ett standardredskap i polisens verktygslåda.

Övervakning som tvångsmedel

written by jacob, on Nov 24, 2015 12:53:02 AM.

Jag har ingenting emot att polisen punktmarkerar skäligen misstänkta personer. Jag tycker det är helt ok med avlyssning som tvångsmedel, när åtgärden har beslutats av domstol, efter korrekt prövning. Jag kan till och med acceptera att oskyldiga personer som har samröre med en misstänkt person får den delen av sitt privatliv som hör samman med den misstänktes analyserat.

Vad jag däremot inte kan förlika mig med är tanken på att en myndighet i hemlighet installerar programvara på min dator, min surfplatta eller min mobiltelefon.

Den som är misstänkt är nämligen inte funnen skyldig. Tvångsmedel används för att utreda skuld, men måste vara proportionerliga. Det innebär att man inte ska förorsaka mer olägenhet för den misstänkte än vad situationen kräver. Frihetsberövande är den högsta nivån av tvångsmedel vi har, eftersom en arrestering eller häktning förhindrar alla former av normalt liv. Avlyssning är en mycket mildare form, för där påverkas den misstänktes livsföring inte av avlyssningen. Däremot så är vederbörandes integritet kränkt, och det är det som är huvudskälet till att vi i Piratpartiet är emot alla former av massövervakning.

När man installerar en trojan på någons kommunikationsutrustning så nyttjar man vederbörandes resurser. Man tar minnesutrymme, processorkraft och bandbredd. Man påverkar dessutom maskinens normala funktion. Program kan börja fallera och man riskerar att skapa säkerhetshål som tredje man kan utnyttja. Att utsätta en oskyldig person för det här är inte rimligt, oavsett vilken misstanke som riktas mot vederbörande.

Jag kan tänka mig att man tillåts installera trojaner hos en icke frihetsberövad person som på annat sätt knutits till ett brott, för att samla in ytterligare bevisning. T.ex. för att kunna knyta medbrottslingar till brottet. Det kräver dock en annan rättsordning än den vi har idag. Vi skulle behöva någon form av hemlig bevisprövning i domstol, likt den som krävs för avlyssning, för att sätta in trojaner som tvångsmedel. Det kanske skulle vara rimligt i samband med organiserad kriminell verksamhet och terrorism, men det får aldrig bli ett standardredskap i polisens verktygslåda.

Mitt förtroende är lågt

written by jacob, on Nov 22, 2015 1:25:48 AM.

Efter terrordåden i Paris är svenska politiker och myndigheter på helspänn. Det görs utspel om ytterligare befogenheter till Polisen och SÄPO att övervaka och samla in data om medborgare. Det talas om att man ska få installera trojaner på folks datorer.

Det finns så många feltänk och osäkerheter i hela situationen att mitt förtroende för ledande politiker i allmänhet och för SÄPO och polisen står mycket lågt för närvarande.

Om vi börjar med polisen, så finns det en ljuspunkt. Vid insatsen mot terrordådet i Trollhättan visade man att man har övat på att handla rätt i angreppssituationer. Sedan finns det sådant som oroar. När jag för en tid sedan besökte polisstationen i centrala Göteborg (en av 3 stationer i staden, och den enda som är öppen 24 timmar om dygnet) så fick jag vänta 25 minuter innan det dök upp en polis innanför disken. Det var alltså helt obemannat i 25 minuter. Det andra som oroar är att det i nuvarande läge fortfarande finns poliser som jagar fildelare.

Sedan kommer vi till SÄPO. Det är en myndighet som har en lång historia av klantigheter och inkompetens bakom sig. Det är allt från Ebbe Carlsson-affären, till överlämning av egyptier till CIA, till chefer med så bristande kompetens att de inte kan åtalas för tjänstefel. Det stora larmet angående en misstänkt asylsökande förefaller (med den information vi har just nu) vara en anka. Den information som finns öppet tillgänglig visar att man kunnat hantera fallet på ett helt annat sätt; t.ex. genom att kolla hans Facebook-sida och sedan skicka en patrull för att kolla om han var hemma.

Det är fullt möjligt att det finns terrorister som planerar attentat mot Sverige, men jag har tyvärr väldigt litet förtroende för att SÄPO ska klara att upptäcka och undanröja sådana hot.

Tills sist våra politiker. Regeringen har helt förbrukat det ganska lilla förtroende som jag kände tidigare. En viktig faktor är hur man så sent som i slutet på oktober hävdade att det inte var några problem med att det strömmade in 10 000 flyktingar i veckan, för att bara 2 veckor senare rycka i panikbromsen. Det tyder på inkompetens och brist på planering. Statsministerns tal om att vi har varit naiva får stå för honom själv. Det är han, som statsminister, som har ansvaret för att militär och civila myndigheter har rätt beredskap för att hantera attacker mot det svenska samhället. Att han talar om att ge ut ytterligare befogenheter till massövervakning visar att han inte har begripit att hela idén är ett stort misslyckande. Polisarbete måste bygga på data från öppna källor och intensivövervakning av det fåtal mål som verkligen utgör en risk. Trålning skapar bara en massa falska uppslag, och varje felaktig insats är ett hårt slag mot förtroendet för polisen.

Det ligger på regeringen att besluta om hur man ska använda Försvarsmakten i det rådande läget, och där har regeringen varit tyst. Det har talats om hur man ska stödja Frankrikes begäran om hjälp att bekämpa Daesh, men inte ett ord om hur man ska förbereda försvaret för att skydda civilsamhället i händelse av en terrorattack i Sverige. Med dagens insatsförsvar borde man på kort tid kunna genomföra nödvändig utbildning för insatsbataljonerna. Militären kan t.ex. användas till att skydda myndigheter och bemanna vägspärrar och därmed frigöra poliser till utredning och upprätthållande av ordning på gator och torg. Att påbörja utbildningen när första attacken har kommit är för sent och att sätta in militär utan specialutbildning är för farligt.

Nu är regeringen inte de enda syndabockarna i sammanhanget. Med få undantag har hela det politiska etablissemanget visat på bristande tänkande och bristande förmåga till enighet, i en situation som ställer sådana krav. De enda ljuspunkterna har varit Gustav Fridolin och Jonas Sjöstedt. De har båda haft en sansad analys och rimliga förslag till åtgärder. Jag ger inte mycket för deras ekonomiska politik, men när det gäller hanteringen av terrorhotet hoppas jag att det är deras linje som vinner.

Att skydda det öppna samhället

written by jacob, on Nov 15, 2015 2:51:45 AM.

När terrorister slår till, så som nyligen skett i Paris, kan de endast stoppas med vapenmakt. Det går inte att tala en fanatiker tillrätta och icke dödligt våld är allt för riskabelt för insatsstyrka och omgivning. Ju snabbare man kan bekämpa terroristerna, desto fler räddar man från att bli skadade eller dödade.

I ett läge där terrorattacker är sällsynta eller osannolika är det rimligt att överlåta skyddet mot terrorism till polisen och säkerhetspolisen. Svarstiderna vid en attack tenderar dock till att bli relativt långa, eftersom polisen idag är hårt centraliserad. Det är inte heller säkert att det finns några poliser tillgängliga för insats. För några år sedan gjordes det en undersökning som visade att vid ungefär 1000 nödsamtal till 112 om pågående allvarliga brott (inbrott, misshandel, mordbrand etc.), så hade polisen inga resurser att skicka.

Det finns nu risk att Daesh har förberett ytterligare attentat i Europa enligt den modell vi sett i Paris. I det läget kommer polisens resurser inte att räcka till för att skydda samhället på ett fullgott sätt. Vi behöver ha beväpnad personal på alla platser där många människor samlas. Det är det enda effektiva sättet att minska effekten av terrorattacker, när de väl händer. Vi vill också frigöra poliser till traditionellt spaningsarbete för att förebygga attacker.

Det finns en modell för hur man framgångsrikt löser det här problemet. Israel, som för en israelisk medborgare är ett demokratiskt och öppet samhälle, har länge haft problem med terrorattacker. Orsakerna till detta är mycket komplexa och till stor del självförvållade, men det är en annan historia. Sättet man har använt för att reducera terrorattackerna är att ha beväpnad personal i rörelse över hela landet. Man har en 3-årig värnplikt och alla värnpliktiga bär uniform och bär med sig sina skarpladdade vapen under transport till och från sin tjänstgöring. Dessutom har man ett omfattande system med reservofficerare som har beväpning hemma. Eftersom Israel har en ständigt hög beredskap jobbar inte soldaterna veckodagar och har ledigt på helgerna. Det är ett ständigt rullande schema som gör att det alltid finns soldater på torg, bussar, tågstationer, flygplatser och andra platser där det passerar mycket folk.

I Sverige har vi inte värnplikt, men vi har ett yrkesförsvar, vi har reservpersonal och vi har Hemvärn. Vi har också beredskapspoliser. Det är fullt möjligt att på kort tid utbilda, uniformera och beväpna dessa kategorier människor, så att vi får en betydligt kortare tid till första insats, oavsett var i Sverige en attack kommer. Det är naturligtvis inte helt riskfritt att ha så många beväpnade människor på stan, för det finns alltid en liten sannolikhet för olyckor och missförstånd. Därför så ska man vänta med att sätta in en sådan här åtgärd tills dess man ser att Daesh har kapacitet att genomföra terrorattacker i stor skala.