Intervju med Seth Schoen fra Electronic Frontier Foundation

Foto: Berishafjolla

NSA-avsløringene har satt spørsmålet om betydningen  av digitale rettigheter og personvern på dagsorden. Vi intervjuer Seth Schoen fra Electronic Frontier Foundation, en organisasjon for digitale rettigheter med base i San Francisco.

Johannes Wilm
Om Johannes Wilm (18 artikler)
Johannes Wilm er doktor i antropologi. Han har gjort reportasjer fra ulike latinamerikanske land om progressive bevegelser og jobber i tillegg med IT.

Hvilke verktøy kan man bruke for å unngå spionasje fra NSA og andre sikkerhetstjenester?

Seth Schoen

Seth Schoen

Det er virkelig vanskelig. Jeg pleide å tenke at de først og fremst jobbet med å tappe kabler, men nå vet vi at de bruker mye tid på å prøve å finne sikkerhetshull i programvarer uten å fortelle utviklerne om det. Så det er nesten umulig å vite hva de kan få til. Samtidig bruker de jo ikke magi, så alt de gjør er innenfor det mulige. Tenk på det slik: Flere titusen personer prøver å finne ut av måter å bryte seg inn i programmene du bruker. Og de er alle høyt utdannede, så det er svært sannsynlig at de vil finne en eller annen måte å gjøre det på.

I teorien er det ikke garantert at det alltid finnes sikkerhetshull. Men i praksis er det vanskelig å programmere uten å lage feil. Det finnes et ordtak «gitt nok øyner, så er alle feil åpenbare». Med andre ord: Hvis nok folk analyserer koden, så vil de alltid kunne finne et eller annet. Dessverre ser det ut som om de som har flest øyner bruker dem til å angripe programmene, ikke å forsvare og fikse dem.

Det er viktig at man bruker verktøy for å kryptere både kommunikasjonen over ledninger og dataene når de blir lagret på disk. Dessverre har vi lært at de ofte bryter seg inn i datamaskinene som krypterer og dekrypterer. Hvis de gjør det fungerer dessverre ikke krypteringen.

Vi har skrevet et dokumentet Surveillance Self-Defense som snakker om verktøy og strategier for å beskytte seg mot overvåkning. Akkurat nå er en ny utgave er under utarbeidelse, fordi den første utgaven har gått ut på dato.

Er det et alternativ å bare bruke vanlige programmer, som Gmail og Facebook-chat, og håpe på at kommunikasjonen blir borte i massen av data de har?

Problemet er at de har veldig bra søkeverktøy. De trenger ikke lese hver eneste melding for å finne det viktige, så det å gjemme kommunikasjonen sin er nok ikke mulig.

Noen av verktøyene deres kan til og med analysere relasjoner mellom mennesker og foreta automatiske slutninger. Det finnes et aktivt forskningsfelt for å finne relasjonene innenfor grupper automatisk ved å analysere deres kommunikasjon. Det finnes også datalingvistiske verktøy for følelses- og emne-analyse der en robot kan undersøke en tekst og gjette hva temaet er og om forfatteren er fornøyd eller misfornøyd med det.

Hva med verktøy som Mailpile som erstatning for Gmail, Friendica/Diaspora istedenfor Facebook og Cryptocat til chatte? Hjelper det å bruke dem?

Det er en god idé å bruke denne slags programmer fordi alternativet er å sende kommunikasjonen din til tjenesteleverandører som er villige til å overlevere dataene dine og de sender dem gjennom kabler som kan bli tappet. Så det er fornuftig å bruke programmer som er utformet arkitektonisk til å beskytte dine ting.

Etterretningsorganisasjoner vil trolig ikke bryte inn i alle datamaskiner i verden, fordi det alltid finnes en risiko at noen kan legge merke til innbruddet. Hvis kryptering ble brukt mye, ville det ikke være nok å tappe kabler for å kunne lytte til folks samtaler. En kabel kan inneholde kommunikasjonen til 1 million internett-brukere, så for å få all den samme informasjonen hvis den er kryptert, ville man måtte hacke like mange datamaskiner.

Samtidig er dette programmer som går gjennom nettleseren. Og nettlesere er ikke veldig flinke til å håndtere kryptering akkurat nå. Da tenker jeg på kryptering som er ment å beskytte deg mot serveren hvis den prøver å spionere på det du skriver. Når du ser på en web-applikasjon i en nettleser kan du ikke sjekke om programmet har blitt tuklet med. Hvis noen hacker serveren som web-applikasjonen ligger på og endrer programmet slik at det sender dataene dine videre til andre før de ble kryptert, vil du som bruker ikke legge merke til det.

Måten å komme rundt det problemet på er å bruke krypteringsplugins til nettleseren. Du bare laster dem ned en gang. Deretter kan man ikke erstatte pluginnen du har installert med en hacket versjon uten også å bryte inn i din datamaskin. Men jeg tror det finnes utviklere som arbeider på å øke sikkerheten til web-applikasjoner slik at dette problemet kommer til å forsvinne.

Den amerikanske regjeringens posisjon er tydeligvis at de kan få en domstol til å beordre noen til å redesigne en teknologi for å lure en bruker til å bruke en skadet versjon av et program og spionere på den brukeren. Før Lavabit-saken visste vi ikke at regjeringen så det på denne måten.

 

Er det en god idé å lage ny fysisk infrastruktur for internettet, for eksempel ekstra kabler som går fra Brasil til Europa, utenom USA?

 

Hvis du er redd for amerikansk spionasje på deg, så er det sannsynligvis en god ide å ikke sende din kommunikasjon gjennom USA. Men det finnes mange andre måter å få dataene på. For eksempel kan de hacke ruterne på hver ende av kabelen og sende en del av trafikken via et annet sted. Vi vet også at de kan bruke ubåter for å avskjære kommunikasjonen som går gjennom kabler.

På 1990-tallet sa vi i EFF at du må forestille deg at noen lytter til trafikken som går gjennom nettverket ditt. Vi sa at du burde handle som om nettverkene du bruker direkte er drevet og styrt av dine motstandere. Det er kjerneverdien av kryptering: Den skal gi deg mulighet til å kommunisere trygt, i en viss grad, over et uklarert og til og med fiendtlig nettverk. Det viste seg at ideen om kompromitterte og fiendtlige nettverk var ganske reell.

Vi vet ikke engang om alle måtene nettverkene har blitt kompromittert, men jeg tror ikke det er hensiktsmessig å stole på at ny fysisk infrastruktur ikke kan bli kompromittert.

Den amerikanske regjeringen bruker selv flere fysisk atskilte nettverk frakoblet fra internett. De har bygget parallell infrastruktur. De bruker ikke de samme datamaskinene på disse nettverkene som de bruker på internett. Til tross for at mange penger investeres i sikkerhet, så vet de ikke om de virkelig har kontroll.

Er det fornuftig å lagre epostene i landet der man bor? Altså ikke i USA?

Det er et vanskelig å si. En viktig faktor er at desto større og mer kjent en epost-utbyder er, desto enklere er det å utsette den for juridisk press. Det blir lettere å finne firmaet som står bak og de har mye å tape. Det er lettere å presse selskaper med næringsinteresser og kontorer i flere land fordi en regjering kan true med å ta firmaets eiendom, bøtelegge dem, arrestere deres ansatte eller stenge deres kontorer. Kanskje firmaene først krangler om det i hemmelighet, men de ender vanligvis opp med å finne et kompromiss for å kunne fortsette i det aktuelle landet. Konsekvensen av dette presset er direkte synlig når handler om å blokkere innhold. Men brukerne ser det ikke like lett når det er personvernet som svekkes.

Det finnes eksempler f.eks. i India der det ble kjent at regjeringen ba store selskaper om å fjerne sikkerhetsfunksjoner. I Kina ble Skype tvunget til å jobbe sammen med en lokal partner. Denne lokale partner bygget så en bakdør inn i Skype slik at regjeringen kunne spionere på og sensure bort kommunikasjon. Det spekuleres også i om Microsoft ble presset til å fjerne sikkerhetsfunksjonene fra Skype av den US amerikanske regjeringen, men nok på en mer subtil måte.

Snowden-dokumenter viser at amerikanske etterretningstjenester følger mange regler – men i hovedsak bare når det gjelder US amerikanske statsborgere. Og samtidig har disse reglene mange flere smutthull enn hva vi trodde hittil.

Det er noen av ulempene ved å bruke en av de store epost-utbydere.

Det finnes også fordeler med å bruke store og utenlandske selskaper: De har penger til å investere mye i sikkerhet. De driver med avansert forskning og utvikling innenfor IT-sikkerhet, og de tenker på det hver dag. Google viser en advarsel når selskapet mener at kontoen din er angrepet av en statlig tjeneste, hvis denne prøver å bryte seg inn med tekniske midler uten en dommerkjennelse. Hvis Google mener at noen har sendt et vedlegg til en epost som skal bryte inn i computeren din, så forteller Google deg om det, uten å nevne detaljer. Men jeg må innrømme at jeg ikke vet om denne slags advarsler noensinne blir sendt ut når det gjelder USA.

Hvis du lager din egen epost-tjeneste, har du ikke denne typen sikkerhetspersonell og du har ikke tusenvis av mennesker som oppgraderer og vedlikeholder programvaren slik Google gjør. Så det å ha ressursene til et stort selskap kan ha betydning. Infrastrukturen er sterkere. Det kan også være gunstig å ha din kommunikasjon i et annet land hvis du er redd for overvåking av ditt eget land. Vi har sett folk bevisst ta dette valget.

Hva hvis du selv er en offentlig institusjon?

Hvis du er en regjering er du blant de mest attraktive angrepsmålene. For å forsvare deg mot angrep fra utenlandske regjeringer trenger du en stor stab. Det handler ikke bare om å oppgradere programvarer, men om å studere angrep og forsvarsmuligheter kontinuerlig.

Det finnes laboratorier som nettopp ser på dette. De har bl.a. forsket på lekkasje av informasjon i radiosignaler fra datautstyr og telefoner, produksjon og deteksjon av avlyttingsenheter, måter å ta bilder av ting fra stor avstand, osv. . Hvis du leser datasikkerhetslitteraturen fra det siste tiåret vil du se at universitetsforskere ser på problemet med lekkasje av informasjon i nye og uventede former.

For eksempel bruker datamaskinen mer strøm når den gjør en operasjon enn en annen, så hvis du måler strømforbruket kan du finne ut av hva maskinen gjør. Av og til kan du til og med regne deg til det eksakte innholdet av hva den beregner. En annen mulighet er å lytte til tastaturet eller datamaskinens vifte. Tastaturet lager en annen lyd når du trykker på en tast enn en annen, og viften surrer på ulike måter avhengig av hva dataen driver med. Til og med lysnivået og flimringen i rommet der datamaskinen står kan måles for å beregne hva som skjer på skjermen.

Hemmelige statlige laboratorier har også studert alle disse tingene i flere tiår. Og de har sofistikerte ideer og sofistikerte forståelser av hvordan resultatene kan brukes og avanserte muligheter til faktisk å bruke denne viten. De har massevis av penger og jobber derfor mye fortere enn vitenskapen som drives åpent og som er tilgjengelig for oss alle.

Det er viktig å være klar over alt dette når man som stat skal velge å kjøre sine egne systemer.

I Brasil så jeg på et prosjekt der regjeringen ville gi hele landet epost. De planla å bruke et system laget av en veldig lite åpen-kildevare gruppe, sannsynligvis tenkt til små bedrifter. Jeg hørte ikke noe om at regjeringen ansatte folk for å prøve å beskytte denne eposttjenesten. Jeg tenkte bare: «Jeg er sikker på at denne programvaren inneholder feil, og jeg er sikker på at hvis de setter dette opp vil andre lands sikkerhetstjenester finne disse feilene fort.»

Det finnes svært mange utnyttbare feil i slike programmer. USA anklaget tidligere den kinesiske regjeringen for å lete etter slike feil. Nå vet vi at USA også selv gjør det.

Hvis du skal overveie å lagre dine data i USA som utenlandsk regjering er det til dels et spørsmål om lover og om sikkerhetstjeneste respekterer disse lovene. USA har en juridisk norm som går ut på at hvis en utenlandsk regjering lagrer dataene sine i USA, så har den amerikanske regjeringen automatisk rett til å se på disse dataene, selv hvis det er snakk om en sivil avdeling av et alliert land. De trenger ikke argumentere for at den utenlandske regjeringen gjør noe «dårlig». Det er et godt argument for ikke å lagre dataene sine i USA, i en viss forstand vil denne typen data ikke ha noen som helst form for juridisk beskyttelse.

På den andre siden, hvis du mener at trusselen kommer fra Kina, Israel, Russland eller Frankrike, så kan det likevel være en god idé å lagre dataene i USA fordi et selskap som Google kanskje beskytter dataene mot disse landene. I det minste har de bedre odds for å kunne beskytte dataene dine mot et teknisk angrep, sammenliknet med småorganisasjoner.

 

Det som har kommet ut om tidligere spionasjevirksomhet får det til å virke som om spionene ikke skjønner det de overvåker. For dem er det bare en jobb. De skjønner ikke nødvendigvis samtalene eller de bryr seg ikke. Kan denne kunnskapen kanskje gi oss en form for sikkerhet?

 

Jeg er ikke sikker på hva jeg skal svare på det. Men det har sikkert vært tilfeller der det fantes en mangel på forståelse av konteksten. Hvis du er i en ukjent sosial sammenheng kan det være vanskelig å forstå om noe er en spøk, ironi eller sarkasme. Etter 9/11 angrepene var det tilfeller der de rett og slett ikke hadde nok folk som forstod arabisk til effektivt å kunne spionere på visse deler av samfunnet. Det arabiske språket er fortsatt sett på som ganske suspekt blant mange i USA, og vi har sett politiske kontroverser som oppsto fordi de ikke hadde nok arabisk-talende personer for å kunne kommunisere med den arabiske verden på et eller annet nivå, enten det gjelder spionasje, bare snakke med folk flest eller lese avisen.

Er ikke dette som forholdet til Russland under den kalde krigen? Ser folk ikke at elitene deres alltid har en eller annen unnskyldning for å være mot andre land, men at dette ikke nødvendigvis er noe de selv burde ha noen interesse i?

Jeg er ikke sikker på at det er flertallet som ser det på denne måten. Når jeg lytter til mine egne tech-venner, er de generelt veldig opptatt av hvordan dette landet spionerer på andre, og er veldig lei seg for det. Men på Twitter kan man lett finne mange andre grupper av mennesker med svært ulike syn. Jeg har lagt merke til to grupper som forsvarer omfanget av spionasje som den amerikanske regjeringen driver med: Noen mener USA bør ha denne makten fordi de er «the good guy». For dem er den amerikanske regjeringen mer legitim enn andre regjeringer. Det er ideen om amerikansk eksepsjonalisme. Eller de kan mene at USA en unik rolle som «eneste supermakt» i å opprettholde internasjonal orden og derfor trenger tilgang til å overvåke ting over hele verden. En annen gruppe mener at det er naturlig for alle stater å konkurrere og å spionere på hverandre og at dette alltid vil være tilfellet under alle omstendigheter.

Det er sant at mange andre regjeringer trolig ville spionere like mye, og at det er ikke fordi alle andre har høyere moral at de ikke gjør det. Jeg tror vi vil komme til å finne ut mer om overvåking fra andre stater på et tidspunkt. Jeg antar at det allerede er et internasjonalt fenomen. Vi vet at til dels så vet de sivile myndighetene ikke engang hva deres egne etterretningstjenester gjør, eller hvordan de fungerer sammen med andre land.

Forskjellen er at totalt sett bruker den amerikanske regjeringen mer penger enn noen annen stat på sitt spionapparat. Og den har høyere ambisjoner i forhold til hva de forventer å være i stand til å finne ut av. Andre stater har ikke så mange ressurser, og de forventer ikke å finne ut av så mye. Dette er også fordi USA bruker andre typer av krefter og relasjoner de har for å få bli sterke innen spionasje på nettet. For eksempel ber de om tilgang som del av traktatforhandlinger, eller de tilbyr å dele visse opplysninger som de finner ut av gjennom spionasjen i bytte mot tilgang.

Hemmelige tjenester har ofte ikke vært i stand til å forhindre at regjeringen de jobber for kollapser, spesielt de som var ekstremt store. Med 4,2 millioner personer med sikkerhetsklareringer og noe sånt som 1,4 millioner med topp-hemmelig klaring, er det ikke en sjanse alt dette vil forsvinne etterhvert?

Ikke alle sikkerhetsklareringer har å gjøre med spionasje eller overvåkning. Mange av dem er knyttet til militære fly, missiler, anti-satellitt raketter, droner, osv., eller det å skape eller opprettholde infrastruktur som regjeringen mener er viktig. Noen ganger handler det til og med bare om folk som jobber i samme bygning hvor noen andre mennesker snakker om hemmelige ting, fordi vedkommende kunne overhøre noe.

Det ser ut til at amerikanske etterretningsorganisasjoner ikke var i stand til å forutse visse historiske hendelser, eller i hvert fall ikke stoppe dem. For eksempel sies det at de ikke klarte å forutsi slutten av Sovjetunionen, den arabiske våren, eller reaksjonen i kjølvannet av den ukrainske revolusjonen. Selv institusjoner med store tekniske muligheter er ikke allvitende.

Men jeg vet ikke helt hva jeg skal tro. Det har vært veldig mye hemmelig historie. Under den kalde krigen hørte offentligheten mye om skjulte aktiviteter, og i USA hadde folk inntrykk av at alt dette handlet om den kalde krigen. Men det virker som alle disse tingene har eksistert på en mye større skala og med andre formål enn hva publikum virkelig har forstått. Og vi hører egentlig ikke hva etterretningsorganisasjonene gjør, hvem de gjør det mot eller hvor og hvem som har bestemt at de skal gjøre det.

På NSA hovedkvarteret har de et minnesmerke for de menneskene som ble drept i tjenesten. Det er snakk om mer enn 100 personer. Og NSA driver med teknologisk og ikke menneskelig overvåkning.

Det gjør at jeg tror det er disse store områder av menneskelig aktivitet som aldri blir analysert eller rapportert om. Selv når spionasje blir oppdaget, er det sjelden fullt eksponert. Når spioner blir tatt, og de har diplomatisk dekke, blir de rett og slett deportert, fordi man sier at deres aktiviteter var uforenlige med deres diplomatiske status. Vi hører sjeldent om hva de gjorde og hvordan de ble fanget og hva de var i ferd med å gjøre.

Konklusjonen blir da: Historien er muligens veldig forskjellig fra det vi har lært. Det er mulig at enhver historisk begivenhet har inneholdt en hemmelig komponent.

Liker du det du leser?

VIPPS noen kroner til 137267
eller betal direkte til konto 1254.05.88617
Støtt oss med fast bidrag hver måned

1 kommentar på Intervju med Seth Schoen fra Electronic Frontier Foundation

  1. «Janne Kristiansen røpet noen detaljer om hva PST holder på med og måtte gå av. Dette er en trist historie, hun greier seg nok, men for alle oss andre. Vi vet ikke hva våre hjelpere i PST holder på med og vi vet ikke hvem de jobber for. Det er skapt et skille mellom oss – folket – og våre tjenere – PST.»

    http://www.nyttnorge.com/tilbakestående-etterretning-hva-brukes-pst-til.html

1 Trackbacks & Pingbacks

  1. Is protection against online surveillance possible? | Johannes Wilm

Kommentarfeltet er lukket.