Signalspaningslagen kommer, men kommer SUPO verkligen att kunna läsa min mejl?

Förnyandet av Finlands underrättelselagstiftning är aktuell just nu, och spaning i nätverkskablarna är det som väckt mest debatt. Kritikerna säger att militären och skyddspolisen kommer att läsa våra meddelanden, medan myndigheterna bedyrar att de inte ska bedriva massövervakning. Så hur blir det egentligen? Kommer vi att få ett Orwellskt samhälle eller inte?

En viktig aktör som det pratas väldigt lite om i det här sammanhanget är Edward Snowden. Han läckte år 2013 ut ett massivt paket dokument som avslöjade hur omfattande USAs underrättelseverksamhet på nätet egentligen är. Den här läckan har lett till en snabb utveckling mot att skydda trafiken på nätet. Det finns bra och säkra metoder för att kryptera den data som skickas mellan din dator och en server. De här metoderna är helt automatiska och kan vara i bruk fast du inte vet någonting om det. Så det leder ofrånkomligen till frågorna: Till hur stor grad är vår trafik krypterad? Hur mycket kommer försvaret och skyddspolisen egentligen att se i kabeln? Kommer de verkligen att kunna läsa vår mejl?

Olika nivåer av skydd

Först ska vi ta en titt på vad myndigheterna kan se i kabeln när användaren har olika nivåer av skydd.

Oskyddad trafik

Den teknologi som Internet är baserad på utvecklades ursprungligen för militären. Kablarna skyddades fysiskt och spionage genom att nån kommer åt kabeln var inte ett hot som man tog i beaktande. Trafiken var alltså länge helt oskyddad. Nån som kunde plugga in en nätverksanalysator kunde alltså helt fritt läsa vad man gjorde, vilka meddelanden man skickade till vem, vilka sidor man surfade på och vad de innehöll. Tom. användarnamn och lösenord i många fall.

Skyddade uppkopplingar (SSL/TLS)

Secure Socket Layer (SSL) och Transport Layer Security (TLS) är protokoll som gör det möjligt för två datorer att bilda en skyddad krypterad uppkoppling. Via den kan de utbyta data utan att någon kan spionera på den. En dator kan också via ett certifikat försäkra sig om att den kommunicerar med rätt server. Det här finns inbyggt i dina program och kräver inte att du installerar nåt.

När man använder de här protokollen kan myndigheterna se vilken webbserver du använder, men inte vilken sida på servern eller vad sidan innehåller. Ditt användarnamn och lösenord är säkrat när du loggar in. De kan t.ex. se att du använder Amazon men inte vad du köper. De kan också se vilket e-post-system du använder, men inte vem du kommunicerar med eller vad ni skriver till varandra. Samma gäller för snabbmeddelande-appar som Messenger och WhatsApp. När du lagrar filer på molntjänster kan de se vilken tjänst du använder och hur mycket, men de kan inte se filnamnen eller läsa deras innehåll.

Hur vanligt är det med skyddad trafik?

Så vi vet att skyddad trafik har blivit vanligare. Men hur mycket vanligare? Enda sättet att ta reda på det är att testa. Här kommer ett sammandrag över några vanliga tjänster. För testet har de tagits i bruk utan att på något sätt optimera säkerheten, alltså just så som de används av vanligt folk.

Tjänst

Skyddad uppkoppling?

Skyddsprotokoll

Hotmail.com, Outlook.com med MS Outlook

JA

TLSv1.2

Hotmail.com, Outlook.com som webbmail

JA

TLSv1.2

Gmail med MS Outlook

JA

TLSv1.2

Gmail som webbmail

JA

TLSv1.2

WhatsApp som app på iPhone

JA

TLSv1.2

Messegner som app på iPhone

JA

TLSv1.2

Messenger via webbläsaren

JA

TLSv1.2

Skype-samtal från Windows

JA

TLSv1.2

Twitter via webbläsaren

JA

TLSv1.2

Facebook som app på iPhone

JA

TLSv1.2

Facebook via webbläsaren

JA

TLSv1.2

Google Drive

JA

TLSv1.2

Dropbox

JA

TLSv1.2

Microsoft OneDrive

JA

TLSv1.2

yle.fi

JA

TLSv1.2

google.com

JA

TLSv1.2

amazon.com

JA

TLSv1.2

ebay.com

JA

TLSv1.2

nytimes.com (New York Times)

JA

TLSv1.2

youtube.com

JA

TLSv1.2

Spotify på Windows

NEJ

Hoppsan! Alla testade tjänster, utom musiktjänsten Spotify, använder alltså skyddade uppkopplingar. Det är dåliga nyheter för myndigheterna som tror sig kunna ta fast terrorister genom att lyssna på datatrafiken. I själva verket är det inte bara brottslingar, terrorister och spioner som krypterar sin trafik. Det gör vi alla, utan att veta om det!

I Sverige har man redan signalspaning i kablarna via den sk. FRA-lagen. Där föreslås utvidgade befogenheter så att man också skulle få bedriva “hemlig dataavläsning” i apparater, dvs. använda spionprogram. Ett centralt argument för reformen är att omkring 90% av datatrafiken redan är krypterad. Den här studien visar att det snarare är en underdrift än överdrift.

Slutsats

Förespråkarna för de nya befogenheterna säger att det är bråttom för vi är sena med att införa lagstiftningen. Ja, de har rätt. Guldåldern för den här typen av signalspaning är över. Finland är minst tio år för sent ute med reformen. Som vi kan se i tabellen ovan är det numera standard att använda skyddad trafik. Man behöver alltså inte vara foliehatt, nörd eller terrorist längre för att använda kryptering på nätet. Också vanliga användare gör det, utan att veta om det.

Svaret på rubrikens fråga är alltså nej. Det är ofrånkomligt att man kommer att snappa upp en del trafik från vanliga medborgare, fast det inte är meningen. Men myndigheterna kommer trots det inte att kunna läsa vad vi skriver till varandra, utom i sällsynta undantagsfall. De kommer däremot att kunna kartlägga våra cybervanor och t.ex. ta reda på vilka tjänster vi använder och hur mycket.

Om någon har ett behov av ännu bättre sekretess, t.ex. att dölja att man surfar på ISIS-sidor, kan man använda en VPN-produkt eller TOR-nätverket. Då kan myndigheterna antingen se att just du använder VPN/TOR, men inte vad du gör. Eller alternativt att nån surfar hos ISIS, men inte vem det är.

Men vad är egentligen viktigast?

Samtidigt kan man konstatera att debatten om det nya lagpaketet till en del missar det mest relevanta. Signalspaning i kablarna hamnade i fokus i början för att kontrollmekanismerna var bristfälliga och villkoren för att använda de nya verktygen alltför luddigt formulerade. Och framför allt för att metoden är väl lämpad för massövervakning. Därför fick just den här delen av lagpaketet mycket uppmärksamhet och kritik, helt berättigat. Nu har de uppenbara bristerna i kontrollen korrigerats, och lagpaketets kvalitet börjar vara OK.

Det pratas mindre om att både försvaret och Skyddspolisen ska få utvidgade befogenheter att spana mot individer med andra metoder, som t.ex. att plantera spionprogram i datorer, “hemlig dataavläsning”. De här metoderna är mycket effektivare än att lyssna i kabeln. Med dem har man mycket större chanser att snappa upp okrypterad data. Polisen har redan haft tillgång till de här verktygen flera år. Den stora förändringen kommer att vara att försvaret och Skyddspolisen skulle få använda dem utan de krav på brottsmisstanke som begränsar polisens spaning. Det här kommer i praktiken säkert att vara ett mycket viktigare verktyg, men samtidigt mindre farligt för vanliga medborgares integritet. De här verktygen är inte skalbara på samma sätt som signalspaning i kabeln. Man kan inte ta fram alla medborgare som gör vissa saker på nätet med en tryckning på enter. De riktas vanligen mot en utvald medborgare i gången, och då är det lättare att se till att tillstånden är i ordning och att fel personer inte drabbas.

Hur gjordes studien?

Nätverksanalysatorn Wireshark

Nätverksanalysatorn Wireshark kördes i en Windows 10 -dator och användes för att kapa och analysera data som applikationerna eller webbsidorna skickade och tog emot. Mobilapparna kördes på en iPhone kopplad till ett trådlöst nätverk skapad av en Linux-dator, där nätverksanalysatorn också kördes.

Den här metoden funkar alltså i princip samma sätt som den planerade signalspaningen i datakablarna, fast i mindre skala.

Några punkter att observera

  • Den här studien utgår från att finländska myndigheter inte kan bryta krypteringen som används. Det är ett helt säkert antagande för vanliga privatpersoner. Jag tänker inte börja spekulera i huruvida supermakterna kan bryta skyddet, och om Finlands myndigheter kan byta till sig sådana tjänster. Det är inte relevant för vanliga medborgares integritet, men kan vara det för aktörer av större intresse.
  • Om två personer som använder olika e-post-system mejlar med varandra, måste mail-servrarna utbyta posten sinsemellan. Den här kontakten kan vara skyddad eller oskyddad, men sker i regel utanför Finlands gränser, så våra myndigheter kan inte snappa upp den. Men det kan vara möjligt för andra länders underrättelsetjänster.
  • Fast myndigheter inte kommer åt den data som överförs kan man ändå kräva ut lagrad information från företagens servrar, antingen i Finland eller utomlands. Men det här är också något som vanliga laglydiga privatpersoner knappast behöver bekymra sig om.
  • I vissa fall kan man lista ut vem som kommunicerar med vem fast själva trafiken är krypterad. Det kan vara möjligt om båda användarna är i Finland men servern i utlandet. Då kan man över en viss tidsperiod leta efter korrelation mellan sända meddelanden från en användare och mottagna för en annan, och tvärtom.

Micke