Swedish Covert Surveillance of Data Act (2020: 62) er en ny lov som trådte i kraft i Sverige første april 2020. Den nye loven innebærer at politi og andre offentlige myndigheter kan hacke seg inn i forskjellige tekniske enheter for å innhente dataene som finnes på enheten eller som går gjennom enheten.
For å gjøre en lang historeie kort; OVPN er ikke berørt av loven, og som sådan er vi heller ikke pålagt å hjelpe noen med å spionere på brukerne våre.
Om loven
Dataovervåking kan brukes som del av en foreløpig undersøkelse, for etterretningsformål, og "en viss kontroll av imigrasjon." Det kan bare brukes til spesielt avskyelige forbrytelser med strafferamme på minst 2 år.
Hensikte med loven er å gi politiet et nytt verktøy å bruke mot organisert kriminalitet, da de kriminelle ofte bruker krypterte apper for å kommunisere og ofte unngår offentlige steder der det er noen form for kamera eller lydovervåking.
Tillatelse må gis av en dommer for hvert tilfelle overvåking som brukes, med spesielle tillatelser gitt for forbrytelser beskrevet i kapittel 27, avsnitt 2, annet ledd, 2-7 i prosesskoden, som inkluderer sabotasje, brannstiftelse, generell ødeleggelse, kapring, oppstand, væpnet trussel mot rettsorden, krenkelse av borgerfrihet, høyforræderi, krigsinnsats, spionasje, ulovlige etterretningsoperasjoner, bedriftsspionasje og terrorforbrytelser.
Hvilke områder er omfattet av loven?
Loven har til hensikt å dekke overvåkning av følgende områder:
- Avskjæring av data
- Overvåking av data
- Informasjon om geografisk plassering
- Kameraovervåkning
- Avlytting
- Data som er lagret på et medium, men ikke dekket av 1-5
- Data som viser hvordan et lagringsmedia har blitt brukt, men dekkes ikke av 1-6
Hvordan påvirker loven OVPN-brukere?
Loven tillater en politimyndighet å anvende teknisk overvåking - enten i form av skadelig programvare eller fysisk manipulering - for å avskjære data før de blir kryptert. Dette betyr at hvis du er målet for en slik overvåkingsmetode, vil en VPN-tilkobling ikke hjelpe så lenge den tekniske overvåkningen blir brukt direkte på selve enheten.
Metoden som brukes for overvåking vil variere fra mistenkt til mistenkt, enhet til enhet og til og med hvilken tillatelse som er gitt av en dommer. Hvis det er nødvendig, har det politimyndigheten til og med lov til å bruke forskjellige exploits i tillegg til å fjerne eller omgå forskjellig systembeskyttelse, forutsatt at politimyndigheten kan gjenopprette systembeskyttelsen til minst samme tilstand som før overvåkningen startet.
Politimyndigheten kan, hvis tillatelse er gitt, bruke forskjellige sårbarheter i telefoner eller TV-apparater for å aktivere mikrofonen på nevnte enheter og avlytte samtaler. Overtakelse av kameraer kan også brukes for å registrere hva som skjer der kameraet befinner seg. Tillatelser til kameraovervåking kan ikke gis for noens faste bosted for forbrytelser som faller inn under den første kategorien, nemlig forbrytelser med fengselsstraff på minst 2 år.
Hvis en person er mistenkt for en forbrytelse som er definert i kapittel 27, prosesskodens paragraf 2, annet ledd, 2-7, kan kameraovervåking ikke bare gis for noens faste bosted - men også venner, familie og andre bekjente av den mistenkte, så lenge det er grunn til å tro at personen vil være i den boligen i den perioden tillatelsen gis for.
Hvordan påvirkes OVPN?
Loven sier:
§ 24 Den som driver med varslingspliktig virksomhet i henhold til kapittel 2. Elektronisk kommunikasjonsloven (2003: 389) § 1, er ved anmodning fra utførende myndighet, forpliktet til å delta i utførelsen av skjult overvåkning av data.
VPN-tjenester er ikke varslingspliktighenhold til kapittel 2. Elektronisk kommunikasjonslovens paragraf 1 (2003: 389), noe som betyr at OVPN ikke kan tvinges til å bistå.
OVPN vil publisere månedlige åpenhetsrapporter som inneholder informasjon om forespørsler fra myndigheter, politi og andre selskaper.
Hvordan påvirker loven OVPNs internettleverandører?
Våre svenske internettjenesteleverandører er varslingspliktige og kan dermed tvinges til å hjelpe politimyndigheter. Imidlertid er vår serverinfrastruktur designet på en veldig spesiell måte som forhindrer slike angrep.
I motsetning til de fleste VPN-leverandører, er alle serverne våre heleid av oss. Alle VPN-serverne våre bruker vår egen modifiserte maskinvare og modifisert programvare, og vi bruker flere metoder å hindre ethvert forsøk på å manipulere våre servere både på programvare- og maskinvarenivå. Vi garanterer også at slike forsøk vil føre til at vi går over til et nytt datasenter.
All maskinvare som brukes til å drive vår tjeneste, eies av oss og er låst i isolerte stativskap. Alle VPN-servere kjører uten harddisker - i stedet ligger hele operativsystemet bare i RAM-minnet. Det er heller ikke mulig å manipulere serverne via konsoll, tastatur eller USB, noe som gjør det umulig å utføre kaldstartangrep for å lese eller manipulere data eller endre noe i selve serveren.
Når serverne våre starter opp, henter de riktig diskbilde av iPXE fra våre krypterte oppstartsservere. Så snart diskbildet er lastet ned, utføres en bekreftelse av kjernen og den tredje signaturen for å sikre at ingenting har blitt tuklet med.
Operativsystemet lastes inn i RAM-minnet, og hvis bekreftelsen godkjennes kan serveren starte. Hvis bekreftelsen mislykkes, vil serveren starte på nytt og prøve denne prosessen på nytt til bekreftelsessignaturen er gyldig og det er trygt å starte opp.
Hva kan jeg gjøre?
Hvis du er bekymret for at en av serverne våre kan tukles med eller ønsker å gjøre ekstra tiltak for å ivareta personvernet ditt, tilbyr vi Multihop-tillegg som er inkludert gratis med halvårlige og årlige abonnement. Denne funksjonen tunneler trafikken din gjennom to servere i forskjellige jurisdiksjoner og forbedrer dermed din integritet ved å gjøre deg mye vanskeligere å spore.
Dagens dato
Siden lureri er vanlig 1. april (ofte referert til som aprilsnarr), skulle gjerne ønakset at dette er en dårlig spøk. Akk, det er det ikke.