En farlig trend sprer seg over hele verden. Det begynte med Investigatory Powers Bill (aka Snooper's Charter) i Storbritannia. Så kom endringene til regel 41 i USA. Og nå har Kina startet en ny kampanje for å blokkere alle VPN-tjenester, og gjøre alle VPN-tjenester som ikke er forhåndsgodkjent av regjeringen ulovlige.
Med valget av Donald Trump som USAs 45. president - en president som ved utallige anledninger har uttrykt forakt for media og erklært nettnøytralitet som en trussel - er det viktigere enn noen gang å være fast i vår tro på et fritt internett.
Et vanlig tema i dagens debattklima er en opplevd trussel - født av frykt. En frykt for terrorisme, en frykt for forbrytelser, en frykt for ytringsfrihet. Internett er fritt for å brukes av alle og enhver, det er ikke i seg selv ondt. Å gi byråer rett til masseovervåkning av enheter som er koblet til internett i en region er ikke annerledes enn å åpne alle de personlige brevene som er sendt til og fra personer i en bestemt region. Å begrense tilgangen til internett eller å tvinge kommunikasjonsleverandører til å føre logger er en ulempe for vår integritet og vårt personvern. Tilhengere av disse lovene forkynner ofte at hvis du ikke har noe å skjule, har du ingenting å frykte - en logisk feilslutning som dessverre hadde en tydelig innflytelse på de foreslåtte endringene til regel 41.
"Overvåking uten mistanke blir ikke greit bare fordi den kun forbryter seg mot 95% av verden i stedet for 100%." - Edward Snowden, tidligere ansatt i CIA
Med det økte tilsynet er det viktig at både vi - og du - holder oss oppdatert om samtidens verdenshendelser når det gjelder cybersikkerhet, integritet og personvern. Derfor starter menneskene bak OVPN et nytt prosjekt, der vi aktivt vil publisere blogginnlegg der vi analyserer og diskuterer disse spørsmålene. Vi vil gjerne starte dette nye prosjektet (og det nye året) ved raskt å gå gjennom noen nyere hendelser av stor betydning.
Snooper's Charter
The Investigatory Powers Bill (ofte referert til som Snooper's Charter) ble innlemmet i lovverket i november, og fikk kongelig samtykke i desember. Loven sier at alle leverandører av kommunikasjonstjenester (CSP) må føre logger i minst et år, og må kunne - hvis det blir etterspurt - tilby offentlige etater krypteringsnøkler for lagrede data.
Årsaken til at de bruker begrepet CSP i stedet for mer populære kjente termer som Internett-leverandører, er åpenbar; de ønsker å mynte et nytt begrep for å omfatte tidligere, nåværende og fremtidige metoder for telekommunikasjon. En avklaring på hva kommunikasjon i leverandør av kommunikasjonstjenester innebærer i henhold til utkastet:
Signaler som tjener enten til formidling av noe mellom personer, mellom en person og en ting eller mellom ting eller for aktivering eller kontroll av ethvert apparat
Den brede definisjonen av en CSP betyr at den i utgangspunktet kan omfatte ethvert selskap som sender trafikk over Internett i Storbritannia. I henhold til vår interne analyse og diskusjoner med en advokat, vil VPN-leverandører sannsynligvis falle under denne loven. Vi er derfor usikre på om eller når vi vil plassere noen servere i Storbritannia, da vi ikke ønsker å risikere kundenes sikkerhet og integritet bare for å ha et bredere marked.
Videre, i tillegg til å føre logger og gi tilgang til krypteringsnøkler, gir Investigatory Powers Bill utenlandske og innenlandske CSP-er en eksplisitt forpliktelse om å hjelpe til med å gi anvende på utstyrsforstyrrelsesenheter. Dette inkluderer - men er ikke begrenset til - bulk hacking og målrettet hacking.
"Storbritannia kan ha stemt for å forlate EU - men vi stemte ikke for å gi slipp på våre rettigheter og frihet." - Martha Spurrier, direktør for organisasjonen Liberty.
Heldigvis møtte lovforslaget motstand fra noen britiske ministre. De brakte saken for EU-domstolen, som dømte deler av lovforslaget som ulovlig. Imidlertid kan EU-domstolens kjennelse gjøres ugyldig i lys av at Storbritannia forlater EU. Faktisk uttalte Theresa May nylig at de planlegger å innføre artikkel 50 senest i mars, noe som betyr at Storbritannia kan forlate Den europeiske union senest april 2019. Hvis det er tilfelle, kan det hende at de ikke trenger å følge kjennelsen fra EU-domstolen.
Endring av regel 41
Endringene til regel 41 har for det meste blitt feid under teppet, og har for mange forblitt ubemerket. Disse endringene utgjør imidlertid en veldig reell fare for online integritet og personvern. Endringene til regel 41 er dårlig definert, og kan tolkes til å omfatte nesten hva som helst eller hvem som helst.
(Når du protesterer mot de foreslåtte endringene) “Du straffer ikke ofre to ganger i Amerika. Du vil ikke straffe ofrene for en skattesvindel eller en Ponzi-svindel med et smertefullt tilsyn. ” - Ron Wyden, USAs senator
En sorenskriverdommer med myndighet i ethvert distrikt der aktiviteter relatert til en forbrytelse kan ha skjedd, har myndighet til å utstede en garanti for å bruke ekstern tilgang til å søke i elektroniske lagringsmedier og til å gripe eller kopiere elektronisk lagret informasjon lokalisert i eller utenfor det distriktet hvis:
-
(A) distriktet der mediene eller informasjonen er lokalisert, er skjult på teknologiske måter; eller
-
(B) i en etterforskning av et brudd på 18 USC § 1030 (a) (5), er mediene
beskyttede datamaskiner som har blitt skadet uten autorisasjon og er lokalisert i fem eller flere distrikter.
Hva betyr egentlig dette? Det betyr to ting.
-
Alle som bruker teknologiske hjelpemidler for å skjule medier eller informasjon kan etterforskes. Dette vil hovedsakelig omfatte TOR-bruker, VPN-brukere, proxy-brukere, brukere med krypterte e-poster og brukere med krypterte harddisker. Electric Frontier Foundation hevder imidlertid at det også kan gå så langt som å inkludere folk som har slått av lokasjonstjenester i telefonene, appene eller nettleserne deres, og til og med personer som har endret landinnstillinger på Twitter.
-
Alle som har hatt enhetene sine som en del av et botnett som et resultat av dataprogramvare, kan nå lovlig bli hacket av myndighetsagenter som en del av etterforskningen deres. Man kan også hevde at det gir FBI rett til å hacke alle som har blitt infisert av skadelig malware uansett. Det vil til og med gi dem rett til å infisere måldatamaskiner med malware med vilje for senere å hacke nevnte datamaskiner - noe FBI allerede har gjort ved flere anledninger, inkludert i 2015 med Operation Pacifier.
Med andre ord, hvis du har nektet en app å bruke posisjonen din, angitt feil land når du registrerte deg til en tjeneste, eller brukt en proxy- eller VPN-tjeneste for å ha tilgang til blokkerte tjenester, kan byråer i USA lovlig overvåke og hacke enhetene dine - selv om du ikke er amerikansk statsborger.
Som det berømte ordtaket sier er veien til helvete brolagt med gode intensjoner.
Den store brannmuren
Mens mange regjeringer anser Internett for å være en forstyrrende innflytelse, er det få land som går så langt som til Kina for å begrense hva innbyggerne kan oppleve på nettet. I løpet av de siste årene har både utlendinger og kinesiske statsborgere spilt et katt-og-mus-spill med den kinesiske regjeringen for å få tilgang til tjenester som Facebook, Google og Twitter.
“Jeg er opprørt av hvordan stater misbruker lover om internett-tilgang. Jeg er bekymret for at overvåkningsprogrammer blir for aggressive. Jeg forstår at nasjonal sikkerhet og kriminell virksomhet kan rettferdiggjøre en eksepsjonell og smalt tilpasset bruk av overvåkning. Men det er desto mer grunn til å ivareta menneskerettigheter og grunnleggende friheter. ” - Ban Ki-moon, tidligere FNs generalsekretær.
Nå har den kinesiske regjeringen gitt ut et varsel der de sier at enkelte kabel- og VPN-tjenester på fastlandet må ha forhåndsgodkjenning fra myndighetene - noe som i praksis forbød de fleste VPN-leverandører i fastlands-Kina. Av åpenbare grunner bør man ikke bruke en VPN-tjeneste den kinesiske regjeringen godkjenner.
Dette er bekymringsfullt, da det betyr at den kinesiske regjeringen bruker sin innflytelse for å stille og isolere befolkningen fra resten av verden for å fremme sin egen agenda. Ytterligere bevis på dette kan bli funnet i Kinas beslutning om å legge ned to liberale tenketanker - blant dem Unirule Institute of Economics - som har vært kritiske til den kinesiske regjeringens økonomiske politikk.
Nøyaktig hvorfor den kinesiske regjeringen valgte å handle nå, er uklart. En sannsynlig forklaring kan imidlertid være den 19. nasjonalkongressen til det kommunistiske partiet i Kina som vil bli avholdt høsten 2017. I begge tilfeller er den politiske sammenbruddet av VPN-tjenester og partier som er kritiske overfor den kinesiske regjeringen en bekymringsfull trend som ikke kan få lov til å fortsette.
Konklusjon
Det skjer mye i verden. Det er viktigere enn noen gang å beskytte våre menneskerettigheter som privatliv, integritet og ytringsfrihet. Vi kan ikke tillate land eller selskaper å misbruke våre rettigheter for å videreføre sin egen agenda, og vi kan ikke tillate selskaper å tie mens kundenes rettigheter blir tatt bort. Heldigvis er det flere og flere som innser viktigheten av online personvern og integritet - noe som er veldig heldig for personvernaktivister, personvernsamfunnet og mennesker som lever under undertrykkende styresmakter.
Nylig ble OpenVPN 2.4.0 utgitt, og med den en kommende revisjon av OpenVPN. Vi ble kontaktet av OSTIF når det gjelder å donere penger til tilsynet, og selv om vi føler at en revisjon er en utmerket ide, og ville ha elsket å delta, kunne vi dessverre ikke hjelpe dem økonomisk på grunn av vår status som ung oppstart. Vi lover å gi til OpenVPN-prosjektet i fremtiden, da vi mener det er en sentral del av online personvern.