NEWS: Isoveli valvoo ilman foliohattua

[Pasi Fist]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

[Sasse netä]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

[Hauva Roukio]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

Täähän se ois. Kun esim. Mullvad tekee asiat niin ettei F-securen kaltaisia logeja tallenneta ollenkaan ja he ilmaisevat sen harvinaisen selkeästi sivuillaan: http://mullvad.net/en/help/no-logging-data-policy/

Heidän OpenVPN serverin logi configkin on esillä:

Code: Select all

verb 0
log-append /dev/null

Ei jätä paljon arvailujen varaan

[Jesse Python]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

Muistan kun jokunen vuosi sitten alkoi nää torrenttien jakajien uhkailut, ja F-securen edustajaa haastateltiin että voidaanko luottaa siihen, ettei VPN-tietoja luovuteta ulkopuolisille, edustaja ei suoraan vastannut tuohon myöntävästi.

[Hauva Roukio]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

Muistan kun jokunen vuosi sitten alkoi nää torrenttien jakajien uhkailut, ja F-securen edustajaa haastateltiin että voidaanko luottaa siihen, ettei VPN-tietoja luovuteta ulkopuolisille, edustaja ei suoraan vastannut tuohon myöntävästi.

Joo, tätä tivasin itsekkin kun muutama vuosi sitten pääsin heidän Snowden leffan yksityisnäytökseen. Vastaus taisi olla ristiriitaisuudessan että "ei me mitään säilytetä, mutta jos poliisi tulee vaatimaan niin luovutetaan"

Noh, tällä kertaa Suomen laki pelasti tältä perseilyltä mikä olisi vältettävissä jos niin haluttaisiin. /dev/null logitkin voi lähettää mutta niistä ei mitään saa irti

[chemical varför]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

Muistan kun jokunen vuosi sitten alkoi nää torrenttien jakajien uhkailut, ja F-securen edustajaa haastateltiin että voidaanko luottaa siihen, ettei VPN-tietoja luovuteta ulkopuolisille, edustaja ei suoraan vastannut tuohon myöntävästi.

Joo, tätä tivasin itsekkin kun muutama vuosi sitten pääsin heidän Snowden leffan yksityisnäytökseen. Vastaus taisi olla ristiriitaisuudessan että "ei me mitään säilytetä, mutta jos poliisi tulee vaatimaan niin luovutetaan"

Noh, tällä kertaa Suomen laki pelasti tältä perseilyltä mikä olisi vältettävissä jos niin haluttaisiin. /dev/null logitkin voi lähettää mutta niistä ei mitään saa irti

/dev/randomistahan ne voi kätevästi lukea!

[Sasse netä]

Ei se kauhean positiivista lottovoittoa ole, että sika/filthit kävivät laittomasti raidaamassa maan johtavan tietoturvayhtiön palvelun meininkejä sen takia. Ihan positiivisiä nuo oikeuden päätökset asiassa silti.

Ei myöskään kauhean positiivista lottovoittoa että tietoturvafirma pitää vpn logeja 90 päivää että tota.

Muistan kun jokunen vuosi sitten alkoi nää torrenttien jakajien uhkailut, ja F-securen edustajaa haastateltiin että voidaanko luottaa siihen, ettei VPN-tietoja luovuteta ulkopuolisille, edustaja ei suoraan vastannut tuohon myöntävästi.

Joo, tätä tivasin itsekkin kun muutama vuosi sitten pääsin heidän Snowden leffan yksityisnäytökseen. Vastaus taisi olla ristiriitaisuudessan että "ei me mitään säilytetä, mutta jos poliisi tulee vaatimaan niin luovutetaan"

Noh, tällä kertaa Suomen laki pelasti tältä perseilyltä mikä olisi vältettävissä jos niin haluttaisiin. /dev/null logitkin voi lähettää mutta niistä ei mitään saa irti

/dev/randomistahan ne voi kätevästi lukea!

Tuotahan voi laittaa tulemaan terminaalinäytölle ja sit voi ruutupaperille ottaa muistiinpanoja jos ne tiedot on tärkeitä

[Pasi Fist]

https://www.hs.fi/ulkomaat/art-2000007611192.html

EU haluaa keinon viestisovellusten salauksen purkamiseen terrorismin­torjunnan vuoksi

Asiaa on tarkoitus käsitellä sisäministerien kokouksessa perjantaina. Whatsappin johtaja vastusti ajatusta jo maanantaina.

Euroopan unioni kaavailee toimia tietoliikenteen vahvan salauksen heikentämiseksi. EU:n terrorisminvastaisia toimia päivittävä toimintasuunnitelma sisältää ehdotuksen, jossa teknologiayhtiöiden pitäisi löytää tapa avustaa viranomaisia, että he pääsisivät käsiksi salattuun viestintään.

Itävallan yleisradioyhtiö ORF julkaisi päätösluonnosesityksen viikonloppuna. Esityksen on laatinut puheenjohtajamaa Saksa. HS:n tietojen mukaan EU:n sisäministerien on tarkoitus ottaa asiaan kantaa kokouksessaan tulevana perjantaina.

Perjantaina tulee kuluneeksi viisi vuotta Pariisin tuhoisasta terrori-iskusta, jossa kuoli yli 130 ihmistä. Marraskuun alussa Itävallan Wienissä tapahtuneessa terrori-iskussa kuoli neljä ihmistä ja iskun tekijä.

Wienin isku on luonut uutta painetta terrorisminvastaisten toimien kiristämiseen ja myös viestisovellusten salauksen purkamiseen.

Salaus kokonaisuutena on monimuotoisempi asia kuin viestisovellukset: myös erillisiä salaustyökaluja ja pilvipalveluiden salausratkaisuja olisi avattava. Käytännössä usein on keskusteltu kuitenkin juuri viestisovelluksista, sillä esimerkiksi Pariisin terrori-iskun tekijät pitivät toisiinsa yhteyttä viestisovellus Telegramilla.

Vahvan, päästä päähän -salauksen edelläkävijä on viestisovellus Signal. Sen salausprotokolla todettiin niin edistykselliseksi, että otti käyttöön vuonna 2016 myös Facebookin omistama Whatsapp. Käytännössä protokolla salaa viestiliikenteen lähettäjän laitteessa ennen kuin se lähtee liikkeelle lähettäjältä, jolloin viesti kulkee salattuna vastaanottajalle asti. Salausavain viestin purkamiseksi on vain vastaanottajalla.

Toistaiseksi ei ole ainakaan julkisesti tiedossa, että Signalin ja Whatsappin käyttämää salausta olisi pystytty murtamaan.

Erilaisia päästä päähän -salauksen muunnelmia käyttävät jo käytännössä lähes kaikki, mutta niiden salauksen tehokkuus vaihtelee käytettävästä salausalgoritmista ja toteutuksesta riippuen.

EU tukee vahvan salauksen käyttämistä ja pitää sitä perusoikeutena, kerrotaan Itävallan yleisradiom ORF:n julkaisemassa esityksessä.

Samalla kuitenkin halutaan etsiä yhteistyössä kehittäjien ja palveluntarjoajien kanssa ”ratkaisuja, joilla voitaisiin varmistaa, että toimivaltaisten viranomaisten pääsy dataan onnistuu laillisella ja kohdennetulla tavalla”.

Itävallan ORF kertoo omiin lähteisiinsä nojaten, että esillä on ollut kahdeksan eri teknistä mallia, joiden avulla salatun viestinnän purkaminen voitaisiin toteuttaa. Valituksi olisi ORF:n mukaan tullut Britannian signaalitiedustelun alayksikön kehittämä malli, jossa salattu viestiliikenne haetaan liikennettä välittävältä palvelimelta. HS ei ole voinut varmistaa asiaa toisesta lähteestä.

Asian odotettiin nousevan esiin myös EU-puheenjohtajamaa Saksan liittokansleri Angela Merkelin, Itävallan liittokansleri Sebastian Kurtzin, Ranskan presidentti Emmanuel Macronin, Euroopan komission puheenjohtajan Ursula Von Der Leyenin sekä Euroopan neuvoston puheenjohtajan Charles Michelin keskustelussa tiistaina.

Terrorismintorjunta­pakettiin sisältyy myös muita toimia esimerkiksi radikalisoitumisen ehkäisemiseksi.

Vahvaan salaukseen puuttumista on tarkoitus jatkokäsitellä Euroopan neuvoston työryhmässä EU:n sisäisen turvallisuuden komiteassa marraskuun 19. päivänä. Se on tarkoitus esitellä EU-maiden pysyvien edustajien neuvostolle 25. marraskuuta.

Kansalaisoikeuksien toteutumista tarkkailevan Statewatch-järjestön julkaisemassa syyskuulle päivätyssä muistiossa asia on kuvailtu suoremmin sanankääntein kuin marraskuun päätösluonnoksessa.

Muistiossa viitataan EU:n terrorismin vastaisten toimien koordinaattorin Gilles de Kerchoven toimiston toukokuussa julkaisemaan selvitykseen. Viesti on pääpiirteittäin sama: tarvitaan EU:n laajuista yhteistyötä yhtiöiden ja viranomaisten välillä, jotta viranomaisten tiedonsaanti turvataan.

”Suuri osa nykyisistä salauksen ohittamisratkaisuista (jotka eivät kaikissa tapauksissa toimi), ovat resursseja vieviä, usein äärimmäisen hintavia ja niitä voidaan käyttää eräisiin arvokkaisiin kohteisiin”, toukokuisessa selvityksessä kerrotaan.

Selvityksessä viitataan siihen, että jotkut valtiot ovat kertoneet puutteellisesta kapasiteetista rikostutkinnassaan sekä siihen, että investoinnit salauksien ohittamiseen kasvavat siinä missä saavutetut tulokset heikkenevät.

Siksi teknologia-ala halutaan nyt maanitella yhteistyöhön.

Tuttujen kaupallisten palveluntarjoajien lisäksi myös rikolliset kehittävät omia salaus- ja viestintäratkaisujaan. Hämäräperäiset palveluntarjoajat eivät kuitenkaan ole EU:n sääntelytoimien ytimessä, sillä ne keräävät voittonsa monesti aivan tietoisesti alamaailman parista.

Niinpä EU:n paine kohdistuu nyt juuri lainmukaisesti toimiviin palveluntarjoajiin.

Whatsappilla on kansainvälisesti yli kaksi miljardia käyttäjää ja Signalilla Time-lehden mukaan ”joitakin kymmeniä miljoonia”. Esimerkiksi Telegramilla on Forbesin mukaan noin 400 miljoonaa käyttäjää.

Telegram on erityisesti venäjänkielisen maailman suosiossa, mutta Signalia käyttävät niin poliitikot, toimittajat, virkamiehet ja -naiset kuin tietoturva-alan ammattilaiset sekä ihmisoikeus- ja yksityisyysaktivistit. Esimerkiksi huomattavan laajan verkkotiedustelun vuonna 2013 paljastanut Edward Snowden on antanut kasvonsa Signalin tueksi.

Tiedusteluyhteisön nauttima luottamus kärsi pahan kolauksen, kun Snowdenin vuotamista dokumenteista kävi ilmi niiden verkossa tekemän tiedonkeruun laajuus, kattavuus ja tehokkuus.

Snowdenin entinen työnantaja NSA liittyy myös nyt käytävään keskusteluun, jossa luodaan painetta päästää viranomaiset osaksi viestintää.

Yhdysvaltojen, Britannian, Australian, Uuden-Seelannin ja Kanadan muodostama tiedusteluyhteisö Five Eyes on jo useasti toivonut teknologia-alalta yhteistyötä salauksen purkamiseen turvallisuuden nimissä. Viimeksi lokakuussa Five Eyesin vetoomukseen liittyivät Intia ja Japani.

”Salaus on keskeinen luottamuksen ankkuri digitaalisessa maailmassa. Me emme kannata haitallisia lähestymistapoja, jotka heikentäisivät tai rajoittaisivat turvallisuutta”, maat vakuuttivat australialaisen IT Newsin mukaan.

HS ei tavoittanut sisäministeri Maria Ohisaloa (vihr) kommentoimaan asiaa tiistaina.

Facebookin EU-edustusto ei ollut valmis kommentoimaan asiaa, mutta viittasi Whatsappin johtajan Will Catchcartin viestiin Twitterissä.

”Vahva salaus pitää ihmiset turvassa suojaamalla heidän luottamuksellista, yksityistä viestintäänsä. Aikana, jolloin pandemia on pakottanut meidän kommunikoimaan digitaalisesti, hallitusten pitäisi ottaa askelia vahvan salauksen vahvistamiseksi eikä heikentää sitä”, Catchcart kirjoitti.

[38911 BASIC BYTES FREE]

Helvetin vittu noitakin nyt taas. PGP on keksitty jo 90-luvulla, ja kyllä se viestisisällön end-to-end -kryptaukseen edelleen on erittäin toimiva (jos käytetään jotain ei-rikkinäiseksi tunnettua vahvaa cipheriä ja julkisten avainten oikeellisuudesta osataan jotenkin varmistua, ja jos viestisisältö on plaintextia).

Jos EU pakottaa jotku tommoset Signalit ja Whatsappit rikkomaan salauksensa, niin sit pitää vaan käyttää jotain mikä tiedetään toimivaksi.

[Balam-Acab]

isot keyloggerit ja kotiin soittajat vaan joka laitteeseen

[Sasse netä]

Jos EU pakottaa jotku tommoset Signalit ja Whatsappit rikkomaan salauksensa, niin sit pitää vaan käyttää jotain mikä tiedetään toimivaksi.

Täähän meinaa vaan tosiaan sitä, että vaihtavat viestintäkanavaa ja däts it.

[Hauva Roukio]

Vähän raflaavasti otsikoitu kun itse jutussakin todetaan että:

EU tukee vahvan salauksen käyttämistä ja pitää sitä perusoikeutena, kerrotaan Itävallan yleisradiom ORF:n julkaisemassa esityksessä.

Tässä avattu tuota EU:n kantaa ja katsottu siitä levitettyjä väittämiä vs. mitä todellisuudessa on puhuttu: https://techcrunch.com/2020/11/09/whats ... backdoors/

What’s all this about Europe wanting crypto backdoors?
Natasha Lomas@riptari / 2:44 PM GMT+2•November 9, 2020
phone encryption

Image Credits: Bryce Durbin / TechCrunch

A press report emerged over the weekend claiming European lawmakers who are worried about terrorism are speeding towards a ban on end-to-end encryption. Spoiler: It’s a little more nuanced than that. Read on for our break down of what’s actually going on…

Is Europe about to ban E2E Encryption?

No.

A report in the Austrian press yesterday appeared to suggest a ban incoming on end-to-end encryption which the headline linked to a recent terror attack in the country. In fact there have been discussions ongoing between Member States on the topic of encryption — and whether/how to regulate it — for several years now.

The report is based on a draft resolution of the Council of the European Union (CoEU), dated November 6. Per the draft document a final text, which could incorporate further amendments, is due to be presented to the Council on November 19 for adoption.

The CoEU decision-making body is comprised of representatives of Member States’ governments. It’s responsible for setting the political direction for the bloc however it’s the European Commission which is responsible for drafting legislation. So this is not in any way ‘draft EU legislation’.

One Commission insider we spoke to who’s involved in cyber security strategy couched the resolution as a “political gesture” — and most likely an empty one.

What does the CoEU draft resolution actually say?

It starts by asserting the EU’s full support for “the development, implementation and use of strong encryption” — which would be a very odd position to hold if you also intended to ban E2EE.

Then it discusses “challenges” to public security that flow from criminals having easy access to the same technologies that are used to protect vital civic infrastructure — suggesting criminals can use E2EE to make “lawful” access to their communications “extremely challenging” or “practically impossible”.

This is of course a very familiar discussion in security circles — regularly fuelled by the ‘Five Eyes’ nations’ push for greater surveillance powers — and one which recurs repeatedly in relation to the technology industry owing to developments in communications tech. But note the CoEU does not say access to encrypted data is actually impossible.

Instead the resolution moves on to call for discussion of how to ensure the powers of competent security and criminal justice authorities can be preserved — while ensuring full respect for due legal process and EU rights and freedoms such as (notably the right to respect for private life and communications; and the right to the protection of personal data).

The document suggests a “better” balance should be created between these competing interests. “The principle of security through encryption and security despite encryption must be upheld in its entirety,” is how it’s phrased.

The specific call is for “governments, industry, research and academia… to work together to strategically create this balance”.

Does the draft resolution call for encryption to be backdoored?

No.

Indeed, the Council of Ministers specifically writes [emphasis ours]: “Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity. Technical solutions for gaining access to encrypted data must comply with the principles of legality, transparency, necessity and proportionality.”

So the push here — beyond the overarching political push to be seen to be doing something ‘pro-security’ — is for ways to improve targeted access to data but also that such targeting respect key EU principles that link to fundamental rights (like privacy of communications).

That doesn’t sum to an E2EE ban or backdoor.

But what does the resolution say about the legal framework?

The Council of Ministers want the Commission to carry out a review of relevant existing regulations with relevance to ensure it’s all pulling in the same direction and therefore contributing to law enforcement being able to operate as efficiently as possible.

There is a mention of “potential technical solutions” at this point — but again the emphasis is on any such law enforcement aids supporting the use of their investigatory powers within domestic frameworks that comply with EU law — and a further emphasis on “upholding fundamental rights and preserving the advantages of encryption”. Security of information is a vital advantage of encryption previously discussed in the document so it’s essentially calling for preserving security without literally spelling that out.

This portion of the draft document has several strike-throughs so looks most likely to be subject to wording changes. But for a signal of the direction of travel one bit of rewording emphasises the need for transparency should there be joint working with comms services providers on developing any “solutions”. (And a backdoor that everyone is told about obviously wouldn’t be a backdoor.)

Another suggestion in the draft calls for upskilling relevant authorities to boost their technical and operational expertise — aka more cyber training for police.

In a final section, joint working to improve relevant co-ordination and expertise across the EU is again highlighted by the CoEU as key to bolstering authorities’ investigative capabilities.

There is also talk of developing “innovative approaches in view of new technologies” — but the conclusion makes a point of stating clearly: “there should be no single prescribed technical solution to provide access to encrypted data”. Aka no golden key/universal backdoor.

So there’s nothing to be worried about then?

Well, the Commission may feel some pressure over the issue as it works on its new cyber strategy so it could get some political push on specific policy ideas — although we’re unlikely to see anything much on this front before next year. The CoEU isn’t setting out any policy ideas yet. At most it’s asking for help formulating some.

TechCrunch spoke to Dr Lukasz Olejnik, an independent cybersecurity researcher and consultant based in Europe, to get his thoughts on the draft resolution. He agreed there’s no broadside against E2EE in the draft, nor any near-term prospect of legislation flowing from it. Indeed, he suggested the CoEU appears not to know what to do — hence looking to outside experts in academic and industry for help.

“First, there is no talk of backdoors. The message sets things clearly with respect to encryption being important for cybersecurity and privacy,” he told us. “As for the topic of this document, it is a long-term process in the exploratory phase now. Problems and ideas are identified. Nothing will happen immediately.

“It’s not getting even near to banning E2EE. It appears they do not know what to do exactly. So among the ideas is to perhaps set up a ‘high level expert group’ — the document speaks about engaging ‘academia’. This process is sometimes initiated by the Commission to identify ‘recommendations’ which may or may not be used in the policy process. It would then revolve around who would get to be admitted to such a group, and this varies a lot.

“For example the AI group was seen as quite reasonable, while the other dedicated one on disinformation was in fact geared towards the EU media figures rather than researchers or concrete expertise. We do not know where all this will lead.”

Olejnik expressed doubt that the Council could drive legislation on its own in this case, given the complexity involved. “It’s too premature to speak of any legislation,” he said. “Legislative process in the EU can be quite complex to understand but the EU Council would be unable to pull such a complex thing on their own.”

But he did highlight the CoEU’s coining of the phrase ‘security despite encryption’ as a noteworthy development — suggesting it’s unclear where this novel framing might lead in policy terms. So, as ever, the security debate around encryption demands a close eye.

“What I find of particular importance is coining the term ‘security despite encryption’. It is both unfortunate and ingenious. But the problem with this technology policy term is that it may consciously blend policy understanding of (physical?) security with technology security, as guaranteed today by encryption. This puts the two in direct opposition,” he said, adding: “Where the fallout would lead is anyone’s guess. I believe this process is far from over.”

But couldn’t there be a push to introduce some kind of ‘lawful intercept mechanism’ across the EU?

There would be huge challenges to such a step given all the EU legal principles and rights that any mechanism would need to respect.

The CoEU’s draft resolution reiterates this multiple times — highlighting the need for security activity to respect fundamental rights like privacy of communications and principles of legality, transparency, necessity and proportionality, for example.

Domestic surveillance laws in several EU Member States have also recently been found falling short in this regard by Europe’s highest court — so there would be a clear path to challenging any security overreach in the courts.

That means that even if some kind of intercept mechanism could be pushed through an EU legislative process, via enough political will to drive it, there’s no doubt it would face fierce legal challenge and the prospect of being unpicked by the courts.

Asked for a view on the notion put forward in the draft resolution — of seeking a “better” balance between security and privacy — and whether it might be a push towards something like the ‘ghost protocol’ advocated by GCHQ in recent years as an “exceptional access mechanism” (but which critics argue would both undermine user trust and introduce a blanket security risk that’s all but equivalent to a backdoor) — Olejnik told us: “Undermining encryption is a tricky territory because modern technology goes in a direction of more security, not less. In modern security ecosystems it would be hard to imagine a lawful intercept functionality known from the telecommunication infrastructure. For private business it’s also a question of trust. Can the individual users freely move their social interactions online even further? It’s a question measured in billions of dollars.”

What does the Commission say?

The Commission declined to comment on the CoEU draft resolution — but a spokesperson sent us some general comments on encryption, describing the technology as “an important tool to enhance cyber security and for the protection of fundamental rights, such as privacy, including the confidentiality of communications, and personal data”.

The executive body also noted the concern being raised by the Council, writing: “At the same time, it can also be used by perpetrators seeking a secure channel to hide their actions from law enforcement and the judiciary, making it difficult to investigate, detect and prosecute criminal offences.”

“Member States have on a number of occasions, in different forums in the Council, discussed the challenges linked to the use of encryption for criminal purposes. They have called for solutions that allow law enforcement and other competent authorities to gain lawful access to digital evidence, without prohibiting or weakening encryption directly or indirectly, and in full respect of privacy and fair trial guarantees consistent with applicable law,” it also said.

The executive body added that following its Security Union Strategy, presented in July — which talks about working to “further strengthen cooperation and information exchange, with all the necessary safeguards” as a strategy for fighting crime in the digital age — it will “explore and support balanced technical, operational and legal solutions, and promote an approach which both maintains the effectiveness of encryption in protecting privacy and security of communications, while providing an effective response to serious crime and terrorism”.

This report was updated with comment from the Commission once we’d received it

Linkin takana vielä dokumentaatiota ja Twitterupotuksia jota en rupea pistämään tohon mukaan

[Sasse netä]

Toihan on ihan fiksu homma kyllä eikä harmittava harha-askel EU:n yleisesti suht järkevästä linjasta digidigiin. taustojen kaivelusta tänne.

[Pasi Fist]

https://www.theguardian.com/technology/ ... racking-id

Apple faces privacy case in Europe over iPhone tracking ID

Tool that lets advertisers track users created without consent, says activist Max Schrems

The consumer rights activist Max Schrems has filed a formal privacy case against Apple, arguing that an ID generated by iPhones that lets advertisers track users violates privacy regulations.

Schrems, whose lawsuit against Facebook led to a landmark ruling restricting data transfers from the EU to the US, has made the case through his privacy rights non-profit Noyb, which has filed formal complaints in Spain and Berlin against Apple.

At the core of the complaint is Apple’s generation of the IDFA (Identifier for Advertisers) on each iPhone. Advertisers can then use the IDFA to track users across various apps, and better target them for personalised advertising.

The idea behind the tool is to improve user privacy by stopping advertisers using other identifiers to track users, and allowing users to reset the IDFA at will.

But, Noyb argues, simply generating it could breach EU privacy law, since it is created without the user’s “knowledge or consent”. And while users are given control over whether they reset the identifier, and allowed to prevent individual apps from accessing it, they cannot, Noyb says, prevent it from being generated in the first place.

“EU law protects our devices from external tracking,” said Stefano Rossetti, a privacy lawyer at Noyb. “Tracking is only allowed if users explicitly consent to it. This very simple rule applies regardless of the tracking technology used. While Apple introduced functions in its browser to block cookies, it places similar codes in its phones, without any consent by the user. This is a clear breach of EU privacy laws.

“With our complaints we want to enforce a simple principle: trackers are illegal, unless a user freely consents. The IDFA should not only be restricted, but permanently deleted. Smartphones are the most intimate device for most people, and they must be tracker-free by default.”

In a statement, Apple strongly denied Noyb’s complaints had merit. “The claims made against Apple in this complaint are factually inaccurate and we look forward to making that clear to privacy regulators should they examine the complaint. Apple does not access or use the IDFA on a user’s device for any purpose.

“Our aim is always to protect the privacy of our users and our latest software release, iOS 14, is giving users even greater control over whether or not they want to allow apps to track them by linking their information with data from third parties for the purpose of advertising, or sharing their information with data brokers. Our practices comply with European law and support and advance the aims of the GDPR and the ePrivacy directive, which is to give people full control over their data.”

Although much of the EU’s privacy law is regulated by GDPR (general data protection regulation), which would place the power to act in the hands of the Irish data protection authority based on the location of the company’s EU HQ, Noyb’s complaint is based on the older e-privacy directive. That means that Germany or Spain could decide to directly fine Apple if they agree with the criticism.

Despite the privacy complaint, Apple has more frequently faced criticism over its IDFA feature from the other side of the divide: advertisers panicked when early beta versions of iOS 14, the latest operating system for iPhones, required an active warning before developers could read the IDFA – and offered users the ability to not share it. That feature was pulled at the last minute, and will now not be live until 2021.

[Pasi Fist]

https://www.theguardian.com/world/2020/ ... el-islands

Israeli spy firm suspected of accessing global telecoms via Channel Islands

Rayzone appears to have used intermediary in 2018 to lease route into networks from Sure Guernsey

The Israeli private intelligence company Rayzone Group appears to have had access to the global telecommunications network via a mobile operator in the Channel Islands in the first half of 2018, potentially enabling its clients at that time to track the locations of mobile phones across the world.

Invoices seen by the Guardian and the Bureau of Investigative Journalism suggest Rayzone, a corporate spy agency that provides its government clients with “geolocation tools”, used an intermediary in 2018 to lease an access point into the telecoms network via Sure Guernsey, a mobile operator in the Channel Islands.

Such access points, known in the telecoms industry as “global titles”, provide a route into a decades-old global messaging system known as SS7, which allows mobile operators to connect users around the world. It is not uncommon for mobile companies to lease out such access.

However, doing so potentially allows third parties to exploit signalling messages – commands that are sent through a telecoms operator across the global network, unbeknownst to a mobile phone user. Used legitimately, such commands allow operators and others with access to the network to locate mobile phones, connect mobile phone users to one another, and assess roaming charges.

But entities with access to mobile phone networks are also known to use signalling messages for questionable purposes, such as monitoring locations for the purpose of surveillance or even intercepting communications.

Rayzone describes itself as providing “boutique intelligence-based solutions” for fighting terrorism and crime for national law enforcement agencies. It says its geolocation tools are for use by governmental authorities only.

The company did not respond to questions about whether it had directly or indirectly leased a Sure Guernsey title in the first half of 2018, saying the query “entails regulatory and trade secret issues and a risk to our customers’ ongoing operations against terror and severe crime”.

Rayzone added it acted in accordance with all laws and regulations, including export control regulations under the Israeli defence ministry. It also said its geolocation tools were “operated solely by the customers (the end users) and not by us”.

It is not clear whether mobile operators such as Sure Guernsey have access to information about how parties are using the global titles they lease out, particularly if those titles are sub-leased to a third party. Sure Guernsey therefore may not have known if Rayzone had access to its network through an intermediary.

Sure Guernsey said in a statement it leased access to global titles to a “small number” of specialist providers who provide “legitimate services” such as anti-fraud detection for banks and other services.

“Sure does not lease access to global titles directly or knowingly to organisations for the purposes of locating and tracking individuals or for intercepting communications content,” the company said. It added that it monitored signalling traffic and any evidence of abuse of Sure’s assets leads to service being “immediately ceased”.

Details of Rayzone’s apparent access to the SS7 network via a mobile operator in a British crown dependency comes amid mounting concerns about vulnerabilities of telecoms networks in the Channel Islands, which fall outside the UK’s regulatory jurisdiction even though they use the same +44 country code.

Leaked data, documents and interviews with industry insiders who have access to sensitive communications information suggest private intelligence firms regard small mobile operators, often based on tiny islands in offshore jurisdictions, as weak spots to exploit in the telecoms network.

Spy companies regard telecoms firms in both Guernsey and Jersey as potentially soft routes into UK phone networks, said industry and security experts.

Industry sources with access to sensitive communications data say there is recent evidence of a steady stream of apparently suspicious signalling messages directed via the Channel Islands to phone networks worldwide, with hundreds of messages routed via Sure Guernsey and another operator, Jersey Airtel, to phone networks in North America, Europe and Africa in August.

A spokesman for Jersey Airtel said the company took network and customer security seriously and that it had “necessary control measures” to prevent activities that could compromise security. It also said that leasing out global titles was “part of the mobile business ecosystem”. “We are vigilant about any misuse of these [global titles] and in case of any such misuse, we take strict action to block, investigate and initiate strict measures as per the terms of the contracts,” the company said.

Gary Miller, a mobile security researcher at Exigent Media who has studied sensitive messaging signals, said he found evidence suggesting a US mobile phone user was closely tracked while on a trip to Bangladesh in August 2020.

Miller said the apparent surveillance attack, which used signalling messages that could pinpoint the person’s location or intercept communications, appeared to have been routed through Sure Guernsey. It is not known who directed the messages to be sent or if Sure Guernsey would have been aware of the alleged attack. Sure Guernsey did not respond to a request for comment about the case.

British officials have privately expressed concerns about security issues around the SS7 network, particularly in connection to the Channel Islands, and have said smaller mobile operators there have not plugged well-known vulnerabilities.

A Whitehall source described the SS7 protocol as “toxic, horrendous – yet one the world relies on”, adding “it can be abused to geolocate people” but is complex to make secure because “if you get it wrong, you disconnect yourself from the rest of the world”. Security fixes are being implemented in the mainland UK but up to now Channel Islands operators have lagged behind, they added.

British telecoms regulators and the security services have almost no powers to enforce against operators in the Channel Islands, beyond what is described as a “nuclear option” to remove their access to the +44 UK country code.

The UK government appears to acknowledge security risks in mobile phone networks. Ofcom, which regulates phone operators in the UK, said network operators were required under law to take measures to manage security risks, including those related to their signalling networks.

A spokesperson confirmed, however, that Ofcom does not regulate the Channel Islands, Isle of Man or Gibraltar, and added that “we are not currently expecting a change in the extent of jurisdiction” when new laws tightening telecoms security requirements come into force.

Experts warn that fixing the vulnerabilities is unlikely to come quickly or easily – while new technologies such as 5G may be in theory more secure, lots of phones will still use the old networks, exposing every phone to their dangers.

“People say ‘5G will solve everything’,” said Sid Rao, a security researcher at Aalto University in Finland. “But this will not be the case until every network on earth is 4G or 5G. Until this happens, in say 30 years, vulnerabilities in old networks will still be a risk to all other networks.”

A spokesman for the Guernsey Competition and Regulatory Authority said the states of Guernsey had “licence obligations” in place that oblige telecommunications licensees to take “reasonable steps” to prevent their networks from being used in ways that are against the law. The government of Jersey said in a statement it was “committed to the security of its telecoms networks”.

Ron Wyden, the US Democratic senator from Oregon, said in a statement: “Access into US telephone networks is a privilege. Foreign telecom regulators need to police their domestic industry to ensure that SS7 access isn’t abused to spy on Americans – if they don’t, they risk their country being cut off from US roaming agreements.”