Lagen om hemlig dataavläsning (SOU 2005:38) är en process som startades redan av den förra regimen i regeringskansliet. Just nu förbereder man denna proposition som skall möjliggöra lagen om hemlig dataavläsning. Denna lag gör det möjligt för staten att tränga in i din dator och se vilken information som finns där. Just detta intrång är inte helt okontroversiellt men lyckligtvis finns det idag aktörer som skyddar dig mot intrång. Antivirusprogramföretagaren. Många svenskar har ett antivirusskydd/brandvägg i sin dator som skyddar dem mot angrepp från människor med ondsint vilja. Kommer dessa antivirus företag att skydda oss från statens försök att infiltrera din dator?
Men först, vad är lagen om hemlig avlyssning. Det är ju knappast ett stort problem om staten bara attackerar MC-gängens datorer eller Al-Quidas även om jag tycker att en medborgare inte skall skiljas från någon annan. Statens utredningar är rätt tunga saker och är man inte juridiskt eller statsförvaltningsutbildad kan det vara svårt att överblicka konsekvenserna av SOU 2005:38. Oscar Schwarz skrev en rapport för Timbro som heter Marschen mot Bodströmsamhället (Gratis nedladdning av denna rapport) där vi kan läsa mer om lagens tillämpningar. Oscar Schwarz beskriver där det som i bloggosfären har kommit att kallas ”Bodströmssamhället” och förklarar lagens praktiska tillämpningar. Såhär säger Oscar om de som kommer drabbas:
”Vid den förra utvidgningen fick man rätt att övervaka och avlyssna även abonnemang tillhörande människor som inte är misstänkta för brott men som man antog skullekomma att kontaktas av en person som är skäligen misstänkt. Nu vill man lyfta borttvå ”hinder” mot myndigheternas övervakning: Kravet på att någon alls skall vara skäligen misstänkt samt kravet på att specifika abonnemang måste anges.”
Konsekvensen av denna lag är att det räcker att du är bekant med en misstänkt och att all digital kommunikation du hänger dig åt kan avlyssnas eller undersökas. Facebook, din pda, din mobiltelefon, din laptop, jobbdator, MP3 spelare. Denna lagen kommer drabba många vanliga människor. Du behöver inte vara misstänkt, det räcker att du är bekant med den misstänkte. Detta är ett verktyg som kommer användas flitigt. Lagar utnyttjar man till max. Det gäller alla aktörer, också staten.
Det praktiska skyddet står antivirusföretagen för. Det är de som måste hindra staten att tränga in i din dator(och andra terminaler). Vanliga människor klarar knappast den uppgiften. Vad tycker de om detta? Helt plötsligt är det ju inte vanliga hackare de slåss mot. Det är en superhackare med enorma ekonomiska resurser till sitt förfogande och legala ramar att använda dessa resurser för att tränga in i människors datorer. Jag ställde frågan:
”Är statlig hacking en aktivitet ni kommer bekämpa även om det vore lagligt för staten att hacka min dator, som lagen om hemlig dataavläsning möjliggör. Kan jag helt enkelt som kund hos er veta att ni anstränger till det yttersta och håller alla(inkl staten) borta från datorn, givet att det inte är jag som är misstänkt för ett brott?”
Per Hellqvist på Symantec svarade snabbt och enkelt:
”Symantecs uppdrag är att skydda sina kunder från alla former av elektroniska hot – oavsett varifrån de kommer. Symantecs säkerhetslösningar gör ingen skillnad på varifrån hotet kommer eller vem som ligger bakom det. ”
Daniel Nyström på PCM Software(Panda) var också snabb att svara och tog sig tid att ringa mig för att kontrollera att deras budskap var till fullo förstått:
”Vår position är att vi alltid har och alltid kommer att detektera alla trojaner och skydda våra kunder. Detta gäller även om en lag skapas i något land för att göra en specifik trojan laglig. Trojaner är skadlig kod och det skyddar vi våra användare mot.
Om vi blir tagna till domstol eller någon utövar andra typer av påtryckningar för att få oss att whitelista en trojan, så kommer vi att kämpa emot och ta det vidare.
Sen, rent tekniskt, så kan det överhuvudtaget bli svårt för de som skapar trojaner (vare sig det är kriminella gäng eller poliser) att få dom att flyga under radarn. Mängden teknologier för att detektera skadlig kod som ännu inte är katalogiserad ökar varje dag och våra har utvecklats sedan 2004 för att möta mycket högt ställda säkerhetskrav. Ta dig en titt på TruPrevent informationen hos Panda Research.
Om man skyddar sig med en modern produkt vars leverantör inte förråder ens förtroende så bör man generellt sett ha en större chans att slippa undan en attack. Oavsett avsändaren. ”
Avast i Sverige är baraaffärspartner med Avast internationellt ,som jobbar med försäljning/support av Avast och hänvisade mig till deras moderbolag. Där hade jag turen att få kontakt med Justin Bellinger som skriver såhär:
”Our job, as a security company, is to fight ANY AND ALL malware – which is defined at its most basic as software that you do not want on your computer, regardless of the intent of the software.
So, if any form of malware is detected, by definition it is our obligation to our customers to protect against it. It’s source is irrelevant for the purposes of our detecting it.
There is also a flip side to why we must do this:
Such malware is, due to its intent and purpose, to have undergone the rigourous testing and QA proceedures of commercial software, this could, therefore, result in software that would allow other malicious software to exploit a compromised system; even though this would not have been the intent of such malware.
So, I’ll restate it: we absolutely cannot condone any sort of malware; informed consent from a user should be given for all software installed on a system. Without this, it is unwanted, and we have a duty to protect our users from such software.”
Justin fick mer specifik fråga. Han har ett perspektiv som de andra deltagarna inte har. Han är utlänning, lite insikt i debatten här hemma och inte alls påverkad av medier eller bloggar så jag ställde en uppföljningsfråga:
”Does it matter to u that that its government hacking my computer legally. Will you ever assist the Swedish government in their hacking when they have a suspect and a legal right to do this?”
Justin svarade:
”No. It does not matter. Our job is protect the integrity of your system. We would never assist a government request to help deploy malware. It goes against everything that we as a company do.
There have, over the years, been rumours that larger AV companies have provided the source code of their software to governments. I can neither confirm or deny these rumours about our competitors. I can confirm we have never provided our source code for such checking, nor will we.
If we were subjected to court order to do so, we would vigourously, and publicly, fight such an order, in order to protect the integrity of our software and the rights to privacy of our users.”
På ett plan förvånar inte svaren. Att säga att man släpper in staten när debatten är som den är, vore självmord för ett säkerhetsföretag. Men däri ligger också att de troligen talar sanning. Om någon av säkerhetsföretagen släpper in staten och det kommer ut. Då dör de. Alla kunderna skulle lämna omgående och den negativa publiciteten skulle vara massiv. Eftersom dessa företag inte är svenska företag är det antagligen troligare att de väljer lämna vårt land vid påtryckningar från staten. Sverige är en liten marknad och de kan i många fall bearbeta den från utlandet istället.
På ett personligt plan finner jag en sak märklig. De som valt att svara, och de skall de ha heder för, har alla uttryckt stor omtanke om min integritet men ändå väljer att stå vid sidlinjen i dessa skeenden. Klart att företag skall ha en röst. I just detta fallet besitter ju företagen också en väldigt hög kompetens. Säkert mycket högre än de som gjort SOU 2005:38 ändå väljer de att inte delta. De vill skydda mig oavsett vem jag är. Det är ju dessutom så som Justin beskriver att om Staten lyckas hacka din dator, då lyckas andra. Detta är ju ett direkt hot mot dem som kommer kosta dem pengar, energi och kompetens. Det finner jag lite märkligt. Å andra sidan har jag aldrig jobbat åt ett stort företag och saknar den dimensionen
Jag har ställt frågor till flera antivirusföretag. Det är enbart dessa tre företag som valt att delta
