Google genom att de allt mer riktat in sig som leverantör av infrastruktur och via publika API:er möjliggör och tydliggör det data som skapas får typiskt ett enormt fokus på sig. Ett fint exempel var det här enormt roliga inlägget som även om det saknar förankring i verkligheten tydliggör vad folk oroar sig för:
Google Responds To Privacy Concerns With Unsettlingly Specific Apology
Det kan därför vara meningsfullt att kort peka ut dom risker som är verkliga snarare än vad folk allmänt riktar in sig på. Google representerar vissa risker även om det knappast ligger i de områden som allmänt oroar folk. Innan dessa kan diskuteras och hur de hanteras krävs dock en översiktsbild av hur systematisk avlyssning bedrivs idag och tidigare.
I denna första artikel sätter vi fokus på den typ av systematiska avlyssning och dataanalys som sedan många år bedrivs av flera aktörer på nätet i vad som traditionellt avses med nätet (d.v.s. oräknat mobiltelefoni, satellitkommunikation o.s.v.). Det har skett med målet att:
1. Peka på tekniska möjligheter som funnits och använts sedan många år.
2. Tydliggöra problematiken diktaturer innebär som länge inte uppmärksammades allmänt i tillräcklig omfattning. Det förändrades dock under 2009.
3. Uteslutande för att inte uppfattas ensidigt peka ut vissa aktörer medan andra försummas på ett sätt som lätt gör en mindre populär (snarare än för att vara onödigt transparent av något personligt engagemang) peka ut en del småsaker även hos andra aktörer.
1. Skillnad mellan publicerad och privat information
Publicering och propagering av utvald aktivitet på webbplatser via standardiserade gränssnitt diskuterades i:
9. Geotaggning och geografiska data | Geografiskt lokaliserad information för insamling
När det gäller aktivitet enskilda webbplatser hör det till vad som utmärkt kan loggas av dessa för att skapa spårbarhet användbart för att detektera och reagera på brottslighet. Så har det alltid varit endast begränsat till vad webbplatserna prioriterat att samla in och analysera. Redan från de tidigaste versionerna av alla större webbservrar har möjligheterna funnits och utvecklade analysverktyg för denna typ av data har funnits sedan före 2000.
Däremot är det något folk de senaste åren glömt bort:
Nu när det exponeras öppet för att möjliggöra integration mellan webbplatser tydliggörs det samtidigt som möjligheten att använda det öppnas för alla.
För en underrättelsetjänst att systematisk följa denna aktivitet är det väldigt opraktiskt att hämta in det från enskilda webbplatser. Inte heller som vi ska se är det meningsfullt att göra.
2. Direkt access till webbplats krävs inte för informationsinsamling
Viktigare är att aktivitet på webbplatser ingenting som tidigare direkt access till webbplatsen krävt för att spara och analysera. Det går utmärkt för ett antal entiteter på vägen mellan klient och server att hämta upp data som beskriver aktivitet mot en eller flera webbplatser för att använda i underrättelseanalys.
För större webbsajter med mängder av användare är det också vad som mer troligt kan prioriteras avseende riktad automatiskt analys. I demokratiska länder kan sådan aktivitet relativt väl följas (om man kan det grundläggande området) via hur forskning och inköp prioriteras.
Det finns ingenting nytt rörande möjligheter som skapas nu eller de senaste åren. För ett land rörande kommunikation som går in eller ut till valda webbplatser att allmänt följa data eller enskilda personer är redan möjligt och i vissa fall realiserat.
3. Trafikanalys är möjligt oavsett om SSL används
Det är värt att peka på att SSL (TSL) inte övergripande påverkar denna möjlighet till trafikanalys eftersom SSL ligger i transportlagret. SSL liksom alla lösningar för att lägga skydd av trafik via kryptering är oerhört komplicerade och de kan praktiskt både lösa och introducera problem. Inte minst kan det gälla SSL som jag många gånger pekat på genom åren eftersom implementationerna är oerhört komplicerade och för dom jag sett koden för troligt innehåller många ej upptäckta säkerhetshål. Att närmare beröra det här är dock inte praktiskt och istället rekommenderas:
Transport Layer Security (Secure Sockets Layer) | Wikipedia
Secure Sockets Layer (SSL) | SEOTaktik
Browser Security Handbook | Google Code
4. Underrättelsetjänster intresserade av webben
Både i USA och Sverige har allmänheten ett stort intresse huvudsakligen på amerikanska aktiviteter. Delvis är det naturligt eftersom de har personalresurser, teknisk kompetens och bedriver en hel del forskning inom området. Efter 11 september har detta liksom mycket annat självklart också fått ett ökat fokus. Ändå upplever jag att det är mindre problematiskt jämfört med kinesiska kommunistpartiets aktivitet därför att de står utanför demokratisk kontroll.
Den amerikanska befolkningen är också kulturellt "lätt" "uppmärksamma" på allt som rör federala möjligheter att begränsa enskilda personers frihet och det skulle därför förvåna mig om utökade möjligheter som gavs under President Bush II inte bromsas upp och snarast de kommande åren inom vissa delar begränsas. Däremot behöver det inte självklart på samma sätt röra omvärlden.
5. Kinesiska kommunistpartiet på webben
Vi ska vara fullt på det klara över att kinesiska kommunistpartiet är oerhört oroade över webben och mycket motiverade att hantera de "problem" de upplever finns:
1. De ogillar starkt hur deras medborgare kan diskutera med varandra.
2. Att de fritt i stor bredd nu kan kommunicera med folk från demokratiska länder oroar dem. Det ger allt fler kineser något att jämföra med.
3. Kinesiska kommunistpartiet vill ha kontroll över detta för att detektera och begränsa "problem".
Jag har sett flera uppskattningar över hur omfattande kinesiska kommunistpartiets satsningarna på webben är. Den sista egna uppskattningen jag gjorde skedde för cirka ett år sedan och jag har sedan dess inte systematiskt riktat försökt göra om det. Denna uppskattade satsningarna till flera gånger större än någon annan publik sådan jag sett och indikerade t.ex. rörande antal medarbetare inräknat allt en bra bit ovanför 100 000 st medan andra uppskattningar då och senare ligger på 30 000 - 50 000 st.
Ingenting jag sett därefter tycker jag indikerar att min uppskattning är mindre korrekt och jag bedömer också att den skedde med bättre data:
1. Den byggde delvis på uppgifter från personer med direkt insyn i verksamheten (från 2007 och 2008).
2. Mer vetenskapliga metoder för att mäta aktivitet. Däribland tidsanalys på respons där vi kan se det som att om tiden det tar innan respons ges minskar trots att i språkområdet total mängd data som publicerar ökar indikerar det ökade förutsättningar tekniskt och/eller rörande personal. På samma sätt om man skalar upp mätpunkter - oavsett om så någonsin skedde eller inte - berättar spridd hos personer som ger något rörande personalresurser och hur de fördelas mellan normal surfarmé och ännu otrevliga aktörer i samma större entitet.
3. Allt vi efteråt sett indikerar att verksamheten verkligen är så pass stor som jag uppskattade den till.
Ändå upplever jag att de då och fortfarande är på väg att förlora kontrollen över situationen. Jag kan däribland se att andra nu allt mer delar min tolkningen från första halvan av 2009.
Tittar vi lokalt på Sverige är dessa metoder vad som möjliggörs via vad militära underrättelsetjänsten formellt önskat kunna göra. Rörande spårbarhet av aktivitet liksom besläktade metoder för detektion av riktade angrepp mot IT-system i information mer rörande annat bedömer jag det egentligen som föråldrade metoder. Det kan emellertid ha värden i andra områden oavsett vilka värden de söker och däribland bättre möjlighet att hantera tekniskt enklare men nog så problematiska former av denial of service. Jag ser därför gärna att den möjligheten finns om det kanske längre fram efter andra åtgärder kan kombineras med faktisk leveransförmåga.
Här kan man givetvis spekulera om att data kommer att delas (eller implicit redan delas) med andra västländer. Att ingen aktör inom media eller bloggosfär seriöst försökt ta reda på om så sker givet alla protesterna mot det kan jag uppleva som förvånande (särskilt som att så kanske skett via möjliggjord tappning vilket pekats ut några gånger genom åren av två kanske tre personer - även om jag troligen är den sista som nu står oberoende - men vem vet kanske fanns något samband mellan det och formalisering av möjligheterna som nu skett eller sker?).
Det behöver inte vara särskilt svårt att upptäcka även om jag själv inte brytt mig i att följa upp hur det ser ut idag. Metoden för att göra det är att följa vad som är publikt publicerat om nätdragning med början cirka 1995 och framåt (de tidiga åren är viktiga eftersom mindre kanske framgår nuförtiden även om jag egentligen inte tror det) och söka efter tapp-punkter med därifrån orimligt stor bandbredd till andra entiteter.
Vi inser från detta att det är förhållandevis enkelt att i rätt punkter tappa tappa data och att det möjliggör:
1. Analys av aktivitet mot enskilda webbplatser oavsett om SSL används eller inte.
2. För alla aktiviteter som ej använder SSL även avseende faktiskt data associerade till aktiviteterna.
Det är möjligheter som funnits många år och där sannolikt arbetade lösningar finns. Att genomföra det på detta sätt är effektivare än att hämta data från enskilda webbplatser oavsett om det är tidningar, Twitter, Youtube eller någon av de hundratals tjänster för e-post som finns.
Relaterade artiklar på Nyhetsbloggen:
Geografiskt lokaliserad information för insamling
Hur mediekoncerner i underrättelseanalys kan visualisera och navigera geografiska data
Ontologi låter mediekoncerner följa entiteter och deras relationer
Tidsanalys i grävande journalistik
Ännu fler artiklar rörande business intelligence och underrättelseanalys: