Bekymrede sikkerhedseksperter: Client side scanning er usikkert og en trussel mod demokratiet

Illustration: Pixabay
Client side scanning er en trussel mod ytringsfriheden, privatlivets fred og dermed også demokratiet. Derudover er det elendigt til kriminalitetsbekæmpelse, lyder det fra forskerne.

Fjorten af verdens ledende sikkerheds- og kryptografieksperter har forfattet et åbent brev, der advarer mod brugen af client side scanning, fordi det skaber sikkerheds-og privacyproblemer.

Det skriver The Register.

Læs også: »Fuck Apple!«: Privacyfolk rødglødende efter Apples beslutning om at omgå kryptering – for børnenes skyld

Kort sagt er client side scanning (CSS) analyse af data direkte på en enhed - for eksempel en mobiltelefon - inden data krypteres og eventuelt transmitteres. Ideen er at give myndigheder muligheder for at lede efter ulovligt eller farligt indhold uden at skulle bryde den sikkerhed, der i øvrigt er, når man kommunikerer sikkert.

Et konkret eksempel på CSS er Apples tiltag med at scanne billeder på selskabets mobiler for at finde billeder af for eksempel misbrug af børn. Det lyder ærværdigt, men er farligt for vores demokratier, lyder det fra eksperterne.

Masseovervågning truer demokratiet

I brevet med overskriften 'Bugs in our pockets: The risks of client side scanning' beskriver eksperterne, der blandt andre tæller Hal Abelson, Ross Anderson, og Steven M. Bellovin, at CSS udgør masseovervågning, der truer ytringsfriheden, demokratiet og retten til privatlivets fred.

Læs også: Apple uddyber teknikken bag kritiseret billedscanning

»In this report, we argue that CSS neither guarantees efficacious crime prevention nor prevents surveillance,« lyder det desuden fra forskerne, der heller ikke vurderer, at CSS er et godt værktøj til at bekæmpe kriminalitet. Det er altså både et ringe værktøj og en trussel mod demokratiet.

»Indeed, the effect is the opposite. CSS by its nature creates serious security and privacy risks for all society while the assistance it can provide for law enforcement is at best problematic. There are multiple ways in which client-side scanning can fail, can be evaded, and can be abused,« lyder det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Børge Svingalius

Flere af de største spiludviklinghuske er også begyndt med client side scanning i kampen mod hackere. Det vil sige at med spillet installeres et program der scanner (nok både RAM og HDD) for specifikke filer/processer, og ved et hit blokeres spilkontoen. Det er ligeledes at give dem meget adgang til private IT-økosystemer, og med det naive øje kan man selvfølgelig godt stole på deres programmer, men når det eksempelvis er Activision Blizzard (som nu ejes af det kinesiske TenCent (der også ejer Riot Games)) kan man godt blive bekymret for om der er rent mel i posen.

  • 17
  • 0
#4 Anne-Marie Krogsbøll

Ja da. Det står på side 37 i den TOS som alle jo læser inden de skal bruge spillet

Hvornår får vi de standard-TOS/TOU og standard-cookieboxe, som beskytter os mod tech-rovdyrene? I går lærte jeg et nyt begreb: "Dark design"... Nye karriereveje netop rettet mod at snøre os alle sammen med uforståelige og uendeligt lange juridiske fixfaxerier, så vi ikke opdager, at vi er reducerede til malkekvæg i tech-baronernes stalde: https://finans.dk/debat/ECE13357415/er-de-moerke-sider-ved-at-overtage-n...

Hvordan er det nået til, at vi finder os i den slags? Vi ved vi bliver narret - men vi gør ingenting, og vore politikere sidder også på hænderne.

Tech-industrien har taget verdensherredømmet - vi andre er bare fyld og råstof...

  • 10
  • 0
#5 Bjarne Nielsen

Hvordan kan det være lovligt?

Nu havde jeg egentlig tænkt mig lige at læse, hvad de skriver, før jeg kastede mig ud i debatten, men på det, som forfatterne selv har valgt at ledsage deres henvisninger til dokumentet med, så er det tydeligt at de ser det som masseovervågning, og en særlig grov form ... og masseovervågning er ved flere tidligere lejligheden dømt ulovlig (hvad ikke har fået uvæsenet til at stoppe, så der er for tiden flere retssager igang).

Så nej, det er endog meget svært at se, hvordan det ville kunne være lovligt. Men jo svagere argumenterne er, desto højere røst bruges, når de fremføres.

  • 6
  • 0
#6 Bjarne Nielsen

Flere af de største spiludviklinghuske er også begyndt med client side scanning i kampen mod hackere.

Ja, det er en svøbe. Og bekymrende. Det virker lidt som et forsøg på en snuptagsløsning, hvor byrderne bliver båret af nogle andre (nemlig dem, som det kommer til at gå ud over).

Men der er en forskel. Det er endog meget vanskeligt at føre en nogenlunde normal tilværelse uden at man bringer en eller flere af disse mobil devices helt ind i hjertet af ens hjem og tæt på ens allerinderste interaktion med ens allernærmeste. Det er uhyre byrdefuldt og voldsomt vanskeligt at undslå sig. Og det er udvikling, som kun dagligt forværres af offentlig digitalisititis og appificititis.

En spillemaskine, ja, den er på en helt anden måde et tilvalg. Og skulle man være blevet fysisk afhængig, så er det nok på tidspunkt at søge hjælp.

Hvad der så ikke reelt er tilvalg, og dermed langt mere ulækkert, er når man på den ene side skaber et studiemiljø, for studerende skal medbringe egne maskiner, og derefter gør det umuligt at få en eksamen uden at skulle kompromitere samme maskine med diverse overvågningsprogrammer af tvivlsom kvalitet og ophav.

Eller når man nu ser, at arbejdsgivere i stigende grad installerer spionsoftware på hjemmearbejdspladserne, for at kunne udspionere deres medarbejdere, mens de arbejder hjemme ... og dermed også udspionere deres hjem og deres nærmeste. Og efterhånden som grænserne imellem arbejde og fritid, og hjem og arbejdsplads bliver diffuse, i samme takt bliver grænserne for denne udspioneren.

Det er IMHO heller ikke spor i orden, og et langt større problem end spilfirmaerne forsøg på imødegå piratkopiering og andre former for omgåelse (men igen, spilfirmaerne opførsel er på mange måde problematisk ... det er bare nemmere at gå sin vej).

Men det værste vi endnu har set, er nok ideen om client-side scanning som masseovervågningsværktøj.

  • 9
  • 0
#7 Niels Madsen

Hvad siger du til denne form for tvungen spionage:

Når mit barn har en Windows lånelaptop med hjem fra skolen og skal lave lektier så skal den jo på internettet. Ellers er der intet der virker, for alt materiale skal nu om dag lejes i skyen, selv om regnenkraften og kapaciteten på computerne aldrig har været større. Eleven skal jo betale forlagene med sin data, så derfor går det ikke at han kan arbejde offline.

Men når man så logger ind på.sin helt privat router bliver passwordet ikke bare gemt lokalt på maskinen, for sjovt nok så kan den næste laptop eleven har med hjem selv finde ud af at logge på. Hvor passwordet så gemmes står hen i det uvisse, og hvordan og hvornår det distribueres til skolens andre laptops er også uklart (for mig). Det kunne være rart at få klarhed og medbestemmelse over, for jeg har aldrig givet tilladelse til at nøglen til min private digitale hoveddør skulle kopieres i det sjulte.

  • 11
  • 0
#10 Niels Madsen

"Fremmede" maskiner skal aldrig nærmere end gæstenetværket... Du ved jo dybest set ikke hvad der ligger på den maskine....

Så sandt, så sandt.

Men så rejser spørgsmålet sig om hvor kendt en maskine egentlig skal være for at den ikke længere er fremmed. I yderste konsekvens skulle man have mange uafhængige gæstenetværk. Og der er også den hage at en skoleelevs "arbejde" og privatliv ikke ofte ikke kan afgrænses så skarpt, da det forventes/kræves at eleven laver opgaver som indrager elementer som vi andre som regel ville betegne som klart private anliggender, og behovet for adgang til private ressourcer som printer, m.m. er ofte næsten umuligt at komme udenom, og vil nok gøre forældrene til skolens "problem børn" hvis grænserne håndhæves strengt.

Det er derfor så meget mere problematisk når netop en skolelaptop suger og deler lige netop passwords i ukendt omfang.

  • 8
  • 0
#11 Niels Madsen

Lige en tilføjelse: Jeg er kommet i tanke om at første gang jeg skulle hjælpe min søn med at logge ind hjemme med sin skolelaptop, der, skulle den først have internet adgang før man kunne komme forbi start skærmen og logge ham ind. Jeg tror aldrig jeg før har logget på wifi på en Windows laptop allerede på start skærmen, så derfor husker jeg det.

-Men ved nærmere eftertanke, så tænker jeg at det rent juridisk er vildt smart... Altså, hvor dum kan man være at forære adgang til private resourcer væk til en 3. part allerede inden man har logget ind, og derfor ikke kan gøre evt. vilkår og rettigheder konkret kunde eller bruger af produktet gældende.

Er der mon nogen her som kan beskrive hvordan et typisk Microsoft laptop setup i kommunerne ser ud på folkeskoleområdet mht. elevernes unilogin, log-in til Windows, accounts til diverse læringsportal licenser, osv?

Tager løsningerne overhovedet højde for de sikkerheds- og rettighedsspørgsmål som brug af skolens udstyr i hjemmet kræver, og må maskinen godt gå på opdagelse i vores lokale netværket og crawle og portscane som den vil?

Jeg fryger at det nok bare er for at "forbedre brugeroplevelsen" -Altså den oplevelse som fås ved at bruge andres data til egne formål. Men der må være nogen her som har arbejdet med det, og kan komme med nogle detaljer.

  • 5
  • 0
#12 Børge Svingalius

https://www.blizzard.com/en-us/legal/fba4d00f-c7e4-4883-b8b9-1b4500a402e...

Under sektionen "CONSENT TO MONITOR":

"WHILE RUNNING, THE PLATFORM (INCLUDING A GAME) MAY MONITOR YOUR COMPUTER, CONSOLE, OR MOBILE DEVICE'S MEMORY FOR UNAUTHORIZED THIRD PARTY PROGRAMS RUNNING EITHER CONCURRENTLY WITH A GAME OR OUT OF PROCESS. AN "UNAUTHORIZED THIRD PARTY PROGRAM" AS USED HEREIN SHALL BE DEFINED AS ANY THIRD PARTY SOFTWARE PROHIBITED BY SECTION 1.C. ABOVE"

Læg venligst mærke til "... with a game OR OUT OF PROCESS"

  • 3
  • 0
Log ind eller Opret konto for at kommentere