Putin forbyder Tor og kvæler Signal: »Lovlige brugere kommer til at betale prisen«

To nye love vil gøre det langt mere kompliceret at færdes og kommunikere anonymt i Rusland. Det falder sammen med det kommende valg, som forestår i marts næste år.

Til marts næste år går russerne til stemmeurnerne, så de kan vælge Putin. Og i opløbet til valget har selvsamme Putin og co. sat ekstra hårdt ind mod privacy på internettet. Det sker under påskud af, at man ønsker at bremse ekstremistisk indhold på nettet (som da Reddit for en kort stund blev blokeret grundet en tråd om euforiserende svampe)

For Putin har netop underskrevet to nye love, som skal gøre det langt sværere at færdes anonymt på internettet.

Den første lov, som træder i kraft 1. november i år, forbyder tjenester, som giver adgang til sider, som regimet har blokeret. Det betyder at fra november vil det eksempelvis være ulovligt at opsætte VPN’s og proxyer – heriblandt også at bruge TOR-netværket.

Den anden lov, som træder i kraft 1. januar 2018, kræver, at chat apps identificerer deres brugere gennem telefonnumre. Det betyder, at apps som Signal og Whats App fra starten af næste år de facto ikke længere vil være anonyme i Rusland.

Kan det egentlig svare sig?

Hvorvidt det vil få en nævneværdig effekt at forbyde VPN’er, er endnu en anelse usikkert. Selvfølgelig vil den almene bruger, som bare vil se amerikansk Netflix, nok få en del svære ved det.

Der er to måder at færdes på TOR. Enten – hvis man er i et land hvor TOR er helt fjong – vil man bare koble sig på en af de offentlige relays. Listen over disse relays ligger offentligt tilgængelig, og mængden af dem gør, at forbindelsen er langt hurtigere. Det er standardkonfigurationen.

Er man derimod i et land, hvor regimet har forbudt brugen af VPN’er og TOR, kan man konfigurere sig gennem bridges – i princippet relays, som er langt mere komplicerede at finde frem til.

Ifølge Ole Tange, IT-politisk rådgiver ved PROSA, vil den nye lovgivning ikke nødvendigvis have den store effekt på dem, som har en hvis viden indenfor anonymitet på internettet.

»Du vil stadig kunne bruge TOR, da det er lavet til at kunne omgå den slags lovgivning. Dem, som har behovet for at bruge TOR, vil det ikke ændre noget for. Det bliver mere bøvlet, men dem, som har behovet, er nok villige til at gå igennem det ekstra,« siger han.

»Dem, som bliver ramt, bliver de lovlige VPN brugere. De kommer til at betale en pris for den her lovgivning.«

WhatsApp i en svær situation

Men der er som sagt to lovgivninger, som skal gøre det sværere at kommunikere anonymt. Den anden lov kræver, at alle chat-apps skal identificere brugere gennem deres telefonnumre. Her mener Ole Tange, at de apps, som bygger på en grundtanke om privacy, vil reagere kraftigt på denne lovgivning.

»De services, som værtsætter privatliv, kommer til at lukke i Rusland. Signal kommer ikke til at udlevere de her oplysninger, og så burde de blive blokeret,« siger Ole Tange.

En anelse mere usikker er han dog på WhatsApp, som er meget udbredt på de kanter.

»Det er meget svært at sige, hvad WhatsApp vælger at gøre. Jeg kan ikke forudsige, om de vil værtsætte borgernes privatliv højere, end at man ikke længere kan tale anonymt krypteret,« siger han.

»Men det her kommer til at skille fårene fra bukkene. For hvis man tjenester giver efter for det her krav, så har de vist sig villige til at samarbejde med undertrykkende regimer. Så vil de ryge af vores liste over softwares, vi [PROSA, red.] kan anbefale, når vi rådgiver i digitalt selvforsvar.«

Terroristers trygge rum

Ikke kun Rusland er begyndt at sætte ind mod privacy på nettet. Kina har ligeledes krævet, at VPN-tjenester fjernes fra Apples App Store – et krav, som Apple foreløbigt har fulgt. I en udtalelse til Engadget udtalte en talsperson fra firmaet, at »alle udviklere som tilbyder VPN-løsninger skal have en licens fra regeringen. Vi er blevet pålagt at fjerne nogle VPN-apps i Kina som ikke møder de nye regulationer. Disse apps er stadig tilgængelige på andre markeder.«

Men også tættere på vores breddegrader er politikere blevet glade for at udtrykke skepsis overfor anonym færden og kommunikation på nettet.

Særligt i Storbritannien har ledende politikere langet ud efter, hvad Theresa May blandt andet har kaldt ”terroristers trygge rum”. Her er det efterhånden blevet mere en regel end en undtagelse, at et terrorangreb efterfølges af udtrykt bekymring om borgernes mulighed for anonym og krypteret kommunikation.

Særligt Storbritanniens indenrigsminister, Amber Rudd, har flere gange langet ud efter tjenester som WhatsApp med ønsker om, at metadata skal deles med myndighederne, og de via retskendelser skal få adgang til korrespondancer i app’en.

»Vi bliver nødt til at være sikre på, at organisationer som WhatsApp – og der er rigeligt med andre som denne – ikke leverer et hemmeligt sted, hvor terrorister kan kommunikere med hinanden,« sagde Amber Rudd kort efter en terrorist kørte ind i en folkemængde og dræbte fem personer.

Allerede i 2013 luftede Socialdemokratiets retsordfører Trine Bramsen muligheden for at blokere Tor ved lov.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Eriksen

Man kan sagtens lave en kryptering som ikke kan brydes.

Men hvordan man vil håndhæve forbudet er en anden sag.
Bevares, man kan jo tvinge anklagede til at udlevere nøglen, men hvordan godtgør man at der rent faktisk er en meddelelse? Hvad nu hvis jeg bare sender en txt-fil med en masse nonsens, vil jeg så blive spærret inde i al evighed, fordi de tror der er en besked gemt i krusedullerne, og jeg bare ikke vil udlevere koden?

Bjarne Nielsen

Prosa-Ole citeres for flg.:

Men det her kommer til at skille fårene fra bukkene. For hvis man tjenester giver efter for det her krav, så har de vist sig villige til at samarbejde med undertrykkende regimer. Så vil de ryge af vores liste over softwares, vi [PROSA, red.] kan anbefale, når vi rådgiver i digitalt selvforsvar.

Det er sjovt, for politikere og lande har det med at ryge af min liste over dem, som jeg kan anbefale, af sammenlignelige grunde.

Kjeld Flarup Christensen

I Rusland skal man have passet frem når man køber et SIM kort til en telefon. Oplysningerne går sikkert direkte til FSB.
Derfor giver det god mening at kræve en kobling til et telefonnummer.

Spørgsmålet er så hvad med udenlandske numre. I Danmark kan man jo købe fuldt anonyme SIM kort. Altså en simpel omgåelse er at bruge et udenlandsk nummer i Rusland.

Per Møller Olsen

Så må vi jo bare begynde at bruge gammeldags kodehjul, bogkoder o.lign. når vi skal skrive hemmelige beskeder.

Gad vide, hvad det betyder, når mit Instagram-billede af aftensmaden har fire kartofler lagt i et zig-zag-mønster?

Morten Schulze

VPN brug bliver som sådan ikke forbudt. Det bliver derimod forbudt at tilgå hjemmesider der er på censurlisten ved hjælpe af VPN.

"The amendments [...] forbid internet proxy services (VPNs), which help internet users gain access to websites that have been blocked by the government and surf the web anonymously." (min kursivering)

I det hele taget må man ikke bruge VPN til at skjule sin identitet, når man surfer på nettet.

Michael Cederberg

Hele denne diskussion viser at det ikke nytter noget at tro at vi kan lave værktøjer i vesten for at hjælpe frihedselskende i resten af verden. For i praksis vil diktatorer som Putin blot forbyde de tjenester som de ikke kan lide og så vil de være utilgængelige for den brede del af befolkningen.

Det som Signal, WhatsApp, etc. må gøre hvis de vil drive virksomhed i Rusland er at lave en Signal-Rus, WhatsApp-Rus tjeneste som følger russisk lovgivning. På samme måde vil de nok ende med at lave en WhatApp-EU tjeneste som følger EU lovgivning.

Som bruger skal jeg så shoppe rundt efter en tjeneste som både er tilgængelig for mig samt er reguleret af et politisk og juridisk system som jeg stoler på.

Bevares, man kan jo tvinge anklagede til at udlevere nøglen, men hvordan godtgør man at der rent faktisk er en meddelelse? Hvad nu hvis jeg bare sender en txt-fil med en masse nonsens, vil jeg så blive spærret inde i al evighed, fordi de tror der er en besked gemt i krusedullerne, og jeg bare ikke vil udlevere koden?

Det kan du sagtens, men hvordan har du det med waterboarding? I bløde diktaturer som Rusland kan de sætte dig i fængsel for noget helt andet end problemet med koden … indtil du udleverer koden. Det ser pænere ud på den måde. Du har også problemet med at udveksle software og koder med den du vil kommunikere med.

Hvis det er ulovligt at kommunikere krypteret og du ønsker at omgå lovgivningen, så er din eneste chance at skjule din kommunikation steder hvor man ikke kan se den. For når først myndighederne mistænker dig for at kommunikere krypteret, så skal de nok finde beviser på det.

Spørgsmålet er så hvad med udenlandske numre. I Danmark kan man jo købe fuldt anonyme SIM kort. Altså en simpel omgåelse er at bruge et udenlandsk nummer i Rusland.

Hvis du har tænkt dig at gøre noget ulovligt, så er der ingen grund til at henlede opmærksomheden på dig selv. Man må forvente at udenlandske numre kontrolleres ekstra.

Så må vi jo bare begynde at bruge gammeldags kodehjul, bogkoder o.lign. når vi skal skrive hemmelige beskeder.
Gad vide, hvad det betyder, når mit Instagram-billede af aftensmaden har fire kartofler lagt i et zig-zag-mønster?

Der er intet man kan gøre for at stoppe den slags. Kodehjul og bogkoder er dog ikke længere sikre. Man er nødt til at bruge de krypteringsalgoritmer som også bruges til VPN, Tor, etc. Man kan skjule det krypterede output fx i dit instagram billede. På den måde kan man lave en skjult low bandwidth kanal.

Gert Agerholm

For mig ser det ud som om man helt ofrer det seriøse brug af VPN i erhvervslivet. Vi har nogle anlæg i Rusland som vi skal servicere i tilfælde af problemer. Der kan kun ske via VPN. Dette må i praksis vel betyde at vi må sige til dem at vi ikke længere kan supportere dem, eller også at de må stå stille i den tid det tager for at få visum, organiseret rejse osv. for måske bare en småting. Det koster kunderne MEGA store beløb, prøv at lade en foderfabrik stå stille i måske 1 uge bare på grund af en lille ting.

Det værste er at Putin ikke kommer til at mærke konsekvenserne på nogen som helst måde på egen krop, han lever stadig videre i sin mia. formue. Det er den menige som mærker konsekvenserne.

Det eneste formål er at kunne fange de personer som måtte udtale sig system kritisk. Vi er ved at være helt tilbage til de gamle kommunistiske tider. På nogle punkter måske endda værre da de elektroniske overvågnings systemer er blevet meget mere avanceret og giver flere muligheder.

Peter Christiansen

VPN bliver ikke forbudt i rusland, VPN udbydere skal "bare" blokere de sites som i forvejen er blacklistet.

https://www.privateinternetaccess.com/blog/2017/07/russia-vpn-ban-doesnt...

Som skribenten siger, kommer historien fra en ABC artikel hvor der bliver forklaret : “would oblige Internet providers to block websites that offer VPN services”

dvs. VPN trafik bliver IKKE forbudt, men VPN services skal holde sig til den blacklisting den russiske regering påbyder.

Please V2 lad være med at komme med clickbait overskrifter og så heller ikke komme med sandheden i artiklen.
I det mindste havde ABC (selv om de havde clickbait i titlen), korrekt information i selve artiklen.

Peter Lundtofte

Og spørgsmålet burde være: hvorfor forbyde kryptering, hvis man har teknologien til at omgå den.

Den kommentar er et eksempel på klassisk autosvar uden omtanke. Hvis det bliver ulovligt at bruge forskellige former for kryptering/krypterede apps m.v., så sker der 2 ting;

  1. de der bruger kryptering eller de krypterede apps må have overvejet hvorvidt deres formål opvejer risikoen, og deres valg kan derfor beskyldes for at være et forsæt i sig selv.

  2. hvis de anvender de apps/krypteringer der er ulovlige, eller at de udfører handlinger der omgår samme forbud, så kan de fængsles alene af den grund.

Ovenstående er ikke et udtryk for mine egne holdninger, men man er nødt til at tænke det i perspektiv og ikke bare afgive de klassiske modsvar som, "de kan alligevel omgå det" eller "de finder bare en anden måde".

Bjarne Nielsen

Den kommentar er et eksempel på klassisk autosvar uden omtanke.

Lad mig i al stilhed gøre opmærksom på, at man ikke styrker sine egne synspunkter ved at nedgøre andres; eller fremmer debatten. Tværtimod er der gode odds for, at man i stedet kommer til at udstille sig selv.

Hvis du genlæser mit indlæg, og det indlæg, som jeg svarer på (der er tale om samlet set ca. 6 linier, og det er de to første indlæg i debatten, så det kan jeg vist godt tillade mig at bede om), så vil du se, at min bemærkning er et svar til flg.:

Hvorfor forbyde kryptering hvis man har teknologi til at bryde den?

Her synes jeg faktisk, at det er værd at gøre opmærksom på, at der findes andre og nemmere alternativer. Det er jeg ikke den eneste, som har fundet relevant at påpege:

xkcd: Security

Hovedpointen i Snowdens afsløringer er da også, at (korrekt implementeret og ditto anvendt) kryptering holder, men at der er myriader af måder at komme omkring det på i praksis - og at disse allerede bliver flittigt brugt. Der er ingen grund til at bekymre sig om låsen på hoveddøren, hvis vinduet lige ved siden af står åbent.

(jeg beklager overfor hovedparten af debattens læsere, at jeg sådan er nødt til at gentage, hvad der tidligere er sagt - men jeg håber, at det opklarer misforståelsen om, hvad jeg talte om)

Bjarne Nielsen

Det, som jeg tror at du mellem linjerne siger, at jeg har overset, er i virkeligheden en af mine store bekymringer. Du siger:

Hvis det bliver ulovligt at bruge forskellige former for kryptering/krypterede apps m.v., så sker der 2 ting ...

Lad os lige generalisere denne "indsigt":

"Hvis det bliver ulovligt at bruge forskellige former for X m.v., så sker der 2 ting;

  1. de der bruger X må have overvejet hvorvidt deres formål opvejer risikoen, og deres valg kan derfor beskyldes for at være et forsæt i sig selv.
  2. hvis de anvender de der er ulovlige, eller at de udfører handlinger der omgår samme forbud, så kan de fængsles alene af den grund."

Åh, ja. Og? (jeg indrømme, at dit udsagn i nogen grad virker som non sequitur på mig)

Desværre er det en tankegang som ofte bliver fremført. Lad mig forklare, hvorfor jeg skriver "desværre":

Lad f.eks. X være "knive", og så har du Knivloven.

Derfor er det også utroligt vigtigt, at man gør sig grundige overvejelser over, hvad præcis man kriminaliserer. Man kommer meget nemt til at ramme helt uskyldige menneskers helt uskyldige udførelse af ganske anerkendelsesværdige formål. Der kan, som med Knivloven, være tale om rigtigt mange mennesker som bliver ramt, uden at man reelt opnår det, som man egentlig ville (jeg antager her, at hovedmotivationen var den påståede, og ikke andre "politiske" mål).

Og jeg er meget bekymret for, hvor mange uskyldige mennesker, som vil kunne blive kriminaliseret i udøvelsen af (eller blive unødigt besværliggjort i eller endda afskåret fra ditto) helt basale og meget menneskelige aktiviteter, hvis man, som du lægger op til, sætter X lig "kryptering/krypterede apps".

Lad mig komme med bare et eksempel fra Radio 24/7 program kaldet "Aflyttet" med titlen "Privatliv som Design og/eller virkelighed?": her hører vi, hvordan Signal, som jo er en app der bruger kryptering til at holde kommunikation fortrolig, tillader drenge og piger gøre, hvad drenge og piger altid har gjort, nemlig at opnå fortrolighed og intimitet ved at dele intime detaljer om hinanden i fortrolighed, på tværs af geografiske afstande og tidszoner.

Det, og mange andre gode formål, vil jeg faktisk gerne beskytte. Og derfor opfordrer jeg til, at man bruger erfaringerne fra bl.a. Knivloven til at stoppe op og tænke over, om man nu har forstået den fulde effekt af det, som man foreslår. Vil man ikke i stedet risikere at ødelægge mange gode anvendelser uden reelt at opnå det, som man egentlig ville?

PS:

Den kommentar er et eksempel på klassisk autosvar uden omtanke. ... man er nødt til at tænke det i perspektiv og ikke bare afgive de klassiske modsvar ...

Jeg er helt enig. Men nok ikke på den måde, som du havde forestillet dig ... :-)

Martin Jensen

Lars,

Har i prøvet at køre en stærk VPN hen over en svag VPN? (Og at det dermed så er en forbindelse med trafik, som de kan kigge i og få payloaden ud... som så desværre er krypteret igen?

Det giver lidt mindre MTU/MSS, men er et interessant forsøg værd. :-)

Det vil vise hvor automatiseret det er. :-)

(Der er selvf. en risiko for at de har tænkt på det ret åbenlyse scenarie...)

Peter Lundtofte

Lad mig i al stilhed gøre opmærksom på, at man ikke styrker sine egne synspunkter ved at nedgøre andres; eller fremmer debatten. Tværtimod er der gode odds for, at man i stedet kommer til at udstille sig selv.

At tolke svaret som at blive nedgjort, mener jeg er overdreven sensitivt - specielt set i lyset af, at kommentaren nærmest er kliché-agtig.

Her synes jeg faktisk, at det er værd at gøre opmærksom på, at der findes andre og nemmere alternativer. Det er jeg ikke den eneste, som har fundet relevant at påpege:

Det nemmeste i verden for en diktaturstat, er da at konkludere "du bruger kryptering, så er du skyldig - i fængsel med dig". Så behøver man ikke bruge skruenøgler eller andet udstyr. Så hvad er lige nemmere end at smide folk i fængsel som skyldige i at bruge kryptering, hvis/når kryptering er ulovlig?

Snowdens pointer er slet ikke valide såfremt kryptering er ulovligt. Du forholder dig ikke til, at det er langt nemmere at fængsle folk for ulovlig kryptering og/eller modvilje mod at dekryptere deres data, fremfor at skulle igang med en bunke koldkrigs-scenarier.

At komme i fængsel for kryptering, er også et bedre pressionsmiddel end dit eksempel med skruenøgle osv.

Det er det som er min pointe, at ulovlig kryptering og efterfølgende fængsel er langt mere effektivt end alle de andre ting til at omgå det. Undskyld at jeg gentager mig selv. Jeg mener jeg udtrykte det tydeligt første gang.

Peter Lundtofte

Det, og mange andre gode formål, vil jeg faktisk gerne beskytte.

Det er muligt at du gerne vil det. Men som jeg udtrykkelig skrev, så var det en perspektivering, hvorfra man hurtigt kan udlede at myndighederne i Rusland vil se det som et kærkomment værktøj at kunne fængsle folk alene fordi de bruger kryptering. Meget nemmere end alle de andre omgåelser du kan tænke dig. At du bekymrer dig, for eks. for unge menneskers mulighed for intimitet, er en helt legitim bekymring, omend vi snakker Putin og Rusland, og dermed ikke kan ændre på det. Af samme årsag er dit eksempel med knivloven også irrelevant, da vi ikke snakker om danske forhold.

Hvis jeg havde udsigt til at sidde i fængsel på ubestemt tid, indtil jeg dekrypterede data, for at få min dom på 10 års fængsel, så ville jeg føle mig presset til at gøre dette - alene på baggrund af fængslingen for brug af kryptering.

Derfor er de 2 punkter jeg nævnte, i de russiske myndigheders hænder, ekstremt effektiv værktøjer- omgåelse eller ej.

Ib Larsen

I bløde diktaturer som Rusland kan de sætte dig i fængsel for noget helt andet end problemet
med koden … indtil du udleverer koden.

Rusland er teknisk set stadig et demokrati og medlem af Europarådet, og kan derfor indklages for Den europæiske menneskerettighedsdomstol.

Det med demokratiet er så som så, men EMRK Art 6. vil om ikke andet sikre borgerne i Rusland et vist minimumsniveau med hensyn til retfærdig rettergang.
- At sætte folk i fængsel, indtil de udleverer en krypteringsnøgle er i teorien mulig, hvis det ellers kan bevises, at der er krypteret data, og at personen er i besiddelse af nøglen.

Og derfor er strafsanktionen i den britiske RIPA også meget omhyggeligt afgrænset til den situation, hvor en mistænkt bevidst nægter at udlevere en nøgle, som vedkomne beviseligt er i besiddelse af af.

Selv under en lov som RIPA, skal staten stadig bevise, at den tilfældige datamængde er krypteret, og der vil være grænser for hvor meget man kan vende bevisbyrden, fordi enhver rettergang skal overholde Art 6.

EMRK Art. 6 vil også kunne anvendes over for straffedomme afsagt i Rusland.

Peter Hansen

Vi har fabrik i Kina, hvor VPN også er begrænset. Vi kan se, at lige så snart der bliver skruet for meget op for krypteringen, bliver linjen blokeret.


Tolererer de MPPE med RC4 128-bit? Jeg spørger, fordi jeg er interesseret i at se, hvor langt nation state-aktører er kommet ift. RC4, som jo heldigvis er forsvundet fra standardopsætningen i de fleste danske webservere efterhånden, selv om man ikke skal meget mere end 2 år tilbage, før det var default og flere steder obligatorisk..

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder