Statsretter og Menneskeretter

FBI & NSAs "reverse-hack" af Exchange Servere vil formodentlig gå over i historien som et juridisk vandskel.

Liberalister mumler bekymret om "expropriation" og "privatliv" og det er bestemt ikke uvæsentlige pointer.

Men lad os lige få noget på plads først.

Hvad enten man henter sine rettigheder i den europæiske konvention om menneskerettigheder (ECHR) eller FN's ditto (UDHR), bliver man nødt til at forholde sig til underskriften:

Illustration: Fra EU's arkiv

Trakterne er underskrevet af stater og hvis man læser dem ordentligt, giver de ikke noget bort som de kunne få brug for senere.

Graver man dybere når man til den Westfalske fredskongress i 1648, hvor staterne blev enige om at de hver især havde autonomi og herskeret indenfor deres egne grænser.

Jeg kan ikke finde den dommerkendelse der gav NSA og FBI grønt lys til operationen, men jeg er ret sikker på hvad den siger: "statens og borgerenes sikkerhed" og der slutter festen.

Juridisk set er sagen ikke forskellig fra hvis myndighederne opdagede, at et stort antal virksomheder havde modtaget uønskede aflåste 20' containere, som ved nærmere eftersyn viser sig at indeholde sprængstof med en radiostyret detonator.

Selv ikke den mest rabiate menneskeretsjurist, vil være i tvivl om at staten uden varsel kunne køre igennem porte og hegn for at fjerne disse containere og skrive et brev til ejeren bagefter.

Med det af vejen kan vi rette synet imod det interessante spørgsmål:

Er det en branche stater bør være I og hvornår skal de være det ?

Indtil videre har svaret været et rungende nej, primært fordi det ville koste staten en masse penge og rejse en masse ubehagelige juridiske spørgsmål[1].

Men selvfølgelig er der en grænse, en stat kan ikke tillade at andre stater, stort set uhindret, opererer indenfor grænserne og med USAs nye regering er den grænse tydeligvis blevet flyttet.

Der er ingen tvivl om at de "flere hundrede" Exchange servere juridisk var den simpleste sag at starte med: Serverne står i virksomheder, så det er slet ikke nødvendigt at tage stilling til "boligens ukrænkelighed", eller for den sags skyld "privatliv", for virksomheder har ingen rettigheder på det punkt.

Det bliver mere speget når vi kommer til Internet-of-Shit i private hjem.

Det er nogenlunde juridisk klart at USA kan overvåge metadata på folks internetforbindelser uden de store juridiske sværdslag og derfor er detektion af f.eks trojan'ed baby-alarmer, køleskabe, dørklokker, termostater, biler eller andet ikke et problem[2].

Men vil det være juridisk OK for USA at bruge et hul i baby-alarmen til at brick'e den ?

"That is a very interesting question, and who knows what the retirees would think of that?" svarede en jurist, med henvisning til USA's Højesterets meget lidt "cyber" sammensætning.

Kigger vi på Danmark har jeg meget svært ved at forestille mig en tilsvarende operation.

FBI's modstykke er Rigspolitiet og NSA's forebyggelsessektion svarer til CfCS.

Forskellen i både budget og kompetence kan dårligt værre mere dramatisk[3].

Ud over det indlysende "Olsenbanden" eller "Keystone Kops" aspekt, betyder det også at staten Danmark ikke aner om der er et problem til at begynde med.

SolarWinds har dog tydeligt slået fast at det er der og samtidig vist at man kan ikke bare overlade problemet til "aktørene selv"[4]

Det er endnu ikke en hastesag for staten Danmark at tage beslutninger om dette betændte emne.

Men når det pludselig bliver det, er det for sent at gøre det.

phk

[1] F.eks hvofor FBI ikke burde sende regningen for operationen og alle eventuelle erstatningskrav direkte til Microsoft ?

[2] NSA er inkompetente, hvis de ikke allerede har katalogiseret og indexeret den viden.

[3] Glem ikke at FBI aflyttede kommunikationen mellem CIA's direktør og hans elskerinde(!)

[4] Har nogen overhovedet overvejet om SKI aftaler medvirker til uhensigtsmæssige IT-monokulturer ?

Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Henrik Juul Størner

Man taler ofte om at statens indgriben overfor individet skal være "proportionelt" - altså at staten ikke må gøre mere end hvad der er nødvendigt for at opnå det formål som begrunder indgrebet.

Mht. private babyalarmer og andet Internet-of-Trash udstyr, så ville det mindst indgribende tiltag vel være at lukke ejerens Internetforbindelse. At reverse-hacke udstyret er desuden mega-besværligt, og så får staten vel potentielt også et ansvar hvis de kommer til at fumle i løsningen (det er set før ...)

Og ang. [4] - svaret er ja. Og den ensidige over-fokus på pris over kvalitet hjælper heller ikke.

  • 3
  • 0
#3 Michael Cederberg

Men vil det være juridisk OK for USA at bruge et hul i baby-alarmen til at brick'e den ?

Problemet er evt. følgeskader. Hvad hvis der opstår brand i rummet som familien ikke opdager det fordi baby-alarmen ikke virker o.lign.

Jeg kan kun se den slags blive brugt hvis det handler om kerneinteresser for samfundet og hvis man kan være ret sikker på ikke at ødelægge noget. Ifbm. Hafnium sagen tænkte jeg at myndighederne kunne tvinge ISP'en til at cutte internetforbindelsen til virsomheden. Men der ryger vi så ud i alle de andre ting der måtte blive ramt og måske er serveren kun brugt til test og virksomheden har opdelt sit netværkt og .... og ... og ...

Løsningen er at tvinge ansvarlighed igennem gennem erstatningskrav. Det er den slags virksomheder forstår. Mere generelt så rejser det spørgsmålet om hvorfor alle IP adresser skal kunne tilgå alle andre IP adresser. Jeg er klar over at det vil være en markant ændring af internettet men jeg tror vi skal derhen. At der findes et antal netværk som kun kan tilgås by invitation. Det vil ikke løse alt men det kan reducere problemet når der sker noget.

[1] F.eks hvofor FBI ikke burde sende regningen for operationen og alle eventuelle erstatningskrav direkte til Microsoft ?

Det vil være et markant brud med den måde virksomheder opererer i de fleste lande. Der kan man i princippet aftale sig ud af alt. I dette tilfælde har Microsoft fraskrevet sig ansvaret og det er således op til virksomheden om de vil bruge software. Hvis dit forslag gennemføres så vil resultatet være vandvittig dyr software eller at det bliver ligesom at købe en cykel i Kvickly hvor den kun er samlet 90% for at undgå at Kvickly skal have cykelhandler ekspertise.

Og så kommer vi til OpenSource ... hvem sender jeg regningen til for et sikkerhedsproblem med WireGuard i FreeBSD?

[4] Har nogen overhovedet overvejet om SKI aftaler medvirker til uhensigtsmæssige IT-monokulturer ?

IT-monokulturer kommer af at IT er kompliceret og at nogen områder er blevet modne (fx. CPU'er). Vi ser det også i andre brancher. Hvor mange producerer fx. motorstyring til ICE eller bremseskiver? Hvor mange producenter er der af fly?

  • 3
  • 0
#8 Michael Jensen

I stedet for at hacke 100-vis af servere er det vel lettere at placere filtre på strategiske steder på nettet som kan fjerne bot-net trafik. Når man som her ved hvad bagdøren er kan man vel også stoppe trafik til den.

  • 1
  • 1
#9 Anders Lorensen

CfSC burde have lov at exploit of slukke/disable all services som ikke er patchet inden for 24 timer

Får jeg så en regning hvis jeg har sat en honeypot op, som de har spildt en eftermiddag på at forsøge at hacke?

Og når jeg politianmelder hacket, hvem sender politiet så regningen til for den tid de har spildt på efterforskningen?

Nej. CFCS skal måske have lov til at lukke folks internet forbindelser, eller filterer trafikken på dem. Gerne med et gebyr/bøde for mangelfuld sikkerhed, for at få genåbnet forbindelsen, så hr og fru Jensen og den lokale tømremester får et incitament til at stramme op på sikkerheden. Men at hacke andre folks devices er kun dumt og giver et hav af afledte problemer.

  • 1
  • 0
#10 Klavs Klavsen

Men det ændrer ikke på det principielle: Hvad, hvis Exchange havde været et FOSS produkt med samme udbredelse og samfundskonsekvens, hvad så...

i og med at der ikke findes produktansvar software (hvorfor de stadig slipper for det forstår jeg ikke) - så er sagen sådan set ens for købe og FOS Software. Evt. ansvar ligger hos ejeren af det pågældende system - uanset hvilken software der er installeret derpå.

Når man bruger FOSS - så er licensen man får det netop at man accepterer at det er ens EGET ansvar - så man har dermed selv valgt at tage ansvaret og man vil selv blive holdt ansvarlig for "følgeskader/omkostninger".

Skulle produktansvarslove komme til at gælde for købe software - så ville det være interessant præcis hvordan.. Det har PHK en del tanker om kan jeg huske.. et skriv på ACM om sagen :)

  • 2
  • 0
#13 Michael Cederberg

Når man bruger FOSS - så er licensen man får det netop at man accepterer at det er ens EGET ansvar - så man har dermed selv valgt at tage ansvaret og man vil selv blive holdt ansvarlig for "følgeskader/omkostninger".

Men når man vælger at købe en Exchange licens og køre Exchange lokalt - så er licensen man får det netop at man accepterer at det er ens EGET ansvar - så man har dermed selv valgt at tage ansvaret og man vil selv blive holdt ansvarlig for "følgeskader/omkostninger".

Det må være ens for open source vs. commercielt software.

Alas, det er en dødsejler under alle omstændigheder. Når man køber alverdens udstyr så er der bunker af begrænsninger på hvordan man må bruge det. Det vil være for nemt at skrive licensbetingelserne sådan kunden er nødt til at bryde konditionerne for brug af softwaren og så ryger ansvaret. Softwaren kan også sælges som SDK og så bliver det håbløst at give ansvaret til nogen for det samlede system (det er princippet når man køber en cykel i Kvickly). Eller komponenten der connecter til andre systemer er gratis og leveres separat fra resten af systemet.

Pointen er at hvis man kan ende med ansvaret for problemer kloden rundt så er man nødt til at finde veje til at håndtere samme. Hæve prisen, smide ansvaret over på kunden alligevel, placere ansvaret i en virksomhed der kan gå konkurs hvis det er nødvendigt, etc.

  • 0
  • 1
#16 Thomas Kjeldsen

Jeg synes det er fornuftigt at brandvæsenet rykker ud og slukker en brand i en facilitet når der er overhængende fare for at branden spreder sig til nærliggende faciliteter.

Dengang man tog til IT-konferencer blandt andre mennesker var noget af det første man kunne få øje på ved indgangen en oversigt over flugtveje, max antal personer osv.

På skiltet ved siden af var typisk printet navn og kodeord på et wifi-netværk. Intet tilsyn eller beredskab på den del, så vidt jeg ved.

Der er måske forskel i proportionalitet mellem folk der fanges i en brændende bygning og så kompromitterede elektroniske systemer, men jeg synes det er pudsigt at vi har udemærkede krav om at brandinspektøren regelmæssigt tjekker brandveje, mens der tilsyneladende hverken findes beredskab eller regelmæssig kontrol af internetforbundne elektroniske kommunikationssystemer.

Fortsættes denne analogi vil det naturligvis være noget overraskende med brandvæsen der opererer på tværs af landegrænser uden foregående aftale.

  • 5
  • 0
#19 Maciej Szeliga

Så har alle vist fået luftet deres automataversion imod hhv. FOSS og Closed source ?

Nu har du selv blandet SKI og monokultur ind i det og det tænder helt automatisk for den del af debatten.

Exchange er slet ikke nem for virksomheder har muligvis ikke nogen rettigheder men det har både de ansatte og kunderne. Dermed har alle virksomheder med egen Exchange mistet data som de skal beskytte.

  • 1
  • 0
#25 D- -K

Der er måske forskel i proportionalitet mellem folk der fanges i en brændende bygning og så kompromitterede elektroniske systemer, men jeg synes det er pudsigt at vi har udemærkede krav om at brandinspektøren regelmæssigt tjekker brandveje, mens der tilsyneladende hverken findes beredskab eller regelmæssig kontrol af internetforbundne elektroniske kommunikationssystemer.

Og skulle nogle forbrydere have fået adgang til bygningen via en bagdør, og placeret en benzin-slange gennem kælderen, for at sprede ilden videre over til naboen, er det så ikke ok at forbindelsen til kælderen stoppes? Måske skal det være hele matriklen med de konsekvenser det medfører. Proportionalt(!?).

  • 0
  • 1
#26 Poul-Henning Kamp Blogger

Proportionalt(!?).

Der er helt klart et meget ømt punkt der hedder "riskovurdering" her og det kunne være rigtig interessant at læse hvordan den NSA afleverede til FBI ser ud.

Det lader til at konsensus ovenfor er at I Danmark ville man lukke for internetforbindelsen, men det synes jeg er at komme meget nemt om hjørnet.

Derfor: Antag det er jeres job. Hvad skal der til før I beder om dommerkendelse til at lukke for internettet til:

A) En husstand

B) En skole

C) Et plejehjem

D) Et kommunekontor

E) Et hospital

F) En lille ikke-IT virksomhed

G) En stor ikke-IT kontorvirksomhed

H) En stor produktionsvirksomhed

I) En lille IT-virksomhed

J) En stor IT-virksomhed

K) Banegården

L) Lufthavnen

M) Brandstationen/Beredskabet

N) Politigården

O) Et minsterium

P) Slotsholmen

Q) En hel by

R) Hele landet

  • 3
  • 0
#27 Michael Cederberg

Derfor: Antag det er jeres job. Hvad skal der til før I beder om dommerkendelse til at lukke for internettet til:

Der skulle rigtigt meget til. En husstand kan have vigtige ting der er IP baseret. Men i det hele taget bør der skulle rigtigt meget til før myndighederne ruller IT-brandbilen ud med (IT) vandskader og (IT) døre der bliver slået ind. Hvert eneste tilfælde skal vurderes individuelt ... ikke noget med at køre et script der siger "for $IP in list-of-ips ; kill-internet-connection $IP". Jeg tror ikke det kommer til at ske (særligt ofte).

Jeg ser nærmere for mig at hver IP adresse har en ansvarlig der kan kontaktes og som også er ansvarlig for evt. skader forvoldt ... det vil også give muligheder for myndighedernes ønske om overvågning. Hvordan det skrues sammen skal jeg ikke kunne sige og det er klart område der kan ødelægge internettet hvis man går for langt og vi må også have styr på privacy.

  • 0
  • 0
#28 Troels Folke

Alle disse ubehagelige dilemmaer kunne vi i nogen grad undgå at tage stilling til, hvis vi indførte en ret til at leve analogt - det vil sige, et liv uden digital systemtvang. Hvis det reelt set var frivilligt at eje en smartphone, så ville det være et mindre problem, at personlig data fra telefonen konstant høstes af firmaer og stater. Men i og med, at det ikke er dét, så er vi nu havnet et dårligere sted - privatlivsmæssigt og i forholdet mellem borger og stat (eller store virksomheder) - end hvor vi var i den gamle analoge verden. For 30 år siden ville man jo have ment, at en sådan grad af overvågning kun hører kommunistregimer til.

  • 5
  • 0
#29 Poul-Henning Kamp Blogger

Alle disse ubehagelige dilemmaer kunne vi i nogen grad undgå at tage stilling til, hvis vi indførte en ret til at leve analogt

Det lyder dejligt simpelt, men for det første er det kun en løsning for det meget lille mindretal der ønsker at leve på den vis og for det andet kolliderer det direkte med "barnets tarv" hvis de pågældene personer er omsorgspersoner for mindreårige.

  • 2
  • 0
#30 Bjarne Nielsen

Det lyder dejligt simpelt, men for det første er det kun en løsning for det meget lille mindretal der ønsker at leve på den vis og for det andet kolliderer det direkte med "barnets tarv" hvis de pågældene personer er omsorgspersoner for mindreårige.

Med mindre at du groft overfortolker, misforstår eller overforsimpler Troels indlæg, så er det nok det tåbeligste som jeg har hørt i nyere tid (og det skyldes ikke mangel på ambitiøse konkurrenter).

PS: Helt generelt, og uden særlig sammenhæng, så er forskellen på debat og skænderi er ofte fraværet af argumenter. Ofte erstattet af løsrevne påstande om, at modparten kun repræsenterer et meget lille mindretal. Eller ditto henvisninger til at forsvare generelle hensyn (...eller for den sags skyld liberal brug af mere eller mindre selvfundne stråmands-skældsord som f.eks. venstresnoet, RINO, woke eller IT-liberalist, men så dybt er vi heldigvis ikke sunket endnu).

  • 0
  • 4
#31 Bjarne Nielsen

Troels, du har ret i, at andre har skabt et umuligt valg. Som det er i dag, så er det at deltage på lige fod i alt hvad samfundet tilbyder lig med ikke bare at lade sig overvåge 24/7 af uvedkommende, som hverken skænker fællesskabet eller dine interesser, men kun egen berigelser på sinde, men også er skubbe samfund og fællesskab i problematisk retning. Det eneste sted, hvor de begynder at udvise noget, som kunne misforstås for samfundssind eller ansvar er, når det truer deres frie leg eller bundlinje.

Og, som for at føje spot til skade, så skal vi selv betale for vores "fodlænke". Og for at holde den opdateret, for trods dens brug af eksotiske og knappe ressourcer, så lader det til at blive forældet hurtigere økologiske sydhavsfrugter i en frugtskål.

Så ja, det burde være ret til, efter eget valg, at fravælge at have eller bruge en smartphone, på en case-by-case basis. Især set i lyset af, at vi ved, at 10% af danske husstande ikke har en smartphone. Endsige en nyere af slagsen. Men selv hvis man har en, så bør det aldrig være en forudsætning for at benytte sig af offentlige tilbud eller deltage i samfundet i almindelighed.

Det bør aldrig være et valg imellem overnational overvågning og svenske ødegård (og selv det er ikke nok, de får dig for eller senere, uanset), og derfor har du ret i, at vi skal have fjernet dem, som i misforstået godhed er med til at gøre valget så ekstremt og så umuligt.

Men jeg må sige, at det er symptombehandling. Vi burde have retten til BÅDE at være i fred og have en smartphone. At det ender med at blive ødegård eller udnyttelse er et urimeligt og umuligt valg.

...og når vi har løst udfordringerne med smartphones, så er der lige et par andre steder at tage fat - som f.eks. at vi længe ikke har kunnet have en samtale i fortrolighed med vores egen læge.

  • 6
  • 0
Log ind eller Opret konto for at kommentere