Lavabitfallet

augusti 12, 2013

Vid det här laget har ni kanske redan hunnit ta del av den gripande historien om Lavabit – e-posttjänsten som, så som det verkar, genom hemliga amerikanska domstolsbeslut tvingades övervaka innehåll och samtidigt belades med juridiskt bindande munkavle. Detta efter att det blivit känt att Snowden var en av användarna. Ansvarig såg ingen annan utväg än att stänga ner hela verksamheten och alla 410 000 mejlkonton och lämnade följande gripande meddelande på tjänstens hemsida:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.

What’s going to happen now? We’ve already started preparing the paperwork needed to continue to fight for the Constitution in the Fourth Circuit Court of Appeals. A favorable decision would allow me resurrect Lavabit as an American company.

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Sincerely,
Ladar Levison
Owner and Operator, Lavabit LLC

Historien finns beskriven i de flesta svenska nyhetsmedier. Det som jag tycker är märkligt är att ingen drar paralleller till situationen i Sverige. Statens Offentliga Utredningar publicerade i början av juni SOU 2013:39 med titeln Europarådets konvention om it-relaterad brottslighet (pdf). Där föreslås nya lagar som skulle göra det möjligt att ålägga i princip vem som helst att under ett antal månader bevara och lämna ut elektroniskt lagrade uppgifter som man redan innehar eller har åtkomst till.

Den som träffas av ett föreläggande måste enligt förslaget hålla tyst om det – ett krav som påminner starkt om fallet Lavabit. Den som besitter kunskap om hur ett datorsystem är upplagt kan också, enligt detta förslag, föreläggas att lämna de uppgifter som krävs för att husrannsakan ska kunna verkställas. Det kan enligt utredningen ”röra sig om att beskriva datasystemet, uppge lösenord och åtkomstkoder, lämna dekrypteringsnycklar, [...]”.

För att förslaget inte ska stå i strid med Europakonventionen bör nämnas att det finns en begränsning som innebär att den som är misstänkt för ett brott eller dennes advokat inte kan bli föremål för ett föreläggande.

Det finns i sammanhanget inget krav på att någon ska ha angetts som skäligen misstänkt och beslutet om föreläggande kan, verkar det som, fattas på stående fot av på plats varande åklagare eller undersökningsledare (”det finns inte anledning att låta rätten besluta om föreläggande”). Det behöver heller inte vara skriftligt i första skedet. Jag finner ingen beskrivning av eller begränsning av hur dessa lösenord, åtkomstkoder och dekrypteringsnycklar sedan skulle få användas eller hur en proportionalitetsbedömning skulle se ut.

Det känns som ett lagförslag som skulle må gott av mer diskussion…

Se även Sam Sundberg

Som jag rapporterade  för några månader sedan förväntas Hovrätten i Västra Sverige i september i år meddela om ett internetdomännamn kan förverkas. Jag trodde därför att åklagare i Pirate Bay-målet skulle invänta den domen, men enligt Ekot, Svt och Metro har det nu lämnats in ett yrkande till Stockholms Tingsrätt om förverkande av domännamnen thepiratebay.se och thepiratebay.is. Grunden är att domännamnen skulle utgöra hjälpmedel vid brott.

Jag tycker att detta är en mycket problematisk tolkning. Dels för att det kan få allvarliga konsekvenser för yttrandefriheten (det är ingen slump att Nils Funcke var den första person som jag sett lyfta fram nyheten) att slå in på den banan och dels för att jag rent principiellt har svårt att se vad man skulle ha för rätt att ”beslagta” namn och kännetecken.

För ett tag sedan kunde vi läsa hur Neste Oil ville stänga ned en parodisajt av Greenpeace som företaget upplevde vara besvärande. Vill vi verkligen se en utveckling där företag likt detta kan gå till domstol och yrka på att hela domännamn förverkas? I Aftonbladets tidiga historia drogs utgivningstillståndet gång på gång in, men tidningen kom ut under ett nytt men snarlikt namn. Vad hade hänt om namnet helt sonika förbjudits?

I samband med mitt tidigare inlägg gjorde jag litet egna undersökningar. Min tankegång var att om namn och kännetecken kan beslagtas av staten så borde rimligtvis Patent- och Registreringsverket, som bland annat hanterar varumärken, känna till något om detta. Jag ställde därför en fråga till myndigheten: ”Känner ni till några fall där domstol beslutat om förverkande av varumärken eller andra kännetecken för att de befunnits vara ‘verktyg vid brott’ trots att de inte i sig utgjort intrång i någon annans rättigheter eller på annat sätt i sig stridit mot de krav som varumärkeslagen ställer upp?”. Deras juristchef Magnus Ahlgren svarade att han inte känner till något sådant fall.

Ahlgren skrev vidare: ”Skillnaden mellan ett domännamn och ett varumärke i detta sammanhang är ju att ett varumärke enbart är ett kännetecken medan ett domännamn dels har en känneteckenfunktion och därtill har en adressfunktion till en viss hemsida på internet.” Det är förvisso sant, men det är heller inte långsökt att hävda att adressfunktionen har med vägledning att göra och att det är samma funktion som varumärken också ofta fyller.

Det är också oklart vad ett eventuellt förverkande skulle innebära. Skulle den tidigare domänägaren eller någon annan ges rätt att återregistrera samma domännamn (i varje fall om staten inte betalar den årliga avgiften)? Ett förverkande kan inte genomföras med mindre än att Stiftelsen för Internetinfrastruktur konfigurerar om sina namnservrar. Skulle beslutet vara utformat så att det är dem som beslutet riktar sig mot, och kan en omkonfiguration av en server verkligen beskrivas i termer av förverkande? Kan alla typer av webbtjänster bli föremål för förverkande?

Och skulle det verkligen vara värt att slå in på den här vägen när den enda effekten är en fragmentering av DNS och möjligtvis sämre säkerhet för internetanvändare?

Är det bara en fråga om proportionalitet och inte om principer, att inte avtal med ett tryckeri kan bli föremål för förverkande när en tidning gör sig skyldig till brott? Bryter vi inte genom en farlig barriär om vi börjar godta att staten, genom domstolars försorg, beslagtar verktyg för yttrandefrihet?

Skriv gärna kommentarer, men tänk på att min text handlar om den principiella frågan och inte just om Pirate Bay.

Amanda Palmer om mänskliga möten, tillit och att be om hjälp:

Den senaste tidens omtalade attack mot budbärarimmuniteten fick mig att gå tillbaka till förarbetena för att se vad som står där. Jag hittade då följande intressanta passage i proposition 2008/09:67 (s. 195):

En ytterligare fråga är om det finns anledning att gå ännu längre och införa en möjlighet att ingripa med vitesförbud mot mellanhänder som inte ens kan anses medverka till ett intrång i objektiv bemärkelse men vars tjänster ändå används på något sätt i samband med ett intrång. Den situation som då närmast är aktuell  är om ytterligare möjligheter bör införas att rikta förelägganden mot Internetleverantörer när intrång begås i deras nät. Denna fråga togs upp redan i samband med genomförandet av upphovsrättsdirektivet [s. 342].

Vad säger det om lagstiftarens avsikter? Frågan om mer långtgående möjligheter till vitesförbud kom att behandlas av Cecilia Renfors utredning – ni vet, den som föreslog ett system där digital exil kunde utdömas – vilken sedan avfärdades (något som förklaras i ovanstående proposition i anslutning till detta citat).

Förbud av tal och teknik

februari 21, 2013

Skulle du våga publicera numret 225462883947465775513356118837353101017734575740 på din hemsida? [*]

Det är ett hashvärde för en fil som innehåller allt material på Pirate Bay. För den som inte vet vad ett hashvärde är kanske man skulle kunna förklara det så här: tänk dig att du har tagit ett foto och förminskar det till 6 x 6 pixlar i gråskala. Då har du komprimerat informationen så hårt att du omöjligt kan få tillbaka originalet, men det som du har kvar kan ändå tjäna som ett slags fingeravtryck för originalfilen.

Tolkar du ljusstyrkan för varje pixel som ett värde och skriver dem efter varandra får du ett stort tal i stil med det ovan nämnda – en kod som identifierar innehållet utan att vara innehållet. Liknande ”komprimering” kan naturligtvis tillämpas på godtyckliga filer.

Numera publicerar inte TPB några traditionella länkar på sin webbsida och driver heller inte någon tracker. Istället postas filers hashvärde. De BitTorrent-program som körs på användarnas egna datorer kan idag skapa en katalog över vilka IP-adresser som rapporterat sig ha information om en fil med en viss hashsumma. Denna katalog, kallad DHT, byggs upp på ett distribuerat sätt där varje användares datorprogram drar sitt strå till stacken och hjälper till med att svara på förfrågningar.

Mot bakgrund av detta är det intressant att ställa sig några frågor:

  • Skulle publicering av talet 225462883947465775513356118837353101017734575740 kunna ge nära 1 års fängelse och mångmiljonskadestånd?
  • Om du öppnar din BitTorrent-klient för att helt lagligt ladda hem t ex. operativsystemet Linux och datorprogrammet i bakgrunden, som en del av DHT-tekniken, automatiskt hjälper en annan användare att hitta rätt till andra, för dig helt okända, användare som delar ut en piratkopierad fil, gör du då något olagligt?
  • Om du inte gör någonting olagligt när du hämtar Linux på ovanstående sätt, varför ansåg då Hovrätten sig ha rätt att förbjuda internetleverantören Portlane att ge internetaccess till trackern openbittorrent.com?  Den trackern utförde väsentligen samma typ av jobb som din BitTorrent-klient med DHT-stöd gör. Lägg därtill att i båda fallen handhas ingenting annat än IP-adresser och hashsummor – inga filnamn eller beskrivningar förekommer. Det är alltså omöjligt att veta vilka filer som överförs.
  • Om vitesförbudet inte ska tolkas som att handlingen i sig är olaglig, innebär det då att domstolar har rätt att på liknande sätt förbjuda enstaka BitTorrent-användare från att använda sig av modern BitTorrent-teknik?

Avslutningsvis skulle jag vilja nämna något helt annat som är värt att hålla ögonen på:

I september i år kommer Hovrätten för Västra Sverige i en vägledande dom (mål B 3613-12) att besluta om internetdomännamn kan be föremål för förverkande i Sverige (tingsrätten ansåg det), dvs. att domännamnet ifråga, om jag förstått saken rätt, tillfaller staten. Utöver att Nils Funcke tagit upp det och att det diskuterades kort på Internetdagarna så verkar saken ha gått ganska obemärkt förbi, vilket är högst beklagligt.

[*] Det här talet är nästan identiskt med det korrekta, men en siffra har ändrats. Se TorrentFreak för detaljer. Förresten, är det ingen T-shirtsförsäljare som funderat på att trycka upp det hexadecimala numret?

Är du bekväm med att Paypal har fri tillgång till dina Dropbox-filer för att kunna övervaka deras innehåll? Inte?

Det skulle nämligen kunna vara följden av PayPals krav på dem som tar emot PayPal-betalningar som ersättning för ”fildelningsprogram och tillgång till nyhetsgrupper”. Dessa villkor föreskriver nämligen att betalningsmottagaren ”must provide PayPal with free access to their service, so PayPal’s Acceptable Use Policy department can monitor the content.”

Jag har utan resultat sökt Dropbox för en kommentar.

När en internationell internetsajt anklagades för att förolämpa Atatürk beslutade en turkisk domstol att den i enlighet med nationell lagstiftning skulle blockeras. Telekommunikationsdirektoratet (TiB) som var ansvarigt för att se till att beslutet genomfördes insåg att det inte tekniskt skulle gå med mindre än att blockera hela Google Sites. Därför begärde man och fick godkännande från en domstol att förfara på det sättet. En turkisk student som hade en helt orelaterad sajt drabbades av överblockeringen och hans klagomål gick till Europadomstolen där han nu fått upprättelse.

Beslutet finns ännu bara på franska, men det finns en engelsk press-release. Domstolen beslutade att överblockeringen stod i strid med Europakonventionens artikel 10, eller som det står i press-releasen:

”By  virtue  of  Law  no.  5651, a court could  order  the  blocking of access  to content published  on  the  Internet  if  there were sufficient reasons  to suspect  that  the  content gave rise to a criminal offence. However, neither Google Sites nor Mr Yıldırım’s site were the subject of court proceedings in this case. Although the decision of 24 June 2009 had found Google Sites to be responsible for the site it hosted, no provision was made in Law no. 5651 for the wholesale blocking of access as had been ordered by the court.

Även om det bör påpekas att den turkiska lagen hade vissa brister (t ex. alltför dåliga krav på proportionalitetsbedömning) så tycker jag ändå att det är intressant att jämföra med den svenska dom som tvingade Internetoperatören Black Internet att blockera TPB i sina nät. Black Internet förbjöds närmare bestämt att medverka till att ett litet antal filmer och musikverk filldelas illegalt via TPB. Men det enda sättet att i praktiken uppfylla de krav som hovrätten ställde i sitt föreläggande var att blockera hela sajten, som naturligtvis användes till att utbyta en hel del material lagligt.

I press-releasens sammanfattning av domen står:

Article 10 guaranteed  freedom of expression to  “everyone” and applied not only to the content of information but also to the means of disseminating it.

Ponera nu att hovrätten skrivit rakt ut att Black Internet förbjuds att ge TPB internetaccess (istället för att endast medverka till fildelning av vissa verk – konsekvensen blir ju densamma). Då skulle det finnas en hel del likheter med det turkiska fallet, dvs. att oskyldig tredjeparts inhämtning och spridning av information inskränks. Frågan är vad man ska anse om förelägganden där överblockering inte explicit uttrycks men där det blir den enda naturliga följden.

via Techdirt
Se även Blockering av webbsajter – några reflektioner

Följ

Få meddelanden om nya inlägg via e-post.