Bombmattor är mindre effektiva än man kan tro…

Det är dags för en visualiserad liten lektion i brottslighetens teknologi. Uppenbart är att varken Cecilia Malmström eller hennes närmaste underhuggare har en susning om problemens komplexitet — för den enda alternativa förklaringsmodellen är att hon och hennes gelikar medvetet för oss bakom ljuset, och så kan det väl inte vara?

Idag läste jag på en blogg som HAX länkade till en beskrivning om hur illegalt innehåll (i det här fallet barnporr) kan distribueras på ett sätt som gör det oerhört svårt att komma åt. Det var en intressant men onödigt tekniskt krånglig beskrivning av en metod som i all sin enkelhet är självklar.

I grunden handlar det om att dölja vem som betalar för en server och att skilja den server som faktiskt innehåller barnporr från de servrar som syns för en utomstående betraktare. Det kräver att man är hyfsat tekniskt kunnig, men kräver i övrigt ingenting märkvärdigt annat än en skrupelfri läggning och tillräcklig motivation…

planskiss serverstrategi

Den anonyma serverhyran

Det finns tre grundläggande metoder att hyra servrar utan att synas: Att använda stulet kreditkort, att använda ett ”gift-card”, eller att använda sig av tjänster som paypal eller webmoney. Man kombinerar hur som helst en betalningsmetod där man inte personligen figurerar med sitt namn, med falska identitetsintyg av endera slaget. Med stulna kort kommer det hela i så kallade ”card kits”, men oavsett metod så krävs en förfalskning för att förbli anonym.

När man väl valt och förberett sin metod att betala anonymt, så använder man metoden för att skaffa sig en uppsättning servrar spridda över världen. Därefter är det dags att konfigurera sin illegala hantering i en slags lökmodell. Jag tänker beskriva den inifrån och ut.

Innehållsservern

I kärnan på löken finns själva innehållet, det vill säga precis den barnporr som vi alla hatar så innerligt. Den är naturligtvis grovt olaglig, så det är den här som skall skyddas till varje pris.

Genom en kedja av maskiner som ger anonymitet loggar administratören in på servern via SSH, något som ger honom eller henne tillgång till servern på systemnivå. Diskarna krypteras och konfigureras på ett sätt som ser till att de kopplas ifrån om servern stängs av eller kontaktas på fel sätt. I princip innebär det att varje försök att säkra servern polisiärt, med stor sannolikhet leder till att diskarna med innehållet inte längre går att läsa eller få tillgång till.

En brandvägg konfigureras så att servern endast kan kontaktas av bestämda maskiner på ett bestämt sätt, alla övriga anslutningar nobbas. Den metod som används för anslutning är samma som i ett företags VPN — det vill säga samma metod som en person som inte är på kontoret använder för att krypterat prata med kontorets servrar.

Den här servern syns inte i några DNS:er, ingen fysisk person utöver administratören kommer att överhuvudtaget vara medveten om den här serverns identitet. Den är fullständigt anonym och inte mer märkvärdig än en hel hord av företagsservrar. När dessutom alla serverns loggar skrivs till /dev/null, det vill säga till serverns inbyggda lilla svarta hål, så finns inget att analysera även om polisen skulle både hitta och lyckas få tillgång till serverns innehåll.

Förmedlingsserver

Så för att användaren skall kunna få kontakt med innehållet behövs ett mellansteg som förmedlar kontakten. Det handlar om en slags proxyserver, vars enda uppgift är att fungera som mellansteg mellan innehållsservern och besökaren. Genom denna förmedling förblir innehållsservern anonym och det går att bygga hur många lager lök man vill runt innehållet.

Förmedlingsservern har inte heller den några loggar, även den är krypterad och den saknar eget innehåll. Till de olika förmedlingsservrarna pekar en domänserver som fördelar trafiken.

Det som händer när man bygger på det här sättet är att redundansen blir stor, och att man ofta får rejält med förvarning om någon försöker nysta upp nätverket. Om man konfigurerar det så att det finns rejält med mellansteg, så kan man plocka ut ett av dem för att få ett spår att sluta i en återvändsgränd.

Konsekvenser

Att man tekniskt löser problemet med att serva förbjudet innehåll innebär inte att man för den skull väljer att lägga eländet på en öppen hemsida — tvärtom. De som är intresserade hittar ändå dit förr eller senare, och ju mindre väsen man gör av sig desto mindre uppmärksamhet får man från lagens långa arm.

Meningen med den här manövern var att visa hur komplicerat det är att komma åt barnpornografin vid källan.

Det i sin tur visar på en annan sak, en som politikerna säger sig förstå men som de ändå helt tycks missa: att det krävs långtgående internationellt samarbete för att ha en chans att spåra distributörerna och därmed i nästa led förövarna.

Om vi mixar äpplen och päron blir det oerhört svårt att få en genuin internationell uppslutning.

För att vara drastisk så blandar vi grova övergrepp på barn med japanska serieteckningar med sexuell laddning. Det första är olagligt överallt i hela världen (såvitt jag vet), medan det andra av naturliga skäl inte är det. Dessutom håller vi det inte rent från andra saker som inte borde ha med frågan att göra, som: droger, fildelning, bedrägerier, sabotage, dataintrång, integritetsbrott, finansbrott och spam.

Om vi för ett ögonblick orkade bortse från vårt eget äckel och titta nyktert på frågan, skulle vi inse att vi måste hålla rent för att lyckas med något alls. Rent som i att det måste handla om otvetydiga och internationellt entydiga brott — att det inte får handla om brott utan offer. Det måste också handla om att angripa distributionsledet, eftersom det är där kopplingarna till förövarna finns.

Det som nu händer är istället att allt vattnas ur genom att allt innefattas, istället för att använda skalpell så klipper man till problemet med en våt filt. På det sättet löser man inga problem, men man ser handlingskraftig ut och kan ta till brösttoner i debatten.

Det tekniska inkompetensen blir ytterligare tydliggjord av de metoder man föreslår. Man vill använda sig av RIPE, vilket innebär att man kan bomba ut tusentals adresser/användare för att komma åt en enda — för att inte tala om att det är en envägsåtgärd. Tydligt är att man förstått att DNS-filter är triviala att undvika och går vidare på IP-adresserna, men att man inte förstår konsekvenserna av en sådan upptrappning.

Analyserar man modellen jag beskrivit ovan, så inser man snabbt att inte ens bombmattor mot IP-nummer på något sätt garanterar att man lyckas klippa det man är ute efter. Det är snarare en slags desperation man uppvisar, en slags nutidens motsvarighet till första världskrigets generaler. De upptäckte den hårda vägen att krigets spelregler drastiskt förändrats — men eftersom de inte hade ett svar på hur man anpassade sig, så gjorde de bara mer av allt som redan visat sig kosta tusentals och åter tusentals liv. Situationen idag är att spelbrädet totalt bytts ut i och med internet. Den kontroll som förr var självklar är i dag näst intill omöjlig med mindre än att man drar ut pluggen. När man inte lyckas kontrollera det som inte är gjort för att kontrolleras, försöker man allt mer intensivt trots att allt visar på att man är fel ute.

I avsaknad av vettiga svar ägnar man allt större energi åt att göra fel, men är det så vi skall möta framtiden?

Tittförbud och ungdomlig sexualitet

Det är inte många frågor jag skyggar för att skriva om, men barnpornografi är en av dem. Just därför känner jag att jag måste spotta i händerna, för den mängd magsyra det skapar är i sig en varningssignal att något är väldigt, väldigt fel.

Att jag skriver just nu handlar förstås om det förslag till tittförbud som kan komma att bli lag redan i mitten av nästa år. Ett förslag som på ytan säkert är välment, men som helt missar ett antal litmustest för vad vi kan lagstifta om och hur.

Sexualisering av nakenhet

Man kan få en känsla av att barnporr är något väl definierat, men i så fall bedrar man sig. Helt klart finns material som utan tvekan passar beteckningen. För handlar det om en film med en skräckslagen tolvårig flicka och fyra anonyma män i hockeymasker som droppar stearin på henne samtidigt som de kör upp saker i diverse hål, så är det klart att det är fråga om övergrepp.

Men istället skulle jag först vilja ta fasta på förändringen i synen på nakenhet. När jag själv växte upp under sjuttiotalet var nakenhet överlag inte konstigare än att man inte hade kläder på sig. Naturligtvis fanns det pedofiler och hebefiler även då, men de präglade inte samhällets syn på barns avsaknad av kläder.

Såväl när jag gick på dagis, som när jag direkt efter gymnasiet jobbade på dagis, så fanns det sommardagar då plastbassängen åkte fram och kläderna av. Inte satt vi och spejade om någon gömde sig bland buskarna, inte heller reflekterade någon över att den nakenheten skulle vara ett övertramp mot barnen. Bara några år senare förändrades den situationen drastiskt, och så kort tid som tio år efter att jag slutat jobba som dagisfarbror skulle avsaknad av badkläder med stor sannolikhet inneburit badförbud. Idag är situationen så infekterad att vi föräldrar fick tydliga instruktioner när barnens simskola hade avslutning att vi inte fick fotografera om några andra barn än våra egna fanns i sökaren. Då var barnen ändå klädda i badkläder, så de var inte ens nakna.

Någonstans på vägen har med andra ord all form av nakenhet satts i sexuell kontext. Vårt västerländska tabu mot nakna kroppar, som vi äntligen hade börjat luckra upp, har nu slagit tillbaka i en backlash som skulle utnämnt till och med Carl Larsson till pedofil.

Definition av barn

En annan aspekt som är fullständigt absurd är vår definition av barn. I Sverige är byxmyndighetsåldern femton år. Ingen kan dömas för att en femtonåring frivilligt haft sex med dem. Är man däremot fjorton år och 364 dagar gammal, så kan det leda till våldtäktsdomar för den man haft sex med.

Oavsett vad man anser om byxmyndighetsåldern, så är den trots allt femton just nu och kommer nog fortsätta vara så. Det vill säga om inte de värsta av moralisterna får sin vilja fram fullständigt. För nu vill man skapa en ny definition av ”barn”, i alla fall när det gäller bilder och filmer av sexuell natur. Barn kommer nu vara alla som inte är arton fyllda, vilket gör en betydande del av dagens ungdomar till ”barnpornografibrottslingar”.

Med den nya definitionen av ”barn” kommer det fortfarande vara lagligt att ligga med en femtonåring, men om han eller hon fotograferar tillställningen och ger en kopia till sin äldre partner kommer det vara olagligt att inneha eller ens se på den kopian. Hårdrar man det hela, skulle det vara olagligt för mig att behålla bilder på mig själv i sexuell kontext från åren innan jag fyllt arton. Det finns mig veterligen inte några undantag för egna bilder – men även om undantag skulle finnas, skulle det vara olagligt för någon att titta på mina bilder även om jag själv frivilligt visar upp dem.

Det kanske är ofrånkomligt att ha en fast ålder för byxmyndighet, men vi måste ha respekt för ungdomars sexualitet. Åren mellan de första sexuella känslorna och upptäckterna, och fram till inträdandet i vuxenlivet är den period då många om inte de allra flesta har sin starkaste sexualdrift. Det kan vi inte förneka, eller försöka förhindra, utan att samtidigt göra samhället mörkare och mer hycklande. Det är helt OK att ha personliga moraliska aversioner mot ungdomlig sexualitet, men det betyder inte att den personliga moralismen skall lagfästas.

Övergrepp

En redaktör på en liten månadstidskrift skrev för många år sedan ett kåseri där han berättade om en reklamskylt för underkläder som satt fullt synligt utanför hans kontorsfönster. Han var nyligen frånskild, och såg varje gång han tittade ut genom fönstret en gigantisk rumpa i ett par väldigt sparsamma tangatrosor. Han berättade hur det spelade samman med hans egen ensamhet och sexuella frustration, hur han närmast mot sin vilja blev upphetsad. Han berättade att han senare sett samma bild i betydligt mindre format, och inte kunnat förstå sina egna tidigare reaktioner.

Det är möjligt att modellen som visade sig i minimala trosor skulle blivit störd av att få veta att någon blev kåt av att titta på bilden, men det gör det inte heller till ett övergrepp. Jag hade länge några bilder från min ungdom där jag i sängkammaren plåtat min då sjuttonåriga flickvän. Den var inte ett övergrepp eftersom hon visste när och godkände att jag tog den, och att hon skulle fått den av mig om hon så ville. Det gäller att sätta saker i sitt kontext och se att allt som är naket och sexuellt inte kan klippas med samma sax, slås med samma klubba eller bedömas med samma ögon.

Det illustreras väldigt väl av Johanna Sjödin i hennes Expressenartikel:

Dagens unga har till skillnad från författarna till lagförslaget växt upp med teknik som möjliggör reflexmässig dokumentation av fest och vardag. Verklighetens unga väljer öppet att publicera och göra nakenbilder på sig själva tillgängliga för andra. I dag finns det knappt några unga som inte äger sex- och nakenbilder på sig själva.

Johanna beskriver verkligheten utifrån ungdomarnas perspektiv. Jag tvivlar att någon av lagförslagets författare ens bemödat sig om att ta reda på hur ungdomarna själva ser på saken. Johanna har själv fått se sin blogg stängas ner efter barnpornografianmälan, hon har fått se den filtrerad i olika sammanhang, och om ett halvår kan sidhuvudet på hennes blogg vara olagligt att titta på — men är det fråga om ett övergrepp?

Det som är ett övergrepp är att utsätta någon för sexuella tvångshandlingar, oavsett om det handlar om våldtäkt, sexuell posering eller annat liknande. Om sedan offret för övergreppen inte är könsmoget så blir bilder och filmer som tagits barnpornografiska. Det måste finnas ett uppsåt, vilket gör tittförbud och till och med innehavsförbud till en legal moras. Det måste också finnas ett faktiskt övergrepp, vilket inte existerar i ett fall som Johannas.

Symptombehandling

I samband med att jag vid ett tidigare tillfälle fattade mod och skrev om liknande saker ritade jag en bild med klar sexuell laddning.

Han smygtittar på det hon smygvisar
Han smygtittar på det hon smygvisar

I det censurfilter som sätts samman av rikspolisen med benägen hjälp från ECPAT, finns ett antal sajter med tecknade bilder. Då har man skapat ett brott utan offer, vilket i konsekvensens namn borde göra även den bild jag ritade till ett gränsfall… Gudarna vet, kanske du bryter mot tittförbudet om du läser den här artikeln om ett år eller så . Ingenting skulle egentligen förvåna mig längre, och jag valde noggrant vinkel för att hennes ben skulle täcka skrevet, och gjorde den liten av samma skäl som i reklamkåseriet — så självcensuren finns redan där.

Det som förundrar är att det tycks så lätt att komma med åtgärder och lagar som angriper symptomen, när det som egentligen är mest intressant är att angripa källan. Det är glasklart att filmen på tolvåringen som jag refererade till i början av artikeln måste beivras. De hockeymaskförsedda männen borde se insidan av en domstol, precis som producent, kameraman etcetera. Likaså borde de sajter och nätverk som fungerar som källa beivras, snarare än att hamna i något korkat filter.

Att angripa det med i stort sett verkningslös filtrering och tittförbud, är delvis att dölja problemet, och delvis att göra det lätt för sig. Man tar en aspirin mot febern och huvudvärken, men behandlar inte cancern som ligger bakom.

Det skulle vara betydligt kostsammare att effektivt angripa problemet från rätt håll, men det skulle samtidigt vara fostrande. Då skulle man vara tvungen att prioritera de fall som är otvetydiga och hårresande, moralism skulle inte löna sig som strategi, och arbetet skulle kunna följas av var och en eftersom symptomen inte döljs.

Plockgodis för övervakningsivrare?

Skulle jag ha varit i närheten av Stockholm, så skulle jag gått på demonstration idag 15/7 klockan 17.00. Jag, som innan jag blev medlem i Piratpartiet inte varit på demonstration på gott och väl över tjugo år.

Problemet den här gången är det så kallade Stockholmsprogrammet, eller som Oscar Swartz noterar:

> Eftersom jag grundade internetoperatören Bahnhof en gång i tiden slås jag av följande mening:
> ”en aktiv politik för internationellt samarbete nödvändig för att man ska kunna införa mekanismer för indragning av kriminella internetleverantörers IP-adresser och underlätta en snabb nerstängning av webbplatser utanför Europa”
> Uppriktigt sagt har jag aldrig tidigare hört glunkas om någonting i den riktningen – och jag har följt de här frågorna länge. Vad menar man med ”kriminella internetleverantörer”? Det finns ju direktiv och lagar som är till för att skydda operatörer från ansvar för vad deras kunder håller på med, just för att vi inte på enkelt vis skall hindra fri kommunikation och yttrandefrihet.

Se också den debatt som var i TV4 med Billström, Ask och Engström. Notera hur knark, trafficking och barnporr som vanligt spelas ut som debattdödare…

Barnpornografi är naturligtvis hemskt, men ett långt mindre problem än Ask med flera vill göra gällande. Några femtonhundra sajter finns helt enkelt inte, det är vad britterna skulle kalla en red herring. Det är dock en väldigt populistisk röd strömming, eftersom det är svårt att ens kritisera det utan att någon dumsnut får för sig att man är apologetiskt inställd till folk som utnyttjar barn sexuellt. Samma sak gäller knarkfrågan, där få debattörer rakt ut skulle våga säga att de skiter i om knark är illegalt eller inte — eller till och med tycker att det i frihetens namn borde vara upp till var och en.

Jag skulle uppskatta om för en gångs skull debatten var renhårig, jag är hjärtligt trött på nyspråk. Det är tydligt att politikerna av idag inte förstår att det finns en gräns för när trygghetsivern blir den värsta terroristen mot det demokratiska samhället, när politikerna måste sluta agera knarklangare för trygghetsnarkomaner. De skulle gott kunna behöva en avgiftningskur själva med för den delen. Expressen skriver i sin ledare:

> Men att döma av informationen som hittills har framkommit kommer Stockholmsprogrammet att bli en milstolpe på vägen mot ett mer repressivt Storebrors-EU.
Hoten mot det öppna europeiska samhället i form av terrorism och organiserad brottslighet är reella. Men hur mycket av öppenheten kan man offra i öppenhetens namn?

Och:
> Ask säger visserligen att det är viktigt att hitta balansen mellan brottsbekämpning och individens integritet. Men det kan man knappast göra utan att diskutera förslagen. Regeringen och justitieministern måste bemöta kritiken. Motiverar hotbilden verkligen en massivt utökad övervakning? Vilka kontrollmekanismer förhindrar att det gigantiska systemet inte missbrukas?
> Ska man införa en paneuropeisk övervakningsregim bör man åtminstone diskutera saken med dem som ska övervakas. Beatrice Ask, tala med oss!

Det som stör mig mest är det gamla vanliga. Eller som HAX uttrycker det:

> -Vi vill ha insyn i processen precis som vi har insyn i riksdagen. Om det här hade skötts som i riksdagen hade vi kunnat diskutera allting i lugnare former från början. Men nu har man valt att anamma EU:s hemlighetsmakeri. Då blir det en brottningsmatch om vad som står i programmet och vad som inte står där.

För det står väldigt lite i programmet som är mer än tidstypiskt problematiskt. Det som däremot är mer oroande är den så kallade framtidsgruppens rapport. För det är ur den gottepåsen som lördagsgodiset troligen kommer hämtas.

Men det förstås, redan det som står är i vissa stycken fasaväckande:

> På sidan 25 i Stockholmsprogrammet görs tydligt att ett av målen är… “making it very clear that terrorist speech leads to further aggression and that terrorist propaganda is not covered by the freedom of speech”.

Överhuvudtaget är programmet en del av ett politiskt paradigmskifte som är klart oroande:

> Statewatch följer särskilt Stockholmsprogrammet här. De skrev följande när de presenterade en av sina rapporter.
>
> the EU has substituted the concept that data relating to EU citizens should in principle be kept private from state agencies, in favour of the principle that the state should have access to every detail about our private lives. In this scenario, data protection and judicial scrutiny of police surveillance are perceived by the EU as “obstacles” to efficient law enforcement cooperation. The Statewatch report calls for a “meaningful and wide-ranging debate” before it is “too late” for privacy and civil liberties.

Eller så är det inte ett paradigmskifte lika mycket som ett skifte i möjligheter:

> Många ställer sig frågan varför övervakningsstaten tycks skena, just nu.
>
> Det enkla svaret är att kontroll och övervakning ligger i politikens natur. Och att det är först nu politikerna och byråkraterna har fått de verktyg de behöver för att i stor skala och till ett lågt pris kunna hålla ett öga på oss medborgare.

Något av det mest insiktfulla jag läst är Anders Mildners artikel i SvD — ”Övervakningshetsen hotar pressfriheten”:

> Ur ett globalt perspektiv har inte mycket förändrats. Endast 18 procent av världens invånare lever idag i länder med pressfrihet.
>
> Man kan ju tycka att det i en sådan situation borde falla ett särskilt ansvar på oss som utgör den fria minoriteten.
>
> Problemet är att vi just nu håller på att kasta bort både den frihet som det tagit generationers slit att förverkliga – och vår möjlighet att bli tagna på allvar när vi vill kritisera de regimer som förföljer sina medborgare för deras åsikters skull.
>
> För samtidigt som pressfriheten minskar för varje år runtom i världen, ökar den politiska viljan här hemma att övervaka, censurera och kontrollera vår kommunikation. I dag träffas EU:s justitieministrar för att diskutera det så kallade Stockholmsprogrammet.

Med slutklämmen:

> Det största hotet mot all makt är fortfarande samma som det alltid har varit: vanliga människor med en möjlighet att fritt uttrycka sina åsikter, fritt sprida information och fritt sluta sig samman i grupperingar efter eget huvud. Med ett tillbakablickande perspektiv borde vi därför inte förvånas över de val dagens makthavare nu gör.
>
> Men det kan vara väl värt att tänka på att historien också lär oss en annan sak: att de som slår ner på människors frihet i slutändan alltid kommer att betraktas som de skurkar de faktiskt är.

Alla inblandade in Stockholmsprogrammet är inte demokrater. Jag vet att det inte är så nyanserat, men jag kan inte med bästa vilja i världen uttrycka det på något annat sätt. De kan mycket väl vara för ett system där ett framröstat parlament styr den nationella agendan, men det gör dem inte till demokrater. I demokratin, som jag tolkar ordet, ingår begrepp som yttrande- och åsiktsfrihet. Där ingår rätten till privatliv, där man inte blir kartlagd eller övervakad utan konkret brottsmisstanke. Där ingår rätten till ett rättssäkert hanläggande av sådana brottsmisstankar; rätten att inte bli dömd i sin frånvaro; rätten att försvara sig mot anklagelser; rätten till oskuldspresumtion. Där ingår rätten att inte få alla sina livsval överprövade av samhället. Där ingår rätten att inte bara yttra sig, men att kunna göra det anonymt. Där ingår rätten att fritt kunna ta del av information.

Det är både en och annan så kallad demokrat som inte riktigt tycks ha förstått detta. Alla ser inte var deras egen makt bör ta slut.

Jag rastar nu min påse.