Bombmattor är mindre effektiva än man kan tro…

Det är dags för en visualiserad liten lektion i brottslighetens teknologi. Uppenbart är att varken Cecilia Malmström eller hennes närmaste underhuggare har en susning om problemens komplexitet — för den enda alternativa förklaringsmodellen är att hon och hennes gelikar medvetet för oss bakom ljuset, och så kan det väl inte vara?

Idag läste jag på en blogg som HAX länkade till en beskrivning om hur illegalt innehåll (i det här fallet barnporr) kan distribueras på ett sätt som gör det oerhört svårt att komma åt. Det var en intressant men onödigt tekniskt krånglig beskrivning av en metod som i all sin enkelhet är självklar.

I grunden handlar det om att dölja vem som betalar för en server och att skilja den server som faktiskt innehåller barnporr från de servrar som syns för en utomstående betraktare. Det kräver att man är hyfsat tekniskt kunnig, men kräver i övrigt ingenting märkvärdigt annat än en skrupelfri läggning och tillräcklig motivation…

planskiss serverstrategi

Den anonyma serverhyran

Det finns tre grundläggande metoder att hyra servrar utan att synas: Att använda stulet kreditkort, att använda ett ”gift-card”, eller att använda sig av tjänster som paypal eller webmoney. Man kombinerar hur som helst en betalningsmetod där man inte personligen figurerar med sitt namn, med falska identitetsintyg av endera slaget. Med stulna kort kommer det hela i så kallade ”card kits”, men oavsett metod så krävs en förfalskning för att förbli anonym.

När man väl valt och förberett sin metod att betala anonymt, så använder man metoden för att skaffa sig en uppsättning servrar spridda över världen. Därefter är det dags att konfigurera sin illegala hantering i en slags lökmodell. Jag tänker beskriva den inifrån och ut.

Innehållsservern

I kärnan på löken finns själva innehållet, det vill säga precis den barnporr som vi alla hatar så innerligt. Den är naturligtvis grovt olaglig, så det är den här som skall skyddas till varje pris.

Genom en kedja av maskiner som ger anonymitet loggar administratören in på servern via SSH, något som ger honom eller henne tillgång till servern på systemnivå. Diskarna krypteras och konfigureras på ett sätt som ser till att de kopplas ifrån om servern stängs av eller kontaktas på fel sätt. I princip innebär det att varje försök att säkra servern polisiärt, med stor sannolikhet leder till att diskarna med innehållet inte längre går att läsa eller få tillgång till.

En brandvägg konfigureras så att servern endast kan kontaktas av bestämda maskiner på ett bestämt sätt, alla övriga anslutningar nobbas. Den metod som används för anslutning är samma som i ett företags VPN — det vill säga samma metod som en person som inte är på kontoret använder för att krypterat prata med kontorets servrar.

Den här servern syns inte i några DNS:er, ingen fysisk person utöver administratören kommer att överhuvudtaget vara medveten om den här serverns identitet. Den är fullständigt anonym och inte mer märkvärdig än en hel hord av företagsservrar. När dessutom alla serverns loggar skrivs till /dev/null, det vill säga till serverns inbyggda lilla svarta hål, så finns inget att analysera även om polisen skulle både hitta och lyckas få tillgång till serverns innehåll.

Förmedlingsserver

Så för att användaren skall kunna få kontakt med innehållet behövs ett mellansteg som förmedlar kontakten. Det handlar om en slags proxyserver, vars enda uppgift är att fungera som mellansteg mellan innehållsservern och besökaren. Genom denna förmedling förblir innehållsservern anonym och det går att bygga hur många lager lök man vill runt innehållet.

Förmedlingsservern har inte heller den några loggar, även den är krypterad och den saknar eget innehåll. Till de olika förmedlingsservrarna pekar en domänserver som fördelar trafiken.

Det som händer när man bygger på det här sättet är att redundansen blir stor, och att man ofta får rejält med förvarning om någon försöker nysta upp nätverket. Om man konfigurerar det så att det finns rejält med mellansteg, så kan man plocka ut ett av dem för att få ett spår att sluta i en återvändsgränd.

Konsekvenser

Att man tekniskt löser problemet med att serva förbjudet innehåll innebär inte att man för den skull väljer att lägga eländet på en öppen hemsida — tvärtom. De som är intresserade hittar ändå dit förr eller senare, och ju mindre väsen man gör av sig desto mindre uppmärksamhet får man från lagens långa arm.

Meningen med den här manövern var att visa hur komplicerat det är att komma åt barnpornografin vid källan.

Det i sin tur visar på en annan sak, en som politikerna säger sig förstå men som de ändå helt tycks missa: att det krävs långtgående internationellt samarbete för att ha en chans att spåra distributörerna och därmed i nästa led förövarna.

Om vi mixar äpplen och päron blir det oerhört svårt att få en genuin internationell uppslutning.

För att vara drastisk så blandar vi grova övergrepp på barn med japanska serieteckningar med sexuell laddning. Det första är olagligt överallt i hela världen (såvitt jag vet), medan det andra av naturliga skäl inte är det. Dessutom håller vi det inte rent från andra saker som inte borde ha med frågan att göra, som: droger, fildelning, bedrägerier, sabotage, dataintrång, integritetsbrott, finansbrott och spam.

Om vi för ett ögonblick orkade bortse från vårt eget äckel och titta nyktert på frågan, skulle vi inse att vi måste hålla rent för att lyckas med något alls. Rent som i att det måste handla om otvetydiga och internationellt entydiga brott — att det inte får handla om brott utan offer. Det måste också handla om att angripa distributionsledet, eftersom det är där kopplingarna till förövarna finns.

Det som nu händer är istället att allt vattnas ur genom att allt innefattas, istället för att använda skalpell så klipper man till problemet med en våt filt. På det sättet löser man inga problem, men man ser handlingskraftig ut och kan ta till brösttoner i debatten.

Det tekniska inkompetensen blir ytterligare tydliggjord av de metoder man föreslår. Man vill använda sig av RIPE, vilket innebär att man kan bomba ut tusentals adresser/användare för att komma åt en enda — för att inte tala om att det är en envägsåtgärd. Tydligt är att man förstått att DNS-filter är triviala att undvika och går vidare på IP-adresserna, men att man inte förstår konsekvenserna av en sådan upptrappning.

Analyserar man modellen jag beskrivit ovan, så inser man snabbt att inte ens bombmattor mot IP-nummer på något sätt garanterar att man lyckas klippa det man är ute efter. Det är snarare en slags desperation man uppvisar, en slags nutidens motsvarighet till första världskrigets generaler. De upptäckte den hårda vägen att krigets spelregler drastiskt förändrats — men eftersom de inte hade ett svar på hur man anpassade sig, så gjorde de bara mer av allt som redan visat sig kosta tusentals och åter tusentals liv. Situationen idag är att spelbrädet totalt bytts ut i och med internet. Den kontroll som förr var självklar är i dag näst intill omöjlig med mindre än att man drar ut pluggen. När man inte lyckas kontrollera det som inte är gjort för att kontrolleras, försöker man allt mer intensivt trots att allt visar på att man är fel ute.

I avsaknad av vettiga svar ägnar man allt större energi åt att göra fel, men är det så vi skall möta framtiden?

Kolla själv vad som filtreras

Det är säkert en aning kontroversiellt att uppmana folk att kontrollera rikspolisstyrelsens ”frivilliga” filter. Jag vill också varna känsliga läsare att det finns saker på listan som – lite efter personlig smak – gör att man sträcker sig efter såpaflaskan och scotch-brite svampen för att skrubba ögonen. Ändå tänker jag för en gångs skull inte bara prata om hur lätt det är att göra filtreringen verkningslös och hur fel det är principiellt, utan rent praktiskt visa hur ni vevar upp långfingret mot internetfiltrerarna.

Diskussionen om dessa förbaskade filter har pågått i många år nu. På ena sidan står diverse löst folk i politiken, polisen, samt diverse svårgripbara organisationer med oklart credo och lika oklart förhållande till basala rättigheter. På andra sidan står en samling yttrandefrihetsfundamentalister, kommunikationsexperter, samt till och med en och annan foliehatt.

Den grundläggande frågan är som jag ser det delad och består av underfrågorna effektivitet/relevans, etik/frihet och konsekvenser.

Monkey see but don´t do
See no evil...

Effektivitet och relevans

För att filtrering överhuvudtaget skall kunna försvaras – oavsett allt annat – så krävs att den faktiskt fyller den funktion den skapats för att fylla. I annat fall är det en tom gest som bara har nackdelar. För att den skall kunna sägas vara effektiv så krävs att det faktiskt spärrar det den sägs spärra – det vill säga barnpornografi – och inte en massa annat.

Man kan också ha synpunkten att det inte skall vara direkt trivialt att manövrera sig förbi filtret, så trivialt att man kan råka göra det av misstag — mer om det om en stund. För att den skall kunna anses vara relevant, så måste filtreringen dessutom lösa ett problem snarare än att bara dölja att problemet finns.

Etiska och frihetliga aspekter

”Frivilliga” filter implementeras av din internetleverantör. De i sig kontrollerar inte innehållet i filtret, utan tar det i sin helhet från Rikspolisstyrelsen. Det saknas faktiskt helt insyn från någon tredje part i vad som filtreras och varför. Det innebär en rad problem.

Det första av problemen är rättslösheten för den som filtreras. För det går inte ut någon information till de sajter som filtreras, vilket gör att de inte kan försvara sig eller åtgärda det som fick dem att hamna i filtren. Det andra är samma problem från användarens sida, där det inte finns några garantier att filtren inte spärrar legitim information.

Den sista aspekten är censuraspekten. Det ligger liksom i sakens natur att mer än det som är förkastligt i lagens mening klipps av sådana filter. Eftersom filtrering är ett ingrepp i den personliga friheten, så måste filtren stå över all kritik ifråga om träffsäkerhet och fokus. Det är svårt att med bästa vilja i världen påstå att de gör det. Frågar man RPS, så kommer man få de otäckaste och värsta exemplen serverade, men det är knappast hela sanningen.

Konsekvenser

Lagen – och därför även de medel man använder för att upprätthålla den – handlar inte bara om konsekvenser, utan även om rätt och fel. Trots det måste man faktiskt ta hänsyn även till konsekvenser.

I fallet med internetfiltrering kan man utan vidare säga att de som vill ta del av den ”spärrade informationen” inte har några problem alls att göra det. De som stoppas är inte de som vill se sidorna, utan de som hamnar där av andra anledningar. Än värre skulle det bli om det skapas loggar kring de som försöker nå sidorna som filtreras, för i de loggarna fastnar de som inte alls sökte efter barnpornografi. Så när RPS slår sig för bröstet med 5000o blockerade sidor per dag, så är det inte de fula fiskarna som fastnat. En sidoeffekt är att även de som inte gör något fel känner ett större behov av att skydda sig. Man ser sig över axeln och är orolig för att registreras och kontrolleras; man ändrar sitt beteende utifrån den rädsla man känner.

Man döljer också problemet, man löser det inte. Det finns all anledning att fundera på om man inte därigenom kan sägas ”mörka” problemet.

Slutligen finns i alla censursituationer en fara för betydelseglidning, där det som börjar som filtrering mot barnpornografi fortsätter med filtrering av sexualitet i allmänhet, filtrering av ”terrorism”, filtrering av vissa åsikter och så vidare. Det finns redan sådana förslag och vissa av dem finns redan i lag runtom i Europa, så det är inte en tandlös fråga. Det är obehagligt och riskerar att sätta munkavle på debatten.

Vår ”liberal” i EU

Cecilia Malmström kallar sig liberal och tillhör det enda parti i Sverige som håller sig med tillnamnet ”liberalerna”. Trots det ser hon det tydligen som helt oproblematiskt att propagera och verka för filtrering. Hon blir till och med direkt stött om någon vågar kritisera henne för att hon inte har större respekt för yttrandefriheten än så. Hon kallar jämförelser med Kinas ”great wall” på internet direkt löjliga, trots att det är en skillnad i grad inte metod.

Kina censurerar sex och ”misshagliga” åsikter. Europa skulle i en nära framtid kunna filtrera annan sex och andra ”misshagliga” åsikter. I sak är skillnaden endast att vi kallar oss demokrater och borde veta bättre — och att filtren i nuläget inte skulle bli lika omfattande. Det är grad inte metod med andra ord och jämförelsen är därför inte alls ”löjlig”. Det handlar om vad man har för inställning till fri kommunikation och vilka metoder man anser sig ha rätt att använda för att kontrollera den.

Tänker Malmström fortsätta kalla sig liberal, så kanske hon borde ta sig en rejäl funderare på vad det epitetet förpliktigar till?

Att göra filtren till ett skämt

Jag antar att RPS kommer bli vansinniga, men jag kan inte se att den information jag nu tänker redogöra för skulle vara olaglig på något sätt. För att göra filtrens saga all, så behöver du i nuläget bara tillgång till en öppen och ofiltrerad namnservice, en så kallad DNS.

Eftersom windozedatorer fortfarande är i absolut majoritet, så använder jag dem som exempel.

Jag förutsätter att du vet hur du öppnar ”Nätverks & Delningscenter”, i vänsterpanelen på detta väljer du sen ”Nätverksanslutningar”. Högerklicka på den nätverksanslutning du använder och välj konfigurera (Använder du XP, så sker det genom kontrollpanelen eller genom att högerklicka på nätverksikonen i statusfältet längst ner till höger). Du möts av den här rutan:

Du väljer tcp/ip som på bilden och trycker på egenskaper, vilket leder dig till:

Som du ser har jag matat in ett par DNS-serveradresser, närmare bestämt till OpenDNS.com, vilket är en sådan väl fungerande tjänst på nätet.

  • Om någon skulle ha svårt att läsa så är deras adresser i prioritetsordning: 208.67.222.222 respektive 208.67.220.220, men det finns fler…
  • Google har sin DNS som är öppen och ofiltrerad: 8.8.8.8 respektive 8.8.4.4 (ja de har lyckats med att få så lätta ip).
  • Ett annat alternativ är censurfridns.dk, en dansk fri och öppen DNS, som har stöd för IPv6:
    ns1.censurfridns.dk IPv4: 89.233.43.71 IPv6: 2002:d596:2a92:1:71:53::
    ns2.censurfridns.dk IPv4: 89.104.194.142 IPv6: 2002:5968:c28e::53

Mata in, tryck på OK och RPS har inte längre någon makt över din dator…

När du nu är fri som fågeln att fatta dina egna beslut, så kan du kika på spärrlistan från 2007 — vilket tyvärr är den senaste version jag känner till som läckt ut. Vill du se vad spärrlistan innehåller, så var medveten om att dålig träffsäkerhet och ingen träffsäkerhet inte är samma sak. Än så länge råder inte tittförbud, så du kan själv kontrollera om listan är relevant.

Själv har jag aldrig orkat igenom mer än rent uppenbara felaktigheter i listan, men det var tillräckligt många för att fylla min kvot. Om du tycker listan är relevant eller inte är egentligen inte min sak att bestämma, och det är inte heller klart vilka sajter som fortfarande finns kvar på nuvarande lista — så det finns alltid en liten risk att man tror listan är irrelevant helt enkelt för att den är gammal. Den metod jag använde för att kolla detta vara att ha en dator med ofiltrerad och en med filtrerad DNS sida vid sida. I och med detta kunde jag kontrollera vilka adresser som fortfarande var spärrade.

Om du verkligen gör hästjobbet att kontrollera listan noggrant, så gör mig en tjänst snälla du. Se till att inte hålla tyst om vad du anser, utan påpeka felen vitt och brett. För den delen: om du anser att den faktiskt är relevant, håll inte tyst om det heller utan debattera!
Det är helt enkelt nog med mörkande av problem, så länge vi inte diskuterar problemen öppet lämnar vi tolkningsföreträdet åt de som vill verka politiskt handlingskraftiga.