Övriga nyheter

Spionprogram kan klassas som vapen

Så funkar programvaran RCS, se bilden till höger. Grafik: Jonas Askergren
Så funkar programvaran RCS, se bilden till höger. Grafik: Jonas Askergren
Jan-Erik Lövgren, ISP Foto: ISP
Jan-Erik Lövgren, ISP Foto: ISP
Så funkar övervakningen. Grafik: Jonas Askergren
Så funkar övervakningen. Grafik: Jonas Askergren

Programvaror blir lätt vapen i händer på auktoritära regimer. Inom EU diskuterar man nu att belägga digital spionutrustning med exportkontroll. 33-bolaget Combain erbjöd i somras sin exklusiva positioneringstjänst till det kontroversiella företaget Hacking Team, men backar nu.

Publicerad

EU överväger att belägga offensiva spionprogram och annan övervakningsteknik med exportkontroll. De kan komma att räknas som produkter med dubbel användning, det vill säga att de kan användas militärt. I Tyskland är reglerna redan införda.

– Det är ett hett ämne som nu är under diskussion, säger Jan-Erik Lövgren, ställföreträdande generaldirektör på ISP, Inspektionen för strategiska produkter.

Redan i dag, uppger han, är utvecklingsverktygen för att tillverka sådan spionteknik belagd med restriktioner vid export till länder utanför EU.

Bakgrunden är att mjukvaror från EU kommit att användas av stater som kränker mänskliga rättigheter.

Ett bolag som uppmärksammats sälja sin avancerade och offensiva spionprogramvara RCS, Remote Control System, till auktoritära stater är Hacking Team. Kanadensiska Citizen Lab har visat att flera stater har använt tekniken för att kartlägga människorättsaktivister. När Hacking Team i somras självt föll offer för hackare, framkom att man sålt licenser till bland andra Azerbajdzjan, Kazakstan, Uzbekistan, Ryssland, Bahrain och Saudiarabien. Företagets mejlkorrespondens läckte ut – och publicerades på Wikileaks hemsida. Enligt tidningen Wired visar läckan på ett ”globalt spionföretag som löpt amok”.

Ett mejl visar att Saabs dåvarande informationssäkerhetschef Michael Niva kontaktade Hacking Team 2013. ”Jag har sett att ni har en intressant produkt som kan vara av intresse för mitt företag på olika sätt”, skrev han i mejlet, som svenska medier rapporterade om i somras. Till DI Digital uppgav han då att något samarbete aldrig blev aktuellt.

När Ny Teknik granskar mejlskörden finner vi ett ännu ett mejl från ett svenskt bolag till Hacking Team. Det kommer från Rikard Windh, delägare, i Lundaföretaget Combain Mobile. Det anses vara ett av de mest heta unga svenska teknikbolagen och kvalade in i våras på tidningens 33-lista. Bolaget har utvecklat egna algoritmer och tävlar med Google om vem som har bästa positioneringsdatabasen på världsmarknaden.

I brevet undrar Rikard Windh om Hacking Team är intresserat av Combains tjänst ”eftersom det kan hjälpa er (Hacking Team, reds anm) att lokalisera människor och uppkopplade prylar”. Han ber om sammanträffanden och föreslår att man ses på mässor under 2015 eller 2016.

Combain har ofta marknadsfört sig som ett bolag som kan hjälpa aktörer att hålla rätt på uppkopplade prylar, som kylskåp och bilar. Men enligt Rikard Windh satsar man också på att få kunder inom affärssegmentet nationell säkerhet, inte minst teknikbolag som hjälper myndigheter med brottsbekämpning.

– Vi har redan amerikanska och israeliska kunder, säger han.

När han får information av Ny Teknik om att Hacking Team avslöjats ha kunder i världen som kränker mänskliga rättigheter, säger han genast att bolaget inte längre är intresserat av något samarbete med det italienska företaget.

– Nu säger du information som jag inte kände till innan. Vi vill ju inte stödja den typen av verksamhet. Den här produkten ska stödja en god sak.

I förra veckan avslutades viktiga internationella diskussioner kring exportkontrollreglerna i Wien, enligt Wassenaar-arrangemanget som Sverige och andra EU-länder anslutit sig till. Mötet tar upp konventionella vapen och varor och teknik med dubbla användningsområden.

Kan också Combains positioneringsteknik komma att räknas som en produkt med dubbel användning framöver?

– Det beror på, det låter känsligt. Använder man kryptering kan tjänsten beröras av dual-use-reglerna, säger Jan Erik Lövgren, i en snabb kommentar.

Detta gör Combain

  • Combain Mobile i Lund tar hjälp av partner runt om i världen (crowd-sourcing) för att samla positionsinfo om var mobilmaster (cell-id) och wifinät (MAC-adresser) finns.
  • Informationen fångas in av sniffers, kylskåp, elmätare, eller andra prylar, och mobilappar som är uppkopplade till internetoperatörer. De hör id-information som antenner och routrar skickar ut, och sänder den till Combains databas. Den bearbetas och filtreras och läggs sedan in i en molntjänst, som nås av tjänstens användare.
  • I nuläget innehåller databasen 65 miljoner cell-id, som berättar om vilket land, vilket område, vilken operatör och basstation som berörs, och 753 miljoner wifi-adresser. Men den uppdateras dagligen.
  • För att positionera personer/ mobiler krävs att en mjukvara, som en app, är installerad i mobilen som läser av cell- och wifi-id och skickar uppgifterna till Combain över internet via https-formatet.