En bild som visade att det fanns ett trådlöst nätverk med namnet “Narkotikaspan FS” i lokalerna på Gräv 15 drog några retweets och stjärnmärkningar på Twitter.

Men det häpnadsväckande i den bilden är nätverket längst upp i listan. Det som heter Grav_2015 och som går att ansluta till utan användarnamn och lösenord.

Smidigt.

Enligt DN:s reporter Kristoffer Örstadius var över 100 prylar anslutna till det nätverket när han kollade.

Problemen med det här är två:

Att användarnamn och lösenord inte behövs för att ansluta till Grav_2015 innebär att trafiken som skickas i det trådlösa nätverket är lätt att avlyssna.

Dessutom är det väldigt enkelt för någon med onda avsikter att sätta upp en egen basstation med samma namn. Som besökare i lokalerna är det omöjligt att veta om man kopplar upp till arrangörernas Grav_2015 eller till en basstation med samma namn, men som är preparerad för att exempelvis stjäla lösenord.

På MEG 15 arrangerade .SE och Interactive Institute en Kryptobar. Jag var med som representant för .SE, och satte upp en trådlös basstation som fungerar just så. Den gången nöjde vi oss med att skicka alla som anslöt till vårt nätverk MEG_open vidare till en sida där de uppmanades att komma till oss för att få reda på vad som hade hänt, oavsett vilka webbplatser de försökte besöka.

Men med några få undantag hade jag lika gärna kunnat låta internet fungera som vanligt för de personer som anslöt till min basstation. Försök att surfa till Gmail, Facebook och Twitter skulle jag däremot kunnat skicka vidare till falska inloggningssidor där de drabbade lurades att mata in sina kontouppgifter.

Datorn och nätet är verktyg du behöver behärska

“Men! Jag har inte sökt hit för att bli datorexpert!”

Så låter det ibland när jag håller min föreläsning om digitalt källskydd på journalisthögskolan.

Det stämmer.

Men det är inte desto mindre ett tankefel.

Målet är kanske inte att bli en datorexpert. Men datorn är en reporters viktigaste arbetsredskap i dag. Och då hör det till den grundläggande kompetensen att också förstå vilka säkerhetsåtgärder som behöver vidtas för att den inte ska bli ett verktyg som skapar oreda.

Studenterna som lyssnar på min föreläsning köper det argumentet. Men efter mina erfarenheter på MEG 15 och Gräv 15 är jag uppriktigt bekymrad över hur det ser ut med förståelsen för den argumentationen hos mina yrkesverksamma kollegor.

Ytterst få av dem jag pratade med i Kryptobaren hade koll på vad ett VPN är och därmed har jag svårt att tro att en majoritet av dem som var uppkopplade till Grav_15 på Gräv 15 skickade sin trafik i en krypterad tunnel.

Det är dock inte mer än en spekulation från min sida. Vad som däremot är fakta är att Aftonbladet, medan MEG pågick, för andra gången lyckades publicera sin privata PGP-nyckel. Dessutom i samband med att tidningen påstod att PGP skulle göra det möjligt att kontakta Aftonbladets reportrar anonymt.

pgp anonymt Tillsammans visar detta att det finns kunskapsluckor både om hur tekniken fungerar och vad den egentligen gör. Ska man använda PGP är det av yttersta vikt att man håller den privata nyckeln privat, annars finns risken att personer som inte ska läsa ett mejl ändå lyckas göra det. Har man valt ett långt och bra lösenord är den risken liten, men den finns. Dessutom krypterar PGP bara innehållet i ett mejl, inte vem som är avsändare och mottagare och inte heller ärenderaden. Tvärt emot vad Aftonbladet påstod ger PGP alltså inte alls anonymitet. För att få det behöver istället tjänster som exempelvis Tor användas.

Teknikkunnande en konkurrensfördel

Här och nu handlar digitalt källskydd om just det, att minska risken för att hemliga källor blir avslöjade. Men på sikt tror jag också att en kunskap om hur de här verktygen fungerar blir en konkurrensfördel.

Att Glenn Greenwald höll på att missa Edward Snowdens avslöjande är väl känt. Jag tror att man kan utgå i från att fler visselblåsare med stora avslöjanden kommer ställa samma krav på de journalister de kontaktar. Om inte annat så har ju Snowdens alla avslöjanden visat varför det är viktigt att vara försiktig med känslig kommunikation på nätet.

Att som Aftonbladet lyckas publicera sin privata nyckel och dessutom påstå att PGP ger anonymitet ger inte den trovärdighet som krävs.

Och tro nu inte att Aftonbladet är ensamma om den här typen av misstag. Jag har sett P3 Nyheter använda Twitter för att efterlysa män som blivit våldtagna – och bett dem ta kontakt via mail. Jag har sett reportrar efterlysa nyhetstips på Twitter, via direktmeddelanden, och i samma tweet utlova källskydd. När jag frågat om hur är svaret att reportern garanterar att hen inte kommer röja källan. Stämmer säkert. Men jag tycker att man som reporter också har ett ansvar för vilka kanaler man uppmuntrar sina källor att använda.

Säkerheten finns i ändnoden – din dator

I höstas skrev jag en artikel i IVA-aktuellt, om skillnaden mellan internetsäkerhet och säkerhet på internet. Slutsatsen efter de intervjuer jag gjorde då var att de flesta av de problem vi drabbas av på nätet ligger i ändnoderna, alltså i de prylar som kopplas till internet.

En analogi med vägar och fordon gör skillnaden kanske lite tydligare: Internet är ett vägnät av relativt hög kvalitet, men tyvärr färdas en hel del bilar och andra fordon med undermålig säkerhet på det.

Det här resonemanget har i allra högsta grad bäring på diskussionen om digitalt källskydd. Som journalist på nätet går det inte att förlita sig på att någon annan gör jobbet. Det är upp till den enskilda reportern att se till att hens uppkoppling är säker, att e-post skickas krypterat, att filer på hårddisken också är krypterade. Och så vidare.

Några guider för dig som vill lära dig mer

I slutet av april kommer en uppdatering av Internetguiden Digitalt källskydd – en introduktion som .SE ligger bakom i samarbete med Journalistförbundet. Dessutom kommer en helt ny “systerguide” som vänder sig till allmänheten, Digitalt självförsvar – en introduktion. Till båda dessa guider finns dessutom ett gemensamt extramaterial om just PGP och Tor. Och de två texterna finns att läsa redan nu.

Den stora bilden är tagen av empopempo.