journalistik

På måndag debatterar jag journalister och it-säkerhet i Stockholm

Publicerad 8 oktober, 2019

I våras presenterade Journalistförbundet en medlemsenkät om digitalt källskydd. Den visade tyvärr att medvetenheten om de här frågorna fortfarande är låg bland landets journalister. På måndag är jag i Stockholm ochdiskuterar ämnet hos Publicistklubben.

Som medlem i Journalistförbundets Yttrandefrihetsgrupp var jag med och genomförde källskyddsenkäten, som en uppföljning på liknande enkäter 2009 och 2012. De båda åren var svaren rätt nedslående.

Min förhoppning om att saker och ting skulle ha förbättrats rejält sedan sist kom tyvärr på skam. Många journalister återanvänder lösenord, få har kunskap om kryptering. Vilket för övrigt går att se återkommande exempel på i sociala medier, med journalister på både små och stora redaktioner som efterlyser källor i känsliga frågor, lovar källskydd med bara erbjuder en e-postadress som kontaktväg.

Som förberedelse inför – eller istället för – diskussionen på måndag kan man med fördel lyssna på det här avsnittet av podden Recode/Decode. John Napier Tye, grundare av organisationen Whistleblower Aid, är gäst och pratar bland annat om vilka verktyg de använder när de assisterar högprofilerade visselblåsare i USA.

(Bild från Journalisten, när tidningen skrev om källskydd i våras.)

Alla säkerhetshål påverkar inte dig

Publicerad 26 augusti, 2019

Braskande rubriker om nyupptäckta säkerhetshål riskerar många gånger att orsaka mer skada än nytta. De spelar roll för forskare och utvecklare, men för oss vanliga användare är de mest grundläggande råden kring it-säkerhet fortfarande relevanta.

Rubrik i tidningen Forbes: Apple's iPhone FaceID Hacked In Less Than 120 Seconds

Rubriken i det amerikanska affärsmagasinet Forbes kan inte annat än att upplevas som skrämmande. Apple’s iPhone FaceID Hacked In Less Than 120 Seconds. Hos källan som Forbes hänvisar till, Threatpost, är tonläget betydligt mer nedtonad: Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’.

Det här är ett färskt exempel på hur jag tycker att det ofta ser ut när media rapporterar om nyupptäckta säkerhetshål. Nischmedierna lite mer nyanserade, medan medier med bredare målgrupp slår på stora trumman.

Spelar det någon roll? Av flera skäl, skulle jag säga.

Skapar onödig oro hos allmänheten

Den första invändningen tangerar att vara mediekritik. Gå till dig själv. Hur många fler rubriker än artiklar läser du varje dag? Svår fråga att svara på, men rubrikerna är gissningsvis mångdubbelt fler än antalet artiklar. Rubriker som spetsar till omständigheterna lite extra kan vara ett sätt att locka fler till ett klick. Men samtidigt lämna dem som inte klickar med en felaktig bild av de faktiska omständigheterna.

I det aktuella fallet går det inte att anklaga Forbes för att fara med osanning. Men rubriken drar, i min mening, definitivt åt det sensationella hållet. Och det var också vad som fick mig att klicka på den. Efter att ha läst klart Forbes artikel, och Threatposts sammanfattning av forskarna presentation på den stora säkerhetskonferensen Defcon står det klart att a) det finns ett säkerhetsproblem som b) det är långt i från trivialt att utnyttja men c) de som utvecklar den här typen av biometriska säkerhetslösningar måste känna till och försöka hitta sätt att hantera.

För många rop på vargen är ett problem

Problemet är att den här typen av rapportering för den breda allmänheten blir som pojken som ropade vargen. Många säkerhetshål är av just det här slaget, intressanta och viktiga för utvecklare, men av mindre intresse för den genomsnittliga användaren.

Men, och det här är ett stort och viktigt men, emellanåt upptäcks säkerhetshål som är allvarliga i den bemärkelsen att de faktiskt påverkar användare här och nu, i stor skala. Säkerhetshål där användarna inte bara kan utan också behöver agera, exempelvis genom att uppdatera operativsystemet i sin mobiltelefon så snart som möjligt.

Men om man redan är uttröttad av braskande rubriker om än det ena och än det andra säkerhetshålet är risken stor att man inte tar det som är på allvar på allvar.

Känsla av att säkerhetsåtgärder inte spelar någon roll

Det största problemet med onyanserad rapportering kring nyupptäckta säkerhetsproblem är att det kan skapa känslan av att ingenting spelar någon roll. Om det hela tiden upptäcks nya säkerhetshål, varför då bry sig om vardagsråd om exempelvis vad som är bra lösenord?

Av den enkla anledning att vardagsråden ger ett bra skydd mot vardagsproblemen.

Att en forskargrupp hittar ett sätt att lura mobiltelefoners fingeravtrycksläsare är inte ett problem för de flesta av oss så länge det krävs massor av avancerad teknisk utrustning för att lyckas med det. Avancerade angrepp kommer möjligen utnyttjas mot högprofilerade måltavlor, men det är få av oss som är av intresse för exempelvis säkerhetsmyndigheter runt om i världen.

Däremot kan det vara många av oss som har en kollega eller klasskamrat som är lite för nyfiken av sig och har svårt att hålla fingrarna i styr om vi glömmer mobilen på bordet medan vi går på toaletten. I det läget är både fingeravtrycksläsare och pinkoder ett utmärkt skydd. Att det går att ta sig runt de skyddsmekanismerna är inte ett problem i det sammanhanget.

Därför slutar jag inte att tjata om kryptering

Publicerad 30 november, 2016

”Du kan påverka vad som ska granskas. Kontakta oss dold@svt.se – du kan självklart vara anonym.”

Så har det hänt igen. En redaktion som ägnar sig åt granskande journalistik ber sin publik om tips, inser att den som tipsar mycket väl kan tänkas vilja vara anonym och poängterar därför att källan givetvis får vara det om hen vill.

Detta i samma mening som e-post föreslås som kontaktväg.

Tyvärr är Dolds redaktion inte på något sätt unik. Det ser ut på liknande sätt hos exempelvis Hallands Nyheter och Göteborgs-Posten (del av samma mediakoncern, samma kontaktsida med okrypterat formulär). Dagens Industri en e-postadress i sidfoten och på kontaktsidan. Sidan som hamnar överst när jag googlar efter ”tipsa aktuellt” innehåller en Tänk på-ruta – som handlar om rättigheter för läsarinskickat material. Men inget om källskydd utöver att tipsare kan få vara anonyma. Uppdrag Granskning är som man kan förvänta sig något bättre (vanlig e-postadress i huvudtexten, men länk till säkrare tipsvägen TV-leaks i spalten till höger).

Det här är enligt min uppfattning ett representativt urval över hur det ser ut på svenska redaktioner. Några enstaka som tänkt till i frågan (guldstjärna till bland andra Dagens Nyheter, som på en skrikande röd bakgrund betonar kryptering), en majoritet som inte har gjort det.

Återkommande påminnelser bygger förhoppningsvis medvetenhet

Det här är en av de viktigaste anledningarna till att jag inte slutar tjata om kryptering. Att jag skriver om det här på min egen webbplats och föreslår PGP-krypterad e-post eller direktmeddelanden via Wire för kontakt. Att jag skriver om kryptering i Journalisten. I Internetguider. Att jag pratar om det i Digitalsamtal, att jag twittrar om det. Och att jag tjatar på släkt och vänner att det ska installera appar som Signal och Wire i sina telefoner, och i sin tur tjata vidare på sin släkt och sina vänner att göra det samma.

Allt detta trots att jag under 16 år som journalist fått ett enda tips skickat till mig via en krypterad kanal på internet. Och att jag bara använt kryptering vid några enstaka tillfällen över huvud taget. Men, det ska sägas: Vid de tillfällena har kryptering varit fullständigt nödvändigt, utan den hade kontakten med källan över huvud taget inte blivit av.

Men trots att jag inte ägnar mig åt journalistik där källorna normalt sett vill kunna kommunicera med mig i hemlighet gör många andra journalister det. Och det är inte heller bara i en eventuell roll som hemlig källa släkt och vänner behöver kryptering. Bara vetskapen om att en kommunikationskanal är end-to-end-krypterad gör att man betraktar den på ett lite annorlunda sätt. (End-to-end-kryptering innebär att ett meddelande krypteras i avsändarens telefon och är krypterat över internet, hela vägen fram till mottagarens telefon. Det innebär att det inte finns någon möjlighet för någon på vägen att avlyssna meddelandet.)

Att prata och skriva om kryptering är alltså mitt sätt att höja medvetenheten om kryptering. Vad det är, varför det behövs och – faktiskt – hur lätt det har blivit.

Kryptera nu – sen är det för sent

För journalister är det här ett sätt att visa omtanke gentemot sina källor. Men också ett sätt att göra sig tillgängliga för de källor som på egen hand funderat över risken att deras uppgifter hamnar i fel händer. Jag har inte på något sätt belägg för det här påståendet, men min magkänsla säger mig att det stämmer: Det kommer att bli allt vanligare att källor som kan avslöja riktigt stora saker väljer journalister som på förhand visat att de tänker på källskyddet. Och då inte bara som en viktig princip, utan hur man gör för att i praktiken skydda sin källa.

Mitt envisa tjat om kryptering hoppas jag ska vara ett sätt att göra framtida källor medvetna om den skillnaden: Att journalister håller källskyddet väldigt, väldigt högt – men att det inte är alla som har förmågan att leva upp till det.

Jag hoppas också att jag kan göra fler av mina kollegor runt om på landets redaktioner medvetna om problemen med bland annat e-post eller direktmeddelanden på Twitter, vilket är en annan kanal där jag sett profilerade reportar be om ”källskyddade tips”, och få fler av dem sluta be om tips via osäkra vägar.

Det har blivit enkelt att kryptera!

Någonstans tror jag att det finns en medvetenhet om de här problemen, men att bilden av hur krångligt det är att kryptera lever kvar. Tack och lov är det inte så längre.

Att skicka krypterad e-post är fortfarande bökigt. PGP är den beprövade metoden, och även om det blivit enklare är det fortfarande inte enkelt.

Alternativet är istället att välja någon av de mobilappar med inbyggd kryptering som dykt upp. Signal och Wire är två jag kan rekommendera, eftersom personer jag litar på har rekommenderat dem för mig. Och när det gäller Signal så finns det dessutom namnkunnigt folk som gett appen sitt stöd offentligt.

Men det finns fler appar som är krypterade: Apples iMessage är det. Facebook Messenger är det. WhatsApp är det. Och det är bra, eftersom det får fler att kommunicera krypterat utan att ens vara medvetna om det. Men i det här sammanhanget har de alternativen sina brister.

Krypteringen i iMessage fungerar bara mellan Apple-prylar. Och skulle avsändare eller mottagare för tillfället sakna internetuppkoppling kommer meddelandet att skickas som ett vanligt sms istället. Det vill säga utan kryptering.

Facebook Messenger och WhatsApp har bra kryptering, samma lösning som i Signal. Här är istället problemet Facebook. Det är helt enkelt onödigt för en journalist och dennes hemliga källor att använda meddelandetjänster som är en del av Facebook. Har man inte varit vänner i de sociala nätverken tidigare är det inte rätt tillfälle att bli det nu, när källan lämnar hemliga uppgifter till journalisten.

Inga journalister har råd att slarva med krypteringen

Så vilka journalister ska fundera på det här? Alla avslöjanden som startade med Edward Snowdens läckor har visat hur omfattande statlig övervakning är. Vilket givetvis är en varningsklocka för journalister som ägnar sig åt journalistik på den nivån att statliga övervakar har ett intresse i den.

Men också den som granskar det lokala näringslivet behöver vara medveten om hur lätt det är att avlyssna exempelvis okrypterad e-post. Har du avslöjat fusk med farligt avfall på den lokala kemifabriken? Har företagets IT-avdelning i så fall läst den e-post som du och källan skickat till och från hens e-postadress på jobbet? Sannolikheten för att svaret på frågan faktiskt är ”ja” är kanske liten. Men den personliga risken källan tar är fortfarande stor, och med det är den lilla extra insats som det tar att installera Signal eller Wire i telefonen inte att begära för mycket.

Att vara proaktiv i de här frågorna är att ge de källor som vill vara hemliga största möjliga förutsättningar att faktiskt vara hemliga. Se till att tidningens/radiokanalens/tv-programmets webbplatser föreslår alternativ till vanlig e-post så att redan den första kontakten kan tas på ett säkert sätt. Några e-postvändor in i kommunikationen kan det vara så dags att reportern föreslår en säkrare lösning.

Några lästips på vägen

Installerar du Wire eller Signal och får dina vänner eller källor att göra samma sak har du kommit väldigt långt. Vill du läsa mer rekommenderar jag bland annat:

Internetstiftelsen i Sveriges Internetguider – Jag är jävig, eftersom jag varit med och skrivit några av dem, men det här är ett bra ställe att börja på: Digitalt källskydd, Digitalt självförsvar, Kom igång med säkrare mobiltelefon, Kom igång med Tor och Kom igång med Tails.
Signal for Beginners – En bra introduktion till funktionerna i Signal.
Surveillance Self-defence – En gedigen samling tips från amerikanska Electronic Frontier Foundation.

Måsteläsning för alla journalister: Digitalt källskydd – en introduktion

Publicerad 28 april, 2015

Idag lanserade .SE och Journalistförbundet den uppdaterade versionen av Digitalt källskydd – en introduktion. Den första utgåvan skrevs av Sus Andersson, Petra Jankov Picha och Fredrik Laurin. Den här gången har även jag varit med i arbetet. Både vad gäller själva huvudguiden, men också genom att skriva de två XL-materialen om hur du kan kryptera e-post med PGP och surfa anonymt med Tor.

I den korta filmen här ovan ger jag några svar på varför journalister – alla journalister! – bör läsa den nya guiden. Och i ett blogginlägg som jag skrev efter vårens upplagor av Mediedagarna i Göteborg och Gräv lägger jag ut texten lite mer.

Om du inte redan är övertygad om varför det är viktigt att du som journalist läser Digitalt källskydd – en introduktion, börja då med mitt blogginlägg. Förhoppningsvis lyckas jag där övertyga dig om varför nätsäkerhet är något som du måste bry dig om. Oavsett om du jobbar med avslöjanden av internationellt intresse eller om du jobbar som lokalreporter.

Vill du och dina kollegor ha hjälp att komma igång, hör av er för att diskutera upplägg på föreläsning och/eller workshop om digitalt källskydd.

Om du som läser det här inte är journalist men gärna vill kontakta journalister på ett säkerhet sätt har du också glädje av att läsa guiden. Men den femte maj släpper .SE en guide riktad mot allmänheten: Digitalt självförsvar – en introduktion. Håll ögonen öppna efter den!

Watch many of the nation’s best reporters and technologists discuss post-Snowden journalism security | Freedom of the Press Foundation

Publicerad 19 november, 2014

Watch many of the nation’s best reporters and technologists discuss post-Snowden journalism security | Freedom of the Press Foundation

Along with Reporters Committee and OTI, we hosted a one-day conference on journalism and digital security last Friday in DC. The panels were full of many of the nation’s best national security reporters, technologists and lawyers.

Jag har inte hunnit titta själv, men vågar tipsa osett: Är du journalist är det med all säkerhet inte bortkastad tid att lägga tre timmar på de här paneldiskussionerna.

Nästa sida »