källskydd

Måsteläsning för alla journalister: Digitalt källskydd – en introduktion

Publicerad 28 april, 2015

Idag lanserade .SE och Journalistförbundet den uppdaterade versionen av Digitalt källskydd – en introduktion. Den första utgåvan skrevs av Sus Andersson, Petra Jankov Picha och Fredrik Laurin. Den här gången har även jag varit med i arbetet. Både vad gäller själva huvudguiden, men också genom att skriva de två XL-materialen om hur du kan kryptera e-post med PGP och surfa anonymt med Tor.

I den korta filmen här ovan ger jag några svar på varför journalister – alla journalister! – bör läsa den nya guiden. Och i ett blogginlägg som jag skrev efter vårens upplagor av Mediedagarna i Göteborg och Gräv lägger jag ut texten lite mer.

Om du inte redan är övertygad om varför det är viktigt att du som journalist läser Digitalt källskydd – en introduktion, börja då med mitt blogginlägg. Förhoppningsvis lyckas jag där övertyga dig om varför nätsäkerhet är något som du måste bry dig om. Oavsett om du jobbar med avslöjanden av internationellt intresse eller om du jobbar som lokalreporter.

Vill du och dina kollegor ha hjälp att komma igång, hör av er för att diskutera upplägg på föreläsning och/eller workshop om digitalt källskydd.

Om du som läser det här inte är journalist men gärna vill kontakta journalister på ett säkerhet sätt har du också glädje av att läsa guiden. Men den femte maj släpper .SE en guide riktad mot allmänheten: Digitalt självförsvar – en introduktion. Håll ögonen öppna efter den!

Därför krypterar jag min webbplats

Publicerad 30 mars, 2015

Sedan våren 2015 går det bara att besöka min webbplats på adressen https://anders.thoresson.se. Den extra bokstaven som är skillnaden mellan http och https betyder att den här texten och allt annat innehåll på min webbplats skickades krypterat från min webbserver till din webbläsare. S står för secure.

Varför undrar du kanske? Här finns ju ingen känslig information.

Kanske inte för dig. Eller för mig. Men det är inte vår sak att avgöra.

Börja med att läsa om hur Bris slarvat med krypteringen på bris.se. I samband med den texten ställde jag mig frågan om vem som lär våra barn att titta efter ett hänglås i webbläsarens adressfält.

Eftersom jag skriver en hel del om nätsäkerhet här på min webbplats vill jag att de som är intresserade av de frågorna ska kunna läsa utan att någon – en förälder eller arbetsgivare – tittar över axeln. Och som jag skrev i somras: Det räcker med att söka efter Tails eller Tor för att bli misstänkt av NSA.

(Av samma anledning tycker jag för övrigt att alla redaktioner borde flytta sina webbplatser till en krypterad förbindelse. Deras publik ska inte behöva fundera över vem som möjligen tittar på vilka artiklar de läser.)

Den andra aspekten handlar om de tips som då och då trillar in via formuläret. Än har det inte handlat om några känsliga saker. Och skulle någon vilja tipsa mig om något hemligt så uppmanar jag till andra kontaktvägar. Men genom att kryptera sidan så gör jag åtminstone något för att skydda källan. Jag tycker helt enkelt att vi som jobbar som journalister har ett ansvar för hur vi ber om tips och att vi bör göra vad vi kan för att få in dem på lämpligast möjliga sätt.

Hur svårt var det att flytta till https?

Jag har haft “Flytta anders.thoresson.se till https” på min att göra-lista ganska länge. Men det har inte blivit av. Jag har utgått från att det är en bökig och svår process. Men efter att ha twittrat ut länken till min text om journalister och källskydd fick jag ett påpekande om att min egen webbplats saknar https.

Då bestämde jag mig för att åtminstone undersöka exakt hur bökigt det skulle vara.

Inte alls, visade det sig. Knappt åtta timmar efter uppmaningen kunde jag nöjt meddela omvärlden att webbplatsen fått https. Och den effektiva tiden handlade om mindre än tre timmar.

Hos mitt webbhotell kunde jag köpa det SSL-certifikat som behövs för krypteringen och installera det. Det kostar 495 kronor per år, men med bakgrund i de argument jag lyfter fram ovan menar jag att det är värt de pengarna.

För att sedan flytta webbplatsen från https://anders.thoresson.se till https://anders.thoresson.se använde jag tre plugins till WordPress:

iThemes Security använder jag sedan tidigare, för att säkra upp olika aspekter av min webbplats. Det visade sig att det tillägget hade en inställning för att aktivera SSL.

Jag kom dock inte hela vägen med iThemes Security utan behövde också installera SSL Insecure Content Fixer och Velvet Blues Update URLs. Det förra ser till att en del interna länkar flyttar från http till https, det senare gör det möjligt att snabbt och enkelt ändra sökvägar till exempelvis alla mina bilder så att även de skickas över en krypterad förbindelse.

Slutligen gick jag in och ändrade webbplatsens adress till https://anders.thoresson.se i WordPress kontrollpanel.

När det var gjort dök det hänglåset upp i webbläsaren, hänglåset som indikerar att innehållet i webbläsaren har skickats krypterat.

Nu återstår bara att göra de sista justeringarna så att jag höjer sajtens betyg från B till A i SSL Labs test.

Journalister, källskydd och bristande kunskap i nätsäkerhet

Publicerad 25 mars, 2015

En bild som visade att det fanns ett trådlöst nätverk med namnet “Narkotikaspan FS” i lokalerna på Gräv 15 drog några retweets och stjärnmärkningar på Twitter.

Men det häpnadsväckande i den bilden är nätverket längst upp i listan. Det som heter Grav_2015 och som går att ansluta till utan användarnamn och lösenord.

Smidigt.

Enligt DN:s reporter Kristoffer Örstadius var över 100 prylar anslutna till det nätverket när han kollade.

Problemen med det här är två:

Att användarnamn och lösenord inte behövs för att ansluta till Grav_2015 innebär att trafiken som skickas i det trådlösa nätverket är lätt att avlyssna.

Dessutom är det väldigt enkelt för någon med onda avsikter att sätta upp en egen basstation med samma namn. Som besökare i lokalerna är det omöjligt att veta om man kopplar upp till arrangörernas Grav_2015 eller till en basstation med samma namn, men som är preparerad för att exempelvis stjäla lösenord.

På MEG 15 arrangerade .SE och Interactive Institute en Kryptobar. Jag var med som representant för .SE, och satte upp en trådlös basstation som fungerar just så. Den gången nöjde vi oss med att skicka alla som anslöt till vårt nätverk MEG_open vidare till en sida där de uppmanades att komma till oss för att få reda på vad som hade hänt, oavsett vilka webbplatser de försökte besöka.

Men med några få undantag hade jag lika gärna kunnat låta internet fungera som vanligt för de personer som anslöt till min basstation. Försök att surfa till Gmail, Facebook och Twitter skulle jag däremot kunnat skicka vidare till falska inloggningssidor där de drabbade lurades att mata in sina kontouppgifter.

Datorn och nätet är verktyg du behöver behärska

“Men! Jag har inte sökt hit för att bli datorexpert!”

Så låter det ibland när jag håller min föreläsning om digitalt källskydd på journalisthögskolan.

Det stämmer.

Men det är inte desto mindre ett tankefel.

Målet är kanske inte att bli en datorexpert. Men datorn är en reporters viktigaste arbetsredskap i dag. Och då hör det till den grundläggande kompetensen att också förstå vilka säkerhetsåtgärder som behöver vidtas för att den inte ska bli ett verktyg som skapar oreda.

Studenterna som lyssnar på min föreläsning köper det argumentet. Men efter mina erfarenheter på MEG 15 och Gräv 15 är jag uppriktigt bekymrad över hur det ser ut med förståelsen för den argumentationen hos mina yrkesverksamma kollegor.

Ytterst få av dem jag pratade med i Kryptobaren hade koll på vad ett VPN är och därmed har jag svårt att tro att en majoritet av dem som var uppkopplade till Grav_15 på Gräv 15 skickade sin trafik i en krypterad tunnel.

Det är dock inte mer än en spekulation från min sida. Vad som däremot är fakta är att Aftonbladet, medan MEG pågick, för andra gången lyckades publicera sin privata PGP-nyckel. Dessutom i samband med att tidningen påstod att PGP skulle göra det möjligt att kontakta Aftonbladets reportrar anonymt.

Tillsammans visar detta att det finns kunskapsluckor både om hur tekniken fungerar och vad den egentligen gör. Ska man använda PGP är det av yttersta vikt att man håller den privata nyckeln privat, annars finns risken att personer som inte ska läsa ett mejl ändå lyckas göra det. Har man valt ett långt och bra lösenord är den risken liten, men den finns. Dessutom krypterar PGP bara innehållet i ett mejl, inte vem som är avsändare och mottagare och inte heller ärenderaden. Tvärt emot vad Aftonbladet påstod ger PGP alltså inte alls anonymitet. För att få det behöver istället tjänster som exempelvis Tor användas.

Teknikkunnande en konkurrensfördel

Här och nu handlar digitalt källskydd om just det, att minska risken för att hemliga källor blir avslöjade. Men på sikt tror jag också att en kunskap om hur de här verktygen fungerar blir en konkurrensfördel.

Att Glenn Greenwald höll på att missa Edward Snowdens avslöjande är väl känt. Jag tror att man kan utgå i från att fler visselblåsare med stora avslöjanden kommer ställa samma krav på de journalister de kontaktar. Om inte annat så har ju Snowdens alla avslöjanden visat varför det är viktigt att vara försiktig med känslig kommunikation på nätet.

Att som Aftonbladet lyckas publicera sin privata nyckel och dessutom påstå att PGP ger anonymitet ger inte den trovärdighet som krävs.

Och tro nu inte att Aftonbladet är ensamma om den här typen av misstag. Jag har sett P3 Nyheter använda Twitter för att efterlysa män som blivit våldtagna – och bett dem ta kontakt via mail. Jag har sett reportrar efterlysa nyhetstips på Twitter, via direktmeddelanden, och i samma tweet utlova källskydd. När jag frågat om hur är svaret att reportern garanterar att hen inte kommer röja källan. Stämmer säkert. Men jag tycker att man som reporter också har ett ansvar för vilka kanaler man uppmuntrar sina källor att använda.

Säkerheten finns i ändnoden – din dator

I höstas skrev jag en artikel i IVA-aktuellt, om skillnaden mellan internetsäkerhet och säkerhet på internet. Slutsatsen efter de intervjuer jag gjorde då var att de flesta av de problem vi drabbas av på nätet ligger i ändnoderna, alltså i de prylar som kopplas till internet.

En analogi med vägar och fordon gör skillnaden kanske lite tydligare: Internet är ett vägnät av relativt hög kvalitet, men tyvärr färdas en hel del bilar och andra fordon med undermålig säkerhet på det.

Det här resonemanget har i allra högsta grad bäring på diskussionen om digitalt källskydd. Som journalist på nätet går det inte att förlita sig på att någon annan gör jobbet. Det är upp till den enskilda reportern att se till att hens uppkoppling är säker, att e-post skickas krypterat, att filer på hårddisken också är krypterade. Och så vidare.

Några guider för dig som vill lära dig mer

I slutet av april kommer en uppdatering av Internetguiden Digitalt källskydd – en introduktion som .SE ligger bakom i samarbete med Journalistförbundet. Dessutom kommer en helt ny “systerguide” som vänder sig till allmänheten, Digitalt självförsvar – en introduktion. Till båda dessa guider finns dessutom ett gemensamt extramaterial om just PGP och Tor. Och de två texterna finns att läsa redan nu.

Den stora bilden är tagen av empopempo.

Signal gör kryptering enkelt

Publicerad 3 mars, 2015

I går släpptes iPhone-appen Signal i en ny version. Den är utvecklad Open Whisper Systems, med i säkerhetskretsar kända kryptoexperten Moxie Marlinspike i spetsen. Efter lanseringen dröjde det inte länge innan mitt twitterflöde var fullt av lovord från personer som kan det här med it-säkerhet. Bland annat skriver The Intercept en positiv recension.

Med appen i telefonen får användaren möjlighet att både ringa och skicka meddelanden krypterat. Och med en väldokumenterad teknik i botten. Jag gillar bland annat att man tänkt på att inte ta med chatt- och samtalsloggar i säkerhetskopiorna av telefonen. Med pinkoden aktiverad i mobilen, gärna i kombination med funktionen som raderar allt innehåll efter ett antal misslyckade försök, innebär det att det som ska vara hemligt bara finns i telefonen och ingen annanstans.

Jag har bara hunnit testa som hastigast, men kan konstatera att jag nog aldrig använt ett program för krypterad kommunikation som är så enkelt att komma igång med.

På torsdag och fredag den här veckan kommer jag vara på MEG i Göteborg och prata digital källskydd i Kryptobaren. Signal är defintivt ett verktyg jag kommer att ta upp då. Men för journalister som vill använda Signal i kontakten med hemliga källor finns det en sak att vara vaksam på. För att koppla ihop två kontakter med varandra i Signal används fortfarande sim-kortets telefonnummer. Släkt och vänners telefonnummer hämtas från telefonens adressbok¹. Man skapar alltså inte först anonyma användarnamn: Signal är en app för säker kommunikation, inte anonymisering.

För att höja säkerheten för den hemliga källan ytterligare ett snäpp kan det därför vara en bra idé att skaffa en så kallad burner phone, en telefon man köper enbart för den här kommunikationen och som sen kasseras. Eftersom Signal fungerar ihop med Open Whisper Systems Android-appar TextSecure och RedPhone är allt som behövs en billig Android-lur med tillhörande kontantkort.

Läs gärna det jag skrev om WhatsApp i höstas, om hur mer kryptering bygger större höstackar och därmed ökar integriteten för alla internetanvändare.

Här tog det några minuter innan jag insåg att telefonnumren i telefonens adressbok måste vara skrivna med landskod först. Utan landskod lyckas Signal inte skicka meddelanden. ↩

Besök Kryptobaren på MEG 15

Publicerad 27 februari, 2015

I nästa vecka är det dags för årets upplaga av Mediedagarna i Göteborg, MEG. I loungen kommer .SE, bland annat genom mig, och Interactive Institute att bemanna Kryptobaren. Här hoppas vi att många mässbesökare stannar till för att prata om digitalt källskydd, it-säkerhet och integritet.

Vi vill bland annat visa på riskerna med gps-taggade bilder, berätta varför alla journalister bör skydda sin mobiltelefon med en pin-kod, prata om det faktum att okrypterad e-post är som att skicka vykort och varför man ska vara försiktig med vilka trådlösa nätverk man väljer att ansluta sina prylar till. Och så vill vi gärna få veta hur frågor om digitalt källskydd diskuteras på landets redaktioner.

Under hösten har jag jobbat med en uppdaterad version av den källskyddsguide som .SE och SJF tidigare gett ut. Arbetet med den är inte riktigt klar ännu, men däremot kommer två XL-material som jag också har skrivit att delas ut bland dem som tittar förbi i Kryptobaren. Det ena är en grundläggande introduktion till e-postkryptering med hjälp av PGP och Mailvelope, det andra till webbanonymitet med hjälp av Tor.

Vi hoppas också kunna förse de besökare som vill med usb-stickor med det säkra operativsystemet Tails. Så om du tänker titta förbi i Kryptobaren, ha gärna en tom usb-sticka med dig!

« Föregående sida

Nästa sida »