Bristande källskydd: Molntjänster

Webbmejl och möjligheten att spara dokument i internetbaserade lagringstjänster som Dropbox är exempel på fenomenet molntjänster. Användningen av dessa växer blixtsnabbt. Stora företag som Google och Microsoft har ordbehandlare och kalkylprogram i molnet och än fler erbjuder lagringsplats, säkerhetskopiering, kalendrar, fotoalbum och adressböcker. Förutom att molntjänsterna ger bekvämlighet, anses de också vara billiga i drift. Men att flytta redaktionens viktigaste arbetsverktyg till en obestämd plats på internet kan kosta mer än det smakar. En redaktionell satsning på molntjänster i sin vidaste bemärkelse innebär att själva kärnan i journalistiken lämnas över till en extern leverantör. Allt från researchens rådata, via manus under arbete, till synkroniserade uppgifter från mobiltelefonen – inklusive telefonloggar och geodata om var ägaren har varit – ska lagras och hanteras av företag som redaktionen naturligtvis inte har kontroll över och där ansvarsfrågor som bäst kan betraktas som svårtolkade. Visserligen är de flesta stora aktörer på molnmarknaden väl medvetna om att det behövs en hög säkerhetsnivå. Inte bara medieföretag har ju anledning att skydda affärskritisk företagsinformation. Men en medvetenhet i teorin behöver inte betyda att säkerheten fungerar i praktiken. Du vet inte hur säkra molnföretagets säkerhetsrutiner är, du vet inte vilka människor som jobbar där – och du vet inte ens under vilket lands lagar som informationen kan begäras ut. Just för redaktioner är det sista ett extra stort problem – den grundlagsstadgade plikt som redaktioner har att skydda källors identitet och som hindrar myndigheter från att efterforska dem betyder ingenting utanför Sveriges gränser. Molntjänsten kan i princip ha servrar var som helst – i Finland lika väl som i USA. Och även om dessa fysiskt befinner sig i Luleå, kan en amerikansk domstol ändå hävda att information ska lämnas ut ifall det är ett amerikanskt företag som driver tjänsten. I användarvillkoren för de flesta tjänster framgår tydligt att data lämnas ut på begäran av domstol.

Case: Reportern blev av med allt

En fredagseftermiddag i början av augusti 2012 stod plötsligt den amerikanska teknikjournalisten Mat Honan utan tillgång till vare sig Iphone, Ipad eller dator. Allt innehåll var raderat och han kom inte åt sitt Apple-konto. Hans Gmail-konto var avslutat och hans Twitter-identitet kapad. Allt genom att en hackare kommit åt Honans inloggning på Apples molntjänst Icloud. ”Jag hade faktiskt tur”, skriver Mat Honan i tidskriften Wired. ”Hackarna ville bara genera mig, ha lite kul på min bekostnad och reta upp dem som följer mig på Twitter”. Den som gjorde attacken kunde lika gärna ha tagit hans telefonbok, som innehåller kontaktuppgifter till ett antal inflytelserika människor i teknikvärlden, eller gått igenom åtta års sparad e-post på hans Gmail. Hackaren hade gått systematiskt till väga. Först lyckades han få internetbokhandeln Amazon att lämna ut de fyra sista siffrorna i Honans kreditkorts-nummer. Sen ringde han till Apple och påstod att han glömt sina inloggningsuppgifter. Genom att uppge e-postadress, hemadress och de fyra sista siffrorna från kreditkortet ansåg Apples support att han hade lämnat tillräcklig mycket personlig information för att de skulle tro på att hackaren var Mat Honan. Bedragaren fick tillgång till Honans konto. Genom kontot kunde hackaren använda fjärrstyrningsfunktionen i Icloud och i tur och ordning radera all information från Honans telefon, Ipad och dator. Eftersom Honan hade kopplat återställningen av sina Google-, Gmail- och Twitter-konton till e-postadressen hos Apple kunde hackaren utnyttja det, få nya lösenord och sedan göra vad han ville även med dessa konton. Honan trodde först att någon lyckats lista ut hans lösenord. Apples support berättade ingenting om att de hade lämnat ut hans kontoinformation bara en halvtimme innan Honan själv ringde. Det var först efter att hackaren kontaktat Honan och berättat hur han hade gjort som Honan även fick en bekräftelse från Apple. Hackaren lär ha sagt till Honan att han gjorde det för att uppmärksamma folk på säkerhetsproblem och förmå företagen att åtgärda dem. Hacket mot Mat Honan visar att molntjänster kan vara känsliga för intrång. I det här fallet räckte det med information som ett pizzabud har tillgång till för att komma åt en rad känsliga uppgifter.

 

6.1 Skydda källan: Minimera riskerna

Kryptering, anonyma e-postkonton och kontantkort till mobilen – det finns massor av trick för journalister att ta till för att skydda sina källor. Men det viktigaste är egentligen inte de smarta lösningarna i sig eller att du har något speciellt program på din dator, utan att du har tänkt igenom vad du håller på med. Hundraprocentig säkerhet går inte att uppnå, utan det gäller att vara medveten om vilka risker man löper – och minimera de risker som leder till oacceptabla konsekvenser. Först och främst måste du se till att ha en allmänt god säkerhetsnivå.

  • Ha starka lösenord. Aldrig samma på olika ställen och i olika apparater.
  • Brandvägg och antivirusprogram är självklarheter.
  • Uppdatera operativsystem, program och applikationer.
  • Klicka aldrig på länkar som du inte vet vart de går och bilagor som du inte vet något om.
  • Om det finns känsligt material på en dator eller mobiltelefon som du bär med dig, ska den vara krypterad. Vill du inte kryptera, ska informationen inte heller kånkas omkring, utan vara inlåst någonstans.
  • Lämna aldrig en dator eller telefon utan uppsikt. Det tar ingen tid alls att stjäla den, och kort tid att installera ett program som anger din aktuella position eller avlyssnar dina samtal.
  • Läs noga igenom villkoren och titta igenom alla inställningar på datorprogram och appar som du laddar hem till mobilen. Fundera på hur mycket du kan och bör dela med dig av när det gäller positionering, telefonbok och kalender – och vem som ska ha möjlighet att ta del av uppgifterna. Utgå ifrån att informationen kan sparas för evigt hos leverantören ifall inget annat anges.
  • Ladda hem och installera nya versioner av program när det kommer säkerhetsuppdateringar.

När du väljer dina datorprogram och mobilappar kan det vara en fördel om det är öppen källkod, alltså att programkoden finns tillgänglig för alla att granska. Även om du inte själv kan avgöra hur säker den är, kan oberoende experter gå igenom den och hitta säkerhetsluckor samt publicera dem på nätet. Generellt kan du utgå ifrån att ju längre ett program har funnits, desto fler säkerhetsbrister är hittade och åtgärdade.

Stora, etablerade företags produkter har ofta säkerhetslösningar som är tillräckliga för de flesta användare. Men Snowden-avslöjandena visade att amerikanska myndigheter haft tillgång till data från ett antal av de stora programvaru- och tjänsteföretagen.

I grunden följer en riskbedömning enkla resonemang: om du står i begrepp att avslöja missförhållanden på ett privat företag är det sannolikt att källans chef kommer att kolla företagets mejl- och telefonlistor för att hitta källorna. Företaget har rätt att göra det och källan kan få sparken om den avslöjas. Alla kontakter via arbetsgivarens telefon- och it-system bör alltså undvikas. En kontakt via exempelvis Googles e-posttjänst Gmail fungerar däremot troligen ganska bra. Men så fort man hanterar något som berör en amerikansk part, som kan få ut Google-information i en rättsprocess, bör Gmail undvikas. Poängen är att hitta en lämplig säkerhetsnivå i det projekt du håller på med, utan att slå över i paranoia, vilket sannolikt kommer att ­hindra dig från att utföra ditt jobb på ett bra sätt.

Checklista! Snabb hotbildsanalys.

  • Vem kan bli förbannad när din artikel eller ditt ­program publiceras?
  • Vem kan förlora pengar eller trovärdighet på det? Och vem kan tjäna på att få fram läckorna?
  • Vilka resurser har de som du granskar – i form av pengar, lagar och teknik?
  • Vilka kommunicerar med varandra och hur? Inom redaktionen, och utanför?
  • Hur bra är deras skydd och hur tar du reda på det?
  • Var och hur sparas informationen? Vad krävs för att komma åt den?
  • Vem kan komma åt informationen, exempelvis medarbetarna på it-avdelningen, städpersonal?
  • Försök att bedöma hur allvarlig varje separat risk är.
  • Fundera sedan på hur stor sannolikhet det är att den inträffar.
  • Vidtag nödvändiga skyddsåtgärder.

 

Tips! Bättre virusskydd.

Avinstallera, eller i alla fall avaktivera, Java och Flash om du inte vet att du behöver det. Dessa två program är skyldiga till många sårbarheter som kan utnyttjas av hackare och virus för att ta sig in på datorer. Om du måste använda filer i Adobe-format, till exempel Adobe Reader, se till att programmet alltid är uppdaterat till senaste versionen innan du öppnar några pdf:er. Detsamma gäller MS Word och Excel. Skadliga pdf:er och doc-filer används ofta vid riktade attacker.

6.2 Skydda källan: Brandvägg

För att skydda din dator och mobiltelefon mot intrång och spionprogram finns två enkla regler: släpp inte in vem som helst och använd alltid skydd. Steg ett är att ha bra brandvägg och antivirusprogram. Det finns både kommersiella program och gratisprogram. Sök efter aktuella tester innan du bestämmer dig och se sedan till att alltid ha en aktuell version av programmet. Nya virus, maskar och trojaner utvecklas ständigt och skyddsprogrammen måste uppdateras därefter. Datorer med Microsofts operativsystem är mer utsatta för attacker, men det betyder inte att du som använder Apple-produkter kan strunta i brandvägg och antivirusprogram. Även Mac:ar drabbas i allt högre grad. Skyddsprogrammen klarar dock bara av redan kända hot. De stoppar alltså inte helt nya virus, men företag och användargrupper är ofta snabba med att identifiera färska digitala farsoter. En tröskel mot intrång får du genom att ställa in datorn så att du har flera användarprofiler: en normalanvändare och en administratör. Normalanvändaren använder du i ditt dagliga arbete, och denna profil ska inte ha rättigheter att installera nya program. Ifall skum kod följer med från en webbsida som du har besökt eller i någon e-postbilaga, så kan den då i alla fall inte installeras utan att du märker det. Men det gäller också att vara försiktig med vilka program och appar du laddar hem och vilka rättigheter du sedan ger dem. Kontrollera nya program innan du börjar använda dem. Hur ser användarvillkoren och integritetspolicyn ut? Vilka rättigheter ger du till programmet att gå in i exempelvis kontaktböcker och geodata? Känner du dig osäker kanske du hellre ska låta bli att installera programmet eller köra det på en separat dator eller mobil. Låt inte nätsidor köra skript eller lagra kakor på din dator om du inte vet hur de används. Stäng av funktioner som låter någon annan fjärrstyra din utrustning.

Tips! Hindra intrångsförsök.

  • Ha brandvägg och antivirusprogram.
  • Uppdatera program och operativsystem regelbundet.
  • Surfa sällan eller aldrig till sajter som kan innehålla skadlig kod (pornografiwebbar, olagliga nedladdningssajter, et cetera).
  • Var försiktig med att ladda ned program, bilder och dokument.
  • Koppla inte upp dig som besökare på kontorsnät eller offentliga trådlösa nät om du kan undvika det.
  • Koppla ned dig från nätet när du inte behöver vara uppkopplad.

VPN för säkrare surfning

screen-shot-2016-10-18-at-11-43-20

6.3 Skydda källan: Surfa säkrare

Det går inte att ge råd som helt skyddar mot de problem som tas upp i de föregående kapitlen. Men med kryptering och “lånade” ip-adresser går det att göra en hel del för minska risken att bränna en hemlig källa eller avslöja dig som journalist när du surfar på nätet. En anslutning till en webbplats kan vara krypterad, du har säkert lärt dig att hålla ögonen öppna efter ett hänglås i webbläsarens adressfält när du använder ditt kontokort. Läs mer om https i rutan på sidan X. E-post, chattmeddelanden, videosamtal, dokument och så vidare går också att kryptera. Och grundregeln är enkel: Det som inte är krypterat är lättare att avlyssna. Ett typexempel där du som journalist bör vara försiktig är när du sitter på ett kafé eller i en hotellobby och kopplar upp dina prylar mot det trådlösa nätverk som finns tillgängligt för gästerna.

VPN för säkrare kommunikation med redaktionen

screen-shot-2016-10-18-at-11-44-54