Bristande källskydd: Molntjänster

Avlyssnade nät

Hur svårt det är att avlyssna trafiken till och från din dator eller mobiltelefon beror bland annat på hur den är ansluten till internet. Det som skickas i trådlösa nätverk, så kallade wifi-nät, är inte alltid krypterat. Om du inte behöver ange något lösenord första gången du ansluter dig till ett trådlöst nätverk innebär det att trafiken mellan din dator och det trådlösa nätverkets basstation är okrypterad. Då kan vem som helst som befinner sig i närheten avlyssna allt som skickas mellan basstationen och din dator. Om du då exempelvis skickar e-post utan att kryptera den innebär det att innehållet går att läsa. När du kopplar upp dig till trådlösa nätverk bör du därför alltid välja sådana som kräver lösenord, eftersom det är de nätverken som också krypterar trafiken. Men tyvärr räcker inte det. Äldre krypteringsmetoder har visat sig vara osäkra. En av de första som började användas heter WEP och anses idag vara mer eller mindre lika osäkert som ett okrypterat wifi-nät. Välj därför bort WEP-skyddade nät och även de som använder WPA. Anslut bara din dator och surfplatta till wifi-nät som använder den säkerhetslösning som heter WPA2.

När du kopplar upp din mobiltelefon eller dator till ett trådlöst nätverk innebär det också att du lämnar väldigt mycket information till den som sköter basstationen. Den personen kan om hon vill titta på all okrypterad trafik du skickar och tar emot via uppkopplingen, och ibland till och med knäcka krypteringen och avlyssna sånt som du trodde var säkert. Det är dessutom lätt att sätta upp basstationer med namn som ser pålitliga ut, men där administratören i själva verket avlyssnar trafiken som passerar. Är du inte helt säker på att du kan lita på det trådlösa nätverket är det bättre att använda mobilnätet: Anslut din mobiltelefon till datorn med en usb-sladd och låt den fungera som modem.

Tips! Skilj på VPN och Proxy.

På nätet finns något som kallas för proxytjänster. När du använder en proxy tar internettrafiken till och från din dator en omväg och lånar en tillfällig ip-adress. Däremot krypterar inte en proxytjänst trafiken, och därmed ger den inget skydd mot personer som vill titta på din trafik.

VPN

Ett annat bra alternativ är att använda vad som kallas för VPN, virtual private network. Ursprungligen var VPN en företagsteknik. Det “virtuella nätverket” används bland annat för att skapa en säker förbindelse hem till företagets nätverk när anställda befinner sig på tjänsteresa. En så kallad VPN-tunnel är en krypterad förbindelse som sträcker sig från den anställdes dator till företagets nätverk. All trafik skickas via den krypterade förbindelsen och blir därmed svår för någon att avlyssna på vägen. Men en säker anslutning till företagets nätverk är bara ett användningsområde för ett VPN. Krypteringen innebär att det erbjuder ett bra skydd när du behöver koppla upp dig på nätverk som du inte riktigt känner att du kan lita på.

VPN-förbindelsen gör det då väldigt svårt för någon att avlyssna trafiken från din dator till VPN-servern. Då spelar säkerheten i det trådlösa nätet plötsligt mindre roll eftersom du skapar en egen, säker förbindelse i det. En VPN-anslutning är alltså något du kan använda för att skydda dig mot avlyssning när du kopplar upp dig till ett trådlöst nätverk eller när du behöver ansluta till servrar på redaktionens nätverk. Ett VPN är däremot inte något som ersätter kryptering av e-post, https eller andra krypteringslösningar. Kryptering på internet finns i många lager: Innehåll och anslutning kan vara krypterad var för sig. Dessutom kan data vara krypterat eller okrypterat när det ligger lagrat på din dators hårddisk eller en server någonstans på nätet. Kryptering i de olika lagren ska inte ses som alternativ till varandra utan som kompletterande lösningar, särskilt om du handskas med riktigt känsliga uppgifter. Vill du surfa till en webbplats men inte vill att någon på samma kafé ska kunna se vilken förhindrar alltså en VPN-tunnel obehöriga från att snoka. Men från VPN-servern vidare till webbplatsen är din trafik bara skyddad om du dessutom ser till att använda https istället för http. Av den anledningen är det viktigt att fundera på vilken VPN-lösning du eller din redaktion använder. Är det ett företag som tillhandahåller VPN-tjänster, var medveten om att de har stora tekniska möjligheter att övervaka vad du gör på nätet.

Välj en VPN-lösning du kan lita på

Om du vill använda en VPN-tjänst för att försvåra för någon att avlyssna din trafik är det två saker du behöver fundera på:

Välj en teknik som inte har några kända brister. En vanlig VPN-teknik heter PPTP, men den har flera kända säkerhetshål. Välj istället OpenVPN som är lättatt komma igång med och anses som säkert. På seriösa VPN-tjänsters sajter finns det alltid angivet vilken tekniksom används.

Om du inte jobbar på eller åt en redaktion somtillhandahåller en VPN-server behöver du själv välja vilkendu ska använda. Tänk då på att teknikerna på tjänsten du använder bland annat kan se vilka nättjänster du använder och eventuellt också innehållet i trafiken. Gör du en granskning i Ryssland, välj därför inte en rysk VPN-tjänst och så vidare.

Tor

Ibland är det inte bara avlyssning du som journalist behöver oroa dig för. Du kan behöva använda nätet anonymt, utan att någon kan koppla det du gör till dig. Vi har redan konstaterat att din dators ip-adress kan avslöja dig. Lösningen är Tor, en gratistjänst som utvecklas med stöd från bland andra svenska Sida. Tor används av journalister, människorättsaktivister och andra som behöver vara anonyma på nätet. Tor låter nämligen din dator tillfälligt låna en annan ip-adress. Och utlånet sker i en trestegsraket som gör det omöjligt för någon att koppla den tillfälliga ip-adressen till dig – så länge du använder Tor som det är tänkt. Om du surfar via Tor för att först kolla ditt Facebook-konto och därefter vidare till ditt hemliga e-postkonto på Gmail så finns möjligheten att någon kan göra kopplingen. På nätet är det viktigt att hålla vattentäta skott mellan det som ska vara anonymt och det som inte behöver vara det!

Trafiken som skickas via Tor-nätverket är krypterad och Tor kan därmed även användas för att skydda webbtrafiken när du är uppkopplad till ett osäkert wifi-nät. Men precis som med ett VPN är trafiken bara krypterad fram till den punkt då den lämnar Tor. För att vara skyddad även därefter krävs andra former av kryptering, som https för webbtrafik eller PGP för e-post. Var också uppmärksam på att Tor bara skyddar det du gör i Tor Browser, Tors egen webbläsare. Om du av misstag råkar använda din vanliga webbläsare när du vill vara anonym kommer du att avslöja din ip-adress. För e-post, chatt och andra tjänster som du inte kommer åt via Tor Browser kommer du också att exponera din faktiska ip-adress.

Var också medveten om att du lämnar många andra spår efter dig när du använder internet och särskilt på webben. Där används exempelvis så kallade cookies för att följa hur du rör dig inom och mellan webbplatser. Normalt sett används de för att få sajten att fungera – som inköpskorgen på en webbshop – och i marknadsföringssyfte, men samma tekniska lösningar kan givetvis användas i andra syften också.

Välj https istället för http

När du besöker en webbplats där du hanterar känsliga uppgifter, exempelvis ett webbgränssnitt till din e-post, kontrollera att det står https och inte http först i webbläsarens adressfönster. Förkortningen “http” står för hypertext transport protocol vilket är den teknik som används för att skicka webbsidor mellan server och webbläsare. Tillägget i “https” står för secure och betyder att kommunikationen mellan din webbläsare och webbplatsen är krypterad och därmed också svårare för obehöriga att avlyssna. Ta också webbläsarens varningar om felaktigheter i det så kallade SSL-certifikatet på allvar. SSL-certifikatet är nyckeln som används för att kryptera förbindelsen. En varning om att något inte stämmer kan innebära att någon försöker avlyssna trafiken.

För att minska risken för att du väljer en http-anslutning istället för https kan du installera tilläggsprogrammet HTTPS Everywhere i din webbläsare. Det är utvecklat av den amerikanska medborgarrättsorganisationen EFF och ser till att din webbläsare väljer en krypterad förbindelse varje gång en sådan finns tillgänglig. HTTPS Everywhere finns för Firefox, Chrome och Opera. Webbläsare som stöder htttps visar när en besökt sida är krypterad genom att en symbol med stängt hänglås syns i adressfältet eller längst ned i webbläsarfönstret.

Uppdatera din webbläsare

Genom att uppdatera din webbläsare till den senaste versionen minskar du din riskexponering på webben. Äldre versionen har ofta många säkerhetshål som bland annat utnyttjas för att installera skadliga program i din dator. Du kan testa din webbläsare på https://www.ssllabs.com

 

Kryptering, lånade ip-adresser och igensopade spår

I det här kapitlet går vi igenom några av de åtgärder du som journalist kan vidta för att minska risken för att du av misstag röjer en källa som skulle förbli hemlig eller att du exponerar din arbetsplats ip-adress och därmed också avslöjar dig som journalist när du exempelvis besöker en webbplats. I grund och botten handlar alla lösningarna om tre olika saker:

• Vad gäller informationen du skickar på nätet, oavsett om det handlar om e-post, chattmeddelanden eller källdokument, kan den bara skyddas om den krypteras. Allt som skickas på nätet utan att vara krypterat kan läsas av utomstående som på ett sätt kan avlyssna trafiken.
• Vad gäller risken att avslöja dig som journalist handlar det delvis om att inte exponera arbetsplatsens ip-adress när du använder nätets tjänster. Det finns olika sätt att tillfälligt “låna” en ip-adress. Ett VPN är ett alternativ. En annan lösning är att surfa från ett mobilt bredband eller ett internetkafé. Men om du väljer det senare alternativet, var då medveten om de risker som du istället exponerar dig för!
• För riktig anonymitet, där det inte räcker med att dölja din yrkesroll som journalist med en lånad ip-adress, krävs mer eftertanke. Här är Tor ett bra verktyg. Precis som med ett VPN ger Tor dig en lånad ip-adress, men lånet administreras på ett sätt så att ingen kan knyta din lånade ip-adress till din faktiska ip-adress och därmed inte heller till dig.

Kontrollera dina program

Utvecklingen på nätet står inte still. Och det gäller säkerhetsproblemen i lika stor utsträckning som allt annat. Många av de övergripande resonemangen i den här guiden kommer vara giltiga under lång tid framöver. Det gäller till exempel det faktum att okrypterad e-post är att jämföra med ett vykort, att vi lämnar många spår efter oss när vi använder nätet och att fler krypteringslager är bättre än färre. Men när det gäller de mer konkreta tipsen kring vilka program och tjänster du som journalist kan använda dig av för att minska riskerna för att röja dina källor går det tyvärr inte att säga något om livslängden. Nya säkerhetshål och andra brister upptäcks dagligen på nätet och de kan mycket väl finnas i de program som den här guiden tar upp.

Ett konkret exempel gäller Truecrypt, ett program för att kryptera filer eller hela hårddiskar. Det ansågs länge vara det bästa alternativet för den som vill spara information på ett säkert sätt på den egna datorn eller på ett usb-minne. Men i slutet av maj 2014 dök plötsligt en varning upp på Truecrypts webbplats: “Using TrueCrypt is not secure as it may contain unfixed security issues.”

Exakt vad som ligger bakom varningen är inte känt, men det finns gott om spekulationer. En handlar om att Truecrypt har en bakdörr som amerikanska myndigheter kan utnyttja. Utvecklarna själva säger att de handlar om att de inte längre vill jobba med projektet och inte litar på att andra skulle förstå koden och kunna fortsätta utveckla Truecrypt på ett säkert sätt.

Huruvida äldre versioner av Truecrypt (specifikt den som heter 7.1a) fortfarande går att lita på eller inte råder delade meningar om. Men som följer av resonemanget i kapitlet om hotbilder är det inte säkert att den frågan har ett tydligt svar. Det beror istället på vad det är för information du behöver kryptera och vem det är du inte vill ska se den. Fallet med Truecrypt visar också att det är viktigt att hålla sig uppdaterad om vad som händer med de program du som journalist använder. Det generella rådet är därför att alltid använda den senaste versionen av ett program. I äldre versioner finns ofta säkerhetshål som kan utnyttjas på olika sätt. Så snart dessa blir kända för utvecklarna brukar de åtgärdas när en ny version släpps. Och om du inte behöver använda några av de här tjänsterna och programmen idag, men om några år jobbar med en artikel eller ett reportage som ställer höga krav på källskydd, kom då ihåg att det finns många fallgropar på nätet och skaffa dig aktuell kunskap om hur du bäst skyddar dina källor då. Du behöver också verifiera programmen du laddar ner, att de inte är manipulerade på något sätt. Hämta bara hem program från officiella webbplatser och följ de instruktioner som finns för att kontrollera att de så kallade hash-/checksummorna stämmer.

Hur ser hotbilden ut?

Edward Snowdens avslöjanden har satt fokus på den typ av övervakning och avlyssning som myndigheter som amerikanska NSA, brittiska GCHQ och svenska FRA ägnar sig åt. Men det är förhållandevis få svenska journalister som ägnar sig åt avslöjanden på den nivå som intresserar de myndigheterna. Men det innebär inte att du kan slappna av. En granskning av ett lokalt företag med en någorlunda duktig it-avdelning kan få för sig att läsa de anställdas e-post i smyg. Intervjuer med personer som flytt krigsområden kan få regimen i deras hemländer intresserad. Om du använder en VPN- eller proxytjänst, fundera då på vems ärenden företaget som erbjuder tjänsten kan tänkas gå. Granskar du hur USA agerar i en viss fråga ska du kanske inte välja en amerikansk VPN-tjänst. Utöver dessa risker som är kopplade direkt till ditt yrke som journalist finns mer allmänna hot. Sitter du på ett kafé i närheten av en teknisk högskola, vågar du lita på att studenterna som sitter med sina datorer i hörnet inte pluggar nätverkssäkerhet och just fått lära sig hur man avlyssnar trafiken i trådlösa nätverk?

Precis som säkerheten i de program du använder inte är statisk är inte heller hotbilden mot dig och dina källor det. Gör därför hela tiden nya överväganden om vilka åtgärder som är rimliga att vidta. Tyvärr innebär all kryptering och anonymitet på nätet en kompromiss med användarvänligheten. Det kan handla om lösenord som ska matas in, en långsammare surfupplevelse eller källor som måste utbildas. Allt är bökigt, tar tid, är mer eller mindre svårt att lära sig. Att kryptera all e-post och att alltid använda Tor för att surfa anonymt är därför inte realistiskt. Men vilka verktyg ska du använda när? Vissa åtgärder handlar om sunt förnuft och är sådana som du bör vidta med en gång, om du inte redan gjort det: Långa, bra lösenord till din e-post och andra känsliga konton (och som är unika för varje tjänst!), pinkod på din mobiltelefon, en vana att undvika okrypterade, trådlösa nätverk och inte spara känsligt material i någon av nätets molntjänster. På så vis har du en grundläggande, acceptabel säkerhetsnivå att utgå ifrån och behöver inte göra stora förändringar i din datoranvändning när det bränner till.

I övrigt handlar det om att fundera på hotbilden för varje jobb du håller på med. Ju mer högprofilerat jobb, desto mer genomgående åtgärder med kryptering av researchmaterial och försiktighet i källkontakterna behöver du. Men det räcker inte med att konstatera att du håller på med ett jobb som kan vara känsligt. Du behöver också fundera på för vem det är känsligt och vad det innebär för ditt val av tjänster och program. Är du ansvarig för it-frågorna på en redaktion bör du också ha med de här frågeställningarna i de upphandlingar som görs. Vilka företag får i uppdrag att sköta driften av exempelvis redaktionens interna nätverk eller mejlservrar? Vilka av företagets it-tekniker har tillgång till enskilda reportrars e-post?

Case: Lagen skyddar inte digitala källor

Den 19 september 2007 knackade två poliser på dörren till Kalla fakta-reportern Trond Sefastssons lägenhet på Östermalm i Stockholm. Sefastsson var misstänkt för mut- och skattebrott och poliserna skulle, på order av kammaråklagare Malin Palmgren, säkra bevis genom en husrannsakan. Med sig när de gick hade de förutom Sefastssons bokföring i pärmar, trots hans protester, också hans dator med material från mer än tio år av hans research, men även hans genomgångar av andra TV4-reportrars material.

Bland annat fanns där researchen om livstidsdömde Yasser Askar, friad av Högsta domstolen efter Sefastssons granskning av fallet, samt research om fallet med den morddömde romen Veija Borg. Bägge fallen hade fokus på rättsosäkerheten i polisens arbete, bland annat det som utfördes på just den avdelning som nu tog hand om den beslagtagna datorn. Trond Sefastsson och TV4, som han hade arbetat för i över tio år som reporter och juridisk konsult, begärde att beslaget skulle hävas, eftersom datorn innehöll material som omfattas av källskyddet i yttrandefrihetsgrundlagen. Sådant material har enligt rättegångsbalken särskilt skydd vid polisingripanden, som till exempel husrannsakan.

Men både tingsrätten och sedan hovrätten sade nej, och sedan Högsta domstolen i två beslut inte fann skäl att meddela prövningstillstånd vann beslaget laga kraft.

Lagstiftarens avsikt med rättegångsbalkens speciella regler för beslag av handlingar hos en journalist eller på en redaktion tillkom för att säkra att källornas identitet inte röjs, även om en journalist är misstänkt för brott. Men när lagen skrevs var begreppet ”skriftlig handling”, vilket domstolarna tolkade bokstavligt som papper. För elektroniskt lagrad information fanns inget skydd, menade de. ”Ärendet inrymmer … frågor av stor betydelse inte minst på yttrandefrihetsrättens område” ansåg Justitiekanslern, JK, som när han granskade ärendet i en genomgång av rättsläget fann inte mindre än sju utredningar av frågan. JK landade i att en lagreglering av även datalagrad information borde införas.

Förra justitieministern Beatrice Ask sade sig också vara bekymrad över läget, men ännu 2015 har ingen ny reglering kommit till stånd. Enligt lagen kan ett beslag ske av en journalists digitala utrustning, utan att villkoren har prövats i domstol – och journalisten behöver inte ens vara misstänkt för något brott. Efter mordet på reporten Elin Falk vid Västerbottens folkblad togs hennes utrustning i beslag. Det hävdes till slut av hovrätten och dator och mobiltelefon lämnades tillbaka.

Efter att Sveriges Radios korrespondent Nils Horner skjutits till döds i Kabul i mars 2014 gjordes ett beslag av hans utrustning: datorer, mobiler, kameror och bandspelare.

Sveriges Radio överklagade beslaget med hänvisning till källskyddet. Beslutet hävdes inte, men det sattes villkor för hur utrustningen skulle gås igenom och att någon från radion skulle få vara med vid genomgången. Detta är dock inte någon rättighet som är reglerad i lagen.

I det här fallet sammanfaller sannolikt Sveriges Radios och polisens intressen av att hitta mördaren, utan att källor röjs. Men om datorns ägare är misstänkt för ett brott blir det naturligtvis en tydligare intressekonflikt om hen vid en genomgång säger att ”i de där mapparna får ni inte titta”. Ett annat exempel är att under utredningen av mordet på reportern Elin Falk vid Västerbottens folkblad i mars 2015, beslagtogs hennes utrustning av polisen. Beslaget hävdes till slut av hovrätten och dator och mobiltelefon lämnades tillbaka.

Datalagrad information om en källa som finns på redaktionen, i molnet eller hemma hos en journalist har idag inte på långa vägar samma skydd i lagen som information på papper. Vid denna guides tryckning finns ett förslag om en möjlighet att närvara när polisen går igenom it-utrustning som tagits i beslag. Men det ser inte ut att bli något krav.

Bäst är då att kryptera allt material som innehåller information som omfattas av källskydd – och att undvika att ha sådant som bokföring på samma dator som känsliga uppgifter om källor. Enligt Sveriges Radio fanns ”visst skydd” av innehållet i Nils Horners utrustning. Men det tog mer än ett halvår innan polisen hade lämnat tillbaka alla Nils Horners apparater till Sveriges Radio. Trond Sefastsson hade haft krypteringsprogrammet PGP, Pretty Good Privacy, installerat på sin dator i nästan på dagen tio år innan polisen knackade på dörren. Men han hade aldrig använt det.

Kryptering i flera steg

På internet förekommer kryptering i många olika nivåer. En anslutning i ett trådlöst nätverk kan vara krypterad eller okrypterad. Ett e-postmeddelande kan skickas krypterat eller okrypterat. Förbindelsen mellan webbläsaren i din dator och webbplatsen du besöker kan vara krypterad eller okrypterad. Är det ena alternativet bättre eller sämre än det andra? Svaret är att de kompletterar varandra och att det finns en enkel grundregel: Ska du skydda en hemlig källa är fler krypteringslager bättre än få, eftersom varje krypteringslager gör det svårare för någon obehörig att komma åt det hemliga materialet. Om du skickar ett okrypterat e-brev via ett krypterat trådlöst nätverk minskar du risken för att någon som sitter på samma kafé kan läsa innehållet. Däremot kommer personer som har tillgång till den nätverksutrustning som ditt mejl passerar på vägen till mottagaren fortfarande kunna läsa det.

Om du däremot är uppkopplad till ett trådlöst nätverk som saknar kryptering när du skickar ett krypterat mejl är innehållet i det skyddat hela vägen fram till mottagaren. Däremot kommer de som finns på samma kafé kunna se mycket annat av det du gör på nätet. Och ibland omfattar det även vem du skickade ditt mejl till och vad som stod i ärenderaden – om anslutningen till och från e-postprogrammet i din dator inte är krypterad. Det är alltså viktigt att förstå att både anslutningen i sig, från din dator till nätverket och från programmen i din dator till respektive tjänst på nätet kan vara krypterad. Men även att innehållet som skickas via dessa anslutningar kan vara krypterat. Det ena utesluter inte det andra. Till krypterad förbindelse och krypterad överföring går dessutom att lägga en tredje typ av kryptering: Krypterad lagring. Ett exempel på när det kan vara relevant för en journalist att fundera på hur information lagras är Twitter. Tjänsten har en funktion som heter direktmeddelanden. Den gör det möjligt för två användare att kommunicera direkt med varandra utan att någon annan ser det som skrivs. Normala uppdateringar på Twitter kan läsas av alla, men direktmeddelanden bara av de två som deltar i samtalet. Twitter är en av de tjänster som aktiverat https och därmed är anslutningen från din dators webbläsare till Twitters webbplats krypterad och svår att avlyssna. Därmed kan det vara frestande att tro att Twitters direktmeddelanden också är en säker kanal för journalister och deras källor. Fel. Innehållet i Twitters direktmeddelanden är inte krypterat, på företagets servrar lagras de av allt att döma okrypterat. Det innebär att ett direktmeddelande kan vara krypterat när det transporteras till och från Twitters servrar och därmed vara svårt för någon att avlyssna på vägen. Däremot skulle de tekniker som har tillgång till Twitters servrar potentiellt kunna läsa dem. Krypterad förbindelse, krypterad transport och krypterad lagring är alltså tre typer av kryptering du som journalist behöver fundera på.

 

 

Spara

Spara

Spara

Spara