Digitalt självförsvar för journalister

6 maj, 2015

Digitalt källskydd Internet är ett av de allra viktigaste arbetsverktygen för journalister, men fel använt kan det ställa till stor skada. I en artikelserie i fem delar berättar vi om hur man som journalist kan arbeta säkrare. Serien är ett samarbete mellan stiftelsen .SE och Journalisten.

Del 1: De viktigaste verktygen

I början av mars trängdes journalister bland montrar och på seminarier på Mediedagarna på Svenska Mässan i Göteborg. Den besökare som ville koppla upp sin telefon eller dator till ett trådlöst nätverk hittade MEG Open i lokalerna. Det var ett av få nätverk som inte krävde något lösenord och därför var det också många som valde att ansluta till det.

Det var bara ett problem. En uppkoppling till MEG Open ledde inte vidare ut på internet. Ambitionen med nätverket var i stället att göra journalisterna på plats uppmärksamma på de risker som finns på nätet och visa vilka lösningar som finns att ta till för att minska dem. Oavsett vilken adress som matades in i webbläsaren dök där samma meddelande upp på skärmen, med en uppmaning om att lära sig mer om nätsäkerhet.

Men rent tekniskt fanns inget som hindrade att trafiken till och från de prylar som anslöt till basstationen avlyssnades eller att mässbesökarna lurades av sina inloggningsuppgifter till nättjänster som Facebook, Google eller Twitter.

Det falska nätverket visar varför du som journalist måste bry dig om hur tekniken bakom internet fungerar. Om det du skickar och tar emot via internet inte är krypterat är det vidöppet för avlyssning. Du lämnar dessutom massor av spår efter dig.

Efter Edward Snowdens avslöjanden har debatten till stor del handlat om massövervakande myndigheter. Och om du som reporter jobbar med riktigt stora, internationella avslöjanden är det givetvis en hotbild som du måste förhålla dig till.

Men värt att notera är att den basstation som användes på Meg bara kostar någon tusenlapp att köpa och kommer med all mjukvara som behövs förinstallerad. För massövervakning krävs stora resurser och stor kompetens. Men för den som vill ställa till problem i mindre skala – och kanske riktat mot en specifik individ – krävs inte alls lika mycket.

Det innebär att du som sysslar med journalistik i någon form behöver fundera över hur tekniken fungerar och hur den påverkar dig och dina källor. En mobiltelefon som glöms på lunchrestaurangen kan röja källor som du har sparat i adressboken. E-post som skickas via en källas jobbadress kan teknikerna på arbetsgivarens IT-avdelning läsa. Kopplar du upp dig på favoritkaféets trådlösa nätverk får du hålla tummarna att ingen i lokalen är så IT-kunnig att hen avlyssnar allt du gör när du är uppkopplad. Om du kopplar in dig på hotellets nätverk när du är på resa gäller samma sak, plus att de som sköter nätverket givetvis kan se vad du sysslar med inklusive ta kopior på de filer du skickar eller laddar ned.

Precis som med allt källskydd handlar det digitala om att först fundera över hotbilden och sedan vidta lämpliga åtgärder. Långt ifrån alla jobb kräver att källmaterialet förvaras på krypterade USB-minnen, att all kommunikation går via krypterad chatt och att bara nyköpta mobiler med kontantkort används. Men det finns en lägstanivå där alla journalister bör befinna sig.

Se över dina lösenord
De ska vara långa och därmed svåra att både gissa och att knäcka med datorns hjälp. Och återanvänd dem inte. Utnyttja i stället lösenordshanterare som exempelvis 1password för att kunna ha unika lösenord på varje nättjänst du använder. Om du trots allt inte orkar bry dig om lösenorden fullt ut, se åtminstone till att du skyddar dina viktigaste konton lite extra. Och särskilt viktigt är lösenordet som skyddar din e-post. Den som annars lyckas ta sig in i din e-post får inte bara tillgång till alla mejl som du skickat och tagit emot. Eftersom bortglömda lösenord ersätts med nya som skickas via e-post innebär ett kapat e-postkonto också att man får kontroll över den drabbade personens alla andra konton runt om på nätet.

Säkrare e-post
Acceptera att e-post inte är en säker kommunikationsform. I grund och botten handlar det om att acceptera att det gamla påståendet ”att skicka e-post är som att skicka vykort” faktiskt stämmer. Gå aldrig ut i sociala medier och fråga efter personer som vill ställa upp på en intervju i ett känsligt ämne och be dem kontakta dig via e-post med löfte om anonymitet. För att tipsaren inte ska riskera att bli röjd krävs allra minst att ni båda använder krypterad e-post.

Skaffa VPN
På internet finns inga direktkopplingar mellan två punkter. I stället är internet en kedja av nätverksutrustning, där datatrafiken hoppar från ena apparaten till nästa – och där de tekniker som har kontroll över utrustningen på vägen också har stora möjligheter att avlyssna eller manipulera trafiken. Extra tydligt blir detta i första steget närmast din dator eller mobiltelefon. Om du inte använder ett VPN (Virtual Private Network) som krypterar internettrafiken till och från din dator, var extra försiktig med vilka nätverk du ansluter till. VPN är en tjänst som du köper i abonnemangsform för ett par tior i månaden och uppåt.

Väldigt mycket av det vi gör på internet lämnar spår och är möjligt att avlyssna. Insatsen som krävs är ibland stor, men många gånger räcker det med program som vem som helst kan ladda ner från nätet. Som privatperson går det att rycka på axlarna åt riskerna, men som journalist har du ett ansvar mot dina källor. Och i det ansvaret ligger också att föregå med gott exempel och att instruera dina källor att använda internet på ett säkrare sätt.

                                                                               Anders Thoresson

3 verktyg du bör ha i datorn:
1. VPN (Virtual Private Network) krypterar trafiken till och från din dator. Skyddar dig bland annat mot avlyssning av personer som finns i din direkta fysiska omgivning när du använder ett trådlöst nätverk.
2. PGP (Pretty Good Privacy) är en metod för att kryptera e-post. Genom att lära dig PGP och skapa en så kallad publik nyckel gör du det möjligt för källor att skicka krypterad e-post till dig.
2. TOR (The Onion Router) låter dig surfa anonymt på internet utan att andra kan koppla dina webbplatsbesök till dig som person.

 

FAKTA:

.SE och källskydd
Stiftelsen för internetinfrastruktur (.SE) är en oberoende allmännyttig organisation som verkar för positiv utveckling av internet i Sverige.
.SE och Journalistförbundet har tillsammans tagit fram fördjupningsmaterial om digitalt källskydd.
Grunderna finns i Digitalt källskydd – en introduktion. I Digitalt självförsvar – en introduktion kan källor hitta tips om hur de kan kontakta journalister på ett säkert sätt.
Guiderna finns att läsa och ladda ned kostnadsfritt här



Kommande delar i artikelserien:

  • Del 2: E-post – vilka risker som finns och hur du kan använda PGP för att undvika dem.
  • Del 3: Riskerna med trådlösa nätverk och molntjänster.
  • Del 4: Anonymitet på internet, med hjälp av TOR.
  • Del 5: Mobiltelefonen – hur säker är den?

 

Kommentarer

Det finns 6 kommentar på sidan.


Kommentera
Kommentarer på Journalisten är till för yrkesdebatt och är förhandsmodererade. Det innebär att de inte kommer att publiceras direkt. Kommentarer som innehåller hat, hot eller personpåhopp kommer inte att publiceras. Journalistens ansvariga utgivare ansvarar även för kommentarsfältet.
Inlagt av Rolf tors, 2015-05-07 02:00
Jag skickade artikeln om ”Digitalt självförsvar för journalister” till en kollega med 30 års internationell erfarenhet i ämnet, inklusive att vara civilingenjör i IT, personlig IEEE ackrediterad, tidigare arbetat med ämnet i Bell Atlantic gruppen, projektchef på APEC, och arbetat för Japanska premiärministern vid utlandsbesök. Hans kommentar, skrattretande okunnigt och naivt. Amerikanska PGP föreslås till exempel, men alla med insikt i ämnet vet att det PGP som installeras i Windows får automatiskt backdörrar tillagda vid installationen. Microsoft, PGP, och NSA/CIA har ett samarbete, en extra nyckel byggs sedan in automatiskt i varje kryptering, meddelande kan lätt identifieras i systemet, det dekrypteras och kollas. Det är förstås utmärkt att man börjar uppmärksamma problemet, men vore det inte bättre att anlita lite mer kunnigt och erfaret folk att skriva.
Inlagt av Christer Spörndly tors, 2015-05-07 12:49
Bra artikel. VIktigt att belysa dessa frågor. Att kryptera med VPN är viktigt men det ställer även stora krav på användaren att sätta upp lösningen. Vi på FInska säkerhetsföretaget F-Secure har tagit fram en superenkel VPN tjänst som funkar på PC, MAC, iPhone och MAC. Prova gratis med koden 4wuv8e http://freedome.f-secure.com/vip/index-sv.html
Inlagt av Anders Thoresson tors, 2015-05-07 15:17
Hej Rolf! Med PGP avser vi inte den kommersiella mjukvaran med samma namn, utan /metoden/ PGP som beskrivs i den öppna standarden OpenPGP. De program vi tipsar om i kommande artikelar är baserade på GPG och är inte föremål för misstankar om säkerhetsbrister. Men vi tackar för påpekandet, det kunde framgått på ett tydligare sätt redan här! Med vänlig hälsning, Anders Thoresson
Inlagt av Rolf fre, 2015-05-08 04:52
Hej Anders, och mycket tack för att du följde upp. Känns väldigt positivt och trevligt. Jag har personligen varit i kontakt med Zimmerman, som uppfann PGP, och även han varnar för programmet av idag. Systemet heter egentligen ”asymmetrisk kryptering”, alltså, det finns en offentlig nyckel för att kryptera, och en annan hemlig för att dekryptera. Mitt eget system för mejl, en virtuell TrueCrypt disk på 2 GB, Thunderbird portable inne i den, med GPG och Enigmail installerat. Dessutom använder jag Portable PGP ibland. Del kräver ingen installation. Grundkrav är öppen källkod, ingen installation, bäst är Live system som Tails, Puppy Linux, och det finns ett par nya mail system som protonmail.ch och openmailbox.org och mailenvelope (Firefox addon) som är säkra. Jag har just installerat nya TOR och det var en barnlek att få det att fungera. Jag bor och arbetar ju som bekant i Kina. Myndigheterna är inget problem, men som vi vet har ofta journalister råkat illa ut med kriminella och politiska grupperingar, misshandel, mord och fängslande. Jag har väldigt mycket erfarenhet och delar gärna med mig.
Inlagt av Anders Thoresson fre, 2015-05-08 13:56
Precis. Det gäller att hela tiden göra en riskbedömning. Ibland är det källan man måste värna, ibland är det sitt eget liv. Allt beroende på vad det är för jobb man håller på med. Ibland är det en dum idé att använda Google Drive, ibland kan det vara ett utmärkt sätt att spara sina dokument där, särskilt om man använder Tor vid överföringen. För, som du skriver, i vissa situationer är det inte övervakning a'la NSA som är problemet, utan att bli stoppad med material på datorns hårddisk. Jag tror och hoppas att du blir nöjd när du läser resten av artikelserien, och om du tittar på källskyddsguiderna som det länkas till i slutet av texten. De tar upp de flesta av de aspekter som du är inne på.
Inlagt av Marcus sön, 2015-05-10 15:19
Ni ska tydligen ta upp Tor i en kommande del av artikelserien. Tar ni då upp det faktum att många noder - ingångs-, mellan- och exitnoder - är kända som just sådana (och dessutom utmärka verktyg för spammare)? För systemadministratörer som letar efter mystisk trafik på sitt nätverk är det således numera tämligen enkelt att se om någon använder Tor från sin arbetsstation eller anslutna enhet. Den som tror att en USB-sticka med t.ex. Tails automatiskt städar bort elektroniska spår gör det litet väl enkelt för sig, och utsätter sig för risker man kanske inte räknat med. Givetvis förutsätter jag att läsarna får reda på att Tor i sig inte krypterar vare sig innehåll eller (stora delar av) trafiken.
Digitalt källskydd

Journalisten-podden

Nyhetsbrev

Prenumerera på nyhetsbrevet

Säg upp din prenumeration här

Senaste numret

Prenumerera

Ansvarig utgivare: Helena Giertta. Allt material är skyddat enligt lagen om upphovsrätt. Citera gärna, men ange källan. Information om cookies