Fredrik Laurin: Så skyddar du dina källor
Trodde du att journalister och deras källor var en fredad zon? Glöm det. Ansvaret för källskydd ligger på varje enskild journalist. Fredrik Laurin ger konkreta tips på hur man gör.
Trodde du att journalister och deras källor var en fredad zon? Glöm det. Ansvaret för källskydd ligger på varje enskild journalist. Fredrik Laurin ger konkreta tips på hur man gör.
Åklagarnas agerande i Sefastsson- och Pihlblad-affärerna visar att myndigheterna inte tvekar att rota i datorer och på redaktioner. Lagförslag om ökad övervakning i samhället – bland annat om att FRA ska få avlyssna all e-post och att redaktioner kan buggas – leder till att tillit till grundlagen inte är tillräckligt för att upprätthålla källskyddet.
I en digital arbetsmiljö är det ofta svårt att se eller ens ana vilken väg informationen tar eller var den lagras. Den som vill kunna avgöra vad som ska lämnas ut och inte när åklagaren knackar på redaktionsdörren, måste ha verktyg för att säkra sin information och kommunikation.
Staten är inte heller på långa vägar det enda hotet mot källorna. Hackers med ett ”botnet” (ett världsomspännande nätverk av datorer, infekterade med trojanska hästar) tog i våras över en stor del av bandbredden till Estland och stängde ner nästan hela landet. Den användare som exempelvis fått en sådan trojan i datorn måste kunna se till att känslig information inte ligger öppen, klar att hämta.
Kryptera och spara information separat.
Hos den militära underrättelsetjänsten har datorerna i fält två hårddiskar: en slaskdisk, som datorn går på när den är ute på nätet, och en säker disk, som datorn efter omstart bara kan skriva hemliga rapporter och sända krypterat med. Ett säkert men föga användarvänligt sätt att jobba.
Journalister måste hitta en fungerande balans mellan säkerhet och den redaktionella verkligheten. En bra metod är att kryptera en del av hårddisken och där spara e-posten och alla dokument. Det är ett sätt att slippa välja mellan vad som är känsligt och inte.
En enklare väg är att bara spara känslig information på till exempel en löstagbar hårddisk eller en USB-pinne. Disken eller pinnen är lättare att hantera på ett säkert sätt än själva jobbdatorn. Gör en backup även på det krypterade materialet och skriv direkt till minnet/hårddisken. Annars lämnas spår på datorns hårddisk som är svåra att tvätta bort.
Även raderade filer och e-post kan återskapas av till exempel polisens tekniker. Gratisprogrammet TrueCrypt och det kommersiella programmet PGP Desktop är två tillförlitliga program som klarar detta.
Kommunicera krypterat och dolt.
Installera och lär dig ett program som kan hantera krypteringsstandarden OpenPGP. Det är den öppna och etablerade standarden för kryptering på internet. Använd det utmärkta – och tillförlitliga – gratisprogrammet GnuPG eller det väl beprövade betalprogrammet PGP Desktop.
En PGP-nyckel är en förutsättning för säker kommunaktion med en källa; en förtroendeskapande och kanske avgörande faktor för att få källan att ställa upp.
Att ett mejl är krypterat syns ju (texten blir rappakalja) och det kan i sig vara känsligt i vissa organisationer. Det kanske inte heller är lämpligt att mejla bästa källan till och från jobbet, om korrespondensen är känslig. Då gäller det att ha ett gratiskonto upplagt som källan kan skicka till. En IT-ovan källa kan behöva hjälp med gratiskonton, för att inte tala om kryptering.
Satsa på datorhygien.
När en dator är infekterad av en trojan betyder det att någon annan har kontroll över den. Och därmed informationen, kanske även lösenord och krypteringsnyckel. IT-säkerhetsexperten Robert Malmgren arbetar sedan tio år för bland annat svenska kraftbolag. Enligt honom är det bara att konstatera att användare av Windows, MacOS eller andra kända operativsystem är tvingade att ofta uppdatera sina datorer med de senaste säkerhethetsfixarna, för att inte vara öppna för attacker. Datorernas operativsystem, liksom ofta använda program, måste vara uppdaterade. Ett tydligt exempel på program är Office, eftersom det är spritt och därmed ett favoritobjekt för attacker. Robert Malmgren säger också att det är viktigt med ett ofta uppdaterat virusprogram, en mjukvarubrandvägg på varje dator och gärna också en brandväggsfunktion i nätverksutrustningen.
Slutligen handlar det om bondförnuft: att inte klicka på spännande länkar eller surfa på porr-, pirat- eller spelsajter med den dator där känslig information förvaras.
Det är ständigt risk för oturen att bli en del av ett botnet eller för riktade attacker från någon som vill åt just dig och din information.
frilansjournalist
Fakta
* Journalistförbundet har nyligen publicerat en guide till digitalt
källskydd på sajten www.sjf.se/kallskydd. Du måste vara medlem i förbundet för att få tillgång till sidorna. Där finns en översikt över de lagar som påverkar källskyddet (klicka på ”Lagstiftning”) samt guider till olika sätt att skydda datorn.
* En steg för steg-installationsguide för PGP, GnuPG och hur man skapar
nycklar och e-postar krypterat finns på www.sjf.se/kallskydd. Klicka på ”PGP – Pretty Good Privacy”.
* Läs mer om hur du använder TrueCrypt (www.truecrypt.org) och andra
diskkrypteringsprogram på www.sjf.se/kallskydd (klicka på ”Diskkryptering”).
* Freeware-programmet GnuPG för Windows och Linux hittar du på www.gnupg.org. GnuPG finns också för Mac: www.macgpg.sourceforge.net/
* PGP Desktop för Mac och Windows säljs av PGP Corporation (www.pgp.com) för cirka 1 000 kronor men är gratis i basutförandet (manuell kryptering – ingen hårddiskkryptering)
* Att radera en fil säkert från en dator kräver att utrymmet där filen
sparades skrivs över många gånger. Funktionen Wipe i GnuPG eller PGP
Shredder i PGP Desktop klarar detta.
* Även om du har anti-virusprogram och anti-spywareprogram på din dator är det en god idé att då och då köra din dator mot ytterligare ett program från en annan tillverkare. Då får du ytterligare en kontroll av att din dator inte är infekterad med en trojan, botnet eller virus. Några tips från
datasäkerhetskonsulten Robert Malmgren på sajter som erbjuder gratis
webb-baserad virusscan:
http://housecall.trendmicro.com/
http://www.kaspersky.com/virusscanner
http://www.kaspersky.com/remoteviruschk.html
http://www.pandasecurity.com/homeusers/solutions/activescan/
http://www.bitdefender.com/scan8/ie.html
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
Det finns även annat, som https://www.testadatorn.se/ som försöker scanna
datorn för att se om du visar upp kända säkerhetshål.
* Läs mer om botnets och hur de användes för att invadera Estland våren 2007:
http://www.wired.com/print/politics/security/magazine/15-09/ff_estonia#
* Läs mer om spionprogramvaror som Mpack (http://www.e24.se/dynamiskt/it_telekom/did_17111434.asp)och
Realtime spy (http://www.realtime-spy.com/.