Hårdisken säkrare än molnet

Att det inte finns några direktkopplingar mellan två punkter på nätet konstaterade vi redan i förra artikeln i serien, om e-postsäkerhet. Det är en av anledningarna till att okrypterad e-post går att jämföra med ett vykort. Men samma utgångspunkt gäller all data du skickar och tar emot via internet: är den inte krypterad finns risken att någon mellan dig och den part du kommunicerar med tjuvkikar på trafiken. Oavsett om det handlar om e-post, chattmeddelanden eller vilka webbplatser du besöker.

Nätverkstekniker som har tillgäng till utrustningen på vägen har möjlighet att både titta på och manipulera den trafik som passerar. Ett exempel på manipulation är att inte skicka din webbläsare vidare till Facebooks riktiga inloggningssida utan i stället visa en falsk variant som lurar av dig ditt användarnamn och lösenord.

När du kopplar upp dig till ett trådlöst nätverk innebär det alltså att du väljer att lita på den person eller det företag som satt upp basstationen. Men inte bara dem. Om nätverket du ansluter din telefon eller dator till är okrypterat, om det går att koppla upp sig till det utan att använda ett lösenord, måste du också lita på alla andra personer som för tillfället befinner sig inom nätverkets räckvidd. För precis som vem som helst kan tjuvlyssna på ett samtal som förs i en offentlig lokal kan den som vill tjuvlyssna på trafik som skickas utan kryptering i ett trådlöst nätverk.

Annons

Från A till B ska alltså den data som du skickar och tar emot passera en ”djungel” som du inte har någon kontroll över. Vad du kan göra är att ge din trafik ett skydd på vägen. Ett sätt är att aldrig mata in känsliga uppgifter på en webbplats som inte är krypterad. Kontrollera att det står https och inte bara http först i webbläsarens adressfält.

I https står ”s” för ”secure”, vilket betyder att det som skickas mellan din webbläsare och webbservern du besöker är krypterat. Det är inte ett hundraprocentigt skydd, men det gör det i alla fall svårare för andra att avlyssna vad du gör på nätet. Och om du har ett e-postprogram installerat i datorn bör du kontrollera att det använder en krypterad förbindelse när du skickar och tar emot e-post. Annars finns en liten risk att någon lyckas snappa upp inte bara de mejl du skriver, utan också dina inloggningsuppgifter.

När det gäller andra typer av tjänster, som chattprogram och annat som du har i din dator eller mobiltelefon, är det svårare att själv kontrollera om trafiken är krypterad eller inte. Lösningen är att på egen hand kapsla in allt din dator eller mobiltelefon använder internetuppkopplingen till i ett krypteringslager. Det gör du genom att använda ett så kallat VPN, ett virtual private network.

Med ett VPN tar din internettrafik vägen via en så kallad VPN-server. Mellan din dator eller mobiltelefon är trafiken krypterad och därmed skyddad från personer som sitter på samma kafé eller någon som satt upp en basstation i onda avsikter. Däremot, och det är viktigt att komma ihåg, får trafiken bara ett extra krypteringslager mellan dig och VPN-servern. Till och från VPN-servern och resten av internet är den bara skyddad om de tjänster du använder utnyttjar kryptering, som exempelvis https.

Att hitta företag som tillhandahåller VPN-tjänster är enkelt. Två viktiga råd när du väljer vem du ska anlita: För det första, välj en tjänst som bygger på OpenVPN eller IPsec. Det är två standardiserade lösningar för VPN. Vissa företag har utvecklat egen teknik, men den är sällan kontrollerad på samma sätt som OpenVPN eller IPsec. För det andra, du måste kunna lita på företaget som står bakom VPN-tjänsten. På samma sätt som den som sätter upp en basstation har VPN-företaget alla tekniska möjligheter att titta på vad du gör på nätet. Ett alternativ är därför att arbetsgivaren eller frilansgruppen skaffar en egen VPN-server som reportrar och fotografer kan ansluta till när de är ute på jobb.

När det gäller molntjänster, tänk på att du oftast tappar kontrollen över var i världen dina dokument sparas och därmed inte heller med säkerhet vet vilka lagar som gäller. Det kan ha betydelse om en myndighet i något land begär att få dina dokument. Men det finns också tillfällen då molntjänster i sig erbjuder ett skydd mot myndigheter. Om du är på reportageresa i ett land där visst material kan orsaka problem för dig eller dina källor gör det sig sannolikt bättre på en molntjänst än din dators hårddisk.

I det dagliga arbetet finns det andra saker du bör fundera på. Som hur bra ditt lösenord till molntjänsten är, till exempel. Långt och unikt för varje tjänst är rådet som tål att upprepas många gånger. Längden är viktigare än att lösenordet innehåller en massa specialtecken. Många experter har därför börjat prata om lösenfraser som alternativ till lösenord. Att kombinera fem ord som betyder något för dig men som är svårt för andra att lista ut ger ett bra skydd. Men ännu bättre är att använda en så kallad lösenordshanterare, ett program som sparar dina lösenord på ett säkert sätt och dessutom hjälper dig ett skapa bra inloggningsuppgifter. Ett sånt program är 1password.

Men nöj dig inte med ett bra lösenord. Kolla även om tjänsterna du använder stödjer det som kallas för tvåfaktorsautentisering, ibland förkortat 2FA. Med tvåfaktorsautentisering räcker det inte med att kunna ditt användarnamn och lösenord för att logga in. Det krävs dessutom en engångskod. Det vanliga är att den antingen skickas som ett sms eller skapas av en app i mobiltelefonen. Med tvåfaktorsautentisering höjer du alltså tröskeln för den som vill logga in som dig på nätets tjänster.
                                                                                 Anders Thoresson

          Kryptera så
          mycket som möjligt

• Med webbläsartillägget HTTPS Everywhere kommer din webbläsare automatiskt att välja https istället för http när möjligheten finns.
• HTTPS Everywhere utvecklas av den amerikanska medborgarrättsorganisationen EFF och finns till Chrome och Firefox. https://www.eff.org/https-everywhere

Molntjänster med engångskoder
Många av de största och mest använda tjänsterna på nätet erbjuder i dag tvåfaktorsautentisering. Till listan hör bland andra Google, Microsoft, Facebook, Dropbox och Twitter. En lista med fler tjänster hittar du på https://twofactorauth.org/

.SE och källskydd
Stiftelsen för internetinfrastruktur (.SE) är en oberoende allmännyttig organisation som verkar för positiv utveckling av internet i Sverige.
.SE och Journalistförbundet har tillsammans tagit fram fördjupningsmaterial om digitalt källskydd.
Grunderna finns i Digitalt källskydd – en introduktion. I Digitalt självförsvar – en introduktion kan källor hitta tips om hur de kan kontakta journalister på ett säkert sätt.
Guiderna finns att läsa och ladda ned kostnadsfritt på
www.iis.se/guider