Journalistens guide: Få styr på din digitale sikkerhed

Du er nødt til at tage digital sikkerhed alvorligt, hvis du vil beskytte dig selv, dine kilder og kolleger. Her er 12 konkrete værktøjer og tips
  • Alexandr Kornienko
10.03.2017 · 09:47

Fra politiets register for kørekort og efterlyste personer over Hillary Clintons kampagneleder John Podesta til en almindelig dansk journalist ved navn Philip Bidstrup for blot at nævne nogle få. De skræmmende eksempler på, hvad dårlig digital sikkerhed kan få af konsekvenser, står i kø.

I anledning af Journalistens store "overlevelsesguide til fremtiden" har vi lavet en guide til dig, der gerne vil styrke din digitale sikkerhed. Det er vigtigt, hvis du vil beskytte dig selv, men også dine kilder, kontakter og kolleger. Det er for sent, når hackeren først har kapret din computer eller fået adgang til følsomt materiale.

1. Når du kommunikerer digitalt, bør din kommunikation foregå krypteret. Kryptering gør tekst, video og billeder ulæselige for andre end modtageren. Og modsat hvad man måske skulle tro, så er e-mails i udgangspunktet ikke krypteret. Det er faktisk ganske let for kriminelle og myndigheder at læse med. Ukrypterede e-mails svarer til at sende al sin post som postkort.

Hvis man ønsker at sikre e-mails, kan man kryptere dem med den teknologi, der kaldes OpenPGP. Men indlæringskurven er stejl, og programmerne er besværlige. I modsætning til besværlig kryptering af e-mail tilbyder Signal og Facebook Messenger sikker og simpel kommunikation i form af krypteret chat.

Sådan ser det ud, når jeg skriver en krypteret chatbesked via Facebook Messenger.

Krypteret chat med Facebook Messenger: Åbn en samtale med den, du ønsker at chatte sikkert med. Tryk på personens navn og vælg “hemmelig samtale” fra menuen. Når en lille hængelås bliver vist, som du kan se i videoen herover, så er samtalen hemmelig og dermed krypteret. En almindelig chat via Facebook Messenger er ikke krypteret.

Du kan kun chatte krypteret på Facebook Messenger via mobiltelefon. Et andet problem er, at Facebook gemmer information om, hvem der snakker sammen, selv om indholdet af chatten er fortroligt. Derfor kan det give mening at bruge Signal, som både fungerer som sms på mobil og som chat på computer. Signal gemmer ikke oplysninger om, hvem du kommunikerer med. Du kan downloade Signal her.

Hvis du vil vide mere om kryptering, kan jeg anbefale denne video, hvor professor Lars Ramkilde Knudsen fra DTU forklarer de grundlæggende principper, samt hvordan maskinen Enigma blev brugt til at kryptere under Anden Verdenskrig.

2. Erstat browsere som Google Chrome og Apples Safari med Tor. Ikke hver gang, men fra tid til anden. Når du bruger Chrome, Safari og lignende browsere, kan din adfærd spores tilbage til din computer og dermed dig. Det kan din adfærd ikke med Tor, for Tor forvansker trafikken, så det er ekstremt kompliceret at forbinde din adfærd og din computer.

Sådan ser det ud, når man aflæser en computers IP-adresse. IP-adressen kan bruges til at finde ud af, hvor computeren står. Hvis du fx bruger Google Chrome som browser, kan alle hjemmesider aflæse din IP-adresse.

Når jeg fx bruger Google Chrome og besøger journalisten.dk, kan siden (og folkene bag) se, at jeg sidder på Syddansk Universitet. Hvis jeg skifter til Tor, kan siden ikke se, hvor jeg er.

Tor har et blakket ry, da browseren virker så godt, at kriminelle har brugt den til at være anonyme på nettet. Det ændrer ikke på, at Tor er et godt værktøj, hvis du vil surfe anonymt.

3. Wifi er trådløse netværk, som du fx finder i toget, på arbejdspladsen, i konferencecentre eller derhjemme. Sikkerhedsmæssigt er det bedst, at du slukker wifi på din telefon og computer, når du ikke er hjemme eller på arbejde, men det er urealistisk for de fleste. Den realistiske løsning er, at du kun logger på trådløse netværk, som du har tillid til.

På arbejdet og hjemme kan du ofte stole på wifi-netværket. Hvis du er nødt til at bruge wifi et offentligt sted, fx på café, bør du som minimum slå såkaldt VPN til. Reelt kan cafégæsten ved siden af følge med i alt, hvad du foretager dig online, hvis du ikke slår VPN til.

4. Begræns antallet af programmer, du har installeret. Overvej alle programmer og udvidelser, uanset om det er på din telefon, tablet eller computer, en ekstra gang, inden du installerer dem. Hent kun programmer fra udviklere og virksomheder, som du har tillid til.

Og bemærk de små huller. For eksempel kopierer Facebook, hvis du giver Facebook lov til det, alle dine kontakter fra din telefonbog og gemmer dem på Facebooks servere. Selvfølgelig for at gøre det nemmere for dig at finde dine venner, men det er også en potentiel sikkerhedsrisiko, hvis du har gemt fortrolig eller sensitiv information i din telefonbog.

5. Sæt adgangskode på din computer. Du skal, og det her er ikke til diskussion, have en adgangskode på din computer. Og din computer skal låses, hver gang du forlader den. Hver gang. Også bare for de 30 sekunder, det tager at hente kaffe.

6. Kryptér din harddisk. Ligesom du kan kryptere din kommunikation, kan du kryptere computerens harddisk. Det er her, al data på maskinen lagres. Hvis du har Mac, kan du fx bruge FileVault til at kryptere din harddisk, i Windows kan du anvende BitLocker, og på tværs af platforme kan du anvende TrueCrypt til at kryptere dit indhold.

Hvis du er medlem af Dansk Journalistforbund, får du dette klistermærke-ark med det nye trykte Journalisten.

7. Sæt klistermærker på dine kameraer, når du ikke bruger dem. Hvis du er en af de heldige, som har modtaget det seneste nummer af Journalisten – den trykte del af fagbladets fremtidstema – er der vedlagt et klistermærkeark i forskellige størrelser, som du kan bruge. Sæt klistermærkerne på både computer, tablet og mobil. Smid desuden elektronikken helt ud af lokalet, hvis du ønsker at føre en privat samtale. Det kan lyde voldsomt, men flere historier har desværre vist, at hackere kan vende vores dimser imod os. Tænde kameraet eller mikrofonen, uden at vi ved det.

Det er ikke nok at fokusere på computere og telefoner, for mange fjernsyn er i dag født med både kamera og mikrofon og udgør derfor en potentiel sikkerhedsrisiko. Tænk over det, når du fx mødes med kilder eller fører private samtaler.

Tag eventuelt en snak med dine kolleger om, at elektronik ikke medbringes til møder, hvor det kan undværes.

Hvis du kniber øjnene sammen, vil du på billedet herunder kunne se, at computeren, som Mark Zuckerberg (stifteren af Facebook) sidder ved, har et klistermærke over kameraet:

8. Sørg for, at alle programmer og selve styresystemet på din computer, tablet og telefon er opdateret til seneste version. Hvis du ikke kan opdatere styresystem eller programmerne på en computer, tablet eller telefon, fordi den er gammel, bør du sende computeren, tabletten eller telefonen på pension.

Opdateringer lukker ofte små og store huller i sikkerheden, og hvis du undlader at opdatere, kan andre udnytte hullerne til at få adgang til dine data. Der opdages konstant nye huller, og derfor er det vigtigt, at du jævnligt undersøger, om alt er opdateret.

Hvis du har en computer, tablet eller telefon via din arbejdsplads, er det ikke sikkert, at du selv kan opdatere den. Så bør du spørge it-afdelingen på din arbejdsplads, hvad praksis for opdateringer er, så du kan være sikker på, at maskinerne holdes opdateret. Ofte gennemføres opdateringer kun, når computeren er slukket, så lad være med at forlade computeren tændt i dagevis (det sparer også strøm).

9. Du skal have en sikkerhedspakke med blandt andet antivirus-program installeret på din computer. Der findes mange muligheder på markedet, men produkter fra Kaspersky Lab og Bitdefender opnår ofte gode resultater i tests. Du kan få pakker til både Windows og macOS fra Kaspersky Labs. Du kan også med fordel installere antivirus på din telefon, hvis din telefon kører med Android. Det er ikke muligt at installere traditionel antivirus på iPhone eller iPad.

Det er ikke nok at nøjes med den sikkerhedspakke, din computer måske har installeret, når du køber den. Sikkerhed koster penge. Og Mac er ikke immun over for virus.

10. Anvend stærke og forskellige adgangskoder til Facebook, Twitter, e-mail med mere. En stærk adgangskode er – lidt forsimplet – en adgangskode på mindst otte tegn (og meget gerne flere tegn), hvor du blander bogstaver, tal og symboler i en (for andre) tilfældig rækkefølge. Du bør skifte adgangskoder jævnligt og mindst hvert halve år.

Her forklarer whistleblower Edward Snowden i et interview med komikeren John Oliver, hvad Snowden mener er en god adgangskode:

Du bør anvende en unik adgangskode til hver konto. Det kan være svært at huske alle de koder, så det kan være en fordel at lade computeren holde styr på dem. For den almindelige bruger er det ofte nok at lade browseren huske dine koder. Hvis du arbejder med følsom data, er det oplagt at få hjælp til at holde styr på koderne, fx med KeePassX. Undlad at gemme en liste et sted med alle dine koder.

Det kan virke som unødigt ekstra arbejde at have en unik adgangskode til hver tjeneste. Problemet er, at hvis du bruger samme adgangskode til alle digitale konti, så har en hacker umiddelbar adgang til alle dine konti, hvis vedkommende får fisket adgangskoden til en enkelt af dem ud af dig eller hacker en af de tjenester, hvor du bruger koden. Det er et klassisk hacker-kneb at hacke en svag tjeneste, få koden og pludselig kunne få adgang til alle en persons konti.

Du bør også slå to-trins-bekræftelse til på alle de tjenester, som tilbyder det. To-trins-bekræftelse betyder, at der kræves to koder, før du kan logge ind. Den ene er en kode, du har valgt, den anden sender fx Facebook eller Google til dig via sms. For at få adgang til fx din Facebook-konto kræves altså, at man både kender din kode og har stjålet din telefon.

11. Tag ikke din computer, telefon eller tablet med, når du rejser til udlandet, hvis dine enheder indeholder følsomme data. Flere historier har desværre vist, at lande kan finde på at beslaglægge, kopiere eller regulært hacke udstyret, så myndighederne senere kan få adgang, når du er rejst ud af landet igen. Som det skete for Alternativets udenrigspolitiske rådgiver Leila Stockmarr, da hun besøgte Israel sammen med blandt andre Enhedslistens politiske ordfører Johanne Schmidt-Nielsen og Alternativets politiske ordfører Rasmus Nordqvist.

12. Husk, at du er din egen værste fjende, når det gælder digital sikkerhed. For mange vælger en svag adgangskode, henter fortrolige dokumenter ned via offentligt wifi eller surfer porno på internettets mørke sider uden at tænke sig om. Det er svært at undskylde sig med dovenskab eller uvidenhed, når først det går galt. Hvis du er i tvivl, om du bør gøre det, du skal til at gøre, så spørg andre om hjælp først. Tænk, før du klikker.

 

Og hvis du ikke har fået nok endnu, vil jeg anbefale dig at læse artiklen 'Edward Snowden Explains How To Reclaim Your Privacy' fra The Intercept, læse bogen 'Cryptoguide for journalister' af Freja Wedenborg, se alle 33 minutter med John Oliver og Edward Snoden i 'Government Surveillance: Last Week Tonight with John Oliver' fra HBO og se videoen 'Keren Elazari: Hackers: the Internet's immune system"'fra TED.

Denne guide er skrevet af journalistisk lektor Filip Wallberg med feedback fra it-aktivist Peter Kofod og journalist Bo Elkjær. Redigeret af Andreas Marckmann Andreassen.

Kommentar

11/03/2017 - 13:15

Jacob Wenzel

Man kunne lige hurtigt have nævnt, at Wikileaks Vault 7 release viser, alle de ovenstående teknikker er utilstrækkelige...
http://www.mintpressnews.com/wikileaks-vault-7-release-paints-a-grim-picture-for-journalism/225734/

11/03/2017 - 21:11

Bo Elkjær

Njah. Man kunne også lade være. Den korrekte, samlede overskrift på Wikileaks CIA-læk er altså nu engang blot:
"Hvis spionerne bryder ind i din telefon, så kan de læse indholdet."
Men det vidste vi godt i forvejen. Så ro på.
Lad mig uddybe lidt, nu jeg alligevel har rejst mig og taget ordet:
Wikileaks har offentliggjort en stor mængde dokumenter, som angiveligt skulle vedrøre CIA's hackingværktøjer.
Disse værktøjer betegnes som en trussel mod journalister og alle andre, der har brug for sikker kommunikation.
Truslen sker især ved at computere, iPhones og Android-telefoner osv hackes, hvorved krypterede kommunikationsprogrammer som for eksempel Signal og WhatsApp angiveligt skulle omgås.
Fordi Wikileaks selv peger på Signal og WhatsApp så vil jeg holde mig til dem i det følgende, men det gælder sådan set alle de værktøjer, Filip omtaler ovenfor...
Signal har udviklet sig til at blive betragtet som en slags "industristandard" for sikker kommunikation og WhatsApp bruges af millioner af mennesker, så det er noget af en bombe, Wikileaks har fyret af - hvis krudtet altså var tørt. Det er det ikke.
Hverken Signal eller WhatsApp omtales i CIA-dokumenterne.
Denne sammenkædning står for Wikileaks egen regning.
Og videre: Signal og WhatsApp benytter sig af end-to-end kryptering. Beskeder er altså krypterede fra afsender til modtager og kan ikke opfanges undervejs i et "man in the middle"-angreb. Det kan GPG og PGP heller ikke. Det kan Tor muligvis, men det er i givet fald skide besværligt.
WhatsApp registrerer hvem der kommunikerer med hvem - men ikke indholdet.
Signal registrerer ikke engang disse metadata.
Derfor udgør Signal og WhatsApp (og lignende programmer) en voksende hovedpine for udøvere af masseaflytning, hvad enten de lystrer chefer i Washington, Beijing, Moskva (eller på Kastellet).
De store scanninger af brugerdata, som det er kendt fra den gamle Echelon-sag og fra Snowden-afsløringer, bliver svækket af disse let tilgængelige krypteringsprogrammer.
Især hvis flere og flere begynder at bruge dem, også til kommunikation, der ikke handler om den næste Watergate-sag, men for eksempel også om prosaiske hverdagsfænomener som indkøbslister og beskeder om skole-hjemsamtaler.
Hvis det kun er de super-tophemmelige samtaler, der er krypterede, så stikker de ud som fugleedderkopper på et lagkagebord.
Snowdens lækager om Xkeyscore-programmet viser konkret, hvordan efterretningstjenester specifikt søger efter krypteret kommunikation.
Men hvis alt er krypteret så er de afgørende kommunikationer ikke længere umiddelbart til at identificere.
Men det er altså telefonerne og computerne, som CIA hacker, viser lækagen. Den sandfærdige, men betydeligt mindre sensationelle konklusion på Wikileaks CIA-lækage er, at Signal og WhatsApp er sikre. CIA har ikke fundet en vej til at omgå eller gennembryde disse programmer.
Derfor forsøger CIA at hacke ind i folks mobiltelefoner for at kunne læse kommunikationen i klartekst før - eller efter - den krypterede transmission.
Men det kræver altså, at CIA (og andre efterretningstjenester) bryder ind i den enkelte telefon med alt, hvad det rummer af besvær og risiko for tjenesten.
Og denne bagdør smækker i, næste gang du opdaterer din software.
Derfor står læren af hr. overlærer Wallbergs instruktioner stadig ved magt.
Først og fremmest: Brug kryptering. Altid. Også når det ikke er vigtigt. Det understøtter to ting:
1: Du er med til at beskytte de kolleger, der faktisk har brug for den form for beskyttelse. De får mulighed for at gemme sig i mængden.
2: Du er klædt på, rutineret og parat, når den vigtige kilde måske en dag faktisk "vader ind af døren" med en krypteret kommende Cavling til dig.
Lad være med at bilde dig selv ind, at det er svært. Det er det ikke. Og argumentet holder ikke.
For nu at bruge en banal sammenligning: Ingen ville idag respektere en kollega, der stædigt holdt fast på at sende al kommunikation, inklusive selvangivelse, fortrolige svar til kilder og bestilling af tid til hæmoride-operation, via postkort. "Fordi kuverter er så jävla besværlige at håndtere. Gider ikke det nymodens pjat."
Fuck nu af. Det holder ikke. Installer Signal og kom i gang!
For det andet: Sørg for at holde softwaren i dit udstyr opdateret. Dermed er det sværere at hacke. Både for CIA, for russere, for teenagedrenge og nigerianske arvinger - og for spradebasserne i hackerakademiet på Kastellet :)
For det tredje: Lad nu for hulan alt det lækre udstyr blive hjemme, når du rejser...

12/03/2017 - 00:16

Ole Knudsen

Bo, du har ganske ret. Krypteringen er intakt i de højtprofilerede apps, WL nævnte. Jeg kan så undre mig over, hvis ærinde Assange går i den sag, for de må om nogen formodes at vide, hvad det drejer sig om. Men det er en anden diskussion.

Mht til "det lækre udstyr": Køb en billig telefon, der kan medbringes nulstillet til fabriksindstillinger, så der ikke er gemt nogen form for brugerdata på den. Hvis det er nødvendigt. Der fås faktisk ret mange ganske glimrende Android-mobiler for i omegnen af 1000 kroner, der kan bruges som burner phones. Det er måske lidt mere tricky med dem, der faldt i gryden med iPhones som børn, men så en brugt 6 eller en SE.

Alternativt må man undvære telefonen på rejsen og så købe en blank burner, når man kommer frem. Data gemmes selvfølgelig i skyen på en konto, hvis eksistens ikke kan trækkes ud af den telefon, man evt. rejser med.

Hvornår er det så nødvendigt? Tjah. Det er så det gode spørgsmål ...

13/03/2017 - 13:30

Jacob Wenzel

Det lyder ikke helt som om, I har forstået, hvad leaket dokumenterer.
I korte træk er det sådan set bare, at CIA har bagdørsadgang til dit apparat, stort set ligegyldigt hvilket OS, du kører, og det overflødiggør alle former kryptering, når de både kan se din skærm og logge dine inputs.
Det er ikke en "man in the middle"-angreb.
Det er stadig en god idé at bruge kryptering, ligesom det er en god idé at bruge kryptering, ligesom det er en god idé at låse døren, selvom den nok kan åbnes med et koben. Men CIA har stadig adgang, hvis de vil have det.

13/03/2017 - 17:17

Jacob Wenzel

Hov det gik lidt stærkt, kan se at du når til leaket lidt senere i din kommentar Bo Elkjær.
Men jeg forstår ikke rigtigt, hvorfor det skulle være irrelevant at nævne, at visse organisationer stadig har evnen til at omgå krypteringen med mere eller mindre besvær, når nu artiklen handler om datasikkerhed.

14/03/2017 - 09:01

Birgitte Krøyer

Kan man købe flere ark med klistermærker?

14/03/2017 - 13:03

Andreas Marckmann Andreassen

Kære Birgitte Krøyer

Tak for din kommentar. Interessen for klistermærkerne har været overvældende - tak for det!

Vi har faktisk en lille stak tilbage, som ikke er sendt ud. Hvis du eller andre har brug for flere, er I velkomne til at kigge forbi redaktionen på Gammel Strand i København og få et par ark. Så længe lager haves :-)

Bedste hilsner

Andreas Marckmann Andreassen
Digital redaktør (og gæsteredaktør på fremtidstemaet)

Seneste nyheder

22.03.2017 · 15:20

Mød din kandidat: Per Roholt

Maria Brus Pedersen
22.03.2017 · 14:06

Dagbladet, VG og NRK vil stoppe fake news

Andreas Marckmann Andreassen
22.03.2017 · 12:36

DR trækker program, hvor værter røg hash og spiste svampe

Andreas Marckmann Andreassen

Fremtiden kommer. Du skal ikke være bange

Hvad sker der med vores fag, og hvad skal vi kunne for at have et spændende job i fremtiden? Det undersøger Journalisten de kommende dage i vores fremtidstema. Følg med her: journalisten.dk/fremtid

Seneste jobopslag

Kommunikations- og arrangementskonsulent søges

Erhvervshus Nord
Ansøgningsfrist: 31.03

Pressesekretær til departementet

Miljø- og Fødevareministeriet
Ansøgningsfrist: 17.04

Kommunikationschef til Socialforvaltningen

Københavns Kommune
Ansøgningsfrist: 23.03

Kommunikationschef til Guldborgsund Kommune

GULDBORGSUND KOMMUNE
Ansøgningsfrist: 04.04

Journalist til Dagens Medicin

Dagens Medicin
Ansøgningsfrist: 27.03

Kommunikationschef til Danmarks bedste hospital

Region Midtjylland
Ansøgningsfrist: 02.04

Kommunikationsmedarbejder

LGBT Danmark
Ansøgningsfrist: 31.03

Erfaring med TV produktion samt pædagogisk flair

Helsingør Kommune
Ansøgningsfrist: 26.03

Kommunikationskonsulent med weberfaring til Kræftens Bekæmpelse

Kræftens Bekæmpelse
Ansøgningsfrist: 31.03

Kommunikationskonsulent

DIF
Ansøgningsfrist: 24.03

Kan du sætte strøm til historierne?

Domea.dk
Ansøgningsfrist: 27.03

Presse- og kommunikationskonsulent til Danmarks Lærerforening

Danmarks Lærerforening
Ansøgningsfrist: 27.03