Fra politiets register for kørekort og efterlyste personer over Hillary Clintons kampagneleder John Podesta til en almindelig dansk journalist ved navn Philip Bidstrup for blot at nævne nogle få. De skræmmende eksempler på, hvad dårlig digital sikkerhed kan få af konsekvenser, står i kø.
I anledning af Journalistens store "overlevelsesguide til fremtiden" har vi lavet en guide til dig, der gerne vil styrke din digitale sikkerhed. Det er vigtigt, hvis du vil beskytte dig selv, men også dine kilder, kontakter og kolleger. Det er for sent, når hackeren først har kapret din computer eller fået adgang til følsomt materiale.
1. Når du kommunikerer digitalt, bør din kommunikation foregå krypteret. Kryptering gør tekst, video og billeder ulæselige for andre end modtageren. Og modsat hvad man måske skulle tro, så er e-mails i udgangspunktet ikke krypteret. Det er faktisk ganske let for kriminelle og myndigheder at læse med. Ukrypterede e-mails svarer til at sende al sin post som postkort.
Hvis man ønsker at sikre e-mails, kan man kryptere dem med den teknologi, der kaldes OpenPGP. Men indlæringskurven er stejl, og programmerne er besværlige. I modsætning til besværlig kryptering af e-mail tilbyder Signal og Facebook Messenger sikker og simpel kommunikation i form af krypteret chat.
Sådan ser det ud, når jeg skriver en krypteret chatbesked via Facebook Messenger.
Krypteret chat med Facebook Messenger: Åbn en samtale med den, du ønsker at chatte sikkert med. Tryk på personens navn og vælg “hemmelig samtale” fra menuen. Når en lille hængelås bliver vist, som du kan se i videoen herover, så er samtalen hemmelig og dermed krypteret. En almindelig chat via Facebook Messenger er ikke krypteret.
Du kan kun chatte krypteret på Facebook Messenger via mobiltelefon. Et andet problem er, at Facebook gemmer information om, hvem der snakker sammen, selv om indholdet af chatten er fortroligt. Derfor kan det give mening at bruge Signal, som både fungerer som sms på mobil og som chat på computer. Signal gemmer ikke oplysninger om, hvem du kommunikerer med. Du kan downloade Signal her.
Hvis du vil vide mere om kryptering, kan jeg anbefale denne video, hvor professor Lars Ramkilde Knudsen fra DTU forklarer de grundlæggende principper, samt hvordan maskinen Enigma blev brugt til at kryptere under Anden Verdenskrig.
2. Erstat browsere som Google Chrome og Apples Safari med Tor. Ikke hver gang, men fra tid til anden. Når du bruger Chrome, Safari og lignende browsere, kan din adfærd spores tilbage til din computer og dermed dig. Det kan din adfærd ikke med Tor, for Tor forvansker trafikken, så det er ekstremt kompliceret at forbinde din adfærd og din computer.
Sådan ser det ud, når man aflæser en computers IP-adresse. IP-adressen kan bruges til at finde ud af, hvor computeren står. Hvis du fx bruger Google Chrome som browser, kan alle hjemmesider aflæse din IP-adresse.
Når jeg fx bruger Google Chrome og besøger journalisten.dk, kan siden (og folkene bag) se, at jeg sidder på Syddansk Universitet. Hvis jeg skifter til Tor, kan siden ikke se, hvor jeg er.
Tor har et blakket ry, da browseren virker så godt, at kriminelle har brugt den til at være anonyme på nettet. Det ændrer ikke på, at Tor er et godt værktøj, hvis du vil surfe anonymt.
3. Wifi er trådløse netværk, som du fx finder i toget, på arbejdspladsen, i konferencecentre eller derhjemme. Sikkerhedsmæssigt er det bedst, at du slukker wifi på din telefon og computer, når du ikke er hjemme eller på arbejde, men det er urealistisk for de fleste. Den realistiske løsning er, at du kun logger på trådløse netværk, som du har tillid til.
På arbejdet og hjemme kan du ofte stole på wifi-netværket. Hvis du er nødt til at bruge wifi et offentligt sted, fx på café, bør du som minimum slå såkaldt VPN til. Reelt kan cafégæsten ved siden af følge med i alt, hvad du foretager dig online, hvis du ikke slår VPN til.
4. Begræns antallet af programmer, du har installeret. Overvej alle programmer og udvidelser, uanset om det er på din telefon, tablet eller computer, en ekstra gang, inden du installerer dem. Hent kun programmer fra udviklere og virksomheder, som du har tillid til.
Og bemærk de små huller. For eksempel kopierer Facebook, hvis du giver Facebook lov til det, alle dine kontakter fra din telefonbog og gemmer dem på Facebooks servere. Selvfølgelig for at gøre det nemmere for dig at finde dine venner, men det er også en potentiel sikkerhedsrisiko, hvis du har gemt fortrolig eller sensitiv information i din telefonbog.
5. Sæt adgangskode på din computer. Du skal, og det her er ikke til diskussion, have en adgangskode på din computer. Og din computer skal låses, hver gang du forlader den. Hver gang. Også bare for de 30 sekunder, det tager at hente kaffe.
6. Kryptér din harddisk. Ligesom du kan kryptere din kommunikation, kan du kryptere computerens harddisk. Det er her, al data på maskinen lagres. Hvis du har Mac, kan du fx bruge FileVault til at kryptere din harddisk, i Windows kan du anvende BitLocker, og på tværs af platforme kan du anvende TrueCrypt til at kryptere dit indhold.
Hvis du er medlem af Dansk Journalistforbund, får du dette klistermærke-ark med det nye trykte Journalisten.
7. Sæt klistermærker på dine kameraer, når du ikke bruger dem. Hvis du er en af de heldige, som har modtaget det seneste nummer af Journalisten – den trykte del af fagbladets fremtidstema – er der vedlagt et klistermærkeark i forskellige størrelser, som du kan bruge. Sæt klistermærkerne på både computer, tablet og mobil. Smid desuden elektronikken helt ud af lokalet, hvis du ønsker at føre en privat samtale. Det kan lyde voldsomt, men flere historier har desværre vist, at hackere kan vende vores dimser imod os. Tænde kameraet eller mikrofonen, uden at vi ved det.
Det er ikke nok at fokusere på computere og telefoner, for mange fjernsyn er i dag født med både kamera og mikrofon og udgør derfor en potentiel sikkerhedsrisiko. Tænk over det, når du fx mødes med kilder eller fører private samtaler.
Tag eventuelt en snak med dine kolleger om, at elektronik ikke medbringes til møder, hvor det kan undværes.
Hvis du kniber øjnene sammen, vil du på billedet herunder kunne se, at computeren, som Mark Zuckerberg (stifteren af Facebook) sidder ved, har et klistermærke over kameraet:
8. Sørg for, at alle programmer og selve styresystemet på din computer, tablet og telefon er opdateret til seneste version. Hvis du ikke kan opdatere styresystem eller programmerne på en computer, tablet eller telefon, fordi den er gammel, bør du sende computeren, tabletten eller telefonen på pension.
Opdateringer lukker ofte små og store huller i sikkerheden, og hvis du undlader at opdatere, kan andre udnytte hullerne til at få adgang til dine data. Der opdages konstant nye huller, og derfor er det vigtigt, at du jævnligt undersøger, om alt er opdateret.
Hvis du har en computer, tablet eller telefon via din arbejdsplads, er det ikke sikkert, at du selv kan opdatere den. Så bør du spørge it-afdelingen på din arbejdsplads, hvad praksis for opdateringer er, så du kan være sikker på, at maskinerne holdes opdateret. Ofte gennemføres opdateringer kun, når computeren er slukket, så lad være med at forlade computeren tændt i dagevis (det sparer også strøm).
9. Du skal have en sikkerhedspakke med blandt andet antivirus-program installeret på din computer. Der findes mange muligheder på markedet, men produkter fra Kaspersky Lab og Bitdefender opnår ofte gode resultater i tests. Du kan få pakker til både Windows og macOS fra Kaspersky Labs. Du kan også med fordel installere antivirus på din telefon, hvis din telefon kører med Android. Det er ikke muligt at installere traditionel antivirus på iPhone eller iPad.
Det er ikke nok at nøjes med den sikkerhedspakke, din computer måske har installeret, når du køber den. Sikkerhed koster penge. Og Mac er ikke immun over for virus.
10. Anvend stærke og forskellige adgangskoder til Facebook, Twitter, e-mail med mere. En stærk adgangskode er – lidt forsimplet – en adgangskode på mindst otte tegn (og meget gerne flere tegn), hvor du blander bogstaver, tal og symboler i en (for andre) tilfældig rækkefølge. Du bør skifte adgangskoder jævnligt og mindst hvert halve år.
Her forklarer whistleblower Edward Snowden i et interview med komikeren John Oliver, hvad Snowden mener er en god adgangskode:
Du bør anvende en unik adgangskode til hver konto. Det kan være svært at huske alle de koder, så det kan være en fordel at lade computeren holde styr på dem. For den almindelige bruger er det ofte nok at lade browseren huske dine koder. Hvis du arbejder med følsom data, er det oplagt at få hjælp til at holde styr på koderne, fx med KeePassX. Undlad at gemme en liste et sted med alle dine koder.
Det kan virke som unødigt ekstra arbejde at have en unik adgangskode til hver tjeneste. Problemet er, at hvis du bruger samme adgangskode til alle digitale konti, så har en hacker umiddelbar adgang til alle dine konti, hvis vedkommende får fisket adgangskoden til en enkelt af dem ud af dig eller hacker en af de tjenester, hvor du bruger koden. Det er et klassisk hacker-kneb at hacke en svag tjeneste, få koden og pludselig kunne få adgang til alle en persons konti.
Du bør også slå to-trins-bekræftelse til på alle de tjenester, som tilbyder det. To-trins-bekræftelse betyder, at der kræves to koder, før du kan logge ind. Den ene er en kode, du har valgt, den anden sender fx Facebook eller Google til dig via sms. For at få adgang til fx din Facebook-konto kræves altså, at man både kender din kode og har stjålet din telefon.
11. Tag ikke din computer, telefon eller tablet med, når du rejser til udlandet, hvis dine enheder indeholder følsomme data. Flere historier har desværre vist, at lande kan finde på at beslaglægge, kopiere eller regulært hacke udstyret, så myndighederne senere kan få adgang, når du er rejst ud af landet igen. Som det skete for Alternativets udenrigspolitiske rådgiver Leila Stockmarr, da hun besøgte Israel sammen med blandt andre Enhedslistens politiske ordfører Johanne Schmidt-Nielsen og Alternativets politiske ordfører Rasmus Nordqvist.
12. Husk, at du er din egen værste fjende, når det gælder digital sikkerhed. For mange vælger en svag adgangskode, henter fortrolige dokumenter ned via offentligt wifi eller surfer porno på internettets mørke sider uden at tænke sig om. Det er svært at undskylde sig med dovenskab eller uvidenhed, når først det går galt. Hvis du er i tvivl, om du bør gøre det, du skal til at gøre, så spørg andre om hjælp først. Tænk, før du klikker.
Og hvis du ikke har fået nok endnu, vil jeg anbefale dig at læse artiklen 'Edward Snowden Explains How To Reclaim Your Privacy' fra The Intercept, læse bogen 'Cryptoguide for journalister' af Freja Wedenborg, se alle 33 minutter med John Oliver og Edward Snoden i 'Government Surveillance: Last Week Tonight with John Oliver' fra HBO og se videoen 'Keren Elazari: Hackers: the Internet's immune system"'fra TED.
Denne guide er skrevet af journalistisk lektor Filip Wallberg med feedback fra it-aktivist Peter Kofod og journalist Bo Elkjær. Redigeret af Andreas Marckmann Andreassen.
7 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Kære Birgitte Krøyer
Tak for din kommentar. Interessen for klistermærkerne har været overvældende - tak for det!
Vi har faktisk en lille stak tilbage, som ikke er sendt ud. Hvis du eller andre har brug for flere, er I velkomne til at kigge forbi redaktionen på Gammel Strand i København og få et par ark. Så længe lager haves :-)
Bedste hilsner
Andreas Marckmann Andreassen
Digital redaktør (og gæsteredaktør på fremtidstemaet)
Kan man købe flere ark med klistermærker?
Hov det gik lidt stærkt, kan se at du når til leaket lidt senere i din kommentar Bo Elkjær.
Men jeg forstår ikke rigtigt, hvorfor det skulle være irrelevant at nævne, at visse organisationer stadig har evnen til at omgå krypteringen med mere eller mindre besvær, når nu artiklen handler om datasikkerhed.
Det lyder ikke helt som om, I har forstået, hvad leaket dokumenterer.
I korte træk er det sådan set bare, at CIA har bagdørsadgang til dit apparat, stort set ligegyldigt hvilket OS, du kører, og det overflødiggør alle former kryptering, når de både kan se din skærm og logge dine inputs.
Det er ikke en "man in the middle"-angreb.
Det er stadig en god idé at bruge kryptering, ligesom det er en god idé at bruge kryptering, ligesom det er en god idé at låse døren, selvom den nok kan åbnes med et koben. Men CIA har stadig adgang, hvis de vil have det.
Bo, du har ganske ret. Krypteringen er intakt i de højtprofilerede apps, WL nævnte. Jeg kan så undre mig over, hvis ærinde Assange går i den sag, for de må om nogen formodes at vide, hvad det drejer sig om. Men det er en anden diskussion.
Mht til "det lækre udstyr": Køb en billig telefon, der kan medbringes nulstillet til fabriksindstillinger, så der ikke er gemt nogen form for brugerdata på den. Hvis det er nødvendigt. Der fås faktisk ret mange ganske glimrende Android-mobiler for i omegnen af 1000 kroner, der kan bruges som burner phones. Det er måske lidt mere tricky med dem, der faldt i gryden med iPhones som børn, men så en brugt 6 eller en SE.
Alternativt må man undvære telefonen på rejsen og så købe en blank burner, når man kommer frem. Data gemmes selvfølgelig i skyen på en konto, hvis eksistens ikke kan trækkes ud af den telefon, man evt. rejser med.
Hvornår er det så nødvendigt? Tjah. Det er så det gode spørgsmål ...
Flere