Kryptering

Sverigedemokraterna är troligtvis en i mängden

av

Tidningen Aftonbladet publicerade idag en artikel om hur dom e-postmeddelanden som skickats och tagits emot av förtroendevalda och anställda i Sverigedemokraterna lästs av partiets it-ansvarige med personalchefens goda minne.

Att en IT-ansvarig har möjlighet att övervaka den okrypterade kommunikation som sker på datorer, system och över nätverks som personen administrerar är ingen hemlighet och inget konstigt. Vi känner idag alla till hur Edward Snowden tog med sig en stor mängd data från NSA, en federal myndighet i USA som lyder direkt under försvarsdepartementet. Ur ett säkerhetsmässigt perspektiv har Sverigedemokraterna inte alls samma tröskelnivå som NSA.

Huvudsyftet med att skumma inkomna mail är för att hitta spammönster. Och ser jag att någon mailar expo reagerar jag också…) IT-ansvarig för Sverigedemokraterna.

Det är idag inte så svårt att skapa regler för att filtrera meddelanden. Det är en tjänst som oftast både erbjuds i e-postklienter och den mjukvara som används för att sköta själva e-postservern. Det är 2015 och allt kan ske automatiskt.

I den läckta konversationen kan vi även läsa att det är svårt att övervaka folk som inte sitter på det lokala nätet, men att det har installerats någon form av mjukvara för fjärranslutning som även ger möjligheten att aktivera ljud och mikrofon för att kunna kommunicera med personen bakom datorn.

Ni som läser detta och dom som idag läst Aftonbladets artikel kanske reagerar över att man väljer att övervaka den kommunikation som sker mellan politiker, journalister och medborgare. Vi som har någorlunda god insyn i hur kommunikationen sker vet att e-postmeddelanden är lika säkra för känslig information som ett vykort på posten. Alla noder som meddelandet går igenom kan läsa vad det står i brevet.

Frågan är inte om fler riksdagspartier, företag och nyhetsredaktioner som är utsatta för någon form av övervakning av kommunikation. Frågan är hur många och hur omfattande övervakningen är.

Hur kan jag skydda mig?

Alla enheter, system och nätverk som någon annan har tillgång till är sårbara. Anta att all kommunikation som sker på telefoner, datorer och surfplattor du fått av din arbetsgivare har någon form av övervakning. Likaså alla nätverk, inklusive öppna offentliga trådlösa nät, som någon annan än Du administrerar. Vanligtvis brukar det stå omfattning i dom avtal som skrivs mellan dig och din arbetsgivare.

Har du för avsikt att läcka känslig information eller något så simpelt som att söka ett nytt arbete, utan att informera din arbetsgivare, ska du alltså varken använda dig av din arbetsdator, ett nätverk dom administrerar eller din jobbmejl. Dom kan se allt.

Den som läst Glenn Greenwalds bok, No Place to Hide, vet att det tog lång tid innan han valde att installera mjukvaran GnuPG för att kunna ta emot och skicka känslig information krypterat. Trots att Snowden skickade en instruktionsfilm om hur man installerar mjukvaran tog han sig inte för uppgiften och var nära att missa hela storyn.

Alla som har behov av att skicka känslig information, eller text, via e-post som man inte vill ska kunna läsas av andra, ska installera mjukvaran GnuPG. För dig som använder Microsoft Windows görs detta enklast med hjälp av mjukvaran GPG4Win. Du som använder Apple Mac OS X använder istället GPG Suite. Systemet bygger på ett krypteringsmetod där sändaren använder sig av din publika nyckel för att kryptera meddelandet. Du som mottagare använder dig sedan av din lösenordsskyddade privata nyckel för att kunna läsa meddelandet. Läs mer om mjukvaran på Wikipedia.

Hur ska Moderaterna avlyssna krypterad data?

av

Anna Kinberg Batra, partiledare för Moderaterna föreslår idag ett antal förslag för att motverka radikalisering och terrorism. Man vill bland annat utöka Säkerhetspolisens möjligheter till signalspaning under förundersökningar för att kunna säkra bevisning.

Moderaterna vill också införa vissa resebegränsingar för personer med svenska pass. Det är redan idag möjligt att dra in pass under en begränsad tid, men man vill nu öka den möjligheten. Dessutom vill man att det ska bli dyrare att ansöka om ett andra och tredje pass. Man ska också behöva förklara sig för polisen.

Men vad händer med folk som återvänder?

Jag ställer mig även frågande till partiets vilja att öka resurser till höjd säkerhet för trossamfund. Ska vi ställa beväpnade vakter utanför som bevakar kyrkor, synagogor och moskéer omringade med concertinatråd? Det är endast en reaktion på symptomet, ökad intolerans mellan olika religioner, men det åtgärdar inte grundproblemet.

Givetvis är en av punkterna floskeln om ökade resurser till polisen och säkerhetspolisen. Man vill även utveckla erfarenhets- och kunskapsutbytet mellan polisens nationella insatsstyrka och specialförbanden. Men med tanke på att halva skånepolisen är på semester och resten av landet saknar polis så får vi se vad det innebär i praktiken.

Något som jag riktar kritik mot är punkte att Säkerhetspolisen bör ges möjlighet att läsa krypterad datatrafik. Det förekommer en diskussion i både USA och Storbritannien om att tjänster ska tillhandahålla en bakdörr till polisen. Att bygga in säkerhetsfel i krypteringsmjukvaror är ett stort problem. Dels för att kryptering idag är unik för varje användare, sen skapar det stora problem på nationell nivå. Vad händer om Ryssland eller Kina på riktigt kan avkryptera den kommunikation som förekommer mellan USA och Sverige. Vem ska ha möjligheten att avkryptera vad? Vem kommer att välja tjänster med bakdörrar? Ingen. Det handlar om förtroende.

På tal om förtroende. Mitt och många andras förtroende för Kinberg Batra är noll och ingenting. Nej till Decemberöverenskommelsen. Nej till Moderaternas val att inte bedriva oppositionspolitik.

Läs hela förslaget här och på SVT.

Vem kan läsa din e-post?

av

Bild på Facebook med SSL-adressGenom att skicka känslig information via e-post, eller att logga in på webbsidor utan kryptering, är något av det värsta man kan göra ur säkerhetssynpunkt. Om du sitter på offentliga nätverk, i skolan, på jobbet eller i ett café är det inte säkert att alla är hederliga. Om någon avlyssnar din okrypterade datatrafik ser de vart du surfar, vad du skriver och dina lösenord i klartext.

När du loggar in på en hemsida ska du alltid se till att använda ssl-kryptering, https, om de erbjuder det, vilket de flesta gör i dag. Då blir det svårare för lekmän att försöka avlyssna trafiken till just den sidan och du undviker att någon kapar din inloggningsinformation och dina bankuppgifter.

Om någon får tag på din dator är det också viktigt att de inte kan logga in på den. Oavsett om du har ett lösenord eller inte går det snabbt att få tillgång till dina bilder, utan att logga in, om man har rätt utrustning. Det går också att hitta filer som du tror att du raderat ur papperskorgen. Därför rekommenderar jag att alla bör överväga att kryptera hårddisken med ett program som TrueCrypt. Du måste då ha ett lösenord och alternativt också en extern hårdvarunyckel för att kunna logga in på datorn. Värt att poängtera är att om du glömmer ditt lösenord förlorar du också all data eftersom du aldrig kommer åt den.

Om du tänker skicka e-post till grävande journalister och inte vill att någon annan ska kunna se vad du har skrivit bör du använda Gnu Privacy Guard (Gpg4Win) där du har en privat och en publik nyckel som gör att du kan skicka e-post där texten ser ut som rappakalja för den som inte har tillgång till din privata nyckel. Givetvis förutsätter detta att du har verifierat att personen är denne utger sig för att vara.