Se for deg et redaksjonsmøte der nyhetsredaktøren drar frem et postkort med et supersensitivt tips fra en kilde som undertegner med fullt navn. Hvem som helst kan lese det som står der, og alle som har sett postkortet kan avsløre kilden. Det fungerer omtrent på samme måte med tips på e‑post, selv om det ikke er like opplagt for den jevne journalist eller kilde. Mange er dessverre fortsatt skremmende naive, og hver dag sendes det enorme mengder sensitiv informasjon til og fra norske redaksjoner på denne måten.

I vårt tenkte analoge eksempel går det litt bedre hvis kilden legger postkortet i en lukket konvolutt. Da kan ikke uvedkommende lese tipset selv om de sitter med brevet i hånden, og dette kan sammenlignes med en kryptert e‑post som sendes over nettet. Krypteringen gir bedre sikkerhet, og hindrer uvedkommende fra å lese det hemmelige tipset fra kilden til redaksjonen.

Nødvendig kompetanseløft

Utfordringen er at e‑postkryptering fortsatt er litt tungvint, og fra et brukervennlighetsperspektiv må vi kunne si at løsningene fortsatt har et betydelig forbedringspotensial. Mens vi venter på at det utbedres, bør pressen ta grep og sørge for et kompetanseløft for sine journalister. Faren er stor for at kilder med digital kompetanse som sitter på sensitiv informasjon rett og slett lar være å tipse pressen om kritikkverdige forhold hvis journalistene ikke engang er i stand til å motta og åpne en kryptert e‑post.

Kommunikasjonsproblemet er likevel ikke løst selv om journalistene lærer seg kryptering og dekryptering av e‑post. For når kilden sender den krypterte e‑posten, må både avsender og mottaker oppgis, og denne informasjonen krypteres ikke. Dermed kan uvedkommende snappe opp hvem som har sendt tipset og avsløre hvem som er kilden selv om de ikke ser hva som ble skrevet. Dette blir på samme måte som med konvolutten i den analoge verdenen.

IT-kyndige kilder forstår dette, og er kapable til å håndtere problemstillingene gjennom andre tiltak som kommer på toppen av krypteringen. For folk flest blir det imidlertid for avansert, og pressen trenger derfor en brukervennlig og enkel kommunikasjonsløsning som kan brukes av journalister og kilder uten omfattende IT-ekspertise.

Sikkert og brukervennlig

Wickr er en relativt ny app for iPhone- og Android-mobiler som har klart kunststykket å kombinere god sikkerhet med et brukervennlig grensesnitt. Appen minner på mange måter om en hvilken som helst moderne tjeneste i det stadig økende markedet for sosiale medietjenester. Forskjellen ligger i hva Wickr gjør for å sikre at ingen uvedkommende får tilgang til verken innholdet i kommunikasjonen, eller hvem brukerne kommuniserer med.

Med Wickr kan brukerne sikkert og anonymt sende meldinger, bilder, videoer, lydopptak og dokumenter. På samme måte som Snapchat er det også en tidsinnstilling som begrenser hvor lenge meldingen er tilgjengelig, men i motsetning til Snapchat er sikkerhet bygd inn fra bunnen av. Meldinger slettes på en måte som skal gjøre det umulig å gjenopprette informasjonen i ettertid, og kommunikasjonen krypteres på en måte som skal gjøre det umulig å avsløre innholdet eller hvem som kommuniserer med hvem.

FBI har allerede gjort fremstøt for å få inn en bakdør i Wickr, men de ble bryskt avvist av toppsjefen Nico Sell. Hun ga dem en leksjon i historie, amerikansk grunnlov og George Washingtons uttalte tanker om informasjonsfrihet, personvern og overvåkning. “En bakdør for “good guys” kan alltid misbrukes av “bad guys””, påpekte hun, og gjorde det klart at Wickr er designet for ikke å ha slike åpninger.

Wickr er en gratis tjeneste, og selskapet bak satser på å tjene penger på avansert tilleggsfunksjonalitet. De ser først og fremst for seg at de skal bli interessante nok for finansnæringen til at den blir villig til å bla opp. For å klare det, trenger de en stor installert base, og det nyter alle andre brukere godt av.

Kommunikasjonen må sikres

I 2012 ga jeg ut boken Digitalt kildevern på IJ-forlaget for å øke bevistheten rundt digital sikring av kildevernet. Den ble skrevet etter deltagelse på SKUP-konferansen i 2011. Der kom det frem at det selv blant kremen av norske gravejournalister er svært mangelfull kunnskap om hvordan digitale spor gjør det mulig å avsløre pressens kilder.

Foto:Yuri Samoilov cb

Kommunikasjon med kilder må sikres.

Siden den gang har Snowdens avsløringer og Obamas straffeforfølgelse av varslere gjort det uomtvistelig klart at amerikanske myndigheter er både villige og kapable til å overvåke og avsløre journalisters kontakt med sine kilder. Norske myndigheter har ikke den samme kapasiteten, men viljen til å gå hardt til verks for å avsløre pressens kilder er så absolutt til stede. Det så vi blant annet i kildevernsskandalen rundt 22. juli-lekkasjen av bildene som viste en arrestert Breivik på Utøya.

Dette betyr at pressen må ta grep for å sikre kildevernet, og sørge for at ikke uvedkommende kan avsløre hvem som snakker med pressen, og hva de snakker om. Det holder ikke lenger bare å love kildene anonymitet, kildevernet må også sikres.

Begynn med Wickr

Når jeg holder introduksjonskurs i digitalt kildevern for journalister, tar jeg en gjennomgang av kryptert e‑post der jeg blant annet bruker eksempelet med postkort og brev for å vise hva kryptering kan og ikke kan bidra med. Jeg gjør det klart at det beste hadde vært om alle journalister lærte seg å motta og dekryptere e‑post, men at det i hvert fall hjelper litt om de i det minste skjønner prinsippene og så kan få hjelp av noen på IT-avdelingen den dagen de trenger det.

I motsetning til e‑post med avansert kryptering, er Wickr en enkel og brukervennlig tjeneste som egner seg svært godt for journalister og kilder, samt andre som trenger å kommunisere på en sikker måte. Det blir det stadig flere som ser behov for, og jeg øyner derfor håp om at Wickr blir en populær tjeneste. Den tar nok ikke over kommunikasjonsmarkedet på nettet, men den kan bli en utbredt løsning, og det kan tvinge andre mindre sikkerhetsorienterte kommunikasjonssystemer til å løfte sikkerhetsnivået sitt.

Jeg er i hvert fall svært begeistret for Wickr, og hvis det er noe du lurer på, når du meg der ved å sende en kryptert melding til brukernavnet abrenna.

Nylig viste Vox Publica i artikkelen “Nettet snører seg rundt kildene” hvordan det digitale samfunnet gjør det stadig vanskeligere å holde pressens kilder hemmelige.

Hvilke verktøy kan man egentlig stole på nå?

Brasils svar på dette er å skyte opp en egen satellitt for 560 millioner dollar. Oppskytingen kommer i kjølvannet av president Dilma Rousseffs skarpe USA-kritikk.

Dette er neppe løsningen for mediene eller folk flest. Og mer seriøst: Uavhengig om man snakker om satellitter, mobiltelefoni eller internett, er det ingenting som kan garantere beskyttelse av kildene.

— 100 prosent sikkert er det ikke mulig å få det. Så lenge hensikten er å kommunisere mellom mennesker, ligger det alltid et potensial for at noen greier å høre eller se det som skjer, sier Roar Thon, seniorrådgiver i Nasjonal sikkerhetsmyndighet (NSM).

I de mest kritiske situasjonene anbefaler både han og selvstendig sikkerhetsrådgiver Per Thorsheim å kutte all bruk av elektronikk.

— Hvis jeg skulle varsle om noe fryktelig alvorlig, ville jeg oppsøkt journalisten fysisk hjemme på kveldstid. Jeg hadde ikke tatt bussen, men syklet gangstier uten kameraer og uten noen form for elektronikk på kroppen, sier Thorsheim, som tidligere har jobbet med sikkerhet i PwC, Telenor og Evry.

Ikke bygg egne løsninger

All sikker kommunikasjon på nettet bygger per i dag på kryptering. Kort fortalt handler det om avansert matematikk, som sikrer at ingen andre enn avsender og mottaker får tilgang til kommunikasjonen.

Helt siden 1990-tallet har det pågått en kamp om hvorvidt det skal være mulig å være anonym på internett. Nettstedet The Verge trekker i en artikkel linjene tilbake til et “Cypherpunk”-miljø der Wikileaks-grunnlegger Julian Assange var aktiv helt tilbake i 1995.

Tross amerikanske myndigheter og NSAs iherdige forsøk på å begrense utbredelsen av kryptering og knekke krypteringsalgoritmene, er konsensus at matematikken bak krypteringsalgoritmene fortsatt virker.

Stadig sterkere datamaskiner krever imidlertid stadig lengre krypteringsnøkler. Nylig publiserte EU-organet Enisa en ny anbefaling for hva som kreves for sikker kommunikasjon i nær fremtid.

Tvil såes likevel rundt de aller fleste sikkerhetssystemene som finnes der ute. For selv når krypteringen ikke er knekt, finnes det som regel muligheter til å komme seg rundt den for de som er dyktige nok. En kan heller aldri være sikker på hvilket utstyr som har innebygde bakdører. 30. desember publiserte det tyske magasinet Der Spiegel en artikkel som viste at NSA har skaffet seg bakdører hos de største nettverksutstyrsleverandørene, deriblant Cisco, Juniper og Huawei.

Disse leverandørene er dominerende aktører både i norske telenett og hos norske bedrifter. Oversikten saken baserer seg på stammer imidlertid fra 2008, og flere av systemene er derfor ikke lenger i salg. Samtidig skisserer dokumentet at NSA er på vei til å knekke også andre systemer.

Slike bakdører kan være en effektiv måte å samle inn krypteringsnøkler, for så å kunne dekryptere trafikken, slik Eweek beskriver i denne artikkelen. Mens Ars Technica har sett nærmere på hvordan NSA kan tappe og overvåke systemer, blant annet ved hjelp av USB-kabler eller radar-signaler.

Per Thorsheim har ett budskap til norske medier og andre som vil beskytte seg: unngå for enhver pris å gjøre dette selv.

— En gyllen regel innen sikkerhet og kryptografi er: For Guds skyld, ikke forsøk å lage noe selv. Det sies at det finnes 10–20 mennesker som er i stand til å implementere kryptografi på en god måte. Dette er eksperter i kryptografi som er levende opptatt av å forstå personvern i en digital verden, sier Thorsheim.

Tor og andre verktøy

En av disse er Jacob Applebaum, som står bak et av de mest kjente verktøyene for unngå overvåkning; Tor-nettverket. Han var også bidragsyter til den tekniske løsningen til Wikileaks, og medforfatter av Spiegel-artikkelen (omtalt ovenfor) som avslører hvilke selskaper NSA har greid å skaffe seg bakdører til.

Tor-nettverkets oppgave er å sørge for at brukerne kan være på internett uten å avsløre hvem de er. Det skjer gjennom at nettsiden du besøker kun ser at du stammer fra Tor-nettverket, din nettleverandør vil også kun se Tor-nettverket, mens Tor-nettverket ikke vil vite hvor du kommer fra. Det oppnås ved å videresende informasjon gjennom flere noder, der hver node kun ser avsender og mottaker.

Tor-nettverket har det siste året vokst fra en halv million til fire millioner daglige brukere, og blitt beskyldt for å skjule alt fra narkotikahandel og våpenhandel til botnet og pedofile. I høst stengte amerikanske FBI ned den ulovlige markedsplassen “Silk Road” som baserte seg på Tor-nettverket.

På den positive siden har Tor sørget for at innbyggere og aktivister i land med sensur både kan lese, skrive og kommunisere med andre uten å bli overvåket av myndighetene. Nettverket har på den måten vært en bidragsyter blant annet til den arabiske våren, men brukes også av journalister, varslere og forretningsfolk.

Tor er et av verktøyene stiftelsen Freedom of the Press Foundation støtter i en kampanje til støtte for krypteringsverktøy for journalister. Stiftelsen legger vekt på at verktøyene må være basert på åpen kildekode, slik at flere kan granske koden og lete etter sikkerhetsproblemer.

Stiftelsen har valgt ut følgende løsninger ved siden av Tor-prosjektet:

• Leap encryption access project (utvikling): Et verktøy som skal gjøre det enkelt å sende sikker epost. Begrensninger i epost-protokollen gjør at beskyttelse av metadata og videresending kun kan gjøres av tjenestetilbyderen. Løsningen vil bli lansert i offentlig beta tidlig i 2014.
• RedPhone/Textsecure (videreutvikling): To prosjekter som gjør det enkelt å kryptere telefonsamtaler og sende krypterte meldinger via en vanlig telefon.
• Tails (videreutvikling): Et operativsystem som kan startes på nesten enhver PC via DVD, USB-pinne eller et SD-kort. Målet er at alle brukere automatisk skal opptre sikkert på nettet uavhengig av forkunnskaper. All trafikk rutes for eksempel gjennom Tor-prosjektet. Operativsystemet fungerer og ble koblet til internett 6.100 ganger i oktober 2013.
• Securedrop: En programvare som lar medier sette opp en tjeneste for sikker varsling. Freedom of the Press Foundation tok over ansvaret for programvaren tidligere i høst, etter at initiativtaker Aaron Swartz døde.

Men det finnes også flere andre prosjekter, hvorav noen er:

• Cryptophone: En serie med fullverdige mobiltelefoner med innebygd kryptering, hvorav en av modellene er basert på en sikrere versjon av Android-operativsystemet. Kildekoden er også her åpen for inspeksjon.
• Orbot: App som lar deg bruke andre apper sikkert og anonymt ved hjelp av Tor-nettverket.
• Wickr: App som lar deg sende krypterte meldinger som senere forsvinner. Kan begrense hvem, hvor og hvor lenge en melding kan sees.
• Lantern: P2P-nettverk som lar brukere i usensurerte land donere båndbredde som brukes til å anonymisere brukere i land med sensur.
• “Merkel phone”: Den tyske operatøren Deutsche Telekom selger en versjon av den krypterte telefonen som forbundskansler Angela Merkel bruker. Telefonen er basert på Samsung Galaxy-serien.

En annen stiftelse som jobber for et åpent, beskyttet internett er Open Internet Tools Project (OpenITP), som også deler ut støtte til personer som ønsker å bygge flere slike verktøy.

Digital tillit — en merkevare

Disse verktøyene gir imidlertid ikke mer sikkerhet enn kunnskapen og forståelsen hos de som bruker dem. For eksempel kan metadata i bilder man publiserer via tjenesten eller “cookies” fra nettleseren brukes til å spore Tor-brukere.

NSMs Roar Thon mener det vil være lurt av mediene å benytte egne telefoner og PC-er for sine viktigste kilder.

— Risikoen for å bli sporet i dag er ganske stor. Når vi bruker datamaskin til alt fra jobb til private ting, så er sjansene store for at du allerede har noe på maskinen som kan spore den til deg. Selv om en gjør mye for å sikre kommunikasjonen, er det fare for at dette ikke er nok, sier Thon.

Dette er noe redaksjonene bør rådgi og eventuelt hjelpe kildene med.

— Den første kontakten vil normalt skje på kildenes initiativ. Dermed er det vanskelig å unngå å legge igjen spor i denne fasen, sier Thon.

Advokat Jon Wessel-Aas forteller at han kjenner til at redaksjoner har latt saker ligge til informasjonen om den første kontakten med kilden er slettet hos teleleverandørene. Med innføringen av datalagringsdirektivet i 2015 vil tiden redaksjonene må vente i slike tilfeller bli doblet fra tre til seks måneder.

Han tror enkelte medier i tiden fremover vil skille seg ut som redaksjoner med ressurser og interesse for å ta kildevernet på alvor, og at Wikileaks i en periode var et symptom på at en del kilder ikke lenger stolte på de vanlige mediekanalene.

— Jeg tror noen redaksjoner vil bli oppfattet som mer profesjonelle når det gjelder dette. Hvis de etablerte mediene skal ha tilgang til denne typen informasjon, må de overbevise kildene om at det er trygt å kommunisere med dem, sier Wessel-Aas.

Thon mener også det vil være nødvendig for mediene å få på plass rutiner som gjør journalistene i stand til å vurdere hvordan kilde og kildemateriale skal behandles.

— I min verden bruker vi klassifiseringsnivåer på informasjon, hvor vi går fra ugradert og begrenset til hemmelig og strengt hemmelig. Journalister og media kan heller ikke behandle alle likt, sier Thon.

Dette illustreres gjennom at statsråder, selv med kryptert mobiltelefon, ikke kan snakke om informasjon som er betegnet som “hemmelig” eller “strengt hemmelig”.

Kan nettskyen være en fordel?

Mediene må også vurdere sine kilder ut fra en lignende tankegang. Samtidig ligger selve verdien i mediene av å være i dialog med leserne. Ingen redaksjoner vil trolig ha råd til å jobbe som myndighetene.

Og kun noen få jobber normalt med saker som myndighetene har interesse av å overvåke på denne måten.

Kildevernet trues derfor sannsynligvis oftere av at ledere i privat eller offentlig sektor, i interesseorganisasjoner eller den lokale idrettsforeningen gjerne skulle visst hvem som gikk ut med noe som for dem er kontroversiell informasjon.

I disse tilfellene vil lokale sporings- eller overvåkningsystemer eller lokale IT-løsninger utgjøre en større trussel mot kildevernet.

Derfor peker flere av de Vox Publica har snakket med på at amerikanske nettskytjenester i disse tilfellene kan være bedre enn lokal drift.

— Google er mye dyktigere på drift enn en lokal IT-helt. Dersom Google feiler, blir det en verdensnyhet som slås opp i alle land. Hvis den lokale IT-helten gjør feil, så er det ofte ikke noen som vil få vite om det, sier Anders Brenna, som har skrevet bok om digitalt kildevern.

Brennas poeng illustereres også godt av Dagbladets Null-Ctrl-serie som har avslørt en rekke sikkerhetshull rundt omkring i Norge.

Mediekonsernet Amedia besluttet på forsommeren nettopp å bruke Googles system, noe som har vekket kritiske røster fra Amedias konserntillitsvalgt Eva Stenbro og NJ-tillitsvalgt Lars Johnsen.

Amedia har på sin side vektlagt at deres innhold vil bli lagret i Europa, og at de har oppfylt kravene som stilles av Datatilsynet. Konsernet har i kjølvannet av denne saken uttalt at de mener en overgang til Gmail ikke vil påvirke kildevernet negativt.

Ill: EFF cb

Sikkerhetssjekk for nett-tjenester. Klikk for å se hele grafikken.

Sikkerheten i skyløsninger øker også nærmest dag for dag. I desember annonserte Microsoft at de vil sikre sine tjenester og nettverk med kryptering innen utgangen av 2014. Samtidig åpnet de for å la myndigheter få titte på selskapets kode, for å sjekke at programvaren og tjenestene ikke innholder bakdører.

For vanlige journalister kan en god start være å sjekke hva slags sikkerhet deres tjenesteleverandører tilbyr. Electronic Frontiers Foundation publiserte i slutten av november en oversikt over dagens situasjon.