Ett brev till journalistkåren


Kjell Häglund skriver en mycket intressant och på många sätt drabbande krönika om hur journalistiken påverkats av den senaste tidens övervakningslagar.

Vad gick snett egentligen? Varför kan inte ens SVT utlova källskydd längre eftersom all kommunikation är på väg att tvångsdatalagras? Varför ges instruktioner om att man ska smyga till internetcaféer och undvika kameror om man vill prata med en journalist?

En annan fråga, som är mera ödesmättad, är varför journalistkåren inte försvarade sig själva när det fortfarande fanns tid. För länge sedan, när FRA-lagen skulle omröstas i riksdagen, skrev jag att meddelarskyddet just avskaffades. Vad sade journalistkåren? Ingenting.

Men, nu finns det ju ingen anledning att vältra sig i en vad-vare-vi-sa-attityd. Sånt är för sorgliga rättshaverister!

Istället gäller det att bygga om det som gått fel, och då kan jag ge några tips.

För det första bör journalistkåren sluta vara objektiv. Det här handlar om dess viktigaste funktion, att granska makten och att skydda sina informanter. Man kan inte ge ”båda sidor” när det handlar om självförsvar. Jag vet att detta bryter mot olika dogmer som man får lära sig på journalisthögskolor, men låt istället Nepotia hosta upp med cash för att ge andra sidan. Det är inte er uppgift!

Men viktigare är den råa kryptografiska kraften! Anledningen till att man hellre läcker till Wikileaks än till en nyhetsredaktion i Sverige är att Wikileaks kan garantera anonymitet. Det kan inte längre en tidningsredaktion trots att man har lagen på sin sida. I’m sorry, men er teknik är kass!

Detta går att fixa. Låt mig beskriva ett teknologisk scenario. Vi tar dn.se som exempel.

Bygg helt enkelt https://secure.dn.se. Här har ni en självsignerad https-server som är inställd på att inte spara några loggar. Certifikatets fingerprint trycker ni i pappersupplagan av Dagens Nyheter. Då kan man själv verifiera att anslutningen är säker, och man sänder även en signal till de som vill övervaka och inskränka i meddelarskyddet att här har vi tagit till en drastisk metod. Denna säkra sida kan sedan funger som en ”drop box” för nyhetstips och uppladdning av dokument. Användarnas innehållsdata är skyddade av kryptering ända fram till webservern, och genom att uppmuntra dem att använda Tor eller en anonym VPN-tjänst kan de även kringgå datalagringsdirektivets trafikdatainsamling.

Vidare går alla journalister utbildning i GPG, OTR, och kanske även Tor. Med dessa teknologier redo att användas, blir det mycket enklare att upprätta säkra förbindelser under FRAdarn. Använd endast öppen mjukvara och signera certifikaten själva. Det innebär lite arbete, men det är värt varje minut när det väl sedan fungerar.

Liu Xiaobo lärde sig att tunnla ut ur Kina. Varje dag stöter jag på människor offline och online i Europa som gör samma sak. Kunskaper om datorsäkerhet och kryptografi är oerhört viktiga just nu, och därför är det allt mera bråttom att kunskaperna sprids på en bred front. Här kan journalistiken verkligen hjälpa till.

Nätaktivisterna hjälper gärna till. Mejla mig eller gå till Telecomix så ordnar vi gratiskurser i kryptografi. Vi har next level chiffer, ni har ett skadeskjutet meddelarskydd. Lägger man ihop dem så blir det dock väldigt kraftfullt!

20 reaktioner till “Ett brev till journalistkåren”

  1. avadeaux: Tack! Ja, jag spetsar till det lite. Visst sade både journalistförbundet ett och annat, och många enskilda journalister var kritiska. Med ”ingenting” menar jag ”nästan ingenting, för lite”. Rätt ska vara rätt!

  2. Linus: Åh, utmärkt tips! Jag måste lära mig mer om just de avancerade funktionerna i Tor. Detta är ju grymt bra, då man slipper ge sig ut på vaniljinternet. Varje tidning borde ha en exit enclave (hmmm… ”utgångsenklav”).

    Ska läsa på!

  3. En uppmaning att använda Tor har cirka noll värde för majoriteten av möjliga tipsare. Det är för svåranvänt, och önsketänkande kommer inte att ändra på det. Att en person som är intressant för spaning börjar använda Tor är dessutom i sig en intressant trafikuppgift.

    Ett mycket bättre motmedel mot trafikanalys vore att helt enkelt servera tidningen på den säkra servern som standard – idealet är att en utomstående inte ska kunna skilja meddelaren från en vanlig tidningsläsare. (Drop box-undersajten borde alltså bloffa över en massa bilder och annat krafs för att efterlikna en vanlig nyhetssidas trafikmönster.)

    Dessutom är jag tveksam till självsignerade certifikat. Oberoende vad man tycker om Verisign osv. är det fördelaktigt att använda certifikat som webbläsaren anser pålitliga. Att uppmuntra folk att ignorera säkerhetsvarningar när det gäller verkliga säkerhetsfrågor är (och bör vara) avskräckande. Att publicera fingerprint så att de som kan har möjlighet att verifiera certifikatet skulle ju ändå funka.

  4. Jens: Att använda Tor är inte svårare än att använda bittorrent eller Bank-ID eller dylikt. Men visst, det kräver något av användaren, jag håller med.

    Att maskera en säker site som en vanlig är en bra lösning. Men i så fall måste huvudsiten alltid vara krypterad, något som jag tror webmasters är lite främmande för. Men visst, det krävs att en säker site inte är uppenbar.

    Fördelen med egensignerade certifikat är att man tvingar användaren att verifiera dem. En användare som struntar i att kolla fingerprint är dock en lika stor säkerhetsrisk.

    Problemet med att använda ett browsercertifikat av ex. Verisign är att webläsaren _inte_ varnar, och då tror jag incitamentet för att kolla fingerprint blir ännu lägre.

    Men som sagt, allt detta kan och bör diskuteras.

  5. Kryptering är bra och vi bör kryptera så mycket som möjligt. Men i detta specifika fallet anser jag fortfarande att kryptering bara är en akutlösning, ett fulhack, för att lösa ett problem som inte borde behövas lösas.

    Vad som behövs är att lagarna som hotar källskyddet rivs upp och att man stiftar nya lagar som skyddar medborgarna istället för tvärtom. Vi behöver lagar om gör det olagligt att spana på annans datatrafik tillsammans med hårda straff ifall man bryter mot dessa lagar vilket ger en tydlig signal om att det inte är ok att spionera på folk.

    Sen skulle man kanske kunna kräva att ISPer anonymiserar och krypterar kundernas trafik, så att folk som inte känner sig riktigt säkra med hur man använder Tor, vpn och liknande ändå kan vara säkra. Men jag vet inte riktig för jag har inte funderat genom ev problem som kan uppstå i och med det

  6. Jag tycker att en tjänster som AirVPN.org och ThreadThat.com verkar lovande inför framtiden.

    Kombinera dessa två då du skall kontakta din journalist, och det borde bli väldigt svårt att spåra dig — och du kan sitta hemma i lugn och ro dessutom.

    AirVPN brukar väl du och Rasmus tipsa om? Jag tror att jag hittat dit via er. Efter att ha använt VPN ett tag känns det konstigt att gå tillbaka till VPN-löst. Det känns som om man surfar helnaken liksom. VPN klär mig!

    Jag slängde in lite AirVPN-för-Ubuntu-instruktioner på forumet: https://airvpn.org/index.php?option=com_kunena&Itemid=55&func=view&catid=3&id=116

    ThreadThat.com verkar vara en ny start-up (kommersiell) i U.S.A. Jag tänkte skaffa mig ett konto där och testa lite. (Fixar man konto under 2010 får man även den tyngsta krypteringstjänsten gratis livet ut). Jag har läst igenom deras omfattande förklaringar och policy-dokument, och det verkar både hyfsat lättanvänt, mycket vettigt och väldigt säkert — om man nu kan lita på tjänstens operatör såklart.. Tänk om nätaktivister i Europa kunde bygga något liknande!?

    Sen i framtiden kanske RedPhone — http://www.whispersys.com/ — eller dylika tjänster växer sig större, så att man kan ringa och SMS:a krypterat och ”anonymt” (d.v.s det är svårt att spåra vem som kontaktar vem) via internet från sin smartlur.

    Alla dessa tjänster förutsätter dock att man vågar lita på tjänsternas operatörer.

    I2P är ju något annat. Där finns inga operatörer man behöver lita på.

  7. Linus:
    Intressant med exit enclaves, jag visste inte ens att de fanns. Det blir ju som en hidden service i den meningen att man aldrig kommer ut över det okrypterade nätet, fast eftersom den inte är ”hidden” så behöver man inte två separata tunnlar vilket borde göra det snabbare och stabilare.

    Det känns som något som alla tidningar, forum, IRC-servrar och liknande som bryr sig om anonymitet borde ha.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Time limit is exhausted. Please reload CAPTCHA.