Lägg ned radioleaks!

Igår kom nyheten att den direktåtkomst till lagrad data om abonnenter som SÄPO och Polisen vill ha, står startklar hos vissa operatörer.

Bredvid artikeln finns en annons om SR-tjänsten Radioleaks, där man kan lämna information till Sveriges Radio. Om man följer länken kommer man till den här sidan. Där finns bland annat följande stycke:

”Radioleaks är uppbyggt för att ge största möjliga säkerhet, innehållet som skickas till oss krypteras. Men inget system är helt säkert. Din säkerhet och rätt att förbli anonym som källa beror i hög grad på hur du själv agerar, på vilket sätt du väljer att lämna informationen. Läs mer i våra råd om hur du bör lämna information.”

Råden är tvivelaktiga på flera punkter, till exempel om anonymitetstjänster – läs under fliken ”råd om att lämna information” och rubriken ”Att vara anonym”. Många VPN-tjänster erbjuder bara betalning med kort, PayPal, mobiltelefon m.m. och då är det en stor nackdel att använda en sådan tjänst när man redan sitter på ett internetcafé där man betalat kontant. Om en tjänst som betalats på ett anonymt sätt skulle ha blivit beordrad av t.ex. polisen att spåra en användare, är det värsta som kan hända att de kan uppge vilken data som skickats genom tjänsten – krypterat nonsens som eventuellt kan knäckas – , vart den skickats – till Radioleaks IP-adress -, och varifrån den skickats – från internetcaféets IP-adress. Om tjänsten betalats med något av de nyssnämnda sätten kan de däremot uppge betalningsinformation som tillsammans med betalningsförmedlarens information leder direkt till betalaren.

En bra anonymitetstjänst ska inte spara några loggar, men det skulle kanske vara möjligt för polisen att begära åtkomst i förväg och så att säga fånga informationen i flykten. Och man kan aldrig vara 100 % säker på att tjänsten håller vad den lovar, man litar trots allt på någon man inte känner, och loggar är väldigt användbara vid felsökning. En slarvig IT-tekniker kan slå på loggarna för att spåra ett fel, och felet återkommer inte på flera månader och loggarna sparas ända tills det sker – sådant kan hända, och är mer sannolikt än det om posten.

Post är enligt guiden ett sätt som tydligen ska betraktas som väldigt osäkert. Jag håller inte med. Om polisen, SÄPO eller liknande myndigheter ska kolla ett brev, måste de veta vad de letar efter. Det är dyrt att öppna post, till skillnad från att använda den redan utlagda övervakningsmattan på internet.

Det finns ett mycket säkrare, enklare och billigare sätt att kontakta SR via telefon än de som uppges – använd en mynttelefon!

Om det bara är frågan om att gömma sig för en arbetsgivare är de flesta av råden överflödiga. Då räcker det oftast att skicka informationen hemifrån, den behöver inte ens krypteras i de flesta fall. Men om det är SÄPO eller Kriminalpolisen (som har tillgång till FRA-spaningen) man måste gömma sig för går det bara att skicka digital information anonymt om man är en fullfjädrad expert eller har hjälp av en sådan. Dessutom är innehållet lika gott som klartext, eftersom NSA byggt in bakdörrar så att de kan läsa HTTPS-trafik. Den som skrivit guiden är inte på lång väg tillräckligt kompetent inom områdena som krävs, eller lyckas inte förmedla kompetensen.

Själva Radioleaks är ganska värdelös som tjänst. Den ger en falsk känsla av trygghet. Den verkliga tryggheten är bara en liten aning bättre än mejl med SSL, och mycket sämre än mejl med PGP. Lägg ned Radioleaks, innan någon far illa!

Analog information är säkrare i de allra flesta fall. Jag kommer nog att skriva ett inlägg om hur man gör för att gömma sig när man skickar digital information någon gång, men jag skriver redan nu att även om jag tror mig kunna mer än den som skrivit på SR, är jag inte tillräckligt kunnig för att kunna garantera något. Det tror jag inte att någon är.

Jag har uppmärksammat Sveriges Radio på den här bloggposten, och hoppas att de svarar mig.

Uppdatering: SR har svarat i kommentarsfältet, och till och med uppdaterat sin guide. Tack, SR.

Annonser

Taggar:, , ,

2 responses to “Lägg ned radioleaks!”

  1. Anonym says :

    Hej
    Det är precis som du påpekar och som vi skriver på radioleaks.se att din säkerhet när du hör av dig till Radioleaks i hög grad är beroende av hur du agerar innan informationen sänds.
    Vad gäller VPN-tjänster så beskriver vi att du via dem är spårbar för myndigheter eftersom bolaget som driver tjänsten kan vara skyldiga att spara information om vad du gjort. Det är alltså viktigt att ta reda på vad som gäller, vad företaget har för policy och vilken lagstiftning som gäller, innan man använder sig av tjänsten. Vi håller med om att man ska påpeka att om man använder sig av en VPN-tjänst kan bli spårbar om man väljer att betala på ett spårbart sätt, vi har förtydligat det.
    Vad gäller post så påpekar vi att post ” inte alltid är en säker väg” om man ska skicka något till oss, t ex en USB-sticka. Det är viktigt att informera de som inte visste att även fysisk post kan kontrolleras.
    Ett viktigt råd vi ger på Radioleaks, eftersom det är svårt för en lekman att inte vara spårbar idag på Internet, det är att ”när informationen är av känslig natur eller om du vill överlämna något fysiskt till Sveriges Radio är det en fördel om du etablerar en säker kontakt med oss personligen och sedan överlämnar din information till oss vid ett möte, ett möte som ske var som helst, även i Sveriges Radios lokaler.”
    Rolf Stengård
    Jesper Lindau

    • antimon555 says :

      Tack för svaret och förbättringen av guiden. Det ser fortfarande ut lite som om ni rekommenderar att använda VPN-tjänst på internetcafé om man läser slarvigt, men det är i alla fall mycket bättre än förut.

      Jag håller med om att det är viktigt att påpeka att brevhemligheten nu inte är absolut, men som det är skrivet låter det som att risken att just den personens brev skulle öppnas är lika stor som risken att digital information avlyssnas. Det kan den vara om man redan är misstänkt, men annars inte. Det är som sagt dyrt att öppna post.

      Post är i de flesta fall oerhört mycket säkrare än datatrafik, till och med krypterad sådan. Att krypteringen är knäckt har ni ju rapporterat om de senaste månaderna. Det kompromissar både Radioleaks, VPN-tjänster och mejl.

      Vilken värld vi lever i, där det som avgör om stater tjuvläser andras information inte är om det är rätt eller fel, försvarbart eller inte, utan bara om det är tillräckligt billigt…

      Det här med mobiltelefon också, det behövs inte en telefon med geotagging för att spåra den. Masttriangulering räcker bra, och det görs automatiskt på alla GSM-telefoner och lagras enligt datalagringsdirektivet och kan från och med snart hämtas direkt – som ni också rapporterat om.

Kommentera gärna här

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: