Foredrag om digitalt kildevern for Panorama i Molde 26. mai 2016

2. 127.0.0.1
• Anders Brenna
• Forretningsutvikler
• Teknologievangelist
• Karriere 1.0: Teknisk
• Karriere 2.0: Redaksjonell
• Karriere 3.0: Kommersiell

6. Ring meg
900 77 860

7. Hvordan kan dette misbrukes?

8. 88

10. 1
0
Politifaksen
• Basestasjon
• PUK-koder
• Trafikkdata
– Telefonnummer
– e-post
– IP-adresse

11. Kildevern
• Kildevern, medienes, redaktørenes og
journalistenes rett til ikke å oppgi sine
kilder, selv ikke under rettslig vitneavhør.
– Store Norske Leksikon

13. Vær Varsomplakaten
3.4. “Vern om pressens kilder. Kildevernet er
et grunnleggende prinsipp i et fritt samfunn
og er en forutsetning for at pressen skal
kunne fylle sin samfunnsoppgave og sikre
tilgangen på vesentlig informasjon.”

14. 1
4

15. Hva er pressen uten kildevernet?

16. Interesseorganisasjon
1
6

17. 1
7
Troverdighet
• Det er ikke lengre
nok å bare love
kildene anonymitet
• Kildevernet må
også sikres

18. Digitalt kildevern
• Mulig definisjon:
– Digitalt kildevern består i å sikre kilden mot å
bli avslørt av digitale spor som legges igjen i
kommunikasjonen med journalisten.

19. Naiv ParanoidVS

20. Dele – ikke stjele
1. Det må sikres en rettslig adgang til å innsamle, registre og lagre
trafikkopplysninger slik som IP-adresser,
2. Det må sikres en praktikabel ordning for å få informasjon om identiteten bak IP-
adressen (abonnenten) . Uten denne informasjonen kan opphavsretten ikke håndheves
av rettighetshaverne ved sivilrettslige tiltak.
3. Det må etableres en varslingsordning overfor fildelere, som ved gjentatte krenkelser
skal sanksjoneres med ytterligere tiltak,
4. Det må innføres en klar og utvetydig hjemmel for å kunne sperre (blokkere) tilgangen
til nettsteder som formidler ulovlige filer. Et slikt pålegg må kunne rettes mot
internetttilbyderen (ISP).

21. 2
1

22. Datalagringsdirektivet
Terrortiltaket
som ble utsatt
på grunn av
terrorisme...

23. Telefoni
• Hvem du ringer
• Når du ringer
• Hvor lenge samtalen varte
• Hvor du var da du ringte

24. ”You don’t have time to trace this call”

25. SMS
• Hvem du sendte
meldingen til
• Når du sendte
meldingen
• Hvor du var da du
sendte meldingen

26. Hvordan kan vi misbruke datalagring
av SMS til å plante falsk informasjon
på noen?

27. e-post
• Hvem du sendte
e-post til
• Når du sendte
e-posten
• Hvilken server du
sendte den fra

28. IP-adresse
• Hvem du er bak IP-adressen
• Når du logget deg på
• Hvor du logget deg på
• Når du logget deg av
• Hvor du logget deg av

29. 2

30. Chilling effect
«Bare vissheten om at noen kan lete seg fram til
dine kontakter og dine bevegelser, både i det
fysiske rommet og på Internett, kan være nok til å
hemme borgere i utøvelsen av sine friheter til å
samles, til å ytre seg og til å søke opplysninger.»

34. Datalagringsdirektivet virker ikke
• Gode intensjoner
• Manglende
realitetsforståelse
• EU-rapporten
klarte ikke å
dokumentere
positiv effekt

38. 1,4 millioner samtaler?
“Dette er ikke kun samtaler som knyttes til Breivik. Dette
er alle samtaler som er registrert på basestasjoner i
tilknytning til både bomba i Regjeringskvartalet og
aksjonen på Utøya. Vi må analysere tid, lengde og fra
hvilke basestasjoner de er registrert på. Vi prøver å
finne ut hvem som har ringt til en hver tid, også i dagene
før.”

39. Logging
• Alle journalister
bør be
mobiloperatøren
om spesifisert
regning!

42. Hvordan kan vi sikre kildene?

43. «If you think technology can solve
your security problems then you
don’t understand the problems and
you don’t understand the
technology»
- Bruce Schneier

44. Sikkerhet vs kildevern

49. 4
9
Mobiltyveri
• Meningsløst å stjele mobiltelefoner
– IMEI-nummer logges sammen med alle samtaler
– Forsikringssvindel avsløres!
• Ingen stjeler en journalists mobil fordi den i
seg selv er verdifull!
– De er ute etter informasjonen på den

50. Mobil sikkerhet
• Passord/pinkode
• Kryptering
• Find my phone
• Remote sletting

51. Blondinevits
During a recent password audit by Google, it was found that a
blonde was using the following password:
"MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacrament
o"
When asked why she had such a long password, she rolled
her eyes and said:
"Hello! It has to be at least 8 characters long and include at
least one capital."

56. Sjekk pålogginger

57. Passord
• Ikke gjenbruk passord
• Ikke bruk enkle passord
• Bruk lange passord
• Passphrase
• 2 faktor autentisering
• Varsel om mistenkelige innlogginger

58. Kryptering
• Sikkerhetsmekanisme som gjør
meldinger uleselige
• Bruker nøkler til å låse ned og
opp innholdet i meldinger
• Nøklenes lengde er avgjørende
for sikkerhetsnivået

59. Kryptert forsendelse
1. Journalist lager private og public key
2. Journalist deler public key med kilde
3. Kilde krypterer innholdet med
journalistens public key
4. Journalist dekrypterer innhold med sin
private key

60. PGP
• Pretty Good
Privacy
• E-post
– Ikke header!
(fra/til)

62. Krypteringsnøkler
Public key
• Krypterer innholdet
• Deles med alle
Private key
• Dekrypterer innholdet
• Må holdes hemmelig!

67. Websurfing
Your IP address: 95.34.243.172
Hostname:
172.243.34.95
.customer.cdi.
no
Country: NO - Norway
Country Flag:
State/Region: Akershus
City: Bærums Verk
Latitude: 59.95
Longitude: 10.5
• IP-adressen forteller
mye om deg
• Anonymiser trafikken
– VPN
– TOR
– Selv HOLA kan funke

68. TOR

69. SecureDrop

70. Social engineering
• Hei! Det er Anders fra IT-avdelingen..
• Vi mistenker at noen har kommet inn på
brukerkontoen din…
• Kan du logge på og sjekke at du fortsatt
kommer inn?

71. Epost avsender

73. Avslørt av
pressens
enkilde-
journalistikk?

74. Watermark

75. http://hannemyr.com/no/digimarc.php

78. Publisering?
• Unik?
– Bilde
– Dokumentet
– Fil

79. 7
9

80. 8
0
Digital kildepleie
• IT-sikkerhet
• Avledningsmanøvre
• Avvikende mønstre
• Falske spor
• Flerkanalskommunikasjon

81. Naiv / Paranoid
• Bruk internett
• Legg igjen (mange)
digitale spor
• Ikke legg alle
opplysningene i en
kurv

82. Bruk sunn fornuft
• Common sense is not so common
– Voltaire, 1765

83. Takk for meg
anders.brenna@knowit.no

84. Fristed?
Bør vi overvåke
ekstreme miljøer på
internett?

85. PST-instruksen §15
• Personopplysninger som ikke kan behandles
• “Opplysninger om en person kan ikke
behandles kun på bakgrunn av hva som er
kjent om personens etnisitet eller nasjonale
bakgrunn, politisk, religiøs eller filosofisk
overbevisning, fagforeningstilhørighet
eller opplysninger om helsemessige eller
seksuelle forhold.”

86. Nettovervåkning?
• Skal vi lage unntak i §15?
• “Opplysninger om en person kan ikke behandles
kun på bakgrunn av hva som er kjent om
personens etnisitet eller nasjonale bakgrunn,
politisk (bortsett fra høyreekstreme), religiøs
(gjelder ikke muslimer) eller filosofisk
overbevisning, fagforeningstilhørighet eller
opplysninger om helsemessige eller seksuelle
(homofile) forhold.”