Whistleblower-kursus og cryptoparty/cafe
Caroline Lundqvist
Mark Moore
Jeg kunne godt finde på at melde mig, med det forbehold at jeg måske skal til eksamen dagen efter og derfor måske springer fra..
Er der en mere klar plan end: " deltagerne kan hive deres laptops frem og få dem krypteret." ?
Med hvad?
Hvad er kravene til sikkerheden?
Jeg kunne godt finde på at vise folk hvordan de krypterer deres net-trafik, med fx en VPN forbindelse.. Er det udenfor aftenens scope?
~Mark
--
Du har modtaget denne besked, fordi du abonnerer på gruppen "Open Space Aarhus" i Google Grupper.
Hvis du vil ophæve abonnementet på denne gruppe og ikke længere modtage e-mails fra den, skal du sende en e-mail til openspaceaarh...@googlegroups.com.
Hvis du vil indsende et indlæg til denne gruppe, skal du sende en e-mail til openspa...@googlegroups.com.
Besøg denne gruppe på http://groups.google.com/group/openspaceaarhus.
Du kan se flere muligheder ved at besøge https://groups.google.com/d/optout.
Mark Moore
Morten "boris" Bruhn
MVH
Morten "boris" Bruhn
Caroline Lundqvist
Beklager svartid og mangel på konkretisering!
Nu har jeg lige været lidt på afstand af planlægningen, så jeg prøver lige at finde ud af, i løbet af de næste par timer, hvad det præcist indebærer.
Jeg kan forhåbentlig melde tilbage i aften!
Mvh
Caroline
Carsten Agger
--
Du har modtaget denne besked, fordi du er tilmeldt gruppen "Open Space Aarhus" i Google Grupper.
Hvis du vil ophæve abonnementet på denne gruppe og ikke længere modtage e-mails fra den, skal du sende en e-mail til openspaceaarh...@googlegroups.com.
For at sende et indlæg til denne gruppe skal du sende en e-mail til openspa...@googlegroups.com.
Besøg denne gruppe på http://groups.google.com/group/openspaceaarhus.
Mark Moore
Du har modtaget denne besked, fordi du abonnerer på gruppen "Open Space Aarhus" i Google Grupper.
Hvis du vil ophæve abonnementet på denne gruppe og ikke længere modtage e-mails fra den, skal du sende en e-mail til openspaceaarh...@googlegroups.com.
Hvis du vil indsende et indlæg til denne gruppe, skal du sende en e-mail til openspa...@googlegroups.com.
Besøg denne gruppe på http://groups.google.com/group/openspaceaarhus.
Paul M. Bendixen
Hej
Jeg kan lige se det kun er inde i mit hovede jeg har sagt jeg gerne vil hjælpe til.
Min primære erfaring er om brug af gpg på Linux (kubuntu) og implementering i kmail. Jeg har måske lidt problemer med at være der kl 16:30, jeg håber det stadig kan lade sig gøre.
/Paul
Caroline Lundqvist
Journalistens guide til digitalt selvforsvar
Mails, sms’er, chatsamtaler og Google-søgninger: I dag bliver alt, hvad vi gør på nettet eller med vores smartphones overvåget, logget og registreret. Snowden-afsløringerne har vist, hvordan efterretningstjenester verden rundt overvåger millioner af helt almindelige borgere og herhjemme pålægger logningsbekendtgørelsen tele- og it-selskaberne at registrere og udlevere hvem vi kommunikere med, hvornår vi gør det og hvor vi befinder os, når vi gør det. Alene i 2013 blev 3500 milliarder dataposter logget om danskernes tele- og internetadfærd.
Derfor er det vigtigt, at vi som journalister ved, hvordan vi beskytter os selv og vores kilder mod overvågning og digitale fodaftryk, der senere kan spore en afsløring tilbage til afsenderen. Hvis ikke vi kan det, bringer vi vores kilder i fare. Vi risikerer også, at de ikke tør komme til os, og vigtige historier om ulovligheder og magtmisbrug kommer måske aldrig i offentlighedens søgelys.
Før du går i gang
Det første gode råd er, at det er sikrest at kommunikere ansigt til ansigt. Hvis din kilde har noget, han gerne vil fortælle dig, så aftal at mødes et sted, hvor du er sikker på, at I kan tale i fred. Eventuel dokumentation kan så overleveres fysisk, for eksempel på papir, usb, harddisk eller cd/dvd. Mind din kilde om, at det meste sætter digitale spor. Det kan også være, hvis han printer papirer på sin arbejdsplads. Hvis han er i tvivl om, hvordan han beskytter sig selv, kan han eventuelt tage et foto af sin computerskærm med et kamera, der ikke har gps eller på anden måde kan spores.
Lad være med at aftale mødestedet gennem din eller kildens arbejdsmail eller arbejdstelefon, over Facebook eller lignende. Brug en anonym mailadresse eller en telefon med taletidskort, der ikke kan spores. Lad jeres smartphones blive hjemme, så I ikke kan spores via gps. Brug lejligheden til at aftale, hvordan I skal kommunikere sikkert fremover. Det er ikke altid, at det er muligt at mødes ansigt til ansigt, så her følger en række tips til, hvordan du kan sikre din kommunikation på nettet.
Det andet gode råd er, at du skal sikre dig i hverdagen. Hvis du først begynder at bruge krypteringsværktøjer, når det brænder på, er det en adfærdsændring, som i sig selv er mistænkelig. Det gør det let for myndighederne at fokusere på den krypterede del af din kommunikation. Hvis du gør digital sikkerhedsbevidsthed til en del af din hverdagsrutine som journalist, er du med til at sikre den nødvendige baggrundsstøj, der gør det lettere for både dig selv og dine kolleger, når det scoop, der kan vælte regeringen, kommer.
Alle de programmer og apps, vi anbefaler, er gratis og såkaldt open source-programmer. Det betyder, at alle kan se, hvordan programmet er lavet og kigge kildekoden efter i sømmene. Det gør programmerne sikrere og mindsker risikoen for, at de ikke giver den beskyttelse, de lover.
1. Tor
Når du går på nettet med en almindelig browser som Crome, Safari eller Explorer, bliver data om hvilke hjemmesider du besøger, hvad du søger på, hvem du kommunikerer med og hvad kommunikationen indeholder overvåget og registreret. Det kan du beskytte dig mod ved at installere browseren Tor. Tor er anonym browser, som du kan downloade gratis på https://www.torproject.org/. Du kan både installere Tor på din smartphone og computer. Når du surfer via Tor bliver al browserens internettrafik krypteret og ledt gennem en række Tor-servere rundt omkring i verden. Det gør, at den ikke kan spores tilbage til din computers ip-adresse. På nogle punkter er Tor lidt langsommere og mindre effektiv end andre browsere. Brug den for eksempel, hvis du skal researche på noget, hvor du ikke vil gøre opmærksom på dig selv, men sørg for, at du ikke kun bruger den, når du vil undgå snagen. Så kan det, at du ikke bruger din almindelige browser, i sig selv vække mistanke.
2. Kryptering af mail
Kryptering er en nøgle, der gør, at dine mails ikke kan læses af uvedkommende på vejen til modtageren, lidt ligesom forskellen på at skrive noget på bagsiden af et postkort og i en lukket kuvert. Man kan stadig se metadata om hvem du sender mails til, hvad emnet er og hvornår det er sendt, men ikke indholdet. Der er tre ting, som du skal installere på din computer. Herefter kan du nemt kryptere alle dine mails.
Mailklient: For at kunne kryptere dine mails, skal du sende og læse dem via en mailklient. Det kan være det mailprogram, der allerede er installeret på din computer, men vi anbefaler, at du skifter til det gratis mailprogram Thunderbird, der er open source og nemt at bruge. Download det gratis på https://www.mozilla.org/da/thunderbird/ og installer det på din computer.
GPG: Nu skal du bruge en gpg-nøgle. Det er den personlige kode, du bruger til at låse og åbne krypterede mails med. Download en gpg-pakke på https://gpgtools.org/ og følg instruktionsmanualen på siden. Pakken indeholder blandt andet en nøglering, hvor du kan gemme dine egne og andres gpg-nøgler. Husk at lave en lang kode med både tal, tegn og bogstaver. En almindelig kode med få tegn er ikke godt nok.
Der er både en offentlig og en privat nøgle. Den offentlige nøgle er den, som andre skal kende, hvis de vil sende krypterede mails til dig. Den private er den, du bruger til at kryptere og dekryptere mails. Hvis du vil sende krypterede mails til andre, kræver det også, at du kender deres offentlige nøgle. Når du har udvekslet gpg-nøgler med en kontakt, kan I kommunikere krypteret på flere forskellige måder.
Stadig flere journalister skriver deres offentlige gpg-nøgle i deres mailsignatur eller på deres blog-profil på nettet. Det kan du også gøre. På den måde fortæller du fremtidige kilder, hvordan de kan sende krypterede mails til dig. Opret eventuelt en profil på forummet https://keybase.io/, som er en slags online telefonbog over offentlige gpg-nøgler. Det gør det nemmere at komme i kontakt med dig.
Enigmail: Når du har installeret Thunderbird, skal du bruge den udvidelse, der gør, at programmet kan kryptere ved hjælp af din gpg-nøgle. Den hedder Enigmail og kan downloades gratis på https://www.enigmail.net.
Voila! Når du har installeret de tre elementer, kommer der et lille ikon med en lås på de mails, du sender og modtager via Thunderbird. Så skal du simpelthen bare klikke på det, når du vil kryptere eller dekryptere en mail.
3. OTR-Chat
OTR er en forkortelse for Off The Record. Det bruges om livekommunikation, altså chats, sms’er og telefonsamtaler, som er krypterede, så de ikke kan overvåges. Husk, at det kun er indholdet, der bliver krypteret - metadata om hvem, du kommunikerer med, hvornår og hvor I befinder jer, bliver stadig logget.
Her er to forskellige måder, du kan OTR-chatte via din computer på:
Chatprogrammer: Adium er et gratis chatprogram til Mac OS X, som du kan bruge til at kryptere dine chatsamtaler i. Du kan downloade Adium på https://adium.im/. Når du har installeret programmet på din computer, kan du chatte krypteret med de af dine kontakter, der også bruger OTR-chat. Når du har åbnet et chatvindue, krypterer du chatten ved at klikke på låse-ikonet i programmet. Før du chatter første gang, skal du slå logningen af din samtalehistorik fra under Indstillinger/Generelt - ellers gemmer programmet automatisk alle dine samtaler i ukrypteret form, og de kan ses, hvis du for eksempel mister din computer eller den bliver hacket.
Til Windows kan det gratis chatprogram Pidgin downloades på https://www.pidgin.im/. Det fungerer stort set som Adium, men du skal installere et plug-in der hedder OTR. Det kan du finde på https://otr.cypherpunks.ca/.
Browserchat: Cryptocat er en krypteret tjeneste til online chat. Programmet kan downloades gratis på https://crypto.cat/. Det fungerer som en applikation til din browser, hvor du kan chatte med andre, der også har Cryptocat. Programmet virker i browserne Firefox, Crome og Safari og fås også som en app til iPhone. Når du har installeret appen, åbner du den via apps-sektionen i din browser og opretter en samtale, som du giver et navn. Det skal være et unikt navn, som er sværere at gætte end “test” eller lignende. Fortæl den eller de personer, du vil chatte med, hvad din samtale hedder (for eksempel via en sms), så kan de logge på via Cryptocat i deres browser. Husk, at Cryptocat kun krypterer chattens indhold. Hvis du også vil sløre, at du bruger Cryptocat, kan du logge på via din Tor-browser.
4. Til din smartphone
Der er flere forskellige værktøjer til OTR-kommunikation via din smartphone.
Opkald: Hvis du vil undgå, at dine samtaler kan aflyttes, kan du downloade en gratis app, som krypterer dine opkald. Det kræver, at modtageren også har installeret appen. Til androids hedder appen RedPhone og kan downloades på Android Market. Til iPhone hedder den Signal og kan downloades i App Store. Begge apps kan også findes på https://whispersystems.org.
Når du har installeret appen og givet din telefon tilladelse til, at den kan hente dine kontakter, kan du ringe krypteret med de af dine kontakter, der også har en OTR-app installeret. Du åbner simpelthen appen og finder din kontakt i den. Hvis personen har OTR, kan du se, at samtalen automatisk bliver krypteret. Bemærk at lydkvaliteten kan være en lille smule dårligere end i almindelige opkald.
SMS: Du kan også kryptere indholdet af dine sms’er med en gratis app fra https://whispersystems.org. Til androids hedder den TextSecure og til iPhones kan Signal også sende sms’er. Find dem på Android Market eller App Store. Det fungerer på samme måde som opkald: Når du har givet din telefon tilladelse til, at appen kan hente dine kontaktoplysninger, kan du sms’e til alle dine kontakter. Hvis de også har OTR installeret, kan du se, at sms’ens indhold automatisk bliver krypteret.
Chat: Appen ChatSecure kan bruges til at kryptere dine chats via eksempelvis Facebook Messenger eller Gmail på din smartphone. Den virker til både iPhones og Androids. Du kan også chatte direkte gennem appen uden at bruge din Gmail eller Facebook-konto. ChatSecure kan dowloades gratis på Android Market eller i App Store og på https://chatsecure.org/. Når du har downloadet appen til smartphone, kan du chatte med de kontakter, som også har OTR. Hvis du vil bruge den via Messenger eller Gmail, skal du logge på med din Gmail eller Facebook-konto. Du krypterer chatten ved at klikke på det lille låseikon.