Föreläsningar i datorsäkerhet för journalister
Under hösten har Umeå Hackerspace hållit föreläsningar på Strömbäcks Folkhögskola för journalistlinjens studenter. Vid tre tillfällen har jag (MMN-o) och pettter åkt ut dit och pratat om datorsäkerhet, digitalt källskydd och dylikt på inbjudan från Bertholof Brännström.
Föreläsning
De första två tillfällena var halvklasser, medan den andra halvan var iväg på praktik på diverse redaktioner. Dessa var mer teoretiska och överblickande men hade konkreta tips på hur man kan skydda känsliga uppgifter och metadata:
- Säkert surfande - använd Tor Browser Bundle så ofta som möjligt.
- T.ex. vid research, leta recept, kolla tidtabeller, slösurfande, läsa bloggar m.m.
- Din webbläsare berättar annars varifrån du kommer, både genom IP-nummer och vilken sida som du klickade in dig från. T.ex. är det onödigt att koppla ditt hem eller nyhetsredaktionen till pågående undersökningsarbete.
- Tor Browser har även andra fördelar ur säkerhetssynpunkt. Bl.a. används inte Flash, vilket är en stor säkerhetsrisk, din historik raderas automatiskt när du stänger webbläsaren m.m.
- Lagring av data - använd VeraCrypt eller annan smidig katalog/diskkryptering.
- Om du inte krypterar datat är det tillgängligt för vem som helst, inte minst vid stöld, husrannsakan eller vid passage över en gräns mellan mindre demokratiska länder.
- Lösenordsinloggning på datorn skyddar dig inte om du inte aktivt valt att även kryptera innehållet på hårddisken. Aktivera detta i ditt operativsystem!
- Krypterade kataloger fungerar som USB-minnen. Man "monterar" dem, arbetar med filerna i dem och "avmonterar" dem sedan.
- De krypterade mapparna är filer man kan överföra mellan datorer, t.ex. till en kollega eller källa, utan risk för att andra kan läsa innehållet (endast möjligt med krypteringslösenordet)
- Variera lösenord - använd KeePassX (eller KeePass beroende på smak).
- Att använda samma lösenord på flera platser innebär att endast en av dessa behöver utsättas för dataintrång för att flera av dina konton öppnas för kapning.
- Välj långa lösenord - helst flera vanliga ord snarare än kryptiska kombinationer av #%!\$ etc. - om det är något du behöver komma ihåg själv eller fylla i för hand.
- Använder du en lösenordshanterare såsom KeePass kan du ha hur många och krångliga lösenord som helst, för då behöver du bara komma ihåg ett huvudlösenord varefter du kan kopiera och klistra in respektive unikt lösenord.
Utöver detta demonstrerades även kapning av trådlösa nätverk. En mobiltelefon eller dator som någon gång har anslutit till ett trådlöst nätverk kommer att försöka ansluta till det automatiskt om det för tillfället saknar uppkoppling. T.ex. kan man som attackerare störa ut ett existerande nätverk och sedan stå och vänta med ett (eller flera!) vanligt SSID, typ "Netgear", "_Umea WiFi", "linksys", etc. Har attackeraren då en tillräckligt stark signal kommer den utsatte att byta nätverk.
I vår attack-demonstration valde vi att kapa samtlig HTTP-trafik och rotera alla bilder 180 grader, vilket öppnar för en ganska udda webbupplevelse. Krypterade anslutningar kräver en mycket mer sofistikerad attack, vilket vi bl.a. pratade om på Gräv 2014.
Workshop
Den tredje föreläsningen var mer av en workshop i helklass. Den inleddes med att många elever hade Chromebooks framför sig, vilket är en fruktansvärt osäker plattform om man inte bråkar omkring med den på sätt som Google (som äger plattformen de kör, ChromeOS) önskar att man inte kunde. Man kan inte i standardutförandet varken starta egna operativsystem (t.ex. den säkra miljön Tails) eller på något smidigt sätt installera ovannämnda fria mjukvaror för kryptering och dylikt. Eftersom Chromebooks är kassa så ville vi hålla en workshop med något som är mer av en riktig dator, varpå eleverna kunde hämta ut ordinarie PCs i form av Apple Macbook-varianter.
Macbooks kör OS X, i det här fallet Yosemite (10.10). Ingen lånedator körde krypterat filsystem (en av eleverna gjorde dock det på sin egen maskin!) och eleverna hade inte administratörsaccess. Detta innebar att säkerhetsworkshopens första steg behövde bli att byta administratörslösenord. Detta är inte svårare än att starta om datorn, hålla in ⌘+R, varpå man startar återställningsläget. I menyn (under Verktygsprogram) kan man starta ett Terminal-fönster. I terminalfönstret skriver man 'resetpassword', trycker enter och vips kommer det upp en ruta som låter en ställa in ett eget lösenord för valfritt konton på datorn.
När eleverna fick administratörsaccess gick vi igenom dels verktygen vi nämnt på föreläsningarna tidigare samt föreslog att använda t.ex. VirtualBox som en säker arbetsmiljö om man t.ex. vill öppna skumma bifogade filer m.m. Exempelvis är det löjligt enkelt att starta Tails i VirtualBox och på så vis ha en tillräckligt säker komplett arbetsmiljö med allt från kontorsmjukvara till bildredigering och diverse krypteringsverktyg. Allt är dessutom fri mjukvara och kan laddas hem för eget bruk i ens vanliga datormiljö.
Vi tyckte det var superkul att åka ut och föreläsa för journalister, vilka har ett stort ansvar i en digital värld att skydda sina - och inte minst andras - data från intrång och missbruk.