Föreläsningar i datorsäkerhet för journalister

Under hösten har Umeå Hackerspace hållit föreläsningar på Strömbäcks Folkhögskola för journalistlinjens studenter. Vid tre tillfällen har jag (MMN-o) och pettter åkt ut dit och pratat om datorsäkerhet, digitalt källskydd och dylikt på inbjudan från Bertholof Brännström.

Föreläsning

De första två tillfällena var halvklasser, medan den andra halvan var iväg på praktik på diverse redaktioner. Dessa var mer teoretiska och överblickande men hade konkreta tips på hur man kan skydda känsliga uppgifter och metadata:

Utöver detta demonstrerades även kapning av trådlösa nätverk. En mobiltelefon eller dator som någon gång har anslutit till ett trådlöst nätverk kommer att försöka ansluta till det automatiskt om det för tillfället saknar uppkoppling. T.ex. kan man som attackerare störa ut ett existerande nätverk och sedan stå och vänta med ett (eller flera!) vanligt SSID, typ "Netgear", "_Umea WiFi", "linksys", etc. Har attackeraren då en tillräckligt stark signal kommer den utsatte att byta nätverk.

I vår attack-demonstration valde vi att kapa samtlig HTTP-trafik och rotera alla bilder 180 grader, vilket öppnar för en ganska udda webbupplevelse. Krypterade anslutningar kräver en mycket mer sofistikerad attack, vilket vi bl.a. pratade om på Gräv 2014.

Workshop

Den tredje föreläsningen var mer av en workshop i helklass. Den inleddes med att många elever hade Chromebooks framför sig, vilket är en fruktansvärt osäker plattform om man inte bråkar omkring med den på sätt som Google (som äger plattformen de kör, ChromeOS) önskar att man inte kunde. Man kan inte i standardutförandet varken starta egna operativsystem (t.ex. den säkra miljön Tails) eller på något smidigt sätt installera ovannämnda fria mjukvaror för kryptering och dylikt. Eftersom Chromebooks är kassa så ville vi hålla en workshop med något som är mer av en riktig dator, varpå eleverna kunde hämta ut ordinarie PCs i form av Apple Macbook-varianter.

Macbooks kör OS X, i det här fallet Yosemite (10.10). Ingen lånedator körde krypterat filsystem (en av eleverna gjorde dock det på sin egen maskin!) och eleverna hade inte administratörsaccess. Detta innebar att säkerhetsworkshopens första steg behövde bli att byta administratörslösenord. Detta är inte svårare än att starta om datorn, hålla in +R, varpå man startar återställningsläget. I menyn (under Verktygsprogram) kan man starta ett Terminal-fönster. I terminalfönstret skriver man 'resetpassword', trycker enter och vips kommer det upp en ruta som låter en ställa in ett eget lösenord för valfritt konton på datorn.

När eleverna fick administratörsaccess gick vi igenom dels verktygen vi nämnt på föreläsningarna tidigare samt föreslog att använda t.ex. VirtualBox som en säker arbetsmiljö om man t.ex. vill öppna skumma bifogade filer m.m. Exempelvis är det löjligt enkelt att starta Tails i VirtualBox och på så vis ha en tillräckligt säker komplett arbetsmiljö med allt från kontorsmjukvara till bildredigering och diverse krypteringsverktyg. Allt är dessutom fri mjukvara och kan laddas hem för eget bruk i ens vanliga datormiljö.

Vi tyckte det var superkul att åka ut och föreläsa för journalister, vilka har ett stort ansvar i en digital värld att skydda sina - och inte minst andras - data från intrång och missbruk.