Upload
anders-brenna
View
160
Download
0
Embed Size (px)
Citation preview
127.0.0.1• Anders Brenna
• Forretningsutvikler• Teknologievangelist
• Karriere 1.0: Teknisk• Karriere 2.0: Redaksjonell• Karriere 3.0: Kommersiell
Ring meg900 77 860
Hvordan kan dette misbrukes?
88
10
Politifaksen• Basestasjon
• PUK-koder
• Trafikkdata– Telefonnummer– e-post– IP-adresse
Kildevern• Kildevern, medienes, redaktørenes
og journalistenes rett til ikke å oppgi sine kilder, selv ikke under rettslig vitneavhør. – Store Norske Leksikon
Vær Varsomplakaten3.4. “Vern om pressens kilder. Kildevernet er et grunnleggende prinsipp i et fritt samfunn og er en forutsetning for at pressen skal kunne fylle sin samfunnsoppgave og sikre tilgangen på vesentlig informasjon.”
14
Hva er pressen uten kildevernet?
Interesseorganisasjon
16
17
Troverdighet• Det er ikke
lengre nok å bare love kildene anonymitet
• Kildevernet må også sikres
Digitalt kildevern• Mulig definisjon:
– Digitalt kildevern består i å sikre kilden mot å bli avslørt av digitale spor som legges igjen i kommunikasjonen med journalisten.
Naiv ParanoidVS
Dele – ikke stjele1. Det må sikres en rettslig adgang til å innsamle, registre og lagre
trafikkopplysninger slik som IP-adresser,
2. Det må sikres en praktikabel ordning for å få informasjon om identiteten bak IP-adressen (abonnenten) . Uten denne informasjonen kan opphavsretten ikke håndheves av rettighetshaverne ved sivilrettslige tiltak.
3. Det må etableres en varslingsordning overfor fildelere, som ved gjentatte krenkelser skal sanksjoneres med ytterligere tiltak,
4. Det må innføres en klar og utvetydig hjemmel for å kunne sperre (blokkere) tilgangen til nettsteder som formidler ulovlige filer. Et slikt pålegg må kunne rettes mot internetttilbyderen (ISP).
21
DatalagringsdirektivetTerrortiltaket som ble utsatt på grunn av terrorisme...
Telefoni• Hvem du ringer• Når du ringer• Hvor lenge samtalen
varte• Hvor du var da du ringte
”You don’t have time to trace this call”
SMS• Hvem du sendte
meldingen til• Når du sendte
meldingen• Hvor du var da du
sendte meldingen
Hvordan kan vi misbruke datalagring av SMS til å plante falsk informasjon på noen?
e-post• Hvem du sendte
e-post til• Når du sendte
e-posten• Hvilken server du
sendte den fra
IP-adresse• Hvem du er bak IP-adressen• Når du logget deg på• Hvor du logget deg på• Når du logget deg av• Hvor du logget deg av
29
Chilling effect
«Bare vissheten om at noen kan lete seg fram til dine kontakter og dine bevegelser, både i det fysiske rommet og på Internett, kan være nok til å hemme borgere i utøvelsen av sine friheter til å samles, til å ytre seg og til å søke opplysninger.»
33
Datalagringsdirektivet virker ikke
• Gode intensjoner• Manglende
realitetsforståelse• EU-rapporten klarte
ikke å dokumentere positiv effekt
1,4 millioner samtaler?“Dette er ikke kun samtaler som knyttes til Breivik. Dette er alle samtaler som er registrert på basestasjoner i tilknytning til både bomba i Regjeringskvartalet og aksjonen på Utøya. Vi må analysere tid, lengde og fra hvilke basestasjoner de er registrert på. Vi prøver å finne ut hvem som har ringt til en hver tid, også i dagene før.”
Logging• Alle
journalister bør be mobiloperatøren om spesifisert regning!
Hvordan kan vi sikre kildene?
«If you think technology can solve your security problems then you
don’t understand the problems and you don’t understand the
technology»
- Bruce Schneier
Sikkerhet vs kildevern
49
Mobiltyveri• Meningsløst å stjele mobiltelefoner
– IMEI-nummer logges sammen med alle samtaler– Forsikringssvindel avsløres!
• Ingen stjeler en journalists mobil fordi den i seg selv er verdifull!– De er ute etter informasjonen på den
Mobil sikkerhet• Passord/pinkode• Kryptering• Find my phone• Remote sletting
BlondinevitsDuring a recent password audit by Google, it was found that a blonde was using the following password: "MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramento"
When asked why she had such a long password, she rolled her eyes and said: "Hello! It has to be at least 8 characters long and include at least one capital."
Sjekk pålogginger
Passord• Ikke gjenbruk passord• Ikke bruk enkle passord• Bruk lange passord• Passphrase• 2 faktor autentisering• Varsel om mistenkelige innlogginger
Kryptering• Sikkerhetsmekanisme som
gjør meldinger uleselige• Bruker nøkler til å låse ned
og opp innholdet i meldinger• Nøklenes lengde er
avgjørende for sikkerhetsnivået
Kryptert forsendelse1. Journalist lager private og public
key2. Journalist deler public key med
kilde3. Kilde krypterer innholdet med
journalistens public key4. Journalist dekrypterer innhold med
sin private key
PGP• Pretty Good
Privacy• E-post
– Ikke header!(fra/til)
KrypteringsnøklerPublic key• Krypterer innholdet• Deles med alle
Private key• Dekrypterer innholdet• Må holdes hemmelig!
WebsurfingYour IP address: 95.34.243.172
Hostname:172.243.34.95.customer.cdi.no
Country: NO - NorwayCountry Flag:State/Region: AkershusCity: Bærums VerkLatitude: 59.95Longitude: 10.5
• IP-adressen forteller mye om deg
• Anonymiser trafikken– VPN– TOR– Selv HOLA kan
funke
TOR
SecureDrop
Social engineering• Hei! Det er Anders fra IT-avdelingen..• Vi mistenker at noen har kommet inn
på brukerkontoen din…• Kan du logge på og sjekke at du
fortsatt kommer inn?
Epost avsender
Avslørt av pressens enkilde-journalistikk?
Watermark
http://hannemyr.com/no/digimarc.php
Publisering?• Unik?
– Bilde– Dokumentet– Fil
79
80
Digital kildepleie• IT-sikkerhet• Avledningsmanøvre• Avvikende mønstre• Falske spor• Flerkanalskommunikasjon
Naiv / Paranoid• Bruk internett• Legg igjen (mange)
digitale spor• Ikke legg alle
opplysningene i en kurv
Bruk sunn fornuft• Common sense is not so common
– Voltaire, 1765
Takk for [email protected]
Fristed?Bør vi overvåke ekstreme miljøer på internett?
PST-instruksen §15• Personopplysninger som ikke kan behandles• “Opplysninger om en person kan ikke behandles
kun på bakgrunn av hva som er kjent om personens etnisitet eller nasjonale bakgrunn, politisk, religiøs eller filosofisk overbevisning, fagforeningstilhørighet eller opplysninger om helsemessige eller seksuelle forhold.”
Nettovervåkning?• Skal vi lage unntak i §15?• “Opplysninger om en person kan ikke behandles kun på
bakgrunn av hva som er kjent om personens etnisitet eller nasjonale bakgrunn, politisk (bortsett fra høyreekstreme), religiøs (gjelder ikke muslimer) eller filosofisk overbevisning, fagforeningstilhørighet eller opplysninger om helsemessige eller seksuelle (homofile) forhold.”