stigFromOslo.com

Foto: Mzelle Biscotte @ Flickr

A journalist friend of mine approached me with a question about whether it is smart or not to use encryption to secure email conversations with an anonymous source. In the article Story-Based Inquiry: A manual for investigative journalists by Mark Lee Hunter that he had read, the author claims that “secure email contact requires encryption, a method that stands out and can bring unwanted attention.” The author also points out that both the journalist and the source should “use mobile phones with prepaid cards”, and that the journalist should “lock up all material related to the source, ideally in a place that is not identified with yourself.”

While Mr. Hunter is right that encryption is the only way to truly secure email, his point about encrypted email standing out is only partly valid. If while looking through someones files, emails or computer in general, all an investigator can find is a single or maybe to-three encrypted emails or files among hundreds or thousands, then sure. That email or file is going to stand out like Rudolf’s big, red nose showing up at Easter. But if someone, like the journalist in this case, makes a habit of encrypting all his files and most of his email, then there will be a lot less suspicious about that one email to the anonymous source.

Another important point to remember though, is that the ‘to’ and ‘from’ addresses in emails cannot be encrypted. If they were, the email servers wouldn’t know where to send them or who the reply is going to. To cope with this, I would suggest opening anonymous accounts for both the journalist and the source so that the fact that the two people are communicating isn’t obvious. Then I would use encryption to secure the content of the emails. There are webmail services that offer both anonymity and encryption, but the encryption part can also be done offline by writing the content in a separate document/file, encrypt the file with your favorite crypto software, and just paste the ciphertext (the encrypted document/text) into the body of an email. This utilization of anonymous email accounts is equivalent to Hunter’s suggestion on using prepaid mobile phones.

There are several other issues to be aware of, though. For example, logging into a webmail service (or any mail service or other type of resource that requires authentication) can leave tracks on your computer which a skilled examiner can extract, forensically if so required. Necessary care should be taken whenever accessing an email account or any other resource that you don’t want to have associated to your name. (I’ll leave this for a later post.)

While I am on the subject, I would like to point out that if the journalist can find some way to solve the association issue, encryption can be employed to “lock up” any notes, documents, files, digital recordings or photos the journalist may receive from or create while dealing with the source. The same point about the single encrypted file standing out is valid for this material as well, but again – it’s hard to tell equals apart.

Issues like key how to exchange crypto keys/passwords and what encryption tool to choose are topics for later discussions. For now, if you have any questions or comments, feel free to post them right here at stigFromOslo.com.

Til de fleste risikofylte aktiviteter – fra bilkjøring til dykking – kreves både kurs, opplæring og sertifikat før man får lov til å drive på uten kompetent tilsyn. I Norge har det til og med vært snakk om førerkort for hundeeiere, både fordi hunder kan være farlige og fordi de kan lide hvis de ikke blir tatt vare på på en god og riktig måte. De siste årenes rivende teknologiske utvikling har også vist at PCer og Internet kan være farlige greier, som hvis de brukes på feil måte kan skade både brukeren selv og andre. Likevel er det ikke knyttet andre krav til ivaretakelsen av sikkerheten i cyberspace enn de kravene den enkelte PCeier og bedrift stiller selv. Dette gjør cyberspace til et farlig og ukontrollert sted å være. Men hva hvis det ble stilt formelle krav til sikkerhet for PCer som kobler seg til Internet? Er det mulig å forestille seg en ordning der alle pcer som skal knytte seg til den store verdensveven må bevise at de er sikre?

Å sikre en PC er i stor grad synonymt med å oppdatere den med de siste sikkerhetsoppdateringene til operativsystemet og programmene, installere og kjøre en programpakke som hindrer, finner og fjerner ondsinnet kode, samt å sperre for uautorisert nettverkstrafikk til og fra maskinen. Mange av dagens PC-brukere har i det minste hørt om ett eller flere av disse tiltakene og har en viss ide om hva de innebærer. Men dessverre er det alt for få som følger opp tiltakene ofte nok – enten fordi de ikke vet hvordan, eller fordi de ikke har tid eller ork til å laste ned de siste oppdateringene eller fullføre hele virussøket. Denne uvitenheten og giddaløsheten spiller en stor rolle når hele Internet skal sikres.

En ordning der alle PCer som knytter seg til Internet må verifiseres som “sikre” før forbindelsen til resten av verden åpnes, kan både hindre at sårbare maskiner utsettes for fare, og at infiserte maskiner sprer ondsinnet kode videre til andre – bevisst eller ubevist. Ordningen vil også medføre en høyere bevissthet og generell kompetanse om farer og sikkerhet i cyberspace, og at alle PCeiere blir nødt til å holde orden i egen maskin.

Spørsmålet er ikke om dette lar seg gjøre rent teknisk. Teknologien som trengs for å få på plass en slik ordning eksisterer allerede i dag. Spørsmålet er om det er riktig måte å løse problemet på? Er vi komfortable med at loven strekker seg enda lenger inn i vår mer eller mindre private cyber-sfære? Hvem skal kontrollere og utøve denne myndigheten? Og hvordan kan vi være sikre på at det vil fungere?

Bare gjennom politisk debatt kan vi håpe på å få svar på spørsmålene om det er slik vi vil ha det og hvem som eventuelt skal håndheve ordningen. Og siden årets valgkamp har vist at enkelte politiske partier vegrer seg for å i det hele tatt ta stilling til om datalagringsdirektivet er en god ide eller ikke, har jeg mine tvil til at dette tema kommer på den politiske agendaen med det første. Det er tross alt lite sexy å snakke om informasjonssikkerhet og ikke akkurat noe sjakktrekk å snakke om mer kontroll og styring av frihetens siste globale skanse. Men kanskje det kan være rom for en slik debatt på skansen selv?

Og hvor vidt det vil fungere kan vi egentlig bare finne ut av ved å prøve ut løsningen. Diskusjoner og teoretiske akademiske øvelser kan si mye om hvordan løsningen må fungere, men kun gjennom erfaring kan vi se om en dørvakt i cyberspace faktisk vil fungere eller om vi også her vi se en oppblomstring av falsk legitimasjon og “trynefaktor”.

IT-avisen CNet siterer i dag (29.juli) en rapport fra sikkerhetsselskapet PandaLabs som sier at det ved andre kvartal i år er funnet 374,000 falske anti-virusprogrammer installert på folks PCer rundt om i verden. I samme sak siteres en Finjan rapport som avdekker at firmaer som sender ut slike falske sikkerhetsprogrammer kan tjene så mye som $10.000 (NOK 62.000) hver dag. Dette kan bare bety at flere og flere faktisk lar seg skremme av disse falske virus-testene til å betale for å laste ned og installere et program som faktisk ikke er annet en ondsinnet kode. Det er jo som om jeg skulle slått av husalarmen, betalt en ungdomsgjeng for å bryte seg inn i huset mitt, rundstjele og vandalisere det, for så å la bakdøra stå åpen i tilfelle de fikk lyst til å komme tilbake.

De aller fleste PCer som selges til privatpersoner i dag leveres med en eller annen sikkerhetspakke. Det være seg Norton Internet security, ESET NOD32 Anti-Virus, Trend Micro eller hvilket som helst av de andre mer eller mindre anerkjente merkevarene på markedet. Og mange av dagens PC-brukere begynner etter hvert å skjønne at det er lurt å ha en sikkerhetspakke til PCen sin. Litt anti-virus, en brannmur og kanskje litt anti-spam og anti-spyware er alltid kjekt å ha på en regnværsdag. Men når denne pakka så er på plass, og det likevel dukker opp en stor rød skjerm med “Advarsel! Du er infisert med et stort, stygt virus som bare ImRobbingYou AntiVirus Software kan fjerne. Klikk her for å betale med kredittkort og laste ned.”, og folk lar seg lure, er det grunn til rynke på nesa.

Et spørsmål kan jo selvsagt være hvorfor dukker slike ting opp selv når sikkerhetspakken er installert? Burde ikke Symantec og alle de andre klare å fange og stanse slike lurendreierier før de når frem til den intetanende brukers netthinne? Jo, kanskje burde de det. Men det er nå en gang slik at det grovt sett bare er en måte å identifisere ondsinnet kode som virus og spam på: Ved å kjenne det igjen når du ser det. Og det er ikke så lett som det kanskje høres ut som.

Jeg har ikke tenkt å forsøke å forklare hvordan og hvorfor det er så vanskelig. For selv om mye kunne vært unngått hvis sikkerhetsprogramvaren hadde oppdaget alle disse falske advarslene og den ondsinnede koden de bringer med seg på, så hviler det et også aldri så lite ansvar på brukeren selv når slike ting dukker opp på skjermen. Jeg vil heller stille spørsmålet: Stoler du ikke på anti-virus programmet ditt?

De aller fleste virus, trojanere, ormer og andre ondsinnede programmer blir i dag fanget opp av de aller fleste sikkerhetspakkene. Og når det dukker opp nye trusler tar det sjeldent lang tid før sikkerhetsfirmaene  svinger seg og publiserer oppdateringer som utruster sikkerhetspakkene med nye våpen i kampen mot cybertruslene. Så hvorfor ikke bare lene seg tilbake, ignorere hysteriet, og heller bruke pengene på en god kopp kaffe?

Liberalen startet i forrige uke en bloggstafett for personvern, mot datalagringsdirektivet. Siden det ble vedtatt i EU i mars 2006 har datalagringsdirektivet, eller ”Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks” som det egentlig heter, skapt mye debatt og sterke reaksjoner fra så politisk hold som faglige eksperter. Det norske Datatilsynet skriver på sin nettside at “Datatilsynene i Europa uttrykker stor bekymring for datalagringsdirektivet.” Videre sier de at “Direktivet innebærer en plikt til å lagre trafikkdata fra telekommunikasjon for samtlige nordmenn. Det omfatter blant annet bruk av fasttelefon, mobiltelefon, internett og e-post.”

Og Datatilsynet har nok helt rett. Direktivet pålegger denne plikten til å lagre en stor menge informasjon om hvordan innbyggere i Europa kommuniserer, hva de kommuniserer om og hvordan. Men det Datatilsynet og mange andre enten bare nevner med liten skrift eller utelater helt er hva direktivet slår fast i første artikkel, nemlig “å sikre at det er adgang til disse dataene i forbindelse med etterforskning, avsløring og rettsforfølgelse av grov kriminalitet som definert av de enkelte medlemsstater i deres nationale lovgivning.”

Med andre ord, informasjonen skal lagres for å sikre at den er tilgjengelig dersom det avdekkes eller skal etterforskes grov kriminalitet. Informasjonen skal ikke brukes til overvåkning, den skal ikke brukes til å spore mobiltelefoner og andre trådløse enheter, og den skal ikke en gang brukes til å etterforske enkle lovbrudd og forseelser. Det som kanskje gjøre det litt skummelt er at informasjon KAN brukes til alt dette – og mer til. Og når informasjonen først er lagret, hvorfor skal den ikke kunne brukes til det?

Vel, det er en lang diskusjon som har fått mer enn nok oppmerksomhet. Det som derimot er interessant å diskutere ut ifra et juridisk standpunkt er om det er anledning etter gjeldene norsk lov å lagre slike personopplysninger med det formål at informasjonen kanskje kan bli interessant i en mulig fremtidig etterforskning. Spørsmålet om ikke det er det samme som å si at EU eller staten Norge mistenker alle som ringer, surfer på Internet eller generelt bare har med seg en mobiltelefon når de er ute og går, for å være grove lovbrytere. Undertegnede er ingen juridisk ekspert, men mistenker at det kanskje må mer enn en lovendring til for at den begrunnelsen skal passere under jussens alt-seenede øye.

Et annet forhold som fortjener å bli brakt litt mer inn i lyset er hvordan dette praktisk kan løses slik at kun de rette instansene får tilgang til informasjonen når det faktisk er hjemmel for det. Det er nemlig slik at dagens teknologi gjør det mulig å lagre all denne informasjonen på en slik måte at den er utilgjengelig helt til det oppstår et legitimt behov for å låse den opp. Teknologien heter kryptografi og er i daglig bruk verden over. For de som ikke er kjent med hva kryptografi er kan det kort forklares med at dataene kodes på en slik måte at bare den eller de som vet hvordan – har den rette nøkkelen – kan dekode de. Og hvis en slik teknologi anvendes sammen med et sett veldefinerte prosedyrer og voktes over av noen som har den nødvendige kompetansen og myndigheten, kan det sikres at informasjonen kun er tilgjengelig for de som skal ha den, når de skal ha den.

For eksempel kan den nasjonale sikkerhetsmyndigheten ha ansvaret for at systemene som skal lagre all informasjonen gjør dette på rett vis og at kryptoen fungere slik den skal, slik at det ikke er mulig for uvedkommende å tilegne seg informasjonen før den krypteres. Domstolene kan ha myndighet til å si når informasjon skal frigis og til hvem, og Datatilsynet kan tillegges en kontrollerende rolle for å tilse at alt går rett for seg.

Det er med andre ord ikke mangel på muligheter for å løse de utfordringene datalagringsdirektivet stiller til EUs medlemsland og samarbeidspartnere. Det vi i norge trenger er en juridisk og politisk debatt om det rom for og ønskelig med denne typen “forhåndsinnhenting” av bevis. Og kanskje har denne debatten en del til felles med for eksempel debatten rundt DNA-registeret?

Computer Weekly and several other online news sites writes about how British tabloids “hacked” Prins Charles’ mobile phone voice mail service and gained access to his personal messages. The service they used is called SpoofCard and is a US-based phone service that allows anyone to make calls appear to originate from any 10-digit number. The same service also enables the caller to change his/her voice in real time and to record and download a conversation. Ladies and gentlemen – social engineering just got a lot easier!

According to the SpoofCard FAQ the service is complete legal, both “in the US and throughout the world.” They even claim to have been sought out by law-enforcement agencies looking to obtain their services.

Admittedly there might be some completely valid and useful applications for this service, even for the public. And since I am a big fan of privacy and the ability to go through life as anonymous as I’d please, I welcome any service that makes this easier. However, this service could very easily be used to cause harm and unpleasantness to others and I would urge people to use it with caution. As in the case of the stolen voice messages – some acts are illegal even if the tools and means by which they were accomplished are not.

I therefor urge people not to use this and other services like this for illegal purposes. It will just add to the suspicion of people wanting their privacy and ultimately damage the fight for everyones right to privacy.

And to all you people trusting the caller ID display to tell you who is calling – don’t. It just might be SpoofCard calling!

In the article “- Urovekkende passordbruk” in the Norwegian newspaper Aftenposten.no, journalist Christine Jensen reports on a survey performed by Visendi showing that only 9.4 % changes their password on a monthly basis. The survey was requested by Microsoft Norway, and in a comment on the results, Chief Security Officer Ole Tom Seierstad says that password protection is especially important during the summer when people tend to bring their laptops on vacation. According to Mr. Seierstad, the threat of computer crime is greatly increased during this period and password protection is “one of the easiest and most efficient ways of protecting your data.”

While the Microsoft CSO might be right about passwords being easy to use, the security provided by the Windows authentication system is minimal at best in regards to information and computer security. Password protecting your Windows computer does nothing to protect the data stored on that computer. It only provides a “locked door” through which a user must pass in order to gain access to that particular operating system. The data is still stored on the hard drive and can easily be accessed, provided you have physical access to the computer, by booting (restarting the computer) into a different operating system (e.g. one stored on a CD, a floppy disk or a USB memory stick), or by moving the hard drive to a different computer.

While the latter might require a bit of time and technical knowledge, rebooting a computer into a different operating system is fairly fast, easy and well documented and described online (e.g. Helix, Ophcrack LiveCD or Backtracker). Mr. Ove Skåra, Chief Information Officer of the Norwegian Data Inspectorate puts it this way: “A password doesn’t help much if the computer is stolen and reaches a person with just above average knowledge of computer technology.” Or, as I would say – a bit of imagination and access to the Internet.

Not only does the Windows authentication system provide minimal data security, the way your password is stored (by default) on the Windows XP operating system is highly insecure. This makes it simple to crack these passwords and gain full control over the exposed computer, even remotely. Ophcrack is just one of many Windows password crackers freely available online that cracks Windows passwords stored in this default way in mere minutes. (Not convinced? Download the program and the required rainbow tables and try it out on your own computer. Note: Cracking other peoples passwords without their consent is illegal! Don’t do it.)

The best way to secure your data from unauthorized access is to securely encrypt the data. Encryption is a process in which the original text – called the plain text – is transformed into cipher text, which is impossible to understand. The data is stored in it’s cipher text form and only made readable again – decrypted – when an authorized user (i.e. you, the owner, or someone you authorize) requests it and provides the right password/key and encryption/decryption algorithm.

While encryption might also be password based and thus dependent on the strength of the password, an encrypted text is not stored on the hard drive as plain text and is therefor harder or impossible to get to for someone who doesn’t know the password.

Should a computer, on which all data is securely encrypted, be stolen you can still sleep well at night knowing full well that it will probably take the perpetrator all the time in the universe – and then some – to crack your code and gain access to your data.

While some encryption technology is available with the Windows operating systems, I would recommend the use of PGP, GnuPG, TrueCrypt or similar third-party software to encrypt your data. These programs are easy to use, well documented and tested, and provides a high level of security.

If you want to increase the security on your Windows computer, start by preventing the operating system from storing your passwords in the default format. Here is how.