– Øk din digitale kompetanse.
Det var det viktigste og nest mest generelle tipset som sikkerhetsrådgiver og frilansjournalist Henrik Chulu ga tilhørere under helgens datagravekonferanse Dataskup.
– Du må vite hvordan en datamaskin, et nettverk og en telefon fungerer. Da kan du ta bedre sikkerhetsbeslutninger.
Chulu sa at den letteste måten for noen å få tilgang til en datamaskin er gjennom deg, brukeren. Det er derfor såkalte phising-forsøk er så utbredt. Phising er at noen sender deg noe for å prøve å lure deg til at du for eksempel skal tro du logger inn på Facebook - eller oppgi kredittkortinformasjon et sted der angriperen får tilgang til passord eller betalingsinformasjonen.
Dermed er sunn skepsis også et godt generelt tips.
Ulike nivåer for kryptering
Rådgiveren nevnte tre typer nivåer for kryptering, som øker sikkerheten i kommunikasjon mellom to eller flere parter.
Åpne kanaler er tekstmeldinger og e-post og kan lett spores. I tillitsbaserte kanaler som Gmail eller Skype er informasjonen kryptert mellom brukerne, men for eksempel kan myndigheter ved hjelp av rettskjennelser få innsyn i kommunikasjon ved å gå til leverandørselskapet.
Ende-til-ende-kanaler, som de krypterte tjenstene Signal, Whatsapp, iMessage, FaceTime eller Wire er det sikreste.
Men selv for slike tjenester problematiserte Chulu at noen med fysisk tilgang til din telefon kan hente ut informasjon fordi noen av dem lagrer den på telefonen. Det fins teknologi som kan kobles på en telefon og kjøre tusener av pinkodeforsøk for å få tilgang til enheten.
– Dette blir billigere og billigere. Du trenger ikke lenger være NSA eller et stort selskap. Det kan være fremmede personer eller selv din partner, sa Chulu.
Styrke det svakeste punkt
En annen ting Chulu gjorde tilhørerne oppmerksom på er at det i datamaskiner kan «bygges inn» uønsket programvare i kjente tjenester. For eksempel kan en pdf-fil inneholde kode som gjør spørringer du ikke oppdager.
Og mobiltelefoner omtalte han som sporingsenheter - noe du må være oppmerksom på når du møter sensitive kilder.
Hackere vil gjerne gå der det er lettest å trenge gjennom, og det å øke barrierer er derfor en vei. Kriminelle ønsker for eksempel penger, slik at dersom du klarer å gjøre det dyrt nok for dem å hacke deg, vil de gå andre steder. Stater har store nok budsjetter, men for en journalist er det kanskje tilstrekkelig å sikre seg slik at du kjøper deg nok tid.
Den tredje kategorien som Chulu kalte «drittsekker» er vanskeligere fordi det kan være ulik motivasjon bak det de ønsker å gjøre.
Må ha totrinnsverifisering
Hva er så svaret til en oppgitthet om at ingenting hjelper?
Løpende risikovurderinger, fremmet Chulu som svaret.
– Du må spørre hva du vil beskytte, hvem du vil beskytte deg mot og hva som skjer hvis du mislykkes i beskyttelsen.
Anonyme tjenester som VPN og Tor kan gi en falsk trygghet fordi de kan være lett å avanonymisere.
Chulu ga heller derfor råd om å minimere data som er tilgjengelig for hacking. Det kan være å slette data, apper og brukerkontoer etter bruk. Og å øke sikkerhetsinnstillinger på konto, for eksempel til totrinnsverifisering, og å begrense hvem som kan se vennelistene dine.
Friedrich Lindenberg fra OCCRP (Organisert kriminalitets- og korrupsjonsrapportering) ga i en annen sesjon tre hovedråd for beskyttelse:
– Sett på tofaktorautentifisering, krypter harddiskene dine og bruk passordbehandler, sa Lindenberg.
Selv om det å ha bare ett passord til et passordbehandlingsverktøy er sårbart, så mener både han og Chulu at det alternativet gjerne er bedre. Grunnen er at du da kan ha mye sterkere og ulike passord på alle andre tjenester der du bruker passord.
Når det gjelder passord så anbefalte Lindenberg å bruke svært lange regler fra dikt eller filmdialog i stedet for kompliserte passord med utropstegn, tall og små og store bokstaver.
Som eksempel på viktigheten av lengde, viste han til en tjeneste som viser at et åtte bokstaver langt passord kan hackes umiddelbart. Øker du med to bokstaver til vil det ta 59 minutter. Øker du med ytterligere fem bokstaver, vil det ta en datamaskin 1.000 år å finne passordet. En bokstav til så er det økt til 35.000 år.
Da Lindenberg måtte låse opp datamaskinen under presentasjonen, demonstrerte han selv sitt svært lange passord - første gang til latter fra tilhørerne.
Passordtjenester som ble nevnt som mulige å bruke er KeePassXC, 1Password og LastPass.
Sov nok
Andre tiltak som ble nevnt i de to sesjonene var å bruke egne enheter på reiser med høy risiko. Og det er mulig å opprette en USB-stick som du må ha for å logge deg på Gmail.
Chulu sa at sikkerhet er en prosess, og ikke er produkt. Det er aldri en perfekt, ferdig løsning, slik at du må tenke sikkerhet som en praksis, ikke en løsning.
Han viste til at hackere gjerne ønsker å dytte deg ut av psykisk balanse for å oppnå det de ønsker. Det kan for en journalist være å sende en pdf-fil med en tekst om at dette er en gigantisk lekkasje du bare må se på, eller mer generelt at du har vunnet noe og at du må trykke på noe eller oppgi noe for å få gevinsten.
Chulus aller mest generelle råd, lød derfor:
– Hvis du er stresset er det lettere å dytte deg. Vær oppmerksom på det. Bare det å sove nok øker sikkerheten.
