Gæsteindlæg: Krypter dig og dine venner, pas på hinanden. God stil.

En guide til at tale krypteret på Facebook ved Jakob Wolffhechel, sikkerhedekspert.

START
Download, installer og konfigurer pidgin, pidgin-otr og purple-facebook.

Pidgin er chat-klienten, den kan hentes her:

* https://www.pidgin.im/download/

Download og installer den. Lad være med at starte den op endnu.

Pidgin-OTR er krypteringslaget, det kan hentes her:

* https://otr.cypherpunks.ca/index.php#downloads

Download og installer pidgin-OTR. Lad være med at starte Pidgin endnu.

Purple-Facebook er protokollen, du kan læse mere her:

* https://github.com/jgeboski/purple-facebook/wiki

Instruktioner til Debian/Ubuntu:

* https://jgeboski.github.io/#package-repositories

Instruktioner til Windows:

* https://github.com/jgeboski/purple-facebook/wiki/Installing-on-Windows

Instruktioner til OSX:

* https://gist.github.com/cyphunk/5048773

Nu har du installeret en chatklient med et krypteringsplugin og en ekstra protokol som kan tale FB. Du kan også bruge Pidgin og OTR til andre protokoller.

Du er ikke begrænset til Facebook; Google Talk, irc og XMPP er nogle af de andre meget benyttede protokoller. Nu skal du installere den ting, der gør, at man kan logge ind i Facebook-chatdelen med Pidgin.

Konfiguration af Pidgin, OTR, Purple-FB

Start Pidgin op.

Hvis det er første gang du bruger din Pidgin, så viser den dig et vindue, hvor du kan tilføje konti. Tryk på Add/tilføj

Du får nu et vindue op, hvori du skal vælge protokol og skrive dine konto-ting ind (brugernavn/adgangskode f.eks). Der er tre faneblade øverst, sørg for at være på det første faneblad

Du skal først vælge protokol. Det er vigtigt du vælger Facebook og ikke Facebook (XMPP). Facebook er den nye protokol vi har kopieret ind i Pidgin.

Username er dit brugernavn hos Facebook. Det finder du ved at logge ind på Facebook, gå ind i opsætning/setup og så kan du se dit brugernavn/username.

Kodeord er det samme som du bruger til at logge ind på Facebook gennem browser, app osv.

Du bliver derefter forbundet til Facebooks chatnetværk, og du vil kunne se dine online venner. Skynd dig at få dem til at installere kryptering, så I kan tale sammen privat.

Det er god stil!

GÆSTEINDLÆG: #Sessionslogning stinker!

Gæsteindlæg ved Filip Wallberg, Journalistisk lektor hos Syddansk Universitet. Ekspert i digitale og sociale medier. Tidligere ansat hos Jysk Fynske Medier, Ekstra Bladet og TV/MIDT-VEST. Oprindeligt fra: http://blog.flopper.dk/post/138655684949/sessionslogning-stinker

Venstre-regeringen har lagt op til, at sessionslogning genindføres. Og jeg kan godt forstå, hvorfor justitsminister Søren Pind og politiet ønsker logningen genindført. For med logningen af vores bevægelser på internettet, kan politiet få adgang til data, der potentielt kan være særdeles værdifuld i efterforskningen af kriminalitet.


Helt konkret ønsker Venstre-regeringen, at udbyderne gemmer data om de kald, som vi foretager på internettet. Omsat til ord alle kan forstå. Hvis du besøger ekstrabladet.dk, skal udbyderen af din internetforbindelse gemme en stump tekst, der dokumentere, at du har besøgt ekstrabladet.dk. Det er dog ikke kun hjemmesider, der bliver hentet via kald over internettet. Når du for eksempel tjekker verdens gang i appen DR Nyheder på din telefon, så bliver historierne også hentet via kald over internettet.

Med andre ord. Hvis sessionslogningen bliver genindført vil danskernes digitale liv blive systematisk overvåget. Data om både skyldige og uskyldige vil blive gemt hos udbyderne, og politiet vil på bagkant kunne få adgang til materialet med en dommerkendelse.

Selvom jeg forstår intentionen fra Søren Pind og politiet, så er jeg radikal uenig. For der så omfattende problemer forbundet med forslaget, at jeg nærmest får hovedpine af at tænke på det. Jeg serverer fire konkrete problemer her, der dokumenterer, at forslaget er hullet som en si.

1. Kryptering: Mange tjenester, som iMessage, Skype, Facebook, Instagram og Twitter, krypterer forbindelsen mellem tjenesten og brugeren. Det vil sige, at politiet med logningen kan se, at du for eksempel bruger Instagram, men politiet vil ikke kunne se, hvad du henter fra Instagram. Det vil sige, at det er meget begrænset, hvad politiet kan udlede af logningen, hvis forbindelsen er krypteret.

2. VPN: Hvis man ønsker at omgå sessionslogningen, kan man oprette en sikker forbindelse til en computer i udlandet og bruge den til at sende og modtage al data. På den måde kan man let omgå sessionslogningen, da logningen kun registrerer, at man har en aktiv forbindelse til en computer i udlandet. Det egentlige indhold vil være sendt gennem og skjult i VPN-forbindelsen, der er en krypteret tunnel.

3. Tor: Præcis som med VPN vil man kunne sløre digital aktivitet via browseren Tor. Hele ideen med Tor er, at internettrafikken bliver forplumret, så man ikke kan se, hvor den kommer fra. Trafikken sendes til forskellige knudepunkter, og sessionslogningen vil kun dokumentere forbindelsen til knudepunktet. Så politiet kan i udgangspunktet ikke se de kald, som du har sendt over internettet. Tor og VPN kan gå hånd i hånd, og supplerer hinanden ganske glimrende.

4. Henføring: Sessionslogning dokumenterer kun identiteten på netværket, der henter indhold via internettet. Så hvis du går på internettet via mit wifi, så ved politiet med sessionslogningen ikke, at det er dig, der er på. Politiet kan kun henføre kaldet til mit netværk. Derfor kan man ikke direkte koble digital aktivitet til en bestemt person. Og dermed er der nærmere tale om indicier end beviser med sessionslogningen.

Med andre ord: Danskernes digitale liv skal registreres, mens de kriminelle reelt kan operere frit, så længe de tænker sig om.

Dertil kommer, at vi ikke skal negligere vores ret til et privatliv. En ret vi skal holde fast i. Især fordi de politiske vinde kan blæse os hen, hvor mange af os ikke ønsker det. Vi stoler nok på vores politikere i dag, men det er ikke sikkert, at det er tilfældet om bare få år. Og når overvågningen først er her, så er den alt for nem at udvide.
Og derfor bør forslaget sendes hen, hvor pebret gror.

FLERE LINKS OM SESSIONSLOGNING:
Bitbureuets site: https://zombies.dk/
Artikel – Ekstra Bladet: Slut med privatliv http://ekstrabladet.dk/kup/elektronik/teknologi/slut-med-privatliv-paa-nettet-saadan-vil-staten-overvaage-dig/5929820
Website Sessionslogning: https://sessionslogning.dk/hvad-kan-politiet-bruge-sessionslogning-til
Sådan ser det ud: Aktivist deler data – http://www.information.dk/559975

Den store sikkerheds- og privatlivs-radioguide 2014/15

Henrik Kramshøj lever af sikkerhed som Whitehat-hacker med eget firma, Gry Hasselbalch er aktiv indenfor Privacy og har tidligere arbejdet for medierådet for børn og unge, og Alexander Mills er gymnasielev med et særligt interesseret blik på sikkerhed i cyberspace.
fra venstre: Alexanders Mills, Gry Hasselbalch, producer Ninette Birch og  Henrik Kramshøj. Nederst i billedet ses værtens computer.
I november inviterede Aflyttets Anders Kjærulff dem til at tale om sikkerhed og privatliv i to programmer med udgangspunkt en række spørgsmål sendt fra lytterne til lyt@aflyttet.dk.
Resultatet blev sendt den 28 december 2014 og den 4de januar 2015 kl. 1315 – og ligger nu til download her:
Program 1: http://arkiv.radio24syv.dk/9826383/10765436/d1e666060a24177c358bb8904a2ad187/audio/aflyttet-uge-52-2014-1-audio.mp3
PRogram 2: http://arkiv.radio24syv.dk/9826383/10775288/e4e5b1b5954ebfb26609e5856310b12e/audio/aflyttet-uge-1-2015-audio.mp3

I programmerne nævnes en række links. Vi har samlet dem her i(stort set) den rækkefølge de optræder i udsendelserne.

NB: Denne Guide er i bevægelse, på ingen måde perfekt eller færdig. Tænk dig om selv, det er altid det bedste – vi modtager også gerne gode tip – se på kontakt-siden hvordan.

PROGRAM 1:
(Shownotes ved Zissel K_M.)

Hvis man vil være mere sikker på nettet er et godt sted at starte at skifte til en anden søgemaskine end google, og panelet forslog i programmet, at det kunne være;
https://www.startpage.com/, https://duckduckgo.com/ eller
https://www.qwant.com/.

Man kan lære meget hos Electronic Frontier Foundations Surveillance self-defense guide:
https://ssd.eff.org/en
Og lærerstandens brandforsikrings guide til beskyttelse af online privatliv er heller ikke ringe: http://license2share.dk/

MAIL:
Med de klassiske mailsystemer som outlook og gmail, kan man betragte sine emails som åbne postkort, internetudbyderen kan eksempelvis læse med på alle de mails, der løber igennem deres netværk.
Men ved at kryptere sin mail, forhindre man andre i at læse med undervejs. Vores Eksperter foreslog tjenesten: https://www.neomailbox.com/, som både er nem at brug og har deres server placeret i Schweitz. Det skal dog siges at Neomailbox koster cirka 250 kroner om året.
Hvis du vil kryptere din mail, anbefaler vi openPGP, der blandt andet kan downloades her: http://www.openpgp.org/ – det er ikke ukompliceret, men klart indsatsen værd! Og husk, krypter ikke kun for din egen skyld – men også for andres…

Hvis du bruger Mac er der et meget nemt plugin til mailprogrammet – det kan hentes her: https://gpgtools.org/

CHAT:
Det kan være en fordel at bruge krypterede chat programmer.
Hvis man vil bruge programmet Tox https://tox.im behøver man ikke engang at installere et program, man skal blot downlaode en zip-fil og udveksle nøgler med dem man vil kommunikere med. Du kan læse mere om Tox her: https://wiki.tox.im/Clients
Panelet forslog desuden chatprogrammet Cryptocat, https://crypto.cat. Hvis man vil kryptere det, man sender ud på facebook eller twitter kan man bruge programmet ADIUM https://adium.im/.
Hvis du vil vide mere om sikrer chatprogrammer har Electronic Frontier Foundation(EFF) lavet en oversigt over forskelige chatprogrammers kvalitet https://www.eff.org/secure-messaging-scorecard

Kryptering:
Glenn Greenwald sagde tidligere på året:
“…Every single time somebody has said to me, ‘I don’t really worry about invasions of privacy because I don’t have anything to hide.’ I always say the same thing to them. I get out a pen, I write down my email address. I say, ‘Here’s my email address. What I want you to do when you get home is email me the passwords to all of your email accounts, not just the nice, respectable work one in your name, but all of them, because I want to be able to just troll through what it is you’re doing online, read what I want to read and publish whatever I find interesting. After all, if you’re not a bad person, if you’re doing nothing wrong, you should have nothing to hide.’ Not a single person has taken me up on that offer.”
Det er netop dette man beskytter sig i mod, når man har en krypteret harddisk.
Når man krypterer sin harddisk vil det sige, at computeren gemmer al data i en kuvert, der skal åbnes med en meget lang kode, som er nøglen til nøglen til harddisken. For at åbne for denne nøgle, bruger man sin normale kode, som man kan vælge at ændre løbende, ligesom man kan ændre andre passwords på sin computer. Det betyder at man kan have en kode på tyve tegn, mens der nedenunder er en meget stærk nøgle, der skal åbnes før harddisken bliver tilgængelig. Krypteringer kan være enormt stærke, det kan ses i forbindelse med CSC-hackersagen, hvor politiet uden held i et år forsøgte at åbne en krypteret container.
Udover at beskytte sine data, så vælger nogen også ‘solidaritets-kryptere’.
For dem kan det være en måde at signalere, at man i et demokratisk samfund har behov for retten til privatliv og en måde at sikre en virtuel forsamlingsfrihed.
Et nemt sted at starte er ved at installere et plug-in, der sørger for at hvis en hjemmeside har https, så bliver det brugt. Det kan eksempelvis være ”https everywhere”, som sørger for at hver gang der er mulighed for at der kan bruges en krypsion, så bliver den brugt, det betyder at du hele tiden er på en sikker forbindelse. https everywhere, kan downloades til din browser her: https://www.eff.org/https-everywhere

TOR:
Tor beskytter din placering, din ip-adresse og hvem du sender informationer frem og tilbage til.
For at installere Tor, går man på https://www.torproject.org og her henter man en pakke, der hedder tor-browseren. Når Tor er blevet downloadet og installeret kan man åbne den ligesom en normal browser (safari, firefox eller googlecrome). Tor adskiller sig ved at være en specielt tilpasset browser, som ikke afsløre ret meget om hvem du er. Det vil sige at alle, der downloader Tor-browseren, vil se ens ud for dem der sidder på den anden ende. Browseren er nem at starte op, men man skal være opmærksom på at den fungere med en vis hastigheds nedsættelse. Med andre ord bruger man den sjældendt til at se youtube-videoer på, men til gengæld vil det være naturligt at bruge den, hvis man er i et land hvor det ikke er så populært at tweete om premierministeren, staten eller regeringen.

Facebook indgik i 2014 et samarbejde med Tor-netværket. Det kan betyde at hvis man sidder i et krisecenter for voldsramte at man stadig kan have kontakt med sin familie og venner, uden at man afsløre hvor man befinder sig.
Tor fungerer ved at den trafik, som man vil sende bliver pakket ind. Man kan forestille sig at man tager forskelige kuverter som kommer man ind i hinanden. Det betyder at når du skal sende noget til en modtager, så sender du først kuverten til en tilfældig, der sender den videre til en anden, der sender det vider til en tredje, der sender det vider til en fjerde og til sidst ende det hos en, der sender den videre til den endelige modtageren. Men der står ikke hvem den kommer fra, på den måde så skjuler man hvor trafikken kommer fra og hvor den skal hen.
Det gør det væsentligt svære at pin-pointe hvor folk er og det gør det meget svære at lytte med i hvad folk sender frem og tilbage. Det virker via exit-notes. Exitnote er hvor de krypterede kuverter pakket ud af det tor-netværket. Vedkommende, der administrer en tor-exit-note kan lytte med på trafikken som løber igennem hans eller hendes exit-note. Derfor kan man med fordel stadigvæk bruge krypteret https, når man benytter Tor.

Krypto-party:
Et kryptoparty er et antal personer der mødes og taler om sikkerhed og udveksler programtips. Når man holder et krypto-party kan man også generere nøgler og finde nogen andre og sende krypterede mail med. I Danmark annonceres et pryptoparty som regel via twitter.
Hvis man selv vil arrangere et krypto-party er det bare at springe ud i det, man kan med fordel få hjælp fra denne håndbog https://www.cryptoparty.in/documentation/handbook

PGP-kryptering:
Det er blevet en standart for mange år siden, det hedder oprindeligt ”pretty good privacy” men ”gnu privacy guard” er mere udbrudt og er kompatibelt med PGP. GNU privacy guard er ikke svær at installere, hvis man fx vil bruge den til krypteret mail.
Man kan downloade et ekstra modul til sit postprogram, som giver mulighed for at man kan sætter et lille hak hvis man vil kryptere mailen, eller et lille hak hvis man vil skrive under på mailen. Og så kan det verificeres af modtageren når vedkommende modtager mailen, det kræver dog at man er bekendt med hinandens nøgler.
Du kan læse mere om virtuelsikkerhed og PGP-kryptering her: https://www.cpj.org/reports/2012/04/information-security.php

Program 2:

Sikkerhed på mobilen
Telefoner kan både blive hacket og stjålet, det er derfor en god idé ikke at have nogen oplysninger på sin telefon af særlig følsom karakter. Men det har vi jo.
Panelet forslår generelt at man er passende paranoid omkring hvad der ligger på den. Det en god idé ikke at have en masse free-apps, men i stedet nogen få gode, der kommer fra firmaer eller app-udviklere som man kan stole på. Appen disconnect me, hjælper med at beskytte dit privatliv gennem telefonen du kan læse mere om den her: https://disconnect.me .
Hvis man har lyst til at skjule hvor man befinder sig, kan man købe appen ”free dome” fra det finske firma F-secure. Programmet giver brugeren en perment virtuel placering, man kan vælge byer som Hong Kong, London og Amsterdam. Programmet beskytter desuden mod vira og forskelige typer angreb. Det eneste bøvl, der er med appen er at netværkerne kan blive mistænkelig, fordi man befinder mig et andet sted end man egentligt er. Du kan købe og læse mere om free dome her: http://www.f-secure.com/en/web/home_global/freedome.
De fleste apps i dag beder om adgang til mere end de har brug for, selv en simpel app som en lommelygte kan finde på at bed om adgang til alt, kontakter, mikrofon og kamara etc. Forskere har fundet ud af at, hvis de adgang til mikrofonen på en smartphone, som ligger på samme bord som en computer. Kan man ved lyden fra tastaturet eller ved lyden af CPUen, høre hvad der bliver tastet blandt andet passwords. På iPhone kan man i system indstillingerne under privatliv, indstille telefonen til at den aldrig må give apps adgang til mikrofonen. Panelet anbefaler desuden at man bruger appen clueful, der undersøger om de apps man har installeret sætter ens privatliv i fare, og hvor meget de forskelige apps ved om en. Du kan hente og læse mere om appen her: https://play.google.com/store/apps/details?id=com.bitdefender.clueful.
Hvis man er træt af Facebook Messenger appen, kan man hente appen ”Tinfoil for Facebook” https://play.google.com/store/apps/details?id=com.danvelazco.fbwrapper. Den kan stort set det samme som en almindelig facebook app, bortset fra at den lover ikke sender nogen data ud fra systemet, når den først er kommet ind. Desværre findes den kun til android.
Her kan du læse mere om appen: http://www.cnet.com/how-to/use-tinfoil-for-facebook-to-protect-your-privacy-on-android/

Læs mere om din mobil sikkerhed her: https://tacticaltech.org/security-box

Og her: https://guardianproject.info

AFLYTTET henviser iøvrigt til vores tidligere Pas-på-Dig-Selv guide – den ligger her