Under årets Data-SKUP holdt NRK Betas Henrik Lied og VGs Ola Haram en sesjon om hvordan journalister kan unngå at kildene dine blir avslørt.
– Det er ikke lenger slik at kildesamtalene våre finner sted i parkeringshus eller bortgjemte steder. Veldig mye foregår digitalt, sa Lied.
Fallgruve 1: Metadata
– Det er mange fallgruver man kan gå i når det kommer til å beskytte kildene sine, sa Lied.
En av de første og viktigste de snakket om er å glemme å tenke på metadata.
Metadata fra telefonen din kan for eksempel avsløre hvem som ringer deg, hvem du ringer og hvem du sender meldinger med og ca. hvor du var da du ringte eller sendte melding.
Om man ser på mønsteret i det, kan man avsløre hvem du snakker med, hvor du reiser, når du er hjemme og når du ikke er hjemme.
– Vanlig telefon og vanlige tekstmeldinger gjør at man kan finne ut av dette, så for å unngå dette anbefaler vi å bruke en kryptert meldingsapp, som for eksempel Signal, sa Lied.
Men obs: Har du IT-avdelinger som styrer med telefoner og annet elektronisk utstyr, kan de også se hvilke apper du har installert på telefonen din.
Sjefer på kildejakt
– Vi snakker mye om overvåkning fra Kina og Russland, men det man egentlig bør være mest redd for er kanskje sjefen. Hvis de betaler mobilregninga di, så har de også tilgang til teleloggen din, sa Lied.
Han viste til et eksempel hvor det hadde blitt lekket en internt rapport fra Kværner, hvor hvert eksemplar var merket på ulike måter. I dette tilfellet viste TV 2 fram et bilde av rapporten, og sjefene kunne avsløre kildene.
– Dette viser hvordan kildene kan få store problemer gjennom å snakke med journalister, sa Lied.
Et annet eksempel de trakk fram var i forbindelse med 22. juli, hvor bistandsadvokatene fikk hver sin versjon av et bilde av terroristen. Flere medier hadde fått lekket bildet.
De var vannmerket – og det gikk derfor an for politiet å finne ut av hvem som hadde lekket det – noe som fikk store konsekvenser for advokaten som hadde sendt til det en eller flere journalister.
– Alle blåste det ut – og ingen oppdaget at det var merket. Men det er viktig å huske på at bilder kan være vannmerke.t Selv om du tar bilde av bildet kan vannmerket likevel bli liggende igjen, sa Lied.
Å ta bilde av rapporten: Fyfy
Å direkte vise fram bilder, rapporter, dokumenter eller andre ting vi har fått tilsendt av kilder, kan få store konsekvenser.
– Det kan være store konsekvenser fordi vi i pressen trykker ting vi får tilsendt uten å sjekke om det er mulig å spore tilbake til kilden, sa Lied.
Videre er det også viktig å huske på at det er geotags på mobilbilder. Husk på at iPhones og andre smarttelefoner kan avsløre hvor bildet er tatt.
De understreka også at printere har egne koder, som et slags vannmerke, som gjør at det kan være mulig å spore et ferdig printa dokument
– Det nærmest usynlige vannmerket sier noe om hva slags printer som er brukt, og kan brukes til å spore kilden.
Lærdom: Ikke blås kildene dine ved å publisere bilder du har fått direkte på internett.
Spearphishing
Videre advarte de mot både målretta phishingangrep, som du at får en falsk e-post fra for eksempel Google – eller Posten – eller et annet selskap.
Det fungerer slik at en falsk side stjeler passordet ditt hvis du følger lenken i e-posten og legger inn passordet ditt, for så å sende deg videre til den riktige nettsiden.
De advarte også om ransomeware, hvor man ved et uhell laster ned et program som krypterer hele maskinen din – for så at du får et krav om å betale for eksempel 5000 kroner for å få den låst opp igjen.
– Ta god og grundig backup av tingene dine, og gjør det ofte. Lagre det på en ekstern disk, og ikke ha disken koblet til maskinen.
De hadde også en klar oppfordring om å laste ned ting du ikke vet hva er:
– Prøv å ikke åpne vedlegg som ser skumle ut, eller som kommer fra avsendere som ser skumle ut.
Om du må laste ned vedlegg fra ukjente avsendere, som du ikke nødvendigvis er sikker på at vil deg vel, åpne dokumentene i Google drive, som har programmer for å oppdage virus eller andre ulumskheter.
Fallgruve 3: Åpne, trådløse nettverk
Vær litt oppmerksom på hva slags usikrede trådløse nettverk du kobler deg til, var rådet fra de to NRK-journalistene.
– Er det så farlig, da, kan man kanskje tenke.
Ja, mener Lied og Haram bestemt. Det er ganske lett å sende opp falske sendere, som stjeler brukernavn og passord fra dem som er koblet på det falske nettverket.
– Tenk på det neste gang du kobler deg til det åpne nettet på for eksempel Gardermoen, sa han.
Videre anbefaler de å uansett bruke totrinnsverifisering – altså at du må bruke både et passord og en kode tilsendt mobilen din for å få tilgang til for eksempel e-posten eller iClouden din.
I tillegg anbefaler de å bruke et program som holder styr på passordene dine for deg, slik at man kan unngå å bruke det samme passordet flere ulike steder eller passord med lav sikkerhet.
I mange andre land er koblingen mellom myndigheter og teleselskaper tettere enn i Norge – og skal du ha sensitive kildemøter i for eksempel Kina, anbefaler de å bruke en god, gammeldags notatblokk, heller enn å gjøre et opptak med mobiltelefonen.
Seks tips for bedre sikkerhet:
- Husk å oppdatere programvaren din – både på pcen/macen og telefonen. Sjekk også om maskinen di er kryptert eller ikke.
- Ikke trykk på lenker:
- Skaff deg en Passordmanager og skru på totrinnsverifisering.
- Åpne filer i Google docs, hvis du er usikker på avsenderen.
- Sjekk bilder og filer for sporbare elementer før du eventuelt publiserer dem.
- Pass på sikkerheten de rundt deg – familie, kjærester etc. Hvis du jobber med ting som kan gjøre folk skikkelig sinte, kan det også gå utover nære og kjære.
Lied oppsummerte hele sesjonen med et godt råd:
– Alle kjenner minst en nerd. Er du i tvil, spør en venn med teknisk kompetanse.
