Spionen i lomma

Vi har i realiteten svært lite kontroll over den dingsen i livet som vet aller mest om oss.

Creative Commons
Tori Aarseth
Aarseth er statsviter, og fast journalist i Ny Tid.

En åpenbar implikasjon av Aftenpostens avdekking av falske basestasjoner – IMSI-fangere – i nærheten av blant annet Stortinget, er at det ikke bare er politikeres kommunikasjon som fanges opp, men også kommunikasjonen til folk flest. Avsløringene har reist diskusjon om spionasje på de folkevalgte, men sannsynligvis er aktivister og tilfeldige folk som ferdes i området, mer sårbare enn politikerne på Stortinget. Politikere som jobber med statshemmeligheter skal bruke krypterte kanaler, og det er heller ikke noen hemmelighet at de oppholder seg på arbeidsstedet sitt – Stortinget. Selv om bruken av IMSI-fangere rundt Stortinget helt klart er en provokasjon, burde statshemmelighetene være trygge så lenge sikkerhetsrutiner blir fulgt. Hva med sikkerheten til folk flest?

Lite kontroll. Eidsvolls plass foran Stortinget er en av de mest brukte plassene for demonstrasjoner og markeringer for og imot ulike politiske saker. IMSI-fangere som befinner seg i området, kan registrere hvem som dukker opp på de forskjellige demonstrasjonene – så fremt de har med seg mobiltelefonen. I tillegg kan de potensielt fange opp innholdet i telefonsamtaler, tekstmeldinger og datatrafikk fra mobiltelefonene i området. Det vi ikke vet, er hvem som står bak. PST har trukket funnene i tvil, til tross for at flere eksperter har vært veldig tydelige på at målingene Aftenposten har fått utført, sannsynligvis indikerer tilstedeværelsen av IMSI-fangere i Oslo sentrum. Det kan tyde på at de enten tilhører PST, eller at PST vil dekke over at de selv ikke har greid å avdekke de falske basestasjonene.
Ifølge en rapport utarbeidet av norske myndigheter i samarbeid med teleoperatørene, står også fremmede makter bak en del av overvåkningen – og det er liten eller ingen kontroll på hva som foregår. Det vil si at når det for eksempel er demonstrasjoner rettet mot et annet land i Oslo sentrum, er potensialet til stede for at dette landet kan finne ut hvem som møtte opp.
Hva kan du så gjøre for å beskytte deg selv mot å bli registrert som deltaker i en demonstrasjon? Eller for å beskytte kommunikasjonen din fra å bli fanget opp av falske basestasjoner? Det finnes ting man kan gjøre for å forsøke å forhindre at mobiltelefonen kobler seg til en falsk basestasjon, for eksempel å blokkere tilkobling til 2G-nettet – men dersom du vil være helt sikker på at din tilstedeværelse i en demonstrasjon eller på et gitt sted til et gitt tidspunkt ikke fanges opp via mobiltelefonen din, bør du aller helst legge igjen mobilen hjemme.
Hvis du kan leve med at eierne av de falske basestasjonene vet at du er i området, men vil beskytte innholdet i kommunikasjonen din, er mulighetene langt bedre.

Mobilsikkerhet for aktivister. Mulighetene for å kryptere kommunikasjon mellom mobiltelefoner blir stadig bedre og vanligere. Apple har i flere år hatt kryptering innebygget for meldinger mellom to iPhoner. For de som foretrekker løsninger med åpen kildekode for å forhindre at eieren av løsningen kan knekke krypteringen eller installere bakdører, er Open Whisper Systems en utvikler det er verdt å følge med på. Edward Snowden er blant ekspertene på datasikkerhet som anbefaler løsningene deres. Open Whisper Systems har nylig lansert appen Signal for iPhone, som gjør at man kan ringe og sende tekstmeldinger kryptert med andre som har appen. Signal kommuniserer sømløst med Textsecure og RedPhone for Android, respektivt for sms og krypterte telefonsamtaler.
Signal, Textsecure og RedPhone legger også til rette for utveksling av fingeravtrykk – en metode for å verifisere at du snakker med den du tror du snakker med. En vanlig måte å angripe kryptert kommunikasjon på, er ved et såkalt mann-i-midten-angrep. I stedet for at du og en venn snakker sammen direkte, sender dere kommunikasjonen mellom dere via en tredjeperson som kan se og endre på meldingene. Den kommunikasjonen du tror du har kryptert til din venn, er i realiteten kryptert til tredjepersonen i midten, som så krypterer meldingen til din venn før den blir videresendt. For å unngå dette scenarioet, er det lurt å verifisere hverandres fingeravtrykk. For kommunikasjon på sms kan du og de du vil kommunisere sikkert med, sammenlikne fingeravtrykk ved å trykke «verifiser» på verktøylinjen i meldingen, og lese opp hverandres fingeravtrykk slik at dere er sikre på at fingeravtrykket er mottatt riktig på andre siden. Ved bruk av RedPhone og Signal til telefonsamtaler kommer det opp et kodeord på skjermen for hver nye samtale – har dere samme kodeord, bør alt være i orden.
I tillegg til å kryptere samtalene du har via mobilen, finnes det også muligheter for privat surfing på nettet via telefonen. Dersom du vil sørge for at ingen får vite hva du gjør i mobilens nettleser, kan du bruke Orbot og Orweb for Android eller Onion Browser for iPhone. Disse appene bruker anonymitetsverktøyet Tor for å koble til internett, og gjør at trafikken din sendes kryptert mellom tre mellomledd slik at ingen kan koble din identitet med aktiviteten din på nettet. På Android kan du også sette opp innstillingene slik at flere apper bruker Tor for å koble seg på internett. Sjekk nettsidene til The Guardian Project for instruksjoner.

Er du din verste fiende? Én ting er hva falske basestasjoner kan plukke opp av informasjon fra telefonen din, men i den kaotiske og uoversiktlige verdenen av apper for mobiltelefoner, er det fullt mulig at du gir bort dine innerste hemmeligheter helt gratis. Mobiltelefonen er antakelig den dingsen i livet som vet mest om deg. Ikke bare har den tilgang til de forskjellige brukerkontoene dine på sosiale medier, e-posttjenester og liknende – den har også gps som følger med alle dine bevegelser, og den har oversikt over alle kontaktene dine og kommunikasjonen med dem. Mobilen din er i korte trekk en bærbar overvåkningsstasjon, komplett med innebygd mikrofon og kamera, som du også kan bruke til å ringe med. Hvem er det du gir kontroll over informasjonen som ligger på mobilen til?

Mulighetene for å kryptere kommunikasjon mellom mobiltelefoner blir stadig bedre og mer vanlig.

På lista over de mest populære appene i Norge er de fleste plassene i teten tatt opp av store firmaer som er lette å identifisere, og som vi sannsynligvis har stolt på hva gjelder privat informasjon fra før av: Facebook, Instagram, Finn og NRK, blant andre. Inne på topplista finner vi også apper det er noe vanskeligere å finne ut hvem som står bak, eller som kommer fra et langt mindre kjent firma. Mange av de store og etablerte firmaene har i løpet av de siste årene blitt langt flinkere til å begrense hvilke tillatelser appen ber om når du installerer den, selv om mange apper fremdeles ber om tillatelser som kan være svært inngripende i personvernet, uten at tillatelsen ser ut til å ha noe klart bruksområde. Hva når ukjente firmaer ber om svært inngripende tillatelser?

Hvem står bak appen? Et par apper inne på topplista hos Google Play kan tjene som eksempel. Nummer 15 på lista over gratisapper er 360 Mobile Security fra det kinesiske selskapet Qihoo. Appen beskytter mot virus og kan brukes til å optimalisere ytelsen til telefonen ved å renske opp i filstrukturen. For å gjøre dette ber den om nærmest full tilgang til alle områder på mobilen, blant annet tilgang til sensitive data som ligger lagret på telefonen, og tilgang til å ringe og ta bilder. Det er i utgangspunktet ingen grunn til å tvile på at appen gjør det den sier at den gjør, selv om Qihoo har blitt beskyldt for å jukse med tall og anmeldelser, og derfor har vært utestengt fra Apples Appstore ved flere anledninger. Spørsmålet er vel heller om man er komfortabel med å gi så inngripende tillatelser til et firma basert i et land hvor det vil være svært vanskelig å håndheve norske standarder for personvern.
Et annet eksempel er Emoji Keyboard Dev, som har mange populære Emoji-tastaturer. Slike tastaturer har i utgangspunktet mulighet til å registrere alt du skriver på telefonen – søk, meldinger, dine egne kladder og selvsagt passord og koder du bruker til å logge inn ulike steder. Med full nettverkstilgang kan appen også sende alt du skriver tilbake til utvikleren. Emoji Keyboard Pro, som er blant de 100 mest populære appene i Norge, viser til en anonym gmail.com-adresse og et blogginnlegg på japansk blogspot med en veldig kort og lite troverdig personvernerklæring. Beskrivelsen inneholder også en lenke til Facebooksiden til Kika Keyboard, et kinesisk firma som har egne tastaturer på Google Play. Hva forbindelsen mellom de to utviklerne er, er usikkert. Det er i hvert fall ikke mulig å se hvem som står bak Emoji Keyboard Dev helt uten videre.

Ta bevisste valg. Både det kaotiske app-markedet og tilstedeværelsen av falske basestasjoner gjør at vi i realiteten har svært lite kontroll over den dingsen i livet som vet aller mest om oss. Er det så sannsynlig at appene bruker tillatelsene sine på kritikkverdige måter, eller at de falske basestasjonene brukes til å registrere og fange opp kommunikasjonen til folk flest? Svaret for hvert enkelt tilfelle er at det vet vi stort sett ikke, men det vil være naivt å tro at svaret alltid er nei. Mange antar nok det beste for å slippe å tenke på hva konsekvensene kan være hvis det verste slår til – ute av syne, ute av sinn. Det er ikke nødvendigvis en god måte å møte problemet på. Hvilken sjanser man ønsker å ta, må være opp til hver enkelt, men det går an å håpe på at Aftenpostens avsløringer fører til større bevissthet rundt mobilsikkerhet, også for folk flest.

---

DEL