Säkerhet och integritet

Världen kan vara en skrämmande plats, och alla verkar vara ute efter dig.

Okej, kanske inte riktigt så. Men det betyder inte att du vill skylta med alla dina hemligheter. Säkerhet (och integritet) handlar i allmänhet om att höja ribban för angripare. Ta reda på vilken hotmodell du har, och utforma sedan dina skydd utifrån den. Om hotmodellen är NSA eller Mossad kommer du sannolikt få det svårt.

Det finns många sätt att göra din digitala närvaro säkrare. Vi tar upp en rad övergripande saker här, men detta är en process, och att utbilda dig själv är en av de bästa investeringarna du kan göra. Så:

Följ rätt personer

Ett av de bästa sätten att förbättra ditt säkerhetskunnande är att följa personer som är aktiva i säkerhetsfrågor. Några förslag:

• @TroyHunt
• @SwiftOnSecurity
• @taviso
• @thegrugq
• @tqbf
• @mattblaze
• @moxie

Se också den här listan för fler förslag.

Allmänna säkerhetsråd

Tech Solidarity har en mycket bra lista med do’s and don’ts för journalister som innehåller mycket sunt råd och är ganska uppdaterad. @thegrugq har också ett bra blogginlägg om säkerhet vid resor som är värt att läsa. Vi upprepar mycket av råden därifrån här, plus en del till. Skaffa också en USB-data blockerare, eftersom USB kan vara läskigt.

Autentisering

Det första du bör göra, om du inte redan gjort det, är att skaffa en lösenordshanterare. Några bra alternativ är:

• 1password
• KeePass
• BitWarden
• pass

Om du är extra försiktig, använd en som krypterar lösenorden lokalt på din dator, i stället för att lagra dem i klartext på servern. Använd den för att generera lösenord till alla webbplatser du bryr dig om redan nu. Slå sedan på tvåfaktorsautentisering, helst med en FIDO/U2F-dongel (till exempel en YubiKey, som har 20% rabatt för studenter). TOTP (som Google Authenticator eller Duo) fungerar också i nödfall, men skyddar inte mot phishing. SMS är i stort sett värdelöst, om inte din hotmodell enbart består av slumpmässiga främlingar som snappar upp lösenord i transit.

En notering om pappersnycklar: tjänster ger dig ofta en “reservnyckel” som kan användas som andra faktor om du tappar din riktiga. (Ha alltid en reservdongel på en säker plats.) Du kan lägga dessa nycklar i lösenordshanteraren, men då är du helt körd om någon får tillgång till den (om du inte accepterar den hotmodellen). Om du är riktigt paranoid, skriv ut pappersnycklarna, lagra dem aldrig digitalt, och lägg dem i ett fysiskt kassaskåp.

Privat kommunikation

Använd Signal (installationsguide). Wire är också okej. WhatsApp är okej. Använd inte Telegram. Skrivbordsmeddelandeprogram är ganska trasiga (delvis eftersom de ofta bygger på Electron, vilket ger en stor tillitsyta).

E-post är särskilt problematiskt, även med PGP-signering. Det är normalt inte forward-secure, och nyckeldistributionsproblemet är betydande. keybase.io hjälper, och är användbart av flera andra skäl. PGP-nycklar hanteras dessutom oftast på skrivbordsdatorer, vilket är en av de minst säkra datormiljöerna. I samma anda kan du överväga en Chromebook, eller att arbeta på en surfplatta med tangentbord.

Filsäkerhet

Filsäkerhet är svårt och sker på många nivåer. Vad är det egentligen du försöker skydda dig mot?

• Offline-attacker (någon stjäl din laptop när den är avstängd): slå på full diskkryptering. (cryptsetup + LUKS på Linux, BitLocker på Windows, FileVault på macOS. Observera att detta inte hjälper om angriparen också har dig och verkligen vill åt dina hemligheter.
• Online-attacker (någon har din laptop och den är igång): använd filkryptering. Det finns två huvudsakliga mekanismer:
  • Krypterade filsystem: lagerbaserad filsystemskryptering krypterar filer individuellt i stället för krypterade blockenheter. Du kan “montera” dessa filsystem med dekrypteringsnyckeln och sedan bläddra fritt i filerna. När du avmonterar dem blir filerna otillgängliga. Moderna lösningar är gocryptfs och eCryptFS. Mer detaljerade jämförelser finns här och här.
  • Krypterade filer: kryptera enskilda filer med symmetrisk kryptering (se gpg -c) och en hemlig nyckel. Eller, som pass, kryptera också nyckeln med din publika nyckel så att bara du kan läsa tillbaka den med din privata nyckel. Exakta krypteringsinställningar spelar stor roll.
• Plausible deniability (“vad verkar vara problemet, konstapeln?”): vanligtvis sämre prestanda, och lättare att tappa data. Svårt att faktiskt bevisa att det ger deniable encryption. Se diskussionen här, och överväg sedan om du vill prova VeraCrypt (den underhållna forken av gamla goda TrueCrypt).
• Krypterade säkerhetskopior: använd Tarsnap eller Borgbase
  • Tänk på om en angripare kan radera dina säkerhetskopior om de får tag i din laptop.

Internetsäkerhet och integritet

Internet är en mycket skrämmande plats. Öppna WiFi-nätverk är skrämmande. Se till att du tar bort dem efteråt, annars kommer telefonen glatt annonsera och återansluta till något med samma namn senare.

Om du någon gång är på ett nätverk du inte litar på kan VPN möjligen vara värt det, men tänk på att du då litar väldigt mycket på VPN-leverantören. Litar du verkligen mer på dem än på din internetleverantör? Om du verkligen vill ha VPN, använd en leverantör du är säker på att du litar på, och du bör sannolikt betala för tjänsten. Eller sätt upp WireGuard själv – det är utmärkt.

Det finns också säkra konfigurationsinställningar för många internetanslutna program på cipherlist.eu. Om du är särskilt integritetsinriktad är privacytools.io också en bra resurs.

Vissa undrar säkert över Tor. Kom ihåg att Tor inte är särskilt motståndskraftigt mot kraftfulla globala angripare, och är svagt mot trafikanalysattacker. Det kan vara användbart för att dölja trafik i liten skala, men ger inte så mycket integritetsvinst totalt sett. Du är bättre hjälpt av att använda säkrare tjänster från början (Signal, TLS + certifikatspinning, osv.).

Webbsäkerhet

Så, du vill ut på webben också? Du testar verkligen gränserna här.

Installera HTTPS Everywhere. SSL/TLS är kritiskt, och det handlar inte bara om kryptering, utan också om att kunna verifiera att du faktiskt pratar med rätt tjänst. Om du kör en egen webbserver, testa den. TLS-konfiguration kan bli stökig. HTTPS Everywhere gör sitt bästa för att aldrig navigera dig till HTTP-sidor när det finns ett alternativ. Det räddar dig inte helt, men det hjälper. Om du är riktigt paranoid, svartlista SSL/TLS-CA:er du absolut inte behöver.

Installera uBlock Origin. Det är en bredspektrumblockerare som inte bara stoppar annonser, utan även olika typer av tredjepartskommunikation som sidor försöker göra. Och inline-skript och liknande. Om du är villig att lägga tid på konfiguration, gå till medium mode eller till och med hard mode. De lägena kommer göra att vissa webbplatser inte fungerar förrän du justerat inställningarna, men de förbättrar också din säkerhet online avsevärt.

Om du använder Firefox, aktivera Multi-Account Containers. Skapa separata containrar för sociala nätverk, bank, shopping osv. Firefox håller cookies och annat tillstånd helt separerat mellan containrar, så att webbplatser i en container inte kan snoka i känslig data från andra. I Google Chrome kan du använda Chrome Profiles för liknande resultat.

Övningar

TODO

1. Kryptera en fil med PGP.
2. Använd VeraCrypt för att skapa en enkel krypterad volym.
3. Aktivera 2FA för dina mest datakänsliga konton, t.ex. GMail, Dropbox, GitHub, osv.

---