Anonym elektronisk kommunikation
I egenskap av data- och säkerhetsnörd tänkte jag skriva lite om hur man surfar och skickar epost utan att myndigheterna kan spåra avsändaren, till exempel om man är en kinesisk dissident. Det finns ingen perfekt lösning, så jag skriver lite grundläggande fakta och lite brett om fällorna man ska undvika. Syftet är att informera och underhålla.
Hur spårning går till
Här måste jag först förklara lite tekniska termer. Datorerna på internet hittar varandra genom MAC- och IP-adresser. MAC-adressen är lite som ett serienummer, det är oföränderligt och unikt för varje nätverksenhet. Bara det närmaste nätverket kan se en MAC-adress, så en dator långt ute på internet kan inte se din dators MAC-adress. IP-adressen är lite som ett telefonnummer, det är unikt och synligt för varje dator på internet. Det kan vara föränderligt; hemanvändare brukar få en tillfällig IP-adress varje gång de kopplar upp sig (det ger en svag anonymitet, dock inte för internetleverantören).
Om du surfar eller skickar epost från din egen dator, så kan epostets mottagare se i brevet, eller webbsidans administratör se i loggarna, vilken IP-adress det kom ifrån. Det enda de då kan veta är vilket nät det kom ifrån och vem som är ansvarig för det (din internetleverantör). Myndigheterna kan då kontakta din internetleverantör, som i sina loggar kan se vilken abonnent som hade den IP-adressen vid den tidpunkten. Utgå från att allting spelas in och lagras! Tekniken gör spårningen mycket enkel. Övervakningstrender kommer och går i politiken, men tänk inte på det utan utgå från att de som äger tekniken använder sin makt.
Att använda sin egen dator
Även om man går en anonym väg på internet (mer om detta längre ner) så finns det en risk med att använda sin egen dator, sin jobbdator, eller ens en publik dator som man ofta använder. Webbläsare och epostprogram avslöjar nämligen en hel del — om sig själva, sina versionsnummer, ditt operativsystem och inte minst cookies man samlat på sig. Denna information kan sedan jämföras mot en dator man hittar vid husrannsakan. Dessutom kan det du skickat sparas i din webbläsares historik eller i din utkorg, vilket är ett ännu starkare bevis. En lösning på detta är att köra Linux från en CD-skiva som man gömmer någon annanstans.
Trådlösa nätverk
Först och främst är det ett lagbrott att olovligt använda någon annans trådlösa nätverk. Det finns gott om publika trådlösa nätverk man kan använda, vissa av dem är gratis. Till skillnad från internetleverantörer kan man här inte knyta en IP-adress till en abonnent. Däremot kan MAC-adressen sparas och jämföras mot en dator man hittar vid husrannsakan. Tekniska användare kan ändra till en fejkad MAC-adress.
Mobiltelefoner
Numera kan man lika gärna surfa med sin mobiltelefon, med hjälp av GPRS eller 3G. Här finns dock mängder med fällor, så jag skulle faktiskt avråda från det. Till att börja med kan operatören spåra trafiken till ditt SIM-kort och därmed ditt abonnemang. Om du köper ett kontantkort (för kontanter, inte bankkort) av Hassan på torget och slänger det efter surfningen, bra. Men för det andra ser operatören även ditt IMEI-nummer, som är telefonens serienummer. Dels kan det spåras till inköpsstället (där du naturligtvis inte använde bankkort) och dels kan en användarprofil byggas upp om du gör någonting annat med telefonen, som att ringa dina kompisar. Nej, om du insisterar på att använda en mobiltelefon bör du köpa även den av Hassan på torget, och slänga den direkt efter användning (vilket gör dig till miljöbov), eftersom telefonens position kan spåras både vid tillfället och efteråt.
Anonymiseringstjänster
Det finns internetleverantörer, programtillverkare och andra som erbjuder anonymt surfande. Jag kommer t.ex att tänka på Relakks som rekommenderats av Piratpartiet. Resultatet är att mottagaren ser en helt annan IP-adress än din riktiga. Nackdelen är att dessa företag vet och lagrar din riktiga IP-adress, och plockar fram den om farbror Blå kommer och viftar med batongen, så det hjälper inte om du registrerar dig anonymt och betalar med kontanter. (Du behöver inte ens ha begått något brott för att de ska misstänka att du har det, eller anklaga dig för ett påhittat brott.)
Öppna anonymiseringslösningar
Något som är värt att titta på är programvaror och nätverk som Tor och I2P som krypterar och bollar din trafik fram och tillbaka genom ett stort nätverk, så att det blir så svårt som möjligt att spåra vem som skickat vad. Fördelen mot kommersiella tjänster är dels att det är gratis, dels att tekniken är öppen, så att vem som helst kan kolla att det inte finns bakdörrar, och dels att det inte finns några centrala enheter där loggar samlas. När det inte finns några loggar hjälper det inte att vifta med batongen! Jag skulle rekommendera att titta på detta, men även lägga på fler lager, för det finns statligt anställda genier som lever på att knäcka sådant här, som ofta är entusiasters fritidsprojekt. Okej, det finns teknik som bygger på doktorsavhandlingar också. Har inte provat dessa lösningar så kan inte rekommendera någon enskild.
Publika datorer
Det finns inte mycket att säga här, använd ditt sunda förnuft. Se upp för övervakningskameror, tänk på dina vanor, betala med kontanter och använd inget bibliotekskort. En nackdel är att programvaror inte kan installeras.
Webbmail
Ska du skicka epost så är det bättre att använda en webbtjänst för detta än att gå direkt mot en mailserver med ett epostprogram. Fördelen är att din IP-adress (troligen) inte står i epostet, vilket lägger till ett steg i spårningsarbetet. I vilket fall som helst bör du inte använda samma epostkonto till någonting annat eller ens logga in en andra gång.
Beteende vid sidan om
Om man surfar till webbsidor man brukar surfa till, i anslutning till att man skickar sina meddelanden, så kan myndigheterna jämföra detta mot databaser med användarprofiler. Även om det är så allmänna sidor som Aftonbladet eller Dilbert! Naturligtvis kan man vända på detta och luras genom att besöka sidor man aldrig skulle besökt annars.
Kryptering
Om du kommunicerar med dina vänner, till skillnad från att t.ex skicka ut pressmeddelanden, så är det frestande att kryptera sina mail med sådant som PGP. Gör det inte om det inte är absolut nödvändigt — krypterad trafik drar till sig nyfikna ögon. Om enkla budskap ska skickas, så skulle jag snarare rekommendera den urgamla metoden att tala i allmänna termer under en täckmantel. “Jag ska laga taket imorgon” — och så vidare. Men kryptering är ett helt kapitel för sig, och kommer kanske i en framtida artikel.
Anon Ymer
Skitbra! Får vi publicera denna artikel i nästa Vargatid som kommer i höst? http://vildvaxande.org/vargatid
Comment by Vildrote — 1 June 2007 @ 2:19 pm
Självklart!
Comment by Anon Ymer — 1 June 2007 @ 2:35 pm
Har du någon åsikt om TrueCrypt?
Comment by Vildrote — 1 June 2007 @ 3:37 pm
Har inte testat, men har bara hört gott om truecrypt. Ska titta på det till min krypteringsartikel.
Comment by Anon Ymer — 1 June 2007 @ 5:10 pm
På sin stationära dator kan man köra linux och kryptera hela filsystemet så när farbror blå kommer på besök och snor ens hårddisk kan de inte se vad som finns på den.
Comment by fonik — 1 June 2007 @ 7:28 pm
Trevlig artikel! Jag har själv några gånger varit på gång att skriva en steg-för-steg-guide för att installera och konfigurera lämplig programvara för att uppnå någon form av anonymitet. Däremot har jag blivit rätt avtänd på grund av alla tekniska detaljer som uppstår som icke-säkerhetsnördar och/eller medelmåttiga datoranvändare lär få problem med. Någonstans måste man väl börja. Bra initiativ!
Jag håller på att skriva ett inlägg med lite kompletterande information om allmän internetsäkerhetskultur och verktyg för att uppnå anonymitet. Borde vara klar om någon timma.
Comment by Kristus — 12 June 2007 @ 3:05 pm