Hvor lett er det å unngå tilrettelagt innhenting? illustrasjonsbilde

Hvor lett er det å unngå tilrettelagt innhenting?

I forslaget til ny lov om etterretningstjenesten har man foreslått “tilrettelagt innehenting”. Dette ble tidligere omtalt som digitalt grenseforsvar og innebærer en offentlig database med informasjon om alt norske borgere gjør på nett. SerDeg.no skal her forklare hvordan hvem som helst med enkle virkemidler kan unngå dette, og kommunisere sikkert og trygt.

Dataene som samles inn er såkalte metadata. Det inkluderer hvem du er, hvem/hva du kommuniserer med, hvordan det skjer og tidspunktet det skjer. Det eneste som ikke inkluderes er selve innholdet i kommunikasjonen. Metadata vil i mange tilfeller si alt man trenger å vite om hva du driver med. Myndighetene vil kunne se hvilke nettsteder du besøker (sex.com, wikileaks.net, ateistene.no etc) selv om de ikke ser nøyaktig hva du gjør på disse nettstedene. De vil også kunne se hvilke personer og nettjenester du får e-post fra eller sender e-post til.

Disse tiltakene som listes opp her er på ingen måte geniale, det er ting de fleste med IT-sikkerhetsbakgrunn vet om fra før. Og selvfølgelig vet alle aktører som etterretningstjenestene skal beskytte oss mot også om disse. Det er derfor usannsynlig at “tilrettelagt innhenting” slik det er forslått vil kunne avverge angrep.

Kryptert e-post

Hvis du bruker e-posttjenestens nettsider eller et e-postprogram / en e-postapp satt opp med kryptert tilkobling etterlater du ingen metadata om e-postene dine. Du bør også forsikre deg om at mottakeren har satt opp e-posten sin på samme sikre måte. Staten vil da kun se at du kommuniserte med e-posttjenesten til et gitt tidspunkt, men ikke nøyaktig hva du gjorde der.

Det som er viktig å være klar over er at lovforslaget åpner for at etterretningstjenesten kan pålegge alle “tilbydere av elektroniske kommunikasjonstjenester” å levere en datastrøm uten “link-kryptering eller lignende kryptering”. Det betyr at de med loven i hånd kan kreve å få tilgang til ukrypterte e-poster for lagring av metadata. Det samme gjelder også nettsurfing via HTTPS, så lenge tjenestene ønsker å operere etter norsk lov.

VPN

Den eneste måten å sikre seg helt mot tilrettelagt innhenting vil være å bruke VPN fra en utenlandsk leverandør. VPN fungerer som en kryptert tunnel for all datatrafikken din frem til VPN-leverandørens nettverk, hvor den slippes ut på internett “som vanlig”. Bruker du VPN fra en utenlandsk leverandør vil derfor all din trafikk være kryptert når den passerer landegrensene, og det vil ikke være mulig å vite noe som helst om aktivitetene dine.

Og da bør det være en tjeneste som ikke føler seg bundet av norsk lovgivning, slik at de ikke gir ukryptert datatilgang til etterretningstjenesten. Et typisk godt valg vil derfor være en tjeneste som ikke har en norsk avdeling, gjerne en som ikke hører til EU eller USA hvis man vil gjøre samarbeid på tvers av grensene ekstra vanskelig.

TOR-nettverket

Man kan også bruke et helkryptert, desentralisert, anonymt nettverk som TOR til å forbigå enhver mulighet for sporing. Dette er nettverk som deler trafikken din opp i små biter og ruter dem mange forskjellige veier gjennom et nettverk av maskiner slik at det er umulig å spore brukere. TOR-nettverket lar deg spesifisere hvilket land trafikken din skal slippe ut fra TOR-nettverket til det vanlige internettet i. Da kan man velge Norge, og trafikken vil se ut som helt ordinær innenlands trafikk for etterretningstjenestene.

Flere metoder

Tiltakene beskrevet over er egnet for “folk flest”, men det er mange flere verktøy fremmede makter kan bruke som lar dem forbigå tilrettelagt innhenting.

Det finnes mange muligheter for å skaffe seg tilgang til en server i Norge. Enten kan man hacke en (via VPN, et gjestenett mens man er på ferie her, TOR-nettverket, etc), eller man kan bruke en mellommann til å leie en norsk server. Det finnes også mange firmaer som leier ut servertilgang mot fakturering. Og før firmaet innser at bestillingen var falsk har man fått bruke serveren i en måned, og gjort seg ferdig med det man skulle.

Har man først en slik server kan man sette den opp som sin egen private VPN-tjeneste, og dermed bruke den som et mellomledd i hacking. Slik vil trafikken som passerer landegrensene være helt kryptert og i tillegg se ut som den hører til en helt legitim norsk serverleverandør.

Konklusjon

Hvis du føler deg ukomfortabel med at myndighetene skal sitte på en oversikt over hvilke tjenester du bruker og hvem du kommuniserer med, er du i godt selskap. Forhåpentligvis har denne artikkelen demonstrert for deg at det går an å beskytte seg. Og at den foreslåtte loven bærer sterke preg av å være sikkerhetsteater – tiltak som høres mer effektivt ut enn det faktisk er.

Surf trygt!