27 juni 2016

Skydda dig mot klickbetesfällan!

Den här texten har också publicerats som gästblogg hos Journalisttips

I slutet av förra veckan briserade en liten bomb i Medienorge – en mediereporter på Dagens Næringsliv hade spytt galla över kollegor, konkurrenter och källor under pseudonym på Twitter. Det var en journalist på Medier24 som tillsammans med kollegor på VG och Aftenposten stod för avslöjandet: Bak en anonym Twitter-konto har DNs mediejournalist rakket ned på kilder, sjefer og kollegier.
     Om det lämpliga i att som journalist spy galla över kollegor, konkurrenter och källor i skydd av en pseudonym kan man tycka mycket, och det gör jag också. Det är naturligtvis inte bra och skadar trovärdigheten för inte bara den enskilda journalisten utan för hela journalistiken. Och förr eller senare kommer man att bli avslöjad, hur väl man än försöker gömma sig – tro inte annat. Med de orden lämnar jag just den aspekten på det här avslöjandet, för att i stället titta närmare på hur själva avslöjandet gick till.

För att ringa in och avslöja personen bakom det anonyma kontot användes ett verkligt klickbete. Med klickbete menar jag här inte det vanliga klickbetet i form av en känslovinklad rubrik som ska locka publiken att klicka sig vidare till en text. Utan jag menar klickbete som i honeytrap, alltså en fälla. 
     Så här funkar det: Med en tjänst Blasze IP logger skapar du en särskild url till valfri länk. Med andra ord tar du en länk och klistrar in i sökrutan, och ut kommer en länk som ser ut som en förkortad länk men som dessutom innehåller en tracker, alltså en spårare. Du delar sedan den särskilda Blazse-länken, och alla som klickar på den loggas sedan med bland annat ip-nummer (se skärmdumpen). Vill du maskera ditt klickbete använder du sedan en ”vanlig” länkförkortare, som till exempel bit.ly – för vem misstänker väl en bit.ly-länk?
     Sedan är det bara att triangulera. Journalisterna i det norska avslöjandet skickade en länk via Twitters direktmeddelanden till det anonyma kontot, och kunde konstatera att personen bakom det befann sig på samma plats som en av personerna på listan över misstänkta. Ett alternativ är att jämföra ip-nummer. Det gäller bara att ha lite koll på vem du delar länken med. 

Skärmdump från loggen på Blasze. Loggen visar de ip-adresser som klickat på en viss länk som försetts med en spårare. Via en ip-tjänst är det lätt att ta reda på var ip-adresserna finns, eller triangulera med andra loggar.



Den här metoden är naturligtvis väldigt användbar för journalister i det normala nyhetsarbetet, kanske framför allt för att avslöja anonyma konton på nätet – det kan röra sig om näthatare, personer som hotar, politiker som sprider främlingsfientliga åsikter eller foliehatterier när de tror att ingen ser. 
     Men den kan också användas för att avslöja journalister som använder sig av anonyma nätidentiteter för att kunna researcha och röra sig i miljöer där journalister normalt sett inte är välkomna. Eller som använder en anonym nätidentitet för att kommunicera med en källa för att inte riskera att avslöja källans identitet. 

Så vad kan du göra som journalist? Även om du inte har ett behov av att vara anonym kanske du inte vill avslöja var du befinner sig vid ett givet tillfälle? Visst, ”klicka aldrig någonsin på en länk” kanske låter som ett gott råd, men det fungerar naturligtvis inte i det dagliga arbetet. Följande tips kan användas var för sig eller tillsammans, beroende på vilken säkerhetsnivå du anser nödvändig:
  • Använd Tor och Tails för att skydda din anonymitet på nätet. 
  • Använd vpn! (Själv använder jag just nu en vpn-tjänst som skickar min mobiltrafik över en server i Tyskland, det syns på den andra loggningen i bilden ovan.)
  • Koppla aldrig upp dig på ”gratis” eller ”fri” wifi. (Aldrig någonsin, de läcker som ett såll.) Om du ändå måste använda ett sådant nät, använd vpn! 
  • Använd en särskild telefon med kontantkort och kontant surfpott för de gånger du måste röra dig anonymt på nätet. Använd också den telefonens nät för att koppla upp dig mot nätet från andra enheter. Använd aldrig den telefonen som ”dig själv” för att undvika den typen av ip-triangulering jag beskriver ovan.
  • Läs iss-guiden om digitalt källskydd för journalister av Sus Andersson, Fredrik Laurin, Petra Jankov Picha och Anders Thoresson. Där finns många andra viktiga råd om hur du som journalist skyddar både dig själv och dina källor.
Fotnot: Det finns många andra tjänster än Blasze och bit.ly som gör samma saker. Det finns också en rad tjänster som visar var en ip-adress finns, till exempel ipnr.se.

Inga kommentarer: