Mina intressen, såsom fri mjukvara, öppna standarder, retrodatorer och samhället i stort

Jag fick idag följande e-post från en bekants adress:

Jag hoppas att detta når dig i tid, jag gjorde en resa till Birmingham, Storbritannien och min handväska blev stulen med mitt internationella pass och mina kreditkort inuti. Ambassaden är villiga att hjälpa mig att ta ett flyg utan mitt pass, jag behöver bara betala för biljetten och hotellräkningarna. Till min förfäran kan jag inte få tillgång till mina fonder utan mitt kreditkort och kontakt med min bank, men de behöver mer tid för att kunna ge mig ett nytt kort. I den här olyckliga situationen tänkte jag fråga om ett avlöningsdagslån som jag kan betala tillbaka så fort som du kommer tillbaka. Jag behöver verkligen vara med på nästa flyg. Jag kan skicka detaljerna för hur fonderna kan skickas till mig.
Jag ser fram emot ditt svar,
Många hälsningar
Erik

Brevet är skickat ifrån ett yahoo-konto som tillhör min vän Erik (fabricerat namn i detta inlägg). Reply to-adressen är dock modifierad men väldigt snarlik den riktiga. Endast ett i är utbytt mot l. Erik är i detta fall en pensionär på över 70 som använder dator och surfplatta för e-post med mera. Speciellt välinsatt i datasäkerhet är han däremot inte.

Brevet är skickat via IP-adress 41.138.176.194 som enligt whois är registrerat i Nigeria. Detta verkar handla om en relativt omfattande kapning av yahoo- och gmail-adresser.

Eftersom jag själv blev utsatt för intrång i min gmail för några år sedan valde jag att sätta upp en egen e-postserver och sköta säkerheten på egen hand. Detta är dock något jag förstår att inte alla vill eller kan göra. Vad jag föreslår är istället att skaffa en e-postadress hos en mindre leverantör som därmed är mindre lukrativ för intrång, hos ett företag, en organisation eller en person du känner och litar på. Och viktigast, som råder under svensk lag med svenska avtal.

Vid ett svagt tillfälle skaffade jag ett LinkedIn-konto under en psuedonym. Jag har dock aldrig använt det annat än till att kolla runt för att bilda mig en uppfattning om tjänstens karaktär. Som alltid använder jag en unik e-postadress för varje sak jag registrerar mig på. Idag fick jag spam till just min LinkedIn-adress. Reklam för en betting-site. Hemsidan som är länkad i mailet ger en 403 Forbidden när jag provat att gå in. I brevet framgår ingen som helst koppling till LinkedIn annat än just det faktum att det är skickat till den adress som ingen annan än LinkedIn har tillgång till.

I LinkedIns Privay Policy framgår att de förbinder sig till att inte sälja eller ge ut personuppgifter till tredjepart. Om de nu har gjort så, vilket detta spam indikerar, har jag alltså blivit utsatt för avtalsbrott från ännu en stor och ”tillförlitlig” social tjänst.

Vi är inte längre på väg mot ett övervakningssamhälle. Nu är vi framme.

I och med att regeringen nu antagit Datalagringsdirektivet är vi alla under ständig statlig övervakning. All vår digitala kommunikation registreras, på liknande sätt som tidigare endast skett mot skäligen misstänkta brottslingar. Sedan FRA-lagen antogs är all e-postkommunikation automatiskt registrerad (sånär som på den försumbara mängd som inte råkar passera en utländsk nod). Detta är de två allvarligaste hoten mot vår personliga integritet som införts i modern tid, då det är obligatorisk statlig övervakning, men trenden är oroväckande även hos andra instanser. Exempel är Stockholms Läns Lokaltrafik som i allt högre grad registrerar resor och knyter dessa till personer, Googles nya avtal som knyter samman användandet av youtube med e-postkonton och alla andra av Googles tjänster vi använder med mera. Listan kan göras lång, och längre för var dag som går.

Men det finns saker man som individ kan göra för att i viss mån skydda sig. Säkrast är att inte använda telefon eller Internet, men så långt är jag inte beredd att gå. Jag tänkte ta upp ett par knep som jag själv följer i möjligaste utsträckning. Det kräver viss uppoffring, men ger ett hyfsat skydd. En tradeoff som passar mig.

• Använd en telefon med fri mjukvara och oregistrerat kontantkort, betalat med kontanter. Jag använder en Androidbaserad Google Nexus S där jag bytt ut med medföljande Androidsystemet mot Replicant, som jag tidigare skrivit om. Replicant är helt fritt, vilket även inkluderar koden som hanterar själva modemet. Genom det kan jag försäkra mig om att modemet inte gör mer än det ska. Med tillverkarens proprietära kod kan du inte vara säker, men anta att modemet rapporterar så mycket status den bara kan komma över om dig till operatören.
• Kryptera din e-post på klientsidan. För att kunna skicka e-post krypterat till dig behöver avsändaren ha din publika GPG-nyckel. Skapa en sådan och gör den offentlig. Kräv sedan att den du tänker skicka e-post till gör samma sak. Observera dock att brevets rubrik inte kan krypteras, så skriv ingen känslig information däri. Detta är inte samma sak som krypterad förbindelse mot SMTP- och IMAP-servrar. Det är också bra, men skyddar inte mot statlig övervakning. Ett klientkrypterat brev är i princip omöjligt att läsa utan den hemliga nyckeln som bara du har, även om staten skulle ha en full kopia av brevets överföring från avsändaren till dig.
• Undvik stora centralt kontrollerade nätverkstjänster såsom Facebook, DropBox och Google+ för privata angelägenheter. Undvik dylika tjänster så långt det är möjligt. Om du måste använda dem, ha en separat webbläsare för var och en av dem. I Firefox kan du ha olika profiler, alltså separata instanser av webbläsaren där varje profil har sin egen avgränade låda med cookies, plugins och cache. Jag har en för Youtube, en för GMail (som vi använder på jobbet), en för min bank och en för allt som inte kräver inloggning i ett stort nätverk. Välj små tjänster före stora. Kompisens privata mailserver är mycket mindre intressant för potentiella angripare (staten inkluderad) än GMail. Själv har jag en egen e-postserver som bara jag och två nära personer använder.
• Stäng av Javascript, Flash, Java och cookies i din webbläsare och e-postklient. Till Firefox finns ett fantastiskt plugin som heter NoScript, där du kan stänga av alla dessa men lägga in undantag för webbsidor du litar på. Var restriktiv med undantagen och kombinera gärna med separat profil för tveksamma sidor som du trots allt väljer att exekvera script på.
• För stockholmare med registrerade SL Accesskort gäller att passera spärrarna utan att dra sitt kort så långt det går. Jag har med mig mitt kort, men använder det så lite jag kan. De höga glasdörrarna är enklast att passera genom att gå tätt bakom någon annan som drar sitt kort. Oftast märks det inte ens, och om man blir påkommen är det bara att förklara den bakomliggande anledningen. Det är förövrigt ett bra tillfälle att upplysa medmänniskor om den problematik som råder.

Det finns förstås mycket mer man kan göra, men här är en bra start. Tilläggas kan att om personer som avser begå brott tillämpar ovan nämnda knep går han eller hon rätt säker ur statens övervakningsmaskin. Resultatet blir att vi vanliga medborgare är de som övervakas, medan tekniskt kunniga brottslingar slipper undan. Är Ask med sina undersåtar inkompetenta nog att förstå det, eller är brottsligheten ett svepskäl för något annat mycket värre?