Tag Archives: Julian Assange

Slik fikk Aftenposten WikiLeaks

Julian Assange kan mye om kryptering og hvordan sikre data fra å komme på avveie.

Det er jo nettopp det han og WikiLeaks gjør, og med så mektige fiender må IT-sikkerheten være helt på topp. Det var – og er – den hos WikiLeaks, men likefullt sitter norske Aftenposten med et komplett arkiv mot Assange’s vilje.

Assange har jobbet med kryptering før han startet WikiLeaks, og hans kunnskaper om dette går langt utenpå de aller fleste som jobber med IT, og trolig også brorparten av de som faktisk jobber med kryptering som sitt spesialfelt.

Han og hans partnere visste hva de bega seg ut på da de dro i gang WikiLeaks, og de visste at de måtte sikre seg og sine data på alle mulige måter. Det gjorde de.

For å sikre seg selv mot motangrep la WikiLeaks ut en “insurance”, en kryptert fil med alle de lekkede dokumentene. Den ble lagt ut slik at hvem som helst kunne laste den ned, og WikiLeaks oppfordret flest mulig til å gjøre det slik at filen skulle være allment tilgjengelig dersom Assange og hans partnere av en eller annen grunn ikke ville være i stand til å åpne filen og legge ut de lekkede dokumentene.

Sikkerheten må være god når man gjør noe sånt, og filen ble kryptert på et nivå som gjør at selv ikke amerikanske NSA med sine massive ressurser, kompetanse og rå datakraft er i stand til å knekke koden for å få åpnet filen.

Assange visste også at han ikke kunne bruke “password” eller andre enkle vanlige passord, da det ville gjort det mulig å bruke lister med kjente passord eller ordlister for å finne frem til riktig passord raskere enn en standard algoritme. Tilsvarende er det god grunn til å tro at han neppe brukte fødselsdatoen sin eller noe som helst annet man kan resonnere seg frem til ved å analysere ham eller miljøet rundt ham.

WikiLeaks og Assange gjorde kort og godt alt riktig i henhold til alle sikkerhetsrutiner og sikkerhetsprosedyrer. Med mindre det er informasjon som jeg ikke har fått med meg, så vil jeg anta at dette var et tilnærmet perfekt sikkerhetsopplegg.

Aftenposten sitter likevel med en komplett kopi av hele innholdet.

Det er ikke fordi Aftenpostens redaksjon består av verdens smarteste hackere eller fordi de har fått innholdet fra noen som er det. De har fått tak i alle lekkede dokumenter fordi selv verdens mest perfekte sikkerhetsløsning kan hackes. Selv uten en eneste feil, så har ethvert sikkerhetssystem et stort gapende sikkerhetshull.

Stikkordet er tillit.

Tillit er noe man må gi noen når det dreier seg om data som skal sikres. Hvis informasjonen skal brukes til noe, så må man stole på den eller de som får informasjonen, og Julian Assange måtte også det.

For hvis Assange var den eneste med koden til å åpne “insurance”-filen, så ville ingen fått tak i innholdet dersom han ble arrestert eller på annen måte hindret fra å si koden til noen. Han måtte derfor stole på noen, og ha tillit til at de ivaretok hans interesse av å holde koden og informasjonen hemmelig.

Det sier seg selv at han ikke kunne gi den tilliten til hvem som helst, og ei heller til mange. Samtidig kunne han heller ikke begrense seg til sine nærmeste. Dersom Assange alene kan hindres i å spre koden, så kan mektige fiender også hindre flere personer i å spre koden hvis de får tak i alle samtidig.

Assange måtte derfor sikre seg og WikiLeaks gjennom å gi koden til mange nok, og til personer på flere steder, slik at det ikke ble mulig å sette hele WikiLeaks ut av spill gjennom en koordinert aksjon.

Ettersom det var tvingende nødvendig at disse personene måtte kunne åpne informasjonen uavhengig av hverandre, var det heller ikke mulig å benytte seg av teknikker som forutsetter at flere koder må brukes sammen for å åpne innholdet. Dersom Assange og hans nærmeste ble tatt, så måtte dataene kunne åpnes raskt av den eller de som ikke var tatt.

Så vidt vi vet har ikke dette skjedd, men vi vet at Aftenposten har hele innholdet, samt at det er mot Assange’s vilje. Vi vet også at koden neppe er knekt, og dermed står vi igjen med en veldig enkel forklaring.

En av personene som Julian Assange hadde tillit til, brøt med Assange og sørget på ett vis at Aftenposten fikk alle de lekkede dokumentene.

Tilitten ble brutt.

WikiLeaks har hatt en intern uenighet, og noen har brutt ut. De kritiserer hverandre, og det er umulig for oss på utsiden å vite hva som egentlig er sant og hva som bare er påstander i en bitter konflikt, men det spiller da heller ingen rolle.

Sluttresultatet av mistilliten internt i WikiLeaks er uansett at en av verdens best sikrede krypterte filer endte ukryptert i hendene på Aftenposten.

Hvorvidt det var gjennom ett, to, tre eller flere ledd, eller hvem det var spiller heller ingen rolle. Det er heller ikke sikkert at verken Aftenposten eller Assange vet hvem det var. Hvis de vet, så forteller de det neppe, men det er i hvert fall slik Aftenposten fikk WikiLeaks.

Jeg sitter på SKUP-konferansen når jeg skriver dette, og jeg skriver det før Aftenposten skal fortelle oss noe om WikiLeaks-saken. Det gleder jeg meg veldig til å høre, og jeg håper at mitt bidrag her i denne bloggen både gir de en bit av puslespillet, samt at det forhåpentligvis inspirerer de til å gi oss litt mer kjøtt på beinet.

Vi hadde jo ikke vært journalister hvis vi ikke var nysgjerrige…

Jeg skriver også om dette i en annen anledning, og det er Datalagringsdirektivet. På mandag skal Høyre og Arbeiderpartiet banke gjennom dette overvåkningsdirektivet i Stortinget, og Høyre løper rundt i villfarelsen om at deres ledelse kan stave IT.

Det kan de ikke, men de skryter likevel av hvordan de har sikret trafikkdataene gjennom noen innfløkte krav og retningslinjer som de tror vil hjelpe. Det inkluderer blant annet kryptering.

Jeg vil oppfordre enhver journalist som intervjuer Høyre eller Arbeiderpartiet om DLD til å be politikerne forklare hva kryptering er for noe. Det tror jeg kan bli både morsomt og avslørende.

Deretter vil jeg be de samme journalistene om å spørre disse politikerne hva det er de vet, som Assange og WikiLeaks ikke har skjønt?

Spørsmålet er selvsagt retorisk. Det kan derfor være lurt å ha et oppfølgerspørsmål, og med utgangspunkt i at tillit er svakheten i selv perfekte sikkerhetsløsninger, foreslår jeg følgende spørsmål:

Hvordan ødelegger man tillit?

 

OPPDATERING: Jeg ble gjort oppmerksom på at det kan fremstå som at Aftenposten er de eneste som har alle dokumentene, noe som ikke er korrekt. WikiLeaks delte alle dokumenter med flere redaksjonelle partnere i tradisjonelle medier. Aftenposten fikk tilgang til disse dokumentene uten å være med i den gruppen.

Grav deg ned i tide

Endelig er den min! SKUP’s legendariske T-skjorte der det står “Grav deg ned i tide“.

Dette er samme T-skjorte som Julian Assange fikk da han besøkte SKUP i fjor, og som han hadde på seg da det blåste som verst like etter fjorårets første store lekkasje fra WikiLeaks.

Som daglig leder og gründer av Gravemaskinen AS, måtte jeg selvsagt ha denne T-skjorten. Sammen med mine partnere i Atbrox AS (som jeg selvsagt også har kjøpt denne T-skjorten til) har vi jo laget den avbildede Gravemaskinen.

Gravemaskinen er utviklet for å hjelpe alle journalister med gravejournalistikk, og T-skjorten har derfor dobbelt mening for oss.

At teksten også sier at vi må grave oss ned i tide, velger jeg også å tolke relatert til Datalagringsdirektivet som vil tvinge alle journalister til å skjule seg selv og kildene for statens overivrige overvåkere. Litt søkt kanskje, men det er et ubestridelig faktum at det er god gravejournalistikk som må til for å avsløre slike farlige maktmennesker.

Og når man først har både T-skjorten og Gravemaskinen, så må jeg jo si meg godt fornøyd med at jeg også har en skikkelig arbeidshjelm. Med dette føler jeg meg godt rustet til å sette i gang med litt skikkelig gravearbeid…