Tag Archives: WikiLeaks

Slik fikk Aftenposten WikiLeaks

Julian Assange kan mye om kryptering og hvordan sikre data fra å komme på avveie.

Det er jo nettopp det han og WikiLeaks gjør, og med så mektige fiender må IT-sikkerheten være helt på topp. Det var – og er – den hos WikiLeaks, men likefullt sitter norske Aftenposten med et komplett arkiv mot Assange’s vilje.

Assange har jobbet med kryptering før han startet WikiLeaks, og hans kunnskaper om dette går langt utenpå de aller fleste som jobber med IT, og trolig også brorparten av de som faktisk jobber med kryptering som sitt spesialfelt.

Han og hans partnere visste hva de bega seg ut på da de dro i gang WikiLeaks, og de visste at de måtte sikre seg og sine data på alle mulige måter. Det gjorde de.

For å sikre seg selv mot motangrep la WikiLeaks ut en “insurance”, en kryptert fil med alle de lekkede dokumentene. Den ble lagt ut slik at hvem som helst kunne laste den ned, og WikiLeaks oppfordret flest mulig til å gjøre det slik at filen skulle være allment tilgjengelig dersom Assange og hans partnere av en eller annen grunn ikke ville være i stand til å åpne filen og legge ut de lekkede dokumentene.

Sikkerheten må være god når man gjør noe sånt, og filen ble kryptert på et nivå som gjør at selv ikke amerikanske NSA med sine massive ressurser, kompetanse og rå datakraft er i stand til å knekke koden for å få åpnet filen.

Assange visste også at han ikke kunne bruke “password” eller andre enkle vanlige passord, da det ville gjort det mulig å bruke lister med kjente passord eller ordlister for å finne frem til riktig passord raskere enn en standard algoritme. Tilsvarende er det god grunn til å tro at han neppe brukte fødselsdatoen sin eller noe som helst annet man kan resonnere seg frem til ved å analysere ham eller miljøet rundt ham.

WikiLeaks og Assange gjorde kort og godt alt riktig i henhold til alle sikkerhetsrutiner og sikkerhetsprosedyrer. Med mindre det er informasjon som jeg ikke har fått med meg, så vil jeg anta at dette var et tilnærmet perfekt sikkerhetsopplegg.

Aftenposten sitter likevel med en komplett kopi av hele innholdet.

Det er ikke fordi Aftenpostens redaksjon består av verdens smarteste hackere eller fordi de har fått innholdet fra noen som er det. De har fått tak i alle lekkede dokumenter fordi selv verdens mest perfekte sikkerhetsløsning kan hackes. Selv uten en eneste feil, så har ethvert sikkerhetssystem et stort gapende sikkerhetshull.

Stikkordet er tillit.

Tillit er noe man må gi noen når det dreier seg om data som skal sikres. Hvis informasjonen skal brukes til noe, så må man stole på den eller de som får informasjonen, og Julian Assange måtte også det.

For hvis Assange var den eneste med koden til å åpne “insurance”-filen, så ville ingen fått tak i innholdet dersom han ble arrestert eller på annen måte hindret fra å si koden til noen. Han måtte derfor stole på noen, og ha tillit til at de ivaretok hans interesse av å holde koden og informasjonen hemmelig.

Det sier seg selv at han ikke kunne gi den tilliten til hvem som helst, og ei heller til mange. Samtidig kunne han heller ikke begrense seg til sine nærmeste. Dersom Assange alene kan hindres i å spre koden, så kan mektige fiender også hindre flere personer i å spre koden hvis de får tak i alle samtidig.

Assange måtte derfor sikre seg og WikiLeaks gjennom å gi koden til mange nok, og til personer på flere steder, slik at det ikke ble mulig å sette hele WikiLeaks ut av spill gjennom en koordinert aksjon.

Ettersom det var tvingende nødvendig at disse personene måtte kunne åpne informasjonen uavhengig av hverandre, var det heller ikke mulig å benytte seg av teknikker som forutsetter at flere koder må brukes sammen for å åpne innholdet. Dersom Assange og hans nærmeste ble tatt, så måtte dataene kunne åpnes raskt av den eller de som ikke var tatt.

Så vidt vi vet har ikke dette skjedd, men vi vet at Aftenposten har hele innholdet, samt at det er mot Assange’s vilje. Vi vet også at koden neppe er knekt, og dermed står vi igjen med en veldig enkel forklaring.

En av personene som Julian Assange hadde tillit til, brøt med Assange og sørget på ett vis at Aftenposten fikk alle de lekkede dokumentene.

Tilitten ble brutt.

WikiLeaks har hatt en intern uenighet, og noen har brutt ut. De kritiserer hverandre, og det er umulig for oss på utsiden å vite hva som egentlig er sant og hva som bare er påstander i en bitter konflikt, men det spiller da heller ingen rolle.

Sluttresultatet av mistilliten internt i WikiLeaks er uansett at en av verdens best sikrede krypterte filer endte ukryptert i hendene på Aftenposten.

Hvorvidt det var gjennom ett, to, tre eller flere ledd, eller hvem det var spiller heller ingen rolle. Det er heller ikke sikkert at verken Aftenposten eller Assange vet hvem det var. Hvis de vet, så forteller de det neppe, men det er i hvert fall slik Aftenposten fikk WikiLeaks.

Jeg sitter på SKUP-konferansen når jeg skriver dette, og jeg skriver det før Aftenposten skal fortelle oss noe om WikiLeaks-saken. Det gleder jeg meg veldig til å høre, og jeg håper at mitt bidrag her i denne bloggen både gir de en bit av puslespillet, samt at det forhåpentligvis inspirerer de til å gi oss litt mer kjøtt på beinet.

Vi hadde jo ikke vært journalister hvis vi ikke var nysgjerrige…

Jeg skriver også om dette i en annen anledning, og det er Datalagringsdirektivet. På mandag skal Høyre og Arbeiderpartiet banke gjennom dette overvåkningsdirektivet i Stortinget, og Høyre løper rundt i villfarelsen om at deres ledelse kan stave IT.

Det kan de ikke, men de skryter likevel av hvordan de har sikret trafikkdataene gjennom noen innfløkte krav og retningslinjer som de tror vil hjelpe. Det inkluderer blant annet kryptering.

Jeg vil oppfordre enhver journalist som intervjuer Høyre eller Arbeiderpartiet om DLD til å be politikerne forklare hva kryptering er for noe. Det tror jeg kan bli både morsomt og avslørende.

Deretter vil jeg be de samme journalistene om å spørre disse politikerne hva det er de vet, som Assange og WikiLeaks ikke har skjønt?

Spørsmålet er selvsagt retorisk. Det kan derfor være lurt å ha et oppfølgerspørsmål, og med utgangspunkt i at tillit er svakheten i selv perfekte sikkerhetsløsninger, foreslår jeg følgende spørsmål:

Hvordan ødelegger man tillit?

 

OPPDATERING: Jeg ble gjort oppmerksom på at det kan fremstå som at Aftenposten er de eneste som har alle dokumentene, noe som ikke er korrekt. WikiLeaks delte alle dokumenter med flere redaksjonelle partnere i tradisjonelle medier. Aftenposten fikk tilgang til disse dokumentene uten å være med i den gruppen.

Grav deg ned i tide

Endelig er den min! SKUP’s legendariske T-skjorte der det står “Grav deg ned i tide“.

Dette er samme T-skjorte som Julian Assange fikk da han besøkte SKUP i fjor, og som han hadde på seg da det blåste som verst like etter fjorårets første store lekkasje fra WikiLeaks.

Som daglig leder og gründer av Gravemaskinen AS, måtte jeg selvsagt ha denne T-skjorten. Sammen med mine partnere i Atbrox AS (som jeg selvsagt også har kjøpt denne T-skjorten til) har vi jo laget den avbildede Gravemaskinen.

Gravemaskinen er utviklet for å hjelpe alle journalister med gravejournalistikk, og T-skjorten har derfor dobbelt mening for oss.

At teksten også sier at vi må grave oss ned i tide, velger jeg også å tolke relatert til Datalagringsdirektivet som vil tvinge alle journalister til å skjule seg selv og kildene for statens overivrige overvåkere. Litt søkt kanskje, men det er et ubestridelig faktum at det er god gravejournalistikk som må til for å avsløre slike farlige maktmennesker.

Og når man først har både T-skjorten og Gravemaskinen, så må jeg jo si meg godt fornøyd med at jeg også har en skikkelig arbeidshjelm. Med dette føler jeg meg godt rustet til å sette i gang med litt skikkelig gravearbeid…

Mest om USA, Iran, Afghanistan og Russland så langt

Wikileaks slipper fortløpende de lekkede dokumentene fra den såkalte Cablegate.

Enn så lenge er det relativt få av en kvart millioner dokumenter som er lagt ut. I følge Dagsavisen’s speiling er det snakk om 3.436 av 251.287 dokumenter.

I mine øyne er dette et overraskende lavt tall. Hvorvidt det skyldes at Wikileaks er så seriøse som de selv påstår i forarbeidet før dokumentene slippes, eller om det er amerikanske myndigheter som har lykkes i å bremse ned aktiviteten vet jeg ikke.

Det er mange måter å se på de åpent tilgjengelige dokumentene, og jeg har nå laget en liten oversikt over hvilke land som er mest omtalt:

At USA selv topper listen er ingen overraskelse ettersom der er USA’s dokumenter som er på avveie. De vil nødvendigvis toppe listen.

Mer interessant er det å se hvilke land som følger etter. Dette er jo ikke listen over omtale i alle dokumentene, men omtale i de dokumentene som WikiLeaks har publisert. Det betyr at oversikten over hvilke land som er omtalt gir en viss pekepinn på hvor WikiLeaks og publiseringspartnerne har rettet sitt fokus.

Vi ser f.eks. at Norge ikke er spesielt hyppig omtalt, samt at de 10 mest omtalte landene stort sett er relatert til land som hyppig frekventerte nyhetene også før WikiLeaks lekkasjen.

På mange måter kan det virke litt som at interessen for WikiLeaks har dabbet av noe i de norske redaksjonene, noe som muligens kan skyldes at Aftenposten sitter på rubb og stubb. Det betyr jo at det blir vanskeligere for f.eks. VG og Dagbladet å finne noe unikt som ikke Aftenposten lett kan toppe etterpå.

Sånn sett er det kanskje en journalistisk ulempe at en enkelt norsk redaksjon sitter på mer informasjon enn de andre. Kanskje ville det vært bedre om det var to norske redaksjoner, slik at det ble litt konkurranse om å finne de journalistiske poengene?

På den annen side er det fullt mulig å finne nye redaksjonelle poeng og nyheter i det eksisterende materialet. Det er bare å se på innholdet fra en annen vinkel…

Sex, løgn og Datalagringsdirektivet

Fikk du napp på byen i helga? Det var spørsmålet jeg stilte i min kronikk om Datalagringsdirektivet som ble publisert i Dagbladet (papir og nett) mandag for 2 uker siden.

Det var en ekstremt tabloid vinklet kronikk, der jeg blant annet forklarte hvordan Datalagringsdirektivet kan brukes til å lage “morsomme” Skattelistelignende artikler med lister over “Norges mest utro politikere” og “Kjendisene som ligger med flest”. Merk dog, at på tross av at dette trolig er den mest tabloide kronikken som er trykket i en avis i Norge i år, så inneholdt den ingen faktafeil!

Det gjorde derimot svaret, som kom fra stortingsrepresentantene Arve Kambe fra Høyre og Håkon Haugli fra Arbeiderpartiet. De har frekkhetens nådegave, og presterte i fullt alvor å skrive at “Datalagringsdirektivet styrker personvernet”. Der gjentok de sin løgn om at bare politiet skal få tilgang til dataene, en løgn jeg enkelt dokumenterte i min oppfølger: Her burde ikke Storberget vært overasket

Jeg fikk også anledningen til å tilbakevise deres latterlige argument om at dataene skulle sikres mot misbruk, da jeg møtte Arve Kambe til radiodebatt på politisk kvarter onsdag 24. november på P2. Der poengterte jeg blant annet at politikerne ikke kan “vedta at dataene er sikre” samtidig som de ignorerer alle advarslene fra alle ekspertene i IT-bransjen som faktisk jobber med dette.

Her er innslaget fra Politisk Kvarter. Debatten om Datalagringsdirektivet er fra ca 08:35 og ut sendingen. Jeg ble litt sint, men jeg kan ikke skjønne hvordan jeg ikke skulle blitt det med tanke på løgnen som ble servert av min meningsmotstander – nok en gang.

Det er nå 2 uker siden min første kronikk sto på trykk, og justisminister Knut Storberget har ennå ikke svart på noen av de jeg skrev. Han er travelt opptatt med å forberede seg på å banke Datalagringsdirektivet gjennom i Stortinget før jul – og før WikiLeaks (nok en gang) dokumenterer at hans påstander om at bare politiet skal ha tilgang er en løgn.

Det har vært skremmende å følge politikernes tankeløse fremgangsmåte for å implementere Datalagringsdirektivet. Nå er Høyre den norske rettsstatens siste skanse, men så langt har ledelsen deres fremstått som like prinsippløse som vår justisminister.

Jeg håper jeg tar feil, men jeg frykter at Høyre ikke har den ryggraden som kreves av politikere som vil det beste for Norge.