OpSec – Hur fungerar det med dagens teknik?

I vår serie om OpSec, Operational Security, är det nu dags för andra delen. Första delen handlade om begreppet OpSec, vad det betyder och hur det använts tidigare.

I andra delen av vår artikelserie om OpSec, Operational Security, kommer vi grotta ner oss i teknik och de tekniska aspekterna kring OpSec. Vad finns det för teknik, kan vi använda vår vardagsteknik utan att lämna ut för mycket information om oss själva?

Dagens teknik

De senaste 20 åren har vi sett enorma framsteg i vår vardagsteknologi. Våra datorer har gått från enkla, grovhuggna, användargränssnitt till att bli mogna, relativt väl fungerande arbetsredskap med stor mångsidighet. Telefonerna har utvecklats från stora klumpar till små, lätthanterliga enheter med kapacitet som för 20 år sedan var mer eller mindre otänkbart. VHS-spelaren har ersatts med en extern enhet i litet format som spelar in med hög kvalitet direkt på hårddiskar. Filmer hyr vi inte längre från handlarn på hörnet, vi väljer och vrakar ur ett gigantiskt utbud från utländska streamingbolag till samma kostnad som två hyrfilmer för 20 år sedan.

Vi kan med mycket god noggrannhet säga vart vi (eller vår telefon) befinner sig i och med GPS/Glonass/Beidou är tillgängliga för i princip alla som vill använda systemet. Kartor i pappersform blir mer och mer ovanliga.

Genom sociala medier kan vi hålla de vi vill (och ibland även de vi inte vill) informerade om vad vi gör eller vart vi är. Våra bärbara enheter är ständigt uppkopplade mot Internet, utan att vi behöver vidta några speciella åtgärder.

Det är nog få som tycker att den tekniska utvecklingen är dålig, däremot har en del synpunkter på konsekvenserna av den tekniska utvecklingen. Den stora massan är dock ovetandes om vilken typ av information som faktiskt delas och tillgängliggörs, samt vilka konsekvenser det kan få i det långa loppet.

Mobiltelefonen

Dagens smartphones är för de flesta ett multifunktionellt verktyg som blivit mycket mer än bara en möjlighet att ringa någon när vi inte har tillgång till en vanlig telefon. Vi söker information via någon sökmotor, vi har inköpslistor, navigationsappar, diverse sociala medier, dugliga kameror (som i princip dödat marknaden för kompaktkameror) och en kompetens förströelsemaskin i form av spel och e-böcker.

Mobiltelefonens stora fördel är att allt är mer eller mindre integrerat. Det är enkelt att ta en bild och lägga upp på t.ex. Instagram eller Facebook. Du kan slänga upp en tweet medans du står i kön i mataffären och du kan kolla om ungarna är på väg hem efter skolan eller om dom åkt hem till någon kompis. Allt är enkelt och smidigt, det enda du behöver göra är att installera en app. Vad man inte tänker på alla gånger är vad det innebär att installera en app.

opsec teknik

Redigering av behörighet till GPS på en Android-telefon

När du installerar en app så begär den nästan alltid tillgång till diverse andra resurser på din telefon. Det kan vara GPS, kontakter, e-post, kamera eller andra funktioner som appen behöver, eller anser sig behöva för att kunna leverera full funktionalitet.

Som tur är så har tillverkarna av mobiltelefonerna operativsystem (främst de två stora Google och Apple) börjat ta tag i de värsta syndarna bland apptillverkarna. Man ger också användaren möjlighet att själv konfigurera tillgång till olika resurser på telefonen på app-basis.

Men, handen på hjärtat, hur många (förutom de som läser den här artikeln), kontrollerar och gör justeringar? Låter du Appstore eller Google Play Butiken få tillgång till din GPS? Varför behöver dom det? Varför vill appen Google Sök i standardkonfiguration komma åt din kalender?

 

opsec teknik

Redigering av behörighet till GPS på en iPhone

I grundinställningarna på en mobiltelefon så har kameran tillgång till GPS:en. Varje gång du tar en bild så bäddas GPS-information in i bildfilen i så kallat EXIF-format. Du kan själv testa dina mobilbilder och se hur exakt den positionerar platsen där bilden är tagen. Sajten som jag länkar till läser in all EXIF-data från en bildfil och presenterar den. Finns det GPS-info så får du även en karta som visar vart bilden är tagen, och har du en modernare telefon med inbyggd kompass så ser du även i vilken riktning bilden är tagen.

Utöver att diverse appar har tillgång till känslig information i din telefon så har även själva mobiltelefonnätet bra koll på vart du är. Din telefon är ständigt i kontakt med en basstation, men inte nog med det, den har även koll på närliggande basstationer. Detta behöver telefonen veta för att ge dig de bästa förutsättningarna för bra bandbredd och samtalskvalitet. Den väljer i princip alltid att använda sig av den basstation som ger bästa täckning vid varje givet tillfälle. I städer har telefonen kontakt med flera basstationer, på landet är det färre, men resultatet är det samma, teleoperatören har koll på din telefon med relativt god noggrannhet.

Detta utnyttjas främst av polisen och säkerhetspolisen när man t.ex. utreder grövre brott. Man har (än så länge) ingen laglig rätt att installera spionprogramvara som t.ex. loggar telefonens position via GPS, utan man begär ut information från teleoperatörerna om vart en specifik telefon (eller abonnemang) befinner sig eller befann sig vid en given tidpunkt som en del i utredningen. Man kan även i vissa fall få ut information om alla telefoner/abonnemang som befann sig i ett viss område vid en viss tidpunkt. Man får inte samma precision som med GPS, men man får tillräckligt god angivelse för att kunna avfärda eller styrka närvaro i närområdet där brottet begicks.

När du köper en ny mobiltelefon så kommer telefonens så kallade IMIE-nummer (unik identifierare för just din telefon som används av telefonväxlarna) att registreras på dig som person. Gör du som de flesta, köper ny telefon på avbetalning (ja, det är ett kreditköp när du köper telefon med förhöjd månadsavgift på nytt eller befintligt abonnemang) så har din operatör koll på att det är du som köpt telefonen (om du nu inte har förfalskad ID-handling när du gör upp köpet) och via sina växlar full kontroll på din telefon, även om du stoppar i ett annat SIM-kort, t.ex. från en annan operatör.

I Sverige säljs det inte så kallade “burner phones”, dvs telefoner som säljs med en viss samtalstid, när den är slut är telefonen oanvändbar och slängs. Något som är vanligt i t.ex. USA och används kanske främst av kriminella, men det är även ett alternativ om du ska dit som turist och inte vill ha med dig din telefon eller få din telefon registrerad i utländska teleoperatörers system, där du inte har en aning om under vilka förutsättningar t.ex. polisen får ta del av uppgifter.

Har du ambitionen att vara anonym här i Sverige kan du dock välja att köpa en billig telefon med ett kontantkort på en stormarknad typ Elgiganten alternativt begagnat från en privatperson – glöm inte att betala kontant, ladda på det genom att återigen använda kontanter i en kiosk och sen helt sonika låta bli att registrera kontantkortet. Eftersom det finns telefoner med ett kontantkort i för någon hundring idag så är det inte en jättestor kostnad. Tänk återigen dock på att lämna din vanliga telefon hemma om du inte vill bli ihopkopplad med kontantkortstelefonen, och rör dig främst där det är gott om människor i rörelse.

Fast internetanslutning

Många har en fast internetanslutning i sin bostad, antingen via ADSL eller fiber i något stadsnät. Här är de flesta väl medvetna om att det inte går att dölja sina aktiviteter utan att man vidtar åtgärder. Anslutningen man har är knuten till någon i hushållet och det är dessutom kopplat till en adress, och i förekommande fall, ett lägenhetsnummer.

opsec teknik

ADSL-modem

Dessa uppgifter är dock inte åtkomliga för allmänheten, även om man kan få relativt god koll på vart personen befinner sig genom att få tag på IP-numret som används. Genom att använda sig av en GeoIP-tjänst kan man mata in IP-numret och få fram en plats där personen möjligen befinner sig. Det är dock inte så specifikt som man kan önska sig alla gånger, men kombinerar man data (t.ex. EXIF från foton personen tagit) så kan man få en god uppfattning om i vilken stad personen bor och kanske till och med ner på stadsdels-nivå med lite arbete…

Trafiken som går till och från din bostad har din internetoperatör tillgång till och lagrar under en viss tid (minst 6 månader och max upp till två år). Allt enligt Datalagringsdirektivet som EU beslutade om 2006. Sverige var sena med att implementera detta direktiv, det blev svensk lag först 2012. I nuläget har flera länder i Europa har ett antal konstitutionsdomstolar ogiltigförklarat nationella lagar som implementerar datalagringsdirektivet efter en dom i EU-domstolen där direktivet förklarades ogiltigt. Detta har Post- och Telestyrelsen (PTS) inte lyssnat på, utan i Sverige så är berörda tele- och internetoperatörer fortfarande skyldiga att lagra trafikinformation.

För att skydda din privata information som överförs via din fasta Internetanslutning bör du använda någon form av anonymiseringstjänst. Den mest kända är TOR, som är gratis att använda. TOR är baserat på fri programvara och ger ett visst skydd, men inte fullgott. Det är också ett relativt långsamt nätverk vilket gör det lite svåranvänt under vissa perioder. Det har även förekommit attacker mot system i infrastrukturen som gjort det möjligt att kartlägga användares trafikmönster. Det ryktas om att bl.a. FBI gjort detta vid några tillfällen.

Om du verkligen vill vara anonym och inte läcka information om vilka sajter du besöker, vilka du kommunicerar med osv så ska du hålla dig undan från att använda din egen fasta anslutning. Det är betydligt mycket bättre att använda t.ex. TOR via någon annans fasta anslutning, t.ex. genom att bereda sig tillgång till deras trådlösa nätverk.

Svårt vara helt anonym

I dagens teknikintensiva samhälle är det svårt att vara anonym. Tekniken är “hjälpsam” och användarvänlig, vilket å ena sidan är bra, å andra sidan rent åt skogen. Är tanken att medborgaren ska vara konstant övervakad? Argument som “har man rent mjöl i påsen så gör det väl inget” är bara enkla försök att dra sig undan en jobbig diskussion. Faktum är att idag är det enkelt för vissa myndigheter att ha rätt  god kontroll över landets medborgare, vart dom är och hur dom rör sig vid olika tidpunkter. För en relativt blygsam summa är det möjligt att bygga ett system som hela tiden håller koll på alla mobiltelefoner som befinner sig inom landets gränser. Nödvändig information finns hos mobilteleoperatörerna och det är nog inte allt för svårt för någon av landets underrättelseverksamheter att få permanent tillgång till viss data genom att hänvisa till rikets säkerhet.

opsec teknik

Frågor om vår personliga information och vår rätt till integritet tenderar att bli styvmoderligt behandlade, då många utgår från att staten är god och inte vill medborgarna något illa. Och så är det nog i många fall. Problemet är att staten inte är en känslokall maskin som enbart agerar utifrån skrivna regler. Staten är i realiteten alla de människor som är anställda inom stat, kommun och landsting/regioner, och dessa människor är definitivt inga känslokalla maskiner (eller ja, några finns det ju såklart) utan människor som är som folk är mest, dvs nyfikna på varför grannen kan gå hemma hela dagarna utan att lida brist på pengar?, är senaste krogragget friskt? eller har dotterns nya pojkvän något otalt med polisen? Fullt naturligt beteende för en människa, men olagligt att ta reda på hur som helst via statens register.

Alla måste inse att vi inte kan lägga allt ansvar för våra liv i statens till synes varma famn. Vi har ett eget ansvar för vårt liv. Vill du vara ständigt övervakad så är det ok, om du gjort ett informerat val där du är medveten om alla aspekter av beskärningen av din rätt till privatliv och integritet.

Den här artikeln ger dig en av många pusselbitar som krävs för att förstå hur mycket information som sprids och som hanteras av myndigheter och företag. Vi kommer fortsätta denna artikelserie nästa lördag och då kommer vi titta djupare på sociala medier, hur enkelt det är att kartlägga de som vill vara anonyma men som gör vanliga, enkla misstag som i sin tur gör att man kan ta fram deras identitet.

Följ mig på

Peter Bivesand

Prepper, fotograf och allmänt politiskt intresserad. Analytiskt lagd utan skygglappar. Duckar inte för de svåra frågorna.
Följ mig på

Latest posts by Peter Bivesand (see all)

Kommentera

This site uses Akismet to reduce spam. Learn how your comment data is processed.