FRA ser dig

Den hett omdebatterade FRA-lagen röstades igenom den 14 oktober 2009, trots enorma protester från allmänhet och många experter. Men hur påverkas vi av lagen? Måste vi använda hårdkryptering och TOR-nätverket för att slippa övervakning?

Det som brukar kallas FRA-lagen är egentligen både ett gäng ändringar av äldre lagar och en ny lag, lagen (2008:717) om signalspaning. Syftet med samtliga är att göra det möjligt för Försvarets Radioanstalt (FRA) att utföra signalspaning inte bara på radiotrafik utan även kabelburen trafik, alltså i princip internettrafik, som passerar landets gränser.

Kontroversen som uppstod när lagförslaget lades fram handlade framför allt om det breda integritetsövergrepp som lagen i sin första version innebar, och även efter de ändringar som infördes har många varit och är fortsatt kritiska mot lagen.

Istället för att ge oss på en politisk - eller kanske filosofisk - debatt om lagens brister och förtjänster tänker vi gå igenom hur du påverkas och vad du kan göra om du har hemligheter som du vill kommunicera utan att Storebror har en chans att avlyssna dig.

Gäller inte inom Sverige
Om trafiken sker inom Sverige har FRA inte alls rätt att spana, oavsett om trafiken passerar ut och in igen genom att routas runt på internet eller fysiskt håller sig inom landet.

För att få spana på en enskild person eller något annat måste domstolsbeslut inhämtas. Personer som har undersökts kan få reda på det via Datainspektionen, som är kontrollmyndighet för den här verksamheten hos FRA.

Det vore mycket naivt att tro att bara svenska myndigheter sysslar med signalspaning på nätet. Snarare får man nog säga att det är troligt att de flesta regeringar gör det på en eller annan nivå. Lyssnar vi på konspirationsteoretiker lär NSA övervaka hela internet ner till minsta e-post, och det sägs till och med att spionorganisationen har bakat in ”bakdörrar” i till exempel PGP (även om några bevis inte finns, så klart).

När det gäller företag i utlandet finns det även en annan fara – att myndigheter tvin­gar företag att bryta mot sina egna sekretessregler. Det har hänt, både öppet och i smyg och det är svårt att skydda sig utan att sluta använda tjänsterna i fråga. Twitter är ett paradexempel. Företaget fick lämna ifrån sig alla meddelanden från användare som inte är amerikanska medborgare, med anknytning till Wikileaks, trots att ingen åtalats.

Så skyddar du dina mejl

Om du vill skydda din kommunikation kan du göra det på flera sätt. Vill du till exempel läsa din mejl i fred kan du helt enkelt koppla upp dig via https för att kryptera överföringen (se ”Killen i hörnet ser dig”). Men om du skickar ett mejl till någon annan i Sverige är det mycket troligt att det kan läsas när det har lämnat mejlservern.

Riktigt säker blir inte e-posten förrän du krypterar den, till exempel med Gnupg (macversion finns på gpgtools.org). Men detta är fortfarande ganska krångligt och du måste övertyga dina vänner och bekanta att också börja använda kryptering för att det ska fungera riktigt bra.

Ett alternativ om du någon gång får för dig att skicka något som är väldigt exceptionellt eller extremt privat är att skapa en krypterad skivavbildning med Skivverktyg som ligger i Verktygsprogram i Programmappen. Välj ett riktigt långt och säkert lösenord och lägg de känsliga filerna i den. När du har skickat den kan du sedan tala om vad lösenordet är när du träffar mottagaren eller skicka det över en krypterad uppkoppling om ni inte kan träffas, till exempel i ett Skypesamtal (inte textchatt).

Killen i hörnet ser dig

Nu för tiden är gratis wifi snarare regel än undantag på kaféer. Många restauran­ger, hotell och andra ställen har också mer eller mindre öppna nätverk. Även om de kräver ett lösenord för inloggning och använder wpa-skydd är du väldigt oskyddad när du surfar från sådana nät. All icke-krypterad trafik, det vill säga hemsidor du besöker, inloggningar som inte sker med https, e-post som skickas utan ssl-skydd och så vidare, kan nämligen läsas förvånansvärt lätt av andra som sitter på samma nätverk.

Problemet ligger i att data som skickas i dessa nät kan snappas upp av alla på nätverket, inte bara av routern eller basstationen. Det innebär att du måste klassa allt du gör som öppet för allmän beskådan. Alla hemsidor du besöker som inte använder https, mejl du skickar utan att använda ssl, okrypterad textchatt, och så vidare – allt är potentiellt öppet för vem som helst att läsa.

Säkert med vpn
Det har blivit ett allt vanligare sätt för hackare att exempelvis komma över konton på Facebook och Twitter, som i vanliga fall inte använder krypterade uppkopplingar. Vi skulle kunna kalla det dagens motsvarighet till 90-talets ”oj jag glömde visst logga ut från hotmail på datorn i skolans bibliotek och nu vet alla vilka jag har mejlat med”.
Så hur gör du för att skydda dig då? Det absolut säkraste är att skaffa tillgång till vpn – virtual private network.

Det innebär att all trafik från din dator går via en krypterad uppkoppling till en server någonstans och därifrån ut på nätet. Tekniken används av företag och myndigheter för att låta anställda jobba hem­ifrån eller på resande fot, och är en beprövad och pålitlig metod. Men för privatpersoner kostar det pengar, och om du vill spara finns det ändå ganska mycket du kan göra för att skydda dig utan att betala ett korvöre.

Använd https

De flesta stora sajter som Google och Facebook erbjuder möjligheten att koppla upp dig säkert med certifikat och ssl. Testa om en sida kan säkras genom att manuellt skriva in https:// före adressen, till exempel https://mail.google.com för gmail. Facebook har en inställning (inställningar -> säkerhet -> säker surfning). Om en sida inte har https-stöd, var extra försiktig med att lämna ut personuppgifter och lösenord.

Här är några större sajter med https-stöd. Det kan vara bättre att använda dem än till exempel ett fristående chattprogram:

Ett stort undantag är Yahoo, som erbjuder https för inloggning men inte för resten av uppkopplingen – det är alltså bara ditt användarnamn och lösenord som skyddas, inte dina mejl.
Se även upp med fristående appar som inte alltid skickar sina data krypterat, även om att sajten i fråga stödjer https. Det gäller till exempel Twitterklienter eller appar som Adium.

Sida 2 / 4

Innehållsförteckning