nrk.no

Slik tipser du NRK over krypterte kanaler

Kategori: Sikkerhet


NRKbeta er opptatt av nettsikkerhet, og har derfor laget en artikkelserie hvor vi presenterer tips og råd for hvordan du enkelt kan surfe fritt og trygt på nettet.

I den første artikkelen i serien ser vi nærmere på hvordan kontakten mellom deg som tipser og NRK kan foregå på en sikker og anonym måte.

 

NRK har siden oppstarten mottatt informasjon og tips fra publikum. I begynnelsen brukte man brev, så telefon, og til sist e-post. I all hovedsak er løsningen vi lanserer i dag bare en utvidelse av disse tradisjonelle tipstjenestene.

Vi tar i dag i bruk en løsning som lar deg ta kontakt med NRK over en sikker og kryptert kanal. Denne løsningen er spesielt myntet på deling av sensitiv informasjon.

Kildevernet er et grunnleggende prinsipp i et fritt og demokratisk samfunn (PFU pkt. 3.4), og det er en medieinstitusjons ansvar å sørge for at dette blir ivaretatt. Som kilde skal du ha mulighet til å snakke med NRK uten frykt for at utenforstående overvåker kommunikasjonsstrømmen.

Edward Snowdens avsløringer om digital masseovervåkning har gjort oss mindre naive: Vi går ikke lenger ut i fra at det vi skriver i en epost nødvendigvis forblir privat.

At myndigheter aktivt undergraver pressens mulighet til å verne om egne grunnprinsipper, gjør at vi må tenke alternativt når det kommer til sikkerhet. Dette hensynet er spesielt viktig i saker som avdekker kritikkverdige forhold, og der varsleren står ovenfor potensielt alvorlige konsekvenser om hun eller han blir avslørt.

Med dette i bakhodet har vi tatt et viktig grep for å sørge for at NRKs kilder skal ha mulighet til å avsløre samfunnskritiske forhold uten frykt for represalier.

SecureDrop – arven fra en frihetsidealist

NRKbeta lanserer i dag en plattform for kilder og varslere, hvor all kommunikasjon foregår kryptert og sikkert.

Aaron Swartz er hovedmannen bak programvaren som NRKs løsning er basert på. Bilde: Faksimile fra filmen The Internet's Own Boy.
Aaron Swartz er hovedmannen bak programvaren som NRKs plattform er basert på. Bilde: Faksimile fra filmen The Internet’s Own Boy.

Løsningen er basert på SecureDrop – et system utviklet av frihetsidealistene Aaron Swartz og Kevin Poulsen. Aaron Swartz tok livet sitt i fjor, etter en lengre kamp mot myndighetene.

Systemet er myntet spesielt på sikker kommunikasjon mellom kilder og journalister, og vedlikeholdes av pressefrihetsorganisasjonen Freedom of the Press Foundation.

Vår sikre plattform eksisterer på det krypterte nettverket TOR – og er ikke tilgjengelig i den vanlige nettleseren din. Dette er et kritisk steg for å sørge for at kildevernet forblir inntakt.

Les saken: Hva er TOR-nettverket?

Det er også viktig at du ikke besøker løsningen fra dine sedvanlige oppholdssteder: Ta heller med deg datamaskinen til et offentlig sted, logg på det trådløse nettverket og send oss informasjonen derfra. Dette gjør det vanskeligere for utenforstående å spore deg. Hvis du vil være helt sikker på at du ikke er sporbar, bruker du i tillegg en annen datamaskin enn den du vanligvis bruker.

Vi har opprettet en egen nettside som forklarer hvordan du bruker NRKbetas sikre plattform: https://nrkbeta.no/tips/

Dette er skjermen du blir presentert med når du besøker NRKs SecureDrop-portal.
Dette er skjermen du blir presentert med når du besøker NRKs SecureDrop-portal.

Når du leverer informasjon til oss via løsningen, er det opp til deg å bestemme hvorvidt vi skal kjenne identiteten din. Du vil bli gitt et kodenavn som benyttes for videre kommunikasjon.

All tekst og alle bilder som sendes gjennom løsningen, blir sikret med den kraftigste formen for kryptering som brukes i dag.

For de teknisk nysgjerrige: All informasjon er kryptert hele veien med en 4096 bits PGP-nøkkel, som igjen er sikret med et fryktelig langt og komplisert passord. Informasjonen lastes ned på en maskin som kjører TAILS-operativsystemet. Informasjonen overføres videre til en minnepinne, og dekrypteres på en maskin som aldri har vært tilkoblet internett. NRKbetas SecureDrop-plattform ligger i tillegg på maskiner som står utenfor NRKs sedvanlige nettverk.

SecureDrop har de siste årene blitt en industristandard for sikker kildekontakt, og er i bruk av nyhetsorganisasjoner som The Guardian, The New Yorker, Forbes, ProPublica og flere andre aktører.

Hvis du vil lese mer om SecureDrop, anbefaler vi Kevin Poulsens artikkel om systemets fødsel.

77 kommentarer

    • Henrik Lied (NRK) (svar til Thorstein Klingenberg)

      Det er nok grenser for hvor mye vi klarer å identifisere oss med Will McAvoy, men serien er jo underholdende, og tar i blant opp interessante problemstillinger. 🙂

    • Digger tv-serien, og blir synd å se den slutte så altfor tidlig, men i den første episoden av sesong 3 gjør de en rar feil syntes jeg.
      Noen spør om Neal Sampat sin krypteringsnøkkel? Hvis de hadde brukt PKI (som jeg får inntrykk av) så burde hans offentlige nøkkel ligget ute, for hvem som helst å laste ned.
      Oppevarer han den private nøkkelen på maskinen han bruker(som han dekrypterer første kontakt med), så trengte han aldri air gapped maskin. Sikkerhetssvikt!

      Takk NRK! Viktig at noen mediehus tar personvernet på alvor!

    • Kristian Fiskerstrand (svar til Didrik)

      Man må fremdeles validere en offentlig nøkkel via annen kanal før man bruker den, ellers utsettes man enkelt for MITM-attacks. Air-gapped maskin er også nødvendig i en del trusselsmodeller , og temmelig vanlig å i det minste oppbevare primærnøkkel i f.eks OpenPGP sammenheng offline, mens man har egne signing, encryption og authentication subkeys som man bruker til daglig og roterer oftere.

    • Kjetil Kjernsmo (svar til Bjarne)

      Joda, jeg er på keybase.io, men jeg vet ikke helt hva jeg mener om den ennå… 🙂 Jeg skulle egentlig ønske PGP som en solid base for sosiale nettverk, ikke omvendt. Så, jeg tror keysigning parties fortsatt er noe man bør holde.

  1. Er det meningen at vi vanlige dødelige, med ellers STOR datakunnskap skal forstå disse kommentarene? Ellers et det veldig bra at det et mulig å tipse media uten å bli identifisert ☺

    Svar på denne kommentaren

    • Henrik Lied (NRK) (svar til Hans Kristian)

      Hei, Hans Kristian –

      Vi er selvfølgelig ivrige brukere av PGP, og også denne platformen benytter seg av teknologien. Mens PGP obfuskerer innholdet, får du ved å bruke SecureDrop også obfuskert din identitet og geografiske posisjon – selv for oss.

    • så jeg som kilde skal unikt identifisere meg for NRK hver gang vha PGP? det betyr at jeg må ha samme nøkkel hele tiden? så når noen kommer hjem til meg og lurer på hvorfor har NRK «denne informasjonen» og de finner nøkkelringen min, så «nei altså det er helt tilfeldig at NRK er der altså!»

      eller har jeg misforstått noe? (akkurat her innser jeg at sannsynligheten for dette er forholdsvis høy)

    • Henrik Lied (NRK) (svar til navn)

      Er ikke helt sikker på om jeg forstår hva du mener, men hvis du lurer på om bruk av PGP betyr at vi får vite identiteten din, er svaret selvfølgelig nei. 🙂

    • nei det var jo selvfølgelig ikke det jeg mente 😉

      jeg tenkte mer på at om jeg MÅ bruke PGP fra min side?

      det er jo ikke akkurat en ØKET sikkerhet. om man blir tatt og har en nøkkelring med NRKs nøkkel på så er jo saken ganske klar. så noe sikrere identifisering finnes jo knapt.

      dette er litt tosidig. NRK ønsker jo selvfølgelig å vite at dette kommer fra samme kilde (samme nøkkel), og informasjonen kan være mindre pålitelig om den kommer i flere «deler» fra forskjelige personer/steder/annet.

      men om det er brukt samme nøkkel hver gang, så har man jo også unikt identifisert informasjonen til å være overlevert med samme nøkkel. som oftest samme person, men joda det kan trikses her også ved å dele ut private nøkler og dele passord etc…

      men jeg antar at akkurat dette er en liten avsporing fra det opprinnelige, selvom det er tilstøtende.

    • Runa A. Sandvik (svar til navn)

      Hei navn,

      Du må ikke bruke GPG. Om du velger å bruke GPG kan du også lage en ny nøkkel, kryptere informasjonen du har, laste det opp på SecureDrop siden, og deretter slette informasjonen og nøkkelen.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

    • Det er 2 problemer her. Første er innholdet i kommunikasjonen.
      Dette kan løses til en viss grad med kryptering.

      Men ofte er det nok å vite at kommunikasjonen fant sted i det hele tatt. Dette er det vanskelige problemet.

  2. og dette har dere tenkt nøye igjennom?

    for å si det sånn: hvis det finnes noen idioter igjen derute ved siden av klomsete avdokater så får dere sikkert noen tips.

    la oss ta ett lite tenkt eksempel:

    1) det finnes noen få mennesker som har tilgang til noe informasjon
    2) ett av disse menneskene tar å oppretter en forbindelse mot Tor og dumper noe info til NRK kryptert
    3) NRK lager sak på informasjonen

    i utgangspunktet så er det altså 1) som gjelder. kun ett gitt antall mennesker som kan ha gjort dette. av disse menneskene så er det en som har åpnet en Tor forbindelse (ja dette trackes!).

    så kommer spørsmålet: hvem av dette ene mennesket dumpet infoen?

    ikke spesielt vanskelig, siden det jo i det tenkte tilfellet kun er en. å spore dette er mindre vanskelig enn å gjøre det på ett åpent internett, siden «støyen» er mindre.

    gratulerer NRK dere har gjort det MYE enklere å tracke slike «varslere».

    inntil det er fler som bruker Tor enn ikke, så steng tjenesten.

    Svar på denne kommentaren

    • Henrik Lied (NRK) (svar til navn)

      Hei, navn –

      Du kommer her med et par antagelser som ikke er helt reelle.

      Ja, vi vet at Tor-trafikk overvåkes, og at det finnes en hypotetisk måte å identifisere Tor-brukere på. Men i praksis er ikke denne metoden brukbar.

      Så Tor-trafikk overvåkes, men innholdet i trafikken er ikke tilgjengelig med mindre du som overvåker eier både inngangs- og utgangsnoden. Dette har vi så langt ingen eksempler på, og sjansen for at noen kommer i denne situasjonen er nesten utenkelig (siden det er helt tilfeldig hvilke noder du som bruker havner på).

      Tor-nettverkets størrelse har de siste årene fordoblet seg, og tilgjengelig båndbredde har nesten firedoblet seg i samme periode. Når nå Mozilla går inn med sine ressurser, er det lite som tyder på at dette kommer til å minke med det første.

      Så, nei – det blir absolutt ikke enklere å identifisere en Tor-bruker i tiden som kommer. Om man i tillegg bruker SecureDrop fra en lokasjon som man ikke til vanlig surfer på, er det absolutt tryggere å overlevere informasjon over Tor enn uten.

    • jeg har veldig lyst til å skrive «dust» nå altså.

      punkt en er at det du skriver er FEIL! det finnes folk som har blitt tatt UTEN at man har inngangsnode og utgangsnode, og som har holdt seg KUN i Tor-nettet. dette er beskrevet hvordan man statistisk kan beregne seg frem til dette ved å ha ett gitt antall noder i nettet. jo fler noder og jo fler ganger en bruker kobler seg på Tor jo enklere identifisering.

      det er en grunn til at NSA driver mange av disse nodene.

      poenget er følgende:
      det er UPROBLEMATISK å detektere at noen starter opp en Tor forbindelse. hva som går på den er litt irrelevant. hvor den går hen er også irrelevant.

      det som er markøren er «tor trafikk». ønsker man å være «anonym» er Tor det siste man bør benytte, siden bare det å starte Tor er en så kraftig markør i forhold til en del etater at man vil nærmest garantert få noen øyne på seg.

      noe så tåpelig som «Så, nei – det blir absolutt ikke enklere å identifisere en Tor-bruker i tiden som kommer.» er jo bare helt fjernt dumt. i det øyeblikk man har startet Tor så er man identifisert. man vet ikke nødvendigvis hva du gjør, eller hvilke sider man besøker, men man vet du er en Tor-bruker.

      så om en eller annen idiot (tidligere nevnt klomsete advokat for eks) åpner tor hjemmefra og lemper over til NRK så er settet av «har hatt tilgang til informasjon» og «hvem har åpnet Tor» fort lik 1.

      å gjøre dette fra en åpen wifi el. er heller ikke noe problem fordi maskinen er identifiserbar i det øyeblikk den har åpnet en torforbindelse, med mindre man også trikser med MAC-adresser etc.

      ergo er løpet kjørt og man er mer enn tydelig avslørt.

      og jeg har ikke engang turt å tenke på hvordan NRK vil avsløre kildene sine når de har «bearbeidet» informasjonen (igjen hvordan klomsete advokater kan avsløres)…

      med tilsynelatende såpass lite kjennskap til sikkerhet, så ville jeg vært veldig forsiktig med å være så bastant som du gjør i det ovenstående. seriøst.

    • David S. (svar til navn)

      Beklager, men her er det mye svada fra deg, navn.

      TOR er ikke perfekt, det skal du ha, men å bruke TOR gir en mye høyere anonymitet enn det noe annet alternativ gir.

      Ta dette «kartet» over TOR noder. For enkelhetens skyld lar vi her A nodene er entry nodes og C nodene er exit nodes.

      +-----+ +-----+ +-----+
      | 1A | | 1B | | 1C |
      +-----+ +-----+ +-----+

      +-----+ +-----+ +-----+
      | 2A | | 2B | | 2C |
      +-----+ +-----+ +-----+

      +-----+ +-----+ +-----+
      | 3A | | 3B | | 3C |
      +-----+ +-----+ +-----+

      +-----+ +-----+ +-----+
      | 4A | | 4B | | 4C |
      +-----+ +-----+ +-----+

      +-----+ +-----+ +-----+
      | 5A | | 5B | | 5C |
      +-----+ +-----+ +-----+

      En TOR bruker vil gå inn via en av A nodene, f.eks. 3A. A noden mottar en kryptert pakke som skal til exit-noden, C B-noden ligger i mellom, men kjenner ikke til TOR brukeren, fordi A noden sender pakken til en vilkårlig B node. Det kan godt være 5B i denne gangen. Alt 5B noden vet nå er at pakken kom fra 3A. 3A noden vet kun at 5B har fått en pakke, og det er kun 3A som vet hvor TOR brukeren sitter. 5B noden sender så pakken til f.eks 2C noden. 2C noden vet bare at pakken kommer fra 5B, men ved å dekryptere pakken får den vite hvor den skal gå. Dermed blir det IP adressen til exit node 2C som brukes mot nettstedet. Nettstedet svarer til 2C, som så går en tilsvarende rute tilbake.

      Poenger er at når disse rutene endres regel messig, så er det mye mer vrient å skille TOR brukerne fra hverandre. Man kan kartlegge hvor TOR noder er fra utsiden, man kan også kartlegge hvor TOR brukere kommer fra og hvor de går ut når man finner entry og exit nodes. Men man kan ikke lett avgjøre hvilke brukere som går til hvilke nettsteder. Fordi disse nodene blir brukt av mange samtidig, og rutene innad i TOR nettet endres hele tiden. Og hvis du i tillegg multipliserer denne tabellen noen tusen ganger, så vil du se at det blir veldig vrient å overvåke hvem som gjør hva. Det er ikke umulig, men det blir enorme datamengder som må prosesseres for å kunne danne et slikt mønster.

      Problemet med TOR er at man kan gjøre analyser av datamengden som overføres og dermed estimere hva slags nettsted man besøker, ut fra størrelsen på nettsidene som lastes ned. Og har man kontroll på exit-nodene, så kan man få det som trengs av informasjon for disse statistiske operasjonene. Men det blir ganske komplekst når man må overvåke en rekke entry-noder sammen med de B-nodene i midten for å kunne ha en sikrere måte å kunne koble bruker og nettsted. Nå har jeg ikke fulgt med hvor langt TOR utviklerne har kommet for i å løse dette, men en enklere løsninger at all trafikken internt har en viss minimum-størrelse på pakkene og eventuelt. samtidig varierer i tillegg. Altså, det som kalles «padding».

      Uansett, fra NRK’s perspektiv, som neppe har de ressursene som trengs for å gå løs på en slik overvåkning, så vil ikke de lett kunne identifisere den reelle IP adressen til avsenderen, ei heller lokasjonen – så sant dette ikke er skrevet i dokumentet som overføres. Videre så er det en USB-flashdrive overføring av dataene til maskinen hvor informasjonen kan dekrypteres og leses. Hvor ytterligere IP-adressespor skjules. Så hvis identiteten avsløres, så ligger det i informasjonen man overleverer.

      Det er forøvrig ingen ting galt med å bruke TOR til ting som ikke er relevant for varsling. Mange, meg selv inkludert, bruker TOR i ny og ne, bare fordi man ønsker en høyere grad av anonymitet selv om det man ikke gjør kan klassifiseres som «overlevering av hemmeligheter». Å ta alle TOR brukere over en kam og klassifisere dem som varslere blir som å klassifisere alle bileiere som sykkelhatere og fartsbøller.

    • svær utredning om åssen Tor fungerer.

      jeg ser poenget flyr forbi huene på folk her som overlydsfly…

      du får lese over engang til.

      jeg setter opp to enkle fakta og gjør en helt legitim kobling av de. relevansen til hvordan tor fungerer eller ikke er revnende likegyldig.

      å starte tor er umiddelbart identifiserbart, og følgelig er man IKKE anonym lenger. i beste tilfelle kan man klare å IKKE avsløre hvor og hva man har sett/gjort, men at man har vært å surra rundt i Tor er identifiserbart og koblbart mot identitet (faktisk person), med mindre man kontinuerlig låner maskiner (hvor var hvem når?), eller bytter maskin (eller MAC-adresser etc) kontinuerlig.

      når det gjeldere hvordan tor fungerer så er det mulig alikevel å avsløre både hvem, hva og hvor. og ja dette kreves det ressurser til. men gitt at jeg gjør mange nok forbanna ved å dumpe noe skit til NRK, så kan du ta deg faen på at alt vil bli forsøkt på å avdekke hvem, og noen har ressurser nok…

      det svakeste leddet er uansett, en eller annen sjornalist som leker hemmelig agent el., og som så driter på draget, uavhengig av teknologi.

      det har skjeddd før og det vil skje igjen.

      se den postingen hvor jeg har lagt inn link til en video, og se hvordan man har opplevd slike tabber i for eks. Sverige.

      I Norge ble Breivikbilder-kilden regelrett blåst av tankeløse sjornalister. Dette blir det snakket veldig lite om i sjornalist-kretser, og postet man noe om dette på journalisten.no ble man regelrett slettet umiddelbart.

      så stå på! tor er sikkert sikkert det…

    • David S. (svar til navn)

      Ja, TOR er relativt sikkert (som jeg har sagt et annet sted, ingen ting er 100% sikkert). Men TOR er en av de bedre løsningene som fins.

      Ingen kan gardere seg mot inkompetanse eller idioti. At Politiet i Breivik-saken var glupe nok til å legge inn unike «watermarks» på bildene som ble gitt til advokatene var egentlig en genistrek. Og jeg skjønner at det ble gjort. For advokater har særlige retningslinjer og krav på seg i forhold til konfidensialitet, og Politiet burde da kunne forvente denne konfidensialiteten (Det var ikke akkurat kritikkverdige forhold det ble rapportert om). Men det illustrerer hvor vanskelig det kan være å skjule spor. Og metadata er det lett å glemme siden den informasjonen ikke vises direkte. Uansett, hele den saken er et stjerneeksempel på at det finnes folk som gjør tankeløse ting. Og slik vil det alltid være. En som varsler er klar over at dette kan gå rett til helv…, eller det kan gå veldig bra. Dette noe også Snowden har reflektert over, som så mange andre varslere.

      Men dette gjør hverken SecureDrop eller TOR til dårlige løsninger.

    • jeg sier bare silk road 2. det finnes også andre varianter hvor man alikevel har klart å komme seg inn og avsløre tilsvarende. i noen tilfeller så har man avslørt seg selv (SR1), i noen har man hacka servere et al, og i andre vet man ikke helt.

      inntil det er tydelig avklart hvordan FBI klarte å grave frem informasjonen så bør man med hånda på sikkerhetsbibelen anta at Tor er usikkert! det bør man forsåvidt uansett alltid gjøre.

      når det gjelder bildene så var det altså sjornalistene og avisene som blåste kildene!

      hadde man benytta tor og securedrop for disse bildene ville NRK vært med på å blåse kilden sin uansett i denne saken, gitt at de hadde publisert kun _ett_ av bildene.

      alt annet du sier er utenomsnakk. så en tilsynelatende sikker informasjonsvei er ikke gitt at man ikke blir avslørt.

      så om noen sitter på noe materiale som man tror er sprengstoff, så bør man bevislig IKKE gi dette til sjornalister. man vil bli avslørt om saken er viktig nok. revnende likegyldig hvor jævlig nøye man er med å stappe tekniske gode løsninger rundt.

      det er det bør være diskusjonen om. ikke om Tor fungerer godt nok eller ikke, men spørsmålet om: er sikkerheten god nok i alle ledd! vet man faktisk hva man driver?

    • David S. (svar til navn)

      Ja, der kom SilkRoad2. Det er to ting som man vet kan gjøre TOR usikkert.

      1) At man har programvare på sin PC som rapporterer din aktive IP adresse til forskjellige steder, og det blir jo fantastisk informasjon når man rapporterer en IP adresse i Oslo i et øyeblikk, 10 minutter senere er man i Kina, USA, Brazil, etc … for så å komme tilbake til Oslo igjen. Da har man nok å gå på til å spore en TOR bruker.

      2) Noen som samarbeider med noen på innsiden og lekker informasjonen til andre igjen.

      Så langt har det ikke kommet noen indikasjoner på at SilkRoad 2 ble tatt ned fordi teknologien i TOR har svakheter, men svakhetene er mest sannsynlig relatert til en menneskelig faktor. For mer info:
      US Attorney’s office: Whoops, Silk Road 2.0 hired a fed

      Derfor frarådes det å varsle til medier fra sin egen PC. Man må komme seg ut, bruke TOR/SecureDrop fra en InternetCafé eller et bibliotek eller et sted som man vanligivis ikke bruker nettet.

    • Simon W. Hall (svar til navn)

      Hvis du samtidig setter opp boksen din som exitnode for TOR, så vil din trafikk blandes med all den andre TOR trafikken. Da blir du vanskelig å finne.

    • Men her går du ut frå eit par særs usannsynlege kombinasjonar:

      1) Aktøren som har fått informasjon frigitt har sjølv datakapasitet, eller tilgong til kapasitet for å identifisere tor-bruk.
      2) Varslaren har brukt eigen PC, nett eller anna som kan koplast til han.

      Kombinasjonen av desse er svært usannsynleg, evt. eit resultat av total idioti. Skal ein varsle om noko så stort at aktøren vil gå til slike skritt for identifikasjon er regel nr. 2 (nest etter kryptering) å IKKJE BRUKE EIGEN PC, og IALLFALL IKKJE EIGE NETTVERK!!! Å bruke maskinar på internetkafe, bibliotek og liknande eller kjøpe ubrukt PC utan kopling til deg er heilt openbart for slik kommunikasjon. Det skjønnar sjølv eg som over hovudet ikkje har inngåande kunnskap om kryptering.
      Viss du brukar eigen PC er det kanskje ikkje så mykje vits i å bruke tor, men da er det jaggu meg ikkje mykje vits i å varsle i det heile tatt, for om du er såpass til idiot vert du nok tatt uansett!

    • Runa A. Sandvik (svar til navn)

      Hei navn,

      Det finnes artikler om flere som har blitt «tatt» selv om de brukte Tor. Historien om studenten ved Harvard som brukte Tor til å sende en bombetrussel til universitetet er bare ett eksempel. I dette tilfellet trengte ledelsen kun å se på settet av studenter som var på nett, og brukte Tor, i samme tidsrom som trusselen ble sendt for å finne ut av hvilke studenter de burde snakke med. Da de til slutt snakket med studenten som hadde sendt trusselen innrømmet han hva han hadde gjort.

      Du påstår at NSA driver mange relays i Tor-nettverket. Da lurer jeg veldig på hvordan du har kommet frem til dette? Det er helt klart at NSA har tilgang til veldig mye informasjon, og til nettverkskabler rundt om i verden, men jeg er ikke så sikker på at de bruker tid på å sette opp relays i nettverket.

      Jeg synes det er flott at du stiller spørsmål ved hvordan NRKBeta vil håndtere den informasjonen de mottar, og jeg håper dette er noe Henrik Lied kan si mere om. Jeg synes også det er flott at vi nå har en diskusjon om kildevern og hvordan vi kan informere varslere om hvordan de kan best beskytte seg før de sender informasjon. Dette er en utfordring som alle organisasjoner med SecureDrop jobber med, og som også jeg ved Freedom of the Press Foundation jobber med til daglig.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

    • »
      Du påstår at NSA driver mange relays i Tor-nettverket. Da lurer jeg veldig på hvordan du har kommet frem til dette? Det er helt klart at NSA har tilgang til veldig mye informasjon, og til nettverkskabler rundt om i verden, men jeg er ikke så sikker på at de bruker tid på å sette opp relays i nettverket.
      »

      Dokumentasjonen bla. Snowden lekka sa jo direkte at NSA gjør alt de kan for å overvåke Tor.

      Alt i fra generell overvåking av nett, til å sitte i midten (og injecte data ved passende anledninger, alt i fra cookies, endre HTML, og sende malware/rootkits/annet), snuse rundt andres servere (Appelbaum fikk vel kjenne dette) og til statistisk overvåking ved bruk av relays, exitnoder og anna moro.

      Trodde forsåvidt dette var «allment» kjent.

      XKeyScore har jo «gode» muligheter med Tor så langt jeg har forstått, i forhold til å søke, detektere, markere for overvåking etc. Nøyaktig hva de har vet man jo ikke helt, siden alle filene til Snowden IKKE er åpne, og muligens allerede begynner å bli gamle (ihvertfall i forhold til dette temaet)…

      Så igjen ender man egentlig litt i det blå. Tips til NRK om hull i veien, selv fra ansatte i Vegvesenet er ikke akkurat høyrisiko, og eksempler av typen Snowden hvor man er nødt til å gå ut høyt for å kunne forsikre seg at man overlever i verste tilfelle er ikke akkurat gode kandidater for bruk av slike verktøy, så hva som havner i mellom her, som skulle være nødvendig for å bruke slike verktøy ved siden av coolhets-faktoren ser jeg ikke helt…

    • Runa A. Sandvik (svar til navn)

      Hei navn,

      NSA gjør mye rart i håp om å kunne overvåke de som bruker Tor, men spørsmålet mitt var rettet mot din kommentar om at NSA driver mange relays i nettverket. Det stemmer at NSA satte opp noen få relays mellom 2007 og 2013 (se tweet 1 og 2), men disse var aldri exit relays. Tor vurderer relays med mye båndbredde når den velger tre tilfeldige relays for deg, og sannsynligheten er derfor større for at du bruker relays som The Tor Project kjenner til enn at du bruker et tilfeldig relay eid av NSA.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

    • Hei Runa,

      Det er flere tilfeller som peker på at føderale politimyndigheter i USA (FBI, kanskje i samarbeid med NSA) har tilgang til metoder som tvinger TOR-brukere til å bruke deres exit noder: arstechnica.com/security/2014/11/law-enforcement-seized-tor-nodes-and-may-have-run-some-of-its-own/

      Sikkerhetsforskere har også funnet ut at 81% av TOR-brukere kan avslører via traffikanalyse og ruterinformasjon: thestack.com/chakravarty-tor-traffic-analysis-141114

      Det er også mulig å opprette en haug høykapasitets TOR-noder for å ta over store deler av nettverket. Om man har kontroll over mange nok TOR-noder kan man se hvordan de lenkes sammen og derav se både innkommende og utgående IP-adresser (som vanligvis er skjult/obfuskert siden man går igjennom tre forskjellige TOR-noder).

    • Runa A. Sandvik (svar til dniviE)

      Hei dniviE,

      Disse forskerne har senere gått ut i media og forklart følgende: ‘… that it was only 81.4 percent of their experiments not “81 percent of all Tor traffic” as has been reported elsewhere.’ The Tor Project har skrevet en post om dette, i tillegg til en annen post om såkalt «traffic correlation.»

      Du har rett i at det er teknisk mulig å sette opp en haug med relays og dermed kontrollere første og siste hopp for mange Tor-brukere, men jeg vil påstå at The Tor Project merker dette og blokkerer disse relayene ganske raskt. NSA har sikkerhet en haug med andre tekniske løsninger de kan bruke istedenfor.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

    • jeg vet ikke hvor mange måter følgende kan tolkes på:

      «Can we expand to other owned nodes».

      Jeg velger ihvertfall å ikke tolke owned som pwned, men faktisk «satt opp og eid av».

      «GCHQ set up Tor nodes on the AWS cloud …»

      Wut? Den er vond å ikke skjønne den der og eller?

      «… shape their traffic to ‘friendly’ exit nodes?»
      «Route users to a separate ‘private’ Tor network?»

      «How many nodes do we have cooperative or direct access to? Can we deploy similar code to these nodes to aid with circuit reconstruction?»

      «Can we use the nodes to shape traffic flow?»

      Leser man ikke de linker man poster? Bare bedriver google-papegøying og gjentar linker man liker uten nødvendigvis å ha lest de, langt mindre forstått de?

    • Dei seier veldig eksplisitt at du ikkje bør levere tipset heimefrå.

      Forskjellen mellom å levere tips heimefrå med Tor og å levere tips heimefrå utan Tor er:
      * uten Tor veit ein overvakar at du tok kontakt med NRK,
      * med Tor veit ein overvakar at du brukte Tor på eit gitt tidspunkt.

      Går du på ein nettkafe utanfor dei stadene der du pleier å gå, og så bruker Tor, så må overvakaren på forhånd overvake trafikk frå den kafeen, i tillegg til å vite at du brukte den kafeen på det tidspunktet, i tillegg til å anta at den Tor-bruken som kom frå kafeen var din og at det er same Tor-bruk som gjekk mot NRK (og ikkje at du berre såg på porno eller noko). Om dei ikkje allereie overvakte nettkafeen, så veit dei berre at NRK fekk eit tips over Tor, det kan vere frå kor som helst. Men viss du ikkje brukte Tor frå nettkafeen, så står det eksplisitt i ulike serverloggar at nettkafeen tok kontakt med NRK på tidspunkt T, og då er det berre å sjå gjennom overvakingskamera frå rundt det området og tidspunktet.

    • Runa A. Sandvik (svar til navn)

      Hei navn,

      Du har helt rett i at det er enkelt å finne ut hvorvidt Alice bruker Tor eller ikke. Internettleverandøren, evt. arbeidsgiveren, til Alice kan laste ned listen over alle relays i nettverket og se etter disse adressene i listen over hennes tilkoblinger. Internettleverandøren kan dermed se når og hvor lenge Alice bruker Tor, men ikke hvilke sider hun besøker eller hva hun ellers foretar seg i/gjennom Tor-nettverket.

      La oss ta en titt på eksempelet du nevnte i kommentaren din:

      1. Det finnes noen få personer som har tilgang til informasjon X. Alice er en av disse.
      2. Alice bruker Tor til å sende informasjon X til NRKBeta via SecureDrop.
      3. NRKBeta lager en sak om informasjon X.

      Du sier at det i dette tilfellet ikke vil være spesielt vanskelig å finne ut at Alice var den som sendte informasjon X til NRKBeta. Jeg vil påstå at det kommer veldig an på hvor, når, og hvordan hun brukte Tor.

      Dersom Alice aldri har brukt Tor før, og så plutselig bruker Tor en gang mens hun er på jobb for å ta kontakt med NRKBeta, så er dette noe som hennes arbeidsgiver kan finne ut av og som de da kanskje synes er litt mistenkelig. Dersom Alice bruker Tor hver dag, eller kanskje besøker en kafe med gratis internett og bruker Tor der, så er dette noe som vil gjøre det vanskeligere å spore lekkasjen tilbake til henne.

      I alle tilfeller vil det kun være mulig å si – helt sikkert – at Alice har brukt Tor, ikke nødvendigvis at Alice har brukt Tor til å sende informasjon X til NRKBeta. Før eller senere vil Alice også bli spurt om det var hun som sendte informasjon X til NRKBeta. Dersom Alice sier nei vil ikke arbeidsgiver ha noe bevis utover at hun har tilgang til informasjon X og at hun har brukt Tor. Tror du at dette vil holde som bevis in eventuell retssak?

      Utfordringen her er ikke at NRKBeta bruker SecureDrop, men at Alice muligens ikke vet hvordan hun skal dele denne informasjonen anonymt. Å stenge tjenesten vil gjøre det vanskeligere for Alice å sende informasjon X til NRKBeta på en sikker måte.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

    • du klargjør ganske tydelig i begge disse artiklene det jeg forsøkte å si.

      dessuten:
      »
      Tror du at dette vil holde som bevis in eventuell retssak?
      »

      det er ikke sikkert det hverken er ønskelig med eller faktisk blir en rettsak. jmf Guantanmo, Manning og Snowden.

      Manning røk på en blemme.

      Snowden har vært forholdsvis åpen siden det har vært hans sikreste kort.

      og man vet jo alle at på Guantanamo får alle en rettferdig og grundig rettsak. Nei?

      det er en del større saker på spill enn at man har en eller annen fløyteblåser i orgelverkstedet som nevner en mindre lokal miljøsak for lokalt NRK kontor…

      uansett, takk for utgreiingene dine, og ett noe mer balansert syn på journalister, sikkerhet og kildevern. det er jo noe betryggende at det faktisk finnes noen fler enn meg som ser problemene her 😉

    • Kjell (svar til Tore)

      Bra sagt. Jeg fikk tvangspåført diagnose Paranoid da jeg kunne dokumentere at en offentlig tjenesteperson drev med maktmisbruk overfor og personforfølgelse av meg gjennom mange år.

  3. En teknisk løsning som er et nytt skritt nærmere angiversamfunnet. Som advokat er jeg alvorlig bekymret for utviklingen. Hvor er rettsvernet til den som får en alvorlig anklage mot seg på den måten, anonymt og hvor kilden blir fullstendig skjult av media? Hvordan skal man kunne forsvare seg og hvordan vil det psykisk være å leve med dette hengende over seg? Hvem er denne personen som har fremsatt dette? Er det en gal person eller en som har et dyptliggende hevnmotiv? Det vil ikke den som rammes få vite, og det vil kanskje heller ikke journalisten få vite. Journalisten er tilfreds når han eller hun får et medieoppslag som fenger.

    Er det riktig at den statsdrevne mediebedriften NRK skal gå foran og brøyte vei for noe som lukter STASI og Øst -Tyskland? Er det nå blitt alt for mange «journalister» slik at kampen om de hotte sakene er blitt så beinhard at man må skjære av enda mer av personvernet til den enkelte borger.

    Politiet har tipstelefoner dersom det er noe som gjelder liv og sikkerhet og man er redd eget liv ved å fortelle det man vet. Der blir henvendelsene tatt i mot av profesjonelle. Hvilken garanti har man om at NRKs journalister vil håndtere anonyme tips på en korrekt måte?

    Svar på denne kommentaren

    • Henrik Lied (NRK) (svar til Jon Alshus)

      Vi forstår hvilken utvikling du refererer til, Jon, men det er en annen debatt. Norsk presse har alltid vært avhengig av tips fra folk for å avdekke kritikkverdige forhold i samfunnet. NRK ville aldri publisert saker basert på ubekreftede tips. Kildevernet er noe vi som mediebedrift tar svært alvorlig, ref. Vær Varsom Plakatens punkt 3.4:

      Vern om pressens kilder. Kildevernet er et grunnleggende prinsipp i et fritt samfunn og er en forutsetning for at pressen skal kunne fylle sin samfunnsoppgave og sikre tilgangen på vesentlig informasjon.

      presse.no/pfu/etiske-regler/vaer-varsom-plakaten/

      Denne løsningen letter dette arbeidet for oss.

      Vi stiller spørsmålstegn ved at du insinuerer at NRKs journalister ikke har en høy grad av profesjonalisme. NRK er en medieinstitusjon som har lang erfaring med kildevern, og har norges største undersøkende redaksjonelle miljø.

      Snowden-saken er et godt eksempel på at det ikke alltid er mulig å gå til myndighetene for å få satt søkelyset på et problem som omfatter samfunnet. Det er derfor viktig at vi som bransje tar grep for å ivareta sikkerheten til varslere.

    • – Politiet, hværsågo?
      – Hei, eg vil gjerne levere inn eit anonymt tips om korrupsjon hos lokalpolitiet i Fiskerud.

      …..

  4. en ting til:

    dere bruker kondom?

    »
    Informasjonen overføres videre til en minnepinne, og dekrypteres på en maskin som aldri har vært tilkoblet internett.
    »

    jeg antar selvfølgelig at denne USBen er kryptert også. for godt mål.

    Svar på denne kommentaren

    • David S. (svar til navn)

      Ehh. En USB-kondom tillater kun strøm å gå igjennom, ikke data. Så bruker du en USB-kondom på en USB-flashdrive, så vil flashdisken bli detektert på PCen.

      Dataene trenger kun å være kryptert når den skal overføres i et utrygt miljø. Hvis man sitter på et kontor hvor alle jobber med den samme type sensitiv informasjon så er det ikke mye poeng i å kryptere informasjonen disse medarbeiderne uansett vil lese. Tar man flashdriven med seg ut av kontoret, så blir det en annen sak (f.eks. hjem for å jobbe videre med saken derfra).

    • David S. (svar til David S.)

      Korreksjon: Så bruker du en USB-kondom på en USB-flashdrive, så vil flashdisken IKKE bli detektert på PCen.

    • informasjonen er kryptert når man henter den og flyttes kryptert. derav «for godt mål».

      det er jo ikke gitt at denne USB-sticken ikke kommer på avveier.

      eller enda verre er full av ål. og da er jo mulighetene for at maskinen som skal dekryptere også blir full av ål. og igjen så kan dekryptert innhold hoppe tilbake. og så er det igang.

      joa, skal man først være sikker så får man gå helt aluminiumsfoliehatt-paranoid ja.

    • David S. (svar til navn)

      det er jo ikke gitt at denne USB-sticken ikke kommer på avveier.

      joa, skal man først være sikker så får man gå helt aluminiumsfoliehatt-paranoid ja.

      Dette er usaklig.

      Det finnes ikke en eneste løsning som er 100% sikker. Selv ikke om du bare har det i hodet ditt (tortur?). Hvordan kan en varsler være sikker på at det ikke jobber en mulvarp hos NRK som varsler tilbake om at «nå har dette tipset kommet til NRK»? Det finnes millioner av muligheter på at noe kan gå galt og at noe kan lekke. Og bare det at NRK mottar en lekkasje er et bevis på det.

      Så hvis du ønsker å være 100% sikker så bør du nok holde deg unna andres hemmeligheter, helt og holdent – aller helst mure deg inn i et hus uten vinduer, dører og andre muligheter til å nå deg. Så kan de av oss som er villige til å ta risikoen gjøre heller det.

      Å varsle vil alltid være en stor risiko. NRK har har valgt en løsning som er en av de bedre som finnes, som bidrar til å redusere risikoen. Og det er det det er snakk om. Ingen varsler hverken kan eller har kunnet forvente et 100% risikofritt løp.

    • som jeg har påpekt i de andre innleggene her så er det nok desverre slik at en anbefaling om å benytte Tor snarere kan være en ØKT risiko.

      å hive teknologi på ett problem gir ikke nødvendigvis økt sikkerhet nei.

      og skal man forsøke å være sikker, så bør man faktisk gå all inn. sånn cirka Assange-style. og IKKE NRK sjornalist-style.

      om man ser den videoen jeg posta, så sies det helt klart på slutten der: stol ikke på medieselskaper, finn EN journalist man kan stole på.

      men joda for å tipse NRK om hull i veien el. så funker jo denne løsninga, hvis jeg ikke vil avsløre hvem jeg er…

    • David S. (svar til navn)

      Det ikke bare mediehusenes rolle ene og alene å beskytte kilden og dens identitet. Kilden har også fullt ut muligheter til å beskytte seg selv, hvis man går inn for det. At mediehusene legger til rette for å hjelpe, som NRK har gjort med SecureDrop, ser jeg utelukkende på som positivt. Og det kan hjelpe de som ikke er bevisst disse problemstillingene. TOR er og blir tryggere enn en tilfeldig mail fra en bruk-og-kast-hotmail.com mailkonto fra en tilfeldig Internet Café. Men man må bruke TOR og SecureDrop riktig for å oppnå sikkerhet. Som Lauk sa, man blir frarådet fra å varsle hjemmefra.

      Du peker hele tiden på at TOR er usikkert, men alle referanser du peker til viser til at det er journalisten og mediehusene som er problemet. Så jeg greier faktisk ikke å se at det er TOR som er problemet så sant du ikke kan komme med reelle referanser som peker på disse svakhetene.

    • referanser til at Tor er usikkert?

      altså, det jeg hele tiden har påpekt er jo at det er IRRELEVANT.

      at man starter Tor og har trafikk på nettverket som er Tor er en klar indikator på at noe skjer.

      kobler man dette sammen, over flere datapunkter, så er det fullt mulig å anta en haug med ting.

      det er IKKE bra om man ser at noen i forsvarets overkommando har brukt tor, med mindre det er som en del av en arbeidsoppgave. det er ikke en spesiellt vanskelig antagelse å ta, og det gir umiddelbart forklaringsproblemer.

      og så tilkommer selvfølgelig de beskrevne metoder for hvordan avslører trafikk, servere og brukere i Tor-nettverket. det finnes nok av slike akademiske artikler om det.

      det er ikke slik at jeg behøver å linke til alle disse. de kan du faktisk klare å finne selv. og har du lest alle og konkludert med at det IKKE er ett problem, vil jeg da faktisk anta at du har publisert noe om dette, men nei jeg har ikke sett noe artikkel av typen «Tor is safe. EOD!»

    • David S. (svar til navn)

      Hvis noen i Forsvarets overkommando har valgt å bruke TOR istedet for VPN, så er det idiotisk, for man har brukt feil løsning. Men det gjør ikke TOR usikkert.

      Hvis noen (uansett posisjon i samfunnet) har brukt TOR fra for å oppnå anonymitet, så er det helt riktig bruk av TOR. Men graden av anonymitet man oppnår står ikke ene og alene på TOR eller ikke TOR. Skal man gjøre noe som krever absolutt anonymitet, så bruker man TOR fra et nett man normalt sett ikke ville brukt, med pseudnymer/aliaser og bruk-og-kast mailbokser. Varslere som går inn for dette, vet hvordan dette kan gjøres – som f.eks. Snowden.

      Skal man «koble sammen flere datapunkter» og være i riskosonen for å bli avslørt, så har du et mye større problem en det tekniske i utgangspunktet. Det vil si at du har en eller annen etterettningstjeneste etter deg. Og da blir uforutsigbarheten i forhold til hvilke nett du kobler deg opp fra enda viktigere.

      Hvis du ikke kan komme med referanser på at TOR er usikkert, da tenker jeg vi bare sier EOD nå.

    • her:

      lmgtfy.com/?q=is+tor+safe

      så kan du vake rundt på dato områder etc. bare siste måneden er det jo lite tvil om at det er usikkert. altså så lenge det er tvil er korrekt antagelse «usikkert», når man jobber med sikkerhet.

      så kan du jo gå for samme med akademiske publikasjoner etc.

      så gi meg nå linkene på at Tor er sikkert…

    • Tullprat (svar til navn)

      Det er ingen som IKKE forstår hva du mener med at settet av «de som bruker tor» og «de som har informasjonen» inneholder en person. Problemet er bare at du tar feil.

      Hvis man bruker tor fra en annen plass en hjemmefra (f.eks. random åpent wifi i Oslo) så er ikke settet «de som bruker tor» en liste med navn. Det er en liste med ipadresser som ikke identifiserer personer. Man lærer kanskje at noen i Oslo har brukt TOR i samme tidsperiode som informasjon ble lekket. Ikke veldig nyttig.

      Hvis settet «de som har informasjonen» er så lite at man fortsatt kan finne ut hvem det er som har varslet, så er det veldig få folk i dette settet i utgangspunktet. Da er det faktum at informasjonen er lekket nok informasjon til å redusere antall misstenkte. Man kan utføre politiavhør av alle som kjenner informasjonen (hvis det er politiet man er redd for)/torturere alle (hvis det er mafia man er redd for). Hvis settet «de som har informasjonen» er stort nok at det ikke lekasjen alene er nok til å identifisere hvem som er varslet så hjelper det ikke at man ser at 4 IP adresser i Oslo og en i Bergen har brukt TOR i samme periode som varslingen skjedde.

      Kort sammendrag: Varsler er ikke i settet «de som bruker tor». Settet «de som har informasjonen» er stort (hvis ikke er det få misstenkte allerede).
      Derav: «de som bruker tor» + «de som har informasjonen» = 1 skjer ikke hvis man bruker TOR korrekt.

      Du sier også at TOR ikke er sikkert fordi du finner diverse informasjon om hvordan det teoretisk ikke er sikkert mot masseovervåkning, og at det ikke er designet for å beskytte mot den trusselen. Poenget til oss andre her er at det uansett er sikrere å bruke TOR enn å ikke bruke TOR.

      Man kan ikke finne noen som kan bevise at TOR er sikkert. Man kan ikke bevise at noe er sikkert. Jeg kan f.eks. ikke bevise at en dør med lås er 100% innbrussikker. Jeg kan likevell anta at det er sikrere å låse døren enn å ikke låse den. Denne antagelsen er basert på at det ikke er noen som har klart å vise det motsatte, og man kan enkelt vise til mange tilfeller der det faktisk er sikrere å låse døren enn å ikke låse døren.

    • »
      Det er ingen som IKKE forstår hva du mener med at settet av «de som bruker tor» og «de som har informasjonen» inneholder en person. Problemet er bare at du tar feil.
      »

      det blir kanskje klarere for deg om du ser innleggene fra Runa A. Sandvik

      han er tydeligere enn det jeg klarte tror jeg…

  5. Hva med VPN + Tor?
    Har lenge vært på utkikk etter en VPN-leverandør. Er generelt skeptisk til prinsippet, for helt sikker kan man aldri være, hvem er det som egentlig leverer tjenesten og hvordan håndteres mine data.
    Er det noen her som han erfaring meg VPN og kan anbefale en sikker leverandør?

    På forhånd takk!
    Alf

    Svar på denne kommentaren

    • Runa A. Sandvik (svar til Jan Bremnes)

      Hei Jan,

      Tilkoblingen mellom en Tor-klient (f.eks PC-en din) og en Tor hidden service (f.eks NRKBeta sin SecureDrop-side) vil være kryptert fra ende til ende. Det vil si at det ikke er nødvendig å ha HTTPS, selv om det er teknisk mulig. Facebook har satt opp en Tor hidden service med HTTPS, og det samme har Blockchain. Blockchain har også forklart hvorfor det var ønskelig med HTTPS i tillegg til Tor.

      Hilsen Runa A. Sandvik
      Technologist, Freedom of the Press Foundation

  6. Dette tipsopplegget til NRK er jo å oppfordre folk til å begå kriminalitet. Dersom man vet eller har liggende informasjon som er ulovlig å dele så skal man ikke dele den. Vi har derfor ikke behov for en slik løsning som dette.

    Dersom NRK mottar informasjon som er gradert eller de antar er gradert fra en primærkilde skal de slippe å melde dette til politiet pga kildevern, men de burde ikke publisere det.
    Får de informasjon fra en sekundærkilde om at noen har lekket gradert informasjon og således begått lovbrudd i det offentlige så er det jo en nyhetssak av allmenn interesse og noe som politiet kan velge å etterforske når slikt blir avslørt.

    Det er viktig at mediene holder seg på rett side og ikke motarbeider demokratiet og dens lover. Vi ser en utvikling der personer i medieredaksjoner sørger for å klistre folk til veggen når de bryter lover redaksjonen selv mener er gode å ha, men når folk bryter lover som redaksjonen ikke har sans for, ja da skal redaksjonene «beskytte» disse mot den samme demokratiske rettsstaten.

    Å skjule norske lovvbrytere er ikke greit. Å skjule norske lovvbrytere for motytelser som gir mediehuset økonomisk gevinst er enda mindre greit. For alle andre enn journalister er det straffbart, uetisk og umoralsk.

    Svar på denne kommentaren

    • Dersom NRK mottar informasjon som er gradert eller de antar er gradert fra en primærkilde skal de slippe å melde dette til politiet pga kildevern, men de burde ikke publisere det.

      Så, om NRK hadde vært mediet som hadde mottat Snowden-dokumentene (eller tilsvarende om PST) skulle de ikke ha publisert det fordi det er lovstridig?

      Det er viktig at mediene holder seg på rett side og ikke motarbeider demokratiet og dens lover. Vi ser en utvikling der personer i medieredaksjoner sørger for å klistre folk til veggen når de bryter lover redaksjonen selv mener er gode å ha, men når folk bryter lover som redaksjonen ikke har sans for, ja da skal redaksjonene «beskytte» disse mot den samme demokratiske rettsstaten.

      Lekking av graderte dokumenter som er av interresse for offentligheten og omtaler kritiske forhold i offentlige etater er av interesse for demokratiet. Det skaper debatt rundt disse sakene. Tenk deg for eksempel at NRK mottar graderte dokumenter som stammer fra PST. La oss si at disse dokumentene viser at PST regelmessig bringer inn og ulovlig overvåker immaner i Oslo uten rettskynnelse. Skal NRKs journalister ignorere disse dokumentene, til tross for at det ligger i det offentlighets interesse å få vite om at PST bryter loven?

    • Huffameg (svar til dniviE)

      Helt korrekt. NRK skulle ikke publisert de, men de kunne stilt spørsmål til stortingets kontroll og konstitusjonskomite og bedt de redgjøre for saken og hva kontrollmyndighetene nå tenker å gjøre med problematikken.

      Man kan fortsatt stille kritiske spm uten å publisere graderte dokument, og så får det være opp til våre folkevalgte hva som kan degraderes nå som media sitter på informasjonen.

      «Er kontrollkomiteen informert om hendelsen? I så fall, hva foretar komiteen seg med bakgrunn i det?»

      Det er en grunn til at noe er gradert, og det er gjort med hjemmel i norsk lov og forskrift vedtatt av de folkevalgte i stortinget.

    • Morten Linderud (svar til Huffameg)

      Så hva skal man gjøre om man får tilsendt gradert informasjon om at Norge (som eksempel) gjør noe som er ulovlig i henhold til Norsk lov? Skal man ignorere det fordi informasjonen er gradert?

      Dette er akkurat samme «problemstilling» som gjør at mange kaller Snowden en foræder.

    • hvilke sanksjonsmuligheter har man mot sin egen stat eller noe som helst offentlig organ/etat/nivå om den skulle bryte sine egne lover/forskrifter/forordninger?

      bare for å være sikker på at du skjønner det, så gjøres det mer eller mindre hver eneste dag, hver eneste time.

      trenger ikke noe Tor eller gradering for å se at ett offentlig sinne betyr veldig lite. en forarget Lysbakken, Tybring Gjedde, eller ordentlig sur og grinete Kolberg er lite verdt mtp. at noe ulovlig har skjedd.

      i verste tilfelle så blir det en tur i Kontrollkomiteen med tunge tidsbeskrankninger og meget servile «avhør» og null konklusjoner fordi tiden blir for knapp, og at den parlamentariske talemåten er ubrukelig som «rettsak». man blir jo klubba ner når man stiller de viktige spørsmåla…

      men det er klart om man hadde en Snowden så var jo trikset å sky alt annet enn den ENE journalisten som pesten, og gå så fort som f*** offentlig, og så stikke av. ikke noe surr med Tor og håndteringer i hue og ræva.

    • Alle som stjeler hemmeligstemplet dokumentasjon, uavhengig av hvilket pass de har er en forræder. Dette gjelder i alle land.

      Dersom det er noen statsansatte som gjør ulovlige ting så finnes det rutiner for hvordan det skal håndteres slik at etterretningsutvalg, riksadvokaten og politikere kan følge dette opp.
      Brudd på arbeidsinstruks eller lov vil da bli fulgt opp med en vurdering av ansettelsesforholdet samt evt tiltale.

      «Hei NRK. Dere vet den nye hemmelige overvåkningsbasen utenfor Kirkenes som skal levere strategisk informasjon når alle andre kjente baser har blitt bombet av russerne??…ikke det nei..jaja uansett han Per (kollega) som jobber der har forresten brukt det nye XPAA systemet til å overvåke kona og Erna Solberg.»

      Om du synes det er greit å si, så bør du vurdere din lojalitet til Norge.

    • Er lojalitet til Noreg framfor andre statar, framfor enkeltindivid eller organisasjonar si rettssikring nedfelt i Noregs lovar? Viss ikkje påberopar eg meg retten til å vere ei aning mindre nasjonalpatriot enn deg.

  7. Jeg synes at politiet ikke kan lage avtaler i hytt og pine, men pressen kan stole på personer som politet gjerne vil ha opplysninger fra… Pressen kan gi info videre til politiet i hemlighet som de har fått fra anonyme kilder… Politiet kan få anonym info fra folk som ikke vil gå til politiet fordi politiet vil dem ikke noe godt, politiet kan ikke gi dem noe godt…

    Pressen kan være et mellomledd til info til politiet hvor man vil være anonyme… Overfor politiet, kan man egentlig være anonym med info? Pressen kan videreformidle info…

    Fordi pressen er under langt strengere krav til anonymitet enn politiet….! Og bevaring av kilder…
    Fordi pressen er under langt strengere krav til anonymitet enn politiet….! Og bevaring av kilder…

    At pressen faktisk vil la folk være helt anonyme og lar folk være anonyme ovenfor politiet, kan flere saker bli oppklart uten at den som «tyster» av god gjerning rissikerer å bli straffet av andre kriminelle… Eller av politi, hvis man ikke skaper en avtale med politiet, gjennom pressen…

    Svar på denne kommentaren

  8. Alf P. Steinbach

    «NRKbetas SecureDrop-plattform ligger i tillegg på maskiner som står utenfor NRKs sedvanlige nettverk»

    Smart, hvis «utenfor» betyr «langt utenfor». NRK har jo en nettverkssniffer koblet rett til Nasjonal Sikkerhetsmyndighet, for å ivareta sikkerheten. Sikkerheten hos NRK når det gjelder opplysninger om for eksempel usnille programmer distribuert av NSA eller hvem det nå måtte være, er dermed ikke bedre enn sikkerheten hos NSM. 🙂

    Svar på denne kommentaren

  9. Allmennkringkasting og sosiale medier – hvordan og hvorfor?

    […] og Twitter. Vi har laget løsninger for å laste opp bilder, bidra med egen informasjon og gi tips via sikre kanaler. Hvilke andre grep kan vi ta for å gjøre det lett for deg å snakke med […]

    Svar på denne kommentaren

Legg igjen en kommentar til Tipsløsningen SecureDrop lansert i NRK Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.