söndag 15 juni 2008

Var annat mediehus riskerar att avlyssnas

Trogna läsare av Networkers.se vet att bloggen är strikt inriktad på nättidningar och deras verksamhet och utveckling. Antalet blogginlägg utanför det ämnet är få. Det här är ett sådant undantag. Ämnet är för viktigt för att inte tas upp och jag har inte heller sett att någon annan gjort en liknande kartläggning (även om det nästan är omöjligt att överblicka allt som skrivits i ämnet av bloggosfären).

Det gäller frågan om Försvarets Radionanstalt ska få möjlighet att avlyssna mejl, fax och telefonsamtal i kabel som passerar landets gränser. En minst sagt het potatis - åtminstone i nätdebatten. På onsdag, den 18 juni, ska riksdagen ta beslut i frågan. I samma forum hålls dagen innan en debatt i frågan.

Enligt förslaget, som kan stoppas med så lite som om fyra ledamöter säger nej, ska datatrafik endast avlyssnas mellan personer i Sverige och utlandet.
Networkers.se har kartlagt mejlservrarnas placering för nästan ett 50-tal svenska mediehus. Resultatet visar att varannan mejlserver är placerad utanför Sverige. Det öppnar dörren för FRA att avlyssna trafiken till mediehusen. Därmed kan ett stort antal svenska tidningar inte heller garantera att den som tar kontakt med en tidning verkligen förblir anonym, en rättighet som skyddas av svensk grundlag.

Alla domäner på internet som kan ta emot e-post har ett eller flera så kallade MX-records registrerade. MX-recordet talar om vilken server som är ansvarig för att ta emot e-post för, låt säga, fornamn.efternamn@svt.se. MX-recordet pekar på ett IP-nummer. Ganska ofta kan ett IP-nummer lokaliseras geografiskt genom tjänster som exempelvis Hostip.info.
Networkers.se har analyserat MX-record och deras tillhörande IP-nummer och funnit att 24 av 46 svenska mediehus har sin e-postmottagning baserad utomlands. Skälet till det är ofta att mediehusen nyttjar externa tjänster för att "tvätta" sin inkommande e-post från reklam och annat otyg. Efter tvättningen skickas e-posten vanligen vidare in i mediehusets eget e-postsystem. Den resan öppnar alltså dörren för FRA som kan avlyssna innehållet, om inte riksdagen på onsdag gör det enda rätta - säger nej till förslaget.
Bland mediehusen som riskerar att få sin e-post avlyssnad kan nämnas Sverige Television, Helsingborgs Dagblad, Uppsala Nya Tidning, Barometern-OT och Expressen.

Kolla om ditt mediehus riskerar att avlyssnas. Hela listan finns här.

Uppdaterad 080618: Nu går drevet. Allt fler nättidningar har uppfattat faran kring källskyddet och hänvisar till Networkers kartläggning. Här är fler sajter som har tagit upp tråden:
• HD.se: Vart annat mediehus riskerar att avlyssnas
• Medievärlden.se: Varannat mediehus riskerar avlyssning
• SMP.se: Övervakade medier?
• Resume.se: Här är medierna du inte ska tipsa
• Tidningarnas Telegrambyrå, TT: GP.se, Corren.se, UNT.se, Sydsvenskan.se osv...
• Reportagebloggen: Konkretiserande journalistik om FRA

1 kommentar:

noah sa...

Way to go, Fredrik! Det här är inget nytt problem även om ett ja till förslaget skulle göra saken betydligt enklare för FRA och dess likar.
E-posten har alltid skickats i klartext och att tro att ingen utnyttjat detta redan är bara naivt i mina ögon. ;)
Telefoni över IP är relativt nytt men lider också av samma problem som e-posten, om än i mindre utsträckning.
Värt att notera är att mottagaren bara är en av parterna som avgör risken för avlyssning. Det finns en sändare också vars mail ofta går igenom flera mailservrar (vanligtvis sin operatörs) innan den slutligen når fram till mottagaren.
Det här aktualiserar bara frågan om att när folk ska börja använda PGP/GnuPG i större utsträckning för säker, autentiserad end-to-end kryptering för kommunkationen mellan sändare och mottagare. Alla tidningar borde lista sina PGP-nycklar på sina kontaktsidor.
En mitigerande faktor är användandet av STARTTLS på mailservrarna. Det innebär stöd för krypterad kommunkation mellan mailservrarna. Alla, och i synnerhet mediehusen, borde dra sitt strå till stacken och se till att deras mottagande mailserver stöder STARTTLS och att deras sändande mailserver utnyttjar STARTTLS stödet (aka oppertunistic TLS) om mottagarens mailserver stöder det.
Jag har lagt upp ett Google Doc som innehåller kontroller av mediesajters (hämtat från KIA Index) placeringar av mailservrar och huruvida de påstår sig ha stöd för STARTTLS på mailservern. Rådatat inkluderat. Det går att titta på på http://docs.google.com/View?docid=dfvpdgr6_3ffq22qg5 för den som är intresserad.