Trots att Telegram, Whatsapp, Signal och Protonmail är krypterade, är de inte så säkra att använda som de flesta tror, säger Rob Braxman, programvaruarkitekt, cybersäkerhetsexpert och hacker. Går det att undvika fallgroparna?
Text: Sanja R. Juric | Bild: Rob Braxman. Foto: eget verk
Oavsett om det gäller mobilappar som WhatsApp, Signal och Telegram, eller mail-program som Protonmail, är det mer eller mindre omöjligt att skydda din identitet om du inte vidtar rigorösa åtgärder och är väldigt noga med vilka du kommunicerar med.
I slutändan är det din umgängeskrets som avslöjar din identitet. Det är dessutom extra osäkert att använda sig av mobilapplikationer med krypteringsfunktion. Det är ofta dessa som blir föremål för riktad övervakning, berättar Rob Braxman i videon.
Andra faktorer som gör det osäkert att använda sig av dessa appar och tjänster, är det som underrättelsetjänster kallar för signals intelligence eller “sig int”. Även om själva krypteringen inte bryts, är det oftast metadata som samlas in beroende på vilka vi kommunicerar med, som till slut avslöjar personen som använder sig av dessa appar.
“Signalspaning [signals intelligence] innebär att man genom avlyssning, pejling m.m. utforskar och övervakar data- och/eller teletrafik och på så vis inhämtar underrättelser. En variant av signalspaning är signalkontroll som dock inte har underrättelseinhämtning som uppgift.” – Wikipedia
Relationskarta – hur din umgängeskrets avslöjar din identitet
Ett av de största problemen med dessa och liknande appar är att de skapar något som Rob Braxman kallar för relationskarta. Vilket innebär att information om dig kan erhållas beroende på vilka du kommunicerar med. Anledningen till detta är att alla dessa appar och tjänster har en offentlig identitet, public identity, som krävs för att registrera ett användarkonto. För att till exempel skapa ett Signal-konto används oftast ett vanligt mobilnummer som du redan registrerat hos en telekomoperatör.
Hos Telegram, WhatsApp och Signal, är det alltså ditt mobilnummer som röjer dig. Dessutom har apparna tillgång till din kontaktlista och på så sätt går det att spåra dig utifrån den grupp av människor du kommunicerar med. Ett spionprogram kan lätt räkna ut vem du är i relationskartan. Om du använder dig av krypterade e-mailprogram är det istället din e-mail adress som är public identity.
WhatsApp är en av de värsta
Den i överlag mest integritetskränkande appen enligt Braxman är WhatsApp, då både WhatsApp och Instagram ägs av Facebook. Det är dock själva telefonen som avslöjar informationen om dig, oavsett vilken Facebook-identitet eller plattform du använder avseende användarnamn. Det är enhetens fingeravtryck som registreras, säger Braxman.
Om du använder dig av WhatsApp, vet Facebook vem du är, eftersom det är samma enhet du använder dig av. I och med att du har ditt konto på Facebook under ditt riktiga namn, verifieras återigen din identitet genom din vänskaps- och familjekrets, område och märkning (relationskartan), för att inte tala om alla bilder där du blir taggad av dina vänner och familjemedlemmar.
Signal har liknande problematik även om det sker i mindre utsträckning, då du enbart ger ut ditt telefonnummer och kontaktlista. Detta i sig är ändå tillräckligt för att avslöja din identitet, förklarar Braxman.
Du kanske har vidtagit extra försiktighetsåtgärder, såsom VPN och pseudoanonymitet, men om du använder dig av olika sociala plattformar blir du återigen identifierad genom din bekantskapskrets (relationskartan). Även om du väljer att ha ett kontantkort, vilket kan komma att förbjudas redan 2022, skriver SvD, så är det personerna du kontaktar som avslöjar din identitet.
Ett enda klant-mail kan röja alla identiteter i hela gruppen
För de som använder sig av Protonmail, berättar Braxman, är det viktigt att inte göra sin e-mailadress offentlig. Som i fallet med WhatsApp och Signal är det din relationskarta, det vill säga dina kontakter, som slutligen kommer att avslöja vem du är.
Enda sättet att undvika att metadata att hamnar i fel händer är att tex använda Protonmail för avgränsad kommunikation inom en mindre grupp av betrodda kontakter. För att det ska fungera måste även dina kontakter göra samma sak och enbart skicka mail inom samma domän (från en protonadress till en annan protonadress), annars finns en risk att ditt mail kontamineras och du blir avslöjad.
Det räcker med ett enda misstag. Ett enda mail som skickas till en mottagare bortom Protonmail röjer hela gruppen och ni får börja om.
Sanja R. Juric
Relaterat
- Rob Braxman (Brax.me) is Software Architect, Cybersecurity expert, Hacker, Full stack developer – Windows, iOS, Android, Linux. C/C++, PHP, Python,SQL, creator of Brax.Me and many enterprise systems.