Bulletproof webhosting: Et verktøy for cyberkriminelle og journalistikk

En ny medieansvarslov er på trappene i Norge. Høringsnotatet til loven avslører en drakonisk lov som tar sikte på å innskrenke handlingsrommet til medier og publikasjoner som ikke faller inn under MSM-kategorien. Men loven vil også ramme mer etablerte medier.

I hovedtrekk søker loven å åpne for straffeforfølgelse av redaktører og eiere av publikasjoner hvor det blir publisert «krenkende» materiale i kommentarfeltene og på publikasjonenes forum. Eksempelvis vil den nye likestillings- og diskrimineringsloven som trådte i kraft 1. januar 2018 kunne bli brukt for å tiltale redaktører for såkalt rasisme og hatefulle ytringer, dersom noen lesere publiserer slikt i kommentarfeltene.

For å lese høringsnotatet til den nye medieansvarsloven, kan du gjøre det med å følge denne linken til nettsidene for statsministerens kontor.

I Sverige er det også iverksatt tiltak for å utforme nye lover som skal begrense offentlighetens mulighet til innsyn i eksempelvis rettsavgjørelser. Svenske myndigheter vil med lovendringene hindre uavhengige publikasjoner som Fria Tider å få tak i rettsavgjørelser fra domstolene, slik at offentligheten ikke får informasjon om kritikkverdige forhold knyttet til enkelte belastede temaer.

Ytringsfrihet, mediemangfold, meningsfrihet og informasjonsfrihet er truet fra alle kanter. Løsningen på dette problemet vil på sikt være såkalt anonym journalistikk, også kalt varsling. Noe som på ingen måte er helt enkelt å få til. Særlig siden det finnes lovbestemmelser i norsk lov som eksplisitt forbyr anonyme publikasjoner. Noe som naturligvis også gjelder anonyme nettsider.

Likevel finnes det enkle verktøy som tillater fullstendig anomym utgivelse av digitale publikasjoner på nett. Løsningen er å benytte de samme verktøyene som cyberkriminelle bruker når de ønsker å skjule sin virksomhet for myndigheter og andre.

En av de mest kjente tjenestene som tilbyr såkalt bulletproof hosting, lover å holde innholdet ditt online – uansett hva. FOTO: Skjermdump, Akroma.no.

Bulletproof hosting

En rekke selskaper verden over spesialiserer seg på anonym webhosting. Tjenester som lar hvem som helst legge ut hva som helst på internett, helt anonymt. Videre har disse selskapene sikret seg mot intervensjon fra myndigheter. Slik vil klager, straffeforfølgelse og søksmål mot selskapene, og deres klienter, for ting som er publisert på nett i praksis være umulig.

Blant annet benyttes disse tjenestene som tilbyr såkalt bulletproof webhosting av cyberkriminelle verden over. «Hemmelige» nettbutikker som selger narkotika, dopingmidler og våpen, samt hackere, svindlere og aktivister er flittige brukere av disse tjenestene. Blant de mest kjente aktørene som benytter såkalt bulletproof webhosting er WikiLeaks.

For nordmenns del vil det i praksis være umulig for det norske rettsvesenet, eller norsk politi, å hindre denne virksomheten i overskuelig fremtid. Anonym journalistikk er derfor nå blitt mulig for den som har ønsker eller behov for å drive med det.

Oppdatering: Etter at denne posten ble publisert har jeg blitt kontaktet av redaktøren for den amerikanske publikasjonen PixelPrivacy, som ønsker at jeg også lenker til en artikkel som de har om et lignende tema.

Her er lenke til artikkelen hos PixelPrivacy. Den handler om hvordan folk kan surfe anonymt på nettet.

Ønsker ulovlig innhold velkommen

Fordi leverandørene som tilbyr bulletproof webhosting har serverparker i land som ikke bryr seg om hva som publiseres på internett, kan disse tjenestene tilby det som på engelsk kalles «data havens». Disse tjenestene kan være både sentaliserte og desentraliserte. Alt etter hva klientene er ute etter, eller har behov for. Dette sikrer at nettsider blir så godt som umulige å ta ned for myndigheter og andre entiteter. Selv med såkalte tjenestenektangrep.

Selskapene som tilbyr såkalt bulletproof webhosting bryr seg ikke om hvilket innhold de hoster. De ønsker ulovlig innhold velkommen. FOTO: Skjermdump, Akroma.no.

Med andre ord helt perfekt til å publisere anonym journalistikk og varslinger.

Men, selv om nettsidene blir bortimot umulige å ta ned, og de tilbyr anonymitet for klientene, så vil bakmenn alltid kunne straffes likevel – forutsatt at myndighetene får kjennskap til deres identitet. Derfor er det viktig, eksempelvis for nordmenn som vil benytte disse tjenestene, å sørge for å sin egen anonymitet. Noe som ikke er gjort helt uten videre, og som krever tilstrekkelig kunnskaper og know-how. Men når man først forstår hvordan ting fungerer så er det ikke så vanskelig som det først kan se ut til.

De aller viktigste forholdsreglene å ta er som følger:

  • Bruk en god VPN-tjeneste. Fortrinnsvis en som ikke er basert i et land som er en del av det såkalte 14 eyes-nettverket, eller den internasjonale UKUSA-avtalen. Les mer om dette på Wikipedia med å følge denne linken.
  • Bruk en datamaskin hvor tekster, bilder, dokumenter, videomateriale og innhold om du publiserer på det anonyme nettstedet ditt ikke lagres lokalt. Benytt gjerne en datamaskin uten installert harddisk, og kjør hele operasjonen fra Tails OS. Et operativsystem som er spesielt designet for anonymitet. Les mer om Tails OS på dere nettsider med å følge denne linken. Tails OS lar deg koble til internett gjennom TOR-nettverket. Har du ikke mulighet til å benytte Tails OS, så kan du også laste ned TOR-browseren. Som er en nettleser som lar deg koble til nett via TOR.-nettverket. For å lære mer om TOR kan du følge denne linken.
  • Er dere flere om jobben, og dere trenger å holde kontakten, er det anbefalt å bruke en kommunikasjonskanal med såkalt OTR-kryptering. Som XMPP og Jabber. Slik varsleren Edward Snowden brukte da han var i kontakt med journalisten Glenn Greenwald. Slik er det mulig å opprettholde full anonymitet. For å lære mer om OTR kan du følge denne linken. For å lære mer om Jabber og XMPP kan du se på hjemmesidene til Jabber med å følge denne linken. Trenger du en god tutorial for hvordan du setter opp en slik løsning, finnes dette på YouTube. Her er link til en slik tutorial på YouTube. Videoen tar for seg de mest grunnleggende tingene du trenger å vite.
  • Snakk aldri med noen om det prosjektet du/dere driver med. Og kommuniser aldri om det via vanlig e-post, SMS, telefon eller sosiale medier. Benytt utelukkende den etablerte korrespondansen med OTR-kryptering. Slik vil dere kunne forbli anonyme.
  • WordPress er en god og sikker CMS, dersom du gjør litt små forandringer på det. Eksempelvis med å justere noen tillatelser, samt endrer login-lenken. Noe som du kan gjøre med en plugin som WPS Hide Login. For å lese mer om dette kan du gjøre det på nettsidene til WordPress.org med å følge denne linken.
  • Betal for tjenestene med Bitcoin eller annen kryptovaluta som tillager anonyme transaksjoner. Husk å vaske kryptovalutaen i et vaskeri først, for å sikre anonymitet i transaksjonene. For å lese mer om hvordan du vasker kryptovaluta, kan du følge denne linken til BitcoinWiki, hvor miksing og vasking av Bitcoin beskrives.

Kontroversielle tjenester

Når man tilbyr cyberkriminelle og dissidenter en plattform som sikrer anonymitet, samt sikkerhet mot innblanding fra myndigheter og andre, blir det naturligvis kontrovers. Ikke alle er like glade i at mennesker benytter sin frihet til å dele piratkopiert materiale og pornografi – samt driver svindel – eller sprer dokumenter, bilder, videoer og annet som enkelte ikke liker å kommer for dagen. Som i tilfellet med WikiLeaks.

Sikkerhetsselskapet Norton Security fikk laget en dokumentar om fenomenet. Hvor de sendte en klønete reporter rundt for å spore opp serverparkene til disse tjenestene. Hvorpå turen gikk til blant annet Nederland og Sverige.

Dokumentaren som Norton Security fikk laget er fritt tilgjengelig på YouTube. For å se filmen kan du følge lenken nedenfor.

Både myndigheter, sikkerhetsselskaper og andre har åpenbart latt seg bekymre over hvordan folk nå kan skaffe seg en carte blanche til å publisere hva som helst på internett, uten å kunne bli tatt for det. På mange måter er det lett å se deres bekymring. Særlig i land hvor ytringsfrihet, meningsfrihet, pressefrihet og informasjonsfrihet blir forsøkt regulert strengt med lovverk og regler. Som her i Norge.

Jeg er personlig overbevist om at disse tjenestene, og de mulighetene for anonym journalistikk som de åpner for, vil skape stor bekymring og oppstandelse her i Norge med tiden.

Litt om tjenestene

Av de tjenestene som tilbyr såkalt bulletproof webhosting, og som sikrer anonymitet for klientene gjennom Bitcoin-transaksjoner, kan jeg nevne følgende:

(Listen har ingen spesiell sortering)

Del innhold: