Det har varit mycket debatt de senaste veckorna rörande avlyssning av datorkommunikation. I kölvattnet av detta kablades igår ut att ”Google strutar i din integritet”, med anledning att grupptalan väckts i USA mot att Googles mailtjänst läser alla meddelanden. Syftet skulle bland annat vara att skräddarsy reklammeddelanden för användarna. Läser du ett mail om Göteborg får du kanske upp erbjudanden om resor dit och beklagar sig avsändaren över sin övervikt kanske du får se reklam om bantningspreparat. Som du sen kan tipsa den överviktige om. Andra mer legitima skäl är att leta efter skräppost och virus. Det är svårt att göra utan att titta på innehållet.
Men hur som helst - denna läsning har alltså nu lett till att Google stämts i domstol.
Problemet med den här typen av rapportering är dock att det alltid rör sig om isolerade nerslag. Det ingen vill förstå är att problemet ligger på en betydligt djupare nivå. Nämligen att mail – i den bemärkelse vi använder i dagligt tal – är ett högst osäkert sätt att skicka information på. Och definitivt inget man bör använda till hemlig information, om man inte är beredd att ta till andra åtgärder.
Problemet ligger i sättet mailen skickas på. För att skicka ett mail behöver man enbart ange en avsändaradress, som kan vara godtycklig, en mottagaradress, och själva meddelandet. När mailet tagits emot av mailservern skickar den vidare till mottagarservern, eller till andra mailservrar som i sin tur skickar vidare. Till sist landar mailet på en server, varifrån mottagaren kan hämta det.
Det här är problematiskt på alla sätt. 1) Du kan alltså ange godtycklig avsändare, vilket gör att 2) mottagaren inte kan veta att du är du. Du som avsändare kan aldrig vara säker på att 3) mailet kommer fram, 4) det når rätt person, eller för delen 5) hur lång tid det tar. Mailöverföringen är vidare 6) inte krypterad så eftersom du inte vet 7) vilka servrar mailet passerar kan du inte heller veta om 8) någon läser det på vägen (virusskydd och skydd mot skräppost kan du nästan förutsätta läser alla mail). Du vet inte heller 9) om någon ändrar innehållet i mailet på vägen.
Det här är något som varken Google eller NSA ligger bakom, det protokoll som används för mailöverföring har existerat sedan i början av 80-talet. Förvisso har det försetts med säkerhetsutökningar (i huvudsak för att bemöta floden av skräppost) men i grund och botten är det samma osäkra hantering då som nu.
Vad kan man då göra för att skydda sig? Det enda fungerande sättet handlar det om att använda sig av kryptering. Detta ska man själv göra i samband med att man skriver mailet, och på ett sådant sätt att man vet att bara den avsedda mottagaren kan läsa det. Tyvärr är detta inget som finns som standard. Dels är många krypteringsprotokoll proprietära, dels bygger alla stora webmailaktörers affärsidé just på att marknadsföra tjänster kopplat till innehållet. Det är på sitt sätt logiskt, de måste ju tjäna pengar någonstans i kedjan.
Och för att kryptering ska fungera krävs att både du och den du skickar till har mjukvara för att lösa uppgiften. Inte helt lätt när man hanterar all mail via en webbläsare.
Viktigast är att folk förstår att inget är gratis, integritet kostar. Sen är det upp till var och en om man fortsätter välja gratistjänster, eller väljer att värna sitt privatliv och sin integritet på andra sätt.
Viktigast är att folk förstår att inget är gratis, integritet kostar. Sen är det upp till var och en om man fortsätter välja gratistjänster, eller väljer att värna sitt privatliv och sin integritet på andra sätt.
Inga kommentarer:
Skicka en kommentar