Houd zelf de controle over je privacy

Door: Tijs Hofmans Tijs Hofmans | 31 mei 2017 10:25

How To

Inhoudsopgave

  1. Inleiding
  2. Pagina 2

Als je een beetje gemiddeld leeft, sta je waarschijnlijk in enkele honderden databases. Jij wordt namelijk op veel manieren gevolgd, zowel door de overheid als door bedrijven. Via je betaalgedrag, bonuskaarten, internetgedrag, sociale netwerken, gps-tracking via je mobieltje tot zelfs het afluisteren in je eigen huis via je slimme tv of andere apparatuur. Is er eigenlijk nog wel zoiets als privacy, en hoe houd je daar zelf nog controle over?

Het is inmiddels vier jaar nadat er miljoenen documenten van de NSA werden ontvreemd. Sinds de onthullingen van klokkenluider Edward Snowden weten we hoe de Amerikaanse inlichtingendiensten iedere beweging die we online maken, kunnen volgen. Ook in Nederland is er weinig wat je online nog kunt doen dat niet kan worden opgemerkt. Enkele maanden geleden kwamen er nóg meer geheime documenten bovendrijven, dit keer over een andere inlichtingendienst (de CIA), waaruit bleek dat maar weinig ‘slimme’ apparaten zijn die níet te hacken zijn. Zulke onthullingen doen vermoeden dat het slecht gesteld is met onze privacy. Dat lijkt niet echt te verbeteren onder het bewind van de nieuwe Amerikaanse president Trump.

Ook nu we in ons eigen land verregaande bevoegdheden geven aan de AIVD en de politie, (zoals de twee recente beveiligingswetten die in het afgelopen jaar door de Tweede Kamer zijn goedgekeurd, zie paragraaf ‘Hacken door de politie’), lijkt het soms wel alsof we weinig hebben geleerd van de grootste onthullingen ooit. Maar dat is niet helemaal waar. Uit de CIA-lekken blijkt weliswaar dat de inlichtingendiensten veel mogelijkheden tot afluisteren hebben, maar ook dat encryptie werkt. Bovendien groeit het bewustzijn over veiligheid en privacy onder gebruikers. Steeds meer Nederlanders zijn zich bewust van waar ze kunnen worden afgeluisterd, maar ook van wat ze delen op diensten als Facebook en Google. En uiteindelijk is dat wat privacy is: kunnen kiezen wat je deelt en met wie je dat doet.

Het NSA-programma Prism was een manier om de gegevens van databases van grote techbedrijven af te luisteren.

Honderden databases

Het is moeilijk te zeggen in hoeveel databases een gemiddelde Nederlandse burger staat, omdat dat vaak moeilijk te controleren is. Het zijn er waarschijnlijk wel veel meer dan je denkt. Schattingen lopen uiteen van honderden tot enkele duizenden bestanden. Dat zijn zowel overheidsdatabases als gegevensbestanden van commerciële partijen. Juist omdat Nederlanders in zoveel databases staan, is de overheid een programma begonnen waarmee een flink aantal overheidsinstellingen door al die databases naar bepaalde burgers zoeken en gegevens aan elkaar koppelen, bijvoorbeeld om fraude op te sporen. Dat programma, SyRI, werkt automatisch met big data en algoritmes. Een huis waar op papier bijvoorbeeld vijf kinderen wonen maar waar weinig water wordt verbruikt, is dan al verdacht.

Encryptie

Een van de belangrijkste tools om zelf te bepalen met wie je jouw data deelt, is encryptie. Hiermee houd je berichten geheim voor iedereen behalve de ontvanger en jijzelf. Encryptie is de laatste jaren steeds meer gemeengoed geworden. Een paar jaar geleden was het nog bijzonder als een chat-app zich specifiek richtte op privacy en veiligheid. Dat is ook waarom Telegram begin 2014 zoveel aandacht kreeg: het was één van de weinige apps die encryptie en veiligheid van gebruikers zo serieus leek te nemen. Al bleek later dat het zelfontworpen encryptieprotocol zo lek als een mandje was.

Door klokkenluider Edward Snowden hebben we een veel beter beeld van wat de Amerikaanse inlichtingendiensten van ons weten.

Geen luxe, maar een vereiste

Anno 2017 is goede versleuteling geen luxe meer, maar bijna een vereiste voor nieuwe apps. Zeker op smartphones is goed te zien dat het belang van encryptie wordt ingezien. Apple voegde al in 2010 versleuteling toe aan iOS 4, maar het werd pas standaard in iOS 8. In navolging daarvan is ook de opslag van Android-toestellen vanaf versie 6.0 standaard versleuteld, zodat je er alleen in kunt komen met een pincode of swipe-beweging. Ook binnen apps wordt encryptie steeds meer de standaard, een norm die door het veelgebruikte WhatsApp werd gezet. De chat-app kondigde in 2015 aan standaard end-to-end-versleuteling in te schakelen voor alle gesprekken. De uitrol ging langzaam, en gold eerst alleen voor Android- of juist iOS-gebruikers onderling en werd pas veel later voor groepsgesprekken uitgerold. Inmiddels is iedere versie van WhatsApp voorzien van aes256-encryptie, dezelfde standaard die ook wordt gebruikt bij opensource-alternatief Signal. Ook bedrijven waarvoor het bestuderen van je gesprekken een verdienmodel is, zoals Facebook en Google, moesten met respectievelijk Messenger en Allo toegeven dat gebruikers behoefte hadden aan versleuteling.

De in maart dit jaar uitgelekte CIA-documenten bevestigen dat encryptie werkt. Opsporingsdiensten worstelen er namelijk mee. Ondanks de duizenden zero-days die het agentschap tot haar beschikking had, was het ¬– als één van de machtigste instellingen ter wereld – toch niet opgewassen tegen de versleuteling die het gratis WhatsApp en Signal aanbieden. Als de CIA of NSA een bericht van WhatsApp of Signal wil onderscheppen, moet het gebruikmaken van een lek in het onderliggende besturingssysteem.

Ook WhatsApp heeft end-to-end-versleuteling. Daardoor kan behalve de verzender en de ontvanger niemand een bericht afluisteren.

(On)veilig Telegram

Toen Telegram in 2014 werd uitgebracht, was het een van de meest toegankelijke apps die zich op veiligheid richtte. WhatsApp had toen nog geen versleuteling en Signal werkte nog niet op iedere telefoon. Als snel bleek Telegram echter helemaal niet zo veilig. Zo werden alle berichten op een centrale server opgeslagen en beveiligd met een inmiddels achterhaalde versleuteling (SHA1-hash). Ook bleken de makers een eigen encryptieprotocol te hebben geschreven, dat al snel door beveiligingsonderzoekers werd afgeschoten. Inmiddels lijkt Telegram juist één van de minste veilige chat-apps te zijn.

Waar WhatsApp en Signal beide dezelfde encryptie gebruiken, raden we toch het gebruik van Signal aan. WhatsApp slaat namelijk nog wel metadata op en verstuurt je contactenlijst naar eigenaar Facebook. Signal slaat geen metadata op en verstuurt ook geen gegevens naar derde partijen. Nog lang niet iedereen zit op Signal, maar als jij alvast overstapt, volgen er vast meer.

De beste privacy met pgp

Encryptie is één van de belangrijkste onderdelen in de strijd voor privacy. Pgp (‘Pretty Good Privacy’) is een encryptiestandaard die zelden in opspraak komt. Het protocol wordt gebruikt om veilige e-mails te versturen en bestaat al sinds 1991. Waar de versleuteling van WhatsApp in 2014 voor veel discussie onder veiligheidsspecialisten zorgde, ligt pgp amper onder vuur. Het was de manier waarop Edward Snowden contact zocht met Guardian-journalist Glenn Greenwald... en als het voor zo’n zaak wordt gebruikt, weet je dat het met de beveiliging wel snor zit.

Dat pgp nooit zo’n probleem is geweest voor de opsporingsdiensten, heeft mogelijk te maken met het gebruiksgemak – of liever het gebrek daaraan. Wie een mail wil versturen via pgp moet daarvoor gebruikmaken van een privésleutel én een openbare sleutel. Dat is meer dan alleen een wachtwoord: iemands openbare sleutel is vaak een flinke lap tekst dat in de vorm van een asc-bestand moet worden gedownload en daarna nog in een emailcliënt moet worden geïmporteerd. Mailen met pgp lukt bovendien ook niet vanuit ieder mailprogramma, je hebt er meestal add-ons of andere extra software voor nodig. Toch zou het goed zijn als iedereen pgp zou gebruiken. Privacy begint bij jezelf. In dit artikel leggen we uit hoe je e-mail versleutelt met pgp.

Pgp is de veiligste manier om te mailen, maar het is wel erg omslachtig.

De strijd om de iPhone

Het werd ook wel de strijd om de iPhone genoemd. De FBI riep in 2016 de hulp in van Apple om een iPhone van een terreurverdachte te bekijken. Door de encryptie die standaard op iPhones staat, bleek het voor de politiedienst niet mogelijk te zien welke informatie er op de telefoon stond. Apple weigerde echter mee te werken, zelfs toen het bedrijf daardoor voor de rechter moest verschijnen. “Als de FBI één telefoon kan kraken, kan het dat straks bij allemaal en dat is slecht voor de veiligheid van iedere iPhone-gebruiker”, redeneerde de fabrikant. De strijd bleek exemplarisch voor hoe opsporingsdiensten worstelen met achterdeuren en encryptie. En hoewel de FBI uiteindelijk via een dure methode (met NAND-mirroring) het toestel wist uit te lezen, leek vooral Apple de winnaar van het juridische conflict te zijn.

1 Reactie(s) op: Houd zelf de controle over je privacy

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 5 juni 2017 14:45 Leonederweert
    Telkens weer lees en hoor je bij nieuwsberichten dat de dader(s) bekenden van de Politie waren. Waar ben je dan met je afluisteren, en waarom reageren de desbetreffende instanties zo laat of helemaal niet.
    Hoe meer deze instanties ( NIVD FBI CAI KGB GCHQ enz ) afluisteren, hoe meer dit de beveiliging van al onze systemen zal doen toenemen en er straks NIETS meer af te luisteren valt. Dan lachen de terroristen en dat is niet wat wij gewone burgers willen. Wel veilig maar ten koste van ??
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.